A Yahoo titokban minden ügyfele levelét átnézte az amerikai kormányzat utasítására

 ( trey | 2016. október 5., szerda - 14:54 )

A tegnapi nap botránya: a Yahoo titokban minden ügyfele levelét átnézte az amerikai hírszerzési ügynökségek megbízásából, messze túlmenően azon, amit a törvény előír számára. Magyarul kémkedett az ügyfelei után. Snowden arra biztat mindenkit, hogy azonnal törölje Yahoo fiókját.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Dehogy kell törölni! Az összes spam-et oda kell irányítani :D

--
trey @ gépház

Aki az előző 2 év után még mindig nem fogta fel, hogy ami nem privát szerveren van, az nagy eséllyel meg van már osztva a hatóságokkal, az hülye. Meg se néztem, hogy anno a Yahoo benne volt-e a Snowden féle iratokban, egy kutya mind.

A világ abba az irányba megy, hogy a majmokról minél egyszerűbb legyen adatot gyűjteni.

Tárold az adataidat felhőben (leginkább Amerikában), ossz meg magadról minden hülyeséget Facebook-on, keress Google-lel, Android legyen a telefonodon, az asztali gép legyen Windows, de ha biztonságmániás vagy, akkor használj iPhone-t, Mac-et. Mind, mind, mind Amerikai technológia, mind arra szolgál, hogy a majmok valljanak magukról.

Észre kell venni, hogy homogén rendszerek alakultak ki, tehát max 10 céget korrumpálva, megzsarolva minden adatot tudni fog rólad Amerika, az NSA.

Aki azt gondolja, hogy az iPhone majd megvéd, az kretén, mert ugyanúgy hozzáférhető, csak az USA kormánya reklámot csinált neki. Etetés, vedd meg 3x áron a biztonságosnak hitt terméket.

Nem kellenek matematikusok profi titkosítási algoritmusokhoz. Kitalálsz egyet és használod. Lehet, hogy nem annyira biztonságos, de nem futószalagon készült. Az egészben az a lényeg, hogy energiát kelljen a kormánynak befektetni ahhoz, hogy az egyedi rendszered feltörje. Ha milliószámra készülnek ilyen megoldások, elfogynak a kapacitásaik. Pénz, pénz, pénz.

Ha mindenképp titkosítani szeretnél adatokat, akkor csináld meg az enkódolást magad, ne használj kész megoldásokat.

> Nem kellenek matematikusok profi titkosítási algoritmusokhoz. Kitalálsz egyet és használod.

Először elolvasom az internetet, mielőtt könnyen marhaságnak vehető dolgokat állítok

"Nem kellenek matematikusok profi titkosítási algoritmusokhoz."

De, kellenek. Ha lenne bármi fogalmad a kriptográfiáról, akkor tudnák, hogy az algoritmusok nem futószalagon készülnek és azt is, hogy matematikusok kitalálták már rég a "feltörhetetlen" titkosítást, One-time Padnak hívják. De mivel nincs fogalmad a kriptográfiáról és valószínűleg nem veszed a fáradtságot, hogy utánanézz, olyan a kommentjeid olvasni, mint "sajtreszelővel rejszolni".

Roasz a szerkezete!

Én 5 évet dolgoztam WTLS-en. Megkérdezhetem a kriptográfiai tapasztalatodat?

A 65812-esen? Az ervelesed kb. annyira stabil labakon all, mint aki az eletkoraval vedi meg az igazat, kozben a cipojet nem tudja bekotni. Mert kb. alapvetes a kripto vilagaban, hogy hozza nem ertok inkabb ne talaljanak ilyen algoritmusokat, mert annak nem lesz jo vege.

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

A Kádár rendszer nem azért omlott össze, mert nem működött a besúgó hálózat, hanem azért, mert sokba került fenntartani.

Minél több algoritmus van, minél több telefonfajta van, minél többféle számítógép van, annál tovább tart mindegyiket feltörni. Már 15 éve egyetemen is oktatták, hogy a homogén rendszerek rendkívül veszélyesek.

Minthogy dolgoztam security-ben, láttam közelről, hogy hogyan működnek. Némelyik titkosítás automatikusan változtatja menet közben a kulcsot is adott algoritmus szerint, pont azért, hogy ne lehessen könnyen feltörni.

Kizártnak tartom, hogy mondjuk ha Budaházy saját titkosítást csinált volna, rászabadítottak volna egy komplett részleget, hogy feltörje és azon dolgozzanak 1 éven át.

Sokba kerül egy ismeretlen titkosítást feltörni, kevés állam fizetne meg bárkit is, hogy megtegye.

Minthogy dolgoztam security-ben, láttam közelről, hogy hogyan működnek.

szerintem mindenki jobban jart, hogy mar nem dolgozol a "security-ben", mert meg egy komolyan veheto (ilyen teruleten dolgozo) embertol sem hallottam meg a security by obscurity-t propagalni.

Minél több algoritmus van, minél több telefonfajta van, minél többféle számítógép van, annál tovább tart mindegyiket feltörni.

ja. Vessuk ossze 10 snake oil-t hasznalo termek feltoreset 1 valoban eros termek feltoresevel. Csak az aranyokhoz: az egyikhez eleg egy 4. eves egyetemista TDK csoport hetvegi hackatonja, a masikhoz meg kell az nsa gepparkja 2(00...000) evre.

