ismét itt

Néhány év kihagyás után ismét a bloghu-n is! Lesz itt kérem hír, nanogrammban mért vélemény, okosságok, minden, mint a búcsúban! Tessék, csak tessék!

See also...

About

 

bardóczi ákos CV site

 

 

daily tweets from bardóczi Follow me @bardoczi

 

 

LinkedIN - ákos bardóczi LinkedIN

 

 

My stuff on the web

 

 

bardoczi.blog.hu bardóczi in da bloghu

 

 

bardóczi ákos postr áko.s @Post.r

 

 

blog.bardoczi.net bardóczi Tumblarity

 

 

science.bardoczi.net I'm, the bookworm

 

 

ákos*Blog*Spotting ákos*Blogspotting

 

 

bardóczi on Wordpress bardóczi on Wordpress

 

 

My Quora blog My Quora blog

 

 

LiveJournal brainstroms from me ákos Journal

 

 

Stay connected!

 

 

ákos on Google+ follow me on Google+

 

 

ákos VKontakte ákos VKontakte

 

 

ask me anything! Ask difficult questions on InnoCentive

 

 

My Quora blog Ask me anything on Quora

 

 

 

ResearchGate sciencific network Researchgate connect

 

 

More great stuffs

 

 

Are you ELEQT member? Feel free to connect me! ELEQT

 

 

BoaW my BestOfAllWorlds profile

 

 

bardóczi ákos on ASW my ASW profile

 

 

Expatriate Community for Expats worldwide InterNations.org

 

 

Old school contact:
akos@cerp.ch
PGP-fingerprint:
B29C CF16 B1AA 13FC 54E4 A912 D720 4E1C 899A 6E0C





Hirdetés


Titkosítás gyengítése, mint biztonsági érdek?

2016.02.10. 15:18 | bardóczi ákos | Szólj hozzá!

Címkék: adatvédelem gondolatébresztő terrorizmus magánszféra titkosítás bűnüldözés ITsec

Nemrég adta hírül a BBC, hogy az FBI máig nem tud hozzáférni a tavalyi San Bernardinoban történt terrorcselekmény egyik elkövetőjének mobilján tárolt adatokhoz, ennek kapcsán pedig érdemes újragondolni, hogy valóban jó-e, ha a lakosság számára olyan erősségű titkosítási eljárások érhetők el, amik nehezíthetik a bűnüldözés munkáját. Az erős titkosítást alkalmazó cégek azzal védekeznek, hogy nem gyengíthetnek a titkosításon, mivel ezzel azoknak a dolgát is megkönnyítenék, akik illetéktelenül akarnak hozzáférni más titkosított adataihoz.

titkositas-maganszfera-1.jpg
Nem tudom, hogy ez mennyire vita, viszont, hogy a hozzáértők körében már rég nem kérdés, az biztos. Az ilyen "vitákban" az a közös, hogy érdemben úgyis csak az tudna hozzászólni, aki tisztában van a magántitokhoz fűződő jogok és a bűnüldözés természetével, ehhez képest hozzászól boldog-boldogtalan, holott sokszor - mint például ebben a konkrét esetben - eléggé egyértemű a helyzet.

Azt nem tudni ugyan, hogy mennyi ember mászkálhat az utcán, aki például az ISIS kedvéért szivesen robbantgatna, ha arról van szó, amiben viszont biztosak lehetünk, hogy nagyságrendekkel kevesebb, mint olyan ember, aki semmilyen törvényt nem sért meg és joggal várja el, hogy az adatait biztonságosan, adatlopástól védve tárolhassa, aminek legkézenfekvőbb módja a titkosítás. A jogi berendezkedésnek pedig a közjót kell szolgália, a közjónak márpedig a többséget kell támogatnia. Prózaiabban fogalmazva: eléggé nagy hiba lenne úgy törvényteket hozni, hogy az szembemenjen gyakorlatilag mindenkinek az elemi érdekeivel azért, hogy egy-egy igen súlyos, tízezerelékes vagy kisebb valószínűséggel bekövetkező bűncselekmény utólag vizsgálható legyen.

Ha eljátszunk azzal a hajmeresztő gondolattal, hogy törvénybe foglalva korlátozzák a titkosítási technológiák maximális erősségét, mindenkinek az adatai veszélynek lennének kitéve, több-kevesebb hozzáértéssel bárki belenézhetne más adataiba, amivel akár elképzelhetetlen káosz is keletkezhetne egy olyan világban, ahol egyre nagyobb mennyiségű személyes információ koncentrálódik a neten és különböző kütyükön. Hogy az üzleti szektor szereplőinek üzleti titok megtartásához való jogával ne is bonyolítsam a képet. Még ha a titkosítás nem is lenne kimondottan gyenge, csak jóval gyengébb, mint amilyen elvárható, akinek eléggé fontos lenne megszereznie egy haragosa vagy ellenérdekelt üzletfele titkosított adatait, csak kibérelne egy szuperszámítógépet, esetleg teljes szuperszámítógép gridet, felkérne egy szakit és a megfelelő összeg kifizetése után már másnap reggelre hozzáférhetne más bizalmas adataihoz. [A cloud computing korában ugyanis akár egy éjszakára is kibérelhető egy vagy akár egy teljes ún. fürtnyi szuperszámítógép, a bérbeadók pedig természetesen nem néznék, hogy a bérlő miért is bérelte ki.]

