About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (38),Facebook (18),privacy (18),egyéb (12),social media (11),itsec (11),social web (10),biztonság (9),mobil (8),Google (6),OSINT (6),jog (6),szellemi tulajdon (6),tudomány (6),magánszféra (6),szájbarágó (5),email (5),webcserkészet (5),molbiol (5),felzárkóztató (5),Nobel-díj (4),big data (4),Gmail (4),kultúra (4),terrorizmus (4),online marketing (4),kriminalisztika (4),plágium (4),webkettő (4),genetika (3),molekuláris biológia (3),pszichológia (3),azelsosprint (3),Android (3),biztonságpolitika (3),nyelvtechnológia (3),magatartástudomány (3),Apple (3),sajtó (3),2015 (3),orvosi-fiziológiai (3),élettudomány (3),gépi tanulás (3),jelszó (3),üzenetküldés (3),CRISPR (3),Onedrive (3),2-FA (3),popszakma (3),konferencia (3),levelezés (3),kriptográfia (3),reklám (3),biztonságtudatosság (3),hype (3),torrent (3),open source intelligence (3),neuropszichológia (2),Whatsapp (2),deep web (2),FUD (2),kulturális evolúció (2),nyílt forrású információszerzés (2),TOR (2),hitelesítés (2),titkosítás (2),Pécs (2),bűnügy (2),tweak (2),facebook (2),SPF (2),DKIM (2),bűnüldözés (2),DDoS (2),bejutas (2),videó (2),Reblog Sprint (2),természetes nyelvfeldolgozás (2),villámokosság (2),Hacktivity (2),Yoshinori Ohsumi (2),reblog (2),cyberbullying (2),arcfelismerés (2),ransomware (2),fiziológia (2),Netacademia (2),webkamera (2),szabad információáramlás (2),P2P (2),Balabit (2),cas9 (2),beszélgetés rögzítése (2),pszeudo-poszt (2),molekuláris genetika (2),bulvár (2),gépház (2),tartalomszolgáltatás (2),jövő (2),bolyai-díj 2015 (2),könyv (2),Tinder (2),öröklődő betegség (2),HR (2),sudo (2),Yandex (2),bug (2),nyelvtudomány (2),meetup (2),Twitter (2),tanulás (2),biológia (2),netkultúra (2),malware (2),IDC (2),social engineering (2),szociálpszichológia (2),kutatás (2),hírszerzés (2),iOS (2),vírus (2),farmakológia (2),pedofília (2),epic fail (2),génterápia (2)

Előkészületben a net legnagyobb gyűlöletoldala?


Ugyan a 444-ék gyorsabban figyeltek fel a hírre, sokaknak gondolom még nincs meg, hogy olyan világméretű webes szolgáltatás indul hamarosan, amiben bárki porig alázhatja a másikat, természetesen – ahogy ez ilyenkor nem zárható ki – manipulatív módon is, azaz névtelenül vagy akár látszólag tömegesen.

Persze alázni eddig is lehetett, ez mégiscsak más. Láttam már gyűlöletoldalt, nem keveset, amikkel a legnagyobb probléma az, hogy a teljesen idióták számára is megadja a lehetőséget, hogy néhány kattintással más megítélését rontsák. A magyar logika szerint felmerülhet a messzemenően laikus kérdés, hogy ez azért rágalmazás, aztán az üzemeltető felelősségre vonható, nem? A kérdés persze halálosan ostoba, hiszen netes közegben a jog betűje értelmezhetetlen, még akkor is, ha egyébként nemzetközi konvenciókon alapuló jogi szabályozást sért a tartalom, hiszen az üzemeltető néhány klikkel költözhet olyan helyre, ahol a számára nem tetsző törvény nem hatályos.

Az nyilván mindenkinek megvan, hogy idegenek számára mindenki gyakorlatilag az, amit a piacvezető webes keresők első találatok közt dobnak róla a neten a nevére keresve. Na meg az is, hogy netezési kultúra ide vagy oda, az emberek alapvetően mindent beszopnak a neten, amit látnak, tömegben veszélyesen ostobák tudnak lenni.

Sok kedvenc példám közül az egyik a Facebookhoz kapcsolódik. Történt, hogy egy veszélyes bűnöző kijött a hűvösről, majd a volt felesége és a kisgyereke fotóját feltette a netre azzal a szöveggel, hogy elvesztek, keresi őket. A nőt és a gyereket a pofától úgy próbálták megvédeni a hatóságok, hogy új személyazonosságot adtak nekik, amellett, hogy tisztes távolságba is költöztették őket. Na tessék kitalálni, hogy a nagyon hülye internetező tömeg mennyi idő alatt segítette hozzá a pofát, hogy pontosan megtalálja az exnejét és a gyereket? Néhány nap!

A másik példa frissebb, szintén a Facebookhoz köthető, egy ausztrál nő egy bevásárlóközpontban pedofilnak hitt egy fószert, lefotózta és feltolta a Facebookra, amit persze az Isten adta birkanyáj tízezerszámra osztott meg. A pasasra alaposan rázúdult a népharag, el kellett költöznie, mivel halálos fenyegetéseket kapott, tisztázta ugyan magát, ezt követően pedig a nőre zúdultak a jól megérdemelt fenyegetések, a lényeg viszont, hogy az ilyenek rendszeresen megtörténnek és sejthetően lesznek is még, mégsem tanulnak belőle az emberek.

Tehát abban senki sem bízhat, hogy ha róla írnak valami szart, majd nem fog hatni a megítélésére csak azért, mert a Peeple-n jelent meg, mert igenis fog.

Ne legyenek illúzióink, nem csak a megosztó személyeket, politikusokat, újságírókat és más közszereplőket fog érinteni a dolog, most komolyan, van egyáltalán olyan ember, aki biztosan azt merné mondani, hogy őt aztán biztosan nem utálja senki?

Persze a Peeple-t gyorsan ki lehetne véreztetni majd mondjuk azzal, hogy a hirdetőikről írnak tömegesen és szervezetten csúnyákat, aztán hirdető híján nem lenne miből fenntartani az egészet, ennyi esze azért nincs az embereknek. Ugyan a 4chan fórumozói és hasonló közösségek eléggé gyorsan ugraszthatók, valószínűtlen, hogy hosszú távon működne.

Akkor viszont mit lehet tenni mégis? Nos, tényleg ettől teljesen függetlenül írtam volna róla, de ahogyan már korábban is írtam, nem az a megoldás, hogy nem vagyunk fenn semmilyen közösségi szolgáltatásban, azt pedig csak a teljesen idióták gondolhatják, hogy nem szerezhető róluk fotó vagy más nyilvános információ, ha sehol nincsenek fenn. A védekezést szerintem éppen az jelenti, ha valaki fenn van több platformon is.

Azokban a közösségi szolgáltatásokban és blogszolgáltatásokban, ahol fenn vagyok, mindnél full publikusra állítottam be szinte mindent, illetve ezek még jól össze is vannak drótozva egymással. Ennek eredménye pedig az, hogy velem kapcsolatban alighanem hiába írna valaki akármekkora vérgőzös anyázást, esetleg egy zsák pénzt is fizetne egy SEO-szakinak, nem fektetnék bele különösebb energiát, hogy azonosítsam az illetőt, ugyanis a keresők közt ott lenne ideig-óráig, aztán meg hátraszorulna a keresési találatok közt mondjuk a sokszázadik helyre, azaz olyan lenne, mintha nem is létezne. A keresőmotorok a SEO-poisoningot gyorsan kiszűrik, ha pedig valakinek a tartalmát megcsípi a Google pingvinje jóideig nem is fog létezni, az biztos.

Na ezért is javasolható mindenkinek, hogy tessék bátran jelen lenni a közösségi weben, minél több publicba szórt, lehetőleg eredeti tartalommal! Igen, akkor is, ha nem vagy blogger! Például egy új állás megpályázásánál ezer százalék, hogy annak a HR-esnek a szemében, aki rád keres, ezerszer rosszabb lesz a megítélésed, ha kevés vagy érdektelen tartalmat talál csak, mintha transzparens vagy, amennyire kell. Ez alatt azt értem, hogy ne fossad tele a céges zabálós, nyaralós, bebaszós képekkel a netet, hanem posztolj arról, amit egy újságban is szivesen látnál, őszintén érdekel!

