Hacktivity - második nap

Reggel, kávé, szendvics, kóla, internet.

Andrei kezd, arról beszél, hogy egy öt éven keresztül futó, telefonfüggetlenítésre használható kalkulátorokat kínáló oldallal mennyi személyes adatot lehet(ne) összegyűjteni. Úgy kezdődik, hogy minden információ, amit a böngésző hajlandó elárulni (IP, OS, böngésző típus, verzió és a többi), aztán az IMEI szám, mobil típusa, szolgáltató. Az információkat szupport emailt üzemeltetve, a témával foglalkozó fórumokat megfigyelve tovább lehet pontosítani. További eszközökkel - mesterkód generátor - a telefonok egyéb jellegű mozgása is követhető.

A végeredmény 12,7 millió rekord, amiből 9,5 millió egyedi rekord. Ebből lehetett volna adatbázist építeni, eladni a mobilszolgáltatóknak, akik szürkelistát építenek belőle. Akik esetleg a DB árát úgy dolgozzák le, hogy eladják más szolgáltatóknak, bankoknak. Aki magának “szervizelte” a saját néven levő telefonját, az most gondolkodjon el azon, hogy mennyi adatot adott cserébe a kódért.

Kóla, kóla, gyorskaja kólával.

A PET Portálos Szili Dávid előadására valahol az első harmad környékén estem be, előtte hiábavaló kísérletet tettem arra, hogy megértsem egy Cisco rendszermérnök előadását a BGP protokoll sebezhetőségéről. (Akit érdekel a téma, annak Buherátor összeszedte a vonatkozó dokumentumokat.)

Amit elkaptam az viszont pont az eszközökről szóló rész volt. Here’s to the crazy ones:

  • Anonymouse
  • Tor - onion routing, egymásra rakódó rétegekkel, több proxyn keresztül.
  • I2P - garlic routing, több onion összefogva.
  • JAP / JonDonym - aminek van fizetős prémium verziója is.
  • Mixminion - Type III remailer

A remek szoftvereknek egy komolyabb hátránya van, kényelmetlenül lelassítják a böngészést. Illetve a levelezést is, de ott egyszerűbb túlélni tíz óra késést. Nyitott kérdés, hogy az emberek tesznek le hamarabb arról, hogy anonim böngésszenek - most is a töredéket érdekli - vagy az eszközök gyorsulnak fel. De legalább a Firefox integrációval már elég jól állnak, többnek van egyszerű és kényelmes pluginje, még ha a TorButton folyamatosan tökéletesítőt keres is.

Mellékszál, de a kötőjeles .eu TLD alatt levő PET portál az év legkínosabban félreüthető címe, a kötőjeltelen .hu-s oldalon kisállattartóknak létrehozott közösségi oldal van. Szemeztem vagy két percet a login mező felett figyelő leguánnal, míg rájöttem, hogy nem jó helyen járok.

Még ebéd előtt volt remek wifi sebezhetőség vizsgálat. Nem a routert, nem a használt titkosítást támadták, hanem a wifikártyák driverét. A módszer előnye, hogy a tűzfal, titkosítások és hitelesítések előtt található, ráadásul local system jog szerezhető vele. Hátránya lehetne, hogy nagyon kell tudni hozzá programozni, de valójában kerül hozzá exploit. A mit lehet ellene csinálni kérdésre annyi választ kaptam: frissíteni a drivereket. A múltkori ‘bár van újabb, de a HP nem írta alá, ezért nem rakhatod fel’ videódriver kalandom után ez nem annyira nyugtatott meg.

Erre tovább: