Reggel, kávé, szendvics, kóla, internet.
Andrei kezd, arról beszél, hogy egy öt éven keresztül futó, telefonfüggetlenítésre használható kalkulátorokat kínáló oldallal mennyi személyes adatot lehet(ne) összegyűjteni. Úgy kezdődik, hogy minden információ, amit a böngésző hajlandó elárulni (IP, OS, böngésző típus, verzió és a többi), aztán az IMEI szám, mobil típusa, szolgáltató. Az információkat szupport emailt üzemeltetve, a témával foglalkozó fórumokat megfigyelve tovább lehet pontosítani. További eszközökkel - mesterkód generátor - a telefonok egyéb jellegű mozgása is követhető.
A végeredmény 12,7 millió rekord, amiből 9,5 millió egyedi rekord. Ebből lehetett volna adatbázist építeni, eladni a mobilszolgáltatóknak, akik szürkelistát építenek belőle. Akik esetleg a DB árát úgy dolgozzák le, hogy eladják más szolgáltatóknak, bankoknak. Aki magának “szervizelte” a saját néven levő telefonját, az most gondolkodjon el azon, hogy mennyi adatot adott cserébe a kódért.
Kóla, kóla, gyorskaja kólával.
A PET Portálos Szili Dávid előadására valahol az első harmad környékén estem be, előtte hiábavaló kísérletet tettem arra, hogy megértsem egy Cisco rendszermérnök előadását a BGP protokoll sebezhetőségéről. (Akit érdekel a téma, annak Buherátor összeszedte a vonatkozó dokumentumokat.)
Amit elkaptam az viszont pont az eszközökről szóló rész volt. Here’s to the crazy ones:
- Anonymouse
- Tor - onion routing, egymásra rakódó rétegekkel, több proxyn keresztül.
- I2P - garlic routing, több onion összefogva.
- JAP / JonDonym - aminek van fizetős prémium verziója is.
- Mixminion - Type III remailer
A remek szoftvereknek egy komolyabb hátránya van, kényelmetlenül lelassítják a böngészést. Illetve a levelezést is, de ott egyszerűbb túlélni tíz óra késést. Nyitott kérdés, hogy az emberek tesznek le hamarabb arról, hogy anonim böngésszenek - most is a töredéket érdekli - vagy az eszközök gyorsulnak fel. De legalább a Firefox integrációval már elég jól állnak, többnek van egyszerű és kényelmes pluginje, még ha a TorButton folyamatosan tökéletesítőt keres is.
Mellékszál, de a kötőjeles .eu TLD alatt levő PET portál az év legkínosabban félreüthető címe, a kötőjeltelen .hu-s oldalon kisállattartóknak létrehozott közösségi oldal van. Szemeztem vagy két percet a login mező felett figyelő leguánnal, míg rájöttem, hogy nem jó helyen járok.
Még ebéd előtt volt remek wifi sebezhetőség vizsgálat. Nem a routert, nem a használt titkosítást támadták, hanem a wifikártyák driverét. A módszer előnye, hogy a tűzfal, titkosítások és hitelesítések előtt található, ráadásul local system jog szerezhető vele. Hátránya lehetne, hogy nagyon kell tudni hozzá programozni, de valójában kerül hozzá exploit. A mit lehet ellene csinálni kérdésre annyi választ kaptam: frissíteni a drivereket. A múltkori ‘bár van újabb, de a HP nem írta alá, ezért nem rakhatod fel’ videódriver kalandom után ez nem annyira nyugtatott meg.
Erre tovább:
- Az első nap összefoglalója az Antivírus Blogon.