About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (37),privacy (17),Facebook (17),social media (11),itsec (11),egyéb (10),social web (9),biztonság (8),mobil (8),OSINT (6),jog (6),magánszféra (6),tudomány (6),szellemi tulajdon (6),Google (5),molbiol (5),felzárkóztató (5),webcserkészet (5),szájbarágó (5),plágium (4),Nobel-díj (4),kriminalisztika (4),terrorizmus (4),kultúra (4),big data (4),email (4),genetika (3),pszichológia (3),molekuláris biológia (3),biztonságpolitika (3),CRISPR (3),Android (3),online marketing (3),sajtó (3),élettudomány (3),gépi tanulás (3),Onedrive (3),üzenetküldés (3),jelszó (3),2015 (3),orvosi-fiziológiai (3),Apple (3),Gmail (3),reklám (3),konferencia (3),webkettő (3),biztonságtudatosság (3),kriptográfia (3),levelezés (3),magatartástudomány (3),azelsosprint (3),popszakma (3),hype (3),open source intelligence (3),torrent (3),nyelvtechnológia (3),bejutas (2),tweak (2),villámokosság (2),cas9 (2),Yoshinori Ohsumi (2),Hacktivity (2),génterápia (2),fiziológia (2),természetes nyelvfeldolgozás (2),Reblog Sprint (2),bűnügy (2),Pécs (2),nyílt forrású információszerzés (2),webkamera (2),deep web (2),P2P (2),Netacademia (2),arcfelismerés (2),DDoS (2),Balabit (2),bűnüldözés (2),TOR (2),kulturális evolúció (2),ransomware (2),hitelesítés (2),SPF (2),Whatsapp (2),neuropszichológia (2),szabad információáramlás (2),FUD (2),DKIM (2),2-FA (2),bolyai-díj 2015 (2),molekuláris genetika (2),jövő (2),sudo (2),IDC (2),cyberbullying (2),social engineering (2),malware (2),tartalomszolgáltatás (2),meetup (2),facebook (2),reblog (2),videó (2),titkosítás (2),kutatás (2),epic fail (2),pedofília (2),netkultúra (2),nyelvtudomány (2),vírus (2),hírszerzés (2),iOS (2),farmakológia (2),szociálpszichológia (2),tanulás (2),biológia (2),gépház (2),bulvár (2),bug (2),Tinder (2),öröklődő betegség (2),Yandex (2),könyv (2),beszélgetés rögzítése (2),pszeudo-poszt (2),Twitter (2)

Rövidhír: na kinek a vízuma került a netre :(


Avagy privacy kvíz, ebéd utánra, némi bulváros felütéssel. Nem túl vidám dolog, az egyetlen, amit te tehetsz azért, hogy ne fotózzák le semmilyen személyes iratod, amíg alszol, hogy alaposan elteszed. Ha esetleg nem vigyáz rá eléggé az asszisztensed, seggbe rúgod érte utólag.

Rövid kutakodás után szinte biztos, hogy nem őmaga fotózta le a vízumot még korábban.

Na ki? Műértők kedvéért még pár, picit manipulált kép.  

0 Tovább

Facebook oldal átnevezése 200 lájkoló felett


Avagy ismét egy trükk, ami elvben lehetetlen, gyakorlatilag simán megoldható, az online marketingesed pedig 1000%, hogy nem tudja. A végén némi net-teoretikai kitekintéssel.

Az utóbbi néhány napban eléggé alaposan elmerültem a FB-oldalak működésében, azt a részt most átugranám, hogy ez üzleti és gyakorlati szempontból milyen jelentősséggel bír.  Beszélgettem valóban jó online marketingesekkel, ami viszont általános tapasztalat, hogy az online marketingesek nem ismerik ízig-vérig a közösségi szolgáltatásokat, holott nagyon illene, emiatt nagyon sokszor nem tudnak megvalósítani olyat, ami az ügyfél számára előnyös lenne, rosszabb esetben pedig annyira mellényúlnak, hogy többen ártanak, mint használnak akár egyetlen rossz lépéssel is.

Na, akkor in medias res. A probléma: adott egy facebookos oldal, aminek több, mint 200 lájkolója van, emiatt nem nevezhető át. Amíg nem éri el egy oldal lájkolóinak a száma a 200-at, mindenféle bravúr nélkül átírható az oldal neve, viszont azt követően, hogy ennél több, már fel kell venni a kapcsolatot a Facebook hírhedt supportjával. Az átnevezési kérelmet pedig szinte biztos, hogy elutasítják. A Facebook oldalakkal kapcsolatos súgója nem azt mondja, hogy egy oldal egyáltalán nem nevezhető át 200 fan felett, hanem azt, hogy átnevezhető abban az esetben, ha ez a kapcsolódó guidelines-juknak megfelel, amiben persze megvan a logika, hiszen ha össze-vissza lehetne könnyűszerrel átirkálni az oldalak nevét, belátható, hogy az tömeges content poisoningra adna lehetőséget a blackhat SEO-s arcok miatt, amiből a felhasználók annyit látnának, hogy olyan oldalak virítanak a profiljukon és öntik az arcukba a kontentot, amit ők sosem lájkoltak.

Mi nem megoldás, mit NE tegyél, de tényleg ne, ha át akarsz nevezni egy nagy oldalt?
-    Úgy tűnhet, hogy önmagamat cáfolom meg, de ne higgy senkinek, aki előáll a tuti tippel! De tényleg ne! Egyrészt egy hülye tanácsot követni nagyon sokat árthat. Másrészt tudvalevő ugyan, hogy vannak olyan contact formok, amik közvetlenül nem érhetők el a Facebook felületéről – ilyen például a fiók végleges törlése is – amiben egy jó indoklással szinte mindent el lehet érni, ahogy többen sejtik azt is, hogy például milyen lépéseket kell követniük, ha egy nekik nem tetsző személyt, tartalmat vagy oldalt el akarnak távolítani vagy vissza akarnak állítani. Viszont hogy a Facebook mikor milyen forgatókönyvek szerint jár el, az legjobb esetben sejthető, aki azt mondja, hogy biztosan tudja, az hazudik.
-    Ahogy hasonló problémáknál lenni szokott, a témában még az első néhány száz keresési találat is ostobaság, ráadásul veszélyes ostobaság, ezeket ne kövessük, amiből valamiféle információ szerezhető, az egy évnél nem régebbi, témában megjelent leírások, de az nem az első száz találat közt lesz, az biztos.
-    Több helyen azt olvasni, hogy a felhasználó telepítsen ilyen-olyan böngésző plugint, aztán jó lesz. Egy ilyen böngésző plugin valójában egy webes proxy szerepkörét tölti be, na meg nem mellékesen súlyos veszélynek teheti ki az oldal, az egész gépet, szóval az elővigyázatlan felhasználó gyakorlatilag a fél veséjével fizet érte, ráadásul lehet, hogy nem is működik.
-    Igaz, hogy a ritkán felmerülő problémák megoldásához szükséges tudásáért valaki joggal kérhet pénzt, akár nem is keveset, de a neten látatlanba ne fizessünk senkinek ilyenért, még egy marketing ügynökségnek is csak akkor, ha már sikerült megoldaniuk a problémát.

Akkor mi a megoldás? Kis ismétlésként leírom, hogy hogyan is működik a Facebook supportja, amelyik ugye a legdrágább erőforráson, az emberi erőforráson spórol, ahol tud, ezért nehézkes kapcsolatba lépni velük legtöbbször és valami érdemit elérni.

Teljesen mindegy, hogy milyen bejelentésről van szó, első lépésben egy algoritmus elbírálja, hogy egyáltalán érdemes lehet-e foglalkozni a dologgal, ez már eleve nagyon sok tényezőtől függ, hiszen a Facebook más felhasználási feltételeket alkalmaz különböző államokban illetve régiókban, valamint függ attól, hogy a felhasználónak mennyi olyan kérése volt korábban, amit pozitívan bíráltak el, ha pedig egy oldalról van szó, akkor sejthetően az oldal számos tulajdonságától, mint az oldal kora, típusa, aktivitása és ki tudja még, hogy mi.

Abban az esetben, ha az első ellenőrzésen sikeresen keresztülment a kérelem, akkor kerül moderátorok elé, de nem ám a Facebook főhadiszállására kell gondolni, az piszok drága lenne. A moderátorok vélhetően a harmadik világban bagóért dolgozó, angol nyelven többé-kevésbé tudó alkalmazottak, akik kizárólag egy teljesen rigid, sokszor végképp nem logikus vagy igazságos forgatókönyv szerint járhatnak el és dönthetnek valaminek a módosításával kapcsolatban. Körülbelül ez felel meg a level-1 supportnak. A kérelmek szinte egyike sem jut tovább innen. Példa: eltávolításért bejelentett uszító, pornográf vagy tévesen annak vélelmezett tartalmak. Én a webes óriások helyében nem lennék ennyire prűd, mert lehet, hogy nagyon komoly árat kell fizetni érte.

Viszont a forgatókönyv azt is leírja, hogy mikor kell tovább dobniuk a labdát a tőlük már több döntési szabadsággal és jogosultsággal rendelkező support teamnek. Tipikus példa lehet ilyenre a tömeges pornográf tartalom, embercsempészet vagy nagyon jelentős mértékű fegyver- és drogcsempészet gyanuja. Ha úgy gondolnád, hogy annyira azért nem hülyék a rosszfiúk, hogy a Facebookot használják ilyen tartalmak megosztására vagy ilyen témák megvitatására, nos, egy részük tényleg ennyire hülye. Remek kérdés, hogy az a level-2 supportnak megfeleltethető csapat milyen módon dolgozik együtt például a Homeland Securityvel, amelyik olyan, mint Magyarországon a Nemzeti Nyomozóiroda. Viszont lehet, hogy itt döntenek olyan kérdésekben is, aminek a tárgya nem valamilyen visszaélés, bűncselekmény, de eléggé fajsúlyos, hogy ide kerüljön.

Viszont még egyszer: nem tudni, hogy egy-egy bejelentéskor merre pattan a labda, ahogy a support rendszer felépítése is érthető módon nem ismert pontosan.

Tegnap közel harminc perc keresés után – ami nálam nagyon soknak számít – azt gyanítottam, hogy az átnevezgetéssel kapcsolatos kérelmek sorsa nagyban függ attól, hogy a kérelem melyik államból érkezik. A Facebook felhasználási feltételeit ember legyen a talpán, aki követni tudja, de nem mellékes, hogy a felhasználókra vonatkozó szabályok nem csak attól függenek, hogy melyik államból vagy régióból történt a regisztráció, ahol rátapostak az Agree gombra, hanem attól is, hogy a felhasználó melyik államból használja a szolgáltatást és itt a lényeg.

Volt egy olyan sejtésem, hogy törvényi kötelezettség vagy ki tudja, hogy milyen okból, az USA területéről érkező bejelentések elbírálása ez EU-stól eltérően történik. A több ezres oldal átnevezését egy nappal korábban utasították el egy, számukra igencsak praktikusan semmitmondó válasszal.

Nosza, fogtam egy szűz böngészőt, pontosabban olyan böngészőkörnyezetet, amit a legjobban a pornó módnak is becézett inkognitó módhoz tudnék hasonlítani, viszont mégsem az. Ez azért fontos, mert ha például a korábbi munkamenet azonosítóm alapján felismer a Facebook vagy más web giant, akkor annak megfelelően fog kezelni – na meg az egész szolgáltatás viselkedni – amilyen régióból beléptem. [Például a korábban ismertetett SMS-küldözgetős feature el sem érhető a Google esetén. ]

Azért pedig, hogy az USA-ba tudjam varázsolni magam, kellett egy USA-beli VPN. Fontos, hogy a VPN szerepét nem helyettesíti egy webes proxy, másrészt tudom, hogy vannak ingyenes VPN-szolgáltatók, azok többségét bottal nem piszkálnám meg, mert jó esetben csak lassúak vagy forgalomkorlátosak, rosszabb esetben kockázatosak. Azt hinnénk, hogy az online marketing ügynökségeknél nyilván van valamilyen virtuális magánhálózati előfizetés, hiszen alapvetően olcsó másrészt lévén, hogy egyre több minden van a neten, aminek az elérése államhoz kötött, simán szükség lehet rá, hogy gyorsan átvarázsoljuk magunkat a világ túloldalára. Itt most az a fő szempont, hogy minél több földrajzi helyet lehessen bekamuzni, ha kell. Nos, ehhez képest az online marketingesek nem vágják, hogy mi az a VPN. A szűz böngészővel egy USA-beli VPN-en keresztül csatlakoztam, majd felléptem a Facebookra, amelyik persze rögtön rákérdezett, hogy valóban én vagyok-e, mivel pár perccel korábban még a vén Európából kapcsolódtam, miután ez megvolt, elindítottam pontosan azt a formot, amit egy nappal korábban és kértem az oldal átnevezését. Hogy-hogynem, összesen 10 perc nem telt el, átnevezzék a több ezer lájkerrel rendelkező oldalt!

Fontos megjegyzés, hogy attól, hogy ez nálam működött, egyáltalán nem biztos, hogy másnál is működni fog, tehát ne engem kéretik anyázni, ha hasonló helyzetben nem működik a leírt módszer. Hiszen ahogy írtam jópár tényezőtől függ, hogy egy kérvényt hogyan bírálnak el, a support viszont sosem indokol olyan módon, hogy az érdemi többletinformációt jelentsen, hiszen ha részletesen indokolnának egy moderátori döntést, ebből következtetve ezzel sokan azonnal vissza is élnének, röviden: kijátszhatóbb lenne a dolog. Mindegy, hogy miről van szó, az indoklás rendszerint annyi, hogy a döntés a felhasználási feltételek kapcsolódó részeivel összhangban van vagy sincs.

Megjegyzem, a Facebook fenntartja magának a jogot, hogy bármilyen döntést indoklás nélkül ismét felülbíráljon – nem is a Facebook lenne, ha nem így lenne.

Egy több ezres oldal átnevezésekor egyébként az összes lájkernél felvillan, hogy egy általa korábban kedvelt oldalt átneveztek és döntsön, hogy továbbra is lájkolja-e, mivel ez megzavarja a felhasználókat, így néhányan elhagyják az oldalt, némi veszteséggel lehet számolni, de egy több ezres oldal esetén ez nem jelentős.

Ennyi!

Amit fontos tudni, hogy önmagában az anonimizálás nem elég, sőt, inkább rossz például ilyen facebookos műveleteknél, hiszen a Facebook nagyon jól tudja, hogy melyik felhasználó érkezik TOR-on vagy más anonimizáló hálózaton keresztül keresztül.

Végül ejtenék pár szót arról, hogy szerintem hogyan érdemes VPN-szolgáltatót választani. A szolgáltatók profiljukban eltérnek egymástól olyan módon, hogy van, amelyik a nagy sebességet emeli ki erősségei közt, amivel látástól Mikulásig lehet torrentezni, megint másik kimondottan tiltja a torrentezést és a nagy adatátvitellel járó forgalmat, viszont erősségként kiemeli, hogy egy előfizetést egy rakás eszközön lehet egyszerre használni. Megint más VPN-szolgáltató azt hangsúlyozza, hogy a világ szinte minden országában jelen van. Illetve hogyne lennének olyan szolgáltatók, amelyek esküsznek a szeplőtelen szűzanyára, hogy számukra aztán a böngészés szent és sérthetetlen, az ő titkosításuk a legerősebb és ők aztán nem adnak ki adatot hatóságoknak sem, mivel nem naplóznak a feltétlenül szükségesnél több ügyféladatot. Ilyen szolgáltató persze simán lehet, hogy éppen egy titkosszolgálat fedőszerve, ahogyan az is, hogy semmivel sem anonimizál jobban az ő szolgáltatásuk, mint bármely más.

Végül megosztanék egy elgondolkodtató személyes sztorit. Egy szakmai rendezvényről vonatkoztunk haza, amikor szóba került a hálózati forgalom anonimizálása és szóba hoztam, hogy milyen aggályaim vannak a TOR-ral kapcsolatban és én melyik VPN-szolgáltatót használom. Az ott lévő überszuper tényfeltáró újságíró rögtön rávágta, hogy ez hülyeség és kész, mert az a szolgáltató az USA hatóságainak adatokat szolgáltatott ki valamelyik évben valamelyik ügyfeléről. Igen ám, csakhogy abban az esetben a kedves előfizető éppen valamilyen súlyos bűncselekményt tervezett elkövetni és az ottani hékek már egyébként is figyelték. A történet nagyon emlékeztet arra, amikor a világ egyik legbiztonságosabb levelezőszolgáltatójának tartott Hushmailt a Wired kemény kritikával illette amiatt, hogy néhány esetben adatokat szolgáltatott ki a hatóságoknak és azt a téves benyomást keltette, hogy akkor nem is olyan biztoságos, szar az egész. Nos, a Hushmailnél emlékeim szerint ez akkor történt, amikor az egyik ügyfelük arról diskurált már jóideje, hogy egy targoncányi drogot hogyan csempésszenek át, de ebből nem következik, hogy a Hushmail megtévesztené az ügyfeleit vagy szembe menne a saját elveivel.

Korábbi posztokban már írtam róla, hogy először azt kell tisztázni privacy-related kérdésekben, hogy az adatot és az adatátvitelt kitől akarjuk óvni ténylegesen, az NSA-től vagy valami ellenérdekelt gyökértől, akinek vannak olyan kapcsolatai, amin keresztül szervereket foglalhat le egy-egy szerverteremből abban az országban, ahol azok vannak vagy jó cimborája egy netszolgáltatónál, amelyik a titkosítatlan adatot sniffelheti, a meglátogatott oldalakat naplózhatja. Na már most ki-ki döntse el magában, hogy az IT viszonyokat ismerő arcként neki az a fontosabb, hogy az elvi lehetőségét is kizárja vagy csökkentse annak, hogy a netszolgáltatóján keresztül esetlegesen lehallgassák az adatforgalmának titkosítatlan részét vagy bérgyilkosként az, hogy őt aztán ne lássák a legkomolyabb hatóságok sem.

Ami a TOR-hívőket illeti, komolyan nem tudok velük mit kezdeni, mivel értelmes indoklást még nem hallottam vagy olvastam azzal kapcsolatban, hogy a gyakorlatban a TOR miért szavatolná jobban az anonimitást, mint egy normálisan beállított OpenVPN, ugyanakkor olyat már többször olvastam, hogy a TOR kliensszoftverében orbitális méretű biztonsági rés tátongott. Attól ugyanis, hogy valami nyílt forráskódú, még nem jelenti azt, hogy a benne lévő hibát gyorsabban meg is találják, viszont nem is olyan elképzelhetetlen konteó, hogy a TOR Projectben vannak olyan fedett nyomozók [konyhanyelven titkosügynöknek hívják] önkéntesként, akik szándékosan tesznek olyan backdoort a szoftverbe, ami majd lehetővé teszi, hogy lazán megfigyeljék a TOR-felhasználókat.

Szoktam utalgatni rá, hogy egyre súlyosabb probléma, hogy a felhasználók az információbiztonság fontosságáról azért nem győzhetők meg, mert nem értik, amilyen mélységben kell. Azt viszont még nem írtam, hogy a tőlük is súlyosabb, abszolút meggyőzhetetlen arcok viszont azok, akik alaposan rápörögtek az elmúlt évek privacy-hypejaira, mondjuk egy tényfeltáró újságírói szervezet tagjaként nap, mint nap bújják a Wikileaks-et, csak TOR-on csatlakoznak és értik is, hogy az anonimizálási módszerek hogyan működnek. Pont azért nem lehet meggyőzni őket semmiről, mert úgy gondolják, hogy úgyis ők tudják jobban. Megjegyzem, hála a jó égnek, őket nem is akarom meggyőzni.

Képek: laptopmag.com, lessingflynn.com

0 Tovább

Hogyan legyél kiber PUA?


Se szeri, se száma azoknak a videóknak, amiben valami korábban sehol sem látott, pocakosodó fószer löki a vakert arról, hogy mi a biztos módja annak, hogy valaki felszedjen egy csajt, amit vissza is igazolnak azok az esetek, amikor a PUA-növendékeknek sikerül is koppintania valamelyik módszert és véletlenül olyan csajba akadnak, akinél pont működik. Azt meg hagyjuk, hogy ezeknél a hölgyeknél könnyen lehet, hogy bejönne bármilyen más módszer is, szóval abszolút nem az unikális jelleget keresik a pasiban.

Na jó, nem vagyok én akkora nagy párkapcsolati szakértő, mint Kiss Ádám eredetileg amúgy molekuláris bionikus, mérnök informatikus kolléga, akinek a videója olyan parádésra sikerült, hogy azt először valami Viktória nevű zsebpolihisztor utána pedig Paintshop Noémi  szedte darabokra, ahogy kell.  

Szóval mi a helyzet akkor, ha nincs időd vagy kedved emberek közé menni, de azért felszednél valakit, akár komoly, akár komolytalanabb kapcsolat céljából? Nosza, ott a mobilos-kattintgatós-ismerkedős appok luxusverdája, a Tinder, aminek a lényege így foglalható össze, ha valakinek kimaradt volna: az app dobálja fel a hölgyeket, aztán jobbra vagy balra húzod a fotót, függően attól, hogy bejön-e, ha pedig kölcsönösen bejöttök egymásnak, akkor a match alapján el lehet kezdeni a chatelést. A helymeghatározásnak különös szerepe van abban, hogy kiket dobál fel ajánlatként. Az ötlet egyébként nem új, olyannyira nem, hogy a helymeghatározáson alapuló mobilos ismerkedő alkalmazások közül bő 3 évvel korábban jelent meg a melegek által használt Grindr,  így történetileg akár helyesebb is a Tindert a heteró grindr-nek nevezni, nem a Grindr-t meleg tindernek, na de maradjunk a polkorrektek.

Nem mintha olyan eszelősen bonyolult lenne a Tinder használata, viszont a megfelelő stratégiával sokkal nagyobb hatékonysággal lehet hölgyeket fogni és ez a lényeg. Én amikor a minap telepítettem az appot, elsőre nem működött, ahogy szerettem volna, aminek az oka az volt, hogy a Facebookból importált adatok alapján a felhasználóm nemét nem tudta meghatározni, mivel az már nem csak male vagy female lehet, egy ideje bármi beírható,  nekem ekkor jutott eszembe, hogy néhány hónapja beírtam, hogy „szeretem a sört”, amivel nem nagyon tudott mit kezdeni szegény app. Nosza, vissza is állítottam a felhasználót férfi neműre. Minimális finomhangolás után nekifutottam a böngészésnek, ahogy írtam, nem egy rocket science használni az appot, ami azt illeti, annyira nem, hogy akár egy pszeudokódban is kényelmesen, röviden meg lehetne adni, hogy hogyan nőzzön valaki helyettünk, ha esetleg még mobilnyomkodáshoz is elfoglaltak lennénk.