Nem tudom már, hogy hol emlegettem, de a gyűlöletoldalakkal hasonló korúak lehetnek azok a webes szolgáltatások, amik azt vállalják, hogy valakiről a kínos tartalmakat eltávolítják vagy legalábbis próbálkoznak vele, ha már volt olyan hülye, hogy jó ötletnek tartotta a bokorba szarós na meg árokba hányós fotóit a netre kitenni, mert naivan azt hitte, hogy kontrollálhatja fölötte a láthatóságot. A kínos személyes tartalmak eltávolítására belőtt szolgáltatásokat jobb magyar kifejezés híján nevezik reputation managementnek azaz ügynökségek próbálják leszedni a kínos felkerült tartalmat, mondjuk mielőtt indulna egy választáson.
Ami a nyitó témához kapcsolódó személyes vélemény, lehet, hogy többek számára meglepő, de egybecseng azzal, amit múltkor írtam azzal kapcsolatban, hogy a web giantek eléggé rosszul teszik, ha fene jóindulatukban keresési találatokat tüntetnek el, gyakorlatilag bizonyítékokat semmisítenek meg.

Szóval szerintem szabad-e tiltani vagy üldözni a gyűlöletoldalakat, ha törvényhozó lennék próbálnám-e korlátozni? Lehet utálni, de határozottan nem! Mégpedig azért, mert az internet működésmódjából adódóan gyakorlatilag még nem láttunk sikeres próbálkozást olyanra, hogy bárkik is sikeresen radíroztak volna le teljes egészében és hatékonyan bármilyen tartalmat, ha rövid ideig sikerült is, megjelent még durvább és még megkerülhetetlenebb formában.

Előbb azt írtam, hogy nem, de kiegészítem azzal, hogy félreértés ne essen, természetesen ez nem jelenti azt, hogy minden tartalomnak helye lenne a neten. Például a nyílt, explicit kínzás, explicit uszítás, a doxing, a gyermekpornográfia és még számos dolognak nincs helye és üldözendő, ha már eltüntetni nem lehet, ami ezekben közös, hogy társadalmi evidencia, az egész világ hallgatólagos konvenciója révén üldözöttek és nem elsősorban azért, mert valamely állam tiltaná őket törvényi eszközökkel.

Másrészt azt vallom, hogy inkább maradhasson fenn az a tartalom a neten, igazságtartalmától függetlenül, ami mondjuk azt taglalja, hogy mekkora seggfej vagyok, ha ez az ára annak, hogy mindenki számára elérhető legyen az az információ is, amelyik azt taglalja, hogy egy távoli diktatúrában mekkora seggfejek vannak.

Amikor a netes tartalmak korlátozásáról van szó, még a témában jártas arcok közt is, ami az ezzel kapcsolatos vitákban közös, hogy szükségszerűen elmegy olyan irányba az érvelés, ahol értékítélet-alapon próbáljuk meg meghatározni annak a körét, hogy mit szabad és mit nem. Az értékítélet alapú érvelések pedig tudománytalanok.

Ugyan a blogon #voltmár, bónusz videó arról, hogy a tömeg mennyire szelektíven fogadja be azt, ami elé kerül, még akkor is, ha magában a címben benne van, hogy "OLVASD EL A LEíRÁST". A videóban a fiúnak egy idegen kifejezést kellett kimondania, a Youtube-on pedig olyan vérgőzös gyűlölködés érkezett kommentzivatarként, hogy a kommenteket tömegesen el kellett távolítani és a kommentelést le kellett kapcsolni.

Viszont példaként hozhattam volna azt a Twitter-csatornát is, aminek a leírásában a csatorna tulajdonosa a leírásban kérte, hogy senki ne töltse fel a bankkártyájáról készült képet, nem kevés idő telt el, mire rájöttek többen, hogy legalább a bankkártyaszámot okos lenne leradírozni. . .

A magyar netkultúra valóságos gyöngyszeme volt, amikor valaki magyarul is elkészítette azt a hoaxoldalt, amiben az ellen lehetett tiltakozni, hogy a Facebook fizetőssé váljon. Igaz, hogy az oldal leírásában kerek perec benne volt, hogy viccről van szó, annyian őrjöngtek miatta, hogy az anno bőven adott alapanyagot minden idők egyik legzseniálisabb Tumblr-jének, a Hungary vs Facebooknak. 

Szóval nem valószínű semmiféle armageddog. Éppen azért, mert túl sok az annyira sötét ember, aki nem tudja helyén kezelni az információt.

0 Tovább

Rövidhír: na kinek a vízuma került a netre :(


Avagy privacy kvíz, ebéd utánra, némi bulváros felütéssel. Nem túl vidám dolog, az egyetlen, amit te tehetsz azért, hogy ne fotózzák le semmilyen személyes iratod, amíg alszol, hogy alaposan elteszed. Ha esetleg nem vigyáz rá eléggé az asszisztensed, seggbe rúgod érte utólag.

Rövid kutakodás után szinte biztos, hogy nem őmaga fotózta le a vízumot még korábban.

Na ki? Műértők kedvéért még pár, picit manipulált kép.  

0 Tovább

Facebook oldal átnevezése 200 lájkoló felett


Avagy ismét egy trükk, ami elvben lehetetlen, gyakorlatilag simán megoldható, az online marketingesed pedig 1000%, hogy nem tudja. A végén némi net-teoretikai kitekintéssel.

Az utóbbi néhány napban eléggé alaposan elmerültem a FB-oldalak működésében, azt a részt most átugranám, hogy ez üzleti és gyakorlati szempontból milyen jelentősséggel bír.  Beszélgettem valóban jó online marketingesekkel, ami viszont általános tapasztalat, hogy az online marketingesek nem ismerik ízig-vérig a közösségi szolgáltatásokat, holott nagyon illene, emiatt nagyon sokszor nem tudnak megvalósítani olyat, ami az ügyfél számára előnyös lenne, rosszabb esetben pedig annyira mellényúlnak, hogy többen ártanak, mint használnak akár egyetlen rossz lépéssel is.

Na, akkor in medias res. A probléma: adott egy facebookos oldal, aminek több, mint 200 lájkolója van, emiatt nem nevezhető át. Amíg nem éri el egy oldal lájkolóinak a száma a 200-at, mindenféle bravúr nélkül átírható az oldal neve, viszont azt követően, hogy ennél több, már fel kell venni a kapcsolatot a Facebook hírhedt supportjával. Az átnevezési kérelmet pedig szinte biztos, hogy elutasítják. A Facebook oldalakkal kapcsolatos súgója nem azt mondja, hogy egy oldal egyáltalán nem nevezhető át 200 fan felett, hanem azt, hogy átnevezhető abban az esetben, ha ez a kapcsolódó guidelines-juknak megfelel, amiben persze megvan a logika, hiszen ha össze-vissza lehetne könnyűszerrel átirkálni az oldalak nevét, belátható, hogy az tömeges content poisoningra adna lehetőséget a blackhat SEO-s arcok miatt, amiből a felhasználók annyit látnának, hogy olyan oldalak virítanak a profiljukon és öntik az arcukba a kontentot, amit ők sosem lájkoltak.

Mi nem megoldás, mit NE tegyél, de tényleg ne, ha át akarsz nevezni egy nagy oldalt?
-    Úgy tűnhet, hogy önmagamat cáfolom meg, de ne higgy senkinek, aki előáll a tuti tippel! De tényleg ne! Egyrészt egy hülye tanácsot követni nagyon sokat árthat. Másrészt tudvalevő ugyan, hogy vannak olyan contact formok, amik közvetlenül nem érhetők el a Facebook felületéről – ilyen például a fiók végleges törlése is – amiben egy jó indoklással szinte mindent el lehet érni, ahogy többen sejtik azt is, hogy például milyen lépéseket kell követniük, ha egy nekik nem tetsző személyt, tartalmat vagy oldalt el akarnak távolítani vagy vissza akarnak állítani. Viszont hogy a Facebook mikor milyen forgatókönyvek szerint jár el, az legjobb esetben sejthető, aki azt mondja, hogy biztosan tudja, az hazudik.
-    Ahogy hasonló problémáknál lenni szokott, a témában még az első néhány száz keresési találat is ostobaság, ráadásul veszélyes ostobaság, ezeket ne kövessük, amiből valamiféle információ szerezhető, az egy évnél nem régebbi, témában megjelent leírások, de az nem az első száz találat közt lesz, az biztos.
-    Több helyen azt olvasni, hogy a felhasználó telepítsen ilyen-olyan böngésző plugint, aztán jó lesz. Egy ilyen böngésző plugin valójában egy webes proxy szerepkörét tölti be, na meg nem mellékesen súlyos veszélynek teheti ki az oldal, az egész gépet, szóval az elővigyázatlan felhasználó gyakorlatilag a fél veséjével fizet érte, ráadásul lehet, hogy nem is működik.
-    Igaz, hogy a ritkán felmerülő problémák megoldásához szükséges tudásáért valaki joggal kérhet pénzt, akár nem is keveset, de a neten látatlanba ne fizessünk senkinek ilyenért, még egy marketing ügynökségnek is csak akkor, ha már sikerült megoldaniuk a problémát.

Akkor mi a megoldás? Kis ismétlésként leírom, hogy hogyan is működik a Facebook supportja, amelyik ugye a legdrágább erőforráson, az emberi erőforráson spórol, ahol tud, ezért nehézkes kapcsolatba lépni velük legtöbbször és valami érdemit elérni.

Teljesen mindegy, hogy milyen bejelentésről van szó, első lépésben egy algoritmus elbírálja, hogy egyáltalán érdemes lehet-e foglalkozni a dologgal, ez már eleve nagyon sok tényezőtől függ, hiszen a Facebook más felhasználási feltételeket alkalmaz különböző államokban illetve régiókban, valamint függ attól, hogy a felhasználónak mennyi olyan kérése volt korábban, amit pozitívan bíráltak el, ha pedig egy oldalról van szó, akkor sejthetően az oldal számos tulajdonságától, mint az oldal kora, típusa, aktivitása és ki tudja még, hogy mi.

Abban az esetben, ha az első ellenőrzésen sikeresen keresztülment a kérelem, akkor kerül moderátorok elé, de nem ám a Facebook főhadiszállására kell gondolni, az piszok drága lenne. A moderátorok vélhetően a harmadik világban bagóért dolgozó, angol nyelven többé-kevésbé tudó alkalmazottak, akik kizárólag egy teljesen rigid, sokszor végképp nem logikus vagy igazságos forgatókönyv szerint járhatnak el és dönthetnek valaminek a módosításával kapcsolatban. Körülbelül ez felel meg a level-1 supportnak. A kérelmek szinte egyike sem jut tovább innen. Példa: eltávolításért bejelentett uszító, pornográf vagy tévesen annak vélelmezett tartalmak. Én a webes óriások helyében nem lennék ennyire prűd, mert lehet, hogy nagyon komoly árat kell fizetni érte.

Viszont a forgatókönyv azt is leírja, hogy mikor kell tovább dobniuk a labdát a tőlük már több döntési szabadsággal és jogosultsággal rendelkező support teamnek. Tipikus példa lehet ilyenre a tömeges pornográf tartalom, embercsempészet vagy nagyon jelentős mértékű fegyver- és drogcsempészet gyanuja. Ha úgy gondolnád, hogy annyira azért nem hülyék a rosszfiúk, hogy a Facebookot használják ilyen tartalmak megosztására vagy ilyen témák megvitatására, nos, egy részük tényleg ennyire hülye. Remek kérdés, hogy az a level-2 supportnak megfeleltethető csapat milyen módon dolgozik együtt például a Homeland Securityvel, amelyik olyan, mint Magyarországon a Nemzeti Nyomozóiroda. Viszont lehet, hogy itt döntenek olyan kérdésekben is, aminek a tárgya nem valamilyen visszaélés, bűncselekmény, de eléggé fajsúlyos, hogy ide kerüljön.

Viszont még egyszer: nem tudni, hogy egy-egy bejelentéskor merre pattan a labda, ahogy a support rendszer felépítése is érthető módon nem ismert pontosan.

Tegnap közel harminc perc keresés után – ami nálam nagyon soknak számít – azt gyanítottam, hogy az átnevezgetéssel kapcsolatos kérelmek sorsa nagyban függ attól, hogy a kérelem melyik államból érkezik. A Facebook felhasználási feltételeit ember legyen a talpán, aki követni tudja, de nem mellékes, hogy a felhasználókra vonatkozó szabályok nem csak attól függenek, hogy melyik államból vagy régióból történt a regisztráció, ahol rátapostak az Agree gombra, hanem attól is, hogy a felhasználó melyik államból használja a szolgáltatást és itt a lényeg.

Volt egy olyan sejtésem, hogy törvényi kötelezettség vagy ki tudja, hogy milyen okból, az USA területéről érkező bejelentések elbírálása ez EU-stól eltérően történik. A több ezres oldal átnevezését egy nappal korábban utasították el egy, számukra igencsak praktikusan semmitmondó válasszal.

Nosza, fogtam egy szűz böngészőt, pontosabban olyan böngészőkörnyezetet, amit a legjobban a pornó módnak is becézett inkognitó módhoz tudnék hasonlítani, viszont mégsem az. Ez azért fontos, mert ha például a korábbi munkamenet azonosítóm alapján felismer a Facebook vagy más web giant, akkor annak megfelelően fog kezelni – na meg az egész szolgáltatás viselkedni – amilyen régióból beléptem. [Például a korábban ismertetett SMS-küldözgetős feature el sem érhető a Google esetén. ]

Azért pedig, hogy az USA-ba tudjam varázsolni magam, kellett egy USA-beli VPN. Fontos, hogy a VPN szerepét nem helyettesíti egy webes proxy, másrészt tudom, hogy vannak ingyenes VPN-szolgáltatók, azok többségét bottal nem piszkálnám meg, mert jó esetben csak lassúak vagy forgalomkorlátosak, rosszabb esetben kockázatosak. Azt hinnénk, hogy az online marketing ügynökségeknél nyilván van valamilyen virtuális magánhálózati előfizetés, hiszen alapvetően olcsó másrészt lévén, hogy egyre több minden van a neten, aminek az elérése államhoz kötött, simán szükség lehet rá, hogy gyorsan átvarázsoljuk magunkat a világ túloldalára. Itt most az a fő szempont, hogy minél több földrajzi helyet lehessen bekamuzni, ha kell. Nos, ehhez képest az online marketingesek nem vágják, hogy mi az a VPN. A szűz böngészővel egy USA-beli VPN-en keresztül csatlakoztam, majd felléptem a Facebookra, amelyik persze rögtön rákérdezett, hogy valóban én vagyok-e, mivel pár perccel korábban még a vén Európából kapcsolódtam, miután ez megvolt, elindítottam pontosan azt a formot, amit egy nappal korábban és kértem az oldal átnevezését. Hogy-hogynem, összesen 10 perc nem telt el, átnevezzék a több ezer lájkerrel rendelkező oldalt!

Fontos megjegyzés, hogy attól, hogy ez nálam működött, egyáltalán nem biztos, hogy másnál is működni fog, tehát ne engem kéretik anyázni, ha hasonló helyzetben nem működik a leírt módszer. Hiszen ahogy írtam jópár tényezőtől függ, hogy egy kérvényt hogyan bírálnak el, a support viszont sosem indokol olyan módon, hogy az érdemi többletinformációt jelentsen, hiszen ha részletesen indokolnának egy moderátori döntést, ebből következtetve ezzel sokan azonnal vissza is élnének, röviden: kijátszhatóbb lenne a dolog. Mindegy, hogy miről van szó, az indoklás rendszerint annyi, hogy a döntés a felhasználási feltételek kapcsolódó részeivel összhangban van vagy sincs.

Megjegyzem, a Facebook fenntartja magának a jogot, hogy bármilyen döntést indoklás nélkül ismét felülbíráljon – nem is a Facebook lenne, ha nem így lenne.

Egy több ezres oldal átnevezésekor egyébként az összes lájkernél felvillan, hogy egy általa korábban kedvelt oldalt átneveztek és döntsön, hogy továbbra is lájkolja-e, mivel ez megzavarja a felhasználókat, így néhányan elhagyják az oldalt, némi veszteséggel lehet számolni, de egy több ezres oldal esetén ez nem jelentős.

Ennyi!

Amit fontos tudni, hogy önmagában az anonimizálás nem elég, sőt, inkább rossz például ilyen facebookos műveleteknél, hiszen a Facebook nagyon jól tudja, hogy melyik felhasználó érkezik TOR-on vagy más anonimizáló hálózaton keresztül keresztül.

Végül ejtenék pár szót arról, hogy szerintem hogyan érdemes VPN-szolgáltatót választani. A szolgáltatók profiljukban eltérnek egymástól olyan módon, hogy van, amelyik a nagy sebességet emeli ki erősségei közt, amivel látástól Mikulásig lehet torrentezni, megint másik kimondottan tiltja a torrentezést és a nagy adatátvitellel járó forgalmat, viszont erősségként kiemeli, hogy egy előfizetést egy rakás eszközön lehet egyszerre használni. Megint más VPN-szolgáltató azt hangsúlyozza, hogy a világ szinte minden országában jelen van. Illetve hogyne lennének olyan szolgáltatók, amelyek esküsznek a szeplőtelen szűzanyára, hogy számukra aztán a böngészés szent és sérthetetlen, az ő titkosításuk a legerősebb és ők aztán nem adnak ki adatot hatóságoknak sem, mivel nem naplóznak a feltétlenül szükségesnél több ügyféladatot. Ilyen szolgáltató persze simán lehet, hogy éppen egy titkosszolgálat fedőszerve, ahogyan az is, hogy semmivel sem anonimizál jobban az ő szolgáltatásuk, mint bármely más.

Végül megosztanék egy elgondolkodtató személyes sztorit. Egy szakmai rendezvényről vonatkoztunk haza, amikor szóba került a hálózati forgalom anonimizálása és szóba hoztam, hogy milyen aggályaim vannak a TOR-ral kapcsolatban és én melyik VPN-szolgáltatót használom. Az ott lévő überszuper tényfeltáró újságíró rögtön rávágta, hogy ez hülyeség és kész, mert az a szolgáltató az USA hatóságainak adatokat szolgáltatott ki valamelyik évben valamelyik ügyfeléről. Igen ám, csakhogy abban az esetben a kedves előfizető éppen valamilyen súlyos bűncselekményt tervezett elkövetni és az ottani hékek már egyébként is figyelték. A történet nagyon emlékeztet arra, amikor a világ egyik legbiztonságosabb levelezőszolgáltatójának tartott Hushmailt a Wired kemény kritikával illette amiatt, hogy néhány esetben adatokat szolgáltatott ki a hatóságoknak és azt a téves benyomást keltette, hogy akkor nem is olyan biztoságos, szar az egész. Nos, a Hushmailnél emlékeim szerint ez akkor történt, amikor az egyik ügyfelük arról diskurált már jóideje, hogy egy targoncányi drogot hogyan csempésszenek át, de ebből nem következik, hogy a Hushmail megtévesztené az ügyfeleit vagy szembe menne a saját elveivel.

Korábbi posztokban már írtam róla, hogy először azt kell tisztázni privacy-related kérdésekben, hogy az adatot és az adatátvitelt kitől akarjuk óvni ténylegesen, az NSA-től vagy valami ellenérdekelt gyökértől, akinek vannak olyan kapcsolatai, amin keresztül szervereket foglalhat le egy-egy szerverteremből abban az országban, ahol azok vannak vagy jó cimborája egy netszolgáltatónál, amelyik a titkosítatlan adatot sniffelheti, a meglátogatott oldalakat naplózhatja. Na már most ki-ki döntse el magában, hogy az IT viszonyokat ismerő arcként neki az a fontosabb, hogy az elvi lehetőségét is kizárja vagy csökkentse annak, hogy a netszolgáltatóján keresztül esetlegesen lehallgassák az adatforgalmának titkosítatlan részét vagy bérgyilkosként az, hogy őt aztán ne lássák a legkomolyabb hatóságok sem.

Ami a TOR-hívőket illeti, komolyan nem tudok velük mit kezdeni, mivel értelmes indoklást még nem hallottam vagy olvastam azzal kapcsolatban, hogy a gyakorlatban a TOR miért szavatolná jobban az anonimitást, mint egy normálisan beállított OpenVPN, ugyanakkor olyat már többször olvastam, hogy a TOR kliensszoftverében orbitális méretű biztonsági rés tátongott. Attól ugyanis, hogy valami nyílt forráskódú, még nem jelenti azt, hogy a benne lévő hibát gyorsabban meg is találják, viszont nem is olyan elképzelhetetlen konteó, hogy a TOR Projectben vannak olyan fedett nyomozók [konyhanyelven titkosügynöknek hívják] önkéntesként, akik szándékosan tesznek olyan backdoort a szoftverbe, ami majd lehetővé teszi, hogy lazán megfigyeljék a TOR-felhasználókat.

Szoktam utalgatni rá, hogy egyre súlyosabb probléma, hogy a felhasználók az információbiztonság fontosságáról azért nem győzhetők meg, mert nem értik, amilyen mélységben kell. Azt viszont még nem írtam, hogy a tőlük is súlyosabb, abszolút meggyőzhetetlen arcok viszont azok, akik alaposan rápörögtek az elmúlt évek privacy-hypejaira, mondjuk egy tényfeltáró újságírói szervezet tagjaként nap, mint nap bújják a Wikileaks-et, csak TOR-on csatlakoznak és értik is, hogy az anonimizálási módszerek hogyan működnek. Pont azért nem lehet meggyőzni őket semmiről, mert úgy gondolják, hogy úgyis ők tudják jobban. Megjegyzem, hála a jó égnek, őket nem is akarom meggyőzni.

Képek: laptopmag.com, lessingflynn.com

0 Tovább

Hogyan legyél kiber PUA?


Se szeri, se száma azoknak a videóknak, amiben valami korábban sehol sem látott, pocakosodó fószer löki a vakert arról, hogy mi a biztos módja annak, hogy valaki felszedjen egy csajt, amit vissza is igazolnak azok az esetek, amikor a PUA-növendékeknek sikerül is koppintania valamelyik módszert és véletlenül olyan csajba akadnak, akinél pont működik. Azt meg hagyjuk, hogy ezeknél a hölgyeknél könnyen lehet, hogy bejönne bármilyen más módszer is, szóval abszolút nem az unikális jelleget keresik a pasiban.

Na jó, nem vagyok én akkora nagy párkapcsolati szakértő, mint Kiss Ádám eredetileg amúgy molekuláris bionikus, mérnök informatikus kolléga, akinek a videója olyan parádésra sikerült, hogy azt először valami Viktória nevű zsebpolihisztor utána pedig Paintshop Noémi  szedte darabokra, ahogy kell.  

Szóval mi a helyzet akkor, ha nincs időd vagy kedved emberek közé menni, de azért felszednél valakit, akár komoly, akár komolytalanabb kapcsolat céljából? Nosza, ott a mobilos-kattintgatós-ismerkedős appok luxusverdája, a Tinder, aminek a lényege így foglalható össze, ha valakinek kimaradt volna: az app dobálja fel a hölgyeket, aztán jobbra vagy balra húzod a fotót, függően attól, hogy bejön-e, ha pedig kölcsönösen bejöttök egymásnak, akkor a match alapján el lehet kezdeni a chatelést. A helymeghatározásnak különös szerepe van abban, hogy kiket dobál fel ajánlatként. Az ötlet egyébként nem új, olyannyira nem, hogy a helymeghatározáson alapuló mobilos ismerkedő alkalmazások közül bő 3 évvel korábban jelent meg a melegek által használt Grindr,  így történetileg akár helyesebb is a Tindert a heteró grindr-nek nevezni, nem a Grindr-t meleg tindernek, na de maradjunk a polkorrektek.

Nem mintha olyan eszelősen bonyolult lenne a Tinder használata, viszont a megfelelő stratégiával sokkal nagyobb hatékonysággal lehet hölgyeket fogni és ez a lényeg. Én amikor a minap telepítettem az appot, elsőre nem működött, ahogy szerettem volna, aminek az oka az volt, hogy a Facebookból importált adatok alapján a felhasználóm nemét nem tudta meghatározni, mivel az már nem csak male vagy female lehet, egy ideje bármi beírható,  nekem ekkor jutott eszembe, hogy néhány hónapja beírtam, hogy „szeretem a sört”, amivel nem nagyon tudott mit kezdeni szegény app. Nosza, vissza is állítottam a felhasználót férfi neműre. Minimális finomhangolás után nekifutottam a böngészésnek, ahogy írtam, nem egy rocket science használni az appot, ami azt illeti, annyira nem, hogy akár egy pszeudokódban is kényelmesen, röviden meg lehetne adni, hogy hogyan nőzzön valaki helyettünk, ha esetleg még mobilnyomkodáshoz is elfoglaltak lennénk.

