17/2/2013
Raytheon — wojskowy kontraktor zademonstrował działanie system RIOT służący do profilowania obywateli na podstawie informacji zbieranych z serwisów społecznościowych.
Jak Riot zbiera informację na twój temat
Na stronie Guardiana można zobaczyć wideo-demonstrację Riota z 2010 roku:
RIOT, czyli (Rapid Information Overlay Technology) nie został jeszcze sprzedany żadnemu klientowi komercyjnie, ale Raytheon przyznaje, że podzielił się nim z rządem USA.
RIOT
RIOT już teraz potrafi:
- zwrócić koordynaty GPS w jakich kiedykolwiek przebywała dana osoba (o ile ujawniła swoją lokalizację np. w metadanych obrazków wrzucanych do internetu lub w check-inach na Facebooku — por. “Hacked by cycki“)
- pokazać najpopularniejsze miejsca w jakich przebywa dana osoba (na podstawie m.in. 4square’a i GoWalli) i skorelować je z czasem w jakim zazwyczaj tam bywa.
- zwizualizować inne osoby, z jakim “śledzony obywatel” wchodził w interakcję (np. na Twitterze).
Pod koniec prezentacji, pracownik Raytheona wypowiada coś co powinno nas wszystkich zaniepokoić:
Więc [jak wychodzi nam z analizy] jeśli chcemy namierzyć Nicka [przykładowa ofiara] albo pogmerać mu przy laptopie powinniśmy odwiedzić siłownie o 6am w Poniedziałek [bo tam zazwyczaj bywa].
Profilowanie na potrzeby rządu
Bardzo byśmy się zdziwili, gdyby Riot był jedynym oprogramowaniem do profilowania obywateli. Już teraz do dyspozycji każdy z nas ma narzędzia do profesjonalnego rekonesansu i profilowania typu genialne Maltego lub świeży framework recon-ng.
W czasach internetu inwigilacja jest mocno ułatwiona. Ludzi nie trzeba zmuszać do ujawniania informacji o sobie, swoich znajomych czy miejscach w których przebywają — ludzie z chęcią robią to sami… i nawet jeśli nie korzystają z internetu to nie rozstają się z telefonami komórkowymi.
Narzędzia takie jak Riot na pewno znajdą zastosowanie przy analizie w czasie rzeczywistym przygotowywań do “nowoczesnych” e-manifestacji, takich jak te, które w 2010 roku miały miejsce w Egipcie lub tych, które całkiem niedawno odbyły się w Syrii…
Chyba czas zacząć tworzyć fałszywe tożsamości w internecie. Nigdy nie wiadomo, kiedy będą mogły się przydać…
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Fałszywa tożsamość? Lepiej zaspamować fałszywymi danymi, czekinować gdzieś w Chinach, wtedy będą mieli śmieci na dyskach, nie dane o obywatelu.
ludzie się sami o to proszą. cena głupoty.
No właśnie. Nie to co my, którzy nie używamy internetu ani komórek.
Oczywiście, bo przecież w internecie istnieją tylko serwisy społecznościowe.
No pewnie, a te inne “części” internetu nie mogą być ze sobą powiązane i nie podlegają przeszukiwaniu.
Przeszukiwanie wg czego? Tylko w “społecznościówkach” są
dokładne dane na nasz temat, które można powiązać z resztą
internetu. To że “szpiegskrypty” zbierają o nas dane skąd się tylko
da, nie znaczy że nie są blokowane np ghostery/noscripta i że
wiedzą o kim je zbierają (tego dowiedzą się dopiero jak
założymy tam konto). ps no dobra,z tzw chmur obliczeniowych też się
można o nas masę rzeczy dowiedzieć. Ale tutaj póki co nieliczni
podejmują ryzyko.
Co masz na myśli mówiąc chmury obliczeniowe ? :)
re crackcomm Np wszelakie webaplikacje, a także wszystko inne co powoduje że u ciebie to w zasadzie jest wprowadzanie i wyświetlanie danych a cała reszta (czyli ich obróbka) “gdzieś tam” na serwerach takiej czy innej korporacji ( umieszczonych naturalnie tam gdzie prawo o ochronie danych osobowych liberalne/nieistniejące).
