2009-05-27:

Losowe przemyślenia

security:easy:blog:rant
Czytając ostatnio pewne doniesienia prasowe, czy też posty na pewnych blogach, rzuciło mi się w oczy kilka kwestii, o których postanowiłem poblogwać, a w zasadzie porantować ;D

Pierwsza rzecz dotyczy newsów/postów o wyciekach haseł/e-maili/danych osobowych. Co widzę jakiś post na blogu o tym, bądź też inny news (nie będę podawał przykładowych linków, nie mam zamiaru nikogo piętnować), to okraszony on jest stosownym screenshotem z listą np. użytkowników i haseł, z tym że część (np. hasła) jest albo wyblurowana, albo rozpixelizowana, albo użyto na niej jeszcze inny filtr graficzny. Jednocześnie w newsie autor rozpisuje się jak to niedobrze się stało że dane wyciekły lub zostały gdzieś opublikowane.
A teraz zabawna rzecz o której ów osoby zapominają: blur nic nie daje, pixelizacja też nic nie daje, nadal można bez większych problemów dowiedzieć się jakie to hasła/emaile/dane osobowe są na opublikowanych screenach. Ba, nie trzeba do tego żadnego specjalnego softu - na necie od pewnego czasu krąży filmik o skrypcie napisanym w Photoshopie do odzyskiwania tekstu ze zblurowanego screena. Ktoś może powiedzieć że nie każdy umie napisać taki skrypt w Photoshopie, czy inny programik który to rozkoduje. Ale chwila - spamerzy piszą soft do łamania CAPTCHA (pomijam chwilowo kwestię wynajmowania ludzi do tego celu), a nie umieli by napisać softu działającego na identycznej zasadzie który by odzyskał kilka hasełek z jakiegoś screena? Jakoś ta teoria się kupy nie trzyma.
Podsumowując tą myśl - jeżeli autor chce koniecznie opublikować screena z jakimiś 'wykradzionymi' danymi, to niech użyje MSPaint, i po prostu zamaluje (polecam wypełniony prostokąt, w żadnym wypadku nie spray!) na czarno dokładnie miejsca gdzie są wrażliwe dane (najlepiej tak żeby nie dało się również ilości i wielkości znaków wywnioskować) - w innym wypadku po prostu 'wykradzione' dane są ponownie publikowane, ale tym razem przez autora ów newsa czy posta.

Druga kwestia jest trochę bardziej wrażliwa. Przeczytałem ostatnio że na pewnym basenie miejskim zaszła sytuacja iż ktoś biegał po basenie i fotografował ludzi. A jak wiadomo nie każdy chce swoje fotki w bikini zobaczyć na necie (wcale nie twierdzę że w tym przypadku taki był zamiar ów osobnika, natomiast jest to jedna z rzeczy która może się zdjęciom przydarzyć), więc ludzie poskarżyli się ochronie, która sprawą się zajęła. I w tym miejscu będzie drobny cytat (z pamięci): "sprawę rozwiązaliśmy polubownie - intruz usunął zdjęcia z aparatu".
Zaraz, zaraz! Co to znaczy "usunął zdjęcia z aparatu"? Czy to znaczy "nadpisał 10 razy każdy bajt zdjęcia losowymi literkami"? A może "kliknął w aparacie usuń przez co w tablicy FAT został usunięty wpis o zdjęciu, pozostawiając równocześnie wszystkie dane nadal na karcie"? Czemu wydaje mi się że mamy do czynienia z tą drugą kwestią? Czyli co... "intruz" wrócił sobie do domu, odpalił program YourGenericUndelete, i potem mógł robić ze zdjęciami co chce? Jak dla mnie jest to więc trochę do kitu rozwiązanie sprawy ;)
Natomiast fakt faktem sprawa jest trudna z punktu widzenia prawa i wolności osobistej, ale nie chciałbym teraz w te tematy się zagłębiać ;)

Na koniec tej sprawy cytat z kretyna:
<dersik> Lubię pożyczać swoją cyfrówkę znajomym. Teraz, dzięki programowi do odzyskiwania danych z kart pamięci mam mnóstwo domowego porno.

Ostatnia kwestia dotyczy coraz to nowych metod zarabiania na naiwnych internautach. Jak pisałem kilka dni temu w P.S. pewnego posta, od kilku dni ktoś wysyła masowo do ludzi na GG (wszystkich) komunikat o treści "Wyznaję Ci miłość... http://www.wyznanie.mx.tc/". Po wejściu na stronę możemy przeczytać że "Aby dowiedzieć się kto jest nadawcą użyj opcji SMS!", i numer. Na samym dole strony kapkę mniejszym druczkiem (na szaro na czerwonym tle) w stosunku do reszty strony widnieje info że SMS kosztuje jedyne 23,18zł, i że trzeba być pełnoletnim, etc. OK, jest informacja o cenie, jest regulamin korzystania z usług, ale uh chwila. Nie ma opcji "wyznaj miłość znajomemu" - czyli co... nikt znajomy nam miłości nie wyznał, po prostu dostaliśmy ją jak 10tys innych osób, a po wysłaniu SMSa pewnie dostaniemy informacje że miłość nam wyznał BOT ? Ktoś tu szuka naiwniaków...
Dzisiaj widzę dodatkowo że na stronie pojawił się link do serwisu z chińskimi wróżbami, gdzie, niespodzianka!, również trzeba wysłać SMSa na ten sam numer żeby dowiedzieć się "co jest w życiu ważne". Czyżby pojawiali się "stali kliencie" tej usługi którzy szukają podobnych serwisów gdzie mogą wydać 23,18zł jednym kliknięciem? ;D
OK, a teraz najciekawsze - porównajmy regulaminy ów serwisów. Różnicę widać już na początku:

http://www.wyznanie.mx.tc/ aka http://kocham-cie.c0.pl/
Niniejszy regulamin określa zasady korzystania z Usług świadczonych przez firmę Improvity Sp. z o.o, NIP 527-24-15-108, REGON 015479229, wpisaną do Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy Dla m.st. Warszawy, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000165616, o kapitale zakładowym 50.000,00 PLN, zwaną dalej Improvity.