Ne legyenek illúzióink, egy hölgy akár komoly, akár kevésbé komoly kapcsolatot keres, az alapján dönti el a másodperc tört része alatt, hogy érdekes-e neki a csávó, akit éppen a képen lát, szóval ha valakinek nem lett volna fenn valami nyaralós képe fénykorából, érdemes feltenni. Ami viszont fontos, és ami inspirált arra, hogy írjak erről: előfordulhat, hogy a hölgynek nem jössz be, aztán ha ő dislike-ol, akár véletlenül is, nálad már fel sem fogja dobni az alkalmazás, holott lehet, hogy egy kis facebookos böködés után kiderülne, hogy pont az a típusú játékos a húspiacon, akit te keresel és persze vice versa. Ergo oldjuk meg, hogy ne dislike-oljanak, mielőtt mi nem néznénk meg valakinek az adatlapját.

A következő stratégiát követtem: ha nem volt bűn ronda a szentem, kapta a lájkot, ami egyébként ilyen módon gyorsan el is fogyott, mivel csak 12 óra elteltével oszthattam volna ismét a virtuális gesztust, inkább összeszorított farpofával előfizettem 1 hónap premium tinderezésre. Ha a hölgy jól nézett ki, nem merültem bele, a többi képének nézegetésébe [hiszen kevésbé helyes csajról is lehet nagyon jó képeket lőni], hanem megnéztem az adatlapot, ahol általában vannak kiegészítő információk. Nos, ha ott látszódott Insta, snapchat vagy bármilyen azonosító vagy ritka névvel találkoztam, már tapostam is a screenshotra, majd aztán a lájkra. Ha ciki képbe botlottam, akkor természetesen nem. Na, ezt el lehet játszogatni pár száz felhasználón keresztül vagy akár tovább is, ami a lényeg, hogy amint a screenshot elkészült, az ugye mobilplatformtól függetlenül, alapértelmezés szerint már megy is fel az iCloud/Google Drive/Onedrive felhőben. Pont, ami kell: a név, rajta az Insta-azonosító, ami sokszor linkelve van a FB-fiókkal vagy más kereshető adat. Aztán majd ha valamikor rémesen sok időm lesz, akkor megnyitom ezt a mappát, aztán már keresem és bököm is a hölgyet a Fészen, ha nagyobb szerencsém van, nem sokkal később meg személyesen. Mondjuk nekem sosem a kapcsolatfelvétellel van problémám, hanem az érdeklődés fenntartásával, de ez most senkit sem érdekel. Szóval ha visszabök, akkor indulhatnak a szokásos tiszteletkörök az üzenetküldőben – mondjuk erre alighanem sosem lenne időm, de azért eljátszani a gondolattal érdekes.

Első blikkre nincs sok értelme, hogy egy bankrablás pontosságával írjam le, hogy hogyan érdemes a webkettőn puáskodni, tény, hogy nagyon sok komoly emberi kapcsolatot alakít, a Facebook. Olyan komoly kapcsolatokat, amiknek egy részéből később házasság lesz, a felhasználók a saját, másodszintű ismerőseik közt találják meg, akárcsak a való életben, ez itt módosulhat olyan módon, hogy a Tinder összesodor olyan hölgyekkel, akikkel közös ismerős ugyan nincs, viszont közös érdeklődési terület a lájkolt tartalmak alapján van!

Az világos, hogy a Tinderen egyszerű, [matematikailag] diszkrét adatok alapján dől el, hogy egyáltalán milyen körből kerülhetnek eléd a játékosok, ez pedig, hogy milyen neműt keresel és a másik olyan neműt keres-e, mint a te nemed, milyen korosztályban és földrajzilag milyen széles körben. Van viszont számos más adat, ami a felhasználó előtt nem világos, leginkább csak gray box tesztek  alapján tudható, hogy az app nagyobb valószínűséggel dobálja fel azokat a felhasználókat, akikkel van közös ismerős, akik korábban már megnéztek, hasonló tartalmakat lájkolt és hasonlók.

Haladó kiber PUÁknak javasolható mobil helyett, kapásból mobilfejlesztői környezetben, gépen futtatni az appot, gusztus szerint egy rakás robottal.

Amit azért fontos észben tartani, hogy ha már a Tinder átcibál adatokat a FB-ról, kizárólag olyat információkat tegyünk ki magunkról a húspiacra, amikben vélhetőleg nem nagyon van semmi rázós. Egyrészt, mert a Tinder megmutathat olyan információkat is, amik egyébként nem voltak láthatóak, mint például közös ismerősök vagy lájkolt oldalak. Arról nem is beszélve, hogy a Tindert komoly kritikával illették  többször is egyszerűen a szoftveres megvalósítása miatt. Ezek közül talán a legsúlyosabbak azok voltak, amikor a Tinder egy korábbi verziója értelmetlenül sok képet áttöltött a saját szerverére, amik állítólag elérhetőek is voltak, kívülről is, bárki számára.

Arról lehet vitatkozni, hogy ilyen-olyan szempontból mennyire érdemes szemérmeskedni egy ilyen alkalmazásban, viszont tartsuk észben, hogy attól, hogy az app elvben csak a fotót, az életkort és a keresztnevet mutatja – illetve, ha valaki olyan hülye volt a FB-regisztrációnál, hogy összekeverte a családnevével, akkor azt – ettől még a játékosok szinte mindig megtalálhatóak, az előbb emlegetett adatokon túl például a Google Képkeresőjével is.

Többek közt a Tinderről is esett szó a múltkori Netacademia Ethical Hackingen, Reiter István mobilos API-k sebezhetőségét érintő előadása itt tekinthető meg.

Mindezek után felmerülhet a kérdés, hogy ha ekkora szarvashibák voltak a Tinderben korábban, akkor hogyhogy nem lett belőle akkora vagy hasonló botrány, mint az Ashley Madison meghakkolásakor? A magyarázat szerintem az, hogy minden olyan szolgáltatásban, ahol felhasználói adat tárolódik, az adatszivárgás sajnos annyira mindennapos, hogy biztosan nem éri el az újságolvasók ingerküszöbét és csak másodlagos, hogy az Ashley Madison egy deklaráltan félrekúrós oldal volt, míg a Tinder nem az. Illetve az előbbi esetben hirtelen történt a disclosure nagy mennyiségű adattal, amit alaposan meg is hype-oltak, ezek után már tényleg csak részletkérdés, hogy ahogy az utólag kiderült, az Ashley Madison hölgy felhasználói mögött többségében nem is állt valós személy.

Kisebb-nagyobb csalással vagy spammel minden szolgáltatásban számolni kell. Én csak a napi gyöngyszemet emelném ki: az egyik felhasználónál a kép helyén az alábbi pazar marketingszöveg áll… Értitek! 22 éves és idén érettségizett. Oké, én ha önmagam helyett küldenék valakit érettségizni valamilyen tárból, alighanem élnék némi korbeli diszkriminációval : )

Könyvajánló, nem csak emberi kapcsolatokról: Nicholas A. Christakis, James H. Fowler - Kapcsolatok hálójában

Képek: libri.hu, animalnewyork.com

0 Tovább

A web tudja hol vagy: szinte mindig


Térképek, keresők, mobilos társkereső rendszerek és közösségi szolgáltatások – mindnél természetesnek vesszük, hogy figyelembe veszik, honnan netezünk éppen vagy konkrétan működésképtelenek is lennének enélkül.

Gondoljunk csak bele: amikor elindítod a Google, Yandex, Bing vagy OpenStreetMap térképszolgáltatását, kisebb-nagyobb pontossággal eleve azt a területet mutatja, ahol vagy, nem pedig a teljes bolygót. Akár termékre, akár szolgáltatásra keresel rá, természetes, hogy ha az kapható illetve elérhető Magyarországon, a magyar találatokat fogja dobni, azaz ha Tihanyban ráguglizol arra, hogy „cafe”, nem a világ legtöbbször hivatkozott weboldalait fogja kiadni, amik valamilyen kávézó webhelyei, hanem azt, ami ésszerű közelségben van. Ha elindítod a Tindert, azt veszi alapul a választék megmutatásakor, hogy milyen közelségben vannak a csajok illetve pasik, enélkül működésképtelen lenne az egész, de olyan mobilos társkeresőt is láttam már, ami plusz/mínusz néhány méteres pontossággal mutatta a másik felhasználó pozícióját.