Már 15 éve egyetemen is oktatták, hogy a homogén rendszerek rendkívül veszélyesek.

lehet, hogy nem sikerult megertened, hogy vajon miert.

Kizártnak tartom, hogy mondjuk ha Budaházy saját titkosítást csinált volna, rászabadítottak volna egy komplett részleget, hogy feltörje és azon dolgozzanak 1 éven át.

ez csak a te korlatoltsagod. Btw. Budahazy szellemi kepessegei alapjan boven eleg lett volna a fentebb emlitett hetvegi hackathon, imho.

Sokba kerül egy ismeretlen titkosítást feltörni, kevés állam fizetne meg bárkit is, hogy megtegye.

mit is mondtal, miert hagytad ott a security palyat? Van ra otletem...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Budaházynak nemhogy a titkosítását nem is vizsgálták, de még a telefonját sem hallgatták le!
A nyomozati iratokban olyan "szerverről származó" emaileket csatoltak[hiteles bizonyítékként], amiben szövegkiemelés van, egyéb időbélyeg, email azonosító ID, stb viszont nincs!
A Dovecot biztos PDF formátumban tárolja a leveleket. :)

----------------
http://nagyorgy.com

"Némelyik titkosítás automatikusan változtatja menet közben a kulcsot is adott algoritmus szerint, pont azért, hogy ne lehessen könnyen feltörni."

Mármint arra gondolsz, hogy CBC vagy OCB módban működik ECB helyett? Nagy kunszt, a 60-as évek óta az ECB túlhaladott.

Minthogy dolgoztam security-ben, láttam közelről, hogy hogyan működnek.

biztonsági őr voltál a tecsóban?

A security by obscurity úgy 150 éve már túlhaladott dolog, de hajrá :D Kitalálsz egy kb. Viginere-szintű, általad feltörhetetlennek gondolt titkosítást :D

Több példája is van a security by obscurity-nek:
- pl. megveszel egy iPhone-t, fogalmad nincs mi van benne, de biztosan biztonságos, mert azt mondják
- igénybe veszed warez Marcsika felhőszolgáltatását, mert ő tolja a legjobban a security-t a faluban

Amerikába butított WAP szervert kellett szállítani, mert a törvényei miatt nem lehet olyan technológiát árusítani, amit nem lehet X nap alatt feltörni. Azt hiszem 5 vagy 7 nap. Magyarul: te bármit veszel az USÁ-ban, gyorsan törhető. Ha nem lenne az, nem tudnád megvenni.

Az iPhone/Windows/Google/Facebook/Android trójai faló.

Csak egy cikk, hogy mire készült a magyar kormány áprilisban, pedig amatőrök:
http://444.hu/2016/04/01/a-kormany-buntetne-a-titkositott-kommunikaciot-hasznalokat

Vannak algoritmusok, amik bizonyítottan 3000 év alatt nem törhetőek fel, csak te nem használhatod. Vagy megírod magad, vagy warez Marcsika menő felhőszolgáltatását igénybe veszed és örülsz magadnak, hogy milyen tuti csávó vagy.

de biztosan biztonságos, mert azt mondják

netto hulyeseget beszelsz

Vannak algoritmusok, amik bizonyítottan 3000 év alatt nem törhetőek fel, csak te nem használhatod.

LOL? Az ido probajat kiallo algoritmusok leirasa hozzaferheto. Ha nem is en irom meg magamnak mondjuk pl. a blowfish/twofish/threefish/... vagy pl. ed25519 implementaciokat, de az elerhetoeket batran hasznalhatom, ahogy teszem is.

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

A Microsoft meglépte, hogy a compilert is átdolgozta login kérésénél. Más kódot generált a C fordító. Hiper okos security high tech advanced expert-ként tudnod kellene, hogy a biztonság addig tart, ameddig a leggyengébb láncszeme.

- egyik telefon ott vérzett nemrég el, hogy memory dump-ban meg lehetett találni a jelszót.
- végig, de végig gyenge láncszemek vannak, hiába szabadítasz rá 20.000 év alatt törhető algoritmust, ha a jelszó a memóriából kiolvasható
- honnan tudod, hogy a billentyűzeted nem tárolja el az utolsó 100.000 leütött billentyűt? Jön Józsika, feldugja USB-n a billentyűzeted és kiolvassa. Azt gondolod, hogy nem csinálja, mert nem írták le a felhasználói kézikönyvben...

Ha nem te csinálod a billentyűzettől az LCD-n át a teljes láncot, cseszheted az egészet. Legfeljebb nyomulhatsz a dizsiben a csajok előtt, hogy hú az ájfónom de király és nincs az az NSA, aki lehallgassa, mer Marcsika is aszongya.

Az RSA securid-t nézd meg. A jelszót (ami 6 karakteres szám, igencsak gyenge) hardverből változtatja másodpercenként. Nem segít a kamera, a key logger, semmi, mert hardverből jön a kód. Kiír az LCD-re másodpercenként valamit, azt beütöd, úgy léphetsz be.

sigh. Meg egyet hadd kerdezzek: te bebaszva hupozol?