titkositas-maganszfera-2.jpgHasonlóan ahhoz, hogy a halálbüntetés visszaállítása rendszerint akkor vetődik fel, miután történik egy olyan erőszakos bűncselekmény, amin teljesen érhető módon felháborodik a lakosság, itt is arról van szó, hogy ami elsőre ésszerű ötletnek tűnik, valóságban hajmeresztő badarság lenne. A halálbüntetéssel kapcsolatban ismert, hogy ilyen-olyan eljárásjogi hibák miatt nem egyszer ítéltek már halálra valakit, azaz a kockázat ugyan kisebb, de a következmény az érintettre nézve elfogadhatatlan. Ha arról van szó, hogy alkalmazható lenne-e gyengébb titkosítás, amin a bűnüldöző szervek, de ugyanígy a többé-kevésbé ügyes vagy pénzes alakok számára is hozzáférhető lenne, ami titkosított, a magántitok illetéktelen számára való elérésének kockázata relatív kisebbnek tűnik viszont akár tömegesen is bekövetkezhetne, ami kétségtelenül elfogadhatatlan. Azaz egy ilyen korlátozás aránytalan áldozat lenne azért, hogy egy-egy bűncselemény utólag könnyebben vizsgálható legyen vagy a bűnüldözés proaktív-preventív, valamilyen szintű tömeges megfigyelésen alapuló módszerei egyszerűbbé válljanak. Ráadásul semmilyen garancia nincs rá, hogy ezeket az adatokat a bűnüldöző szervek használnák a leghatékonyabban, nem pedig paramilitáris szervezetek például.

Természetesen minden olyan eset, amikor ártatlan emberek halnak meg, végtelenül szomomrú. Ugyanakkor az értelmes törvényhozó, szakértő, amelyik képes tömegben gondolkozni, tisztában van azzal, hogy a jogi- és technológiai környezet, ami ezt lehetővé teszi, mégiscsak így tudja szolgálni hatékonyabban a közjót, a közbiztonságot. Alighanem sosem fogjuk megélni, hogy ezt minden újságolvasó ember megértse és el is fogadja.

Kép forrása: BBC, ieet.org

Szervergyilkosság egyetlen Facebook bejegyzéssel

2014.05.02. 19:22 | bardóczi ákos | Szólj hozzá!

Címkék: facebook ddos ITsec

03-Facebook-Hack.jpgIsmert jelenség, amikor a Facebookon valakinek egy képet vagy videót tartalmazó tartalomra mutató linket küldünk, a Facebook elkészíti néhány másodperc alatt annak az előnézeti képét, amihez persze a linkelt helyről tölti le a képet, majd elhelyezi az egyik Facebook-szerver gyomrában, így ha legközelebb is megnézi valaki az általunk linkelt tartalmat, annak snippetjéhez már nem kell a forrás szerverről újratöltenie a képet a Facebooknak, ehelyett illedelmesen előveszi a saját példányát. Bizonyos esetekben viszont nem. Nemrég chr13 blogján jelent meg egy máig működő módszer, amiben azt demonstrálja, hogy a gyorsítótárazási technika hagy némi kivetnivalót maga után. Ugyanis ha egy Facebook note-ban egy külső helyre mutató képet hivatkozunk, csak egyszer történik letöltés, viszont abban az esetben, ha a képhez tartozik egy (dinamikus) GET paraméter is, a Facebook minden esetben megpróbálja újratölteni a teljes képet, azaz például ha a kép így lett beágyazva:

<img src=http://aldozatszerver.tld/file?r=1></img>

Fontos megjegyezni, hogy több kép is lehet egyetlen Facebook jegyzetben, ilyenkor mindegyiket megpróbálja a Facebook újratölteni. Nos, ha úgy számolunk, hogy egy Facebook jegyzetet nagyon sokan megnyithatnak, főleg, ha annak a linkje szét van szórva szerte Internetországban, a nagyságrendekkel megnövekedett letöltés még egy közepes méretű kép esetén is eszelős megterhelést ró a szerverre [GET flood], gyakorlatilag bekövetkezik egy elosztott túrterheléses támadás, ami után az áldozat webszerver nem tudja kiszolgálni a kéréseket, persze nem csak a hivatkozott fájlra vonatkozóan, hanem a teljes webszerver megfekszik. A chr13 blogjában leírt egyik tesztesetben 2-3 óra alatt több, mint 400 Mbps-mal nőtt a megcélzott szerver által felhasznált sávszélesség.

Ha nem akarunk pluszban DDoS -védelemre költeni, lényegében csak néhány, meglehetősen tahó módszerrel lehet próbálkozni az ilyen támadások kivédésére, mint amilyen a hotlinking tiltása, az összes látogató szögre akasztása még a bejáratnál, aki user-agentként facebookexternalhit -ként azonosítja önmagát a webszerver felé, esetleg egy Cloudflare webhely elé cibálása.