Google sam za mnie tworzy fałszywe lokalizacje pokazując mnie a to w Niemczech, a to w Czechach. Raz nawet pokazał mnie w Libii, tuż przed Arabską Wiosną. I to wszystko gdy byłem w promieniu 20 km od Warszawy. :)
Mnie za to raz w Kielcach raz na Islandii. Jak to wszystko tak działa, a odpowiednie służby zaczną temu ufać to to będzie groźniejsze niż gdyby działało. Wyobraź sobie sjs, że teraz się Ciebie zapytają co robiłeś w Libii w tym czasie? ;)
Tylko po to, żeby Cię fałszywie uspokoić :P
być może lokalizował Cie na podstawie adresu IP który ma kilka wpisów whois – u różnych rejestratorów. Co nie znaczy, że system o bardziej wysublimowanym algorytmie decyzyjnym nie będzie w stanie odrzucić w oczywisty sposób błędnych konkluzji.
oj… straszna rzecz… tyle tylko, że wcześniej robiono to samo tyle że wolniej, drożej i może nie na taką skalę, bo robiono to ręcznie. Przynajmniej dzięki takiemu systemowi oszczędzi się trochę pieniędzy podatników.
Nie zgodzę się. Faktycznie robiono wolniej, mniej wydajniej
i drożej. Ale przez to skupiano się najczęściej na podejrzanych.
Teraz można zbierać takie dane na tema każdego – na wszelki
wypadek… I to jest fundamentalna różnica.
Zawsze można było zbierać dane n.t. każdego. Zresztą służbom nie zależy na takim zbieraniu w sposób ciągły bo i po co skoro można zawsze te dane wygrzebać.
Każdy jest podejrzany :)
Co z niepublicznymi wpisami np. na fb, które udostępniane są tylko znajomym Z takimi danymi też sobie ten soft radzi?
Po podpisaniu odpowiedniej umowy z FB, albo zakupieniu (napisaniu analogicznego) oprogramowania odpowiedź brzmi tak. ;)
Z tego, co pamietam, fb ma podpisana umowe z fbi. Google pewnie tez, patrzac, jak rzad usa bronilo ich przed Chinczykami w wiadomej aferze.
@sjs
I własnie google już wie, że jestes 20 km od warszawy
A ja mam nadzieję, że znajdzie się jakiś hacker który
rozwali RIOT w pył ;)
Tak, Netscapem jak w pamiętnym serialu Ekstradycja, albo i jeszcze bardziej fachowo Emacsem przez Sendmaila.
http://www.youtube.com/watch?feature=player_embedded&v=9PIZjJBjtqU
Alior Bank też tak wkrótce będzie potrafił :)
Aktualnie.. na Niebezpieczniku duzo o preywatnosci a sam wrzuca jakies Facebook Social plugin czy Google Anal… RIOT.. to tylko “All in One” to wszystko co potrafi mozna samemu zrobic, z RIOT jest po prostu wygodniej.
@Bulaga Dokładnie. Ghostery wybula aż 4 trackery na
Niebezpieczniku. Panie Piotrze, dlaczego Niebezpiecznik pozwala na
śledzenie czytelników za pośrednictwem ich strony?
Bo wielokrotnie poszemy o noscript i karamy tych co tylko czytaja a nie stosuja :P
[cyt]Chyba czas zacząć tworzyć fałszywe tożsamości w
internecie. Nigdy nie wiadomo, kiedy będą mogły się przydać… [/cyt]
Mam lepszy, trzymać się z daleka od portali społecznościowych. A
jak już będą obowiązkowe, to robić “martwe” profile. A
ekshibicjoniści którzy są tam dzisiaj nawet się z RIOTA
ucieszą, kolejny odwiedzający ich profile, może nawet “lajka”
kliknie jak udostępnią dość potrzebnych mu informacji. ps co innego
komórka, ale to już wymaga współpracy operatora więc ot tak bez
powodu stosowne służby z tego nie skorzystają.
Tylko po co Nick chodzi na siłownię z laptopem?
Bo jest w drodze do pracy – a jakby zostawil w domu to co to zmienia?
[…] się analizować dane, jakie klienci jej udostępniają w
celu maksymalizacji swoich dochodów. Profilują też rządy
— nie klientów, a obywateli. I jest to zupełnie
zrozumiałe. Natomiast Alior Bank chce […]
Mi google pokazuje, że w ostatnim roku przebyłem 216 tys km
ze średnią prędkością 2650 km/h.
Jak to sprawdzić, Kolego?