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Te már csak tudod, mert olyan nagyon okos vagy.

ugy ertem, en meg ott vagyok leragadva, hogy az amatoroket kripto feltalalasra biztatni (mert hogy az megoldja a problemat) nem okos dolog. Kiveve, ha hekker vagy, es a celpontodat igy probalod meg valami snake oil-ra ravenni a csapongo gondolataid kozepette.

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Amatőrökre nem lehet security-t építeni. Sajnos ez a helyzet, szóval teljesen mindegy, hogy kriptót talál-e fel, vagy "az aksi vírussal fertőzött" üzenetre kattint rá, a végeredmény pontosan ugyanaz: nulla.

Munkahelyemen volt, aki a privát kulcsot berakta a repository-ba, nehogy elfelejtődjön. A hátulütője, hogy 777 jogosultsággal bírt a repo, tehát aki kíváncsi volt rá láthatta. Lehet beszélgetni, hogy az RSA mennyire biztonságos privát kulccsal a repóban. Legalább annyira, mint a cleartext FTP. Vannak emberek, akiknek ez is jó. Amikor kérdeztem a főnököt, hogy nem baj-e, hogy letölthető a privát kulcs, azt mondta át kellett írni a rendszert TLS-re, mi megcsináltuk, úgysem fog senki betörni...

Lehet cleartext TLS-t is csinálni. Kipipálod papíron, hogy mekkora secure csávó vagy, azt felveszed a fizetésedet. Nem hiszem, hogy amikor mondjuk betörnek és 10 millió ügyfél adatát megszerzik (mindennapos történet), akkor az adott cég direkt expert-eket alkalmazott. Sokkal inkább szart az egészre, azért tudtak betörni, mert akartak. Azok ellen védett a rendszer, akik nem akartak betörni, ha pedig akart, bement. Leginkább a kerítésre hasonlít: aki át akar menni átmászik, viszont te megjelölöd, hogy magánterület, lehetőleg ne gyere be.

Tök jók a tűzfalak, Linux alatt is be lehet állítani, hogy külső, vagy belső hálóra milyen szabály vonatkozik. Azt elfelejtik, hogy mondjuk egy ZTE router külső hálózatnak számít, mert az veszi át a hatalmat felette, aki akarja. A kínai router-ek hulladék hardverrel semmiféle védelmet nem jelentenek külső támadásokkal szemben. Kína ráadásul diktatúra, ahol köztudottan nem a security az elsődleges szempont.

A szomszéd Pistikét frappáns módszerekkel ki tudod zárni, de mondjuk Kínával, az oroszokkal, vagy az USÁ-val szemben szart se ér az egész.

a dakota kozmondas szintu sztorijaid elolvasva meg mindig nem vilagos, mi a problemad. Nyilvan abszolut biztonsag nem letezik, de egy kicsit erosnek tunik, hogy az emlitett 3 orszag ellen nincs vedelem. Foleg, hogy fentebb meg azt irtad, csinaljon mindenki hazi barkacs kriptot...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

A többiek megértették rajtad kívül: a homogén rendszerek biztonsági kockázatot jelentenek.

Ha minden PC-n Windows fut, ha minden telefon Androidos, ha mindent Kína gyárt és ha minden software-t amerikai vállalatok állítanak elő, az biztonsági kockázat.
Másoknak úgy látom lejött.

ertelek. Akarsz rola beszelni? Btw. a letezes maga biztonsagi kockazatot jelent. Nyugtass meg, hogy azert nem lovod fejbe magad!

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

valami okossagot te is irhatnal, mert eddig csak savaztad a csavot (akar igaza van akar nem...)

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

a dakota kozmondasok igazak! De mit is szeretnel tolem latni?

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Hát én például egyáltalán nem értem miről beszélsz. Ráadásul:
>Amatőrökre nem lehet security-t építeni.
>Nem kellenek matematikusok profi titkosítási algoritmusokhoz.

[insert line here]
B.C. 3500 - DIY Vehicle / A.D. 30 - DIY Religion / A.D. 1991 - DIY OS

Félreérthetően fogalmaztam (vagy rosszul). Kellenek a matematikailag kidolgozott algoritmusok.

Ezt nyílt forrású projekttel fordítod. Tudd, hogy mit csinálnak. Emellett nem árt valami egyénit is berakni, ami növeli a biztonságot.

Amikor pénzért megveszel egy zárt forrású dll-t, amiről a securgadget cég azt állítja, hogy oké nem tekintem biztonságosnak. Security by obsurity.

Magad fordítod, saját megoldásokat is beraksz, hogy növeld a visszafejtés költségét. Nem biztos, hogy a saját rész valódi védelmet ad, de pénzbe kerül törni.

És pontosan ez a célod. Növeld a visszafejtés költségét.

Meg ahogy Móricka elképzeli.

Neked is küldöm egy korábbi feladványomat. Nyílt forrású, így biztos megtalálod benne a backdoort:

http://cvsweb.openbsd.org/cgi-bin/cvsweb/src/sys/dev/rnd.c.diff?r1=1.35&r2=1.36

Nem biztos, hogy nyílt forrású szoftverben megtalálom a backdoort, viszont zárt forrású szoftverben ez garantálva van.

