bardóczi ákos @post.r

Mindegy, hogy egy apró feljegyzés elkészítéséről vagy egy többszerzős, sokszáz oldalas könyv megírásáról van szó, elvárjuk, hogy amiben dolgozunk, legyen stabil, ne fordulhasson elő adatvesztés, ezen kívül legyen biztonságos és minél több platformon elérhető. Fura módon a többség a mai napig mégis azokat az eszközöket használja dokumentumok szerkesztésére és írására, amik legfeljebb a 90-es években lehettek a kor igényeinek megfelelőek: megszokásból. Mindegy, hogy milyen alkalmazásról van szó, az ok, ami miatt sokszor nem szoknak át a felhasználók egy megoldásról egy minden téren hatékonyabbra, egyszerűen az, hogy nem akarnak 1-2-3 percet szánni arra, hogy egy új felületet megismerjenek, holott a legprofesszionálisabb szerkesztőalkalmazásokban is rendszerint minden kézre áll, amire szükség lehet, a haladó beállítások pedig megfelelően el vannak rejtve.

Ami elvárható a leírtakon túl konkrétabban egy korszerű szolgáltatástól, hogy támogassa a kétlépcsős hitelesítést, ne fordulhasson elő adatvesztés olyan módon, hogy többszerzős dokumentum esetén valaki véletlenül kivág egy jókora részt a dokumentumból, aminek a korábbi változata nem állítható vissza. Azaz minél jobban támogatnia kell az átlátható verziókövetést, ezen kívül legyen multiplatform, mivel szerkeszteni ugyan érdemben úgyis csak asztali gépen lehet, viszont szükség lehet rá, hogy bármilyen mobileszközön be lehessen húzni az alkalmazást a fellegek’ közül és persze pillanatok alatt lehessen konvertálni bármilyen más dokumentumformátumba kompromisszumok nélkül, ha véglegesíthető. És persze legyen freemium változata.

A felsorolt szempontok éppen azok, ami a leggyakrabban alkalmazott módszerekből hiányzik. Előfordul, hogy még csak nem is PDF-et, hanem Word dokumentumot kell küldenem vázlatként emailen keresztül, ami dög nagy, a címzettnél máshogy jelenhet meg függően attól, hogy milyen Office-verziót használ, de legalább a dokumentumba ágyazott részeket, például képeket még pluszban is csatolni kell az emailhez, amitől persze ésszerűtlenül nagy lesz az email és ha tervezetről vagy vázlatról van szó, nyilván végig kell játszogatni mindezt újra és újra minden módosítás után. Ehelyett emailen egy linket küldeni, ami olyan doksira mutat, amihez csak a feljogosított férhet hozzá, online módon azonnal szerkeszthető, látszik, hogy ki, mikor, mit szerkesztett, írt át, túl egyszerű is lenne, nem?  A kész dokumentum átküldésétől már fél fokkal jobb a Google Docs, ami részben megvalósítja ugyan a fent felsorolt feltételeket, de a jogosultságkezelése miatt gyakorlati szempontból egyáltalán nem mondható biztonságosnak.

Miután írtam példát arra, hogy mi nem megoldás, írok néhányat, ami viszont jó választás, nem garantálom, hogy a felsorolás nem szubjektív, de ismerve vagy legalább alaposan kipróbálva 40-50 ilyen rendszert, csak-csak van rálátásom, hogy melyik milyen, a végén pedig egy univerzális trükköt is leírok, amivel az adatvesztés kockázata szinte 0-ra csökkenthető.

Microsoft Word Online

Igen, személyes kedvenc, mivel minden eszközről gyorsan elérhető, egy mezei Microsoft Accounttal használva, Onedrive-val tökéletes választás. Ugyan nem tudom, hogy ha a megosztott dokumentumnak több, írásjoggal rendelkező szerzője is van, akkor jegyzi-e a verziókövetés, hogy egy-egy módosítást ki hajtott végre, az viszont tény, hogy a dokumentum összes korábbi verziója előcibálható, mivel folyamatosan ment a háttérben, ennek megfelelően hiába szúr el valaki valamit alaposan egy dokumentumot, azonnal meg tudja nézni, hogy melyik a legutóbbi még helyes változat és vissza tudja állítani azt. Ez egyébként szinte az összes itt felsoroltra igaz. A MS Officera sajnálatosan ráragadt az a máz, hogy a nagy és gonosz redmondi cég méregdrága szoftvercsomagja, érdemes tudni, hogy a Microsoft Accounttal kínált online Office gyakorlatilag minden funkcióval rendelkezik, amire szükség lehet, ezen kívül extra kiegészítőket is lehet hozzá beépíteni, amilyen például a helyesírás ellenőrző. Megjegyzem, az Office-ra is igaz, ami a legtöbb szoftvercsomag esetében, azaz teljesen értelmetlen mindig a legújabbat választani. A windowsos asztali gépemen Office 2003-at használok, de a több, mint tíz éves verzióban nincs olyan funkció, ami egy újabban benne van ugyan, de hiányoltam volna.

Microsoft Onenote Online

Tekinthetjük a Word Online lightweight változatának, egyszerű jegyzettömbnek tűnik, amiben viszont nem klasszikus dokumentumokat hozhatunk létre, hanem noteszeket, szükség esetén azon belül alnoteszeket, amibe a bejegyzések kerülnek. Finoman skálázható, hogy egy-egy noteszt, alnoteszt vagy jegyzetet kivel osztunk meg csak olvasásra vagy szerkesztésre. A mentéssel egyáltalán nem kell foglalkozni, mivel folyamatosan menti a dokumentum aktuális állapotát a háttérben néhány másodpercenként. Külön erősség, hogy a Onenotenak nem csak az online változata ingyenes, hanem az asztali gépre telepíthető kliensprogramja is, ami akkor lehet hasznos, ha nagyon lassú netet használunk, ekkor a kliensproram határozottan gyorsabb, mintha böngészőből használnánk. Profin meg van oldva, hogy a gyakran használt funkciók vannak csak előtérben, hogy ne zavarja meg a sok beállítási lehetőség a felhasználót, viszont sajátos igény esetén szinte nincs olyan, amit ne lehetne átállítani benne.

Zoho Docs – Zoho Writer

Ha valaki egy többszerzős szakkönyv megírásához keres professzionális eszközt, tökéletes választás. Gyakorlatilag nem merülhet fel olyan igény, amit a Zoho Docs ne tudna kielégíteni. Senkit se ijesszen el a számtalan feature, elvégre más programcsomagban sem kell foglalkoznunk minden rendelkezésre álló lehetőséggel, ami el van rejtve a beállítások közt. Nem kell beletanulni, hogy hogyan érjük el a korrektúrafunkciókat, a Zoho Docs egyértelműen, eltérő színnel kijelölve tudja mutatni, hogy ki, mit, mire, mikor módosított, ezen kívül nagyon egyszerűen lehet apró buborékokban szerkesztői megjegyzéseket írni egy-egy részhez. A funkciógazdagsága ellenére a Zoho Writer használata mégis egyszerű, mint a faék, ha nem akarjuk látni a tengernyi lehetséges feature-t, egyszerűen elrejthetjük. Ami különösen tetszik benne, hogy a szerkesztői jogosultságok finomhangolhatóak, mi több, a dokumentumok tulajdonosa azt is előírhatja, hogy a dokumentumot szerkesztő felhasználók csak akkor férhetnek hozzá, ha eléggé erős, adott hosszúságú és komplexitású jelszót használnak, esetleg kötelező kétlépcsős hitelesítéssel.

A Zoho Docs a sok-sok szolgáltatásból álló Zoho Suite része, egy domainnévre azért szükség van a regisztrációhoz, egy domain regisztrálása viszont ma már nem több 5-10 percnél, ha esetleg nem lenne.
A Zoho Docs ráadásul nagyon jól kombinálható a Zoho Projects-szel, ha például egy tankönyv írásakor a fejezeteket nyilván határidőkre kell megírni, különben az életbe sem készülne el a könyv.

Evernote

A szép zöld elefántos alkalmazás a Onenotehoz hasonlóan minimalista megjelenésű, ugyancsak rendelkezik nagyon gyors asztali gépes változattal, ami automatikusan menti a változtatásokat, fontos eltérés viszont, hogy itt bizonyos lehetőségek, így a verziókövetés csak a fizetős változatban érhetők el.