Ráadásul mindez független attól, hogy helymeghatározó funkciót használó mobileszközt használsz, asztali gépet vagy laptopot, csak a pontosság tér el. Hogyan? Honnan tudják a webes szolgáltatások, hogy éppen honnan netezel, ráadásul ilyen pofátlanul pontosan?

Ahelyett, hogy belemennék a részletekbe, ismét az elvi működést ismertetem nagyvonalakban, a geolokáció felhasználási lehetőségei nyilván végtelenek, ami nem kevés kérdést vet fel, amit inkább meghagynék azoknak idióta privacy fetisisztáknak akiket behatóbban érdekel a téma.

Ha nagyon vissza akarok menni Ádámig és Éváig, mindig eszembe jut, hogy micsoda össznépi őrjöngés volt még 10-15 évvel ezelőtt is annak kapcsán, hogy a mobilszolgáltatók naplózzák azt, hogy az előfizetők mobilja mikor hol volt éppen, ennek megfelelően azt is pontosan tudják, hogy merre volt maga az ügyfél és persze legalább annyi rémes ostobaságot hordtak össze a témában, mint manapság. A szolgáltatók pedig számomra érthetetlen módon első reakcióként lehazudták, hogy tárolnának a földrajzi hellyel kapcsolatos adatokat, holott ha bárki megnézi, hogy hogyan működnek a GSM hálózatok, - mondjuk ebből a jó régi, de az elméletet jól summázó könyvben – abból világosan kiderül, hogy nem is működne az egész, ha a hálózat nem tudná, hogy a mobil hol van, dióhéjban azért, mert az eszköz helye alapján tudják egyszerűen eldönteni a mobilhálózatok, hogy mely tornyot vagy tornyokat használja az eszköz, jelerősség, terheltség és egyebek alapján. Ez még jócskán a 80-as évek elején is így volt, de ha nem naplóztak volna ilyen-olyan adatokat, akkor esélytelen lett volna diagnosztizálni visszatérő problémákat, normálisan fejleszteni a hálózatokat, hiszen ha nem tudható, hogy egy-egy torony mennyire leterhelt, esetleg milyen típusú mobilok problémásak, azt sem lehet előre bejósolni, hogy hova kellene építeni még tornyot. Ezzel gyakorlatilag egy időben kötelezővé is tették a jogalkotók a szolgáltatók számára, hogy ezeket az adatokat jó sokáig tárolják is, aztán több bűntényt így sikerül megoldani, a mainstream sajtóba csak olyasmi néven vonult be a fogalom, hogy cellainformáció-alapú helymeghatározás.

Nos, ehhez képest ma a felhasználók egy jókora része rendszeresen becsekkol ide-oda-amoda a webkettőn, még azt is megjelöli, hogy pontosan hol lakik, na meg, hogy mettől meddig nyaral. Az Antivírus Blogon visszatérő téma, hogy a betörők elképesztően nagy része a social weben keresztül előre tájékozódik róla a betörés tervezésénél, hogy hova törjön be, elég csak megnézni néhány palimadarat, amelyik geotaggel Fészen, Instán, Foursquareen – ami aztán már tényleg az agyrém netovábbja – ha ezek esetleg nem lennének kint publikusként, és a betörőnek van egy csöpp esze, akkor létrehoz egy vonzó kamu karaktert, majd felveteti magát ismerősnek emberünkkel. Kihasználva azt, hogy ilyen téren annyira illedelmes a többség, főleg a jól kinéző szőke hölgyekkel, akiknek az adatlapja szerint egy iskolába jártak, hogy felvesz ismerősnek boldogot boldogtalant, de még akkor is, ha a kamu karakter képét egyébként ezer helyen dobná a Google Képkeresője és az illetőnek eszébe sincs megválaszolni azt a kérdés, hogy "bocs, honnan ismerjük egymást". [1]

Jókora patália volt belőle, amikor a Google Streetview kocsijairól kiderül, hogy nem csak utcákat fotózgattak, hanem menet közben összegyűjtötte a hatótávolságába kerülő wifi-routerek hálózati nevét, ún. BSSID-jét és el is mentette azt a kapcsolódó GPS-koordinátákhoz kötötten. Persze nem adta ki senkinek, viszont óriási adattárházat épített belőle. Persze sok-sok hülye és kevésbé hülye ország illetékes szervei kötelezték a Google-t, hogy ezeket az adatokat töröljék, mivel a routerek tulajdonosai explicit módon ebbe nem egyeztek bele. Mit csinált a Google? Like a boss, törölte az így begyűjtött adatokat, majd egy még precízebb helymeghatározást lehetővé tevő, gyakorlatilag megkerülhetetlen módszert alkalmazott. Itt most arról fogok irkálni, hogy hogyan működött az adatgyűjtés korábban, a legtöbb helyen már nem így működik a Goolge esetén, de millió meg egy más szolgáltatás csinálja.

Nagyon nagy vonalakban a helyzet valahogy így néz ki: amikor valaki használatba vesz egy mobiltelefont, akkor vagy elfogadja a felhasználási feltételeket vagy felteheti dísznek a polcra kikapcsolva. Ha elkezdünk például egy andoridos mobilt használni, akkor kapásból beleegyezünk abba, hogy a mobil a háttérben leolvassa a hatótávolságában lévő BSSID-ket és elküldje a Google-nek, amit több adattal kapcsol össze, ezek többek közt
-    a korábbról már meglévő pozícióadatok
-    a mobilteló cellainformációja alapján helymeghatározásra használható adatok
-    az IP-cím, amit akkor kap meg, amikor a felhasználó kapcsolódik az egyik hálózathoz wifin keresztül, az Android core szolgáltatásain kívül pedig még kismillió Google-szolgáltatásnak ezt úgyis tudnia kell, például amikor a Gmail-es levelek automatikus letöltése történik, a felhasználó elindítja a Chrome-ot, amelyik szinkronizálja a könyvjelzőket, stb.  

Mielőtt most azt mondanák az almás és ablakos felhasználók, hogy ugyehogyugye, gyorsan megírom, hogy az Apple és a Windows Phone-os eszközök lényegében ugyanezt csinálják, csak éppenséggel a szolgáltatások neve más.

Na de még mindig nem világos, hogy a fent említett néhány adatból honnan tudja akkora pontossággal Android esetén a Android Device Manager, iPhone esetén pedig a Find my phone, hogy hol is az a mobil, ha elveszik, aztán megkeressük a térképen, hogy hol van.

A durván egyszerűsített magyarázat az, hogy egy cella alapján még a torony is csak kilométeres pontossággal tudná megállapítani a mobil helyét, de a mobil általában egyidejűleg több cellára kapcsolódhat, amiknek eltérő a jelerőssége, amiből besaccolható ezek távolsága, márpedig ezeket az adatokat az okosmobil elérheti. Ráadásul hacsak nem egy oázisban vagyunk, ahol még ember nem járt előttünk, akkor nyilván korábban más mobilja is lekérte és használta ugyanezeket az adatokat, másrészt tőlünk egy városon belül minden égtáj irányába kisebb vagy nagyobb távolságra, de van wifije a szomszédnak északra, délre, keletre és nyugatra egyaránt, ahol más mobilok ugyanezeket az adatokat már átadták a helymeghatározó szolgáltatásnak.