Egyáltalán nincs garantálva, de ezt a kört már évekkel ezelőtt lefutottuk. :)

Megint sikerült mást leírni, mint amit mondani szerettem volna.
Zárt forrásúban sokkal nehezebb megtalálni egy backdoor-t, mint nyílt forrásúban.

> A Microsoft meglépte, hogy a compilert is átdolgozta login kérésénél. Más kódot generált a C fordító.

Ezt kifejtenéd, kérlek, hogy mit jelent? Olyan fura. Autocorrect átírta?

Link itt

Külön fejezet foglalkozik vele, Compiler backdoors rész.

Sőt, CPU backdoor is van.

http://www.eteknix.com/expert-says-nsa-have-backdoors-built-into-intel-and-amd-processors/

Az egész lényege, hogy amikor a PC a login résznél van, akkor más kódot fog végrehajtani, mint egyébként. Sőt, program sem kell hozzá, hogy hálózaton átvegyék a gép fölött a hatalmat.

Otthon elküldök egy csomagot a hálókártyámnak, ami bekapcsolja a gépet. Az NSA más csomagot küld és a gép mást fog csinálni.

Lehet keménykedni, hogy nekem ilyen, vagy olyan Firewall van, meg milyen tuti a védelem, de Putyin írógépen küldte el a parancsot a Krím megszállására. (Link) Orbán a Merkel sztorival kapcsolatban azt mondta, hogy nem telefonon kell ilyeneket megbeszélni. Ennyi.

Ugyan biztos hogy van ilyen szintű backdoor is a processzorokban, de az NSA ezeket kb. sose fogja kihasználni, mert túl értékes ahhoz és mindig lehet találni olcsóbb biztonsági rést, amelyik kisebb kockázattal jár, ha a kihasználásakor lelepleződik.

Feltételezem nem a compiler backdoorra kérdezett rá, mert az Thompson hack óta köztudott, hanem hogy hogyan jön ehhez a Microsoft, amelyik "a compilert is átdolgozta login kérésénél" és mit jelent az, hogy a login kérésénél és mit dolgozott ahhoz a compileren és miért csak a login kérésénél dolgozta át... :)

Csak feltételezés volt az MS barkácsolása. Zárt forrású szoftverről van szó, kizártnak tartom, hogy nem fordít néha szándékosan mellé.

ha zárt a forráskód, minek berhelni a compilerrel? ne légy hülye :D

gondolkozz mielőtt hozzászólnál. A compiler forráskódjáról volt szó. Úgy tudom, a Visual Studio zárt forrású rendszer.

Akkor te is fejtsd ki, amit akartál mondani. Mit jelent az, hogy "login kérésénél"?

Elképzelte a maga egyszerű módján, hogy hogyan is létezhet egy compiler backdoor (nyilvánvalóan a Thompson hacket se értette meg), ahogy turul is próbált RNG backdoor témában szakérteni fogalom nélkül.

Még szerencse, hogy vannak ügyeletes nagyon okos emberek itt a hupon, akik tudnak szakérteni, mikor a laikus nem tudná miről is van szó.

Yepp.

Jó de akkor azt mond meg, ez sok-sok titkosítás meg heterogén rendszer - illetve ezeken keresztül mi emberek - hogyan fogunk tudni kommunikálni egymással?

+1

A profi privát szerverek levelezését pedig lehallgatják/-hatják...

Privát szerverre meg bejárnak vagy megfejtik az adat folyamot a kulcs lenyúlásával, lásd heartbleed bug (backdoor) és társai.

Ha terrorista lennék, az információt képekbe kódolnám bele és megosztanám a google+, vagy egyéb oldalakon.

Kicsit az iskolára hasonlít, amikor a faliújságra kiraktam a puskát. A tanárnak fogalma sem volt az egészről én meg úgy csináltam, mintha elgondolkodnék, miközben olvastam a megoldásokat.

:)

Ha terrorista lennék, az információt képekbe kódolnám bele és megosztanám a google+, vagy egyéb oldalakon.

slowpoke

http://www.zdnet.com/article/terrorists-and-steganography/

igen, a steganográfia elég régi dolog. egy képről mennyire mondható meg, hogy van benne valami más infó is? a cikk írja, hogy ha a netről szedik le a képet és azt használják, akkor ha megvan az "eredeti" kép, akkor az esetleges változásból sejthető, hogy mókoltak vele valamit, amit aztán lehet elemezni. de az érdekelne, hogy ha lefotózom a szomszédban a fát, pakolok bele infót, mennyire lehet felismerni, hogy kódoltam bele mást is?