Gingko

Mindegy, hogy valaki apró feljegyzést készítene, egy komplett regényt ír, aminek a sztoriját menet közben találja ki vagy doktori disszertáción dolgozik, a Gingko mindre alkalmas. Különlegessége, hogy alkalmazkodik ahhoz, ahogyan az emlékezetünk tárolja, struktúrálja az ötleteket, amiket leírunk és mindezt nagyon szemléletesen meg is jeleníti. Egy cetlihez hozzá lehet fűzni leveleket, ahhoz al-leveleket, ezek sorrendjét lehet cserélgetni és így tovább. Ha valakinek olyan az írási stílusa, hogy tervezés nélkül írja azt, amit az elméjéből éppen kipattan, szükségszerűen nem lesz olyan strukturált, mint az előre megtervezetett cikkek, viszont természetesebb és kevesebb fontos részlet marad ki véletlenül, jobban a lényegre fókuszál. [Én például blogposztot így írok, - csak éppen Gingko app nélkül - annak minden hátrányával és előnyével. ] Viszont egy komolyabb cikk esetén érdemes megcsinálni, hogy először vetjük billentyűzetre a gondolatokat külön-külön levélkében, aztán amikor már több nem jut eszünkbe a témáról, akkor a levélkéket lehet rendezgetni, az ismétlődő részeket gyorsabban ki lehet szúrni, végül pedig mindebből egy jól struktúrált, ismétlődésektől mentes publicisztika vagy akár novella jöhet ki. Ez a kezdeti tagolás azért is fontos, mert egy egybefüggő dokumentumban nehezebben vesszük észre, ha ismételjük önmagunkat vagy egyszerűen valamelyik mondat nyelvhelyességi hibát tartalmaz.

Most pedig egy kis varázslat!

ízlés dolga, hogy valaki szivesebben szerkeszt dokumentumot böngészőben, teljesen online módon vagy kliensprogramon keresztül, ahol nyilván akkor is folytatódhat a szerkesztés, ha megszakad a netkapcsolat, mert annak helyreállása után a dokumentum azóta szerkesztett verziója kerül fel a tárhelyre. Viszont sokan tapasztalhattátok, hogy ha szerkesztetek valamilyen dokumentumot, akkor rendszerint, de nem mindig abban a mappában, amelyikben a dokumentum van, amíg a dokumentum meg van nyitva, létrejön egy vagy több átmeneti, rejtett fájl, például „~$tlitől a.doc”. Ezek a fájlok abban az esetben is létrejönnek, ha esetleg az automatikus mentés teljes egészében ki van kapcsolva, ugyanis ez a szövegszerkesztő belügye. Ha bezárjuk, az átmeneti fájlokat automatikusan törli, ha pedig lefagy a szövegszerkesztő, akkor az újraindítást követően ebből a fájlból tudja előcibálni a dokumentum utolsó ismert változatát akkor is, ha a felhasználó az automatikus mentést kikapcsolta és nem taposott eléggé gyakran a mentés gombra.

Természetesen ennek is van biztonsági vonatkozása: ha például egy cég főnöke egy szabadalmaztatás előtt álló gyógyszerészeti technológia végleges leírásán dolgozik, amiben részt vett sokszáz kutató tíz éven keresztül, miközben elköltöttek félmilliárd dollárt, jó esetben van annyi esze, hogy alkalmaz valamilyen titkosítást a gépén. Viszont az ideiglenes fájlok helye nem feltétlenül a dokumentumok számára kijelölt mappa, minél be van állítva a titkosítás, lehet olyan mappa is, ami tárol mindenféle átmeneti fájlt a háttérben és törli, ha már nincs rá szükség, mert a felhasználó a szövegszerkesztőből kilépett vagy kézzel mentette a fájlt. A törlésről pedig tudjuk, hogy az operációs rendszer számára csak annyit jelent, hogy felülírhatóként jelöl meg egy területet, de maga az adattartalom fizikailag nem semmisül meg. Ennek megfelelően ha valaki a laptopot ellopja, még ha nem is fér hozzá a munkadokumentumhoz, mivel az titkosított, esetleg még jelszóval is védett, az ideiglenes fájlokat ki tudja nyerni és meg is tudja nyitni!

Hogy szemléletesebb legyen a dolog, érdemes letölteni Windowsra a Recuva ingyenes változatát majd a telepítés után futtatni egy gyors scannelést és azonnal látszódni fog, hogy hány ezer fájl van, amik vagy alkalmazások ideiglenes fájljai vagy ismerős fájlok, amikor közül többet már száz éve töröltünk a lomtárból is, de minden további nélkül visszaállítható. A háttértáron minél nagyobb a szabad hely és minél kisebb az adatmozgás, annál több visszaállítható fájl fog maradni.

Márpedig amikor egy szövegszerkesztő alkalmazás vagy kliensprogram egy átmeneti fájlt eltávolít, az az operációs rendszer számára ugyanolyan törlésnek számít, minta a felhasználó törölt volna valamit kézileg. Ezért érdemes ellenőrizni, hogy a Word, OneNote, Evernote és a többi az átmeneti fájlokat hol tárolja és beállítható, hogy egy általunk létrehozott külön könyvtár legyen az a mappa, amiben ezek az átmeneti fájlok létrejönnek. Az átmeneti fájlok mappáját pedig érdemes EFS-sel vagy más fájlrendszeri szintű titkosítással titkosítani.

Emellett beállítható, hogy maga az ideiglenes fájlok mappája egy olyan mappa almappájában  legyen, ami folyamatosan szinkronizál a Onedrive-val, MEGA-val vagy a Google Drive-val. Ahogy írtam, a jól nevelt alkalmazás automatikusan ment, az ideiglenes fájlokat pedig törli. Ezek a fájlhoszting szolgáltatások pedig természetesen nem tudják, hogy egy-egy fájl hagyományos felhasználói fájl vagy egy szövegszerkesztő által létrehozott ideiglenes fájl-e, azt folyamatosan töltik fel a felhőbe – és a lényeg – hogy amikor törli őket mondjuk a Word, amikor kilépünk belőle, a Onedrive/MEGA/Google Drive tárhelyen is kukába kerül [legalábbis az első kettőnél biztosan, a harmadikat meg nem használom, de emlékeim szerint ott is]. Mi ennek a szépsége? Azon túl, hogy a fájlhoszting szolgáltatásban a kukára kattintva egy órácskányi szövegszerkesztés után sok-sok hülye nevű fájlt figyelhetünk meg, ez pluszban biztosítja, hogy egy kiadós adatvesztés esetén mi magunk is elő tudjuk cibálni a dokumentumot, hiszen annak tartalmát tárolják ezek az ideiglenes fájlok. Mivel normális fájlhoszting szolgáltató egyébként is titkosított csatornán küldözgeti a fájlokat a felhőbe, ilyen szolgáltatás esetén nem kell különösebben tartanunk attól, hogy azt valaki közben lenyúlja, amíg a hálózaton halad, ahogy természetesen az Evernote és a Onenote kliens is titkosítva talicskázza fel a saját fájljait.

Az előbb leírt módszer szépsége, hogy a még az olyan ezer éves, verziókövetéssel nem rendelkező szövegszerkesztőknél is, mint amilyen egy nagyon régi MS Word, végülis prosztó módon, de megoldott a verziókövetés, hiszen a dokumentum korábbi változatai mind ott lesznek a felhőbeli lomtárban, ráadásul jó sok.

Lehet, hogy amit leírtam, töménynek tűnik, de azt, hogy mivel szerkesztünk, osztunk meg, hogyan oldjuk meg a verziókövetést és minimalizáljuk az adatvesztés és adatlopás kockázatát, csak egyszer kell kitalálni, majd normálisan beállítani, utána gyakorlatilag nem fordulhat elő olyan, hogy egy dokumentumot újra kell írni, mert a pendrive-ot lenyúlták, a Béla gépét ellopták, lehalt a rendszer, akármi.

Professzionális, mégis könnyen használható eszközök állnak rendelkezésre, amik ma már mindezt ingyenesen lehetővé teszik, érdemes élni a lehetőséggel és pár perc tanulással átszokni a pattintott kőkorban megszokott megoldásokról.

Nem, nem fizettek egy zsák arannyal a taxisok, hogy írjam meg ezt a posztot. Ami azt illeti, semmi helye nem lenne a blogon, ha nem lenne egy-két fontos vonatkozása: a biztonság és átláthatóság.

