Impresszum Help Sales ÁSZF Panaszkezelés DSA

About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (38),Facebook (18),privacy (17),egyéb (12),social media (11),itsec (11),social web (10),biztonság (9),mobil (8),Google (6),OSINT (6),jog (6),szellemi tulajdon (6),tudomány (6),magánszféra (6),szájbarágó (5),email (5),webcserkészet (5),molbiol (5),felzárkóztató (5),Nobel-díj (4),big data (4),Gmail (4),kultúra (4),terrorizmus (4),online marketing (4),kriminalisztika (4),plágium (4),webkettő (4),genetika (3),molekuláris biológia (3),pszichológia (3),azelsosprint (3),Android (3),biztonságpolitika (3),nyelvtechnológia (3),magatartástudomány (3),Apple (3),sajtó (3),2015 (3),orvosi-fiziológiai (3),élettudomány (3),gépi tanulás (3),jelszó (3),üzenetküldés (3),CRISPR (3),Onedrive (3),2-FA (3),popszakma (3),konferencia (3),levelezés (3),kriptográfia (3),reklám (3),biztonságtudatosság (3),hype (3),torrent (3),open source intelligence (3),neuropszichológia (2),Whatsapp (2),deep web (2),FUD (2),kulturális evolúció (2),nyílt forrású információszerzés (2),TOR (2),hitelesítés (2),titkosítás (2),Pécs (2),bűnügy (2),tweak (2),facebook (2),SPF (2),DKIM (2),bűnüldözés (2),DDoS (2),bejutas (2),videó (2),Reblog Sprint (2),természetes nyelvfeldolgozás (2),villámokosság (2),Hacktivity (2),Yoshinori Ohsumi (2),reblog (2),cyberbullying (2),arcfelismerés (2),ransomware (2),fiziológia (2),Netacademia (2),webkamera (2),szabad információáramlás (2),P2P (2),Balabit (2),cas9 (2),beszélgetés rögzítése (2),pszeudo-poszt (2),molekuláris genetika (2),bulvár (2),gépház (2),tartalomszolgáltatás (2),jövő (2),bolyai-díj 2015 (2),könyv (2),Tinder (2),öröklődő betegség (2),HR (2),sudo (2),Yandex (2),bug (2),nyelvtudomány (2),meetup (2),Twitter (2),tanulás (2),biológia (2),netkultúra (2),malware (2),IDC (2),social engineering (2),szociálpszichológia (2),kutatás (2),hírszerzés (2),iOS (2),vírus (2),farmakológia (2),pedofília (2),epic fail (2),génterápia (2)

így tüntet el bizonyítékokat a Google


A bosszúpornó nem jó ötlet. A kutathatóságát korlátozni szintén nem.

Legalábbis szerintem. Lehet, hogy nincs igazam. Igencsak sűrű volt az elmúlt néhány nap internetügyileg - instant felzárkóztató a Wireden itt -, ezek közül az egyik szerintem ami a netes kultúra és cybercrime szempontjából együttesen leginkább elgondolkodtató, hogy a Google úgy változtatta meg a keresőszolgáltatását, hogy az ne nagyon dobjon bosszúpornó oldalakat találatként akkor, ha valaki a revenge porn keresőszóra keres. Ha valaki nincs képben, a Google a találatok felsorolásánál, relevanciájuk meghatározásánál az egyik szempont, amit figyelembe vesz a ranking algoritmusokkal, hogy miután - nagyon-nagyon sok - felhasználó egy adott kifejezésre keresett, utána mire kattintott rá. Nagyon durván egyszerűsített példával, ha nagyon sokan Martin Garrix nevére keresnek rá, majd ezt követően a vele kapcsolatos Wikipedia-szócikkre kattintanak, akkor az a találat be fogja előzni idővel a www.martingarrix.com oldalt, hiszen a felhasználók a Wikipedia-szócikket tartják relevánsabbnak  most ne menjünk bele, hogy persze sokminden mástól is függ.

Szóval ha valaki eddig bosszúpornót keresett, akkor a top találatok közt valóban bosszúpornó oldalakat is talált.

18 év börtönre ítélték nemrég azt a Kevin Bollaer nevű pofát, aki olyan oldalt üzemeltetett, amire bárki beküldhette az exéről vagy más haragosáról készült házipornós képeket. Ja, meg egy olyan oldalt is üzemeltetett, amin pénzt kért az áldozatoktól az adott tartalmak eltávolításáért.

Ha a Google hatalma nagy, akkor érthető, hogy a társadalmi szerepvállalása és felelőssége is legyen az, nemde? Szerintem ez nem kérdés. Viszont! Van egy másik alapelv, ami szerint nem manipulálják művileg azokat a találatokat, amiket az általuk működtetett algoritmusok relevánsnak találtak, ez alól kivételt jelentenek olyan esetek, amikor az algoritmusok hibájából mégsem az adódik releváns találatnak, ami józan ésszel belátva az, ez az ún. SEO-poisoning, más néven spamdexing.

Ilyenkor a durva beavatkozásra nyilván azért van szükség azon túl, hogy a használhatóságot rontja, ha nem nyúlnak bele, mert megvédi a felhasználókat az esetleges, másodlagos veszteségektől, például vírusfertőzésektől, nem-többségi véleményt tükröző, a szólásszabadsággal visszaélő tartalmaktól, de hosszasan lehetne még taglalni ennek az elvi magyarázatát.

A revenge porn kifejezéssel kapcsolatos módosítás viszont egész egyszerűen nem ilyen, igaz, ha a bosszúpornót kereső arcok nem találnak bosszúpornó oldalakat - itt meg tudnék nevezni egy rakás keresőmotort, amivel továbbra is simán! - akkor nyilván a bosszúpornó áldozatait megvédi ezzel a Google. A gondolkodó, de a témában nem tájékozott ember egyik gondolata az lehet, hogy aki volt olyan hülye, hogy hagyta magát egy kiadós bukakee partin fotózni, az meg is érdemli, mi több, majd ebből tanul, ettől nevelődik a nép - ugyanis az esetek többségében nem arról van szó, hogy a képeket ellopják, hanem arról, hogy egy rakás idióta az általa szűknek vélt körnek átküldözgeti ezeket a képeket azzal izmozva, hogy mekkora jó csaja van, a kép meg persze nem parkol végleg még a legjobb barátja mobilján sem, hanem kikerül. Az igazság szempontjából viszont félrevezető lehet ez a logika, hiszen teljesen mindegy, hogy valami kinek a sérelmére történik, sosem hibáztatható a sértett azért, mert valaminek az áldozatává vált, még akkor sem, ha egyébként megelőzhette volna.

Na de akkor mégis mi a jóég a probléma azzal, hogy a Google így moderál? Ugyanaz, ami a még hülyébb Facebook moderációs elveivel, nevezetesen, hogy gyakorlatilag bizonyítékokat semmisít meg, így egy-egy ilyen törvénysértés, na meg az azzal összefüggésbe hozható személyek és egyáltalán maga a jelenség nem lesz kutatható sem a hatóságok, sem pedig a nem hatóságok körében munkálkodó többi kutató számára.

Tegnap nagyon rápörgött a net arra a témára, hogy az USA-ban mindenhol engedélyezett lett a melegházasság*, ennek kapcsán jutott eszembe, hogy Oroszországban pedig nemrég gyakorlatilag kriminalizálták, ehhez képest ismét jóidőre lecsukták Alexander Marcinkevicset, a pofát, aki szervezetten uszított a melegek ellen olyan módon, hogy a mozgalmát amúgy pedofilellenes szervezetnek tüntette fel, de a hülye is látta, hogy nem az.

A 444 egy-másfél éve írt róla egy egészen sokkoló cikket a jelenségről amin a beágyazott Youtube-videókat már nem lehet megnézni - mily' véletlen, szintén a Google tartalompolitikai gyakorlata miatt, amiről most írok. /*a Youtube ugye Google-szolgáltatás*/

Na de hogyan sikerül az Oroszországi Föderáció területén az ottani hatóságoknak mégis töménytelen mennyiségű bizonyítékot összegyűjteni - mi több, ezt megteheti bármelyik olvasó is, már ha bírja a gyomra - a terror ezen formájáról és nagyon-nagyon sok más bűncselekménnyel kapcsolatban is? Nos, úgy, hogy az "orosz facebookon" a VKontakte-ként is ismert vk.com -on, ami legalább harmad akkora, mint a Facebook, de talán volt idő, amikor nagyobb is volt annál, semmilyen, még egyszer semmilyen vagy szinte semmilyen tartalmat nem távolítanak el, ha mégis, akkor sok idő után, viszont például a spammerekket és a kamu felhasználókat ők is irtják, ahogy tudják. Ha viszont azokat a videókat, amiben embereket aláznak, vertek, lincseltek rommá, a Google-höz és a Facebook-hoz hasonló puhapöcs módon azonnal törölték volna néhány bejelentés után, azzal egyrészt bizonyítékok tömegét tüntették volna el, mi több, esélytelen lett volna feltérképezni a lájkok és kommentek alapján azokat a felhasználókat, akik ilyen-olyan radikalizálódó csoporthoz tartoznak és ez a lényeg!

Ha valaki csinálna egy olyan oldalt, amin mondjuk én látszódom professzionális módon photoshoppolva mondjuk thai kurvákkal, akiknek mondjuk az arcára ráengedtem néhány patront - ilyen rajzolásához amúgy tutorial is van :) - és az oldalon fel lenne tüntetve, szó szerint, hogy "bardóczi ákos, meg fogunk gyilkolni", akkor hülye lennék lemoderáltatni, akár Facebook-oldalról, akár más felületről van szó, hiszen akkor aztán biztos, hogy nem lehetne megtalálni az elkövetőt, míg ha a tartalom fennmarad, akkor teljesen más a helyzet.

Persze lehet, hogy tévedek. De nagyon úgy fest, hogy a keresőóriás olyan döntést hozott, amit rövid- és középtávon üdvözölnek a jogvédő szervezetek, na meg úgy mindenki, ők pedig elbújhatnak a társadalmi szerepvállalás mögé. Megjegyzem, számos eszköz van még, amivel a már törölt/nem kereshető tartalmak is kutathatóak, viszont a Google mégiscsak egy olyan hatékony eszköz, amit sokszor körülményes mellőzni.

Alapvetően a cyberbullying megelőzésére mindenkinek, különösen pedagógusoknak és szülőknek a Safer Internet Hungary webhelyét ajánlom.  

*globális emberjogi problémákhoz, biztonságpolitikához nem értek behatóan, viszont annyira leszarom az USA-beli melegházasságot, hogy el se tudjátok képzelni, lévén, hogy globális téren, de még az USA-ban is az emberkereskedelem, fegyverkereskedelem, gyermekprostítúció, pedoporesz és még sokminden más, gyakorlatilag minden fajsúlyosabb emberi jogi probléma, mint hogy az egyik bácsi a másik bácsival házasodhat-e. Viszont nyert a cukiságfaktor, hiába, hogy ennek relatív kicsi a jelentősége egy olyan államban, ahol eddig sem volt túl necc melegnek lenni a világ számos országához képest. Azzal meg mégsem lehetne rommá hype-olni a világot, hogy sikerült felszámolni mondjuk a szervkereskedelmet, egyszerűen mert maga a téma annyira negatív érzeteket kelt a tömegben, míg az LMBTQIA-jogok nem - ebben a mozaikszóban amúgy az a legnevetségesebb, hogy évről évre hosszabb. Vigyázat! Lehet, hogy tévedek. De kicsit analóg a helyzet ahhoz, amikor egy kibszott állatkert jóval több támogatást kap civilektől, mint egy gyermekklinika, mert ház kiskecskéket simogatni, meg aranyhörcsögöket mégiscsak cukibb, mint lesoványodott gyerekekre gondolni, akik nem sokkal korábban még egészségesek voltak, a kórházban pedig beszerezhetőek lennének kedvezőbb mellékhatásprofilú terápiás készítmények, kialakíthatóak lennének sokkal barátságosabb kórtermek, csak éppen nincs rá pénz.

képek forrása: feminspire.com, kidshealth.org, worldwideweber2014.wordpress.com

0 Tovább

Gmail-törés egyetlen mobilszámmal


Körülbelül két héttel ezelőtt tett közzé a Symantec egy figyelmeztetést az otthoni felhasználók részére egy videóval együtt, amiben pazar módon elmagyarázzák, hogy hogyan lopható, "törhető" egy Google Account  mindössze az áldozat mobilszámának ismeretében. /*azaz hogyan férhető hozzá a Gmail mellett az áldozat összes kapcsolódó Google-szolgáltatáshoz való hozzáférése is a jelszó ismerete nélkül*/

A módszer lényege nagyon röviden:

1. a támadó kattint az elfelejtett jelszóra a Google bejelentkező felületén, megadja az áldozat címét, majd kiválasztja a jelszóhelyreállítás módjainál, hogy SMS-tokent kér a visszaállításhoz. Ez ugye az a rövidke számsor, ami az áldozat mobiljára megérkezik, majd a begépelésével új jelszó állítható be.
2. Az áldozat persze azonnal figyelmeztetést kap, hogy valaki jelszóhelyreállítást kért a nevében és persze magát a tokent /*vegyük figyelembe a pszichés hatást is!*/, ilyennel bizonyára már többen találkoztatok Ti is korábban. Valami ilyesmire kell gondolni:

"Your account was logged into from a new browser or device. Review the login: https://webhely.tld/token_helye"

"Your account was recently logged into from Safari on Windows."

"Facebook Password reset code: [öt-hat számjegyű szám] Or reset your password here: http://fb.com/l/token_helye" [1]

"Access data for your account has been ordered by you personally or by someone else. Your temporary password: [jelszó helye]"

3. És itt jön a csavar, a támadó egy, az áldozat által nem ismert mobilszámról SMS-t küld, ami nagyban hasonlít a webszolgáltatások előbb idézett rendszerüzeneteihez, majd hozzáteszi, hogy a fiókja biztonságosabbá tétele érdekében SMS-ben küldje el válaszként a tokent.

4. Az áldozat kellően beparázik ahhoz, hogy ne vegye észre azt, hogy a válasz SMS-t egy közönséges mobilszámra küldi, ami kézbesítődik is a támadó mobiljára, aki a böngésző előtt vigyorogva szépen bekalapálja a tokent, új jelszót állít be és már el is lopta a fiókot, az áldozat legfeljebb akkor veszi észre, hogy valami nagyon nem stimmel, amikor legközelebb próbál belépni, de akkor már valóban új jelszót kell kérnie, hiszen nyilván nem tudja, hogy mit adott meg a támadó. Esetleg a támadó egy olyan kamu SMS-t küld, amiben egy kamu ideiglenes jelszó van és azt állíttatja be a felhasználóval olyan körítéssel, hogy ne változtassa meg pár napig :)

Videó, hogy szemléletes legyen:

Hozzáteszem, hogy a Symantec a Gmail-en mutatja be a módszert, de vegyük észre, hogy gyakorlatilag bármilyen webalkalmazásnál bevethető a támadás, ideértve a Facebookot, LinkedIN-t, Evernote-ot, stb. aminél a fiókhoz hozzá van rendelve mobilszám.

Adja magát a kérdés, hogy a támadás kivédésére mi jelent megoldást és mi nem?

Első laikus gondolat, ami nemhogy nem jelent megoldást, utalva a korábbi posztjaimra, nagyon veszélyesen hülye ötlet, a fiók még könnyebben ellopható:
- ha nincs beállítva mobilszám - hiszen így akkor sem tud a szolgáltatás azonosítani, amikor a legitim felhasználónak lenne rá szüksége
- ha olyan mobilszám van hozzárendelve, amit más nem ismerhet meg - ne vicceskedjünk már, ilyen egész egyszerűen nincs, soha nem is lesz, még olyan életszerűtlen esetben sem, amikor valaki fene nagy biztonságtudatosságában direkt a webszolgáltatásokhoz vesz egy SIM kártyát, amit a mobilszolgáltató titokban tart, a felhasználó a számot nem árulja el senkinek. Egészen egyszerűen nincs olyan, hogy "beszerezhetetlen mobilszám".

Akkor mi jelent megoldást? Egyszerűen az, ha a felhasználó figyelmes, és semmilyen webes szolgáltatásból érkező SMS-re nem válaszol, mivel ilyet normális webes szolgáltatás szinte sosem kér, néhány nagyon ritka esetet leszámítva!

Egyébként a videó megjelenése óta gondolkoztam rajta, hogy ezt megírjam-e vagy sem, több szempontból. Egyrészt egész egyszerűen azért, mert ez a blog nem news outlet, nem posztolom újra, amit más kitalált, esetleg csak abban az esetben, ha ahhoz eléggé sokmindent hozzá tudok tenni. Másrészt azért, mert ez a tweak nekem konkrétan annyira nem új, hogy már ezer éve találkoztam vele, ugyanakkor felvet egy fogós etikai kérdést. Amikor valaki talál egy programhibát, ami esetlegesen kihasználható, majd azonnal közzéteszi, ezzel kényszerítve a szoftverrendszer fejlesztőjét a minél gyorsabb javításra, full disclosure-nek nevezzük, megoszlanak a vélemények azzal kapcsolatban, hogy ez mennyire jó gyakorlat. Nos, teoretikai szempontból az olyan módszerrel kapcsolatban is tehető közzé full disclosure, mint amilyen ez, azaz egy kevéssé ismert social hack ismertetése, viszont remek kérdés, hogy erre a szolgáltatók hogyan reagálnak, persze legnagyobb valószínűséggel sehogy, ugyanakkor alighanem lesznek olyan pöcsök, akik megtalálják mondjuk ezen a blogon, aztán fel is használják, mivel a téma iránti érdeklődés finoman fogalmazva is intenzív – ja, az egy tálca sört még tartom!  

Ugyanakkor egyrészt a blogolás olyan értelemben nem felelősségteljes műfaj, hogy agyalnom kellene annak a közvetett következményein, amit leírok,  az is előfordulhat, hogy aki biztonságtudatossági tréningeket tart, esetleg itt találkozik a módszerrel először, aztán be tudja építeni a tananyagba, hogy aztán a felhasználók erre a támadási formára is fel legyenek készítve.

Azoknak írom, akik erre a posztra keresőn keresztül találtak rá törési gyorstalpaló után kutatva és primitív kíváncsiskodó pöcsként nem értik meg, hogy a barát, barátnő, főnök, alkalmazott, feleség fiókjához való illetéktelen hozzáférés milyen súlyosságú dolog, azt tudom mondani, hogy nyugodtan próbálják ki, mivel az előzetes megfelelő anonimizáláshoz, na meg mondjuk úgy, laborkörülmények beállításához elég eszük úgysincs, a web giantek meg nem hülyék, jó esetben szokatlan aktivitás esetén úgyis meggátolják a támadást, bónuszként azonosítják a támadót, de úgy, hogy őt rúgják ki végleg, szóval hajrá!  

Sokszor nem értik, amikor arról beszélek, hogy alapvetően mindenféle jelszóemlékeztető, jelszóhelyreállító feature rossz, pláne, ami nem igényel emberi beavatkozást, akármilyen szofisztikáltnak tűnik is. Ugyanakkor erre nyilván szükség van tömegszolgáltatások esetén, hiszen semmilyen szolgáltatás, amelyik közvetlenül nem kér előfizetési díjat a használatáért, egyszerűen nem engedheti meg magának egy harceddzett ügyfélszolgálat fenntartását [2], ugyanakkor azt sem, hogy a felhasználóik semmilyen módon ne férhessenek hozzá a fiókjukhoz például amikor valóban elfelejtették a jelszavukat.

Vegyük észre, hogy a netbank-rendszerek már nem ilyen hülyék, nem lehet beállítani új jelszót csak úgy, néhány banknál még telebankon keresztül sem, ahogy azt is, hogy itt - az én definícióm szerint - ismétcsak szó sincs törésről, csak egy átlagosan kifinomult trükkről, ami az emberi tudat egy sajátosságát használja ki, - ami ugye esetfüggően bug vagy feature :) -  nem pedig egy szoftveres hibát!  

[1] korábban a FB-ban volt egy olyan jelszóhelyreállító metódus, amiben a mobilra érkező 5 számjegyű számmal lehetett új jelszót beállítani. Nos, ekkor megérkezett egy token SMS-ben, amit a felhasználónak meg kellett adnia, ha pedig elírta, akkor a Facebook figyelmeztette, hogy helytelen, ezért adja meg újra, VISZONT nem korlátozta a próbálkozások számát! #facepalm!!! Tehát akár automatizáltan is bárki bárki másnak a fiókján végigpróbálgathatta a maximálisan 99999 lehetséges ismétléses permutációt - átlagosan ebből ugye tehát mindössze ötvenezer próbálkozás is elegendő volt, majd ha talált, beengedte a szolgáltatás a támadót. A módszer persze azóta már nem működik és a próbálkozások számán túl még nagyon sok mást is figyelnek a normális webszolgáltatások annak kiküszöbölése érdekében, hogy a jelszót valóban a fiók tulajdonosa tudja csak átírni, aztán ha támadást tapasztal, ahogy írtam, szépen szögre akasztja a támadót.

[2] Ami a szolgáltatások supportját illeti, nos, igen, kivétel minden alól van. Ortó nagy botrány volt belőle, amikor kiderült, hogy jelszóvisszaállításkor az Apple telefonos supportja az új jelszó beállításához csak a fióktulajdonos postai címét kérte el meg talán még egy adatot, amit bárki megtudhat, a gyakorlaton mégis csak akkor változtattak, amikor már jópár Apple-fiókot feltörtek. Másrészt bizonyos esetekben a Google csak akkor engedélyezi az új jelszó beállítását, ha a fiók tulajdonosa befizet 1-3 USD-t, ekkor egy alkalmazott is megnézi a felhasználó korábbi aktivitását, majd valamilyen belső policy alapján eldönti, hogy a kapcsolattartói email-címre küld-e átmeneti jelszót. Azt viszont már nem ellenőrzik, hogy a bankkártya, amivel ezt az összeget valaki fizeti, annak a nevén van-e, akinek a nevén regisztrálva van a fiók :)

A legdöbbenetesebb tapasztalatom konkrétan személyes és egy óriásszolgáltatóhoz tartozik, mivel nem tudom, hogy a módszer működik-e még, nem írom meg, hogy melyikről van szó. Történt, hogy egy szolgáltatásba még kiskoromban regisztráltam, nem használtam évekig, amikor pedig ismét léptem volna be, a jelszó nem stimmelt. Gondoltam, semmi probléma, ott az account recovery, igen ám, de a hozzá tartozó email cím már nem élt, már a domain sem, így oda nem tudtam jelszóhelyreállítót kérni. Ahogy az ott szépen le volt írva, felvettem a kapcsolatot a supporttal, megírtam nekik, hogy mi az ábra, viszont lévén, hogy ilyet bárki írhat, feltüntettem azokat az adatokat, amiket csak én tudhatok, nevezetesen, hogy évekkel korábban másodperc pontossággal mikor regisztráltam /*megvolt az ezzel kapcsolatos email a benne lévő aktiváló kóddal együtt*/, melyik netszolgáltatót használtam akkor. Olyan válasz érkezett, hogy azt hittem, nem hiszek a szememnek: a supportos tag ragaszkodott hozzá, hogy arról az email címről írjak nekik, amelyikkel regisztráltam, holott pont azért írtam nekik, mert a postafiók már nem létezett. Aztán küldtem nekik még néhány adatot, ami nyilván megvolt nekik is, rajtuk kívül csak én tudhatok róla, de a tag ragaszkodott a belső policyhoz, aztán ellevelezgettünk pár napig. Végén gondoltam, hogy ez már tuti bukó, nincs vesztenivalóm, aztán lezavartam neki a legcifrább kurvaanyázást, amit csak tudtam, ékes angolsággal viszont - itt jön a lényeg - az emailem fejlécét úgy változtattam meg, hogy annak a feladó mezőjében az általuk kért, a már nem létező címem szerepeljen, válaszcímként pedig olyan, ami létezik és azt is megírtam nekik, hogy egy több tízmilliós szolgáltatásban ez a gyakorlat nevetséges, hiszen ilyen alapon bárki lenyúlhatja más fiókját egyszerűen a supportnak küldött email fejlécének megmókolásával. Nem hiszitek el, hogy mi történt: a supportos azonnal küldött jelszót /*hiszen formálisan arról a címről írtam nekik, amelyikhez tartozott az account!*/ és visszakaptam a hozzáférést a szolgáltatáshoz.

képek: geekpause.com, hackpla.net, mikeyanderson.com

4 Tovább

Döntéselmélet, matek,  mobiltarifa


"Hülye ámerikaiak", mobiltarifák és gazdaságpszichológia. Mi bennük a közös?

Ma beszabadultam a könyvesboltba, ahol be is zsákoltam négy könyvet, alapvetően csak egy  gazdaságpszichológia és döntéselmélet kötetet szerettem volna venni, de csak az egyik volt elérhető ezért - hát nem is én lennék - választottam még három könyvet, amit amúgy eszembe sem volt megvenni odafelé menet.

Már majdnem a pénztárnál voltam, amikor eszembe jutott, hogy a vásárlások után az adott üzlet olyan kuponokat ad, amik 5000 HUF fölötti vásárlás esetén 500 HUF, 7000 HUF fölötti vásárlás esetén pedig 1000 HUF kedvezményt adnak. Hoppácska, drágább könyvek esetén nyilván költséghatékony megjátszani azt a stratégiát, hogy veszek valamilyen árban könyvet egy már meglévő kupon felhasználásával, ami után ugye kapok egy új kupont, majd külön veszem meg még azokat a könyveket, amiket olcsóbban kapok meg a frissen kapott kuponnal.

Hogy ne kelljen szegényeket A-nak, B-nek, C-nek meg D-nek csúfolnom, inkább nevén nevezem:

Gazdaságpszichológia - 3990 HUF

A Big Data ökoszisztémája - 3500 HUF

A magyar beszéd - 1000 HUF

Retorika - 4500 HUF

Tehát a kérdés, hogy milyen sorrendben érdemes összerakni az 1. és a 2. külön fizetett párost - esetkeg n-est - azért, hogy a legtöbbet spóroljak meg? Az eldöntési probléma pedig lebontható egy egyszerű matematikai feladatra, amit nem tudtam fejben kimatekozni!

Egyébként is siettem, a könyveket félretetettem, ezért inkább hazaballagtam, aztán persze sikerült összerakni a legnagyobb megtakarítást jelentő kombót, a feladaton pedig csavart még egyet az, hogy a törzskártyám után 10% kedvezményt kapok, a kupon pedig csak akkor érvényesíthető más kedvezménnyel összevonva, ha a törzskártyával fizetett ár még mindig 5000 HUF illetve 7000 HUF fölött lenne.

Vegyük észre, hogy a legmegfelelőbb vásárlási sorrend kiszámolása közel sem olyan triviális, mint amilyennek tűnik elsőre.

Nos, ha általánosan jellemző lenne a középiskolákra, hogy a tanár egy-egy ilyen feladattal szórakoztatja a lurkókat, na meg egyáltalán, a matematika sokkal inkább a mindennapi életben is használható gazdasági alkalmazásokra lenne kihegyezve, alighanem többen szeretnék és többen is értenék.

Aki ismer, tudja rólam, hogy mindig is utáltam, amikor azt hallottam, hogy az ámerikaiak milyen hülyék, igazából aki ilyet mond, előttem kiállította magáról a szegénységi bizonyítványt. Ugyanis azon túl, hogy pl. a legtöbb Nobel-díjast az USA adja a világnak, az elemi oktatás is a legfejlettebb, ugyanis lehet, hogy első blikkre gagyibb a tananyag a poroszos magyarhoz képest, mire valaki ott elvégzi az általános iskolát vagy leérettségizik, sokkal nagyobb eséllyel tudja is alkalmazni azt, amit megtanult, az már egy más kérdéskör, hogy ez az ottani fogyasztási szokásokra és árképzésre hogyan hat ki.
Az, hogy a magyar középiskolás korosztály nagy átlaga* sokkal hülyébb az amerikaitól, rendszeresen igazolódik a PISA-teszteken

Nem emlékszem egészen pontosan, de emlékeim szerint a magyar 10-11. évfolyamosok egyik feladatában az volt a kérdés, hogy adott egy r(1) sugarú pizza x forintért valamint egy r(2) sugarú pizza x forintért, melyiket érdemesebb megvásárolni /*feltételezve, hogy rohadt éhesek vagyunk és biztosan meg is esszük*/. Nos, ebben a feladatban két laza körterületet kellett volna számolni, aztán meg felállítani egy aránypárt, amin a magyar diákok elképesztően nagy része elvérzett!

Nos, ha valaki nem járt az USA-ban semmilyen iskolába, de érdekli a téma, ajánlom, hogy hasonlítson össze két matek könyvet, lehet az akár középiskolás akár felsőbb matematika is. Egy-egy témakör általános didaktikai sémája a magyar könyvben: picit bevezet, tételt mond, bizonyít, aprólékosan még egy kicsit foglalkozik a részletekkel, aztán jó esetben van apróbetűs rész, amiből vagy kiderül vagy sem, hogy egyébként a megtanult összefüggést mire is lehet alkalmazni. Lehet, hogy van más típusú is, olyan ez, mint a termodinamikai főtételek: bizonyítani nem tudom, de kivételt még nem láttam alóla. A didaktikai felépítés azokban az amerikai felsőbb matematika könyvekben, amiket használtam: felvet egy konkrét problémát, amit körüljár olyan összefüggéseken keresztül, amit az olvasó akkorra már ismer, amikor pedig ez megvolt, az új összefüggés szinte adja magát, ekkor amolyan fináléként jön a tétel kimondása és a bizonyítás.

*úgy fogalmaztam, hogy "nagy átlaga"? Bocsánat, nem szeretnél olyan türhő lenni, mint amikor valamivel kapcsolatban olyan hírt lehet olvasni, hogy egy mérés az első mért tényezővel kapcsolatban átlagosan ennyi, a másik mért tényezővel kapcsolatban pedig annyi, pont azért, mert az átlag /*itt: számtani közép*/ a legtöbb esetben nem mond semmit, másrészt súlyosan félrevezető. Hogy a középiskolások matekos skilljeinél maradjunk, gyakran elhangzik az, hogy a magyar oktatás ilyen téren milyen piszok erős, ami igazából sosem volt igaz és ezt azzal próbálják alátámasztani, hogy Magyarország hány diákot küldött a matematika diákolimpiára és ott milyen szép helyezéseket értek el, ami viszont kétségtelenül igaz. Viszont nagyon fontos, hogy Magyarország ebben - mint nagyon sok más téren is - a szélsőségek hazája. Igaz, hogy a népesség számához képest tényleg sok a diákolimpikon, viszont tömegjelenség, hogy nagyon sok középiskolából gyakorlatilag full hülyén kerülnek ki a diákok, ezen a helyzeten pedig csak ront az az általánosan elfogadott mentalitás, hogy "hülye vagyok a matekhoz, de nem szégyenlem". Azt pedig nyilván nem várjuk, hogy amikor kijön egy-egy újabb PISA report, - aminek amúgy szerintem az újságírók jó részének még a végkövetkeztetését sem tudja értelmezni - a cikkekben az átlagok mellett megjelennek olyan finomságok, mint az értékek szórása, na meg mediánja amiből még mindig igen merész lenne bármiféle trendet is megállapítani, de legalább kevésbé lenne félrevezető.

Egyébként ami csúcsra járatva mutatja, hogy nagyon sokan mennyire ostobán döntenek matematikai szempontból, nem más, mint a magyar mobilcégek promócióinak hatása. Óriás betűvel tolják az ügyfél arcába, hogy mennyi a percdíj, ami mondjuk csak hálózaton belül, adott időszakban érvényes, ez a first impression hatás pedig már bőven elég ahhoz, hogy csórikám írja is alá a hűségszerződést ezer évre és még ő gondolja majd úgy, hogy jól járt.

Praktikus tanácsa azoknak, akik tarifacsomagot választanak: ha nincs meg több hónapra visszamenőleg az, hogy korábban milyen hálózatok irányába hány percet telefonáltál /*így az nem tölthető pl. Excelbe*/, egyszerűen vegyük alapul a különböző mobilszolgálgatók piaci részesedését, ami nagyon nagyjából mutatja, hogy valószínűleg milyen gyakorisággal fogod hívni a vérgőzösen vörös, a bugyirózsaszín, na meg a bilikék mobilhálózat ügyfeleit.

Ehhez hozzárendelhetők súlyok, most egyszerűsítve nem az ügyfelek száma, hanem a piaci részesedés alapján, azaz
Bugyirózsaszín: 46,6%-ból adódóan 0,466
Vörös: 22,5%, ebből adódóan 0,225
Bilikék: 30,9, ebből adódóan 0,309

Figyelmen kívül kell hagyni azt, hogy reggel 8 előtt és este 8 után mennyi a percdíj, mivel 20:00-tól 8:00-ig nem nagyon telefonálunk, szóval marad a 12 órás intervallum, de az egyszerűség kedvéért képzeljünk el egy olyan tarifacsomagot, amiben a percdíj független a hívás idejétől.

Ugyan már a magyar mobilszolgáltatók árképzése olyan irányba tart, ami próbálja konszolidálni azt, hogy milyen irányba telefonálunk, a Bugyirózsaszín szolgáltató sokáig csúcstartó volt abban, hogy hálózaton belül kedvező volt a percdíj, hálózaton kívül telefonálni pedig olyan méregdrága, mint egy adag nyílméregbéka-turmix ciánkálival.

Tegyük fel, hogy a Hülyevagyokmatekból díjcsomag hálózaton belül 15 HUF-os percdíjat kínál, hálózaton kívül pedig 30 forintosat. A piaci részesedésre alapozott adatok alapján tehát a hívásaink 46,6%-a fog 15 forintos percdíjjal számlázódni, míg a fennmaradó 100-46,6=53,3%-a viszont piszok magas, 30 forintos percdíjjal! Ez mondjuk havi 200 perc beszélgetéssel számolva (200x0.466x15)+(200x0.533x30)=1398+3198=4596 forintos telefonszámlát jelent majd átlagosan. Ezt eljátsszuk mondjuk a többi tarifacsomaggal is, aztán kiderül, hogy milyen telefonszámla várható végülis nem percdíjat fizetünk majd, hanem telefonszámlát.

Az egyszerűsített példában feltételeztem, hogy nem akkor és olyan irányba telefonálunk, amikor olcsó, hanem, amikor tényleg telefonálni szeretnénk [ez ugye nappal nagyjából véletlenszerű] illetve jó tudni minél több időre visszamenőleg, hogy addig tipikusan hány percet telefonáltunk havonta és milyen irányokba. Ha egy tarifacsomagnál számít a hívás ideje is, ahogy emlegettem, az életszerű 12 órát vesszük figyelembe, ez hasonló logika mentén kialakított szorzó lesz, mint a hívás irányából számított érték. Ezen kívül a szolgáltatók imádnak trükközni már kábé mindennel, amit észben kell tartani, hogy a telefonálási szokásaink nem változnak attól jelentősen, mert a telefonálás össz-díja más, hacsak nem vagyunk irdatlanul zsugoriak.

0 Tovább

Na ki villantotta az évtized legjobb kémfilmjét?


Nemrég írtam, hogy Melissa McCarthy gyakorlatilag megcsinálta minden idők legjobb hekkerfilmjét, amit ráadásul nem is hekkerfilmnek szántak eredetileg, hanem vígjátéknak, de mindkettőnek kitűnő. Erre kijön minden idők legjobb kémfilmjével!

A tavalyelőtt megjelent Személyiségtolvaj egy olyan nőről szól, aki önmagát másnak kiadva más bankkártyáját használja mindenre, amikor pedig már teljesen kisemmmizte az áldozatot, ellopja valaki más személyiségét és így éli életét, egészen addig amíg... A sztorit persze nem spoilerezem le, viszont ami ebből a szempontból fontos, hogy nagyon jól megmutatja, hogy a professzionális csalók hogyan manipulálják a környezetüket, ha pedig ötletességről van szó, a bűvészkedés vagy a social engineering gyakorlatilag ugyanezeket a módszereket alkalmazza, természetesen a cél más.
Alighanem a film készítői közül senki nem tud róla, hogy véletlenül sikerült egy annyira realisztikus filmet készíteniük - leszámítva persze a vígjátékhoz szükséges fordulatokat - hogy a kívülálló azért röhög rajta, mert úgy gondolja, hogy ilyen egyszerűen nincs. Nos, ellentétben mondjuk azokkal az idióta "hekkerfilmekkel", amik vagy megtörtént eseten alapultak vagy akciófilmként nézettséget akartak generálni,  a film alapján az információbiztonság és a netes bűnözés világáról egy totálisan torz kép alakul ki a nézők fejében, ahogy erre utaltam is a múltkori cikkem elején.

Amúgy nem nagyon néztem ilyen-olyan hekkerfilmeket, meg kémfilmeket sem, mert egyszerűen blődségnek tartom mindet, az más kérdés, hogy az egyik látványos, a másik pedig kevésbé, függően attól, hogy mennyit robbantanak, lőnek, zuhannak benne, az pedig már-már kötelező elem, hogy a főhős mindig levarrja a legjobb bulát körülbelül a film felénél, aki általában nem sokkal később meghal.

Teljesen mindegy, hogy a James Bond- vagy Mission Impossible-franchise melyik konzerv darabjáról van szó, lehet, hogy látványosak ugyan, viszont ha olyan nézi, akinek már volt a kezébe biztonságpolitika vagy kriminalisztika könyv, esetleg mindkettő, alighanem végig fogja szánakozni az egészet: ugyanis a kémfilmekkel nem az a baj, hogy totál életszerűtlen elemekkel vannak tele - és itt most nem csak a repülőgépszárnyon ugrálásra gondolok - hanem maga a sztori is blőd, gyermekded, ami még mindig nem lenne baj, a baj már az, hogy ezek a filmek komolyan veszik magukat olyan téren is, ahol nagyon nem szabadna. Ez az, ami rém szánalmassá teszi mindet annak a nézőnek a szemében, aki akár csak egy kis ismerettel is rendelkezik például a nemzetközi terrorizmus természetéről. Szánalmas, de még egyszer: attól látványos, így valamelyest szórakoztató még lehet!

Idén mozikba került A kém, egész egyszerűen zseniális, életem öt legjobb filmjének egyike. Pont azért, mert összeszedi az összes megunhatatlan kémfilmbe illő elemet, maga a sztori semmivel sem bugyutább, mint bármelyik kémfilm sztorija, sok idő után látok már olyan vígjátékot, amelyik nem csak a hányás-fingás-böfögés háromszöggel tudja hozni a humorból adódó szórakoztatóértéket, hanem a a jobbnál jobb szóviccekkel is, ami sajnos egyre ritkább és ami a legfontosabb: a film nem is akarja komolyan venni magát.

Azt tudnám írni, hogy az én értelmezésem szerint A kém a legjobb kémfilm, amit valaha is láttam, mivel az én értelmezésemben görbe tükröt állít a többi kémfilm elé, ugyan nem szándékosan.


Egyébként a klasszikus hekkeres, kémes, helyszínelős, nyomozós filmek töretlen népszerűségét egyszerűen az adja, hogy a nagyközönség számára az információbiztonsággal foglalkozók, titkosügynökök [normális magyar terminussal: fedett tisztek vagy fedett nyomozók], na meg a kriminalisztikával foglalkozók tevékenysége a legködösebb, ami meg ugye olyan titokzatos, akár csak témájában, az alapvetően vonzó. Ennek oka többek közt, hogy egy-egy biztonságpolitikai esemény vagy hekkertámadás, konkrét leírása gyakorlatilag sosem kerül a sajtóba, mivel az olvasók egyrészt nem értenék, másrészt a többséget nyilván nem érdekelné olyan mélységben. Az ember fia pedig általában nem Wikileaksen scrollol órákig, hanem inkább mondjuk a 9GAG-en, személyes tapasztalatom szerint aki egy rakás Wikileaks dokumentumot átnyálazott, nagyon gyakran egészen egyszerűen félreértelmezi, ráadásul meg lesz róla győződve, hogy ő aztán már ért hozzá, mégpedig a legjobban és ember legyen a talpán, aki meggyőzi róla, hogy téved. Itt most nem az átlag konteós arcokra gondolok, hanem arra a jelenségre, amiben sajnos néhány tényfeltáró újságíró is belefut.

Ha pedig az ilyen misztikusnak tartott témáról valaki konkrétan dokumentumfilmet szeretne készíteni, abból rendszerint valami nagy rakás szar jön ki - többek közt pont azért, mert túlságosan utána kellene kutatni, ami elmarad. Ahogy szintén nemrég írtam róla, a Snowdent középpontba állító, önmagát halálosan komolyan vevő Citizenfour dokumentumfilm amellett, hogy védhetetlenül pocsék, még káros is, mivel tovább torzítja az emberek fejében élő képet a titkosszolgálatok működéséről, a terrorelhárításról /*pontosabban arról nem, mivel egy büdös szó nincs róla az egész filmben, pedig enélkül az egész értelmetlen, hiszen az USA tömeges megfigyelési gyakorlatához a terrorfenyegetés adta a jogalapot*/. Igazából annyira rossz film, hogy komolyan, még az NSA is rendezhette volna /*a film utómunkáin keresztül, a filmes staffba beépült fedett ügynökökön keresztül*/ azért, hogy még ködösebb legyen a kép az emberek fejében, ugyanakkor kevésbé baszkurálják őket a civilek. Ez viszont eléggé valószínűtlen, valószínűbb a Citizenfour készítői tényleg ennyire idióták és elfogultak és az én szememben leplezve, de csúcsra járatták a bulvárfaktort, súlyosbítva az atomnagy komolykodással.

Igazából ha valaki tényleg szeretne valami normális képet kapni arról, hogy hogyan is dolgoznak azokban a szakmákban, amik a legkevésbé vannak az orrunk előtt, elsődlegesen a Schneier a biztonságról című, magyar nyelven is megjelent könyvet ajánlanám, na meg persze magát a Schneier on Security blogot Ha könyvekről van szó, több, egészen jó biztonságpolitikával foglalkozó kötet is kapható a magyar könyvpiacon, ami pedig kellő mélységben foglalkozik kriminalisztikával*, nincs ugyan piaci forgalomban, viszont nem beszerezhetetlen.

*nagyon gyakran keverik a kriminalisztika és a kriminológia fogalmát. A kriminológia egyszerűsítve a bűnözés szociológiájával foglalkozik, a kriminalisztika pedig, mondjuk úgy maga a nyomozástan.

Végül egy videó, amit ma délelőtt loptam ki a Szakszolgálat Bég utcai épületéből, ahova úgy jutottam be, hogy a portás bácsik pont nem figyeltek, mivel elbújtak rágyújtani  :)

Ha traumatiológus vagy, feltétlenül dobj egy egymondatos véleményt a Vészhelyzetről, nyomozóként a CSI-ről, igaz, egyikből sem láttam soha egy teljes részt sem, de komolyan rejtély számomra, hogy melyik lehet a bárgyúbb, még ha nem is éri el az X-Akták szintet! 

0 Tovább

Torrentezés és netvirológia - letöltés biztonságosan?


Avagy létezik-e biztonságos letöltés? Főleg, ha nehezen beszerezhető anyagokról van szó.

Napjainkban a torrent szolgáltatásokban alap szinten jártas felhasználó csak annyit lát, hogy ha kell neki egy film, egyszerűen felmegy egy nagyobb torrentoldalra, majd rákeres a film címére, ezt követően pedig letölti a filmet kedvenc torrent kliensével.

A némileg tájékozottabb felhasználó már tisztában van vele, hogy vannak olyan peer-to-peer oldalak, amik valamilyen saját torrentkliens telepítését teszik annak feltételévé, hogy tőlük lehessen letölteni, ami persze felveti annak a lehetőségét is, hogy a torrentkliens nem csak letölteni illetve visszatölteni fog, hanem csinál valami teljesen mást is a gépen, mint mondjuk tolja a felhasználó arcába a reklámot. Ráadásul nagyon sok fertőző oldalra mutató hivatkozás a Google TOP 10-jében van.

Inkább a leggyakoribb tüneteket írom le, amit a torrent klienssel együtt települő malware csinálhat

- folyamatosan tolja a reklámod az arcodba, ha tetszik, ha nem
- a böngészők kezdőoldalát átállítja valami számodra érdektelen oldallá, amit nem tudsz visszaállítani
- a te géped szabad erőforrásait fogja a tudtod nélkül bitcoin bányászatra használni akkor is, ha nem is tudsz róla, a géped nincs üresjáratban, te pedig nem érted, hogy miért lassult be a gép
- mindenféle hülye eszköztárakat helyez el a böngészőben, amik szintén leirthatatlanok
- gyakorlatilag bármi más, ami az előzőekből kimaradt, de legalább ennyire idegesítő

Persze ezeket a malware vagy malware-szerű aktivitásokat vagy kiszúrja az antivírus szoftver vagy sem, ha ki is szúrja, könnyen lehet, hogy ha a kártékony programot sikerül eltávolítani, maga a torrent kliens sem lesz működőképes. Ráadásul akármilyen überszuper a vírusirtó, az intelligens malware gondoskodik róla, hogy szépen újratelepítse magát, méghozzá, hogy ne legyen feltűnő, nem is azonnal, hanem egy kis lappangási idő után.

Valóban vannak helyzetek, amikor már annyira romos egy gép, hogy újratelepíteni az egészet időtakarékosság szempontjából praktikusabb, mint kigyomlálni mindent, ami nem oda való, abban az esetben, ha a baj nem akkora - vagy nem tűnik olyan nagynak - nincs mese, riasztani kell valami harceddzettebb ismerőst, aki aztán alighanem állhat neki fúrni-faragni a Windows rendszerleíró adatbázisát,  könyékig túrni a böngésző, menüből nem elérhető finombeállításai közt, na meg guglizni, hogy egy-egy azonosított kártevőt hogyan lehet leggyorsabban leirtani kézileg - az egyetlen szerencse, hogy ez utóbbi már eléggé gyorsan elérhető. Azért írtam, hogy kézileg, mert olyan malware sem ritka, amelyik malware-eltávolítónak álcázza magát, azaz vírusgyilkolásra nem biztos, hogy a legjobb ötlet telepíteni még valamit, amit a kereső előkelő helyen dob és azt ígéri magáról, hogy eltávolítja, valójában pedig önmaga is vírus. OSX-es esetben pedig még cifrábbak lehetnek a protokollok és bizony ott is vannak nagyon komoly sebezhetőségek, ahogy az a The Register mai cikkéből is kiderül.

A windowsosos után pedig a legnagyobb kockázatnak pedig az elterjedtebb linux-disztrók használók közül az egyszerűbb lelkek vannak kitéve, akik még mindig úgy gondolják, hogy "jinyukszra nyinycsen víjus", ami igazából sosem volt igaz, de bízzunk benne, hogy majd felnőnek egyszer. A vírus és malware fogalmakat ugye rokonértelműként használom, ezek közül az egyik csoportba tartoznak a rootkitek, amik olyan rosszindulatú, kifinomult malware-ek, amik észrevétlenül és sokszor szinte észrevehetetlenül az operációs rendszer - akár legelemibb - működését változtatják meg, gyakorlatilag bárhogy. Linuxos rendszereken aztán végképp nincs semmiféle általános forgatókönyv rootkitek azonosítására, egy ősrégi módszer lényege, hogy a különösen fontos fájlok integritását, változásait folyamatosan figyelve van rá esély, hogy a rootkitet sikerül időben megfogni, kísérleti szinten sincsenek olyan módszerek, amik már a windowsos rendszereknél általánosan elterjedt ún. viselkedés-alapú heurisztikákat használnak, azaz azt szúrják ki, ha valami nagyon szokatlan történik, a témával kapcsolatban bővebben a poszt alján megjelölt könyvekből lehet tájékozódni.

Könnyen előfordulhat, hogy olyan tartalomra lenne szükségünk, ami eléggé specifikus ahhoz, hogy ne legyen fenn még a nagyobb torrent oldalakon sem, így jobban alá kell merülni a netnek.

Ha könyvet keresünk, ami nem teljesen újonnan jelent meg, lehet, hogy elegendő, ha a Google keresőjébe egyszerűen beírjuk a könyv címét a filetype:pdf operátorral, ami arra utasítja a keresőt, hogy csak a PDF-típusú fájlokat adja ki találatként és szerencsés esetben ott is lesz a teljes letölthető könyv, kevésbé szerencsés esetben pedig csak egy olyan oldalra jutunk PDF-csali miatt, ahol valójában a könyvnek csupán néhány oldala szerepel, a teljes könyv letöltéséhez már meg kellene adni a bankkártyaszámunkat, amivel kapcsolatban amúgy az adott webhely esküdözik, hogy nem von le róla egy garast sem, csak a felhasználó azonosítása vagy a free trial regisztráció megkezdése miatt kell :) És végig ne felejtsük el, hogy ha nem lennének olyan felhasználók tömegesen, akik még ezt is beszopják, nyilván nem érné meg üzemeltetni az ilyen oldalakat.

Nos, mi van akkor, ha kellene egy bizonyos könyv például, de az sehogy se sikerül normálisan lecibálni a netről, így az elszánt felhasználó nyel egy nagyot, kockáztat és megpróbálja minden áron lecibálni a tartalmat, a kockázatok minimalizálásával?

Kézenfekvőnek tűnik egy olyan gépet használni, amit akkor sem sajnálunk, ha rommá megy a rendszer rajta a nap végére, nemde? Végülis igen, de már igen korán felmerült rá az igény, hogy ehhez ne kelljen egy tényleges számítógépet és éles operációs rendszert használni, többek közt ez volt az egyik, aminek kielégítésére kifejlesztették az ún. virtuális gépeket. Ezek olyan szoftverek, amik a valódi operációs rendszer hátán alkalmazásként futva képesek más operációs rendszereket futtatni, amik gyakorlatilag teljesen izolált környezetben vannak, így a VM-ben futó operációs rendszer és annak alkalmazásai számára úgy tűnik, mintha valódi számítógépen futnának. Azaz ha valaki elkezd számítógépes vírusokkal foglalkozni, akkor egyszerűen ezekre az izoláltan, sandboxban futó operációs rendszerekre felteszi a vírusboncoláshoz szükséges eszközöket, na meg leferzőzi a vizsgálni kívánt vírussal. Hogy víruskutatókra nem kis szükség lesz, nem kérdés és a Duqu 2-be még bele se mentem.

