bardóczi Tumblarity
I'm, the bookworm
ákos*Blogspotting
bardóczi on Wordpress
My Quora blog
ákos Journal
my BestOfAllWorlds profile
Az elmúlt pár hétben – jobban mondva pár hónapban – nem voltam valami jó bőrben, ami önmagában senkit sem érdekel különösebben. Ami viszont esetleg valakit érdekelhet, hogy végülis mi miatt nem adtam elő a Hacktivity 2012-n, az pedig, hogy mit nem adtam elő, egy darabig megtalálható a Google feneketlen gyomrában.
A dolog magyarázata prózai egyszerűséggel az, hogy a HT 2012 próbaelőadásra félkész prezentációval érkeztem, ha úgy tetszik, felkészületlenül, ráadásul azt is olyan tempóban adtam elő, mint lajhár egy egy reumás csiga agyával, a lényegen nem változtat, én sem engedtem volna „műsorba” önmagam, a programbizottság helyében. Végül vendégként sem tudtam menni, na de erről a poszt végén :(((
Nemrég a Buhera Blog számolt be a Suriya Prakash által alkalmazott módszerről, aminek segítségével gyakorlatilag az összes fent lévő mobilszám lekukázható a Facebookról. Itt gyorsan megjegyzem: az, hogy az összes telefonszám kibányászható egy pofátlanul egyszerű módszerrel, a Facebook-koncepció szerint szemlélve problémának egyáltalán nem probléma, hiszen a Facebookot olyan platformként találtak ki, ahol a középpontban az információ közzététele áll, ami alól nem jelentenek kivételt a mobilszámok sem. Az, hogy a felhasználók egy része a bulváron szocializálódott, ilyen módon fenn tud akadni rajta, hogy a Facebook biztony nem olyan, mint a céges intranet, az ő bajuk.
De ha leírom, hogy én Prakash-módszerét, mint lehetőséget eddig is ismertem, vagy elhiszitek vagy nem, ezért inkább lapozzunk, bemutatok három-négy vérprimitív módszert, ami pompásan felfed olyan infókat a facebookerről, amit alighanem pont azért írt át, hogy azt ne lehessen felfedni. Ráadásul az itt emlegetett tweak-ekhez egyetlen kódsor sem fog kelleni. Hogy korábban más megírta vagy sem? Szarok rá, amit tudok, hogy ezeket én magam vettem észre.
0x100. pszeudo-publikus mobilszámok: a Facebookon van lehetőség hitelesített mobilszámot megadni, sőt, kimondottan érdemes is, hiszen, ha proxyn keresztül [mint „unfamiliar location”] lépsz be, a FB jó eséllyel az accountod azonnal deaktiválja, a vissza-aktiválásnak pedig több módja is ismert, a legegyszerűbb mégis, ha a megerősítő SMS alapján tudod igazolni, hogy tényleg Te vagy az. Ezen kívül nekem például az életrajzi oldalamon lévő mobilszámom minden további nélkül kint lehet publicba, az más kérdés, hogy természetesen nem tud rajta mindenki hívni. Ami viszont már kínos lehet, hogy azoknál a felhasználóknál, ahol a public search nincs tiltva, kereshető valaki olyan szám alapján is, amit Only me beállítással adott meg, azaz senki előtt nem látszik /*visiblity*/, ennek ellenére mégis a mobilszám alapján megnézhető, hogy az melyik felhasználóhoz tartozik /*searchability*/. Kéretik csak begépelni az egyik nem-publikus <!--nyugi, eldobható--> mobilszámomat a jelszóemlékeztetőbe:
http://www.facebook.com/recover/initiate
36708755050
Ugyan bőven elegendő lenne, ha a Facebook csak annyit jelezne, hogy a mobilszámhoz tartozik account, a Facebook ennek ellenére mégis felfedi, hogy az pontosan melyik accounthoz is tartozik, ami nem tudom, hogy a szabályos működés (LULZ!) kereteibe belefér-e, de örüljünk neki, hogy nem sorolja fel az összes mobilszámot és email-címet kitakarás nélkül, mint pár hónappal ezelőtt az általam tesztelt esetek háromnegyed részében.
