Hacktivity - második nap

Reggel, kávé, szendvics, kóla, internet.

Andrei kezd, arról beszél, hogy egy öt éven keresztül futó, telefonfüggetlenítésre használható kalkulátorokat kínáló oldallal mennyi személyes adatot lehet(ne) összegyűjteni. Úgy kezdődik, hogy minden információ, amit a böngésző hajlandó elárulni (IP, OS, böngésző típus, verzió és a többi), aztán az IMEI szám, mobil típusa, szolgáltató. Az információkat szupport emailt üzemeltetve, a témával foglalkozó fórumokat megfigyelve tovább lehet pontosítani. További eszközökkel - mesterkód generátor - a telefonok egyéb jellegű mozgása is követhető.

A végeredmény 12,7 millió rekord, amiből 9,5 millió egyedi rekord. Ebből lehetett volna adatbázist építeni, eladni a mobilszolgáltatóknak, akik szürkelistát építenek belőle. Akik esetleg a DB árát úgy dolgozzák le, hogy eladják más szolgáltatóknak, bankoknak. Aki magának “szervizelte” a saját néven levő telefonját, az most gondolkodjon el azon, hogy mennyi adatot adott cserébe a kódért.

Kóla, kóla, gyorskaja kólával.

A PET Portálos Szili Dávid előadására valahol az első harmad környékén estem be, előtte hiábavaló kísérletet tettem arra, hogy megértsem egy Cisco rendszermérnök előadását a BGP protokoll sebezhetőségéről. (Akit érdekel a téma, annak Buherátor összeszedte a vonatkozó dokumentumokat.)

Amit elkaptam az viszont pont az eszközökről szóló rész volt. Here’s to the crazy ones:

  • Anonymouse
  • Tor - onion routing, egymásra rakódó rétegekkel, több proxyn keresztül.
  • I2P - garlic routing, több onion összefogva.
  • JAP / JonDonym - aminek van fizetős prémium verziója is.
  • Mixminion - Type III remailer

A remek szoftvereknek egy komolyabb hátránya van, kényelmetlenül lelassítják a böngészést. Illetve a levelezést is, de ott egyszerűbb túlélni tíz óra késést. Nyitott kérdés, hogy az emberek tesznek le hamarabb arról, hogy anonim böngésszenek - most is a töredéket érdekli - vagy az eszközök gyorsulnak fel. De legalább a Firefox integrációval már elég jól állnak, többnek van egyszerű és kényelmes pluginje, még ha a TorButton folyamatosan tökéletesítőt keres is.

Mellékszál, de a kötőjeles .eu TLD alatt levő PET portál az év legkínosabban félreüthető címe, a kötőjeltelen .hu-s oldalon kisállattartóknak létrehozott közösségi oldal van. Szemeztem vagy két percet a login mező felett figyelő leguánnal, míg rájöttem, hogy nem jó helyen járok.

Még ebéd előtt volt remek wifi sebezhetőség vizsgálat. Nem a routert, nem a használt titkosítást támadták, hanem a wifikártyák driverét. A módszer előnye, hogy a tűzfal, titkosítások és hitelesítések előtt található, ráadásul local system jog szerezhető vele. Hátránya lehetne, hogy nagyon kell tudni hozzá programozni, de valójában kerül hozzá exploit. A mit lehet ellene csinálni kérdésre annyi választ kaptam: frissíteni a drivereket. A múltkori ‘bár van újabb, de a HP nem írta alá, ezért nem rakhatod fel’ videódriver kalandom után ez nem annyira nyugtatott meg.

Erre tovább:

#1982

Tartsunk egy perc néma csendet. A Hackaday adta hírül, hogy Mark Hoekstra, a Geektechnique írója, a legszórakoztatóbb és legkreatívabb hardverhacker, akit a Föld a hátán hordott meghalt. Mark igazi őszinte szép szerelemmel tudott régi vasakról írni, de nem félt nekiesni akár a legújabb kütyüknek sem. Egyik volt az ‘emberek, akikkel mindenképpen le kell ülni egyszer sörözni’ listámon, most már ez biztosan elmarad.

Aki nem ismerte volna most nézze végig a projektjeit.

Hacktivity 2008

Cyberpunk momentummal indul a nap - gondolta Stirlitz, miközben esik rá az eső és dobozos koffeint iszik sportszelettel. Akkor még nem tudja, hogy egy órát fog állni a hidegbe míg be fog jutni a konferenciára.