Volt ugye a hét elején ez a cirkusz az Uber miatt, amire mindent mondhatunk, csak azt nem, hogy Magyarországra specifikus jelenség. Az Origó sederített is egy remek ábrát azzal kapcsolatban, hogy mennyi országban volt már dráma ezzel kapcsolatban és mennyi országban tiltották meg az Ubert, ami azért eléggé erős, ha egybevetjük azzal, hogy ezek közt az államok közt vannak olyanok is, amiknél a történelmük szerves része a szabad versenyben való hit. Innentől kezdve bukik az az érvelés, ami szerint a magyar taxisokkal azért nem lehet egyetérteni, mert a social economy korában túl retrográd azt mondani, hogy az Uber igazságtalan azért, mert egyszerűen csak beszállt a versenybe egy bizonyos piacon, hiszen betiltották olyan helyeken is, ahol alapvetően a verseny szent és sérthetetlen.

kép: origo.hu

Ha van néhány dolog, amiben szinte vakon hiszek, az a véleménynyilvánítás szabadsága mellett a szabad verseny, mindkettőnél azzal a feltétellel, hogy nem sértheti aránytalan mértékben és közvetlenül másvalaki érdekeit. És itt jön be a képbe a biztonság.

A taxisok az unalomig ismételgetik, hogy nekik bizony feltételeknek kell megfelelniük, vizsgázniuk, a kocsijuk állapotát rendszeresen ellenőriztetni kell, míg az Uber sofőröknek nem. Az előbb leírtakból adódóan engem elvből totál nem érdekel, hogy ez nekik akkora költséget jelent, hogy amiatt már nem tudják felvenni a versenyt azokkal, akikre ezek a feltételek nem vonatkoznak. Viszont! Az tény, hogy a taxisok az átlagosnál jobbak a vezetésben, amiben nincs meglepő, hiszen ez a hivatásuk. Jól megválasztott taxitársaságok kocsijai biztonságosabbak is, egyébként is eleve komolyan vehető biztosítással szállítják az utast, az már-már mellékes, hogy a szintén jól megválasztott taxitársaság nem húzza le az utast olyan településen, ahol nem rögzített árakkal dolgoznak.  

Amit kiemelnék, végülis a szabad versenyre közvetetten visszavezethető dolog, nevezetesen az, hogy presztizs kérdés, hogy egy adott taxitársaság taxijával utazva senki ne szenvedjen súlyos balesetet például. Összességében összehasonlíthatatlanul nagyobb a valószínűsége annak, hogy valaki balesetet, akár súlyos balesetet szenvedjen egy uberes kocsiban, mintha jól megválasztott taxival utazott volna.

Az, hogy még nem volt elegendő nyilvánosságra került eset, amikor az Uber-sofőr hibájából olyan baleset történt, aminél a sofőt és az utas is feldobta a gumicsizmát, még nem jelenti azt, hogy amit írok, csak hipotetikus megállapítás lenne.

Márpedig ha valaki kenőmájasként végzi egyszer mondjuk a rakparton a kocsival együtt, akkor lesz ideje filózgatni rajta az örök vadászmeződön azon, hogy taxi helyett Ubert választva megérte-e spórolni párszáz forintot – a biztonságon.

Ha valaki az Uber-jelenséget ahhoz hasonlítaná, amikor a 90-es években a nagy zenei kiadók lemezeit mellett gyorsan el kezdtek terjedni az otthon készített zenék is, ami a kiadóknak nem tetszett, érdemes fejben tartani azt, hogy egy kis zenekar felvétele legfeljebb szar, de nem jelent veszélyt senki testi épségére. A másik, ami mintha elkerülte volna az újságírók többségének a figyelmét, hogy az Uberhez hasonlóan aljas büdös bunkó görény cég alighanem nem sok hasonló méretű van, amelyik óvja magát a nyilvánosságtól, mint ördög a tömjéntől, ahogy ebből a cikkből részletekbe menően kiderül, nem lehet Uber sofőr az, aki újságíró, esetleg csak úgy.

Néhány órával ezelőtt gyakorlatilag minden valamire való hírportálon hasított a hír, ami szerint Münchenben terrortámadásra készülnek, ezért fokozták a helyi rendvédelmi szervek a készültséget.

Nekem azonnal az jutott eszembe, hogy ugyanezt a viccet már olvastam valahol, csak 2003-ban volt és Las Vegassal, de haladjunk szépen sorjában.

Nemzetbiztonsági és terrorelhárítással kapcsolatos kérdésekkel nem nagyon foglalkozom, írom is, hogy miért. Már magában a biztonságpolitika kifejezésben benne van, hogy politika, amivel van két-három nagyon súlyos probléma, pontról pontra haladok – elnézést a gyuribácsis fordulat miatt. Az első, hogy hirtelen mindenki biztonságpolitikai szakértő lett, újságírók, médiamunkások tömege beszél és ír a témáról, ráadásul átpolitizálva nem tudva a legfontosabb dolgot, nevezetesen azt, hogy ez egy külön tudomány. Ha hirtelen valami miatt fontossá válna foglalkozni mondjuk a szívkatéterezéssel, embernek eszébe nem jutna, hogy arról rendszeresen olyanok irkáljanak és nyilatkozzanak, akiknek nincs urológus szakorvosi képesítésük. A nemzetbiztonság pont ilyen, ahogy nem létezik alternatív tudomány, nem létezik alternatív nemzetbiztonság sem, ezért irritáló, de teljesen megszokott tény, hogy irkálnak róla olyanok, akiknek lövésük nincs az egészhez. Másrészt mivel tudományról van szó, a témában a tények és összefüggések nem attól függnek, hogy ki mondja, na meg kinek milyen vélemény a szimpatikusabb, ahogy a szívkatéterezést sem érdemes annak megfelelően csinálni, ahogyan éppen tetszik. Mondanom sem kell, hogy attól meg aztán pláne független, hogy aki mondja, annak milyen politikai irányzathoz húz, ahogyan például a Pitagorasz-tétellel kapcsolatban is ki lehet jelenteni ortó ostobaságokat, de attól azok még nem lesznek igazak. Ezt az értelmesebb politikusok alighanem tudják is, ahogy azzal is tisztában vannak, hogy a témában ennek ellenére mégis úgy kell nyilatkozniuk és gesztusokat tenniük, hogy azzal ne menjenek nagyon szembe a saját választóikkal.

Tény például az, hogy ha akkora embertömeget akar befogadni Európa, aminek az ellenőrzésére egyszerűen nincs kapacitása, ezt a helyzetet terroristacsoportok gyakorlatilag biztos, hogy megpróbálják kihasználni, azaz a migráció valóban növeli terrorveszélyt, persze áttételesen, egyáltalán nem abban az értelemben, ahogyan az a közbeszédben él.

Azok a szakértők, akik felelősségteljesen tudnának nyilatkozni ilyen kérdésekben, egyrészt annyira sok részletet nem mondhatnak el, hogy végülis csak általánosságokban tudnának nyilatkozni, de ha nem így lenne, alighanem akkor sem mondanának semmit, hogy ne kerüljenek egy lapra azokkal, akik összehordanak hetet-havat. Magyarországon ráadásul ehhez még hozzáadódik az a jelenség, hogy a jól ismert beszélő fejek úgy kellenek a rendfenntartó erőknek, mint egy falat kenyér, ugyanis amíg valaki beszél az isten adta néphez, addig másnak nem kell.

Ahogy valakinek magyaráztam múltkor, kezdjük az egyszer egynél, ha terrorizmusról van szó: azzal az alapvető dologgal kell tisztában lenni, hogy a terroristának a célja végülis az, hogy olyan állapotot alakítsanak ki a tömegkommunikációt kihasználva, ami egyrészt zavart, félelmet kelt, ezzel közvetetten nyomást gyakorol a célzott politikai erőkre, ami előfeltétele annak, hogy több országban nagyobb mozgásterük legyen, ha befolyásolni akarják azt. Ennek célja pedig szinte mindig áttételesen, hogy gazdasági hasznot húzzanak az adott országon keresztül. Ha felrobban néhány bomba, aztán meghal 50, 100 vagy 150 ember, szörnyű, de tudományos szempontból a terrorizmus járulékos vesztesége, a terroristának pedig csak egy módszer a sok közül és nem emberek meggyilkolása a cél, csupán egy módszer!