Innentől kezdve pedig már nettó matek az egész, egy-egy pont térbeli helye meghatározható más, ismert helyen lévő pontokhoz viszonyított távolsága illetve szögek alapján, ennek az egyik legegyszerűbb, de nyilván nem egyetlen módszere a háromszögelés.

Nos, egy mobiltorony ennyi kilométerre, a másik annyi kilométerre, hogyan adódik mégis a néhány méteres pontosság? Anélkül, hogy csukafejest ugranék konkrét adatbányászati módszerekbe, amik többségéhez amúgy nem értek, lényeg, hogy az adatbányászatnál, na meg egyáltalán amikor napjaink egyik legrémesebb buzzwordje, a big data kerül szóba, a lényeg azon van, hogy minél több adat áll rendelkezésre, még ha azok pontatlanok is, a nagyon sok pontatlan adatból kikövetkeztethetők nagyságrendekkel pontosabb, már használhatóbb információk. Lásd: machine learning,  ami végülis a mintázatfelismerés alapja és felhasználható szinte bárhol. [2]

Nagyjából ennyi! Fontos tudni, hogy a mobilokban szigorú értelembe véve sosem valódi GPS van, hiszen ekkor egyrészt a mobil nagyobb és drágább is lenne, másrészt pedig amikor a pozícióját le akarja kérdezni, mindig fel kellene vennie a kapcsolatot több műholddal, amire vagy pont van rálátás vagy nincs, de egy-másfél percig bőven eltartana, ráadásul olyan pontosságra nincs is szükség.

Tisztázzuk: a mobilokban használt, előbbi adatok feltöltése és lekérdezése alapján működő helymeghatározó technológia az AGPS, azaz Assisted Global Positioning System.

A mobileszközöket túl is tárgyaltuk, az esetleges pontatlanságokért pedig elnézést. Na de honnan tudja az asztali gép, hogy hol van?

Ahogy írtam, a mobil felküldözgeti a cellainfóit és az általa látható vagy általa használt hálózatok BSSID-jét is, ezen kívül a netszolgáltatótól kapott IP-t [mármint amit wifin keresztül használ]. Márpedig túl gyakran nem változik sem a netszolgáltatónk, ennek megfelelően az sem, hogy a netre csatlakozott eszköz milyen IP-címtartományból kap IP-címet, mi több, nem csak a címtartomány marad változatlan, a netszolgáltatók nem osztanak új IP-címet sem, ha nem feltétlenül szükséges, így akár hónapokig is ugyanaz marad a dinamikus IP, az pedig, hogy egy IP-cím milyen internetszolgáltatóhoz tartozik, lekérdezhető – Európában – a RIPE adatbázisán keresztül automatizáltan is, amit a GIS-szolgáltatások meg is tesznek. Egy-egy IP-tartományhoz tartozó blokk valahogy így néz ki:

https://apps.db.ripe.net/search/query.html?searchtext=188.36.223.0#resultsAnchor

A netszolgáltató persze elvben azt kamuzik be bizonyos korlátok közt, amit csak akar, viszont ez egyszerűen nem érdeke, az érdeke az, hogy olyan pontossággal adjon meg adatokat, ami a hálózatok közti adatcsere folyamán az útválasztást segíti, a sebesség érdekében pedig úgymond tudniuk kell a hálózatoknak, hogy hol vannak, tipikusan egy-egy országnyinál sokkal nagyobb pontossággal. Ez az alapja a távolság-vektor alapú útválasztásnak
ami biztosítja, hogy az adatcsomagok ne csámborogjanak a neten egyik géptől a másikig, mint gólyafos a levegőben, hanem minél gyorsabban jussanak el a feladótól a címzettig.

Lényeg, hogy amikor mondjuk megnézzük a Google Mapset asztali gépen, akkor az nyilván nem tudja átadni a routerünk hálózati nevét, viszont az IP-címét igen, amit kikeres az adattárházában, lévén, hogy ahhoz az IP-címhez vagy azzal egy címtartományban lévő címhez már kapcsolódtak korábban mobiltelók, amik fel is küldték a helyüket, ebből következik, hogy az adott IP-hez tartozó hely mi is. Ekkor hopp, minimum kerület pontossággal a Maps eleve arra a területre fókuszál, ahol vagyunk, nem pedig például csak Magyarországra. Azzal nem is bonyolítanám a képet, hogy az óriásszolgáltatók nem csak mobilok által kapott pozíciók alapján saccolgatnak, hanem néha méricskélnek is a szervereik és netszolgáltatók alhálózatai közt traceroutinggel, ami nem konkrét távolságokat mutat, hanem azt, hogy hálózati eszközök közt milyen sebességgel közlekedik az adat a mérés pillanatában. Ez csak nagyon durva becslésre adna lehetőséget, viszont ha sok-sok mérést végeznek és sok-sok útválasztó IP-címének hálózatát jegyzik fel [3], akkor a sok-sok pontatlan adatból legalább megye pontosságú adat jön ki.  Természetesen a szolgáltatások tudják, hogy egy IP-cím tartozhat mobilhálózathoz is, ami meg a címet mobileszközöknek osztja le, a mobilok ugyebár attól mobilak, mert mozognak, a geoinformatikai adattárházakat építő algoritmusok nem hülyék, ezt figyelembe veszik.  Egyrészt a már emlegetett RIPE adatok alapján, másrészt pedig az alapján, hogy alighanem már bőven volt mobil, amelyik éppen abból az IP-címtartományból /*azaz így szolgáltatón keresztül*/ használta korábban pont az ő egyik szolgáltatásukat, márpedig ha valaki mondjuk elkezd az iPhone-ján böngészni, a böngésző azzal kezdi, hogy jelzi a webhelynek, így az amögötti szolgáltatásnak, hogy ő egy mobileszköz, valahogy így  

80.99.xy.zw [URI] 7/2/15 11:17 PM Mozilla/5.0 (iPhone; CPU iPhone OS 7_1_2 like Mac OS X) AppleWebKit/537.51.2 (KHTML, like Gecko) Version/7.0 Mobile/11D257 Safari/9537.53

És ha nem is ebben a formátumban, a többi mobilalkalmazásnak is egyértelművé kell tenniük egy app elindításakor a szerver felé, hogy ő nem netre kötött kenyérpirító, hanem mondjuk egy Samsung Galaxy adott típusú és verziójú operációs rendszerrel.

A helymeghatározás többek közt ezeket a módszereket kombinálja, finomítja.

Amivel nem akartam bonyolítani a képet, hogy nem feltétlenül úgy kell elképzelni, hogy a Microsoft a Bing Mapshez, a Google a Google Mapshez, az Apple a Mapshez, a Yandex pedig a Yandex Mapshez külön-külön adattárházat épít, amik mit sem tudnak egymásról. Egyrészt nem ritkán az adatokat cserélgetik egymás közt és mindenki jobban jár, másrészt természetesen igénybe veszik olyan geoinformációs technológiákkal foglalkozó cégek technológiáit és adattárházait is, amik közvetlenül egyáltalán nem szolgáltatnak a végfelhasználók, csak a szolgáltatók felé, ilyen például a TeleAtlas aminek egy részéből rakták össze a Google Maps-et.

Ezen kívül alighanem mindenkinek a mobilján van olyan app, aminek egyáltalán nem szükséges tudnia, hogy hol vagyunk, mégis az ingyenes használat feltételévé teszi, hogy a pozíciónkat hébe-hóba felküldi egy partnerének, mi pedig nem olvassuk el a kilométeres T&C-t, na meg egyébként sem érdekelne.

Vannak olyan cégek, akiktől kilóra lehet venni olyan adatbázisokat, amik kizárólag az IP-címre támaszkodva adják vissza a látogató földrajzi helyét, ilyen például az IPteligence, az IPAddressLabs, az IP-DB, vagy az IP2location.  