"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

100% biztonsággal nem lehet, de a nagyobb titkosszolgálatoknak külön csapatuk van erre, amelyek kifejezetten stegano témával foglalkoznak és ismerik az összes interneten fellelhető publikus (és sok nem publikus) stegano szoftvert és azok kódját, így ki tudják mutatni, ha azokat használva rejtettél valamit a képekbe. Ha teljesen saját - okos - módszerrel teszed, akkor jó eséllyel nem ismerik fel, de nagyon nehéz ezt elég okosan végezni. Egyrészt vannak mindenféle redundáns adatok a képformátumokban, amelyek ha nem egyeznek a steganozás miatt, akkor máris sejthetővé válik, hogy manipulált a képfile. Másrészt erős a gyanúm, hogy az ilyen csapatok behatóan ismerik azokat a jpeg libraryket és digitális fényképezőgép firmwareket, amelyek a képfile létrehozásában vesznek részt és ismernek olyan összefüggéseket, amelyeket mások nem. Így ha kapásból nem is tudják, hogy mi van elrejtve a képekben, az már elég indikátor számukra, ha valami nem stimmel a képfájlokkal kapcsolatban. Tudnak mindenféle entrópia és spektrum mérést végezni különböző szempontok szerint, amelyek szintén kimutathatják, ha rejtett információk vannak elkódolva a képekben és nem csodálkoznék azon sem, ha azt a néhány firmware/kamera gyártót esetleg rábírták volna már arra, hogy rejtett információkat kódoljanak bele a képekbe, ahogy a nyomtatógyártók esetén is megtörtént ez sok évvel ezelőtt.

Harmadrészt egy egyedi stegano szoftvert titokban tartani elég nehéz, főleg ha többedmagaddal akarod használni (pl. terrorista csoport), így előbb-utóbb a szolgálatok kezébe kerül és máris kiismerik a használt módszert...

„nem csodálkoznék azon sem, ha azt a néhány firmware/kamera gyártót esetleg rábírták volna már arra, hogy rejtett információkat kódoljanak bele a képekbe,”

Nem vagyok képformátum mágus, így inkább kérdezek:
Ha a kamera gyártója rejtett információt helyez el a képben, akkor az random választott képszerkesztő programmal való feldolgozás után is megmarad? Például én a raw formátumot szoktam használni, és azt a számítógépen alakítom át jpg, vagy png formátumra. Tehát a gyártó által esetlegesen elhelyezett akármi a konverzió után is megmarad? Akkor is, ha különböző szűrőkkel dolgozom fel a képet?

Kieg.: A Facebook például brutális módon átkódolja a feltöltött képet. Azután marad valami a gyártó által belekódolt valamiből?

Saccra: nem hiszem. De a tool, amit használsz beleteheti a saját ujjlenyomatát, hacsak nem nyílt forrású SW-ről van szó. De pl. Canon-hoz gyakorlatilag nem lehet nyílt forrású cuccot használni, mert létezik ugyan ilyen RAW konverter, de az általa készített JPG vagy egyenesen használhatatlan, vagy túl sok utómunkálatot igényel. Tehát marad a gyártói SW, vagy az Adobe Camera RAW, ami valószínűleg csöbörből vödörbe. (Mondjuk terroristáknak elég lehet a rosszabb minőségű JPG is, ha bízhatnak benne, hogy nem maradt benne a gyártóra utaló nyom.)

„De pl. Canon-hoz gyakorlatilag nem lehet nyílt forrású cuccot használni…”

Canon gépem van, és a darktable-t használom hozzá. Azt nem tartom kizártnak, hogy ez egy profinak nem jó megoldás, de én nem vagyok profi. Amatőr használatnál az „általa készített JPG vagy egyenesen használhatatlan, vagy túl sok utómunkálatot igényel” kitételt kicsit túlzónak érzem.

De ami a lényeg (szerintem):
- Nyomtató esetében a gépből kijött papírt borítékba tesszük és postázzuk, vagy berakjuk egy iratgyűjtőbe. Tehát már nem módosítjuk jelentős mértékben Esetleg néhány aláírás és pecsét kerül még rá, de ezek nem tudják eltüntetni a rányomtatott gyártói információt. Ezzel szemben a fényképezőgépből „kikerülő” képet az igényesebbek legtöbbször módosítják egy programmal (átméretezés, kivágás, vörös szem eltávolítás,…), amely program eltávolíthatja a beszúrt plusz információt. Tehát a kérdés az lenne, hogy van-e értelme ilyen megoldást kifejleszteni, ha az könnyedén eltávolítható.
- Másrészt sokak számára már az exif információ is rakétatudománynak számít, így az abban levő típus és sorozatszám információk is elegendők lehetnek az azonosításra.

Nyilván feldolgozásfüggő. Csodát azért nem lehet művelni, de sokféle steganográfiás módszer van és biztos többet gondolkoztak a leginkább túlélő megoldáson, mint én.

Egyik triviális módszer ugye az, hogy a pixeleket kódoló bitek legalacsonyabbik, legkisebb helyiértékű bitjét változtatva kódolják el bitenként, pixelről-pixelre az információt. Mivel ez annyira minimális árnyalatnyi különbséget eredményez egy sokmillió szinű palettán, hogy az emberi szem számára észrevehetetlen, ezért így akár a teljes képbe pixelenként 1 (vagy akár 2) bitet is bele lehet kódolni. Ez a mai sokmillió pixeles, sok megapixeles kamerák képeinél elég sok adat elrejtését teszi lehetővé, így egy rövid kamera típusszámot, vagy valamiféle kis egyedi azonosítót sokszorosan, redundánsan bele lehet kódolni a képbe. Ennek köszönhetően kép kicsinyítés és cropping hatására is megmarad az esély az információ visszaállítására. Ha ezt ötvözik más módszerekkel is, amelyek a színkorrekciós képfeldolgozást túlélik, akkor elég jól lehet növelni a steganográfiával elrejtett információ túlélési esélyeit.