Ha valaki ezt a tudományos alapvetést nem képes megérteni, onnantól kezdve az összes logikai érvelés eleve csak hibás lehet – és persze emiatt értelmetlen lenne vitatkozni szinte mindenkivel a témában, leszámítva azt, aki kimondottan ezt tanulta. Például, ha valaki azt állítja, hogy a migrációnak nincs hatása Európa fenyegetettségére, ugyanúgy demagóg ostoba pöcs, mint aki azt állítja, hogy az összes bevándorló terrorista, végső soron ez az egybites gondolkodás itt is általános, politikusoknál ugyan megérthető, persze ott sem elfogadható.

Ugrok egy nagyot: 2003-ban az FBI kapott egy fülest december 24-én, ami szerint terrorakció várható szilveszterkor Las Vegasban. Erre az összes oda utazót fokozottan ellenőrizték, átvizsgáltak mindent, amit csak lehetett, de nem találtak semmit, ami viszont fontos, hogy ez minden szempontból jókora ráfordítást igényelt, amit fordíthattak volna értelmesebb célokra is. Az ilyen eseteknél még számos mechanizmus megfigyelhető azon túl, hogy a politikusoknak azt kell nyilatkozniuk, hogy nagy a veszély, de majd ők megvédenek mindenkit, a rendvédelmi szervek fejesei nem tudják kihúzni magukat az alól az elvárás alól, ami szerint látványos eredményt kell felmutatniuk, még akkor is, ha jól tudják, hogy egy-egy konkrét esetben nem fognak találni semmit. Fel kell mutatniuk valami látványos eredmény, aztán utána elmondhatják, hogy éberek voltak, aztán nem is volt semmi dráma vagy éppen azt, hogy lekapcsoltak pár nyomorultat, sokszor a kockázatot teljesen máshogy mutatva be.

Mintha megértette volna az USA-ban, hogy annak az esélye, hogy valaki terroristaakció áldozatává váljon, jóval kisebb, mint annak, hogy derült égből egy villám pont telibe kapja. Az USA fentről indulva megy keresztül azon az érési folyamaton, aminek az eredményeként ezeket a folyamatokat gátolják, így idővel nem lehet csak úgy megfélemlíteni a tömeget, ennek egyrészről okaként, másrészről okozataként is a sajtó sem foglalkozik vele olyan módon. Na ez a totális kudarc a terroristáknak! Erre az útra Európa nem hogy nem lépett rá, hanem alighanem észre sem vette, hogy ez az egyik, ha nem egyetlen hatékony megoldás a terrorizmussal szemben. A terrorveszélyt és a félelemkeltést természetesen nem számolták fel teljesen az USA-ban, viszont jókora részben gyakorlatilag elfogadható szintre nyomták le.

Meanwhile in Europe… Eközben a totálisan hülye Európa szinte pontosan úgy viselkedik, ahogyan a terroristák szeretnék: parázik a kommunikációs- és politikai színtéren egyaránt.

Nem állítom, hogy teljesen megalapozatlanul vágta magát hadba tegnap fél München, viszont amit a fene nagy polkorrektség közepette gyakorlatilag semmilyen lap nem jegyzett meg, hogy a terroristáknak miért is lehetett érdekes éppen München? Az egyik, hogy München bizonyos részein bevándorlók bizonyos csoportjai a szociális kirekesztettség okozta feszültség miatt már gyakorlatilag inget-gatyát letépik az arra járókról, ennek megfelelően pedig a helyi társadalmi reflex, hogy egész München utálja őket, így kaphatóbban kommunikációs szempontból a terrorizmussal kapcsolatos hírekre. A másik dolog, hogy a Bundesamt für Verfassungsschutz alá tartozó Bundesnachrichtendienst, ami nagyjából a hírszerzés operatív központjának feleltethető meg, Pullachban van, ami Münchentől kemény 11 kilométerre található, azaz ha Münchenben lenne valami dráma, az hatalmas blama lenne egész Németországra és egész Európára nézve. Ez utóbbi vesd össze azzal, amit írtam előbb, akár kicsi a kockázat, akár nagy, a rendvédelmi szervek vezetői nyomásnak vannak kitéve, a terroristáknak pedig hülye szóviccel bombasiker, hogy sokmillió euróba kerülő pánikot tudtak kelteni és ingyen reklámot önmaguknak gyakorlatilag minden nagyobb lapban. Márpedig az alapgyakoriság figyelmen kívül hagyásával az ilyen fokozott készültségek szinte mindig eltúlzottak, amit végülis a nemzetbiztonsági szervek bénázásának kellene értékelni. Az viszont sokkal komplexebb üzenet és kisebb a hatása, mint annak, ha bejelentik, hogy megtartották a rendet vagy éppen ténylegesen elhárítottak egy terroristaakciót.

Az ugye mindenkinek megvan, hogy a valódi, időben észlelt és csírájában elfojtott fenyegetésekről egyik állam sem ad ki információt, néha derül ki valami piti dolog. Laikus számára úgy tűnhet, mintha érzéketlen lennék vagy elbagatellizálnám a problémát, holott csak próbálok objektív lenni, ha azt írom, hogy a terrorizmus azért is működik nagyon kis hatékonysággal ahhoz képest, ahogyan működhetne, mert a terroristák többsége egyszerűen reménytelenül hülye.

Hogy más ne mondjak, Richard Reid, aki a cipőjébe rejtett bombával akarta felrobbantani az egyik gépet még évekkel ezelőtt, annyira hülye volt, hogy elkezdett babrálni vele az ülőhelyén, mire a személyzet megfékezte, holott ha a mosdóban robbantott volna, azt nem lehetett volna megfékezni. És milyen hatást ért el vele? Azt, hogy emberek millióinak kell totál fölöslegesen levennie a cipőjét, amikor a reptéren becheckol, annak ellenére, hogy tisztában vannak vele a szakértők, hogy akadnak még kiszűrhetetlen módszerek bőven.

Hülye terroristákról külön blogot lehetne írni, de egy egészen friss eset lett hirtelen a kedvencem: a huszonéves Mohammed Rehman és felesége Sana Ahmed Khan életfogytiglant kapott egy londoni bíróságon nemrég, mivel júliús 7-én robbantani akartak a 2005-ös robbantás tízéves évfordulóján. A nagy tett minden előkészülete valóságos gyöngyszem: a pofa eBayen vásárolt mindent a robbanószerkezethez, amit a saját címére postáztak, ahogy a nagy mennyiségű vegyszert szintén a saját lakásukban tárolták, a saját kerjükben próbarobbantásokat végeztek, amit hallhattak nem kevesen, de ami az abszolút csúcs, hogy a fószer azt hitte, hogy amit a Twitteren kiír, csak a követői látják. Ezért ott posztolgatott a terrorakció részleteiről és kért javaslatot azzal kapcsolatban, hogy metróban, áruházban vagy egyéb helyen robbantsanak! És igen, kitaláltad, a kis számú, terroristaakció megfékezésével kapcsolatos eset alapján ilyen kaliberű arcok hozzák a totális parát egész Európára!

Egyébként nem lennék meglepve, ha jönne valami félőrült jogvédő szervezet, amelyik betámadná Nagy-Britanniát amiatt, hogy valójában nem is terroristák ők, mert nem is robbantottak, az eszelős mennyiségű vegyszer nem bizonyítja közvetlenül, hogy fel is használták volna, a brit nyomozó hatóságok pedig megsértették a csávó magánszférához fűződő jogait azzal, hogy nem értesítették, hogy amúgy olvassák a Twitter-csatornáját, ahova amúgy minden teljesen publikusan ment ki.

Na és mi a helyzet a sikeres terroristaakciókkal? Többek közt az, hogy annyira kevés történik belőlük, hogy a meghatározó vélemények is megoszlanak arról, hogy high-tech módszerekkel egyáltalán lehet-e olyan közös jellemzőket felfedezni bennük, aminek ismeretében a jövőben meg lehetne fékezni ezeket. A sikeres terroristaakciókkal kapcsolatban ugyanis inkább csak olyan általánosságok mondhatók el, mint például az, hogy történetesen az elkövetőknek nagyobb szerencséje volt, mint az elhárításnak. Idevágó, hogy jobbnál jobb összefoglaló művek foglalkoznak azzal, hogy csupán social webes forrásból, open-source intelligence-alapon hogyan azonosíthatók a terroristák.