Ne legyenek illúzióink, egy hölgy akár komoly, akár kevésbé komoly kapcsolatot keres, az alapján dönti el a másodperc tört része alatt, hogy érdekes-e neki a csávó, akit éppen a képen lát, szóval ha valakinek nem lett volna fenn valami nyaralós képe fénykorából, érdemes feltenni. Ami viszont fontos, és ami inspirált arra, hogy írjak erről: előfordulhat, hogy a hölgynek nem jössz be, aztán ha ő dislike-ol, akár véletlenül is, nálad már fel sem fogja dobni az alkalmazás, holott lehet, hogy egy kis facebookos böködés után kiderülne, hogy pont az a típusú játékos a húspiacon, akit te keresel és persze vice versa. Ergo oldjuk meg, hogy ne dislike-oljanak, mielőtt mi nem néznénk meg valakinek az adatlapját.

A következő stratégiát követtem: ha nem volt bűn ronda a szentem, kapta a lájkot, ami egyébként ilyen módon gyorsan el is fogyott, mivel csak 12 óra elteltével oszthattam volna ismét a virtuális gesztust, inkább összeszorított farpofával előfizettem 1 hónap premium tinderezésre. Ha a hölgy jól nézett ki, nem merültem bele, a többi képének nézegetésébe [hiszen kevésbé helyes csajról is lehet nagyon jó képeket lőni], hanem megnéztem az adatlapot, ahol általában vannak kiegészítő információk. Nos, ha ott látszódott Insta, snapchat vagy bármilyen azonosító vagy ritka névvel találkoztam, már tapostam is a screenshotra, majd aztán a lájkra. Ha ciki képbe botlottam, akkor természetesen nem. Na, ezt el lehet játszogatni pár száz felhasználón keresztül vagy akár tovább is, ami a lényeg, hogy amint a screenshot elkészült, az ugye mobilplatformtól függetlenül, alapértelmezés szerint már megy is fel az iCloud/Google Drive/Onedrive felhőben. Pont, ami kell: a név, rajta az Insta-azonosító, ami sokszor linkelve van a FB-fiókkal vagy más kereshető adat. Aztán majd ha valamikor rémesen sok időm lesz, akkor megnyitom ezt a mappát, aztán már keresem és bököm is a hölgyet a Fészen, ha nagyobb szerencsém van, nem sokkal később meg személyesen. Mondjuk nekem sosem a kapcsolatfelvétellel van problémám, hanem az érdeklődés fenntartásával, de ez most senkit sem érdekel. Szóval ha visszabök, akkor indulhatnak a szokásos tiszteletkörök az üzenetküldőben – mondjuk erre alighanem sosem lenne időm, de azért eljátszani a gondolattal érdekes.

Első blikkre nincs sok értelme, hogy egy bankrablás pontosságával írjam le, hogy hogyan érdemes a webkettőn puáskodni, tény, hogy nagyon sok komoly emberi kapcsolatot alakít, a Facebook. Olyan komoly kapcsolatokat, amiknek egy részéből később házasság lesz, a felhasználók a saját, másodszintű ismerőseik közt találják meg, akárcsak a való életben, ez itt módosulhat olyan módon, hogy a Tinder összesodor olyan hölgyekkel, akikkel közös ismerős ugyan nincs, viszont közös érdeklődési terület a lájkolt tartalmak alapján van!

Az világos, hogy a Tinderen egyszerű, [matematikailag] diszkrét adatok alapján dől el, hogy egyáltalán milyen körből kerülhetnek eléd a játékosok, ez pedig, hogy milyen neműt keresel és a másik olyan neműt keres-e, mint a te nemed, milyen korosztályban és földrajzilag milyen széles körben. Van viszont számos más adat, ami a felhasználó előtt nem világos, leginkább csak gray box tesztek  alapján tudható, hogy az app nagyobb valószínűséggel dobálja fel azokat a felhasználókat, akikkel van közös ismerős, akik korábban már megnéztek, hasonló tartalmakat lájkolt és hasonlók.

Haladó kiber PUÁknak javasolható mobil helyett, kapásból mobilfejlesztői környezetben, gépen futtatni az appot, gusztus szerint egy rakás robottal.

Amit azért fontos észben tartani, hogy ha már a Tinder átcibál adatokat a FB-ról, kizárólag olyat információkat tegyünk ki magunkról a húspiacra, amikben vélhetőleg nem nagyon van semmi rázós. Egyrészt, mert a Tinder megmutathat olyan információkat is, amik egyébként nem voltak láthatóak, mint például közös ismerősök vagy lájkolt oldalak. Arról nem is beszélve, hogy a Tindert komoly kritikával illették  többször is egyszerűen a szoftveres megvalósítása miatt. Ezek közül talán a legsúlyosabbak azok voltak, amikor a Tinder egy korábbi verziója értelmetlenül sok képet áttöltött a saját szerverére, amik állítólag elérhetőek is voltak, kívülről is, bárki számára.

Arról lehet vitatkozni, hogy ilyen-olyan szempontból mennyire érdemes szemérmeskedni egy ilyen alkalmazásban, viszont tartsuk észben, hogy attól, hogy az app elvben csak a fotót, az életkort és a keresztnevet mutatja – illetve, ha valaki olyan hülye volt a FB-regisztrációnál, hogy összekeverte a családnevével, akkor azt – ettől még a játékosok szinte mindig megtalálhatóak, az előbb emlegetett adatokon túl például a Google Képkeresőjével is.

Többek közt a Tinderről is esett szó a múltkori Netacademia Ethical Hackingen, Reiter István mobilos API-k sebezhetőségét érintő előadása itt tekinthető meg.

Mindezek után felmerülhet a kérdés, hogy ha ekkora szarvashibák voltak a Tinderben korábban, akkor hogyhogy nem lett belőle akkora vagy hasonló botrány, mint az Ashley Madison meghakkolásakor? A magyarázat szerintem az, hogy minden olyan szolgáltatásban, ahol felhasználói adat tárolódik, az adatszivárgás sajnos annyira mindennapos, hogy biztosan nem éri el az újságolvasók ingerküszöbét és csak másodlagos, hogy az Ashley Madison egy deklaráltan félrekúrós oldal volt, míg a Tinder nem az. Illetve az előbbi esetben hirtelen történt a disclosure nagy mennyiségű adattal, amit alaposan meg is hype-oltak, ezek után már tényleg csak részletkérdés, hogy ahogy az utólag kiderült, az Ashley Madison hölgy felhasználói mögött többségében nem is állt valós személy.

Kisebb-nagyobb csalással vagy spammel minden szolgáltatásban számolni kell. Én csak a napi gyöngyszemet emelném ki: az egyik felhasználónál a kép helyén az alábbi pazar marketingszöveg áll… Értitek! 22 éves és idén érettségizett. Oké, én ha önmagam helyett küldenék valakit érettségizni valamilyen tárból, alighanem élnék némi korbeli diszkriminációval : )

Könyvajánló, nem csak emberi kapcsolatokról: Nicholas A. Christakis, James H. Fowler - Kapcsolatok hálójában

Képek: libri.hu, animalnewyork.com

0 Tovább

A web tudja hol vagy: szinte mindig


Térképek, keresők, mobilos társkereső rendszerek és közösségi szolgáltatások – mindnél természetesnek vesszük, hogy figyelembe veszik, honnan netezünk éppen vagy konkrétan működésképtelenek is lennének enélkül.

Gondoljunk csak bele: amikor elindítod a Google, Yandex, Bing vagy OpenStreetMap térképszolgáltatását, kisebb-nagyobb pontossággal eleve azt a területet mutatja, ahol vagy, nem pedig a teljes bolygót. Akár termékre, akár szolgáltatásra keresel rá, természetes, hogy ha az kapható illetve elérhető Magyarországon, a magyar találatokat fogja dobni, azaz ha Tihanyban ráguglizol arra, hogy „cafe”, nem a világ legtöbbször hivatkozott weboldalait fogja kiadni, amik valamilyen kávézó webhelyei, hanem azt, ami ésszerű közelségben van. Ha elindítod a Tindert, azt veszi alapul a választék megmutatásakor, hogy milyen közelségben vannak a csajok illetve pasik, enélkül működésképtelen lenne az egész, de olyan mobilos társkeresőt is láttam már, ami plusz/mínusz néhány méteres pontossággal mutatta a másik felhasználó pozícióját.

