About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (38),Facebook (18),privacy (18),egyéb (12),social media (11),itsec (11),social web (10),biztonság (9),mobil (8),OSINT (7),Google (6),jog (6),szellemi tulajdon (6),tudomány (6),magánszféra (6),szájbarágó (5),email (5),webcserkészet (5),molbiol (5),felzárkóztató (5),Nobel-díj (4),big data (4),Gmail (4),kultúra (4),terrorizmus (4),online marketing (4),kriminalisztika (4),plágium (4),webkettő (4),genetika (3),molekuláris biológia (3),pszichológia (3),azelsosprint (3),Android (3),biztonságpolitika (3),nyelvtechnológia (3),magatartástudomány (3),Apple (3),sajtó (3),2015 (3),orvosi-fiziológiai (3),élettudomány (3),gépi tanulás (3),jelszó (3),üzenetküldés (3),CRISPR (3),Onedrive (3),2-FA (3),popszakma (3),konferencia (3),levelezés (3),kriptográfia (3),reklám (3),biztonságtudatosság (3),hype (3),torrent (3),open source intelligence (3),FUD (2),neuropszichológia (2),csalás (2),kulturális evolúció (2),TOR (2),Whatsapp (2),deep web (2),nyílt forrású információszerzés (2),tweak (2),titkosítás (2),Pécs (2),facebook (2),DKIM (2),hitelesítés (2),SPF (2),bűnüldözés (2),DDoS (2),bejutas (2),videó (2),Reblog Sprint (2),természetes nyelvfeldolgozás (2),villámokosság (2),Hacktivity (2),Yoshinori Ohsumi (2),reblog (2),cyberbullying (2),arcfelismerés (2),ransomware (2),bűnügy (2),Netacademia (2),webkamera (2),szabad információáramlás (2),P2P (2),Balabit (2),génterápia (2),bulvár (2),beszélgetés rögzítése (2),pszeudo-poszt (2),gépház (2),jövő (2),nyelvtudomány (2),tartalomszolgáltatás (2),molekuláris genetika (2),bolyai-díj 2015 (2),HR (2),Tinder (2),öröklődő betegség (2),sudo (2),bug (2),könyv (2),Yandex (2),meetup (2),iOS (2),netkultúra (2),Twitter (2),tanulás (2),malware (2),social engineering (2),IDC (2),cas9 (2),biológia (2),szociálpszichológia (2),vírus (2),hírszerzés (2),farmakológia (2),epic fail (2),kutatás (2),pedofília (2),fiziológia (2)

Verba volant, scripta manent - vagy mégsem


Amikor arról van szó, hogy két fél közt mennyire bizalmas a kommunikáció, akkor rendszerint nem veszik számba azt a rémesen egyszerű tényezőt, hogy hiába alkalmaz a feladó valamilyen aktuális überszuper paranoid levelezőrendszert, ha a címzett gagyi jelszavakat használ és rendszeresen lezáratlanul hagyja gépét és a mobilját.

Nincs mese, ilyenkor tényleg célszerű önmegsemmisítő üzenetet küldeni, amiből ide is dobok egy csokorral. Ezek némelyike nem csak az üzenet elolvasása után vagy egy megadott időpontban semmisíti meg a küldött üzenetet, hanem email értesítést is küld a feladónak arról, hogy az üzenetet a címzett elolvasta, többnél pedig ezen kívül jelszó is megadható a levél megnyitásához. Sőt, találunk olyan noteszalkalmazást is, amihez nemhogy regisztráció vagy felhasználói név nem szükséges, egyetlen szép hosszú jelszó elegendő.

https://ghostbin.com/

http://www.selfdestructingtextmessages.com/

https://www.thismessagewillselfdestruct.com/

http://oneshar.es/

http://www.destructingmessage.com/

https://quickforget.com/

https://gizlinot.net/

https://1ty.me/

https://cloakmy.org/

A legparanoidabb jegyzetelő, amit valaha is kitaláltak.

https://passphrase.io/

0 Tovább

Csalókergetőként átvertek a neten


Pontosabban csak majdnem. Ma végigfutottam a feedem, megnéztem a szaklapok és a pszeudo-szaklapok címoldalát, az egyiknél pedig megtorpantam egy kicsit. Szakasztott amerikai stílusban úgy reklámoztak csomagajánlatban egy IT-s oktatóanyagot, hogy belegondolva tényleg a tökéletes mosóporreklám korunkbeli analógjának is nevezhetném.

