Netidők Blogtársaság

Évek óta hallani híreket az okostelefonok fokozatos térnyeréséről. A napokban azonban több hír egyszerre jelent meg, amik alapján szinte teljes bizonyossággal kijelenthető, hogy a hordozható készülékek, elsősorban az okostelefonok válnak az elsődleges eszközökké és platformmá az emberek életében. 2013 második negyedéve fordulópontot jelez az informatikában.

A napokban látott napvilágot a hír a Lenovóról, hogy a 2013 júniusáig tartó negyedévben több okostelefont és tabletet értékesített darabszámra, mint számítógépet (igaz, a bevételekből az utóbbi jóval nagyobb részt tett ki). Annak ellenére megtörtént a helycsere, hogy a világ negyedik legnagyobb mobiltelefon és legelső PC gyártója mobil készülékeinek 95%-át a kínai piacon értékesíti.

A Gartner friss adatai alapján egyébként az okostelefonok értékesítése először haladta meg darabszámra a butatelefonokét 2013 második negyedévében. Az IDC-nél már az első negyedévben megtörtént a trendforduló (viszont ők nem a kiskereskedelmi értékesítést - amikor eljut a vevőhöz a készülék - hanem a termékek kiszállítását veszik figyelembe, amikor még csak a kereskedőkhöz kerül a termék).

De nem csak az eszközök értékesítése, hanem használata alapján is trendfordulót érzékelhetünk. Az Egyesült Államokban az eMarketer becslése szerint először alakult úgy, hogy mobilon és tableten több időt töltenek online aktivitásokkal a felhasználók, mint számítógépen (US Time Spent on Mobile to Overtake Desktop).

Az e-kereskedelemben pedig a mobilos és tabletes vásárlás kezdi meghaladni a PC-n folyó vásárlásokat, szintén az Egyesült Államokban. A Millennial Media és a comScore közös kutatása szerint több időt töltenek online vásárlással az emberek ezeken a hordozható eszközökön, mint PC-n.

Végül, az online játékplatformok között is átvette a vezetést a mobil - szintén az Egyesült Államokban. Az eMarketer kutatása alapján a mobil válik az elsődleges online játék platformmá, mivel 126 millióan játszanak mobilon legalább egyszer havonta, míg ugyanez a szám 96,6 millió az online alkalmi (casual) játékok esetén, 80,3 millió az online közösségi oldalakon és 43,3 millió az online konzolos játékoknál.

Pár éve, amikor először megjelent a "Mobile First" jelszó (a design kapcsán), talán megmosolyogták néhányan, látva PC hegemóniáját, ám mostanra úgy tűnik, hogy azoknak volt igaza, akik a hordozható számítástechnika elsőségére számítottak. Szépen lassan, területről-területre egyre nagyobb szerepet játszik életünkben a mobiltelefon és a tablet, ami mindenhová elviszi az internetet, így az azon elérhető szolgáltatásokat is. A trend pedig erősödik, ahogy az íróasztalhoz kötött számítástechnika kiszabadul a "szobafogságból" és úgy érzem még csak a folyamat legelején járunk, a Google Glass vagy az okosórák azt mutatják, hogy megannyi hordozható (viselhető) eszköz van még, ami csak tovább fogja erősíteni azt, hogy a számítástechnika lassan mindenütt jelen legyen az életünkben (ubiquitous computing). Trendfordulóhoz értünk.

Pintér Robesz

A múlt heti bejegyzésemben a clickjacking nevű átverésről írtam, amelyből kiderült, hogy ezzel a rafinált művelettel egy ártatlannak tűnő felületre való kattintással, nem kívánatos, kártevő folyamatok is elindulnak gépünkön, itt olvashatnak róla bővebben.

A keyjacking kicsit hasonló ehhez a jelenséghez, mert ez is átverés, tehát hivatalosan a scam (’átverés’) nevű kórokozó csoportba tartozik. A keyjacking lényege, hogy megjelenik a kijelző felületén egy látszólag captcha kódot bekérő felület (a captcha kifejezésről szóló bejegyzést lásd itt), ám ha begépeljük a kódot, akkor nem az általunk megkezdett folyamatra léphetünk tovább, hanem rögtön elindul egy állomány futtatása, amit mi nem láthatunk, mert bizonyos böngészőkben az állomány futtatására, mentésére vagy törlésére figyelmeztető párbeszédablakot letakarja a captcha kód ablaka. Az átverés lényege, hogy a feltűnő captcha ablak nem igazi, és valójában elég a megadott kód első betűkét beütni, és már fut is az elrejtet állomány. Mondanom sem kell, hogy számos módja van a védekezésnek: pl. csak azt töltsük le, csak oda kattintsunk, oda regisztráljunk, ahova tényleg muszáj, amit tényleg akarunk, és ne próbálkozzunk vagy kíváncsiskodjunk, mert könnyen pórul járunk, illetve érdemes figyelni a böngészők biztonsági figyelmeztetéseit, illetve hatékonyan tudnak védeni az akaratlan programfuttatástól a jobb fajta, frissen tartott internet biztonsági szoftverek.