Ráadásul mindez független attól, hogy helymeghatározó funkciót használó mobileszközt használsz, asztali gépet vagy laptopot, csak a pontosság tér el. Hogyan? Honnan tudják a webes szolgáltatások, hogy éppen honnan netezel, ráadásul ilyen pofátlanul pontosan?

Ahelyett, hogy belemennék a részletekbe, ismét az elvi működést ismertetem nagyvonalakban, a geolokáció felhasználási lehetőségei nyilván végtelenek, ami nem kevés kérdést vet fel, amit inkább meghagynék azoknak idióta privacy fetisisztáknak akiket behatóbban érdekel a téma.

Ha nagyon vissza akarok menni Ádámig és Éváig, mindig eszembe jut, hogy micsoda össznépi őrjöngés volt még 10-15 évvel ezelőtt is annak kapcsán, hogy a mobilszolgáltatók naplózzák azt, hogy az előfizetők mobilja mikor hol volt éppen, ennek megfelelően azt is pontosan tudják, hogy merre volt maga az ügyfél és persze legalább annyi rémes ostobaságot hordtak össze a témában, mint manapság. A szolgáltatók pedig számomra érthetetlen módon első reakcióként lehazudták, hogy tárolnának a földrajzi hellyel kapcsolatos adatokat, holott ha bárki megnézi, hogy hogyan működnek a GSM hálózatok, - mondjuk ebből a jó régi, de az elméletet jól summázó könyvben – abból világosan kiderül, hogy nem is működne az egész, ha a hálózat nem tudná, hogy a mobil hol van, dióhéjban azért, mert az eszköz helye alapján tudják egyszerűen eldönteni a mobilhálózatok, hogy mely tornyot vagy tornyokat használja az eszköz, jelerősség, terheltség és egyebek alapján. Ez még jócskán a 80-as évek elején is így volt, de ha nem naplóztak volna ilyen-olyan adatokat, akkor esélytelen lett volna diagnosztizálni visszatérő problémákat, normálisan fejleszteni a hálózatokat, hiszen ha nem tudható, hogy egy-egy torony mennyire leterhelt, esetleg milyen típusú mobilok problémásak, azt sem lehet előre bejósolni, hogy hova kellene építeni még tornyot. Ezzel gyakorlatilag egy időben kötelezővé is tették a jogalkotók a szolgáltatók számára, hogy ezeket az adatokat jó sokáig tárolják is, aztán több bűntényt így sikerül megoldani, a mainstream sajtóba csak olyasmi néven vonult be a fogalom, hogy cellainformáció-alapú helymeghatározás.

Nos, ehhez képest ma a felhasználók egy jókora része rendszeresen becsekkol ide-oda-amoda a webkettőn, még azt is megjelöli, hogy pontosan hol lakik, na meg, hogy mettől meddig nyaral. Az Antivírus Blogon visszatérő téma, hogy a betörők elképesztően nagy része a social weben keresztül előre tájékozódik róla a betörés tervezésénél, hogy hova törjön be, elég csak megnézni néhány palimadarat, amelyik geotaggel Fészen, Instán, Foursquareen – ami aztán már tényleg az agyrém netovábbja – ha ezek esetleg nem lennének kint publikusként, és a betörőnek van egy csöpp esze, akkor létrehoz egy vonzó kamu karaktert, majd felveteti magát ismerősnek emberünkkel. Kihasználva azt, hogy ilyen téren annyira illedelmes a többség, főleg a jól kinéző szőke hölgyekkel, akiknek az adatlapja szerint egy iskolába jártak, hogy felvesz ismerősnek boldogot boldogtalant, de még akkor is, ha a kamu karakter képét egyébként ezer helyen dobná a Google Képkeresője és az illetőnek eszébe sincs megválaszolni azt a kérdés, hogy "bocs, honnan ismerjük egymást". [1]

Jókora patália volt belőle, amikor a Google Streetview kocsijairól kiderül, hogy nem csak utcákat fotózgattak, hanem menet közben összegyűjtötte a hatótávolságába kerülő wifi-routerek hálózati nevét, ún. BSSID-jét és el is mentette azt a kapcsolódó GPS-koordinátákhoz kötötten. Persze nem adta ki senkinek, viszont óriási adattárházat épített belőle. Persze sok-sok hülye és kevésbé hülye ország illetékes szervei kötelezték a Google-t, hogy ezeket az adatokat töröljék, mivel a routerek tulajdonosai explicit módon ebbe nem egyeztek bele. Mit csinált a Google? Like a boss, törölte az így begyűjtött adatokat, majd egy még precízebb helymeghatározást lehetővé tevő, gyakorlatilag megkerülhetetlen módszert alkalmazott. Itt most arról fogok irkálni, hogy hogyan működött az adatgyűjtés korábban, a legtöbb helyen már nem így működik a Goolge esetén, de millió meg egy más szolgáltatás csinálja.

Nagyon nagy vonalakban a helyzet valahogy így néz ki: amikor valaki használatba vesz egy mobiltelefont, akkor vagy elfogadja a felhasználási feltételeket vagy felteheti dísznek a polcra kikapcsolva. Ha elkezdünk például egy andoridos mobilt használni, akkor kapásból beleegyezünk abba, hogy a mobil a háttérben leolvassa a hatótávolságában lévő BSSID-ket és elküldje a Google-nek, amit több adattal kapcsol össze, ezek többek közt
-    a korábbról már meglévő pozícióadatok
-    a mobilteló cellainformációja alapján helymeghatározásra használható adatok
-    az IP-cím, amit akkor kap meg, amikor a felhasználó kapcsolódik az egyik hálózathoz wifin keresztül, az Android core szolgáltatásain kívül pedig még kismillió Google-szolgáltatásnak ezt úgyis tudnia kell, például amikor a Gmail-es levelek automatikus letöltése történik, a felhasználó elindítja a Chrome-ot, amelyik szinkronizálja a könyvjelzőket, stb.  

Mielőtt most azt mondanák az almás és ablakos felhasználók, hogy ugyehogyugye, gyorsan megírom, hogy az Apple és a Windows Phone-os eszközök lényegében ugyanezt csinálják, csak éppenséggel a szolgáltatások neve más.

Na de még mindig nem világos, hogy a fent említett néhány adatból honnan tudja akkora pontossággal Android esetén a Android Device Manager, iPhone esetén pedig a Find my phone, hogy hol is az a mobil, ha elveszik, aztán megkeressük a térképen, hogy hol van.

A durván egyszerűsített magyarázat az, hogy egy cella alapján még a torony is csak kilométeres pontossággal tudná megállapítani a mobil helyét, de a mobil általában egyidejűleg több cellára kapcsolódhat, amiknek eltérő a jelerőssége, amiből besaccolható ezek távolsága, márpedig ezeket az adatokat az okosmobil elérheti. Ráadásul hacsak nem egy oázisban vagyunk, ahol még ember nem járt előttünk, akkor nyilván korábban más mobilja is lekérte és használta ugyanezeket az adatokat, másrészt tőlünk egy városon belül minden égtáj irányába kisebb vagy nagyobb távolságra, de van wifije a szomszédnak északra, délre, keletre és nyugatra egyaránt, ahol más mobilok ugyanezeket az adatokat már átadták a helymeghatározó szolgáltatásnak.

Innentől kezdve pedig már nettó matek az egész, egy-egy pont térbeli helye meghatározható más, ismert helyen lévő pontokhoz viszonyított távolsága illetve szögek alapján, ennek az egyik legegyszerűbb, de nyilván nem egyetlen módszere a háromszögelés.