A lényeg: IT-területen különböző szépnevű szervezetek által kiadott, ágazatspecifikus certiket lehet szerezni sikeres vizsga letétele után, ami kábé lehetetlen, ha a vizsgához szükséges ebookokat vagy videós anyagot nem közvetlenül a vizsgáztató szervezettől veszed, ami eleve kerül valamennyibe. Minden szinten így van, függetlenül, attól, hogy "Senior Notepad Expert" vagy éppen "Certified Kódernincsdzsa Professinal" szeretne lenni. Amiről írok, csomagajánlatban volt, kicsit utánanéztem és eléggé gyorsan világossá vált, hogy miért annyira olcsó a csomagajánlat. Lényeg, hogy miután indítanak egy kurzust, utána van egy kifutási ideje, ameddig vizsgát lehet tenni belőle, ezek pedig azért eléggé közeli időpontok több kurzus esetén is ebben az esetben. Mindegy, gondoltam, ha másra nem, akkor LinkedIN-oldal cicomázásra majd jó lesz, aztán kattintottam a vásárlásra. Azért írom, hogy nagyon amerikai az egész, mert a tananyagokon kívül magáért a vizsgáért szintén vizsgadíjat kell fizetni, ami olyan 8-10-szerese a tananyag árának, de ha eléggé tempósan tanul valaki, akkor nem fut ki az időből, még akkor sem, ha több vizsgát tenne. /*az mindegy, hogy lifetime ajánlanak egy tananyagot, azaz akár egy könyv, megmarad, ha vizsgázni már nem lehet belőle sokáig, akkor gyorsnak kell lenni*/ Trükkösen ki van ez találva, nem?

Az adott lap átirányított a stackcommerce.com fizetésszolgáltatóhoz. Nos, normális ember hasonló esetben összeveti, hogy milyen nívójú lapról kattintott át, meg mondjuk több technikai tényezőt a fizetéskiszolgálóval kapcsolatban, már ha nem valamilyen nagyon ismertről, azaz például Paypal-ről van szó van szó. Ha ez megvolt, akkor meg lehet adni a bankkártyaadatokat a fizetéshez. A fizetés után pedig emailen érkezik az a link, amivel hozzáférhetünk ahhoz, amit rendeltünk.

Jelen esetben viszont egy büdös szóval nem írták előtte, hogy a tananyagok nem a patinás tanusítványkibocsátó szervezet oldalán vannak, hanem egy roppant kedves, Dél-amerikai ország domainjével végződő szájton. Belépés után olyan lassú volt az egész, mint egy reumás csiga, de legalább tényleg működik. Akkor minden klappol is, ugye? Hát annyira nem.

A lassúság mellett pokolian gyanus, ha éppen egy ilyen oldal egészen elképesztően rosszul teljesít például a Google vagy a Pingdom sebességtesztjén, ami minőségteszt is egyben.

Ha egy webhely pokolian lassú, de mondjuk nincs éppen DDoS-támadás alatt, akkor annak az okai két csoportba sorolhatóak: vagy maga a webhely lett arcpirító bénasággal összegányolva vagy az alatta lévő infrastruktúra, azaz hoszting szolgáltatónál akarta megoldani jóárasítva' az üzemeltető a dolgot. Egyik sem valami bizalomgerjesztő, jelen esetben a kezdőlap értelmetlenül nagy, több, mint több MB-s mérete lassítja meg a nyitólapot.

Ez eddig még mindig nem lenne annyira paráztató, hiszen naivan gondolhatjuk, hogy hejj, majd helyreteszi a webmester. Ami viszont már roppant gyanus, ha egy vagy több domainbróker oldalon az oldal domainjét eladásra kínálják! Ha valakinek nincs meg, a domainbrókeri tevékenység aztán tényleg a netes kereskedés mocska. Alapesetben arról szól, hogy valaki lefoglal egy domain nevet, amiről feltételezi, az majd kelleni fog előbb-utóbb egy azonos nevű szervezetnek, ilyenkor pedig a józan ész szerint névhasználatra jogosult szervezetnek nem a regisztrátornál kell fizetnie, hanem a domain tulajdonosánál, kitaláltad - annyit, amennyit az kér érte. Ezen a Wikipedia-linken lehet rajta szörnyülködni, hogy mik voltak a net történetének a legdrágábban visszavásárolt domainnevei.

Lényeg, hogy ha kihúzzák egy webhely alól a nevét, akkor aztán nem lesz nagyon hova kattintgatni, ez eléggé világos. Meg az is, hogy nem szoktak viccből vagy véletlenül eladásra meghirdetni egy domain nevet, ahhoz általában az eladónak valamelyik tetű domainbróker szolgáltatónak kell fizetni, mint amilyen a SeDo.