Nos, a virtuális gépben futó operációs rendszereken szinte minden futtatható, amit az adott operációs rendszer támogat, persze érthetően jóval lassabban, így például tele lehet őket szórni kismillió ilyen-olyan letöltést segítő szarral és bízni benne, hogy azokkal már csak-csak sikerül letölteni azt a ritka könyvet vagy más, nehezen beszerezhető tartalmat, amire szükségünk lenne. Ha sikerült, a letöltött tartalmat még a virtuális gépen futtatott böngészőben feltolhatjuk a https://www.virustotal.com/ -ra, ami szignatúra alapon ismeri fel a kártevőket, vagy a Checkpoint Threat Cloudjába, ami pedig emulál egy Windows XP-s környezetet, ott megfigyeli a fájl viselkedését és megítéli, hogy biztonságos-e.

Ha egyik sem talált semmit, de még mindig igencsak paranoidok vagyunk és hallottunk már róla, hogy céges környezetben a vírusfertőzések közel fele úgy történik, hogy az emailben érkező, legitim PDF-nek tűnő csatolmány fertőzött, azaz a dokumentum szöveges tartalmán kívül rosszindulatú kódot is tartalmaz, az eleve PDF fájlt nyomtassuk ki például a PDF995 progival szintén PDF-fájllá. Ezt követően pedig a virtuális gépen például egy eldobható postafiókon keresztül a fájlt elküldhetjük önmagunknak.

Ha már PDF-ekről van szó, itt jegyzem meg érdekességként, hogy a helyzet már annyira súlyos, hogy a Checkpoint tömeges PDF-tisztító megoldást kínál szinte bármekkora cég számára, ami annyit csinál, hogy a beérkező emailekben lévő PDF-eket újra PDF-fé "nyomtatja" és csak ezt követően engedi a felhasználó postafiókjába.

Tehát elvileg virtuális gépet használva sokkal biztonságosabban lehet torrenezni a legelborultabb helyekről is. Hozzáteszem, számomra ez mondjuk azért nagyon fontos, mert ha meglátok egy jó könyvet a neten, annak sokszor pusztán a tartalomjegyzékéből vagy néhány megjeleníthető oldalából nem derül ki, hogy tényleg olyan könyv-e, amire szükségem van. Ugyanis míg régen többen megvettek egy könyvet printbe, amit aztán olvasgathatták ebook formában is a könyvhöz kapott hozzáféréssel, mára pont fordítva van, azaz olvasunk, azaz először megnézem a könyvet ebook formában, aztán ha azt látom, hogy tényleg nagyon jó, a több száz oldalt nem képernyőről fogom elolvasni, hanem inkább megrendelem printbe.

Megjegyzem, hogy az alkalmazott magatartástudomány engem érdeklő tájain, a social engineering és az open source intelligence területén persze, számomra nagyon sok átfedés van könyv és könyv közt, viszont azért sokszor van bennük valami egészen új is vagy a szemléletmódja más. Például nemrég egy barátomnak beboltoltam szülire Chris Hadnagy Social Engineering: The Art of Human Hacking című alapművét, ugyanakkor ugyanettől a szerzőtől a nemrég megjelent Unmasking the Social Engineer: The Human Element of Security könyvet, ami csak minimálisan fed át az előzővel és - most tessenek figyelni! - ahogy azt valahogy megsejtettem pár évvel ezelőtt, az látszik, hogy a legszofisztikáltabb social engineering és azt megelőző technikák döntően a nonverbális kommunikációra és többször a nyelvtudományból átvett kutatásokra alapoznak.

Egyébként meggyőződésem, hogy a nyelvtudományi kutatások közül nagyon sokminden annyira átcsorog majd az információbiztonság területére, hogy azt korábban aligha hitte volna valaki.

//ami kimaradt
0x100. Ha még nem tudod, hogy mozdonyvezető legyél, tűzoltó, katona, vadakat terelő juhász, esetleg víruskutató, két könyvet emelnék ki amolyan iránymutatásként:

A vírusvédelem művészete - Szőr Péter
Hacking Exposed: Malware & Rootkits Secrets & Solutions Paperback - Michael Davis, Sean Bodmer, Aaron LeMasters

0x200. Ami a posztból kimaradt, hogy természetesen a virtuális géppel történő trükközés sem bombabiztos megoldás, hiszen elvben előfordulhat, hogy a virtualizált környezetet biztosító alkalmazás egy hibáját egy intelligens malware úgy használja ki, hogy kitör onnan és eléri az éles operációs rendszert. Ismétcsak lehetnek olyan malware-ek, amik egyrészt jóideig lappanganak, másrészt több trükköt próbálnak bevetni annak megállapítására, hogy amin futnak, éles operációs rendszer vagy virtuális gép.

0x300. Remekül mutatja, hogy mennyire nem szabad elhinni semmit kapásból, amit a neten olvasunk, az az eset, amikor az uTorrent kliensre fogták rá, hogy a felhasználók tudta nélkül bányássza a bitcoit, amit komolyabbnál komolyabb lapok közöltek le, aztán persze egy tényleg komoly lap utána is nézett és kiderült, hogy erről ebben a formában szó sincs

képek: bluecoat.com, pcmag.com, github.io

0 Tovább

Válaszlevélért EGY TÁLCA SÖR!


Megszámolni is reménytelen lenne, hogy eddig mennyi levelet kaptam, annak apropóján, hogy mennyiért török FB-fiókot, én meg elvből minden levelemre válaszolok, legfeljebb egy mondatban, már annyira nem vicces. Korábban még vicces volt, főleg az, amikor az illető lobbizott még egy-két kört, amiben arról bizonygatott, hogy igenis igazságos lenne már azt a FB-fiókot feltörni mert az övét is feltörték, mert kell belőle egy bizonyító levél, mert az exe, mert csak úgy, mert a tag egy tetű, mert lehet, hogy megcsalják, mert csúnyán nézett, meg amit csak el lehet képzelni. Szóval az indítékok nem túl változatosak, a legtrükkösebbek komolyan azok voltak, akik úgy adták be, mintha saját magukat csukták volna ki, de nem tudják egyedül helyreállítani a fiókjukat.

Na, akkor most egy kis matek, szerintetek mennyi olvasó tévedt csak idén a blogra csak a Google keresési találatain keresztül, amiben benne volt a facebook feltörés vagy ahhoz nagyon hasonló keresőkifejezés? /*A százalékban kifejezezz értékek nem az összes, hanem csak a facebook kifejezést tartalmazó keresések eloszlását mutatják. */ Oké, akkor segítek:

Ezennel pályázatot hirdetek olyan sablonlevél megfogalmazására, amit azonnal felhasználhatok, alig kell valamit igazítani rajta és mehet is válaszként, a leghülyébb is megérti, hogy NEM BAZDMEG, NEM!!!, ötletes, humoros, ha sértő a címzettre nézve, nem sértőbb a feltétlenül szükségesnél, nem olyan, amire valószínűleg emberünk még egyszer visszakérdez.

Pályázni július 15-éig lehet a blog oldallécében lévő email-címemre küldött mintával, a legjobb pályamű megalkotójának jövök

EGY TÁLCA SÖRREL és egy kurva nagy Tor projectes matricával

amit legnagyobb valószínűséggel Budapesten tudok odaadni.

Pályázni lehet csapatban is, egy pályázó több pályaművet is beküldhet, nem értesítek senkit a levél kézbesítődéséről, de tessék lenyugodni, nálam semmi sem veszi el spambe. Hajrá! /*csak reménykedni tudok benne, hogy nem rántom magam után a Streisand-effektus egy mutációját*/

Ja, életemben először leírom már én is: kérlek oszd meg a posztot, ahol tudod :)

kép innen: interpretermag.com

0 Tovább

Adatközpontok és trendek


Az adatközpontokról mindenkinek rácsok mögötti, hűtőszekrény méretű szilíciumszörnyek vagy éppen zsúfolt, kisebb, asztali gépekhez hasonló masinákkal teli tömött polcok jutnak eszébe. Arról már jóval kevesebbet tudunk, hogy az adatközpontok ténylegesen hogyan is működnek és mikben változott az adatközpontok kialakítása az idő folyamán.

2-3 évvel ezelőtt még többen határozottan azt jósolták, hogy a jövő kis- és középvállalati környezetben a mikroszervereké, azaz az olyan szervereké, amik nem sokkal nagyobbak, mint egy asztali gép, csak éppenséggel a rendelkezésre állásuk sokkal nagyobb, emiatt persze egy átlagos asztali géphez képest drágábbak is. A mikroszerverek piaca ha nem is torpant meg, a kezdeti felfutás lelassulni látszik, vélhetően azért, mert ha a szerver többek közt attól szerver, hogy folyamatosan működnie kell, elfogadhatatlan, hogy a 2-3 év garanciális időszak után egy-egy ilyen kis szerver egy hardverhiba miatt leálljon és bizony ha nincs a kkv-nak szerződése valamilyen hosztingszolgáltatóval, amelyiknél egy tartalékszerver át tudná venni a mikroszerver feladatát, akkor az érthetően komoly kellemetlenség, mivel mikroszervert javíttatni nem is olcsó, másrészt veszélyeztetheti az üzletmenet-folytonosságot, akárcsak más leállás.

A megoldások egyike tehát nagyon sok esetben a klasszikus ún. polcos vagy rackszekrényes elhelyezés egy jól védett szerverhotelben, ahol nem kell számolni a porral, hőmérsékletingadozással, ingadozó páratartalommal, elektromágnesesség okozta zajjal vagy éppenséggel az olyan áramszünettől, amit a szünetmentes táp ne tudna áthidalni.
Hiszen a szerverhotelek tipikusan több, egymástól független, nagyteljesítményű betáppal vannak ellátva, nagyteljesítményű szünetmentes tápok gondoskodnak róla, hogy egy-egy áramszünet esetén se maradjanak a vasak áram nélkül, ha pedig még ezek a monstrum méretű szünetmentes tápok sem bírnák szuflával tovább, az szerverhotelek közelében vagy tetején elhelyezett dízelgenerátorokkal biztosítják az áramellátást, ugyan úgy tudom, hogy dízelgenerátorok beindítására Magyarországon még egyszer sem volt szükség a komolyabb adatközpontok esetén.


Dízelgenerátorok a tetőn [Dataplex]

A közelmúltban megtartott IDC Adatközponti Transzformáció Konferencián az adatközponti infrastruktúrákkal foglalkozó és céges ügyfélként jelen lévő részvevők oszthatták meg egymással a tapasztalataikat.

Szinte mindegy, hogy milyen infrastruktúráról van szó, máig a hibrid rendszerek a jellemzőek, azaz klasszikus dedikált szervergépek, nagy számításigényű és magas rendelkezésre állású mainframek  és felhő-alapú megoldások vegyesen.

Ami némileg meglepő lehet, hogy a 64 bites architektúra a nagyszámítógépek piacán csak szép lassan terjed ki, míg az asztali gépeknél és a laptopoknál már természetes, hogy mind 64 bites, ugyan 8-10 évvel ezelőtt a 64 bites architektúrák nem jelentettek a felhasználók számára akkora érezhető változást, mint korábban a 16 bitesről a 32 bitesre történő áttérés.
Ma már a tudatos otthoni felhasználónak sem kell tartania tőle, hogy komolyabb adatvesztést szenved el, ha elszáll a gépe, hiszen jobbnál-jobb cloud storage szogláltatók jelentek meg, amik folyamatosan feltalicskázzák a felhasználói adatokat a felhőbe, aminek tartalmát folyamatosan szinkronizálják a gépen, helyben tárolt
tartalommal.

Kis- és közepes méretű vállalatok szerverei esetén nyilván sokkal kackiásabb a helyzet. Az IDC-n az adatbiztonságra specializálódott Veeam regionális menedzsere egészen elképesztő adatokat osztott meg a hallgatósággal. Kiderült, hogy a felhő-alapú tároló megoldásoknál egy-egy leállás esetén az esetek közel 20%-ában lépnek fel súlyos nehézségek illetve a visszaállításkor. A cloudban alapvetően annyira bízik mindenki, hogy szinte sosem tesztelik. Egy-egy virtuális gép újraindítása egy kkv-nál olyan módon, hogy minden zökkenőmentesen haladhasson tovább, átlagosan négy órát vesz igénybe. Márpedig - ahogy erről többször is írtam ezen a blogon - egy-egy óra downtime társadalmi hatása időről időre egyre nagyobb, az érintett cég számára egyre nagyobb presztízsveszteséget jelent és a kiesésből adódó költségek is egyre nagyobbak.

Állítólag egy, a közelmúltban történt pénzintézeti szerverleállás 880 ezer USD veszteséget jelentett óránként.

IBM AS400 - napjainkig az egyik legelterjedtebb mainframe pénzintézeti környezetben

A Veeam előadásában elhangzott, hogy egy teljes adat- és szolgáltatásvisszaállítás meghibásodás esetén akár kevesebb, mint 15 perc alatt is megoldható. Itt persze nem arra kell gondolni, ami még régen volt IT-üzemeltetési gyakorlat, azaz, hogy - egyszerűsítve - "tükörszerverek" futnak egymással párhuzamosan így biztosítva a redundanciát, nem is úgy kell elképzelni a helyreállítást, mintha egyszerűen csak biztonsági másolatokat kapnának elő, hiszen azok természetükből adódóan nem tartalmaznák a legfrissebb adatokat illetve a kiesett szolgáltatások utolsó ismert állapotát. Valójában ún. replikátumokról, ha úgy tetszik, élő másolatokról van szó.

Egy másik előadásban volt róla szó, hogy a sok, különböző gépből álló szerverpark felügyeletét segítő integrált felügyeleti megoldások egyszerre képesek figyelni az infrastruktúra minden rezdülését és beavatkozni, ha kell. A központi felügyelet pedig nagyon nem mindegy, ha egy több ezer, ráadásul különböző platformon futó, különböző földrajzi helyen lévő gépekről van szó, amiknél nyilván igencsak veszélyes üzem lenne, ha csak külön-külön lehetne menedzselni. Ez utóbbinak az a magyarázata, hogy sokszor a nagygépes vagy több gépből álló rendszerek olyan módon futtatnak párhuzamos folyamatokat vagy éppenséggel biztosítanak virtualizált környezeteket eltérő szolgáltatásokhoz, hogy az IT-s nem is tudja valójában, hogy melyik melyiken fut fizikailag.

A HP előadásában volt róla szó, hogy a big data szép is, jó is, viszont azért, hogy egyre kifinomultabb módszerekkel lehessen hasznát venni, szükségszerűen olyan infrastruktúrára lesz a közeljövőben szükség, amik ma még nem elterjedtek.

Márpedig a jövőben a big datával tudnia kell bánnia minden olyan cégnek, ami meg szeretné tartani a versenyképességét, hiszen a hatékony üzleti tervek kialakításához nyilván jó minél pontosabban tudni, hogy hogyan optimalizálhatóak a belső folyamatok, hogy mit szeretne az ügyfél, arra mennyit hajlandó költeni és ez milyen paraméterekkel áll összefüggésben, amire a big data előtti korban esélyük sem lett volna rájönniük a kutatóknak.

Megjegyzem, ebben a posztban most nem megyek bele, hogy a big data mennyire buzzword vagy sem, na meg abba sem, hogy milyen bizarr módon néz ki, amikor egy aktuális tudományos vagy technológiai paradigmáról irritálóan sokan beszélnek a megrendelői oldalon olyanok, akiknek amúgy lövésük nincs a témáról. Ami viszont tény, hogy igencsak tekintélyes számítási kapacitásra és ehhez igazodó infrastruktúrára szükség lesz, ennek pedig szerintem is egyik flagshipje a HP, ha az igények kiszolgálásáról van szó. Ma ha egy szervezet hatékony szeretne lenni, a meglévő adattárházát az általa megbízott big datával foglalkozó cégnek úgy kell használnia, hogy úgymond minél jobb kérdéseket tudjon feltenni, ennek megfelelően minél részletgazdagabb válaszokat tudjon visszajuttatni a megrendelő szervezethez, ehhez viszont erős infrastruktúra kell.

A DevOps megközelítéssel a Prezi előadása foglalkozott behatóan. Akinek nem lenne ismerős a DevOps, nos, ez az a szemléletmód, ami azt vallja, hogy a szoftverrendszerek fejlesztői legyenek annak üzemeltetői is egyben. Aki nem foglalkozik informatikával, elsőre még így sem biztos, hogy világos, hogy miről van szó, hiszen elvben az informatikus tud szoftvereket fejleszteni, na meg üzemeltetni is, nem? Nos, az egyszerűsített válasz persze az, hogy valóban, viszont nyilván van, aki az idő folyamán a fejlesztésre, tesztelésre megint más pedig az üzemeltetésre specializálódik. Nagyméretű szoftverrendszerek pedig akkor működhetnek a legnagyobb hatékonysággal, rendelkezésre állással és persze leggyorsabban, ha a fejlesztőnek minél inkább pontos képe van arról a környezetről, azaz architektúráról, amire ténylegesen fejleszt valamint az admin-szemléletű informatikus képben van azzal kapcsolatban, hogy a sok-sok különböző technológiát használó szoftverrendszer alá hogyan érdemes beállítani a vasakat vagy éppen a felhőt.

A DevOps igazából kicsiben nem igazán értelmezhető dolog, viszont ha már arról van szó, hogy egy szolgáltatásnak percenként adatbázis lekérdezések milliárdjait kell végrehajtania nyilván megfelelő sebességgel, akkor a szolgáltatás által küldött adatbázis-lekérdezéseket kell optimalizálni ÉS az adatbázisszerveren a célnak leginkább megfelelő adatbáziskezelő motort kell választani, különben a szolgáltatás vagy lassú és megbízhatatlan lesz vagy veszett nagy összegeket kell a cégnek költenie arra, hogy meglegyen a megfelelő erőforrásigény. Az IT-re fordítható pénz pedig nyilván szűk keresztmetszet, azaz többet ésszel, mint erővel.

A klasszikus fejlesztési módszertanról és az agilis fejlesztésről szóló kerekasztal beszélgetésnek megvoltak a maga tanulságai. Megjegyzem, amikor ez kerül szóba valahol, többször tapasztalható, hogy úgy teszünk, mintha egyedül a V-modellel gyakran tévesztett vízesés-modell és az agilis fejlesztési módszertan létezne, holott van még bőven, másrészt gyorsan belátható, hogy az egyik nem váltja fel a másikat időben, hanem tisztában kell lenni azzal, hogy bizony, van, ahol az egyik, van, ahol pedig a másik fejlesztési módszertan hatékony. Ahogy az egész ipar, természetesen maga a fejlesztő is folyamatosan az idő szorításában dolgozik, tény, hogy időt spórolni valahogy a tesztelési folyamatoknál /*veszélyesen rossz*/ szokás. Az olyan módszertanokat követő fejlesztők, amik hallgatólagosan sokkal kisebb hangsúlyt fektetnek a tesztelésre, később komoly árat fizethetnek emiatt.
IMHO persze nincs általános képlet, megfelelő szoftverfejlesztési igényhez a megfelelő módszertant kell kiválasztani, igazán tragikusan például akkor sülhet el a dolog, amikor egy csapat olyan módszertant választ, amit esetleg saját maga talált ki vagy egyszerűen nincs elegendő rendelkezésre álló tapasztalat a hatékonyságával kapcsolatban.


Az IDC-n kiderült, amiről korábban csak pletykák voltak, nevezetesen, hogy a Raiffeisen Bank, kulcs fontosságú rendszerét ért leállást egy IBM AS400-as mainframe egy processzorának elfüstölése okozta, ami rántotta magával a többi hardverelemet. Ismereteim szerint ennyi még bőven kevés ahhoz, hogy egy pénzintézeti rendszer órákra elszálljon, emellett több, konkrétabban meg nem nevezett emberi eredetű hibát is elkövettek a helyreállítás során. Tehát az eset tanulsága ismétcsak az, hogy a leállást kizárni még méregdrága, többszörösen redundáns infrastruktúrával sem lehet biztosan, viszont nagyon nem mindegy, hogy a kiesett rendszer mennyi idő után áll talpra illetve veszi át a szerepét egy tartalék rendszer, ennek a gyakorlata viszont nyilván emberi tényező. Hogy mennyire részletes és szigorú annak a forgatókönyve, hogy különböző kieséseknél milyen protokoll szerint kell eljárni, nagyban függ attól, hogy milyen szektor informatikai rendszeréről van szó, ezzel a ISO/IEC 27000 szabványcsalád foglalkozik behatóan.

Közel teljes rendelkezésre állás létezik. Ez viszont nem csak a technikai kialakítástól, hanem az azt üzemeltető IT-stafftól, mint emberi tényezőtől is függ. Hogy a technikai megvalósítás mennyire is tud redundáns lenni, az IDC egyik előadójának a HP-nak egy ősrégi reklámjával szemléltetném.

0 Tovább

Minden idők leghülyébb hekkerei


A hekkelésről mindenkinek, akinek lövése nincs a témáról, valamiféle feketemágia jut eszébe, amit aztán nem tanulhat meg akárki, na meg makacsul tartják magukat bizonyos jól ismert, ámde még hülyébb elképzelések a hekkerekről. A leginkább közkeletű elképzelés Magyarországon alighanem az, hogy a hekker egy kivételesen  okos informatikus, aki aztán mindent lát mindig, kicsit bűnöző ugyan, de amolyan szerethető cukorpofaként a digital age robin hoodja, ezért kicsit megéri fosni tőle, amúgy meg teljesen öntörvényű és ha azzal bízzák meg, hogy törjön fel valamit, az is megcsinálja, na meg ha azzal, hogy tesztelje valaminek a törhetőségét, azt is, ugyanannyi pénzért.

Ahelyett, hogy hosszasan elkezdenék filózni rajta, hogy mennyire nincs így és miért, néhány megállapítást tennék: mindenki, akivel találkoztam és "hekkernek" vallotta magát /*azaz nem ethical hackernek, szoftvertesztelőnek vagy hasonlónak*/, mind valami szerencsétlen volt, akinek egy jó drága tanfolyamon kimosták az agyát főzőprogramon, aztán kapott egy papírt róla, hogy elvégezte, amit meg tud, annál jóval több megtanulható még egyetlen átfogó kötetből is. Vagy éppenséggel még ennyi se, nem végzett semmit az illető, az önképével meg olyan elégedetlen, hogy kitalálta, hogy ő márpedig hekker, úgysem nézi senki hülyének /*egy darabig*/, pont azért, mert ez amolyan kényelmesen ködös fogalom, amiről valami egyszerű lélek azt hiszi, hogy trendi. Nem keverendő az angol hacker kifejezéssel, de nem is nyelvészkednék tovább.

Nagyon röviden: nulla informatikai tudással és nulla ötletességgel, ilyen-olyan netről letöltött, játékprogram bonyolultságú szirszarokkal bárki okozhat komoly károkat szinte bárki, ugyan ehhez az is szükséges, hogy az áldozatban annyi biztonságtudatosság se legyen, mind Medve sajtban a brummogás. Az ethical hacking/pentesting/vulnerability research/social engineering meg teljesen más sportágak, viszont az ITsec-es, ha a foglalkozásáról kérdezik, legjobb, ha mond bármi mást, de komolyan, mégpedig azért, hogy magyarázni se kelljen, na meg ne is értsék félre. Ne keverjék az olyan idiótákkal, akikről most szó lesz.

Az alapsztorit amúgy a 403 Security CEO-ja jelentette meg még 2011-ben, mondjuk azóta jó sok adat átfolyt a BIX-en én ma olvastam így egyben először, ezért gondoltam, hogy sederítek róla egy posztot, alaposan kiegészítve. Az alapsztorik hitelességének ellenőrzésébe nem mentem bele, de ígérem, a végére világos lesz, hogy ez mellékes is, ahol kellett böktem bele egy kis lábjegyzetet [így számozva].

0x100. Még 2010-ben egy közelebbről meg nem nevezett valaki egy népszerű brit énekesnő, Kelly Osborne /*akinek nincs meg:  Ozzy bácsi és Sharon néni lány*/ email fiókját törte fel. [1] Ezt követően beállította, hogy a leveleket a levelezőrendszer továbbítsa egy adott címre [2], ámde nem egy erre a célra létrehozott, gondosan anonimizált fiókra továbbította hősünk a leveleket, hanem a saját, valódi email címére, ami alapján nem volt olyan pokolian nehéz azonosítani.  

