A Kaspersky blogjában “Attackers Now Using Honeypots to Trap Researchers” címmel jelent meg egy írás arról, hogy a hekkerek (itt: rossz fiúk) hogyan használják fel a honeypot-okat a saját céljaikra.

(A kép a Kaspersky blogjáról van linkelve)

A hekkerek a zombikat irányító gépekre bejutó kutatók ill. egyéb hekkerek tevékenységét figyelik. A hamis hekker admin konzolra szánsékosan könnyű bejutni: gyenge, könnyen kitalálható jelszavakat használnak, ill. szándékosan telepítenek biztonsági hibát is, pl. SQL-injection-t. Amikor pedig szétnéznek az álkozolon a biztonsági szakemberek, akkor csak hamis statisztikákat láthatnak, ill. elárulják a hekkerek számára, hogy mire készülnek a zombi hálózat ellen, így a hekkerek még időben lépni tudnak…

3 éve írtam egy postot az olcsó hitelekről, amit most megtalált egy vállalkozó, és kommentelt is rá egyet. A szöveg látszólag magyarul van, azonban nem magyar ember készítette: túl mókás ahhoz a szöveg megfogalmazása. A kommentet természetesen nem engedélyeztem, hanem spam-nek jelöltem.

Íme a spam komment bejegyzés:

Ön Ezúton értesítjük, hogy Rev.Donald Jeff MD HITELEK ALAPÍTVÁNY jelenleg ad ki hitelt, hogy az egyének, cégek és szervezetek együttműködnek megfizethető kamatláb.

Köszönöm
Rev.Donald Jeff MD

A HNS Facebook to share your data with “pre-approved” third-party sites? című cikke szerint a Facebook arra készül, hogy megváltoztassa az adatvédelmi nyilatkozatát.

Arról van szó, hogy a Facebook felhasználók nevét, a barátaik nevét, profil képeit, nemét, kapcsolatait, ill. bármilyen adatot, ami az “Everyone privacy setting” alatt elérhető harmadik fél weboldalaival megosztja.

Az a terv, hogy a felhasználók leiratkozhatnak (opt-out) erről a funkcióról. A Facebook felhasználók sokasága fejezte ki negatív véleményét, és szerintük fordítva (opt-in) kellene lennie, azaz aki részt akar venni ebben, az jelentkezzen rá.

A Facebook szerint a funkció arra (lesz) jó, hogy a felhasználók még többféle módon kapcsolódhassanak a barátaikhoz, még a Facebook-on kívül is.

A HNS szerint a Facebook és más közösségi site-ok (gondolhatunk most pl. az iwiw-re is) nem azzal az elsődleges céllal jöttek létre, hogy kapcsolatba léphess a barátaiddal, hanem hogy annyi pénzt keressenek velük a tulajdonosaik, amennyit csak lehet. Ezen a ponton lép be a felhasználók adatainak megosztása az egyenletbe, mert a felhasználók így fizetnek az ingyenes szolgáltatásért.

Érdekes az is, hogy a Facebook szerint ők jó arcok, mert előre szóltak, bezzeg más site-ok a felhasználók értesítése nélkül lépnek meg hasonló adatvédelmi módosításokat. Ez alighanem igaz is lehet, ennek ellenére a múlt héten leiratkoztam a Facebook-ról és a LinkedIn-ről, az iwiw-ről meg folyamatban van.

Ennek elsősorban nem adatvédelmi oka volt, hanem egyszerűen az, hogy az ember belefullad a közösségi site-ok dömpingjébe, és finoman szólva kezelhetetlen feladat mindenhol nyomon követni az ismerősöket, 100 helyen megosztani életünk fontos dolgait a barátokkal, ismerősökkel.

Így marad ez a blog, ahol én határozom meg a privacy policy-t, és én döntöm el, hogy kivel mit osztok meg.

Egy reverse proxy manapság nem probléma. Egy apró kellemetlen mellékhatása azonban van a dolognak: a reverse proxy mögött lévő web szerver nem a HTTP kérést elküldő kliens IP-címét látja, hanem a proxy IP-címét. Ez pedig gondot okozhat, ha egy site-ot pl. IP-címre kell lekorlátozni.

Szerencsére van egy mod_rpaf nevű Apache modul (1.3.x – 2.x.x), amely a következő trükköt tudja: Az “X-Forwarded-For:” HTTP fejlécben érkező címet kiexportálja a REMOTE_ADDR változóba. Így az Apache már a kliens valódi IP-címét látja, amikor pl. egy .htaccess fájl alapján kell eldönteni, hogy a kérést elfogadjuk vagy sem.