Persze, vannak oldalak, amik a címoldalon hirdetik, hogy valójában eladó az alattuk lévő domain, ennek a típusú internetes csalásnak egy sokkal gyakoribb formája, hogy az oldalon tényleg van valamilyen tartalom vagy szolgáltatás, amíg nem jön valaki, aki olyan árat kínál az adott névért, amennyiért a domain tulajdonosa már a fél családját is eladná kilóra...

Azaz lényegi szempontból nem vertek át _még_ mivel tényleg tudom használni, amiért fizettem, igaz, igencsak fapados módon, de lényeg, hogy még elérhető tartalomról van szó. De éppenséggel megtörténhetett volna az is, hogy teljesen más vagy elévült tartalmakhoz kapok hozzáférést, a fizetést követően pedig istenigazából senki sem hibáztatható, ha valamelyik játékos mégis, akkor az az idióta IT biztonsági szakportál, amelyik anélkül ajánlotta az egészet külön cikkben, hogy egyáltalán egyvalaki kipróbálta volna.

Közhelyes, de az internetes csalások egyidősek az internettel, aztán van, aki veszélyeztetettebb és van, aki kevésbé, a fraud preventionre pedig ugyancsak teljes üzletág épült. Egy kicsit át lettem verve, de tényleg olyan bagó összeget fizettem netes vásárláshoz használt kártyával, amitől azért éhen halni nem fogok. Ja, ha már szóba hoztam az internetes csalásokat, azok felderítését, na, ezzel is fogok foglalkozni a legközelebbi, ebben a formában legelső, neten is követhető kurzusomon, ami persze nem csak a csalókergetők számára lehet érdekes, hanem mindenkinek, aki szeretne a neten és az offline térben sokkal gyorsabban információt kinyerni, összefüggéseket feltárni a versenytársaihoz képest. A kurzus egyébként utólag is visszanézhető videón, kérdezni pedig lehet minden mennyiségben közben és utána is. A terjedelme beugró szintű, de a nívója annál komolyabb, jelentkezni erre lehet. #gyertekjólesz

fotó innen: Techsherpas, ITnext, Hostingtalk

0 Tovább

Triviálisan lehallgatható a Gmail (is)


Igen, jól olvasod, ennyire ügyesen sikerült implementálni a kétlépcsős hitelesítést és valószínűtlen, hogy elsőként vettem észre.

Nem clickbait, azzal kapcsolatban meg mindenkit megnyugtatok, hogy nem arról fogok írni már megint, hogy miért necc az, hogy egy Google/Gmail-heroinista világban élünk.

Aki bekapcsolta a Google Accountján ennek a remek, überbiztonságos rendszernek a beállításai közt a kétlépcsős hitelesítést annak ugye ún. alkalmazásjelszavakat kell létrehoznia, ha például levelezőklienssel is használná a Gmail-t, mivel értelemszerűen a kliensprogram nem tudja pár percenként elvégezni a 2-FA-t magától.

Elvben az alkalmazásjelszavakban pont az a szép, hogy nem kell a felhasználónak fejben tartania, így egyszer kell kopipésztelni a megfelelő helyre és kész, kilopni legfeljebb egy hülyén programozott alkalmazásból lehet, amiben meg lett adva.

Na már most normális ésszel az ember azt gondolná, hogy abban az esetben, ha a felhasználó a 2-FA-t kikapcsolja, akkor az összes alkalmazásjelszó semmissé válik, így például a levelezőkliesen keresztül a levelek csak a fő jelszó beírásával lesznek elérhetőek. Van egy nagyon szar hírem a Google fanoknak: a korábban létrehozott alkalmazásjelszavak nemhogy érvényüket vesztenék, hanem továbbra biztosítják a hozzáférést a fiók adott szolgáltatásához, legalábbis az IMAP4 esetén biztos, Google Drive és a többi esetén valószínűleg, a hasonló  azonosítási séma miatt. Nem, nem ideig-óráig működik, egy érintett fiók több, mint egy hónapja elérhető az elvben már nem létező alkalmazásjelszó használatával úgy - most figyelj! - hogy a fiók fő jelszava is meg lett változtatva. Még az is full mindegy, hogy OAuth2-vel vagy sima, ugyan titkosított csatornán átküldött jelszóval jelentkezik fel a kukkoló alkalmazás!