Nos, egy mobiltorony ennyi kilométerre, a másik annyi kilométerre, hogyan adódik mégis a néhány méteres pontosság? Anélkül, hogy csukafejest ugranék konkrét adatbányászati módszerekbe, amik többségéhez amúgy nem értek, lényeg, hogy az adatbányászatnál, na meg egyáltalán amikor napjaink egyik legrémesebb buzzwordje, a big data kerül szóba, a lényeg azon van, hogy minél több adat áll rendelkezésre, még ha azok pontatlanok is, a nagyon sok pontatlan adatból kikövetkeztethetők nagyságrendekkel pontosabb, már használhatóbb információk. Lásd: machine learning,  ami végülis a mintázatfelismerés alapja és felhasználható szinte bárhol. [2]

Nagyjából ennyi! Fontos tudni, hogy a mobilokban szigorú értelembe véve sosem valódi GPS van, hiszen ekkor egyrészt a mobil nagyobb és drágább is lenne, másrészt pedig amikor a pozícióját le akarja kérdezni, mindig fel kellene vennie a kapcsolatot több műholddal, amire vagy pont van rálátás vagy nincs, de egy-másfél percig bőven eltartana, ráadásul olyan pontosságra nincs is szükség.

Tisztázzuk: a mobilokban használt, előbbi adatok feltöltése és lekérdezése alapján működő helymeghatározó technológia az AGPS, azaz Assisted Global Positioning System.

A mobileszközöket túl is tárgyaltuk, az esetleges pontatlanságokért pedig elnézést. Na de honnan tudja az asztali gép, hogy hol van?

Ahogy írtam, a mobil felküldözgeti a cellainfóit és az általa látható vagy általa használt hálózatok BSSID-jét is, ezen kívül a netszolgáltatótól kapott IP-t [mármint amit wifin keresztül használ]. Márpedig túl gyakran nem változik sem a netszolgáltatónk, ennek megfelelően az sem, hogy a netre csatlakozott eszköz milyen IP-címtartományból kap IP-címet, mi több, nem csak a címtartomány marad változatlan, a netszolgáltatók nem osztanak új IP-címet sem, ha nem feltétlenül szükséges, így akár hónapokig is ugyanaz marad a dinamikus IP, az pedig, hogy egy IP-cím milyen internetszolgáltatóhoz tartozik, lekérdezhető – Európában – a RIPE adatbázisán keresztül automatizáltan is, amit a GIS-szolgáltatások meg is tesznek. Egy-egy IP-tartományhoz tartozó blokk valahogy így néz ki:

https://apps.db.ripe.net/search/query.html?searchtext=188.36.223.0#resultsAnchor

A netszolgáltató persze elvben azt kamuzik be bizonyos korlátok közt, amit csak akar, viszont ez egyszerűen nem érdeke, az érdeke az, hogy olyan pontossággal adjon meg adatokat, ami a hálózatok közti adatcsere folyamán az útválasztást segíti, a sebesség érdekében pedig úgymond tudniuk kell a hálózatoknak, hogy hol vannak, tipikusan egy-egy országnyinál sokkal nagyobb pontossággal. Ez az alapja a távolság-vektor alapú útválasztásnak
ami biztosítja, hogy az adatcsomagok ne csámborogjanak a neten egyik géptől a másikig, mint gólyafos a levegőben, hanem minél gyorsabban jussanak el a feladótól a címzettig.

Lényeg, hogy amikor mondjuk megnézzük a Google Mapset asztali gépen, akkor az nyilván nem tudja átadni a routerünk hálózati nevét, viszont az IP-címét igen, amit kikeres az adattárházában, lévén, hogy ahhoz az IP-címhez vagy azzal egy címtartományban lévő címhez már kapcsolódtak korábban mobiltelók, amik fel is küldték a helyüket, ebből következik, hogy az adott IP-hez tartozó hely mi is. Ekkor hopp, minimum kerület pontossággal a Maps eleve arra a területre fókuszál, ahol vagyunk, nem pedig például csak Magyarországra. Azzal nem is bonyolítanám a képet, hogy az óriásszolgáltatók nem csak mobilok által kapott pozíciók alapján saccolgatnak, hanem néha méricskélnek is a szervereik és netszolgáltatók alhálózatai közt traceroutinggel, ami nem konkrét távolságokat mutat, hanem azt, hogy hálózati eszközök közt milyen sebességgel közlekedik az adat a mérés pillanatában. Ez csak nagyon durva becslésre adna lehetőséget, viszont ha sok-sok mérést végeznek és sok-sok útválasztó IP-címének hálózatát jegyzik fel [3], akkor a sok-sok pontatlan adatból legalább megye pontosságú adat jön ki.  Természetesen a szolgáltatások tudják, hogy egy IP-cím tartozhat mobilhálózathoz is, ami meg a címet mobileszközöknek osztja le, a mobilok ugyebár attól mobilak, mert mozognak, a geoinformatikai adattárházakat építő algoritmusok nem hülyék, ezt figyelembe veszik.  Egyrészt a már emlegetett RIPE adatok alapján, másrészt pedig az alapján, hogy alighanem már bőven volt mobil, amelyik éppen abból az IP-címtartományból /*azaz így szolgáltatón keresztül*/ használta korábban pont az ő egyik szolgáltatásukat, márpedig ha valaki mondjuk elkezd az iPhone-ján böngészni, a böngésző azzal kezdi, hogy jelzi a webhelynek, így az amögötti szolgáltatásnak, hogy ő egy mobileszköz, valahogy így  

80.99.xy.zw [URI] 7/2/15 11:17 PM Mozilla/5.0 (iPhone; CPU iPhone OS 7_1_2 like Mac OS X) AppleWebKit/537.51.2 (KHTML, like Gecko) Version/7.0 Mobile/11D257 Safari/9537.53

És ha nem is ebben a formátumban, a többi mobilalkalmazásnak is egyértelművé kell tenniük egy app elindításakor a szerver felé, hogy ő nem netre kötött kenyérpirító, hanem mondjuk egy Samsung Galaxy adott típusú és verziójú operációs rendszerrel.

A helymeghatározás többek közt ezeket a módszereket kombinálja, finomítja.

Amivel nem akartam bonyolítani a képet, hogy nem feltétlenül úgy kell elképzelni, hogy a Microsoft a Bing Mapshez, a Google a Google Mapshez, az Apple a Mapshez, a Yandex pedig a Yandex Mapshez külön-külön adattárházat épít, amik mit sem tudnak egymásról. Egyrészt nem ritkán az adatokat cserélgetik egymás közt és mindenki jobban jár, másrészt természetesen igénybe veszik olyan geoinformációs technológiákkal foglalkozó cégek technológiáit és adattárházait is, amik közvetlenül egyáltalán nem szolgáltatnak a végfelhasználók, csak a szolgáltatók felé, ilyen például a TeleAtlas aminek egy részéből rakták össze a Google Maps-et.

Ezen kívül alighanem mindenkinek a mobilján van olyan app, aminek egyáltalán nem szükséges tudnia, hogy hol vagyunk, mégis az ingyenes használat feltételévé teszi, hogy a pozíciónkat hébe-hóba felküldi egy partnerének, mi pedig nem olvassuk el a kilométeres T&C-t, na meg egyébként sem érdekelne.

Vannak olyan cégek, akiktől kilóra lehet venni olyan adatbázisokat, amik kizárólag az IP-címre támaszkodva adják vissza a látogató földrajzi helyét, ilyen például az IPteligence, az IPAddressLabs, az IP-DB, vagy az IP2location.  

A helymeghatározásnak olyan esetben is fontos szerepe lehet, amiről egyébként nem gondolnánk. Például a Skype alapértelmezés szerint egy hanghívásnál point-to-point, ha úgy tetszik, közvetlen kapcsolatot hoz létre a két fél közt, amihez nyilván egymás IP-címét tudni kell. A Skype-on ez letiltható ugyan, ekkor egy köztes szerveren fut át az adat, viszont olyan esetben, ahol csak lassabb netet kap a mobil, pont emiatt lesz a hangminőség rosszabb.