A helymeghatározásnak olyan esetben is fontos szerepe lehet, amiről egyébként nem gondolnánk. Például a Skype alapértelmezés szerint egy hanghívásnál point-to-point, ha úgy tetszik, közvetlen kapcsolatot hoz létre a két fél közt, amihez nyilván egymás IP-címét tudni kell. A Skype-on ez letiltható ugyan, ekkor egy köztes szerveren fut át az adat, viszont olyan esetben, ahol csak lassabb netet kap a mobil, pont emiatt lesz a hangminőség rosszabb.

Amit írtam, hogy a Google esetében a BSSID-alapú adatgyűjtési gyakorlat számos országban már a múlt, amíg viszont nem volt így, addig a wifi BSSID-je végére írt _nomap jelölővel lehetett utasítani a Google-t, hogy ezt ne vegye figyelembe, a wifink neve a helyével együtt ne kerüljön fel az adatbázisba. Na és? Ott van még ezer másik szolgáltató, amelyik meg gyűjti látástól Mikulásig. Ráadásul értelmetlen is tiltani, mivel vannak olyan, az OpenStreetMap-hez hasonló, közösségi tudáson alapuló geoinformatikai megoldásokat is használó rendszerek, mint például a WiGLE amiknek az API-felületén keresztül mondjuk pont olyan BSSID-k kereshetők bárki számára, aminek a nevében benne van, hogy _nomap :)

Szóval eléggé gyorsan érdekessé tudja tenni magát az a felhasználó, aki mondjuk az otthoni routerét így nevezi el, addig csak a Google látta, az átnevezés után meg az egész világ. Az is lehetőség, hogy a router konkrétan ne boardcastolja a hálózat nevét, ekkor viszont ha valaki vendégségbe érkezik és wifit használna, kézzel kell bekalapálnia a hálózat nevét is a jelszó mellett, mivel az nem fog látszani a wifi hálózatok felsorolásában.

Még egy picit a Google-ön rugózva, mondhatni eléggé para, amikor 30 napra visszamenőleg meg lehet nézni, hogy merre mászkáltunk az androidos mobilunkkal, hacsak ez nem volt letiltva, trükkös dolognak tűnik az, hogy meghamisítjuk a mobilunk pozícióját, annyira nem az. Ez elvben elérhető Blackberryn, Windows Phone-on, Apple-n is, csak sokkal durvább beavatkozással, míg Android esetén elég a beállítások alatt bekapcsolni a Developer mode-on belül a Mock location engedélyezését, ezt követően a geek-ebbek az Android SDK-n keresztül idétlenkedhetnek vele, de vannak konkrétan olyan alkalmazások is, amiken egyszerűen csak rá kell bökni a térkép egy pontjára és rögtön azt kamuzza a mobil az összes alkalmazásnak, hogy valójában mondjuk a Déli-sarkon vagyunk. Nagyon gyorsan hozzáteszem, hogy egyetlen androidos mobilom van, amit szinte soha nem viszek el sehova otthonról, többen viszont elsődleges telefonként használják a saját androidos mobiljukat. Abban az esetben, ha valami hülyeség van bebökve a valódi pozíció helyett, a többi platform  esetében pedig például egy az egyben le van tiltva a földrajzi hely meghatározása, nos, teljesen mindegy, hogy Android, Windows Phone, iOS vagy Blackberry a mobilunk, garantáltan nem lesz meg, ha valahol ott felejtjük, hiszen maga a mobilkereső-lopásgátló szolgáltatás sem éri el.

Azt hiszem, hogy itt érdemes megjegyeznem, hogy lopás esetén a tolvajok kevésbé agytröszt részét nem tartja vissza az, hogy tisztában vannak azzal, hogy a mobil pozíciója könnyen meghatározható, ugyanakkor nem célszerű töltött lőfegyver, magánhadsereg, de minimum rendőri segítség nélkül a telefon után menni, ugyanis tragédiába is torkolhat a dolog, ugyan számoltak már be szórakoztató esetekről is amiknek a középpontjában nagyon hülye orgazdák állnak.

Lényeg, hogy az Android természetesen észleli, ha developer módban fut és az eszköz földrajzi helye pedig egész egyszerűen életszerűtlen módon változik, azaz például néhány másodperc alatt átkerül Zürichből Debrecenbe, a GIS-rendszerek pedig nem hülyék, azonnal észlelik, hogy a pozíció nem természetes módon változott meg és tudják is a helyzetet helyén kezelni – vagy a szolgáltatás, aminek szolgáltatják az adatot. Ahogy írtam korábban, a Facebook például annyira kifinomult, hogy ha valaki 13:00-kor még Budapesten lájkolgatott, 13:05-kor pedig rögtön beírja a helyes felhasználói nevet formálisan Rio de Janeiroban /*IP-cím alapján*/, annak túl sokféle magyarázata nem lehet. Az egyik, hogy valaki tényleg ellopta a jelszót és megpróbált belépni más nevében, a másik lehetőség pedig, hogy a felhasználó anonimizáló proxyt, VPN-t, TOR-t vagy hasonlót használ. Mindkét esetben a Facebook a szokatlan aktivitás miatt megpróbál róla meggyőződni, hogy valóban a tulajdonos szeretne belépni ezért még elkér ilyen-olyan adatokat. Viszont abban az esetben, ha valaki össze-vissza „ugrál” az IP-címe alapján, a Facebook nem fogja törni magát és valahanyadik belépés után már simán megy a belépés. Ebben az esetben nem az a GIS kifinomult, amelyik a Facebook alatt fut, hanem ahogyan a Facebook használja a GIS-től kapott körülbelüli pozíciót.

Az Apple esetén a Find my phone szolgáltatásnál nem világos, csak sejthető, hogy a Macbookokat és iMac-eket hogyan találja meg annyira gyorsan az Apple, de sejthető, hogy a logika lényegében az, ami a mobiloknál, ráadásul a Macbook akkor is folyamatosan figyelheti a BSSID-ket, amikor egyébként altatva van – hiszen például a leveleket is letölti még attól. És nem lehet olyan egyszerűen legyilkolni benne a helymeghatározást, mintha egy értékes nem-Apple laptop lenne, aminél a tolvaj rögtön kigyalulja az oprendszert az esetlegesen rajta lévő helymeghatározó szoftverrel együtt.

Ha valaki valami miatt nem szeretné, hogy a földrajzi pozíciójának nyoma maradjon, annak azt a protokollt tudom javasolni, amit én követek néha: a SIM-kártyát átteszem egy régi butamobilba és nem viszek magammal semmit, amiben egyáltalán van lehetőség a geolocationre. Persze, a mobilszolgáltatóknál megmarad, hogy merre jártam, csak éppenséggel ez egyáltalán nem zavar, hiszen nem valami félelmetes hárombetűs szervezet elől akarok elbújni.

Tehát a geolocationt lehet szeretni, nem szeretni, de alapvetően a felhasználói élményt fokozza, bizonyos alkalmazások működése erre alapul. Használjuk ésszel.