A sorbaállás miatt csak a felére értem be Sík Zoltán Nándor információs hadviselés előadására, de még így is sikerült elkapni a nap kifejezését: “Gibson-warfare”. A szép szókapcsolat a negyedik generációs hadviselést rejti, amikor már nem látják egymást a harcolók, nincsenek frontvonalak, nem is államok vívják, hanem érdekszövetségek, és valójában nem is a csaták megnyerése a cél, hanem a közvéleményé. A wikipédia szócikk erre van a témáról, még csak beleolvasni volt időm, a kávé fontosabb.

*

Egy kormányszóvivő.hu-nyi pénzből kell kriptó törő berendezést venni, mit célszerű? Az előadó számai szerint a 200 millióból megvehető P4-es gépeknél nagyjából kilencvenszer gyorsabban tör hasht egy FPGA-kból épített ügyes kluszter. Az FPGA támogatás ráadásul benne van a BackTrack 3-ban, használható WEP, WPA és még sok minden más törésre is. Ja, és FPGA-ból van remek PCMCIA-s megoldás is. Olvasnivaló az NSA@home oldal, ‘dolgok amikhez kicsi vagyok’ jeligére.

*

Nem lett halottja a merre tovább magyar hackerek vitának. Annak ellenére sem, hogy az asztalnál három nem hacker és Buherátor ült. Annak ellenére sem, hogy a klasszikus ESR-féle “hacker az, akit mások annak tartanak” meghatározástól a Krasznay-féle “hacker az, akit a média annak tart” meghatározásig ezer különböző dolgot értettünk a szó alatt. (Külön vicces, hogy a nézőtéren ülő hackerek és érdeklődők túl szűknek érezték az általunk használt hackerfogalmat.)

Továbbra sem tudjuk, hogy hány magyar hacker van (5-40 között valamennyi) és hogy van-e közösség (van-nincs). Az viszont már biztos, hogy hacker az lehet aki az egészségesnél is kíváncsibb és fel tudja tenni a jó kérdéseket. Ez is valami.

#1975

A nap műtárgyaként megmutatom mit találtam az Ultranav - azaz pöcökegér+trackpad - meghajtó szoftverében. Long Distance Scrollingnak, ezen belül meg Coastingnak hívják a funkciót, egy elkezdett görgetéssel addig pörögnek az oldalak, amíg meg nem állítom egy érintéssel. Mintha lendkereket szereltek volna a tapipad szélébe, mint a csúcs Logi egerekbe. Tudok szerelmes lenni apró ügyes megoldásokba.

Titkosíts!

A napi Schneier tipp annyira logikus, mint amennyire képtelen leszek betartani. (Eleve csak hobbiból vagyok paranoiás, pedig ez ideális eseten életet kitöltő tevékenység.) Azt írja a mester, hogy egyre kisebb dolgokon tudunk egyre több adatot egyszerre elhagyni. Egy nyolc-tíz-tizenhat gigás pendrájvval már egy egész élet összes fontos dokumentumát egyszerre lehet elveszíteni. És mivel ez ellen igazából védekezni nem lehet, egy módszer marad: titkosítsunk mindent, ami egy kicsit is fontos.

Schneier linkeli is a Wiredben 2007-ben megjelent cikkét arról, hogy ő, aki ugye 2600 hertzen sírt fel továbbá akiben kölcsönösen megbízik Alice és Bob, mert nincs más választása, hogyan védi az adatait. Kapaszkodjunk: teljes lemeztitkosítás, a ritkábban használt anyagok jelszóval védett zipekben való tárolása, és végül a laptopon tárolt információ minimalizálása. Már csak ott a gond, hogy ez elég durván ütközik a laptopomon élek nomád életformával. Válasz nincs, csak kérdések.

Nem tudom kihagyni a Jesus Saves and Has a Comprehensive Backup Routine poént, gyenge vagyok.

Virtuális gép, megkímélt állapotban, fél disznóért

Most, hogy a Virtualbox fogta magát, generált 14 giga logot, majd mikor rosszallásomat a szoftver és a szemét törlésével kifejezésre juttattam, restartkor legyikolta(ódott) a rendszer, annyira nem bízom benne. És amúgy is kényelmetlen volt máshonnan letöltött virtuális gépeket adni hozzá.

Nyitva viszont a kérdés, hogy ha ez nem, akkor mi. Játszani kell, DOS-os virtuálmasina diskmagot olvasni meg ilyesmi. A Vmware player talán elég lenne, de valami iszonytatóan butának tűnik. Think on this I must.

Update

Felment egy MS Virtual PC és egy Vmware Player. Utóbbi buta mint a kő, viszont csak az az ipari sztenderd virtuális masina. Most már csak be kell népesíteni a kis állatkertet.