0x200. Shahee Mirza, egy önmagát hacktivistának és géniusznak nevező 21 éves hülyegyerek bangladesi kormányzati webszervereket tört fel és azokon helyezett el remekebbnél remekebb nyelvhelyességgel írt üzeneteket, amiben felszólította a kormányt, hogy a számítógépes bűnözés elleni törvényeket módosítsák, mert ők, hacktivisták akkora zsenik, hogy úgyis feltörnek bármit. A dolog egyik pikantériája, hogy ugyanazt a dumát közel 20 webhellyel megcsinálta. Úgy bukott le, hogy elhelyezett a deface-elt oldalak alján egy olyan logót, amiben benne volt a neve. [3]

0x300. Samy Kamkar a MySpace egy sebezhetőségét felhasználva [4] útjára indította a Samy Wormöt, ami rommá fertőzött egymillió accountot, valójában csak annyit csinált, hogy megjelenítette a felhasználók képernyőjén a "Samy is my hero" üzenetet. Érdekes lélek lehet, mert ennyivel nem érte be, még a blogján is alaposan beszámolt a nagy hekkelésről, a kínos csak az volt, hogy a blogján volt egy kép a kocsijáról is - hát hogy ne lett volna - amin tisztán látszott a rendszáma, ami egyértelművé tette, hogy tényleg ő volt az elkövető. Na innentől nem volt nagy kriminalisztikai bravúr azonosítani. Az alkalmazott módszer egyébként nagy hasonlóságot mutatott azokkal a perzisztens XSS-támadásokkal, amivel a jó öreg iWiW-et is megkínálták néha

0x400. Daquan Mathis New Yorkban ellopott egy iPhone-t, de nem csak gyönyörködött benne, hanem csinált magáról egy rakás szelfit, nem mellékesen ugyanabban a ruhában, amiben a rablást vagy lopást elkövette. Nos, ehhez már alapjáraton hozzáfért az iPhone tulajdonosa /*már akkor is*/, amelyiknek az accountjaiból nem jelentkezett ki. Ha mindez még nem lett volna elég, a képeket a tolvaj a saját email címére küldözgette, ami szintén látható volt - és megdönthetetlen bizonyíték az év kiberbűnözője ellen. Itt hozzáteszem, hogy Magyarországon egy zsebesnek még ezt a szintet is sikerült messze felülmúlnia: miután csinált magáról egy adag szelfit, feltöltötte az eredeti tulajdonos Facebook-accountjára, ahogy arról a 444 beszámolt

0x500. Még 2006-ban egy Eduard Lucian Mandru nevű pofa, aki bejutott a DoD egyik - szerintem szándékosan legyengített - gépére, a védelmi minisztérium sokáig ennek ellenére semmit nem tudott róla az email címén kívül /*de valószínűbb, hogy ez a DoD részéről taktikai blöff volt*/. Emberünk néhány évvel később ugyanazt az email címet használta különböző álláshirdető-álláskereső oldalakon.

0x600. A hatodik nem igazán illik a képbe, de azért... Egy forma tisztában volt vele, hogy az USA-ban bizonyos helyeken, ahol tábla is jelzi, hogy lassítani kell a kocsival, a gyorshajtók rendszámtábláját egy rejtett kamera felveszi, majd ezt egy optikai karakterfelismerő szoftver átalakítja sima karakterlánccá, ahonnan már szintén gépileg mehet abba a nyilvántartásba a rendszám, amiben a kocsik tulajdonosait jegyzik, hogy könnyen elő lehessen venni a gyorshajtókat. Ötletes, nem? Amivel a pofa próbálkozott, még ötletesebb akart lenni és a rendszáma helyére egy olyan táblát tett, amit ha a rendszámnyilvántartó megkap, nem egyszerű szövegként fogja kezelni, hanem végrehajtható parancsként és konkrétan törli a teljes adatbázistáblát. A veszett nagy trükk a "ZU 0666......" rendszámmal ugyan alighanem nem jött be, de a hékek eléggé gyorsan nyomára akadtak a tagnak. Az SQL befecskendezésnek
nevezett támadás lényege, hogy ahol egy szolgáltatás bemenete szabályos adatot, tipikusan szöveget vár, meg is kapja, majd azt belefoglalja az adatbázislekérdezést ténylegesen elvégző függvénybe, viszont ha a szerver nincs rá felkészítve, hogy csak olyan adatot engedjen tovább, ami oda ildomos, elvben beküldhető olyan szöveg, ami egy adatbázisműveletként értelmeződik majd, például rekordokat vagy táblákat módosít, töröl, na meg amilyen jogosultsággal a szolgáltatás indította a függvényt. A tanulság az, hogy bemenetet - meg úgy egyáltalán semmit - nem adunk át azonnal feldolgozásra, hanem azt alaposan ellenőrizzük, mielőtt egy felületről egyenesen menne feldolgozásra /*jelen esetben pedig jó esetben nem végrehajtásra*/ a szerver gyomrában.

Egy korábbi posztomban már utaltam rá, hogy még pár évvel ezelőtt, amikor reggeltől estig dagonyáztam a dark web mocskában, azaz az internet azon tájain, amerre ember nem jár, ha nem nagyon muszáj, konkrétan személyek hitelességét ellenőriztem és persze nap, mint nap beleakadtam valami pöcsbe, aki pénzért árult meghívókat olyan közösségi szolgáltatásokba, ahova nem lehet csak úgy regisztrálni. Bizonyos szolgáltatásokba kizárólag egy vagy több tag meghívása alapján lehet belépni, a meghívókat pedig nem osztották két kézzel - márpedig ami csak korlátozott mennyiségben hozzáférhető, értelemszerűen vonzó, ha van benne racionalitás ha nincs. És bizony lesznek arcok, akik az emberi természet ezen mesés vonását ki fogják használni. Többször is találkoztam például kőburzsuj amerikai nyugger bőrébe bújva olyan formákkal, akik mondjuk az AsmallWorld-höz, ELIXIO-hoz vagy BestOfAllWorlds-höz kínáltak meghívókat szaros ezer dollárért, amit rendszerint lealkudtam 50 dollárra, a csaló pedig szintén kitett magáért, mondjuk amikor olyat írt, hogy biztos csóró szar amerikai vagyok, ha nem utalom a pénzt még aznap egy Paypal/Moneybookers/Skrill-számlára, amire ugyebár, ha tényleg öreg amcsi nyugger lennék alighanem az egó miatt azonnal fizetnék is. Na, fizetni nem fizettem, hanem amikor már rég tudtam, hogy a csaló honnan netezik, milyen oprendszerrel, böngészővel, mik azok a kamu identitások, amik szintén hozzáköthetőek, nem küldtem neki valami finomat a gépére, amivel bűncselekményt követtem volna el, inkább megírtam, hogy azonnal fizetek, de küldjön egy képlövést a szolgáltatásról, hogy meggyőződjek róla, hogy tényleg tud onnan meghívót küldeni.

A harceddzettebb webcserkészek kitalálhatják, hogy milyen screenshotot kaptam emailen, többször is: amin látszott a szolgáltatás, a másik böngészőfülön pedig befigyelt névvel/címmel a tag valódi (!!) Gmail/FB profilja. És ezek az arcok egész nap azzal foglalkoztak, hogy az USA-ban, na meg Európa burzsujabb részein lakó felhasználókat húzzanak le nem túl ékes angolsággal. Ugyan eléggé határozott volt a trend, hogy ez hol biznisz, leszek most olyan polkorrekt, hogy nem írom meg. A jelenség természetéből adódóan a tettesek elvben könnyen azonosíthatóak, gyakorlatilag meg a büdös életbe sem, hiszen a Paypal-nek az egyik lényege, hogy nem tudni, kihez tartozik a számla, amíg több ország hatósága összefogva ki nem kéri a számlatulajdonos adatait - amihez persze nincs joga. A károsultaknak pedig többszörösen indokolt okból úgysem tesznek feljelentést, azzal a szöveggel, hogy voltak olyan hülyék, hogy fizettek valakinek, akiről fogalmuk sincs, hogy kicsoda, de azért fizettek, mert egy elit közösségi szolgáltatásba akart bejutni, ahol nincs valódi ismerősük, aki meghívót küldhetne, tehát eleve illegálisan. Akinek hatalmas az egója, na meg még hülye is, azzal még nem érdemli ki, hogy lehúzzák pénzzel.

Na, ilyen cybercrime-os blogot mondjuk fix, hogy nem írok, ha meg mégis, akkor majd valamikor a jövőben, mondjuk kinyíratni magam nem akarom, szóval álnéven, de lenne mit írni azokról a manipulációs fogásokról, amiket a bűnözők és a nyomozók is alkalmaznak, arról nem is beszélve, hogy a csalók többségének annyi esze nincs, hogy a lebukást megelőzve legalább ne olyan fantom karaktert használjanak, amit azonnal dob a Google képkereső, sátöbbi.

[1] Amikor két droid arról beszél, hogy hogyan törték fel valakinek a Gmail/Facebook fiókját, a leggyakoribb esetek:

0x100. a felhasználói név ismert, a jelszó pedig valami elképesztően banálisan kitalálható szó, mondjuk "password"
0x120. a felhasználói név ismert, a jelszóemlékeztető vagy jelszóhelyreállító opció pedig pofátlanul egyszerű: új jelszó beállításához a rendszer megkérdezi mondjuk, a születési időt /*vagy bármi olyan adatot, ami full nyilvános*/, a helyes választ a támadó megadja és ezzel új jelszót állít be, amivel már be tud lépni. Én azt mondom, hogy alapvetően minden password recovery rossz, de ha már az ilyen Security questions a téma, na, azt akik tervezték, feltételezték, hogy a felhasználónak lesz annyi esze, hogy olyat állít be, amit nem banalitás tudnia vagy kitalálnia bárki más számára is.
0x130. letöltenek egy önmagát képfájlnak álcázó keyloggert a netről, majd elküldik emailen csatolt fájlként az áldozatnak, aki annak ellenére, hogy nem ismerős neki sem a feladó, sem a tárgy, meg úgy általában semmi, mégis van olyan hülye, hogy megnyitja, a víruskergető szoftver meg vagy megfogja vagy sem. Amikor a jelszót legközelebb beírja, azt a keylogger elküldi a támadónak. A játékprogramok egy része több intellektust igényel, mint egy ilyen konzerv-keyloggerrel támadni.
0x140. odamennek ahhoz a géphez, amit általában használ az illető, majd a böngésző beállításaira kattintanak és ott az elmentett jelszavaknál rákattintanak a jelszavak megjelenítése gombra... /*na, ez már a többségnek az advanced level*/

Tehát gyakorlatilag sosem az authentikációért felelős programhiba kihasználásáról, az adatokat ténylegesen tároló adatokhoz egy sérülékeny szerverszolgáltatáson keresztüli eléréséről, a kliens és a szerver oldal közti titkosított kommunikáció lehallgatásáról, stb, stb, stb. van szó. Amúgy innen is csókoltatom az összes idiótát, akiktől hetente legalább 2-3 levelet kapok "feltörnéd az exem fészbúkját?" témában, mióta egy ezzel kapcsolatos Facebook-cikkem megjelent.

[2] Ha már email átirányítás, ilyen beállításánál újabban még a legkommerszebb levelezőrendszerek is alul vagy felül egy csíkban, na meg ahogy tudják, figyelmeztetik a fiók tulajdonosát, hogy a levelei át vannak irányítva.

[3] vegyük észre, hogy itt is az überszuper nagy "feltörésnél" közönséges webszerverekről volt szó, nem pedig a kritikus infrastruktúrákért felelős gépek valamelyikéről. Magánvéleményem, hogy a NASA és az NSA korábban szándékosan alakította ki úgy a webhelyeit, hogy az a hülye, ámde elszántságuk miatt veszélyes aktivisták számára feltörhető legyen, majd miután elkapták az illetőt, már gyerekjáték volt feltérképezni ilyen-olyan potenciálisan underground csoportokat, amikbe az elkövető tartozott. Az általánosan bevett technika eredetijét honeypot-olásnak nevezik, ennek kifinomultabb, gyakorlatilag végtelenségig cizellálható változata a tar trapek használata, aminek az a lényege, hogy miközben emberünk reszeli a szervert, mindig egy kicsit nehezítünk valamit a védelmen, de vannak erre automatizált eszközök is, lényeg, hogy a szerencsétlen ennek megfelelően nyilván annál több nyomot fog maga után hagyni, hiszen a betörés módja sokszor egy adott csoportra jellemző, de jellemző lehet akár egyénre is.

[4] Én a Samy wormről valószínűsítem, hogy a szkript részletet valahol látta a neten, aztán kipróbálta, hogy a MySpace-n működik-e. Egyébként ún. XSS-sebezhetőség volt, amik közül vannak egészen kifinomultak, na meg annyira egyszerűek is, hogy azt a legbölcsészebb olvasó is azonnal megértené. A tankönyvi eset, amikor egy szövegdoboz szöveget vár bemenetként, de olyan kódot, például Javascript-parancsot kap, ami feldob egy kis ablakot egy adott szöveggel vagy valamilyen nem kívánt műveletet végrehajt. XSS-ről bővebben a Wikipedián.