Ehhez Apache oldalon az alábbi konfigra van szükség:

LoadModule rpaf_module /usr/local/libexec/mod_rpaf-2.0.so

RPAFenable On
RPAFproxy_ips 127.0.0.1 1.2.3.4
RPAFsethostname On
RPAFheader X-Forwarded-For

Ezzel a nehezén túl is vagyunk, már csak egy olyan reverse proxyra van szükségünk, ami támogatja, ill. beleteszi a tovább passzolt kérésbe a X-Forwarded-For mezőt. Ha a dedikált reverse proxykat preferálod, akkor pl. a pound a te barátod, amely az alábbi konfiggal vígan elszalad:

User "pound"
Group "pound"

ListenHTTP
   Address 1.2.3.4
   Port 80

   Service
      BackEnd
          Address 127.0.0.1
          Port 80
      End
   End
End

Ha azonban komplex access control vagy egyéb fancy feature-ök is kellenek, akkor jobb választás lehet egy pehelysúlyú webszerver, mint pl. a lighttpd vagy az nginx, esetleg a cherokee.

Az előbbi elketyeg egy ilyesmi konfiggal:

server.modules              = (
                               "mod_status",
                               "mod_proxy",
                               "mod_simple_vhost")

server.errorlog             = "/var/log/lighttpd/error.log"

server.document-root = "/tmp"

server.port                = 80
server.bind                = "1.2.3.4"

server.username            = "lighttpd"
server.groupname           = "lighttpd"

proxy.server               = ( "" =>
                               ( "1.2.3.4" =>
                                 (
                                   "host" => "127.0.0.1",
                                   "port" => 80
                                 )
                               )
                             )

Ha pedig a backend webszerver nem Apache, hanem lighttpd, akkor az gyárilag kezelni tudja az X-Forwarded-For fejlécet.

A hvg.hu-n olvastam egy cikket a fenti címmel.

“Az Ars Technica értesülései szerint a ausztrál internetbiztonsági kezdeményezés (Cyber-Safety Plan) az illegális tartalmak mellett a gyerekek számára tiltott pornográf oldalak hozzáférését is blokkolná. A rendszert most tesztelik, és a fejlesztésben érintett mérnökök szerint nem lehet majd kibújni az állami szintű szűrés alól.”

A cikk szerint a szolgáltatóknak kötelező lesz a szűrőrendszereket üzembe állítani, és “az ausztrál kommunikációs és médiahatóság (ACMA) hivatalos feketelistájáról tájékozódhatnak a tiltott tartalmakról.”

Noha az ACMA akkor még azt mondta, hogy a felhasználók kikapcsolhatják az alapértelmezetten élesített szűrést, óriási felháborodás volt az eredmény a felhasználók részéről. Aztán kiderült, hogy az Internode nevű cég hálózati mérnöke szerint a felhasználók kiléphetnek ugyan a gyerekekre vonatkozó szűrési feltételek alól, ám a fő feketelista – amely az ausztrál kormány által meghatározott illegális tartalmakat sorolja fel – rájuk is érvényes marad.

A szűrés kötelező lesz minden ausztrál állampolgár számára. A kérdés nagy vihart kavart, s a felhasználók azóta találgatják, milyen tartalmak kerülnek majd fel a feketelistára. A szűrést annak ellenére vezetik be, hogy az ausztrál kormány felkérésére készített 2006-os tanulmány kimutatta: az internetszolgáltatók szűrése költséges, ám nem elég hatékony.

Íme a szép, új, ausztrál Internet. Ezen a ponton egy vallomással tartozom: nem szeretem az atyáskodó államot, amikor állambácsi megsimogatja a kicsi fejem, és jóindulatúan megmondja, hogy mit nézhetek meg az Interneten, és mit nem. Mintha a kínai nagy tűzfal mintájára kiépülne a nagy ausztrál tűzfal is. Túl sok korrupciót láttam már a világban, hogy elhiggyem, hogy a kiszűrt tartalmak között csak az adathalász weboldalak fognak szerepelni.

Más szavakkal: nem hiszem, hogy a – tetszőleges nációjú – aktakukacok és más okostojások értelmesen és bölcsen képesek eldönteni, hogy nekem mely web oldalak (ha jobban tetszik: IP-címek) jöhetnek be a gépemen. Azt már sokkal inkább elhiszem, hogy a pénzes szervezetek megtömik 1-2 korrupt csinovnyik zsebét (értsd: megveszik kilóra), és az cserébe blokkolja a megadott IP-cím tartományokat a szolgáltatók ügyfelei elől.

Nem akarom, hogy ilyen szabályozás valaha is létrejöjjön kicsi hazánkban. Bár a magyar kormányok olyanok, mint a vásott kölykök: a rossz példát azonnal eltanulják….

Már régi a hír, hogy egy Tenesse állambeli tanuló feltörte Sarah Palin republikánus alelnökjelölt yahoo-s email fiókját, azonban néhány tanulság örök, amit az az SCMagazin Palin email “hack” underscores need for stronger authentication cikkéből is kiderül.