Nyilván a veszteséges JPEG tömörítés sok szempontból bonyolítja a helyzetet, viszont más esetekben meg plusz lehetőséget nyújthat újabb információk elrejtésére a bonyolultsága révén. Egyébként már a kamerák CMOS szenzorának olyan egyedi, az emberi szem számára észrevehetetlen apró hibái vannak, amelyek a fotókat képesek az adott kamerához kötni és egyfajta ujjlenyomatként működni. Ezeket a szilíciumszeleteken lévő hibákat is valamennyire el lehet fedni zajszűrő megoldásokkal, de közel sem tökéletesen. Szóval nem egyszerű téma ez.

köszi!


"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

Ez mind szép és jó, meg hihető, de szerintem, ha nem tudják automatizálni, akkor nem ér sokat. Gondolom folyamatosan nézniük kell a torrenten, meg ki tudja, hogy terjedő képeket és videókat, azokból pedig lehet egy pár.

és pontosan így is tesznek

De jó kis filmgyüjteményük lehet! :)

Percenként 20 terabyte adatot fognak el és dolgoznak fel legalább.

Érdekes cikk.

"... the Pentagon is attempting to expand its worldwide communications network, known as the Global Information Grid, to handle yottabytes (1024 bytes) of data."

"It needs that capacity because, according to a recent report by Cisco, global Internet traffic will quadruple from 2010 to 2015, reaching 966 exabytes per year. (A million exabytes equal a yottabyte.)"

Ez nem meglepő:
"The NSA is more interested in the so-called invisible web, also known as the deep web or deepnet—data beyond the reach of the public."


"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

Pénzügyben dolgozom, a nagy cégek saját kábelt fektetnek a hivatal és a piac (tőzsde) között. Hiába nyomja az USA a yottabájtos szarait, ha szimplán fizikailag kikerülik őket.

Kizárólag amatőr kisfiúkat kapnak el ezzel a módszerrel.

Egy ilyenre azért kíváncsi lennék...

Nekem is monták már sok helyen hogy "saját kábelük" van, de aztán végül mindig kiderült, hogy csak a szolgáltató marketingelte túl a bérlet vonalat és/vagy az MPLS VPN-t :)

--
zrubi.hu

Az internet szó megvan? A rosszfiúk saját kábeleket fektetnek? Vagy nagy cégeknél dolgoznak és a privát netjeiket használják? Miért foglalkoznak quantum nonlocality kutatásokkal átvitelhez?


"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

Országokról szólt a hozzászólásom.

Megoldják, hogy orosz, kínai csomagok ne az USA-n keresztül menjenek. A yottabájtjukat meg feldughatják oda.

Már a '70-es években is megcsapolták az orosz vízalatti kábeleket (Operation Ivy Bells, Ronald Pelton adta el az infót az oroszoknak) és azóta a mélytengeri optikákról is tudni lehet, hogy megcsapolják folyamatosan, több száz másik üvegszálas kábellel egyetemben (Lásd Snowden által szivárogtatott OAKSTAR, STORMBREW, BLARNEY, FAIRVIEW műveleteket). Nem hiszem, hogy nagy problémát okoz nekik bármilyen külön fektetett kábel lehallgatása, ha érdekes számukra...

Eszembe nem jutna tisztán szoftverből megoldani a dolgot.

Fogsz egy Wifi támogatású mikrovezérlőt, annak átküldöd a képet, azon van egy 128x64-es LCD kijelző.
Így jeleníted meg az üzenetet. Ezt olyan anyaggal öntöd ki, hogy károsítás nélkül ne lehessen hozzáférni. A program átküldi a képet/hangot/akármit, a kijelző meg dekódolja.

Mindenképp külső hardver kell, mert az operációs rendszerekben nem lehet megbízni. Egyikben sem.

Pontosan.
Napi 3-4000spamet kapok az ősrégi yahoos mail accountomra. Többekközt a chilei birkapásztorok levelezőlistájáról és egyéb illusztris helyekről szerte a világból.
Már jó 2 éve oda megy minden spam.

természetesen a Google és az MS nem tett ilyet

Inkább róluk még eddig nem derült ki. :)
De ahogy az ősi kínai mondás tartja: ami késik, nem gyorsvonat.

De náluk vélhetően _csak_ az amerikai kormányzat fésülte át az emaileket. A Yahoonál meg szinte mindenki.

nézd már, tényleg, erre fel se figyeltem...várj, NEM MINDEGY? nem megnyugtató, hogy a google CSAK a hazafias énjének engedte meg, hogy etikátlan legyen.

Ez nem visszaélés, nem történt semmi etikátlan, teljesen mindegy az együttműködés motivációja a cég részéről. Nem éltek vissza a privát szférával, levéltitokkal, az ilyen megfigyeléskre és adatgyűjtésre jogosult, és jó okkal jogosult titkosszolgálatok célirányos kereséseit futtaták a cikk szerint. Régebben olvastam, hogy bűnözők, terroristák webmailel úgy tartják a kapcsolatot, hogy regelnek egy csomó accountot, aztán netkávézóból, lopott eszközről belépve csak piszkozatokat csinálnak, azokban írják egymásnak az üzeneteket. Nincsen kimenő levél, a címzett oldalon lekövethető IP amit rejtekhelyhez köthetne a rendőrség. Ezt a fajta kommunikációt máshogy nemtudják megfigyelni, csak így ahogy a yahootól kérték.

nem történt semmi etikátlan, teljesen mindegy az együttműködés motivációja a cég részéről

valoszinuleg nem erted a szo jelenteset.