http://www.chinska-wrozba.c0.pl/
Niniejszy regulamin określa zasady korzystania z Usług świadczonych przez firmę Capital Partnership Sp. z o.o, NIP 5272497833, REGON 015436697, wpisaną do Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy Dla m.st. Warszawy, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000248933, o kapitale zakładowym 50.000,00 PLN, zwaną dalej CP.

Możemy również znaleźć profesjonalny e-mail reklamacje.sms@gmail.com o którym czytamy (skopiowane 1 do 1):
W przypadku braku zgody na otrzymywanie powyższych treści Użytkownik prześle z formularza dostępnego pod adresem eklamacje.sms@gmail.com informację wpisując w treści słowa "brak zgody" oraz numer telefonu, którego dotyczy wycofanie zgody

Formularz dostępny pod adresem e-mail? Fascynujące!  Chyba ktoś przerobił jakiś regulamin znaleziony na necie, wrzucił losowe adresy spółek (czekam na potwierdzenie czy w rzeczywistości tak jest), i trzepie kasę na naiwnych...

Blah, niektóre partie Internetu schodzą na psy ;p

Dobra, koniec tego rantowania... ;)

Comments:

2009-05-27 16:50:27 = Jurgi
{
O, tych spimów na GG jeszcze nie widziałem. Była inwazja testu IQ, jakiegoś programu do ściągania (chyba trojanów, haha) oraz klątwa wróżki Elwiry. Moja odpowiedź to była własna kontrklątwa pod nazwą: e-mail do abuse: http://my.opera.com/Jurgi/blog/2009/02/06/na-pohybel-spamysynom :) Skutkuje!
}
2009-05-27 19:40:28 = Patrykuss
{
Odnośnie bluru i algorytmu do Photoshopa. Szczerze powiedziawszy nigdy jeszcze nie pomyślałem o tym, chociaż jest to aż idiotycznie proste ;).

Co do spamu via gg. Byli, są i będą ludzie, którzy tak czy inaczej wydadzą te 23zł w jeszcze bardziej idiotyczny sposób. Od kiedy komputery zaczęły wpadać w ręce "krejzolom" a dostęp do Sieci jest podstawą, spam jest pożywką dla twórców, których stałą klienterą są głównie ów "krejzole" ;). Tego nie da się zmienić tak łatwo. Ofc można działać, jak Jurgi i to nawet może przynieść jakieś efekty ale prawdą jest, że spam jest zbyt dochodowy, żeby jego autorzy szybko z niego zrezygnowali.
}
2009-05-27 20:46:00 = Qyon
{
http://www.krs-online.com.pl/?p=6&look=0000165616
http://www.krs-online.com.pl/?p=6&look=0000248933
}
2009-05-28 08:06:41 = Gynvael Coldwind
{
@Jurgi
Hyhy tya, e-mail na abuse bywa dobrym rozwiązaniem ;> Dobry wpis btw ;>

@Patrykuss
Tya, też wcześniej się nad tym nie zastanawiałem, ale w sumie i nie było potrzeby ;>
Też wątpię czy spamerzy zrezygnują - przychodzi mi na myśl choćby sprawa amerykańskiego spamera który po procesie dostał 1mln USD kary, i tylko się uśmiechnął, zapłacił i wrócił do spamowania ;p

@Qyon
Tyaaa sprawdzałem te firmy. Jedna redaguje miesięcznik o stwardnieniu rozsianym, a druga chyba outsourcingiem się zajmuje (ich strona afair była lekko przeterminowana). Anyway, żadna z nich nie wygląda na firmę która by się zajmowała spamowaniem ludzi ;>
}
2009-05-31 14:55:22 = pi3
{
Spojrz na to z innej strony... zeby nie takie dzialania, to ludzie by bagatelizowali kwestie bezpieczenstwa. Takie dzialania dotykaja szarego Kowalskiego i to zmusza go to rozwiazania tego problemu. Wlasnie wtedy Kowalski zastanawia sie nad kupnem antywirusa, firewall'a itp itd. To z kolei daje prace takim ludziom jak Ty czy ja. Po czesci oni sa naszymi zywicielami ;>
}
2009-05-31 15:20:27 = mik01aj
{
Ad. fotek z kart pamięci - wcale nie trzeba "nadpisywać 10 razy każdy bajt zdjęcia losowymi literkami" - wystarczy raz ;>
http://16systems.com/zero.php
}
2009-05-31 22:10:37 = Gynvael Coldwind
{
@pi3
Niestety ludzie i tak bagatelizują kwestie bezpieczeństwa (i szczerzę to czasami im się nie dziwie... czasem mam wrażenie że to my jesteśmy przesadnie paranoidalni ;>).
Co do pracy dla mnie czy dla Ciebie, to nie ma jej tylko w utopijnym świecie...

@mik01aj
Wiem wiem ;> To było tak aby potencjalni paranoicy się nie czepiali ;D
}

Add a comment:

Nick:
URL (optional):
Math captcha: 6 ∗ 8 + 10 =