A fiatal egy jelszócserét kért, és szépen megválaszolta a Yahoo ilyenkor szokásos kérdéseit, pl. mi az irányítószámod, mikor születtél, stb. Alaszkában ezt mindenki tudja, a többieknek pedig elég egy Internet kapcsolat és egy keresőgép a válaszokhoz.

Az eset kapcsán érdemes minden cégvezetőnek kétszer is megfontolnia, mielőtt az üzletét a Yahoo vagy Google email fiókokon keresztül bonyolítaná. Ha másért nem, legalább azért, mert valószínűleg feltörik az email címeit. Ebben egyébként semmi új, én is azt mondom, hogy üzleti célra nem alkalmas egy ilyen email account. Ha másért nem, legalább azért, mert hülyén néz ki egy cégvezető névjegyén a kovacsbela1952@yahoo.com, ill. a http://www.freeweb.hu/kovacsbelacege/ weboldal cím.

A cikk kitér egyébként egy lehetséges erősebb autentikáció lehetőségére is: a legtöbb gép alaplapján van egy ún. TPM chip, amit csak használni kellene, és kb. ugyanazt tudja, mint egy token kulcs. Kérdés, hogy a Yahoo, vagy más freemail szolgáltatók mikor adnak lehetőséget ennek használatára?

Az Indexen érdekes cikk jelent meg Óvakodj a Google-től! címmel. Amióta volt egy afférom a keresőóriással, azóta nem vagyok annyira oda értük. Az történ ugyanis, hogy egy szélsőjobbos idióta és/vagy spammer feldobta az egyik bejegyzésemet a Google-nál, akik anélkül tiltották le az AdSense account-omat, hogy legalább megnézték volna, hogy valóban jogos-e a panasz?

Nem is meglepő, hogy a cikkben szóba kerül az, hogy a Google manipulálja a felhasználók számára nyújtott tartalmat. Elég pl. arra gondolni, hogy Kínában a Tibet szó a vörös posztó szinonimája, és a Google elvtelenül belement abba, hogy ok, akkor a kínaiaknak csak egy szűrt – és ezért szükségszerűen torzított – Internetet mutatnak.

Ok, az persze egy diktatúra, de ilyen csak nem történhet meg a világ civilizáltabb felén?! Ha a jelenlegi amerikai alelnök lakóhelyét keresnéd légi felvételen, akkor azonban egy – az Index szóhasználatával élve – “pixelerdőt” kapsz.

Ok, ő mégis csak egy politikus. Na akkor keressünk rá a volt Novelles vezérre, aki ma a Google vezérigazgatója: Eric Schmidt. Róla is töröltek némi infot a keresőből.

Ezek alapján nem meglepő, ha némelyek adatvédelmi, sőt manipulációs aggályokat vetnek fel. Az Index cikke is megemlíti azt a gikszert, ami a United Airlines részvényeinek felfüggesztéséhez vezetett. Az történt, hogy pár napja a Google a Chicago Tribune egy 2002-es cikkét is bedobta a Google News-ba, amely a légitársaság – 2002-es – csődjéről szólt. És mondd már, hogy némelyek ezt nem vették észre. Persze a kereső és az újság egymásra mutogatnak, de a lényeg ebből az, hogy nem megbízható a Google News.

Szóval kellene valaki, aki egy korrekt alternatívát képes nyújtani a Google ellenében. Mert el kell ismernem, hogy a keresésben nem véletlenül a Google-é a keresési piac jó 2/3-a.

Az persze csak egy dolog, hogy egy cég számára élet-halál kérdése, hogy a Google keresőjében megfelelő helyen (értsd: az első két oldalon) szerepeljen, vagy egyáltalán az, hogy szerepeljen benne. Amikor a CNet egyik újságírója megírta, hogy mit talált Schmidt-ről, akkor büntiből a CNet-et 1 évre feketelistára tette a Google. Ez pedig rossz hír, mert ez azt jelenti, hogy akinek nem tetszik a fizimiskája, azt a Google gyakorlatilag kinyír(hat)ja, ha úgy akarja.

De ennél is van még rosszabb: a Google nagy halom alkalmazása, pl. Gmail, Blogger, Google Earth és Maps, vagy a legújabb gyeplő, a Chrome böngésző. Mindezekkel a Google annyi mindent megtudható rólad, és ezzel olyan szinten vissza lehet élni, hogy némelyek szerint a KGB, Stasi, stb. csak kiváncsi nyugdíjasoknak tűnnek emellett.

Aki ugyanis ezekből jó sokat használ, az gyakorlatilag az egész (online) életét kiteregeti a Google előtt, és ha egyáltalán megfordul a fejében egy kis security, meg adatbiztonság, akkor legfeljebb reménykedhet benne, hogy a Google nem fog ezzel visszaélni.