0x200. árva email címek – valamilyen okból eltávolítottad a Facebookon egy már nem használt, fölöslegessé vált, esetleg kompromittálódott email címed? A jelszóemlékeztetőt az sem hatja meg, ha ez hónapokkal korábban történt, nem csak felajánlja, hogy elküldi az élő címek valamelyikére a jelszót, az eltávolított email cím alapján megmutatja a profil tulajdonosát. Csekdisszáut:
bardoczi@dote.hu
ugyanúgy a jelszóemlékeztetőbe. [lámáknak – ha nem éred el az előző jelsóemlékeztető formot azonnal, próbáld másik böngészőben]
0x300. Terrorista Pista az ismerőseid közt. Emlékeztetőként: ha valaki az ismerőseid közé kerül, kínosan több jogosultsággal fog rendelkezni azokhoz a felhasználókhoz képest, akik nincsenek az ismerőseid közt vagy csak feliratkoztak. Azaz egy ismerősöd by default írhat a faladra, kommentelheti a posztjaid, amivel legrosszabb esetben alaposan kiderkorálhatja egy minden hájjal megkent troll a falad egy éjszaka alatt, ha letiltod, azzal el is távolítottad a nem kívánatos „dekorációt” függetlenül attól, hogy hány gyilokpornós tartalmat gányolt oda storyként vagy kommentként. Egy más típusú kockázattal viszont nem számolnak a felhasználók – és alighanem a Faszbúk sem – nem csak elvi lehetőség, hanem saját szememmel láttam, mint valaki létrehozott egy felhasználót olyan névvel, amibe egy ízes-zaftos gyűlölködés volt belefoglalva, majd autolikerrel akár több száz helyen belájkolta dr. Szemérmetes Béla szülész-nőgyógyász tartalmait „Szemérmetes Béla 100 Rugót Kért Előre” néven. Ebben az esetben Szemérmetes Béla hiába tiltja le Troll Tónit, ezzel annyit ér el, hogy őmaga nem fogja látni Troll Tóni lájkjait, viszont mindenki más igen, aki Szemérmetes Béla nőgyógyász ismerőse, ilyen módon látják a lájkolt tartalmakat a képzeletbeli szülészbácsira nem túl jó fényt vető, cimkeszerű „Szemérmetes Béla 100 Rugót Kért Előre” lájkokkal.
A kilométres bevezető után írom a kockázat mibenlétét – a Facebook a regisztrációkor és később is felajánlja, hogy például emailes címjegyzék alapján meghívást küld mindenkinek, ha pedig az illető már regisztrált, figyelmeztetés nélkül felveszi az ismerősök közé. Hasonló módon, ha Troll Tóni regisztrál egy accountot azzal a meghívó tokennel, amit ezer évvel ezelőtt küldött neki emailen a főnöke, aki azóta kirúgta és még a nejével is kavar, Troll Tóni csúnyán kicicomázhatja a főnök Facebook falát, az exfőnök észre sem fog venni belőle semmit, ha Troll Tóni ezt követően letiltja az áldozatot a manőver után. /az áldozat ismerősei, így például Troll Tóniné viszont igen, hülye beállítás mellett pedig az ismerősök ismerősei is/. A nem kívánt lájk eltakarításának egyetlen módja, ha a lájkoló felhasználót takarítjuk le vagy deaktiváljuk, ami nehéznek nem nehéz, annyira nem is triviális, hiszen nem a saját accountunkról van szó, ha valakiéről, akinek a kiléte esetleg nem is ismert.
Sutty, most pedig mindenki ugorjon el a
http://www.facebook.com/invite_history.php
URL-re, majd kíméletlenül takarítsátok le az összes felhasználatlan meghívót.
//korábban ez sem jelentett megoldást, mert a meghívók érvényesek maradtak!
0x400. árva nicknevek – talán az árva email címektől is kínosabb lehet, belépni szintén nem kell hozzá: csak elgépelni az adott account jelszavát. Mint ismert, mivel a nickév átírható, így az gyakorlatilag nem egyszer, hanem kétszer adható meg. Ha valaki átírja, minden bizonnyal nem véletlenül teszi, arra viszont nem gondol, hogy ismét bizonyos esetekben a jelszóemlékeztető nem csak a nevét és az aktuális nicknevét, hanem a korábbi nicknevét szintén kiköpi, amiről kaptok is egy parádés ábrát az arcotokba:
Persze social webes trükkökből kifogyhatatlan az ember fia, ennél többel pedig most nem is traktálnék senkit.
A közösségi webes szolgáltatások esetében ezeknek az anomáliáknak az ismerete persze szigorúan csak eszköz, semmiképp sem cél, viszont igencsak hathatós eszköz, ha egy account valós tulajdonosának azonosítása valami miatt fontossá válik. Sok más eszköz, így például a nyelvészet és Bayes-csűrés-csavarás mellett. Előadás, na az nem volt, viszont személyazonosság-meghatározás témában egy saját repó viszont alighanem lesz előbb vagy utóbb.
/*Mivel nem vagyok schobertnorbi, ezért nem kürtölöm szanaszét a kórságomat, annyit azért írok, hogy én is a szivem miatt fetrengtem egy picit, hol bent, hol meg otthon, közben a családban meg másnak azonnal sebészkés alá kellett volna feküdnie, amit kicsit körülményes kilobbizni, ha az érintett fél a fehér köpenytől, mint ördög a tömjéntől, ez van. */
UPDATE (18:03 2012. 11. 15.): a mobilszámos tweak esetleg már nem működik, mivel a napokban elévült a SIM idő közben és kivettem a FB-hoz kapcsolt mobilszámaim közül