Nos, amiatt, hogy sikerül félelmet kelteniük a terroristáknak, nem hibáztatható a lakosság, nem hibáztatható a média, hiszen az csak teszi a dolgát, a politikusok már legalább részben hibáztathatóak, azt meg adja az ég, hogy az elhárításnak sikerüljön minél érthetőbb képet adnia számukra a valós helyzetről, aztán a politikus ennek tudatában fog eljárni és nyilatkozni. Hatalmas különbség ország és ország közt az, hogy egyes országok politikusai ebből szinte csak politikai tőkét akarnak kovácsolni, míg más államokban kevésbé, de ez valamilyen mértékben minden országban jelen van. És akkor ott vannak a kedves maszkos romantikus civil bohócaink, akik egyenesen az ISIS-nek akarnak nekimenni. Hogy ez miért baj, arról már írtam itt is.  

A professzionális bűnözés és a terrorizmus kevésbé látható magjának azért van néhány eszköze, mondjuk erős IT infrastruktúra, erőforrás és értelem, a másik oldalnak ugyanezekkel az eszközökkel lenne egyáltalán esélye fellépni ellenük. Viszont ez a három az, ami a Guy Fawkes maszkos anarchista beütésű hülyegyerekeknek nincs. Ez viszont nem jelenti azt, hogy ne tudnának kárt okozni, minimális utánajárással, a nullánál nem sokkal több informatikai tudással bárki tud kevésbé védett szervereket ideig-óráig megbénítani vagy éppenséggel megpróbálhat egymilliárd emailt küldeni egy adott postafiókra. Ami viszont már irritáló, hogy a  „hőstetteikkel” semmit mást nem érnek el, csak a médiacirkuszt fokozzák, azaz a terroristák malmára hajtják a vizet és ez a lényeg. Ugyan lehetett olvasni róla, hogy az Anon elvben hasznos információkat szolgáltatott rendvédelmi szerveknek terroristákról, kicsit jobban utánanézve vagy arról volt szó, hogy vak tyúk is talál szeget vagy arról, hogy amilyen információt szolgáltattak, arról már alighanem tudott a hírszerzés is, csak éppen nem mondták. Ami ugyan éppenséggel lehet legenda is, de simán kinézem belőlük, hogy annyira benéztek egyszer valamit, hogy elkezdtek támadni több platformon egy terrorizmussal foglalkozó kutatót, mert azt hitték, hogy terrorista.

Ami a tegnapi esetet illeti, senki sem értékeli kudarcként, hogy lyukra futott a hírszerzés, viszont rögtön hősök lettek volna, ha találnak valami hülyét, aki rosszkor van rossz helyen, mondjuk saját készítésű petárdákkal és igen, az jobban megmaradna az tömegek emlékezetében, hogy sikerült elcsípni valakit, akinél tényleg jóadag robbanószer volt, mint az, ha később közlik, hogy tényleg sikerült, csak éppenséggel semmilyen kockázatot nem jelentett az egész. Ha úgy tetszik, a tegnapi Müncheni terrortámadás sikeres volt azon a színtéren, amilyen színtéren a terroristák dolgoznak, azaz a tömegtájékoztatásban. Az ilyen pánikkeltés az USA-ban már nem menne, mert egyszerűen kikoptak azok a mechanizmusok, amiket a megfélemlített tömeg és megfélemlített politikusok gerjesztenek.

A bankkártyák gyártóitól ugyanazt várják el a bankok, amit az ügyfelek is: legyenek biztonságosak, amennyire csak lehet, ugyanakkor ne kerüljenek túlságosan sokba sem. Az érvényesség feltétele minden esetben az aláírás, amiről szeretnénk feltételezni, hogy nem módosíthatóak károsodás nélkül vagy legalább sufni módszerekkel nem.

 

Egy korábbi posztban már foglalkoztam vele, hogy mekkora suttyóság egy bank részéről, ha a bankkártya lejárta után úgy adják ki az ügyfélnek az új kártyát, hogy annak bankkártyaszáma marad ugyanaz. Persze, persze, lehet hivatkozni rá, hogy ott van még a CVC2/CVV2 kód, csak éppenséggel ezt az elfogadóhelyek egy része egyszerűen nem ellenőrzi.

A bankkártyáknál aláírás már csak azért is fontos, mert ha például Paypass-technológián alapuló vásárlás esetén felmerül a gyanú, hogy valaki nem a saját bankkártyáját használja, az elfogadóhely aláírást kérhet, aminek jó esetben hasonlítania kellene arra az aláírásra, ami a bankkártya hátoldalán van. Megint más esetben, ha nem bankkártyáról van szó, az egyetlen dolog, ami a kártyát érvényesíti, az aláírás.

Ha korábban nem is merengtünk el eddig rajta, a bankkártyák ún. aláíráspanelje olyan filmréteg, ami megköti a tintát, azzal kapcsolatban viszont nincs határozott elvárás, hogy milyen tollal kellene kézjeggyel ellátni a kártyát. Ha a festék belekötött ebbe a filmrétegbe, azt már ideális esetben nem lehet lesuvickolni vagy leáztatni róla, legalábbis úgy biztosan nem, hogy annak ne maradjon nyoma. Egyszerűnek tűnik, de elég belegondolni, hogy ha olyan rétegre van szükség, ami megfelelő erősséggel köt a bankkártya anyagához úgy, hogy ne kopjon le, a festék pedig álljon ellent az oldószereknek, kopásnak, hőhatásoknak, már jóval bonyolultabb a helyzet. Az ilyen filmrétegeket olyan szabadalmak védik, amikből elvben világosan kiderül, hogy hogyan is működik mindez, az más kérdés, hogy a leírás olyan magas röptű, hogy behatóan nem könnyű értelmezni csak úgy. Ami azt illeti, elsőre még azt sem könnyű megállapítani, hogy csak az elsőként USA-ban jegyzett szabadalmak közül melyik vonatkozik az aláírást megkötő filmekre.

Azt meg aztán pláne nem tudni, hogy adott plasztikkártya esetén melyikről is van szó. De még ha konkrétan tudnánk is, hogy a film melyik technológiával készült, lévén, hogy az aláírásokhoz használt Edding tollak olyan tintával működnek, aminek az összetétele nem igazán nyilvános, még mindig nem lennénk közelebb ahhoz, hogy tökéletesen megértsük a kémiai részleteket.

Ami biztos, hogy ha valaki az aláíráspanelt elkezdi súrolni valamivel, az aláírás tintájával együtt vagy jön maga a filmréteg is vagy a filmrétegbe impregnált minta, VISA kártyák esetén ez egyszerű csíkozás, míg MC esetén a MasterCard felirat piros, sárga és kék színnel. Az acetonos lemosás pedig eleve hülye ötlet, mivel nem csak az alkoholbázisú tintát oldja, hanem magát a műanyagot is.

Otthon amolyan nosztalgikus jelleggel elővettem pár lejárt vagy fölösleges kártyát és legalább ennyire nosztalgikusan vegyészkedtem egy kicsit. Több kártya együttes eredménye: gyenge közepes.

Mindenféle tinta felületről való eltüntetésénél az oldószer típusa és mennyisége, valamint a súrolással járó behatás arányát eltalálva a legnagyobb az esélye annak, hogy csak az aláírás jön le, míg a felület nem sérül látványosan. Az egyik tesztben 70 térfogatszázalékos etanolt használtam, viszont lévén, hogy az EDT pacsulik alkoholtartalma is hasonló, a benne lévő aromák pedig az oldási képességre nincsenek számottevő hatással, azzal is csinálhattam volna. A felületnek aztán nekiestem közepes súrolást kiváltó papírzsebkendővel, olyan műanyag polimer törlőkendővel, ami egyáltalán nem súrolt, illetve szarvasbőr kendővel is. Az eredmények eltérőek, ami viszont világos, hogy szembetűnő különbség van filmréteg és filmréteg közt olyan szempontból, hogy milyen kártyánál használták. Az egyszerű vásárlói hűségkártyánál gyakorlatilag mindig törölhető a tinta. Viszont még azonos bankkártyakibocsátó esetén is míg az egyik kártyánál a tinta lazán törlődik, megint másiknál nem vagy csak úgy, hogy azzal jön le az előzetesen ráimpregnált festék is.  Ezen kívül természetesen tapasztaltam olyat, hogy ugyanolyan súrolás hatására maga a filmréteg is jól látható módon karcolódott.