[1] én már a WiW-érában sem illedelmeskedtem, akit nem ismertem meg arc alapján azonnal, nem volt egyértelmű, hogy biztosan az, akinek mondja magát vagy biztosra vettem, hogy értelmes tartalmat nem fog a falra hányni, azonnal elutasítottam a bejelölést, ha ismét jelölt, bónuszként le is tiltottam.
[2] a biztonsági okokból felszerelt kamerák egy része alapvetően nagyon pocsék felvételt készít az arcokról, ez viszont nem jelenti azt, hogy értelmetlen lenne a begyűjtött adat. Amikor például valaki egy bankautomatát berhel, közben nyilván mozog. A nagyon sok, rossz minőségű képkocka alapján pedig már előállítható olyan kép, ami alkalmas a személyazonosításra.
[3] A traceroutinget egyrészt alapvetően nem erre találták ki. OSX-ben és linux shellben a traceroute, Windows parancssor esetén pedig a tracert paranccsal érhető el, de elvégezhető webes felületen is: például ha nem tudjuk, hogy a Budapesti Műszaki Egyetem és valószínűleg annak webszervere melyik városban van, csinálhatunk felé egy nyomkövetést, amiből látszik, hogy a hoszt IP-je, annak „megfordítottja”, azaz reverse-elve az IP hosztnévvé Budapesten van, sokszor a végpont előtti IP-cím jelenti a hasznos információt vagy a hosztnév vagy az alhálózat alapján. Számos esetben viszont igen bonyolult technikákat alkalmaznak azért, hogy a földrajzi hely ne legyen egyértelmű, na meg azért, hogy a terheléselosztás biztosított legyen. Például ha valaki lekérdezi a Youtube.com IP-címét, kijön egy cím, ami az ARIN /*ez a RIPE USA-beli megfelelője*/ szerint Mountain Viewban van, Kaliforniában. Ha viszont lekérdezzük az IP-cím reverse-jét, akkor olyan hosztnevet kapunk, aminek a nevéből sejthető, hogy valójában az a szerver, amivel a böngésző felveszi a kapcsolatot, Budapesten van. Perpill. ezt a címet kaptam: 216.58.209.206, aminek a reverzje ennek feleltethető meg: bud02s22-in-f206.1e100.net. Amúgy a magyar felhasználók Gmail-es levelezését és Google Drive fájljait még csak véletlenül sem Magyarországon tárolja a Google :)

Képek innest: reddit.com, iconbeast.com, neilson.co.za

1 Tovább

Így beszélnek össze a webhelyek Veled kapcsolatban


Nemrég részt vettem egy workshopon, aminek az volt a tárgya, hogy aki tényfeltáró újságíróként dolgozik, milyen informatikai fenyegetésekre érdemes figyelnie, hogyan lehet a kockázatokat alaposan csökkenteni. Nos, a teljes egynapos workshopon mindössze egyetlen eszközt mutattak be, ami számomra új volt, viszont annál inkább jópofa. Nem innovatív, nem technikai újdonság, de igencsak látványos.

Bizonyára mindenki találkozott már azzal a jelenséggel, hogy hiába csapkodta le a reklámokat ilyen-olyan módszerekkel a böngészőben és az általa látogatott szolgáltatásokban is, ezt követően például egy Googleben indított, fogfájással kapcsolatos keresés után a Facebook oldallécében egy fogorvosi rendelő reklámja virított...

A magyarázat, hogy a személyre szabott hirdetések világában a hirdetések személyre szabott megjelenését nem úgy kell elképzelni, hogy egy adott szolgáltatás határain belül érvényesek, hanem szolgáltatások közt is. Ennek a nagyon rövid technikai magyarázata az, hogy a hirdetéselosztó hálózatok összességében gyűjtik az információkat a felhasználókról, majd azt osztják meg az ügyfeleikkel /*tartalomszolgáltatókkal és közösségi szolgáltatásokkal*/, nem pedig külön-külön, ami érthető módon az egyik legkorszerűbb és leghatékonyabb hirdetési forma, hiszen ha valaki szabad perceiben csak a magyar hírportálok közt nézegeti meg a legfrissebb cikkeket, akkor a célzott hirdetést megjelenítő hálózat nem kezdi újra vizsgálni a felhasználó érdeklődési körét az alapján, hogy hova kattintott, mire keresett vagy éppen hol tartotta az egérmutatót, hanem figyelembe veszi azt is, hogy a korábban meglátogatott szolgáltatásokat és portálokat hogyan használta.

A gráfként megjelenített ábrákat mindenki szereti, mert szépek, elforgathatóak, nagyíthatóak és nagyon beszédesek, bárki számára elérhetőek /*mármint az is tudja használni, aki egyébként nem web-kórboncnok*/. Nincs ez máshogy ebben az esetben sem, maga a Mozilla egy roppant jópofa eszközt ad arra, ha szeretnéd látni, hogy hogyan "beszélnek össze" veled kapcsolatban a hirdetői hálózatok. Néhány pillanat alatt telepíthető a Firefoxhoz a Lightbeam kiegészítő, ami azonnal mutatja is, hogy melyek és mennyire. Persze akkor a leglátványosabb, ha átlag felhasználóként használjuk a netet, azaz nem használunk semmilyen reklámgyilkolót, nem mókoljuk meg a földrajzi pozíciónkat, nem trükközünk kliensoldalon. Az én esetemben valahogy így néz ki a dolgot egy perc kattintgatás után, ugyan szándékosan megnéztem egy review oldalt is, amiről tudom, hogy különösen pofátlan ebben a műfajban:

Google Chrome-ot használsz? Ez esetben sajnálom, lehet, hogy ott is van hasonló eszköz, nem tudom, meg annyira nem is érdekel, pont azért, mert Google, na meg Chrome, nem használom. Viszont érdemes tudni, hogy a nyílt forrású Chromium motor felhasználásával nem a Google Chrome az egyetlen böngésző, ami valaha készült, ha nagyon ragaszkodsz a Chrome-szerű böngészőhöz, a Comodo kapásból háromfélét is ajánl, ami nem akarja eladni az adataid kilóra, sőt, pont az ellenpólust képviseli mind:  
https://www.comodo.com/home/browsers-toolbars/browser.php

Ha már böngészők.

Nem új, de még mindig zseniális az az ismeretlen szerzőtől származó, de erősen Microsoft-gyanus reklámparódia, ami annak idején az egyik Chrome verzió reklámját figurázta ki még az eredeti reklám megjelenésének napján.

Ha pedig már videó, "Kutyával és gyerekkel maguk mindent beszopnak", ahogy mondta a Kiábrándult értelmiségi, és valóban, egy jóval kevésbé offenz', de esztétikus és hatásos böngészőreklámot is ide teszek.

Ebben a posztban egyáltalán nem foglalkoztam azzal, hogy enélkül finanszírozhatatlan lenne szinte minden valamire való - nem-fizetős - szolgáltatás a neten, azzal sem, hogy akár elhiszed, akár nem, ez a hirdetési modell igenis hatással van a fogyasztói döntéseidre, még akkor is, ha tudatosan egy-egy cikk olvasása közben a reklámot nem is olvasod, csak a szemed látókörébe kerül, azzal sem, hogy a reklámdobáló hálózatokat természetesen lehet korlátozni vagy blokkolni, viszont nem szabad túltolni a dolgot, mivel nagyon sok helyen ha a reklám nem jeleníthető meg, nem jelenik meg a tartalom sem, amit megnéznél vagy olvasnál. Amivel szintén nem foglalkoztam, hogy a privacy-fetisiszta jogvédők paranoid óbégatása miért iszonyúan károsak, lévén, hogy nem reális veszélyekről beszélnek, az igenis reális veszélyekről pedig gyakorlatilag sosem ejtenek szót érdemben, ami érthető is, mert ez olyan technikai rálátást és szemléletmódon igényelne, amivel ők maguk sem rendelkeznek. Szintén nem mennék bele, de érdekes téma, hogy a felhasználókról készülő profilalkotás bőven ad lehetőséget visszaélésekre például olyan módon, hogy egy webshop ugyanazért a termékért eltérő árat kér két különböző felhasználótól olyan tényezők alapján, hogy valószínűleg mennyit lenne hajlandó a termékért fizetni, van-e hasonló termékporfólióval rendelkező üzlet hozzá földrajzilag közel és még ki tudja, hogy mi alapján. Ez utóbbi amúgy nem egy konteós elméleti felvetés, hanem bizony-bizony van, ahol már rég alkalmazott módszer: WSJ: Websites Vary Prices, Deals Based on Users' Information. A témát magyar nyelven anarki is alaposan kivesézte pár hónapja. 

0 Tovább