Képek innest: blog.on.com, Wikipedia

0 Tovább

Így beszélnek össze a webhelyek Veled kapcsolatban


Nemrég részt vettem egy workshopon, aminek az volt a tárgya, hogy aki tényfeltáró újságíróként dolgozik, milyen informatikai fenyegetésekre érdemes figyelnie, hogyan lehet a kockázatokat alaposan csökkenteni. Nos, a teljes egynapos workshopon mindössze egyetlen eszközt mutattak be, ami számomra új volt, viszont annál inkább jópofa. Nem innovatív, nem technikai újdonság, de igencsak látványos.

Bizonyára mindenki találkozott már azzal a jelenséggel, hogy hiába csapkodta le a reklámokat ilyen-olyan módszerekkel a böngészőben és az általa látogatott szolgáltatásokban is, ezt követően például egy Googleben indított, fogfájással kapcsolatos keresés után a Facebook oldallécében egy fogorvosi rendelő reklámja virított...

A magyarázat, hogy a személyre szabott hirdetések világában a hirdetések személyre szabott megjelenését nem úgy kell elképzelni, hogy egy adott szolgáltatás határain belül érvényesek, hanem szolgáltatások közt is. Ennek a nagyon rövid technikai magyarázata az, hogy a hirdetéselosztó hálózatok összességében gyűjtik az információkat a felhasználókról, majd azt osztják meg az ügyfeleikkel /*tartalomszolgáltatókkal és közösségi szolgáltatásokkal*/, nem pedig külön-külön, ami érthető módon az egyik legkorszerűbb és leghatékonyabb hirdetési forma, hiszen ha valaki szabad perceiben csak a magyar hírportálok közt nézegeti meg a legfrissebb cikkeket, akkor a célzott hirdetést megjelenítő hálózat nem kezdi újra vizsgálni a felhasználó érdeklődési körét az alapján, hogy hova kattintott, mire keresett vagy éppen hol tartotta az egérmutatót, hanem figyelembe veszi azt is, hogy a korábban meglátogatott szolgáltatásokat és portálokat hogyan használta.

A gráfként megjelenített ábrákat mindenki szereti, mert szépek, elforgathatóak, nagyíthatóak és nagyon beszédesek, bárki számára elérhetőek /*mármint az is tudja használni, aki egyébként nem web-kórboncnok*/. Nincs ez máshogy ebben az esetben sem, maga a Mozilla egy roppant jópofa eszközt ad arra, ha szeretnéd látni, hogy hogyan "beszélnek össze" veled kapcsolatban a hirdetői hálózatok. Néhány pillanat alatt telepíthető a Firefoxhoz a Lightbeam kiegészítő, ami azonnal mutatja is, hogy melyek és mennyire. Persze akkor a leglátványosabb, ha átlag felhasználóként használjuk a netet, azaz nem használunk semmilyen reklámgyilkolót, nem mókoljuk meg a földrajzi pozíciónkat, nem trükközünk kliensoldalon. Az én esetemben valahogy így néz ki a dolgot egy perc kattintgatás után, ugyan szándékosan megnéztem egy review oldalt is, amiről tudom, hogy különösen pofátlan ebben a műfajban:

Google Chrome-ot használsz? Ez esetben sajnálom, lehet, hogy ott is van hasonló eszköz, nem tudom, meg annyira nem is érdekel, pont azért, mert Google, na meg Chrome, nem használom. Viszont érdemes tudni, hogy a nyílt forrású Chromium motor felhasználásával nem a Google Chrome az egyetlen böngésző, ami valaha készült, ha nagyon ragaszkodsz a Chrome-szerű böngészőhöz, a Comodo kapásból háromfélét is ajánl, ami nem akarja eladni az adataid kilóra, sőt, pont az ellenpólust képviseli mind:  
https://www.comodo.com/home/browsers-toolbars/browser.php

Ha már böngészők.

Nem új, de még mindig zseniális az az ismeretlen szerzőtől származó, de erősen Microsoft-gyanus reklámparódia, ami annak idején az egyik Chrome verzió reklámját figurázta ki még az eredeti reklám megjelenésének napján.

Ha pedig már videó, "Kutyával és gyerekkel maguk mindent beszopnak", ahogy mondta a Kiábrándult értelmiségi, és valóban, egy jóval kevésbé offenz', de esztétikus és hatásos böngészőreklámot is ide teszek.

Ebben a posztban egyáltalán nem foglalkoztam azzal, hogy enélkül finanszírozhatatlan lenne szinte minden valamire való - nem-fizetős - szolgáltatás a neten, azzal sem, hogy akár elhiszed, akár nem, ez a hirdetési modell igenis hatással van a fogyasztói döntéseidre, még akkor is, ha tudatosan egy-egy cikk olvasása közben a reklámot nem is olvasod, csak a szemed látókörébe kerül, azzal sem, hogy a reklámdobáló hálózatokat természetesen lehet korlátozni vagy blokkolni, viszont nem szabad túltolni a dolgot, mivel nagyon sok helyen ha a reklám nem jeleníthető meg, nem jelenik meg a tartalom sem, amit megnéznél vagy olvasnál. Amivel szintén nem foglalkoztam, hogy a privacy-fetisiszta jogvédők paranoid óbégatása miért iszonyúan károsak, lévén, hogy nem reális veszélyekről beszélnek, az igenis reális veszélyekről pedig gyakorlatilag sosem ejtenek szót érdemben, ami érthető is, mert ez olyan technikai rálátást és szemléletmódon igényelne, amivel ők maguk sem rendelkeznek. Szintén nem mennék bele, de érdekes téma, hogy a felhasználókról készülő profilalkotás bőven ad lehetőséget visszaélésekre például olyan módon, hogy egy webshop ugyanazért a termékért eltérő árat kér két különböző felhasználótól olyan tényezők alapján, hogy valószínűleg mennyit lenne hajlandó a termékért fizetni, van-e hasonló termékporfólióval rendelkező üzlet hozzá földrajzilag közel és még ki tudja, hogy mi alapján. Ez utóbbi amúgy nem egy konteós elméleti felvetés, hanem bizony-bizony van, ahol már rég alkalmazott módszer: WSJ: Websites Vary Prices, Deals Based on Users' Information. A témát magyar nyelven anarki is alaposan kivesézte pár hónapja. 

0 Tovább

A Hola rossz. Értem?


Meg persze hülyének lenni is. Hiába, hogy nem mai találmány az internet, máig makacsul tartja magát az a felhasználói téveszme, hogy van ingyen ebéd, többek közt. Van, akinek még mindig nem világos, hogy ez miért is veszélyes.

Nem ígérem, hogy teljes egészében elmagyarázom, hogy valójában semmi sincs ingyen, amiért nem kell a neten közvetlenül fizetni, tehát még egyszer, szépen, lassan: semmi! Ha nem fizetsz közvetlenül a piacvezető keresőmotor, na meg közösségi szolgáltatás használatáért meg ami hozzájuk kapcsolódik, az adataidat adod el kilóra, és rémesen fárasztó lenne elmagyarázni, hogy azzal, hogy amennyiben személyre szabottan jelennek meg hirdetések a képernyőn, közvetetten befolyásolni fogják a fogyasztói döntéseid, ha elhiszed, ha nem, ugyan mondjuk ez a Google esetében részben korlátozható mondjuk itt a Facebook esetében pedig gyakorlatilag sehogy.

Ugyan a netsemlegesség elvének értelmében minden információnak ugyanúgy elérhetőnek kell lennie az interneten, függetlenül a közvetítő közegtől, azaz szolgáltatótól, gyakorlatilag ez valamikor nagyon régen lehetett így, mostanra pedig szép számmal vannak olyan szolgáltatások és tartalmak, amikkel kapcsolatban esetleg gondol egyet az internetszolgáltató, aztán vagy korlátozza vagy sem vagy éppen gondol egyet a netes szolgáltatás üzemeltetője, aztán az vagy korlátoz vagy sem, mondjuk olyan alapon, hogy a felhasználó melyik országból használná a szolgáltatást.

Ugyan a mögötte lévő üzleti logika teljesen érthető, hiszen minden, hálózaton átküldött bitnek forintosítható költsége van, így persze, hogy több interneten nézhető tévécsatorna csak adott államon belül hajlandó nyomni mondjuk uraknak a szörnypornót vagy hölgyeknek Született feleségek legújabb részeit full HD-ben, még akkor is, ha az elejét és a végét amúgy meghintették egy kis reklámmal, megint más esetekben pedig az alkalmazott technológia miatt gazdaságtalan lenne bizonyos földrajzi régión kívül is szolgáltatni, mint amilyen az SMS-értesítés a facebookos eseményekről, amiről nemrég írtam is.

Igencsak nemes ötletnek tűnik egy olyan szolgáltatás megteremtése, ami valóban eltünteti vagy redukálja ezeket a korlátozásokat a felhasználók számára, a felhasználót meg konkrétan nem érdekli, hogy hogyan működik, csak az, hogy érje el, amit szeretne. Ez persze ugyancsak egy decentralizált infrastruktúrát igényel, mint amilyen a TOR ahol elvben bárki önfeledten rendelhet kábszit, fegyvereket, ha nem ért a fegyverekhez, bérgyilkost is, orosz feleséget, gyerekporeszt, meg minden szart is, ami egyébként az adott államban alighanem törvénybe ütközik, az elvi lényeg viszont, hogy a szabad információáramlást bizonyos szempontból tényleg szabadabbá teszi.

Ennél már jóval elegánsabb megoldást jelentenek a VPN-ek használata, ahol a középpontban nem feltétlenül az anonimizálás áll, hanem az, hogy a felhasználó elfedje, hogy milyen földrajzi területről csatlakozik az internetre valójában, így az adott szerver szolgáltatását vagy tartalmát akkor is elérje, ha az országra korlátoz.

Miért ne tűnne remek ötletnek az, hogy legyen egy olyan virtuális magánhálózat, ami a közösségi erőforrás-megosztást használva a felhasználók gépeit használja arra, hogy VPN-kapcsolatokat építsenek ki? Mint mondjuk a Hola. Pont azért, amivel a posztot kezdtem: mert valamilyen rejtett költsége mégiscsak van, még ha nem is kell többet fizetniük a felhasználóknak a netszolgáltató felé akkor, ha több adatot forgalmaznak.

Mondjuk az, hogy a használatához szükséges szoftvermegoldás, ami jelen esetben egy böngészőbővítmény, kártékony kódot tartalmazhat, így lehetőséget ad arra, hogy a felhasználók gépeit botnek-hálózat részeként használva DDoS-támadást indítson gyakorlatilag bármi ellen, ami rajta lóg a neten, csak éppen erről annyira nem világosítják fel a felhasználókat. A felhasználót persze egyfelől nem is érti, hogy ez micsoda, ha meg érti is, alighanem nem érdekli - egészen addig, amíg nem érintett benne egy olyan informatikai szolgáltatás, amit éppen használna, akár közvetve, akár közvetlenül amiatt, hogy esetleg éppen többek közt pont az ő gépével tették elérhetetlenné. A botrány amúgy pénteken pukkant a The Vergen.  

Nem túl népszerű, emiatt gyakran selyempapírba csomagolt tényként tálaljuk, hogy a felhasználót már jóideje a saját hülyeségétől, jelen esetben pedig önzőségétől kell megvédeni technikai eszközökkel, ha normális szóval nem megy. Ez viszont felveti azt az igen kínos és nem túl européer kérdést, hogy van-e esetleg mégis helye kvázi az internet /*használati módját*/ cenzúrázni, hogy maga az internet használható maradjon?

Akit ez még mindig nem hatott meg, annak csak úgy emlékeztetőként írom, hogy már jónéhány évvel ezelőtt egy véradásra biztató lánclevél miatt az Országos Vérellátó Szolgálatnak magyarázkodnia kellett ami önmagában csak az emberek közti bizalmat rombolja, megint más esetben, egy másik országban konkrétan a vérellátó központ nem tudta fogadni a telefonhívásokat egy hasonló hoax miatt. De nemrég lehetett olvasni arról is, hogy egy fószer éppen kijött a hűvösről, amikor úgy gondolta, hogy meg kellene keresni az asszonyt meg a gyerekeket - akik történetesen pont a pasas miatt voltak védett tanuk - ezért eltűnt személyként a képüket feltette a Facebookra, mire a facebookozók roppant mód segítőkész, naiv és persze kellően hülye része minden információt megadott a sittről szabadult bűnözőnek, hogy megtalálja őket.

A Hola-botránnyal kapcsolatban ami biztosan elmondható tanulság, hogy aki már nagyon szeretne más országon keresztül netezgetni, ahhoz is legyen esze, hogy normális VPN-szolgáltatót használ néhány garas befizetése mellett, ilyen módon nem fog mást veszélyeztetni.

kép: technobuffalo.com, hacksurfer.com

1 Tovább