Egy másik tesztben szintén 70 v%-os alkoholt használtam, a kártyák gyakorlatilag egy alkoholos fürdőbe kerültek, amit ebben az esetben egy tartóval oldottam meg. A műanyag zacskó jelentősége az, hogy alapesetben az alkohol a gyorsabb párolgás miatt veszítene az oldóképességéből, míg ha le van zárva, ez kevésbé jelentkezik. Némi idő elteltével a tinta persze itt is megadta magát, egyetlen eset kivételével teljesen eltűnt néhány óra alatt! Ilyet tapasztaltam az egyik legkomolyabb bankkártyakibocsátó kártyájánál is úgy, hogy a benne lévő mint nem oldódott le.

A tanulság ismét az, hogy lehet ugyan spórolni azzal, hogy olcsóbb technológiát választva viszik fel a gyártók a film anyagát, nem meglepő módon, kevésbé lesz biztonságos. A lúgokat viszont mind jól bírja, tehát nincs para, ha valaki valakinek a zsebébe maradt, aztán kimosta a ruhaneművel együtt, ugyan alighanem más a helyzet, ha mindez főzőmosáson történt. Megjegyzem, senki ne próbálja ki otthon, a használt bankkártya formálisan eleve a bank tulajdona.

Ahány munkahely annyi szokás, viszont alighanem mindenki belefutott már abba a kérdésbe, hogy vajon mennyire jó ötlet a munkahelyi gépet magáncélra használni, mennyit tudhat róla az IT-s, a főnök, esetleg olyan is, aki jóval pletykásabb az elviselhetőnél.

Vannak munkahelyek, ahol az alkalmazott azonnal aláír egy nyilatkozatot azzal kapcsolatban, hogy a munkahelyi IT infrastruktúrát csak a munkájához szükséges célokra és módon fogja használni, ha pedig ez a policy változik, arról a munkahelynek őt is köteles értesítenie. Ez jellemzően tartalmazza azt, hogy a munkahelyi levelezés nem használható másra a rendeltetésén kívül és ezt a munkahely ellenőrizheti, mondjuk szúrópróbaszerűen és ez így helyes. Ami viszont már sokkal kacifántosabban, esetleg kevésbé érthetően van megfogalmazva, hogy a munkahely milyen mélységig láthat bele az alkalmazott netezésébe, ami a privát kommunikációját is érintheti. Főleg akkor, ha a zavarosan megfogalmazott szabályzat kiterjedhet a BYOD-eszközökre is, azaz azokra a kütyükre, amiket az alkalmazott saját maga visz be és a céges hálózatot használják.

Amivel alighanem mindenki egyetért, hogy a munkahelyére alapvetően dolgozni jár az alkalmazott, tehát mindenki joggal várhatja el, hogy ne csessze el az időt olyannal, aminek semmi köze nincs a munkájához. Ugyanakkor nagyon gyorsan kiderült az is, hogy azokon a helyeken, ahol letiltották az egyértelműen magán célra szánt, közkeletű alkalmazások használatát, mint a Twitter, a Gmail vagy a Facebook, az alkalmazottak feszélyezettebben érezték magukat, ennek megfelelően a produktivitásuk is csökkent. Röviden: az olyan típusú szolgáltatások tiltásának bevezetése, amik mindennapi kommunikációnk részévé váltak és megszoktuk, hogy elérhetőek, amikor kell, értelemszerűen csak feszültséghez vezethet. Ugyanakkor természetesen senkinek sem jó, ha az alkalmazott elcsetelgeti a munkaidő felét.

Komolyan nem tudnám megmondani, hogy melyik a legidiótább céges korlátozás, amiről olvastam vagy hallottam, de alapvetően kerülendő minden olyan módszer, ami az alkalmazottban olyan benyomást kelt, mintha a főnöke a háta mögött egész nap azt figyelné, hogy hogyan dolgozik. Természetesen kivételek vannak, kritikus feladatokat ellátó szervezeteknél nyilván megengedhetetlen lenne biztonsági szempontból, hogy onnan az alkalmazottak szabadon netezgessenek, így esetleg lefertőzzenek véletlenül egy olyan hálózatot, ami egy SCADA-rendszerhez vagy minősített adatokat tartalmazó rendszerhez kapcsolódnak valamilyen módon. Ahogy az is ismert, hogy több hadsereg nagyon helyesen megtiltotta az állománya tagjainak, hogy egyáltalán a közösségi webet használják.

Ami általánosságban elmondható, hogy az alkalmazottak alapvetően tájékozatlanok, aminek eredményeként veszélyeztetik egyrészt a céges adatok séthetetlenségét, másrészt a saját magánszférájukat is.

2010-ben hatalmas botrányt kavart a Firesheep, ami lényegében egy olyan böngésző-kiegészítő volt, ami lehetővé tette, hogy a géppel egy hálózaton lévő több gép titkosítatlan adatforgalma már-már kínos egyszerűséggel teljes egészében lehallgatható legyen. Azaz bárki, elemi informatikai előismeretekkel láthatta és jókat derülhetett rajta, hogy tőle nem messze egy kollégája miket olvas éppen a neten. Nem az az érdekes az egészben, hogy megjelent egy böngészőbővítmény, ami lehetővé tett, hogy egy mezei felhasználó úgy láthassa a másik tevékenységét, ahogyan az a zsékategóriás kémfilmekben ábrázolni szokták. Ugyanis ennek a lehetősége már ezer éve adott volt, az olyan jól ismert alkalmazások, mint mondjuk a Wireshark ugyanerre képes volt már a Firesheep előtt 10 évvel korábban is, csak éppenséggel azzal a különbséggel, hogy a Wireshark által sniffelt adatforgalom nem úgy jelent meg, mint valami kémfilmben, hanem az adatcsomagokat szépen összerakva pici hozzáértéssel simán olvasható volt a titkosítatlan forgalom, ami származhatott vezeték nélküli hálózatból és persze vezetékes hálózatból, azaz például a munkahely helyi hálózatára csatlakozva egyaránt.

Tehát igaz, hogy a probléma ismert volt már száz éve, mégis egy, végülis teljesen átlagos, mindenki számára használható böngészőbővítményre volt szükség ahhoz, hogy a világ legnagyobb szolgáltatói arra kényszerüljenek, hogy az alapértelmezett beállítás az legyen, hogy a felhasználó böngészője és a szerver közti adatforgalmat titkosítsák. Ez a gyakorlatban nem csak abból látható, hogy a böngésző címsorában a cím https-sel kezdődik, hanem az is, hogy az elején látható egy - jó esetben zöld színű, nem törött - lakat ikonja, amire rákattintva láthatjuk, hogy a kommunikáció egészen pontosan milyen titkosítás mellett történik, és egy ún. certifikátum megfelelően igazolja-e, hogy a webhely, amire kapcsolódunk, valóban az a webhely-e, aminek a címét a címsorban látjuk.

De hát ha a címsorban az áll, hogy www.bankom.tld, akkor az csak a bankom webhelye lehet, nem? Nem. Amikor a böngészőbe beírjuk a címet, a kérést az oprendszeren keresztül átadja a DNS-szervernek, ami alapértelmezés szerint mindenkinek a saját internetszolgáltatójának azon két szervere, amelyik elvégzi a névfeloldást, azaz megkeresi vagy megkeresteti a webcímhez tartozó IP-címet, ez visszakerül a böngészőhöz a kommunikáció innentől a felhasználó címe és böngészője, valamint a DNS-től megtudott www.bankom.tld oldal IP-címe közt fog folytatódni végig. /*egyszerűsítve*/

Kivéve, amikor nem!

Ugyanis lévén, hogy semmi sem garantálja azt, hogy a névfeloldásra irányuló kérésbe senki sem fog belepiszkálni a felhasználó és a szolgáltató DNS szerveri közt ún. közbeékelődéses támadással. 

Másrészt a szolgáltatók DNS szerverei ha mondjuk az elmúlt néhány órában már több milliószor feloldottak egy bizonyos címet, nem fogják ismét megkeresni azt a net dzsungelében, hanem a gyorsítótárból, "emlékezetből" veszik elő azt, a legnagyobb sérülékenységet pedig pont ez jelenti. 2008-ban éppen egy névfeloldással kapcsolatos sebezhetőség sokkolta a világot.

