ismét itt

Néhány év kihagyás után ismét a bloghu-n is! Lesz itt kérem hír, nanogrammban mért vélemény, okosságok, minden, mint a búcsúban! Tessék, csak tessék!

See also...

About

 

bardóczi ákos CV site

 

 

daily tweets from bardóczi Follow me @bardoczi

 

 

LinkedIN - ákos bardóczi LinkedIN

 

 

My stuff on the web

 

 

bardoczi.blog.hu bardóczi in da bloghu

 

 

bardóczi ákos postr áko.s @Post.r

 

 

blog.bardoczi.net bardóczi Tumblarity

 

 

science.bardoczi.net I'm, the bookworm

 

 

ákos*Blog*Spotting ákos*Blogspotting

 

 

bardóczi on Wordpress bardóczi on Wordpress

 

 

My Quora blog My Quora blog

 

 

LiveJournal brainstroms from me ákos Journal

 

 

Stay connected!

 

 

ákos on Google+ follow me on Google+

 

 

ákos VKontakte ákos VKontakte

 

 

ask me anything! Ask difficult questions on InnoCentive

 

 

My Quora blog Ask me anything on Quora

 

 

 

ResearchGate sciencific network Researchgate connect

 

 

More great stuffs

 

 

Are you ELEQT member? Feel free to connect me! ELEQT

 

 

BoaW my BestOfAllWorlds profile

 

 

bardóczi ákos on ASW my ASW profile

 

 

Expatriate Community for Expats worldwide InterNations.org

 

 

Old school contact:
akos@cerp.ch
PGP-fingerprint:
B29C CF16 B1AA 13FC 54E4 A912 D720 4E1C 899A 6E0C





Hirdetés

Amit a Hacktivity 2012-n nem adtam elő

2012.10.22. 13:42 | bardóczi ákos | Szólj hozzá!

Címkék: hacktivity magánélet fail

Az elmúlt pár hétben – jobban mondva pár hónapban – nem voltam valami jó bőrben, ami önmagában senkit sem érdekel különösebben. Ami viszont esetleg valakit érdekelhet, hogy végülis mi miatt nem adtam elő a Hacktivity 2012-n, az pedig, hogy mit nem adtam elő, egy darabig megtalálható a Google feneketlen gyomrában

A dolog magyarázata prózai egyszerűséggel az, hogy a HT 2012 próbaelőadásra félkész prezentációval érkeztem, ha úgy tetszik, felkészületlenül, ráadásul azt is olyan tempóban adtam elő, mint lajhár egy egy reumás csiga agyával, a lényegen nem változtat, én sem engedtem volna „műsorba” önmagam, a programbizottság helyében. Végül vendégként sem tudtam menni, na de erről a poszt végén :(((

Nemrég a Buhera Blog számolt be a Suriya Prakash által alkalmazott módszerről, aminek segítségével gyakorlatilag az összes fent lévő mobilszám lekukázható a Facebookról. Itt gyorsan megjegyzem: az, hogy az összes telefonszám kibányászható egy pofátlanul egyszerű módszerrel, a Facebook-koncepció szerint szemlélve problémának egyáltalán nem probléma, hiszen a Facebookot olyan platformként találtak ki, ahol a középpontban az információ közzététele áll, ami alól nem jelentenek kivételt a mobilszámok sem. Az, hogy a felhasználók egy része a bulváron szocializálódott, ilyen módon fenn tud akadni rajta, hogy a Facebook biztony nem olyan, mint a céges intranet, az ő bajuk.

De ha leírom, hogy én Prakash-módszerét, mint lehetőséget eddig is ismertem, vagy elhiszitek vagy nem, ezért inkább lapozzunk, bemutatok három-négy vérprimitív módszert, ami pompásan felfed olyan infókat a facebookerről, amit alighanem pont azért írt át, hogy azt ne lehessen felfedni. Ráadásul az itt emlegetett tweak-ekhez egyetlen kódsor sem fog kelleni. Hogy korábban más megírta vagy sem? Szarok rá, amit tudok, hogy ezeket én magam vettem észre.

0x100. pszeudo-publikus mobilszámok: a Facebookon van lehetőség hitelesített mobilszámot megadni, sőt, kimondottan érdemes is, hiszen, ha proxyn keresztül [mint „unfamiliar location”] lépsz be, a FB jó eséllyel az accountod azonnal deaktiválja, a vissza-aktiválásnak pedig több módja is ismert, a legegyszerűbb mégis, ha a megerősítő SMS alapján tudod igazolni, hogy tényleg Te vagy az. Ezen kívül nekem például az életrajzi oldalamon lévő mobilszámom minden további nélkül kint lehet publicba, az más kérdés, hogy természetesen nem tud rajta mindenki hívni. Ami viszont már kínos lehet, hogy azoknál a felhasználóknál, ahol a public search nincs tiltva, kereshető valaki olyan szám alapján is, amit Only me beállítással adott meg, azaz senki előtt nem látszik /*visiblity*/, ennek ellenére mégis a mobilszám alapján megnézhető, hogy az melyik felhasználóhoz tartozik /*searchability*/. Kéretik csak begépelni az egyik nem-publikus <!--nyugi, eldobható--> mobilszámomat a jelszóemlékeztetőbe:

http://www.facebook.com/recover/initiate

36708755050

Ugyan bőven elegendő lenne, ha a Facebook csak annyit jelezne, hogy a mobilszámhoz tartozik account, a Facebook ennek ellenére mégis felfedi, hogy az pontosan melyik accounthoz is tartozik, ami nem tudom, hogy a szabályos működés (LULZ!) kereteibe belefér-e, de örüljünk neki, hogy nem sorolja fel az összes mobilszámot és email-címet kitakarás nélkül, mint pár hónappal ezelőtt az általam tesztelt esetek háromnegyed részében.