Nem éltek vissza a privát szférával, levéltitokkal, az ilyen megfigyeléskre és adatgyűjtésre jogosult, és jó okkal jogosult titkosszolgálatok célirányos kereséseit futtaták a cikk szerint.

jahogy a cikk szerint nem. Az mas. LOL. Mert arrol nem is lehetett olvasni, hogy az nsa es baratai kb. valogatas nelkul figyeltek a mailboxokat.

Ezt a fajta kommunikációt máshogy nemtudják megfigyelni, csak így ahogy a yahootól kérték.

hat ez is duplatenyeres lett...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Valójában senkinek nincsen semmi alapja a háborgásra. Ezt fogadod el önként, ha regelsz yahoo accountot:

* We respond to subpoenas, court orders, or legal process (such as law enforcement requests), or to establish or exercise our legal rights or defend against legal claims.
* We believe it is necessary to share information in order to investigate, prevent, or take action regarding illegal activities, suspected fraud, situations involving potential threats to the physical safety of any person, violations of Yahoo's terms of use, or as otherwise required by law.

De túl azon, hogy semmi olyan nem történt amire a regeléskor ne mondtál volna igent, nem értem hogy normális, tisztességes embert ez az egész miért aggaszt. Kényelmetlenséget nem okozott, a céljával pedig meglepne ha nem értenél egyet.

Nagy szerencse, hogy jön mindig egy-egy ilyen tisztességes ember és utat mutat a többi embernek a tisztességes élet felé, ahol nem kell hogy létezzen magánszférához való jog és magánélet szabadsága, meg más ködös fogalmak, mert akinek nincsenek titkai, annak nincs is mitől félni, ugye...

Nomen est omen.

(Nem lelkesedem a latin mondásokért, de most ez volt a legtömörebb.)

A kulcs mondatrész számomra:

"far beyond what law requires"

--
trey @ gépház

:'(

Végül is a Youtube logóját simán kicserélhetnénk a tietekre is. ;)

szeretem az ilyen sznob pöcsöket.
ugatás helyett talán állna neki tanítani.
"unforgiving hate".
az.

Nekem jó a protonmail is meg a tutanota is. Nem élném túl, ha valaki elolvasná a malackodó e-mailjeimet meg a kávéfilter rendelésemet.

Hát ez az. Ki az a hülye (Clintonnén kívül), aki titkos dolgokat e-mailben kommunikál le?

Lehet titkos információt e-mailben küldeni. Titkosítva. Az E-mail pontosan olyan csatorna, mint a TCP/IP vagy a HTTP. Önmagában nem biztonságos. Azonban az adatfolyam titkosításával biztonságossá tehető. Aki a valódi biztonságot az adatátviteli protokollra bízza, rég lemondott a biztonságról.

Az nem baj, ha helyettem elolvassák az emailjeimet,
de szóljanak nekem is ha valami fontos van benne.
Mindig is szerettem volna egy szorgalmas titkárnőt magamnak: ingyen!

----------------
http://nagyorgy.com

ne aggodj, szolni fognak, ha lesz ellened valami...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

sub

Egyszerű a véleményem. A legális életvitel csak legális találatokat hozhat, vagyis az enyémet nézzek át sokszor, legálabb fehér listán leszek.
Snowden sok mindről melyen hallgat, főleg az orosz es kínai ügyekről, szinte usa only módban működik, vagyis megbízhatatlan forrás.
Ez ügyben is megsérteni vélt jogokat nem azért tálaltak ki, hogy ez ellen vedjen, hanem azért hogy az illetéktelen hatósági hozzáféréssel visszaéléseket, kenyszeriteseket hajtsanak végre mint magyarorszagon.

Snowden az amerikai titkosszolgalatnal dolgozott, szerintem az nem tul meglepo, hogy foleg az amerikai ugyekrol tud meselni.

-és amúgy valakinek, aki ott dolgozik ahol képes volt ekkorát borítani, esélyesen halvány segédfogalma sincs a többi titkosszolgálat „szakmába vágó” húzásairól.
hmmm.

Tudomasa van vs. bizonyitekokkal rendelkezik

Vagy ha mindenkibe belerúg, nem lesz hova futnia. Az eredmény ugyanaz.

Ha követed a tweetjeit, akkor láthatod, hogy nem rejti véka alá a véleményét. A Shadow Brokers botránynál is leírta, hogy szerinte az oroszok állhatnak a szivárogtatás mögött. Szóval nem gondolnám, hogy ez a "mélyen hallgat az orosz és kínai ügyekről" kijelentés nagyon megállná a helyét...