Tételezzük fel, hogy a támadók sikeresen beléptek a szolgáltató DNS-szerverére  és a nemrég lekért, www.bankom.tld hosztnévhez tartozó IP-címet aaa.bbb.ccc.ddd-ről átírták xxx.yyy.ppp.qqq címre, ez utóbbi pedig egy, a Karibi-térségben vagy hasonló remek klímájú országban elhelyezett szervert jelöl, amin olyan webhely fut, ami megtévesztésig hasonlít a www.bankom.tld bejelentkezőoldalára. Az ügyfél ekkor beírja a felhasználói nevét és jelszavát, amit a támadók naplóznak. A belépési adatok megadása után a felhasználó hibaüzenetet kap, miszerint rosszul adta meg a belépési adatait, majd átirányítják a valódi webhelyre, ahol már szabályosan be tud lépni, viszont nem veszi észre, hogy a bejelentkezéshez szükséges azonosítókat a támadók ellopták.

Ez ugyan egy erősen egyszerűsített példa volt a DNS működésével és annak eltéríthetőségével kapcsolatban, hiszen nincs olyan hülye bank, ami ne használna az éles felületen titkosított kommunikációt, a szerver és a kliens azonosítását, a belépés vagy egy-egy konkrét banki művelet pedig plusz egy jóváhagyást kérnek az ügyfelektől, ami mondjuk egy SMS-ben érkező számsor megadása. Viszont tartsuk észben, hogy számos levelezőrendszer van mind a mai napig, aminek a webes felülete nem alkalmaz titkosított kommunikációt, ilyen esetben ha a DNS-t célzottan eltérítik, olyan, mintha a felhasználó teljes egészében odaadta volna a postafiókja használati jogát a támadónak.

A DNS eltérítés gyakoribb, egyszerűbb, na meg sokkal kevésbé feltűnő módja, ha nem a szolgáltató DNS kiszolgálóját piszkálják meg, hanem a felhasználó gépét kihasználva azt, hogy a kliens szintén gyorsítótárazza a korábban feloldott neveket. Ha például valaki folyamatosan a Gmail-en lóg, nem fogja a böngésző minden alkalommal arra utasítani az operációs rendszert, hogy kérdeztesse le a Gmail.com-hoz tartozó IP-címet, amikor megszólítja az oldalt, hanem azt a lekéréseket cachelő helyről vagy egy,  állandó hosztnév-IP-párosokat tartalmazó, de megmókolt fájlból húzza elő, ez a másik módja a DNS hijackingnek.

Miután tisztáztam, hogy a névfeloldás jelentősége mekkora, nem csoda, hogy gyakorlatilag minden kicsit is normális operációs rendszer és személyi tűzfal úgy kezeli a hosztnév-IP-cím párosokat tartalmazó fájlba való beavatkozási kísérleteket, mintha a támadó páncéltörvővel próbálna bejönni az ajtón. Könnyebb megérteni, ha belenézünk ezekbe a fájlokba.

OSX esetén a fájlt /private/etc/hosts helyen találjuk, a legtöbb linux disztróban az /etc/hosts alatt, ha csak kimondottan át nem helyezték, míg Windows esetén a rendszergyökér\Windows\System32\drivers\etc\hosts.txt fájlban. Ez ugyan csak az állandó hozzárendeléseket tartalmazza, így nem valami izgalmas, viszont kis trükkel előcsalható, hogy az operációs rendszer az adott pillanatban miket gyorsítótárazott, itt jelen esetben biztosan meg fogjuk találni mondjuk azt, hogy a reblog.hu-hoz  a 84.2.32.100 vagy 84.2.32.101 cím, esetleg egy ún. kanonikus név tartozik. Nosza! A lista megjelenítéséhez viszont ismét lehet, hogy adminisztrátori jogosultságokra lesz szükség. A Windowsban egyszerűen el kell indítani egy parancssort adminisztrátori jogosultságokkal, majd ott kiadni az

 ipconfig /displaydns | more

parancsot, majd lehet is böngészni benne.  

Nem kell pánikba esni, ha a vártnál sokkal több hosztnevet látunk, hiszen nem csak a webes böngészéshez kapcsolódó címek láthatók it. Ha gyakran frissít a víruskeresőnk, fut közben a Skype, meg még  ki tudja mi, minden alkalmazás és szolgáltatás, ami használja a hálózatot kapcsolódik pár jóhelyre. Tovább bonyolít a helyzeten, hogy a terheléselosztás miatt egy hosztnévhez tartozhat több IP-cím is, egy IP-címhez több hosztnév, de még egy adott webhely is a tartalmainak egy részét teljesen más hosztnévről cibálja be, így például a Facebookra töltött képek esetén a scontent.xx.fbcdn.net helyről, aminek további IP-címei vannak.

Az olvasó esetleg korábban is tudott róla, hogy mi is a névfeloldás, mostanra világosabb lehet, hogy hogyan is működik, ebből adódóan mekkora kockázata annak, ha ebbe valamilyen módon beleberhelnek, a harceddzettebb bitbúvároktól elnézését kérek az egyszerűsítésekért.

A DNS-eltérítés kockázatát persze már az internet hajnalán felismerték, ezért ki kellett találni egy olyan megoldást, ami azonnal beavatkozik vagy jelez, ha erre utaló jelet talál. És persze egy pillanatig se felejtsük el, hogy ennek a megoldásnak teljesen függetlennek kellett lennie az átvivő közegtől, ideértve a csatorna köztes szakaszait is. Azaz függetlennek kell lennie attól, hogy a netező LAN-kábelen keresztül csatlakozik, titkosítatlan wifin keresztül, az adatcsomagok egy ideig telefonkábelen keresztül haladnak át, mire célbaérnek keresztülmennek 8-10 szerveren, útválasztón, amikről azt sem tudni, hogy kié és így tovább. Azaz feltétel volt a tervezésnél, hogy legyen független a megoldás a fizikai, adatkapcsolati, stb. rétegektől, így került a megoldást jelentő SSL és a vele gyakorlatilag azonos TLS [Transport Layer Security] és ami kapcsolódik hozzá, megjelenítési rétegbe.

Hogy szemléletes legyek, tételezzük fel, hogy egy papírcetlin szeretnék üzenni valamit a kollégámnak és olyan valakit bíznék meg azzal, hogy a papírcetlit vigye el neki, akiről tudom, hogy biztos, hogy úgyis elolvassa, másrészt még pletykás is, a papírcetlire az üzenetet mondjuk arab avagy japán nyelven írom, amit a címzett megért ugyan, de aki átadja neki a cetlit, nem. Ez esetben az, akit megkérek a levél továbbítására, a fizikai vagy adatkapcsolati rétegnek feleltethető meg, míg ami a cetlire kerül az átvivő számára értelmezhetetlen nyelven, megfeleltethető az alkalmazási vagy megjelenítési rétegnek.

Az SSL/TLS titkosítási és azonosítási feladatokat is ellát. Amikor arról van szó, hogy mennyire okos dolog mondjuk reptéri nyílt wifit használni netbankoláshoz vagy levelezéshez, alapvetően azért hülye a kérdés, mert ha SSL titkosítás mellett működik az adott webhely a böngészőbe, hiába hallgatja le a wifit valaki, az a kommunikáció, ami a laptop és a banki szerver vagy levelezőszerver közt bonyolódik, értelmezhetetlen adatmasszaként fog csak megjelenni, hiszen titkosított. [SSL/TLS-t viszont nem csak a böngésző használ! Lazán kapcsolódik, de ilyenkor ésszerűen azt kellene figyelembe venni, hogy a laptopon futhatnak olyan szolgáltatások, amik viszont sehogy sem titkosítanak. Okostelefonok pedig gyakorlatilag általános, hogy az appok erőforrásigényének csökkentése miatt számos alkalmazás egyáltalán nem használ titkosítást vagy csak nagyon gyengét, ami igencsak rizikós annak tudatában, hogy az okosmobilok többsége, hacsak nincs készenléti állapotban, automatikusan csatlakozik a nyílt hálózatokhoz, ha olyat lát, a mobil gyengén vagy sehogy sem titkosító szolgáltatásai és alkalmazásai pedig kapásból küldik is az adatokat a szervereik felé.] Akit a titkosítás pontos módja érdekel, itt olvashat róla. 

A titkosítással a gyakorlatban együtt jár, hogy egy, a kommunikációtól független, harmadik  fél előzetesen tanusítványt állított ki a szerver számára, ami igazolja, hogy ő tényleg az, akinek mutatja magát a kliens felé, akárcsak a szerver személyi igazolványa lenne. A böngészőprogramok pedig szintén tudják, hogy milyen típusú tanusítványokat fogadnak el és ha olyan tanusítvánnyal találkoznak, amivel valami nem stimmel, azonnal jelzik a felhasználó felé.