Mit jelent ez a gyakorlatban? Tételezzük fel, hogy a támadó a célpont gépéhez ül, amíg nincs ott, majd generál egy alkalmazásjelszót olyan névvel, ami még akkor sem lesz feltűnő, ha a Google kényszeríti az érintett felhasználót a security checkup végigjátszására, az app password leírása lehet mondjuk "Gmail", "Mail", "iPhone" vagy hasonló, a megtámadott felhasználónak miért lenne gyanus? A támadó az alkalmazásjelszót feljegyzi. Az alkalmazásjelszóval a támadó belép egy levelezőklienssel, majd IMAP4-en keresztül tokkal-vonóval olvashatja a célpont postafiókjának tartalmát. A Google vagy küld figyelmeztetést az érintett felhasználónak, hogy bejelentkezett valaki mondjuk egy japán VPN-en keresztül, ami igencsak anomáliaszerű, ha a felhasználó sosem használ VPN-t és korábban még csak nem is járt Japánban. Viszont vegyük észre, hogy éppen azért, mert levelezésről van szó, a támadó ezt a levelet simán tudja törölni, mielőtt a felhasználó el tudná olvasni a biztonsági figyelmeztetést!

Tehát ha a felhasználó valamilyen okból kikapcsolja a 2-FA-t, de előtte nem vonja vissza az alkalmazásjelszavak érvényességét, teljesen logikusan arra gondolva, hogy azok ilyen módon érvényüket vesztik, valójában erről szó sincs. Egy korábban beállítva maradt fiókhoz a levelezőprogram úgy fér hozzá máig, hogy az érintett fiókon a 2-FA-t 2018. február elején ki lett kapcsolva, a fő jelszó pedig át lett írva!

A támadó vagy úgy felejtett alkalmazás csak akkor veszti el a hozzáférést az érintett postafiókjához, ha az érintett fiók tulajdonosa ismét bekapcsolja a 2-FA-t, egyébként meg gusztus szerint úgy tesztelheti a hibát, rosszabb esetben pedig kukkolhat, ahogy csak akar.

Az abnormális működést 2018. március 5-én, azaz ma 10:13-kor sikerült reprodukálni egy teszt fiókkal, ugyan nem csináltam sem TCPdumpot, sem HAR-t, mert jobb dolgom is van, aki ráér, annak szabad a pálya.

Hogy ez most bug vagy kényelmi feature,  na, azt nem tudom, ahogy azt sem teszteltem, hogy a Google mára kőkeményen fizetős, vállalati verziója, a G Suite is érintett-e benne, de valószínűleg igen.

Legegyszerűbb bugfix: ne használd azt a szart, legfeljebb spamszűrésre, azaz olyan beállítással, hogy a beérkező leveleket azonnal forwardolja is normális helyre és végleg törölje.

Áldásos lenne, ha ahelyett, hogy a felhasználók leginkább veszélyeztetett néhány ezrelékét nem riogatnák azzal, hogy kormányzati támadást észleltek, ezért változtassanak jelszót és költözzenek le a pincébe, bármiféle indoklás nélkül, hogy miből következtetett erre a rendszer.

Valamint a felhasználók ugyanezen veszélyeztetett csoportjára nem akarnák rátukmálni pusztán a biztonságérzetet növelő, de legalább jó drága baromságokat az Advanced Protection Program keretében, hanem a mezei Gmail-fiók úgy működne, ahogy az amúgy logikusan elvárható. Az én, eredetileg még googlemail.com végződéssel, 2004-2005. körül USA-ból kapott meghívóval létrehozott fiókom pedig csak azért is marad amolyan bóvli kis emlékként.

0 Tovább

Közösségi nemtudás a való életben és a kibertérben


Nemrég olvastam Steven D'Souza és Diana Renner A nemtudás című könyvét, ami nem a legjobb, amit valaha olvastam a témában, viszont az egyik legolvasmányosabb, az biztos. Egy könyv, az egyéni- és közösségi nemtudás természetéről, annak fennmaradásáról és lehetséges hatásairól. Az ún. tudás alapú társadalomban hagyományosan a tudásra helyezzük a hangsúlyt, gyakorlatilag úgy, hogy egyáltalán nem foglalkozunk a nemtudással, ami ettől még ugyanúgy hat a világ alakulására és a természete miatt igenis indokolt lenne külön foglalkozni vele a gyakorlatban is. 