Jeśli to względem Słońca, to malutko ;-P
PRZYDATNY PROTIP Co do fałszywych kont na mailu, dobrym
protipem, jeżeli początkowo nie mamy znajomych a nie wiemy skąd
mieli byśmy ich wziąć, jest włączenie sobie na 10 minut tych
śmiesznych gierek typu cityvillage etc. pogranie a potem dołączenie
do grup na fb poświęconych tej grze. W takim miejscu ludzie
zbierają się bo chcą mieć więcej znajomych grajacych w tę grę, gdyż
ta w zamian oferuje profity. Co za tym idzie, wystarczy pozapraszać
osoby które pisały addme please lub samemu tak napisać by mieć
trochę osób coby nam wiarygodność konta podskoczyła. Jak ktoś chce
w tym odnaleźć nutkę zabawy, powiem, że mnie dość porządmie
śmieszyło podszywanie się pod ludzi z poszukiwani.policja.pl (z
listów gończych nazwiska i zdjęcia) >_< Całkiem
zabawnie wchodzi się w interakcje z ludzi z ich otoczenia, a
najzabawniejszy jest moment gdy "kim jesteś Piotrek
przecież grzeje puche" XDD
“Chyba czas zacząć tworzyć fałszywe tożsamości w internecie. Nigdy nie wiadomo, kiedy będą mogły się przydać… ”
Raczej: “trzeba bylo myslec od poczatku i nie byc tak gadatliwym”.
Przytocze ladny cytat z BackTracka, zapozyczony zapewne z jakiegos Konfucjusza, czy innego chinskiego mysliciela:
“The quieter you become, the more you are able to hear”.
To sie tyczy takze tego, co moga o nas “uslyszec” inni. Jesli drzemy paple na okraglo, to moga uslyszec wszystko. A powstanie narzedzi zbierajacych takie informacje bylo tylko kwestia czasu. Jesli cos ci daja, to raczej to przyjmujesz. Zwlaszcza w erze transakcji danych – jesli sa to dane.
https://en.wikipedia.org/wiki/Stellar_Wind_(code_name)
Jak każdy nas może śledzić na fb to jest ok, ale jak rządowy system to już ble?
Trochę rozwlekle na kilka postów, ale czuję się zobligowany opisać trochę bardziej apparmora.
Apparmor w tym przypadku chroni przed tym, by firefox nie uruchomił kodu programu z dysku, więc złośliwy kod może się zapisać na naszym dysku. Może także działać jeszcze wewnątrz przeglądarki, a że nie ma obecnie izolacji w x serwerze pomiędzy procesami, to może teoretycznie zamienić firefoksa w keyloggera, który wysyła wszystkie znaki, które wpisujemy. Ale po wyłączeniu firefoksa, o ile nie użyto exploita na jądro ubuntu lub nie znaleziono innej luki w apparmorze/profilu, to kod nie powinien już działać. Po ponownym uruchomieniu firefoksa, przynajmniej do czasu ponownej infekcji firefoksa, powinien być czysty i już nie być tym keyloggerem. No chyba, że uruchomimy ten kod, który firefox pobrał.
Zaznaczę tylko, iż AppArmor dostępny jest nietylko w Ubuntu… ;-)
Daj Pan spokoj … te wszystkie technologie pochodzace od Canonicala to tragedia w jednym akcie. Wezmy jak przyklad taki notify-osd/notify-send. Zero opcji konfiguracyjnych, dostepna jedynie informacja o wersji. Come on, zero opcji dla daemona powiadamiania? Ach, no tak, to bylo pisane przez developerow Canonicala dla uzytkownikow Unity. To wiele wyjasnia.
Sam AppArmor generuje wiecej bledow w logach, niz ma sensu.
I dlatego nadal aktualna jest zasada: Feed the system with bullshit.
Facebook rozpoczął “modę” na prawdziwe nazwiska w sieci, za nim poszło Google wciskając to nachalnie we własnych serwisach , łącznie z youtube. Pytanie co złego jest w nickach? Może to, że często jest tak że w danym mieszkaniu wiele osób korzysta z sieci, mama, tata, synek i córeczka, czasem babcia i ktoś kto przyszedł w odwiedziny no więc trudno się było służbom i innym ciekawskim połapać kto co pisze. A tak to proszę – wszyscy ładnie podpisani z imienia, nazwiska, wiek, wszystko na tacy.
[…] można zasymulować atak na sieć i przeprowadzić analizę danych (zupełnia jak amerykański RIOT). Niestety, obiegająca od 3 dni świat sensacyjna informacja prasowa jest skąpa w szczegóły […]
Myślę, że to nieludzkie czytać drugiego czlowieka i wykorzystywać to przeciwko niemu.Tacy ludzie nie zdają sobie sprawy z tego jak krzywdzą całe rodziny, jak maltretuja czlowieka. Rzeź i dzicz…