Körülbelül egy héttel ezelőtt ZH kolleganő e-mailen kérdést intézett néhány magyar társkereső rendszerhez, amiben többek közt arról faggatta őket, hogy milyen technikai és emberi természetű (SE, azaz social engineering) visszaélésekkel lehet számolni, mire érdemes vigyázni felhasználóként és üzemeltetőként. Az eredeti felhívást itt
olvashatjátok.

Eddig összesen 2 közzétehető válaszlevél érkezett, mind a kettő egy-egy társkereső-óriás részéről.

Az első válaszadó Magyarország egyik legnagyobb múlttal rendelkező és egyik legnagyobb forgalmú társkereső rendszere, a Lovebox.hu (Kellner Dénes) volt. A második választ az ország legnagyobb meleg társkereső rendszertől, a randi.gay.hu-tól (Kolossváry Tamás) kaptuk.

Mind a két válaszban közös vonás, hogy az üzemeltetők az emberi naivitást tartják a legnagyobb kockázatnak, amit eddig is tudtunk.

Kellner Dénes kevés konkrét választ adott, mégis megírt olyan hasznos dolgokat, amit mindenkinek szem előtt kell tartania, aki társkeresőzik. Megtudtuk , hogy a Loveboxnál a felhasználókra leselkedő veszélyek közül a legnagyobb rizikót néhány felhasználó saját hülyesége jelenti, konkrétan az, hogy banálisan egyszerű, kitalálható jelszavakat adnak meg a regisztrációkor. Szerintem ez azért különösen veszélyes, mert egy társkereső rendszerben való ismerkedésben, kommunikációban talán még a magánlevelezésnél is intimebb témák lehetnek a beszélgető felek közt. A Lovebox ősapja egyáltalán nem válaszolt olyan kérdésekre, amiknél betörési kísérletekről kérdeztük. Dénes arra hivatkozott, hogy a betörési kísérletek nyilvánosságra hozatalával csak tippeket adnánk kezdő hackereknek.

Ezzel viszont több szempontból sem értünk egyet. Egyrészt, ha a Lovebox még tényleg sosem volt sikeres hackertámadás áldozata, a rendszer technikai megvalósításában nagyon biztonságosnak mondható, így miért pont a kezdő hackerek jelentenének veszélyt? Másrészt egyszerűen nem jelent kockázatot az, ha egy társkeresőről valaki tudja, hogy a leggyakoribb próbálkozás például SQL-injection vagy éppen a szerver valamelyik portjának feszegetése, hiszen ezekre a támadási típusokra a Lovebox úgyis fel van készítve. Mi pedig nem a legújabb aljas trükkök részletes elemzését kértük, csak a támadás típusaira kérdeztünk rá.

A Lovebox-mágus megerősítette azokat az információinkat, ami szerint az igazságszolgáltatás Magyarországon gyakorlatilag alkalmatlan arra, hogy a magánszemélyek ellen az interneten elkövetett visszaélésekkel szemben fellépjen. A válaszlevélből megtudtuk, hogy még ha egy felhasználó a rendőrséghez fordul is, a hatóság az IP-információkat fél évvel később kéri be, amikor pedig megkapják, egyszerűen nem tudják, hogy az IP-cím egyáltalán növény vagy állat.

Kellner Dénes eredeti levelét ide kattintva olvashatod.

A randi.gay.hu-tól válaszoló Kolossváry Tamás technikai részletekbe szintén nem ment bele, viszont a gay.hu számítógépmágusa olyan témákba is belefolyt, amikre nem is kérdeztünk rá, igazából nem is a témához tartozik, mégis fontos néhány szót ejteni róla.

Mivel a válaszlevélben tételesen kaptuk a kérdésekre a válaszokat, ide is bökjük gyorsan a hosszú fejlécnek becézett hieroglifa után:

"Delivered-To: zughekker@gmail.com
Received: by 10.140.161.16 with SMTP id j16cs43233rve;
        Sat, 26 Apr 2008 13:12:34 -0700 (PDT)
Received: by 10.67.196.2 with SMTP id y2mr2226574ugp.60.1209240752896;
        Sat, 26 Apr 2008 13:12:32 -0700 (PDT)
Return-Path: <[...]>
Received: from sun.sotetszoba.hu (sun.sotetszoba.hu [62.77.131.20])
        by mx.google.com with ESMTP id c22si6123270ika.3.2008.04.26.13.12.28;
        Sat, 26 Apr 2008 13:12:32 -0700 (PDT)
Received-SPF: neutral (google.com: 62.77.131.20 is neither permitted nor denied by best guess record for domain of [...]) client-ip=[...];
Authentication-Results: mx.google.com; spf=neutral (google.com: 62.77.131.20 is neither permitted nor denied by best guess record for domain of [...]) smtp.mail=[...]
Received: from localhost.localdomain (unknown [[...]])
    by sun.sotetszoba.hu (Postfix) with ESMTP id C17971471DBE;
    Sat, 26 Apr 2008 22:12:25 +0200 (CEST)
Message-ID: <48138CA9.2020306@gay.hu>
Date: Sat, 26 Apr 2008 22:12:25 +0200
From: =?UTF-8?B?S29sb3NzdsOhcnkgVGFtw6Fz?= <[...]>
User-Agent: Thunderbird 2.0.0.12 (X11/20080226)
MIME-Version: 1.0
To: Zughekker blog <zughekker@gmail.com>
CC: randi@gay.hu
Subject: Re: [Randi] =?UTF-8?B?a8OpcmTDqXMgYSByYW5kaS5nYXkuaHUtaG96?=
References: <8da5d2870804251301t2a101a5av9b576ff643ea8006@mail.gmail.com>
In-Reply-To: <8da5d2870804251301t2a101a5av9b576ff643ea8006@mail.gmail.com>
X-Enigmail-Version: 0.95.6
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit

Kedves ZH Team!

Zughekker blog írta:

> Ezért kézenfekvőnek tűnt az ötlet, hogy bennetek, mint a
> legelismertebb, leghitelesebbnek tartott, legnagyobb forgalmat

Jajajaj :P

> lebonyolító,  társkereső és chat rendszerek üzemeltetőit kérdezem,
> hogy szerintetek
> -    milyen kockázatok leselkednek leginkább a társkereső rendszerek
> illetve a chat használóira (SE)

Az, hogy nem gondolkodnak eléggé, a többség nincs tisztában a webes alkalmazások működésmódjával. Ezért aztán könnyedén begépelik akárhova a jelszavukat, lehetőleg azt, amit 5 éve mindenhol használnak.

> -    milyen kockázatokkal kell számolnia annak, aki a neten ismert meg
> valakit, miután a kommunikációt a társkeresőn/chaten kívül folytatják
> (tech/SE)

Újabban hallottunk több esetről, amikor valakit a találkozó alkalmával megvertek, kiraboltak. Általánosságban elmondható, hogy valaki minél kevesebb időt szán a virtuális ismerkedésre, illetve minél hamarabb akar valakivel "eltűnni a világ szeme elől", annál nagyobb a kockázata, hogy nem várt meglepetésekben lesz része.

> -    kiemelten milyen tanácsokat tudnátok adni a biztonságos
> társkereséssel kapcsolatban, ami nincs benne a Gyakran Ismételt
> Kérdések közt (SE)

Ne sajnáljuk az időt az illető alapos megismerésére, virtuálisan is, és a személyes találkozás alkalmával is. Alap adatokkal (név, telefonszám) legyünk tisztában.

> -    milyen típusú visszaéléseket találtok a legveszélyesebbnek – (tech/SE)

Jelszó megszerzése, bizalmas információk, valótlanságok nyilvánosságra hozatala.

> -    milyen típusú visszaéléseket találtok a leggyakoribbnak – (tech/SE)

Valótlan, lejárató információk nyilvánosságra hozatalát.

> -    szerintetek a rendszert csalárd módon használóknak mik az indítékaik
> a leggyakoribb esetben

Féltékenység, viszonzatlan vonzalom, bosszú, szórakozás.

> -    melyik volt a legdurvább vagy legkülönlegesebb visszaélés, amivel
> találkoztatok – (tech/SE)

A fent említett verések/rablások. Volt sima lopás is, amikor az illető a "kölcsönkért" értékekkel eltűnt.

> -    szerintetek az áldozatoknak "mennyi kell" ahhoz, hogy segítségért
> forduljanak valakihez

Mostanában szerencsére már nem sok. Az utóbbi időben többször is megkeresett a rendőrség ilyen ügyekben.

> -    az áldozatok mennyire számíthatnak hathatós megoldásra Tőletek és a
> hatóságtól kért segítségkérés esetén

Nekünk nincs túl sok lehetőségünk a nyomozásra, de a hatóságnak minden segítséget megadunk.