Korábban olvastam, hogy a közgazdaságtudományban míg nagyon régen a vagyonosodás és a gazdagság volt a vezető kutatási topik, már jónéhány évtizede sokkal inkább van fókuszban a szegénység, mivel a fejlett világban az lett határozottan ritkább és érdekesebb a közgazdászok és szociológusok számára. A cikkben a szerző hosszan és persze hivatkozásokkal bőségesen érvel mindemellett. Párhuzamba állítva az előbb bedobott témával, mivel a tudás jóval nagyobb ritkaság, mint a nemtudás - mindjárt differenciálom a kettő fogalmát - egy olyan korban, ahol az információnak nagyobb mozgató ereje van, mint korábban bármikor, nem csoda, hogy a tudományos- és kocsmafilozófiai színtéren egyaránt gyakoribb a tudásról és ehhez kapcsolódó összefüggésekről diskurzusokat folytatni. És közben nem vesszük észre, hogy a nemtudás, na meg az információ hiánya legalább ekkora nyomatékkal bír - csak éppen sokkal bonyolultabbá tenné az ezzel kapcsolatos modelleket, azt pedig igazolták, hogy a bonyolultabb modelleket, mi több, több matematikai képtelet tartalmazó tudományos publikációt a hasonló minőségükhöz képest nemhogy kevesebben hivatkoznak, de még kevesebben is olvasnak el! 

Mielőtt elárulnám, hogy mi is a nemtudás, még egy kis kitérő. Néhány évvel ezelőtt Aczél Balázs és az ELTE Pszichológiai Intézetének kutatói világviszonylatban is tekintélyes eredményeket tettek le az asztalra az emberi hülyeség kutatásáról. Amilyen elsőre nem tűnik eleminek, hogy a hülyeség magatartástudományi értelemben nem azonos például az ostobasággal, intelligencia hiányával, amiknek a meghatározása szintén nem bombabiztos. Röviden az emberi hülyeség, amikor valaki vagy valakik, függetlenül attól, hogy általában hogyan viselkednek, adott szituációban egy probléma megoldására valamilyen maladaptív viselkedés mellett döntenek. Emellett irányadó még Carlo M. Cipolla 1970-es években megjelent esszéje, amiben lefektette az öt hülyeség-kritériumot

Ami a nemtudást illeti, nemhogy legjobb definíciót nem találtam rá, de néhány mondatban szemléletesen közelíteni sem egyszerű. Viszont a D'Souza és Renner szerint az, ha jól értelmeztem, amikor egyénileg vagy közösségben az ember úgy hoz döntést, hogy teljesen figyelmen kívül hagy tényszerű információkat, az azok közti kauzalitást, gyakrabban nem figyelmen kívül hagy, hanem nem is tudja, hogy mit kellene számításba venni és aszerint dönt. 

Ami az IT döntéshozó szempontjából érdekes lehet, egy a könyvben az USA egy korábbi védelmi miniszterétől származó idézet: 

"Vannak ismeretlen ismert tényezők: ezekről tudjuk, hogy ismerjük őket. Vannak ismeretlen ismeretlen tényezők, amelyekről jelenleg annyit tudunk, hogy nem ismertek. Léteznek azonban nem ismeretlen ismeretlen tényezők is, olyanok, amelyekről nem tudjuk, hogy nem ismerjük őket.

Anélkül, hogy belefolynék, hogy szerintem a legkülönbözőbb területeken miért kell szinte kényszeresen is mondani valamit olyannal kapcsolatban, amivel kapcsolatban még nem szabadna elegendő információ híján, tény, hogy például a szebbnél szebb nevű ICT elemző szervezetek és persze iparági szereplők rendszeresen kijönnek a saját, következő évre, öt évre vagy tíz évre vonatkozó jóslataikkal, amiknek rendszerint legalább a fele hajmeresztő-labilis megállapítás, mivel annyi bizonytalansági tényező van, amivel nem lehet számolni, hogy nettó szócséplés magabiztosnak tűnő predikciót mondani róla. 

Egy kedvencet azért idéznék szöveghűen, "Béla" FB-faláról: 

"Mint minden valamirevaló szakértő, én is a jövőbe látok. Következzenek tehát 2016-os jóslataim:

- Világszinten 50%-kal több cyber - a hazai kiber átlagon felüli növekedést produkál*.

- A lejárt szavatosságú szignatúra motorok átcimkézésének piaca tovább bővül.

- 2016-ban is Kína volt az!

- Az év folyamán 3-4 új buzzword megjelenése várható.

- Az év folyamán 30.000-40.000 <buzzword> szakértő megjelenése várható.

- A nyilvánosságra került incidenseket Kifinomult Támadók fogják elkövetni (ha marad idejük a matekházi mellett).

- A XOR kódolás továbbra is az ipar legfőbb megoldatlan problémája marad.

- További ártatlan Twitter fiókok fognak a kiberháború áldozatául esni.

- 2016-ban sem lesz jó ötlet chip-et tenni bele. De bele fogják tenni.

- A security appliance-ek piacát felforgatja a kéken villogó LED-ek megjelenése.

+1 Az IT-előrejelzések területén ugrásszerű növekedés várható Q4-ben.