Visszautalva arra, amit a cikk elején írtam, ha a szolgáltató oldalán a DNS-szerver a névfeloldásokat hibásan végzi, a gyorsítótárában hamis hosztnév-IP-cím összerendelések vannak, ennek megfelelően téves adatot ad át a kliensnek, előfordulhat, hogy a http://bardoczi.net címen valamilyen kábszicsempész-gyilokpornós-fegyverkereskedős cég oldala jelenik meg. Ugyanez történik akkor is, ha a felhasználók  gépén az emlegetett hosts fájlokban valótlan párosítások vannak megadva, lényeg, hogy a felhasználó fejében meg sem fordul, hogy alighanem nem azt az oldalt látja, amit keresett.

Abban az esetben viszont, ha valaki a httpS://bardoczi.net címet látogatja meg, számos forgatókönyv elképzelhető, ha a DNS-kérés hamis. A jólnevelt böngésző azonnal jelez, hogy a domainnévhez tartozó certifikátumot a Comodo olyan módon állította ki, hogy a bardoczi.net hosztnévhez a 70.39.146.219 IP-cím tartozik, viszont a tartalom ennek ellenére mégsem erről a címről csorogna be, hanem teljesen máshonnan – teljesen más tartalommal. A felhasználónak lehetősége van arra kattintani, hogy vállalja a kockázatot és mégis betölti az oldalt, de csak annál a látogatásnál, minden újabb látogatásnál a böngésző erre újra rá fog kérdezni. Ami viszont tragikus, hogy a böngészők a mai napig lehetővé teszik, hogy egy-egy oldal "hamis személyivel" felkerüljön a kivételek közé, azaz a felhasználó minden látogatásakor a problémás certit elfogadja a böngésző, ami nem csak annyit jelent, hogy a felhasználó esetleg nem is azt az oldalt látja, amelyiket szeretné, hanem man-in-the-middle támadással más az egész adatforgalmat lehallgathatja. A certi részletei egyébként minden böngészőben lekérdezhetőek a címsor elején lévő lakatra kattintva.

Nos, képzeljük el, hogy valaki egyszer elfogadott egy hamis tanusítványt - vagy valaki, akivel közösen használják a böngészőt – ezen kívül a hosts fájl is meg van buherálva. Így előfordulhat, hogy hónapokon keresztül úgy használja mondjuk a gmail.com-ot, hogy azt valaki, akinek a szerverén keresztül megy az adat, aki a már említett közbeékelődéses támadással a felhasználó és a gmail.com közt áll, minden nehézség nélkül lehallgatja felhasználónévvel, jelszóval, a küldött levelek tartalmával, mindennel együtt! Az azonosításon kívül a titkosítás arra is kiterjed, hogy az adatfolyamot bizonyos méretű adatblokkonként ellenőrzi, hogy megfelelően titkosított-e, ha nem, figyelmeztet vagy eldobja a kapcsolatot menet közben.

Ha a böngésző tanusítványhibát jelez, annak ugyan lehet számos más oka is, de mindig mérlegeljünk előtte, hogy megéri-e a kockázatot, ha továbbmegyünk.  

Egyre több szervezet alkalmaz ún. UTM, azaz unified threat management megoldásokat aminek a lényege, hogy a biztonságot veszélyeztető szolgáltatásokat nem külön-külön küszöbölik ki. Azaz nem külön egy tűzfalas megoldás figyeli a hálózati forgalmat, egy antivírus megoldás kergeti a vírusokat, ezen kívül megint másik arra ügyel, hogy az alkalmazottak véletlenül ne küldözgessenek kifelé olyan információkat, amiket nem szabadna, hanem ezeket egy szolgáltatás suite-ba csomagolják. Itt ismét néhány egyszerűsítéssel fogok élni. Képzeljük el, hogy az elérendő célja az IT staffnak, hogy az alkalmazottak ne használjanak Yahoo Mail-t céges adatok átküldésére, de nem akarjuk elzárni őket a privát levelezésüktől sem. Azaz ezt valahogy ellenőrizni kell. Ekkor nincs mese, annak ellenére, hogy a Yahoo levelezője titkosított forgalmat bonyolít a szerver és az ügyfél közt, valamilyen módon meg kell figyelmi a forgalmat tartalmi szempontból olyan nyomok vagy mintázatok után kutatva, amik arra utalnak, hogy valaki nem túl bölcs módon mondjuk üzleti szempontból kritikus információkat küldözget, amiről tipikusan nem is tudja, hogy mennyire kritikus, csak azt, hogy a kollégának kényelmesebb átküldeni Yahoo-n, ha már úgyis oda van belépve. Megint más esetben ha már Facebookozik az alkalmazott, a forgalom titkosított ugyan, mégis ellenőrizni kell, hogy véletlenül se kattintson olyan linkre, amivel lefertőzi a céges gépet.

Van-e megoldás arra, hogy az alkalmazott magánszéfrája ne sérüljön, ugyanakkor mégis maradjon házon belül az az infó, amit házon belül szeretne tartani mondjuk egy vadászrepülőket tervező cég? A rövid válasz, ahogyan sejthető: nincs.

Ha valaki bele akarna fülelni a titkosított forgalomba, a böngésző azonnal jelezne, aminek annyira nem örülne a felhasználó. Mit lehet kezdeni azzal az adatfolyammal, ami titkosított? Nincs mese, fel kell oldani valahogy a titkosítást, dekódolni kell, megszaglászni, hogy nincs-e benne valamilyen kényes adat, majd titkosítani, de már a céges szerverrel és úgy továbbítani a  külső szerver felé. Ha a külső szerver persze észleli, hogy valaki belepiszkált az adatfolyamba, ennek megfelelően lehet, hogy egy olyan ködös hibaüzenetet dob, hogy nem felel meg a kapcsolat az elvárt biztonsági standardoknak, ezért vége a mókának. A webes szolgáltatások viszont nagyon sok esetben sokkal megengedőbbek, ha SSL-ről és certikről van szó, mivel tisztában vannak vele az üzemeltetők, hogy lehetnek olyan felhasználók is, akik annyira régi böngészőt használnak, amelyik az alkalmazott titkosítási módszert még nem támogatja megfelelően vagy olyan államból használnák a szolgáltatást, ahol a webes szolgáltató és az adott állam megállapodást kötött azzal kapcsolatban, hogy a felhasználóikat lehallgathatják. Kínában például így. 

Felmerül a kérdés, hogy mégis hogyan oldják meg a titkosított kapcsolat elemzését alkalmazó cégek azt elegánsan, hogy a felhasználók ne kapjanak figyelmeztetést, maximum törött lakat látszódjon a címsorban, ami azt jelzi, hogy titkosított a kapcsolat ugyan, csak a másik fél, azaz a szerver valódisága nem garantált? Úgy, hogy a céges gépre az előtelepített böngészőbe a célnak megfelelően megmókolt tanusítványok kerülnek, mivel tudható, hogy a magán kapcsolattartásra leggyakrabban használt webhelyek melyek és milyen certit használnak, amihez a cég hozzábiggyeszti a sajátját. Ezen kívül a cég saját DNS-szervereket használ, ami a szükséges oldalakat eltéríti.

Azért valami feltűnőbb nyoma csak van annak, ha gyakorlatilag hakkolva van az a technológia, amit arra fejlesztettek ki, hogy a kliens és a szerver tökéletesen bízhasson egymásban, nem? Igen, viszont olyan helyen, amit a felhasználó tipikusan soha az életbe nem néz meg. Ahogy már írtam, a címsor elején lévő lakatra kattintva, majd azon belül a tanusítvány részleteit kiválasztva jeleníthetők meg a szerver hitelesítésével kapcsolatos részletek. Ez például a LinkedIN esetén a Digicert által LinkedIN-nek kiállított tanusítvány, a Gmail esetén egy Geotrust/Google CA által Gmail-nek kiállított tanusítvány és így tovább. Abban az esetben, ha ettől eltérő tanusítványinformációkat látunk, akkor vagy a cég mókolt valamit, ahogy természetesen az sem zárható ki, hogy a céget egy kifinomult támadás érte, a támadó helyezett el  hamis certiket a böngészőben az alkalmazottak lehallgatására.