A keyjacking összetétel szerkezete megegyezik a clickjackingével (hisz ennek a mintájára, analógiájára született), tehát az utótagja, a jacking az ’eltérítést’ jelenti, míg az előtagja a key alapjelentése a ’kulcs’, ’billentyű’, ám itt természetesen a ’kulcs’ metaforakörébe tartozik a ’kód’, ’valaminek a megoldása’. Közismert a key, magyarul kulcs kifejezés ebben a jelentésében a biztonságtechnikában a biztonsági kulcs vagy titkosítási kulcs szerkezetekben.

Bővebb információkat például az alábbi helyeken lehet olvasni

http://securitywatch.pcmag.com/security/313261-dial-r-for-a-keyjacking-running-malware-with-captcha

http://antivirus.blog.hu/2013/07/01/mai_szavunk_pedig_keyjacking

Bódi Zoltán

Az interneten terjedő kártevők ravasz példánya a clickjacking, ami nem más, mint a kattintásunk eltérítése. Az átverés (közkeletű szakkifejezéssel scam) lényege, hogy a weboldalon rákattintunk egy látszólag ártalmatlan, kattintható felületre, például egy képre vagy egy linkre, és ahelyett, hogy az elvárt folyamat elindulna, eltérítenek egy általunk nem kívánt webhelyre, vagy esetleg letöltődik, elindul egy nem kívánt, kártevő szoftver. Az is gyakran megtörténik, hogy a kattintásunk után az elvárt folyamat ugyan elindul (pl. a videót lejátsszuk), ám mellette még valami tudtunkon és akaratunkon kívül megtörténik, például meg is osztjuk a képet, videót, állományt ismerőseinkkel a közösségi oldalunkon.

A kifejezés egy összetétel, amelynek az előtagja, a click ’kattintás’, ’klikkelés’ mindenki számára ismerős lehet. Megjegyzem, hogy az angol click hangutánzó szó észrevétlenül elterjedt a mi nyelvünkben is, ám jelentése speciális, kifejezetten az egérkattintásra értjük. Az utótag a jacking megfigyelhető a hijacking ’repülőgép-eltérítés’ összetételben is, és mindenhol eltérítést jelent.

A clickjacking jelentéstani hátterében tehát az eltérítés művelete áll, nem az átverés vagy a károkozás van hangsúlyozva, hanem az odavezető út, az eltérítés, vagyis a felhasználó szándéka ellenére történő folyamat.

A clickjacking kifejezést egyébként Jeremiah Grossman és Robert Hansen vezette be 2008-ban (http://www.sectheory.com/clickjacking.htm), és azóta az informatikai biztonsági terminológiában a user interface redressing attack (’a felhasználói felület átcímzése’) vagy egyszerűen csak UI redressing szakkifejezések csoportjába sorolják.

Bódi Zoltán

| Még több lehetőség

Az egyik ismerősöm a következő emailt kapta. Elolvasván – tapasztalatlansága miatt – annyira megijedt, hogy önmaga tiltatta le a bankkártyáját.

Íme a levél:

From: Hitelkartya Biztonsaga [mailto:…] 
Sent: Saturday, June 15, 2013 3:45 PM
To:…
Subject: Hitelkártyáját fel fogjuk függeszteni, ha nem teszi meg a szükséges lépéseket.

Dear … user!


Köszönjük, hogy a Visa vagy Mastercard kártyát választotta. Ezen szolgáltatók azon dolgoznak nap mint nap, hogy megvédjék Önt a visszaéléstol.



A rendszerben újból frissités történt, és meg szeretnénk bizonyosodni arról, hogy valóban Ön használja ezt az e-mail cimet.



Amennyiben nem tölti ki az ívet 48 órán belül, a kártyája átmenetileg felfüggesztésbe kerül, amelyet a bankjában tudnak feloldani.



A kérdoiv kitöltésért kattintson IDE. .



Thank you,



VISA Security Team

Ez a levél tipikus példája az adathalászatnak, nemzetközi nevén a phishingnek. Az interneten végrehajtott csalások egyik típusa tehát a phishing, amelynek az a lényege, hogy a címzett kap egy e-mailt, amelyik formára, tartalmilag hivatalosnak tűnik, és a levélben található egy link, amely elvezet egy olyan weboldalra, amely megszólalásig hasonlít a levélben jelzett cég hivatalos weboldalához, ám ez egy hamisított honlap. Ezen a webhelyen pedig a látogató személyes adatai (például bankkártyaszám, számlaszám, titkos kód stb.) iránt érdeklődnek.

A phishing az angol fishing ’halászat’ szó írásváltozata (ejtésben megegyezik a két szóalak). A csalilevél vagy adathalászat formában magyarított (ám magyar formájában kevéssé ismerős) phishing és a ’halászat’ jelentésű fishing kapcsolata azon alapul, hogy a hiszékeny ügyfelet ugyanúgy halásszák le, csalják lépre, mint a horgászok a halat.