(* A Gartner adatai alapján.)"  

2015. december 22 


Hogy konkrétan melyik jóslatra válaszként érkezett, nem világos, de érkezhetett volna bármelyikre, ha az egyik elemző vagy piaci játékos közzétesz egy magabiztos elemzést, a másik nem teheti meg, hogy ne tegyen közzé szintén. Miért? Igen, azért, hogy nem tűnjön hülyének a másik mellett, a másik pedig nyilván az a fajta komformizmus és normakövetés, ami hatalmas üzleti szereplők esetén is érvényesül, nem csak egyéni szinten. Ha pedig valamelyik giant jóslata utólag nem jön be? Úgyis elfelejtik, ha pedig bejön, lehet majd idézgetni.

Nemrég vettem részt két szakmai rendezvényen, ezek közül az egyik volt kimondottan az IT biztonságra kihegyezve. 2016. óta a NATO az ICT infrastruktúrára is a szárazföld-víz-légtér mellett olyan hadszíntérként tekint, ami ha valamit biztosan jelent, hogy komolyan számolnak vele egy-egy háborús konfliktus folyamán. 

Több előadást is hallottam több konferencián, egyébként általam is nagyra tartott szakértőktől, akik inkább a konfliktusra való felkészültség szintjét próbálták magyarázni, viszont nagy csoda azért nem hangzott el. 

Ami szerintem mindenkit érdekelne, hogy a NATO milyen konkrét, persze bizonytalanságokkal is kalkuláló forgatókönyvekkel dolgozik, amikor elkészíti teljes titokban egy-egy támadás modelljét egy hadgyakorlathoz, ezekről viszont körülbelül annyi tudható, hogy léteznek. És akkor most kérném az Olvasót, függetlenül attől, hogy a biztonság- év védelempolitikában, valamint hadtörténetben mennyire jártas, hogy idézzen fel példát azzal kapcsolatban, amikor egy katonai erő egy hadműveletet részletesen ismertette volna a publikummal, mielőtt alkalmazta! Na ugye! Ilyen még a kezdetleges hadviselés idején sem volt. Amennyire én tudom, legalább a II. világháború óta általános gyakorlat, hogy még a megtörtént hadműveleteket sem teszik nyilvánossá teljes részletességgel. 

Konkrétumok hiányában pedig lehet beszélni, ámde minek, amit pedig kiberhadviselésnek neveznek, azért külön érdekes, mert annyi bizonytalanságot tartalmaz, ami miatt pláne nem lehetne nagy részletességgel bölcseket mondani. Kiberháború alatt pedig, ha jól értem, olyan, az ICT infrastruktúrát érintő támadást értenek, aminek a kihatása az adott államra nézve hagyományos hadszíntéren végzett művelethez hasonlítható. 

Az első olyan, amit több meghatározó szereplő már fegyvernek nevezett, a Stuxnet volt, 2011-ben jelent meg. Való igaz, a 2008-as orosz-grúz háborúnak eléggé félelmetes eleme volt, amikor az ellenséges országban konkrétan lekapcsolták a villanyt, a teljes háború kimenetelét azért ez nem befolyásolta meghatározó mértékben.   

Ahogy én látom, valójában arról van szó, hogy amúgy senki sem tudja pontosan és biztosan, hogy ténylegesen mit kellene csinálni, ha egy háborús konkfliktus folyamán komolyan elkezdené fúrni az egyik állam a másik ICT infrastruktúráját. Mivel nagyon nagy méretben konkrétan még nem történt ilyen. /*ha pedig néhányan biztosan tudják, annál rosszabb...*/

Szóval egyébként magasan elismert szakértők, értelmes emberek magabiztosan beszélnek olyanról, amiről nem is tudnak? A kép árnyaltabb. Beszélnek, de általánosságban. És akkor felvetődik, hogy akkor így ennek lényegében mi az értelme, de tényleg? Hipotézisem van, ami persze egyáltalán nem biztos, hogy helytálló. Egyrészt ha az az elvárás, hogy valamit mondani kell, akkor nincs mese, mondani kell. A másik, amit határozott benyomásom, hogy végülis egy jövőbeli ICT-t is érintő hadművelettől félnek minden szinten, akár tudnak róla, akár kevésbé, holott annál több dolog nem nagyon mondható el róla, hogy a valószínűsége egyre nagyobb egy ilyen bekövetkezésének. Az emberi működésnek ugyancsak szerves része, hogy esetenként racionalitást keres ott is, ahol nincs, ezért lényegében egy inger-elmaradással járó stresszforrás a bizonytalanság és annak tudata. Ahogy az is tény, hogy a félelmek egy jókora része egészen egyszerűen leépíthető vagy elfogadható szintre csökkenthető pusztán azzal, hogy akár az érintett, akár egy hozzáértő személy beszél róla. Sarkítva azt tudom mondani, hogy nagyon sok publikus és félpublikus "kiber-konferencia", azaz ahol már állami vagy nemzetközi méretekről van szó, olyan, mintha egy hatalmas csoportterápiás ülés, ahol több szereplő sorra elmondja a félelmeit, aztán mindenki lenyugszik és pár kávé után hazamegy. Jó, persze ennél jóval többről van szó, amit nem láthatok, mivel nem értek megfelelő mélységben a biztonságpolitikához és a hadtudományhoz, viszont ne legyenek illúzióink, nem, nem tudjuk, hogy hogyan nézne ki egy ilyen háborús szituáció, hiába szeretnénk nagyon azt gondolni, hogy legalább körülbelül tudjuk. 