0x200. árva email címek – valamilyen okból eltávolítottad a Facebookon egy már nem használt, fölöslegessé vált, esetleg kompromittálódott email címed? A jelszóemlékeztetőt az sem hatja meg, ha ez hónapokkal korábban történt, nem csak felajánlja, hogy elküldi az élő címek valamelyikére a jelszót, az eltávolított email cím alapján megmutatja a profil tulajdonosát. Csekdisszáut:

bardoczi@dote.hu

ugyanúgy a jelszóemlékeztetőbe. [lámáknak – ha nem éred el az előző jelsóemlékeztető formot azonnal, próbáld másik böngészőben]

0x300. Terrorista Pista az ismerőseid közt. Emlékeztetőként: ha valaki az ismerőseid közé kerül, kínosan több jogosultsággal fog rendelkezni azokhoz a felhasználókhoz képest, akik nincsenek az ismerőseid közt vagy csak feliratkoztak. Azaz egy ismerősöd by default írhat a faladra, kommentelheti a posztjaid, amivel legrosszabb esetben alaposan kiderkorálhatja egy minden hájjal megkent troll a falad egy éjszaka alatt, ha letiltod, azzal el is távolítottad a nem kívánatos „dekorációt” függetlenül attól, hogy hány gyilokpornós tartalmat gányolt oda storyként vagy kommentként. Egy más típusú kockázattal viszont nem számolnak a felhasználók – és alighanem a Faszbúk sem – nem csak elvi lehetőség, hanem saját szememmel láttam, mint valaki létrehozott egy felhasználót olyan névvel, amibe egy ízes-zaftos gyűlölködés volt belefoglalva, majd autolikerrel akár több száz helyen belájkolta dr. Szemérmetes Béla szülész-nőgyógyász tartalmait „Szemérmetes Béla 100 Rugót Kért Előre” néven. Ebben az esetben Szemérmetes Béla hiába tiltja le Troll Tónit, ezzel annyit ér el, hogy őmaga nem fogja látni Troll Tóni lájkjait, viszont mindenki más igen, aki Szemérmetes Béla nőgyógyász ismerőse, ilyen módon látják a lájkolt tartalmakat a képzeletbeli szülészbácsira nem túl jó fényt vető, cimkeszerű „Szemérmetes Béla 100 Rugót Kért Előre” lájkokkal.

A kilométres bevezető után írom a kockázat mibenlétét – a Facebook a regisztrációkor és később is felajánlja, hogy például emailes címjegyzék alapján meghívást küld mindenkinek, ha pedig az illető már regisztrált, figyelmeztetés nélkül felveszi az ismerősök közé. Hasonló módon, ha Troll Tóni regisztrál egy accountot azzal a meghívó tokennel, amit ezer évvel ezelőtt küldött neki emailen a főnöke, aki azóta kirúgta és még a nejével is kavar, Troll Tóni csúnyán kicicomázhatja a főnök Facebook falát, az exfőnök észre sem fog venni belőle semmit, ha Troll Tóni ezt követően letiltja az áldozatot a manőver után. /az áldozat ismerősei, így például Troll Tóniné viszont igen, hülye beállítás mellett pedig az ismerősök ismerősei is/. A nem kívánt lájk eltakarításának egyetlen módja, ha a lájkoló felhasználót takarítjuk le vagy deaktiváljuk, ami nehéznek nem nehéz, annyira nem is triviális, hiszen nem a saját accountunkról van szó, ha valakiéről, akinek a kiléte esetleg nem is ismert.

Sutty, most pedig mindenki ugorjon el a

http://www.facebook.com/invite_history.php

URL-re, majd kíméletlenül takarítsátok le az összes felhasználatlan meghívót. 

//korábban ez sem jelentett megoldást, mert a meghívók érvényesek maradtak!

0x400. árva nicknevek – talán az árva email címektől is kínosabb lehet, belépni szintén nem kell hozzá: csak elgépelni az adott account jelszavát. Mint ismert, mivel a nickév átírható, így az gyakorlatilag nem egyszer, hanem kétszer adható meg. Ha valaki átírja, minden bizonnyal nem véletlenül teszi, arra viszont nem gondol, hogy ismét bizonyos esetekben a jelszóemlékeztető nem csak a nevét és az aktuális nicknevét, hanem a korábbi nicknevét szintén kiköpi, amiről kaptok is egy parádés ábrát az arcotokba:

orphan_nickname.jpg


Persze social webes trükkökből kifogyhatatlan az ember fia, ennél többel pedig most nem is traktálnék senkit.

A közösségi webes szolgáltatások esetében ezeknek az anomáliáknak az ismerete persze szigorúan csak eszköz, semmiképp sem cél, viszont igencsak hathatós eszköz, ha egy account valós tulajdonosának azonosítása valami miatt fontossá válik. Sok más eszköz, így például a nyelvészet és Bayes-csűrés-csavarás mellett. Előadás, na az nem volt, viszont személyazonosság-meghatározás témában egy  saját repó viszont alighanem lesz előbb vagy utóbb.

/*Mivel nem vagyok schobertnorbi, ezért nem kürtölöm szanaszét a kórságomat, annyit azért írok, hogy én is a szivem miatt fetrengtem egy picit, hol bent, hol meg otthon, közben a családban meg másnak azonnal sebészkés alá kellett volna feküdnie, amit kicsit körülményes kilobbizni, ha az érintett fél a fehér köpenytől, mint ördög a tömjéntől, ez van. */

UPDATE (18:03 2012. 11. 15.): a mobilszámos tweak esetleg már nem működik, mivel a napokban elévült a SIM idő közben és kivettem a FB-hoz kapcsolt mobilszámaim közül