A fentebb idézett levél azon túl, hogy a címzett adatait szeretné lehalászni egy bizonyos kérdőívben, még meg is kíván bizonyosodni arról, hogy valódi, működő-e az email cím. Ezzel nemcsak adatokhoz, hanem biztos spam célponthoz is jut a feladó.

Van a fenti levélben néhány árulkodó jel: a köszöntés és az elköszönés angol nyelvű, míg a levél magyarul van. A szövegben számos grammatikai és helyesírási hiba található. A feladó neve igen gyanús, kissé magyartalan. A kérdőívre vezető link domainje .pl végződésű, pedig a feladó címe .hu végződésű, és a szövegben vannak magyar és angol elemek is. Mindezek alapján elképzelhetetlen, hogy egy megbízható biztonsági cég küldte volna. Kifejezetten életszerűtlen, hogy a két nagy bakkártya cég biztonsági ügyeit együtt kezelik. Maga a megkeresés tárgya is fura: miért lenne szüksége a bankkártyám kibocsájtójának arra, hogy egyeztessék az email címemet. Elképzelhetetlen, hogy valamilyen adategyeztetés elmaradása esetén egy cég a meglévő ügyfelét felfüggesztené. Örök szabály, hogy komoly bankok és cégek személyes adatokat sohasem egyeztetnek az ügyfelekkel emailben, interneten keresztül.

Bódi Zoltán

| Még több lehetőség

Úgy tűnik bebizonyosodik, hogy amit sejtettünk, az maga a valóság. Az Egyesült Államok módszeresen és rendszeresen megfigyeli az embereket az interneten és a telekommunikációs hálózatokon. Nem csak célzottan, megalapozott gyanú esetén, bírói engedély birtokában vagy terrorizmust feltételezve teszi ezt, betartva a saját maga által hozott jogszabályokat. Hanem információkat előzetes gyanú nélkül összegyűjtve, azokat elemezve, hátha találnak valamit, illetve eltárolva, hátha később jó lesz még az valamire. Mindez alkotmányellenes, a jogvédők szerint sérti az emberek szólásszabadsághoz és magánszférához való jogát, amelyet az amerikai alkotmány első és negyedik kiegészítése garantál.

Botrány! - gondolhatnánk. Ha azonban megnézzük az amerikaiak véleményét az ügyről, akkor azt láthatjuk, hogy nincs "ügy". Már jó előre, 911 után "beárazta" az amerikai közvélemény a totális megfigyelhetőség lehetőségét, csak az volt kérdés mikor derül ki, hogy tényleg létezik ilyen rendszer. Az amerikaiak többsége közel egy évtizede elfogadja, hogy a kormány a terrorizmus utáni hajsza érdekében megsértse a magánszféráját. Ezért aztán az sem lehet igazán meglepő, hogy a többség az NSA most kiderült konkrét gyakorlatát is támogatja. A szabadság (freedom) nincs ingyen (free) - igazolják álláspontjukat.

Felesleges lett volna Edward Snowden tette, amivel egy életre eldobta a kényelmes, jól fizető állását (évi 200 ezer dollárt) és kispolgári nyugalmát Hawaiin - jobb esetben is a szegénységet és a bujkálást választva? Vajon kinek volna bátorsága hasonló helyzetben utána csinálni? Tettét ő azzal indokolta, hogy az NSA által működtetett rendszer létéről, működéséről tudniuk kell az embereknek (public) és nekik maguknak kell megítélniük, hogy az elfogadható-e, igazolható-e a létezése. Nem azoknak kell ugyanis egy ilyen rendszer létezését megítélniük, akik jól felfogott üzleti érdekből az adófizetők pénzén üzemeltetik azt.

Snowdent egyelőre az vigasztalhatja, hogy ha az emberek többsége ki is áll az online megfigyelés rendszere mellett és sokan hazaárulónak tartják őt, a civil szabadságjogokat védelmező szervezetek együttes erővel léptek fel a napokban, követelve, hogy hagyjanak fel az alkotmánysértő gyakorlattal, illetve állítsanak fel vizsgálóbizottságot a történtek kivizsgálására.

Szögezzük le, Amerika (az USA) nem rendőrállam, nem totalitárius rendszer. Ugyanakkor rémisztő, hogy a biztonság oltárán milyen könnyen hajlandó feláldozni az amerikai társadalom a szabadságának egy részét és 200 éves hagyományait.

Epilógus: persze Amerika messze van, miért kell, hogy ez érdekeljen minket itt Magyarországon? Csak a tisztánlátás kedvéért: a rendszer nem válogat, ha igazak a vádak, akkor mindenkit megfigyelhetnek bárhol a világon, aki használja az érintett cégek szolgáltatásait, amelyek a világ legnépszerűbb online oldalait üzemeltetik, levelezőrendszereket, keresőket, közösségi oldalakat, fotómegosztókat, felhő szolgáltatásokat, nem csak online, hanem okostelefonokon is.

Pintér Robesz