Ebben az esetben is a tudásomnak megfelelően leírtam egy jelenséget, annyit tudok megállapítani, hogy az én ismereteim szerint ez a helyzet, de azzal kapcsolatban már nem foglalok állást, hogy mindez probléma-e, ennek megfelelően kell-e kezelni. 

Ami viszont világos, hogy mindennek a kommunikációs jelenségnek vannak inkább pozitívumként és inkább negatívumként osztályozható hatásai nemzetközi- és nemzetállami szinten, stratégiai szinten, a piaci döntéshozók szintjén egyaránt. 

Pozitívum például az, hogy államtól gyakorlatilag függetlenül, a mindig lemaradásban lévő politikusok figyelmét felhívják illetve fenntartják ezzel kapcsolatban, viszont az üzenet nyilván nem lehet túl bonyolult olyan értelemben, hogy nem is kell technikai részletebe nagyon belemenni, hasonlóan ahhoz, hogy egy politikusnak nem fogják magyarázni, hogy miért para, ha egy véletlenszám-generátor nem eléggé véletlenszerűen generálja a számokat a kriptóban. 

Pozitívum, hogy felkeltik a figyelmet az erre fogékony nemzedékben, aztán többen mennek például honvédtisztképzőre, ha már középiskolás korukban megismerik, hogy egy hárború már egyre kevésbé arról szó, hogy az egyik csapat tagjai lövik egymást az lövészárokból, dobálják a kézigránátokat és hasonlók, a hadtudomány egy része merőben új csapásirányt vett, amire megfelelő katonákat kell felkészíteni, ahhoz pedig fel kell kelteni bennük az érdeklődést. 

Amin már komolyan el lehet gondolkozni, hogy emellett elfogadható hatás-e az, ha piaci szereplők marketing téren nagyon rárepülnek a témára és a kiberezéssel és pár extra buzzworddel, amit nagyon nem kellene szükségtelenül használni, majd kiberháborút emlegetve akarják eladni még a jeget is az eszkimónak. Amikor pedig a marketing átcsúszik tisztességtelen irányba, egyre többen elkezdenek gyakorlatilag FUD-ot nyomni, ha pedig túl sokan játékos követi ezt a gyakorlatot, gyakorlatilag a tisztességtelen marketingkommunikáció is elfogadottá válik, a normába épül, többek szerint ez már régen meg is történt.  

A másik, amit szintén komolyan kellene venni, hogy hogyan válasszuk el egymástól azt, amikor valakinek a nyilatkozatai a témában még a legnagyobb jóindulattal is inkább bullshitnek tűnik és azt, amikor tényleg hozzáad valaki valami újat egy témával kapcsolódó ismereteinkhez. Egyszerűnek tűnik, de hivatkozva a cikk első felére, ha valamiről általában még túl keveset tudunk, egyáltalán nem biztos, hogy meg tudjuk mondani azonnal, hogy mi bullshit és mi nem. Ahogy nemrég emlegettem valakinek, az a nagy helyzet, hogy tudományos álláspontok értékelhetők és ha arról van szó, persze ütköztethetők egy-egy témában, amivel kapcsolatban túl keveset tudunk, nincs egy fix zsinórmérték, ami alapján biztosan meg tudnánk mondani valakinek a nyilatkozatáról, hogy nagyon ilyen, nagyon olyan értékét tekintve. De ha kicsit kitekintünk, sokkal nagyobb múlttal rendelkező, sőt, kevésbé multidiszciplináris területen sincs sokszor egyetértés. Az irodalomtudomány és sok hasonló humanities-terepen, azt vallja, hogy a különböző iskolák köszönik szépen, megférnek egymás mellett. A pszichológia merőben más megközelítéseket alkalmazott az emberi magatartás leírására, aztán a klinikai gyakorlat mutatta meg, hogy melyik a leginkább használható. A filozófusok és politológusok ugyancsak tudományos tényekre támaszkodnak, mégis merőben eltérő álláspontra juthatnak sokszor ugyanazzal kapcsolatban. 