A legális életvitel csak legális találatokat hozhat

nehezemre esik eldonteni, hogy itt a naivitas az erosebb vagy az ostobasag. Eloszor is mi szamit az allamapparatus olvasataban legalisnak? Barmikor donthet ugy az allamhatalom, hogy amit te ma legalisnak gondoltal, az holnap mar tiltott, es ehhez nem kell semmi rosszra gondolni, eleg az, ha *akarmiert* szurja a hatalom szemet. Persze, az a rossz, aki a rosszra gondol, mert ilyen meg sosem volt a tortenelem soran...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Egyetértek, az államhatalom mindig is megbízhatatlanabb volt ilyen téren mint egy magán cég. Szerintem.
Az meg megint külön vitát igényelne és kicsit OFF is, hogy attól, hogy valami törvényes még morálisan lehet a legalja is akár.
Erre is nagyon sok példa van a történelemben.

-42-

Erre is nagyon sok példa van a történelemben.

foleg ebben az orszagban :-(

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Ahol "az államhatalom" a polgár ellen fordulhat, ott a magáncégben se bízz, hacsak nem hajlandó a cég feladni minden helyi érdekeltségét az elvei miatt.

Persze, a kisembernek ez nem okoz károkat. Mondjuk némileg zavar, hogy a leveleim alapján célzottan szpemmelnek engem, de kibírom.
És ők is azt hiszok, hogy ezzel el van intézve.
Na de mi van a céges levelek elemzésével? Az már ipari kémkedés, nem?

"A legális életvitel csak legális találatokat hozhat, ..."
bár engem sem érdekel, hogy megnézik a leveleimet, de így azért túlzás. rengeteg nem két-, hanem sokértelmű szó, kifejezés van. ha valakinek azt írod, hogy "hozd már át ma azt a cuccot amiről beszéltünk tegnap", ha valamiért érdekükben áll, annyit mondanak, hogy a cucc az kábítószer és azzal kereskedsz mondjuk.

"... szinte usa only módban működik, vagyis megbízhatatlan forrás."
ettől még nem megbízhatatlan, hanem csak az egyik oldalról ad információkat. amiket egyébként lehet nem kapnál meg. nem mellékesen meg ott dolgozott...


"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

hogy is fogalmazta meg Muhamad Ali a kolto ? :)

A biztonsag csupán egy nagy szó, amellyel a kis emberek dobálóznak, mert számukra könnyebb egy készen kapott világban élni, mint felfedezni magukban az erőt a változtatásra.
A biztonsag nem tény, hanem vélemény.
A biztonsag nem kinyilvánítás. Hanem kihívás.
A biztonsag lehetőség.
A biztonsag múló pillanat.
A biztonsag nem létezik.

"Az a baj az interneten terjedő idézetekkel, hogy nem lehet tudni, hogy ki a szerzőjük" - Petőfi Sándor

--
A főnököm mindig megtartja amit ígér, ha pénzt ígér azt is!

:DD

LOL :D :D

Azonnal törölje?
LOL

Az Apple, Microsoft, Google, a Facebok, és a többiek mondjuk simán beleírják az EULA-ba... mégis milliók használják boldogan.

--
zrubi.hu

Amúgy ez a csávó él még? Vagy tényleg létezett egyáltalán valaha is? Három éve lopta el az adatokat, és azóta 6 havonta megjelenik a semmiből és feldob valami színes-szagosat a netre. Ennyi idő alatt akik akartak volna takarítani, már eltüntetik a nyomait annak, amiről bizonyítékokat szerzett. Akkor meg mi értelme az elnyújtott szivárogtatási stratégiának?
--
WP8.x kritika: http://goo.gl/udShvC

Ha egyszerre túl sok infót teszel ki a sajtónak, akkor az egyszer lehozza, hogy "csúnya dolgok vannak, több millió oldalnyi doksi itt", mert az újságírók nem fogják végigolvasni a rendszerezetlen anyagokat.
Ha viszont időközönként, tematikusan rendszerezve adod ki az anyagaidat, lehetőleg sajtóbarát címekkel, azt minden esetben át fogja venni a sajtó és le fogja hozni - így az emberek nem a több millió oldalnyi doksit látják (amit ők szintén nem fognak elolvasni), hanem azt, hogy "hoppá, a mail szolgáltatóm kémkedik utánam"...

Van ennek értelme.

Szerk.: na meg persze a Yahoo-s story 2015-ös, tehát ez nem az eredeti kör adatlopás volt :)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

ráadásul ha egyszerre hozza le, akkor fél évig forradalom van, utána mindenki elfelejti, így meg folyamatosan fenntartják az érdeklődést. bár ez csak érintőlegesen politika, de direkt politikában is ugyanígy csurgatják az információkat. megvan ennek a maga pszichológiája.


"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

Ugyan már! Snowden egy legenda, amit az FSZB (lánykori nevén KGB) épített föl. Nyilvánvalóan nem egyedül dolgozik, csak ki lett találva a magányos hős meséje, aki a gonosz kormányzat ellen küzd a kisemberek oldalán. Amikor az oroszoknak éppen megint valami közölnivalójuk van, akkor Snowden nevében fölteszik valahova.
A másik ilyen Julian Assange. Korbábban nem gondoltam volna, hogy a WikiLeaks is orosz, de Clinton-né szerint az.

jahát ha Clintonné azt mondja, akkor biztos így van... :)

Anno sok szovjet hőst alkottak így meg.

Miért? A GMail-t pedig folyamatosan nézegetik és robotokkal analizálják...

Levelet törölni pedig nem lehet csak magad elől rejted el végleg.