> -    nyílt titok, röhej, de azért megkérdezem: a Ti véleményetek szerint
> az igazságszolgáltatás mennyire veszi komolyan a netes visszaélésekkel
> kapcsolatos bejelentéseket, mi kell ahhoz, hogy ténylegesen
> foglalkozzanak egy feljelentéssel

Nem értem a "nyílt titok" és a "röhej" kifejezéseket. Mint említettem, több ügyben is folyt/folyik nyomozás, kértek tőlünk adatokat. Véleményem szerint a bűnüldöző szervek nagyon is komolyan veszik a netes bűncselekményeket, egyeseket túl komolyan is.

> -    mennyi behatolási kísérlet érte a rendszereteket az elmúlt 1 évben

Nem számoljuk, de nem is tartjuk kezelhetetlen veszélynek ezt.

> FONTOS tudnotok, hogy
>
> A válaszok közül nem baj, ha nem válaszoljátok meg az összest vagy
> egy-egy kérdésre csak részleges választ adtok.
>
> A beérkezett válaszok elemzése után semmiféle rangsort nem állítunk
> fel!!! Ez alól az egyetlen kivétel, hogy ki mennyire hamar válaszolja
> meg ezt a levelet.
>
> A beérkezett válaszok egy elemző jellegű cikk alapanyagául fognak
> szolgálni, természetesen részrehajlástól mentesen. A cikk elsődlegesen
> nem rendszerenként elemzi a jelenlegi helyzetet, hanem egyfajta
> pillanatképet próbál majd adni a hazai társkereső és chat
> rendszerekről.
>
> Mindenképp írjátok meg, hogy válaszleveleteket eredeti formában közzé
> tehetjük-e!!! Ez lenne a legideálisabb, mert ekkor az Olvasóink első
> kézből láthatják majd, hogy Ti mennyire veszitek komolyan a
> felhasználóitok és rendszeretek biztonságát. Ekkor az eredeti
> válaszleveletek idézete fölött elhelyezzük a rátok linkelő bannert.

Nyilvánosságra hozhatjátok.

Üdv,
Tamás"

Lehet, hogy ZH kollegina fogalmazott hülyén, de annál a kérdésnél, hogy "milyen kockázatokkal kell számolnia annak, aki a neten ismert meg valakit, miután a kommunikációt a társkeresőn/chaten kívül folytatják" arra gondoltunk, hogy még a találkozás előtt mik lehetnek a veszélyek. Azaz például kémprogramok telepítése vagy egyszerűen más fotójával való visszaélés.

Lehet, hogy mi vagyunk túl paranoidak, viszont Tamással nem értünk egyet abban, hogy "Alap adatokkal (név, telefonszám) legyünk tisztában." Az, akivel az interneten valamilyen kapcsolatot kezdeményezünk egyrészt bárki lehet, másrészt teljesen ismeretlen.

Abban, hogy bárki lehet, az jelenti a kockázatot, hogy például felhasználóként csak azért regisztrált mondjuk valakinek a beosztottja, hogy ilyen módon tudjon meg egy csomó dolgot a főnök, mint naiv felhasználó szexuális szokásairól, emberi kapcsolatairól például, amik a normális ismerkedés során fontosak ugyan, viszont a nyilvánosságra kerülésük akár egy szűk körben is nagyon kellemetlen lehet. Talán extrémnek tűnik a példa, de ha valaki mondjuk szereti, hogy az ágyban a másik aktus közben jól el agyabugyálja, nyilván ennek megfelelően keres párt az interneten, erről őszintén viszont csak akkor van értelme beszélnie, ha annak is hasonló igényei vannak, akivel ismerkedik. Ha pedig egy idegen tudja meg, hogy a júzernek mindene az alázás az ágyban, nem jelent különösebb kockázatot, hiszen több okból sem fogja elmondani, nem is tudja kellemetlen helyzetbe hozni a másikat, ha csak a nicknevét és a telefonszámát ismeri. Abban az esetben viszont, ha egy minden hájjal megkent beosztott faggatja egy ál-felhasználóként a főnökét erről, na az már kimeríti a ciki fogalmát.

Így szerintünk egy egészséges mértékű anonimitás fenntartása az interneten, esetleg még az első néhány találkozáskor is fontos.

Utolsó kérdésünk volt, hogy mennyi behatolási kísérlet volt az elmúlt egy évben. A válaszból sejthetjük, hogy nem a randi.gay.hu lehet az egyetlen társkereső rendszer, ami folyamatosan ki van téve főként amatőr hackerek próbálkozásainak. Ezeket persze a rendszerben működő operációs rendszer(ek), a http daemon és magának a társkereső-motornak a gondos beállításával és karbantartásával ki lehet védeni.


A cikkünk második részében a biztonságos társkereséssel kapcsolatban fogalmazok meg néhány ajánlást.