A hadtudomány ICT-vetülete ehhez képest erősen multidiszciplináris, ráadásul ahogy írtam, még nem volt vagy nem tudunk róla, hogy lett volna olyan, amikor egy háborús helyzet kimenetelét alapjaiban befolyásolta volna az ellenséges fél infokummunikációs rendszereinek összehangolt megtámadása. 

Azaz helyes, ha a szakértők modelleket állítanak fel, folyamatosan szem előtt tartják a témát, a kisebb korábbi konfliktusok elemzésével próbálnak valamit óvatosan jósolni azzal kapcsolatban, hogy egy súlyosabb szitunak milyen hatásai lehetnek, az mindenképp kerülendő, hogy bárki is olyan módon nyilatkozzon a témáról, mintha 1000% biztosan látná előre, hogy egy jövőbeli fél-armageddon hogyan történne meg. Volt már rá példa a történelemben bőven, amikor a szakértők úgy tettek, mintha biztosan tudnák, hogy mi várható és kell csinálni, de sosem sült ki belőle semmi jó. 

Ami viszont előremutató lépés lenne - amellett persze, hogy elfogadjuk, hogy mit nem tudhatunk - ha elindulna valamiféle párbeszéd azok közt, akik tudják és ki is merik mondani, hogy hogyan érdemes olyan témához hozzányúlni, aminek a fontossága nem kérdéses, emellett veszélyesen kevés tudás áll rendelkezésre a témában.

Kép: malaysianchinesenews

0 Tovább

See First felzárkóztató újságíróknak...


Facebook social web közösségi média online marketing egyéb See first

Aki most nagyon picsog a Facebook új kontentpolicyja miatt, annak van egy rossz hírem. Aki lemaradt: az ismerősök tartalmai kerülnek előtérbe a timeline-on - szóval ha eddig háromszor meggondoltad, hogy kit veszel fel ismerősnek, na, mostantól gondold meg hatszor! - míg a lájkolt oldalak tartalmait alapvetően háttérbe szorítja a rendszer, az EdgeRank-algó sokadik változtatása korábban komplett hírportálokat nyírt ki, amiknek a forgalma jórészt a FB-ról jött.

A sok-sok nagyon okos újságíró megírta step-by-step, hogy hol találod a See first gombot egy oldalon. Mindez nagyon szép, nagyon jó, viszont amire a rendszer személyek esetén figyelmeztet, oldalak esetén viszont nem, nevezetesen hogy maximálisan 25-nél érvényesíthető ez a beállítás [mármint oldalak és felhasználók együttvéve]. Azaz hiába tapos valaki a See first-re, oldalak esetén nem kap figyelmeztetést és ugyanúgy vagy csak ritkábban kapja meg a tartalmakat, amiket egy oldal posztol.

A változtatás azon oldalával most nem foglalkozom, hogy a jó minőségű tartalmakat előállító oldalak, amiknek a forgalma gyakorlatilag 100%-ban organikus volt, azaz egy garast sem kellett költeniük hirdetésre, na, mostantól aztán kénytelenek lesznek és hogy a FB-nál, mint növekedést felmutatni már nem tudó cégnél ez miért volt elkerülhetetlen.

Facebook social web közösségi média online marketing egyéb See firstMegoldás? Csak részmegoldás van, azon túl, hogy az információs zaj elfogadhatóra csökkenthető legyen, hajigáljuk ki a kontaktjaink közül, aki túl sok érdektelen tartalmat posztol, ha pedig mindent látni akarunk, a timeline körülbelül elrejtett beállításában a Most recent-re kell ujjazni, amivel viszont olyan dózisú tartalom csap arcon a kontaktok, csoportok és oldalak tartalmai együttes megjelenésekor ömlesztve, hogy azt még akkor sem lehet követni, ha valaki tudatosan csak reggel és este nézi meg a Kéktaknyot.

Hülye fordulattal élve: tetszettek volna az RSS-re rászokni.

Ennél ma már tényleg csak értelmesebb dologról fogok posztolni, ha érdekel valakit, engem, pontosabban a Facebookra-oldalamra pürézett tartalmaimat erre lehet imádni, de a saját oldalammal annyira nem foglalkozom, hogy még a saját posztjaimat sem linkelgetem be.

1 Tovább