Amit írtam, hogy a Google esetében a BSSID-alapú adatgyűjtési gyakorlat számos országban már a múlt, amíg viszont nem volt így, addig a wifi BSSID-je végére írt _nomap jelölővel lehetett utasítani a Google-t, hogy ezt ne vegye figyelembe, a wifink neve a helyével együtt ne kerüljön fel az adatbázisba. Na és? Ott van még ezer másik szolgáltató, amelyik meg gyűjti látástól Mikulásig. Ráadásul értelmetlen is tiltani, mivel vannak olyan, az OpenStreetMap-hez hasonló, közösségi tudáson alapuló geoinformatikai megoldásokat is használó rendszerek, mint például a WiGLE amiknek az API-felületén keresztül mondjuk pont olyan BSSID-k kereshetők bárki számára, aminek a nevében benne van, hogy _nomap :)

Szóval eléggé gyorsan érdekessé tudja tenni magát az a felhasználó, aki mondjuk az otthoni routerét így nevezi el, addig csak a Google látta, az átnevezés után meg az egész világ. Az is lehetőség, hogy a router konkrétan ne boardcastolja a hálózat nevét, ekkor viszont ha valaki vendégségbe érkezik és wifit használna, kézzel kell bekalapálnia a hálózat nevét is a jelszó mellett, mivel az nem fog látszani a wifi hálózatok felsorolásában.

Még egy picit a Google-ön rugózva, mondhatni eléggé para, amikor 30 napra visszamenőleg meg lehet nézni, hogy merre mászkáltunk az androidos mobilunkkal, hacsak ez nem volt letiltva, trükkös dolognak tűnik az, hogy meghamisítjuk a mobilunk pozícióját, annyira nem az. Ez elvben elérhető Blackberryn, Windows Phone-on, Apple-n is, csak sokkal durvább beavatkozással, míg Android esetén elég a beállítások alatt bekapcsolni a Developer mode-on belül a Mock location engedélyezését, ezt követően a geek-ebbek az Android SDK-n keresztül idétlenkedhetnek vele, de vannak konkrétan olyan alkalmazások is, amiken egyszerűen csak rá kell bökni a térkép egy pontjára és rögtön azt kamuzza a mobil az összes alkalmazásnak, hogy valójában mondjuk a Déli-sarkon vagyunk. Nagyon gyorsan hozzáteszem, hogy egyetlen androidos mobilom van, amit szinte soha nem viszek el sehova otthonról, többen viszont elsődleges telefonként használják a saját androidos mobiljukat. Abban az esetben, ha valami hülyeség van bebökve a valódi pozíció helyett, a többi platform  esetében pedig például egy az egyben le van tiltva a földrajzi hely meghatározása, nos, teljesen mindegy, hogy Android, Windows Phone, iOS vagy Blackberry a mobilunk, garantáltan nem lesz meg, ha valahol ott felejtjük, hiszen maga a mobilkereső-lopásgátló szolgáltatás sem éri el.

Azt hiszem, hogy itt érdemes megjegyeznem, hogy lopás esetén a tolvajok kevésbé agytröszt részét nem tartja vissza az, hogy tisztában vannak azzal, hogy a mobil pozíciója könnyen meghatározható, ugyanakkor nem célszerű töltött lőfegyver, magánhadsereg, de minimum rendőri segítség nélkül a telefon után menni, ugyanis tragédiába is torkolhat a dolog, ugyan számoltak már be szórakoztató esetekről is amiknek a középpontjában nagyon hülye orgazdák állnak.

Lényeg, hogy az Android természetesen észleli, ha developer módban fut és az eszköz földrajzi helye pedig egész egyszerűen életszerűtlen módon változik, azaz például néhány másodperc alatt átkerül Zürichből Debrecenbe, a GIS-rendszerek pedig nem hülyék, azonnal észlelik, hogy a pozíció nem természetes módon változott meg és tudják is a helyzetet helyén kezelni – vagy a szolgáltatás, aminek szolgáltatják az adatot. Ahogy írtam korábban, a Facebook például annyira kifinomult, hogy ha valaki 13:00-kor még Budapesten lájkolgatott, 13:05-kor pedig rögtön beírja a helyes felhasználói nevet formálisan Rio de Janeiroban /*IP-cím alapján*/, annak túl sokféle magyarázata nem lehet. Az egyik, hogy valaki tényleg ellopta a jelszót és megpróbált belépni más nevében, a másik lehetőség pedig, hogy a felhasználó anonimizáló proxyt, VPN-t, TOR-t vagy hasonlót használ. Mindkét esetben a Facebook a szokatlan aktivitás miatt megpróbál róla meggyőződni, hogy valóban a tulajdonos szeretne belépni ezért még elkér ilyen-olyan adatokat. Viszont abban az esetben, ha valaki össze-vissza „ugrál” az IP-címe alapján, a Facebook nem fogja törni magát és valahanyadik belépés után már simán megy a belépés. Ebben az esetben nem az a GIS kifinomult, amelyik a Facebook alatt fut, hanem ahogyan a Facebook használja a GIS-től kapott körülbelüli pozíciót.

Az Apple esetén a Find my phone szolgáltatásnál nem világos, csak sejthető, hogy a Macbookokat és iMac-eket hogyan találja meg annyira gyorsan az Apple, de sejthető, hogy a logika lényegében az, ami a mobiloknál, ráadásul a Macbook akkor is folyamatosan figyelheti a BSSID-ket, amikor egyébként altatva van – hiszen például a leveleket is letölti még attól. És nem lehet olyan egyszerűen legyilkolni benne a helymeghatározást, mintha egy értékes nem-Apple laptop lenne, aminél a tolvaj rögtön kigyalulja az oprendszert az esetlegesen rajta lévő helymeghatározó szoftverrel együtt.

Ha valaki valami miatt nem szeretné, hogy a földrajzi pozíciójának nyoma maradjon, annak azt a protokollt tudom javasolni, amit én követek néha: a SIM-kártyát átteszem egy régi butamobilba és nem viszek magammal semmit, amiben egyáltalán van lehetőség a geolocationre. Persze, a mobilszolgáltatóknál megmarad, hogy merre jártam, csak éppenséggel ez egyáltalán nem zavar, hiszen nem valami félelmetes hárombetűs szervezet elől akarok elbújni.

Tehát a geolocationt lehet szeretni, nem szeretni, de alapvetően a felhasználói élményt fokozza, bizonyos alkalmazások működése erre alapul. Használjuk ésszel.


[1] én már a WiW-érában sem illedelmeskedtem, akit nem ismertem meg arc alapján azonnal, nem volt egyértelmű, hogy biztosan az, akinek mondja magát vagy biztosra vettem, hogy értelmes tartalmat nem fog a falra hányni, azonnal elutasítottam a bejelölést, ha ismét jelölt, bónuszként le is tiltottam.
[2] a biztonsági okokból felszerelt kamerák egy része alapvetően nagyon pocsék felvételt készít az arcokról, ez viszont nem jelenti azt, hogy értelmetlen lenne a begyűjtött adat. Amikor például valaki egy bankautomatát berhel, közben nyilván mozog. A nagyon sok, rossz minőségű képkocka alapján pedig már előállítható olyan kép, ami alkalmas a személyazonosításra.
[3] A traceroutinget egyrészt alapvetően nem erre találták ki. OSX-ben és linux shellben a traceroute, Windows parancssor esetén pedig a tracert paranccsal érhető el, de elvégezhető webes felületen is: például ha nem tudjuk, hogy a Budapesti Műszaki Egyetem és valószínűleg annak webszervere melyik városban van, csinálhatunk felé egy nyomkövetést, amiből látszik, hogy a hoszt IP-je, annak „megfordítottja”, azaz reverse-elve az IP hosztnévvé Budapesten van, sokszor a végpont előtti IP-cím jelenti a hasznos információt vagy a hosztnév vagy az alhálózat alapján. Számos esetben viszont igen bonyolult technikákat alkalmaznak azért, hogy a földrajzi hely ne legyen egyértelmű, na meg azért, hogy a terheléselosztás biztosított legyen. Például ha valaki lekérdezi a Youtube.com IP-címét, kijön egy cím, ami az ARIN /*ez a RIPE USA-beli megfelelője*/ szerint Mountain Viewban van, Kaliforniában. Ha viszont lekérdezzük az IP-cím reverse-jét, akkor olyan hosztnevet kapunk, aminek a nevéből sejthető, hogy valójában az a szerver, amivel a böngésző felveszi a kapcsolatot, Budapesten van. Perpill. ezt a címet kaptam: 216.58.209.206, aminek a reverzje ennek feleltethető meg: bud02s22-in-f206.1e100.net. Amúgy a magyar felhasználók Gmail-es levelezését és Google Drive fájljait még csak véletlenül sem Magyarországon tárolja a Google :)

Képek innest: reddit.com, iconbeast.com, neilson.co.za

1 Tovább