Én mindenestre igyekszem magam távol tartani a Google-től. Fél órája még a blogomról is leszedtem az “urchin.js”-t – azaz a Google Analitics nevű szoftverét, mert bár látványos volt egy térképen látni, honnan is nézik a látogatók a blogomat, de miért is osztanám meg ezt az intim adatot egy harmadik féllel? Teljesen jól működhet egy naplóelemző szoftver erre a célra.

Van emellett egy Gmail account-om is, amit regisztrációk céljára hoztam létre, nem is tervezem, hogy oda érdemi levelet csak egyet is fogadnék. A Blogger is biztos hasznos lenne, mert akkor nem kellene a saját gépemen blogot futtatnom, de inkább a saját gépemen végzek minden privát dolgot, legyen az levelezés, blog, stb. mintsem attól kelljen félnem, mi lesz, ha egyszer valaki felnyom valamiért a Google-nél, és az ész nélkül törli mondjuk a blogomat, vagy az üzleti web oldalam?

Egy előnye azért van a Google alkalmazásoknak: (egyelőre) ingyenesek, ezért nagy vonzerőt jelentenek a költségérzékeny magánszemélyek és vállalkozások számára. Az ár azonban ennél sem nulla, csak itt nem pénzt kell kicsengetni, hanem a magánszféránkat odadobni prédára. Idővel pedig ez is pénzbe kerülhet.

Meghagyom a Google-t annak, ami: egy jó keresőnek, az egyéb szolgáltatásaitól pedig távol tartom magam, amivel belekukucskálhatna a magánéletembe.

Végül még egy szó a Gmail-ről. Valaki dicsérte, hogy milyen jó spamszűrője van. Ezt nem is vonom kétségbe, de azt igen, hogy üzleti célra is alkalmazható-e. Nem úgy értem, hogy nyomtathat-e valaki @gmail.com-os email címet a névjegyére, hanem hogy megéri-e minden üzleti adatunkat a Google-ra bízni? Az én válaszom erre határozott nem. Szerencsére spamszűrésben tudok alternatívát ajánlani a Google megoldása helyett.

Egy időben a Google adsense programja futott a bal oldalon, majd bizonyos okok (talán egy szélsőjobbos spammer?) közreműködése miatt a Google meglehetősen inkorrekt módon (értsd: rosszindulatú bemondásra, anélkül, hogy egy magyarul is beszélő google alkalmazott megnézte volna a “problémás” bejegyzést) letiltotta ezt a szájtot az adsense programból.

Ezek után kipróbáltam az etarget szolgáltatását, aminek valahogy olyan magyar narancs íze van: szép is jó is, meg a miénk, de azért annyira nem ügyes, mint az adsense. Mert amíg a Google releváns (anti-spam) hirdetéseket helyezett el a web oldalamon, addig bár ilyenek is vannak az etargetnél, de egy nagy halom inreleváns is. Szó, ami szó, összegeztem kb. fél év etarget bevételeit, és nem telt sokáig kiszámolni, hogy az első kifizetésem ebben az ütemben haladva 15 év (bocsánat: egész pontosan 14,5 év) múlva lesz.

Én igazán megbecsülöm a keveset is, meg biztos jól jönne majd az a pénz nyugdíjkiegészítésként, de mégis úgy döntöttem tegnap, hogy egyelőre hanyagoljuk a kereskedelmi reklámokat, és inkább olyan “hirdetéseket” helyezek el a bal oldalon, amelyek több ember érdeklődésére számot tartanak. Jelenleg a Spamtelenül című könyvem reklámja és a szeptemberi Hacktivity konferencia szerepel ott.

Hamarosan elkészül egy a kifejezetten az otthoni felhasználóknak ill. néhány fős kisvállalkozásoknak szánt anti-spam szolgáltatás reklámja is, amelyen már a végső simításokat végzem. És nem lesz többé mindennapi házifeladat a spamek kézi törlése, mert egy statisztikai szűrő* fogja levenni ezt a terhet a megfáradt emberekről.

*: némi egyéb extrával megspékelve.

Olvastam ma egy Index cikket, amelyik szerint az iwiw egyre inkább az unalomba fullad, dehogy a Facebook, meg a MySpace mekkora kool.

Az iwiw sose vonzott, és jót még nem hallottam róla, de üsse kő, regisztráltam a Facebook-on, meglátjuk, mire lesz ez még jó. Túl sok személyes infot azért nem adtam meg, adathalászat rulez alapon. Ha érdekel a profilom, akkor itt megnézheted.

A ToonDoo web oldalán jópofa “comic cartoon” figurákat, ill. több kockából álló képregényt is össze lehet állítani. Én az alábbi kettővel melegítettem be. Egy hátránya van: nem kedveli az ékezetes magyar karaktereket.