Impresszum Help Sales ÁSZF Panaszkezelés DSA

About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (38),Facebook (18),privacy (17),egyéb (12),social media (11),itsec (11),social web (10),biztonság (9),mobil (8),Google (6),OSINT (6),jog (6),szellemi tulajdon (6),tudomány (6),magánszféra (6),szájbarágó (5),email (5),webcserkészet (5),molbiol (5),felzárkóztató (5),Nobel-díj (4),big data (4),Gmail (4),kultúra (4),terrorizmus (4),online marketing (4),kriminalisztika (4),plágium (4),webkettő (4),genetika (3),molekuláris biológia (3),pszichológia (3),azelsosprint (3),Android (3),biztonságpolitika (3),nyelvtechnológia (3),magatartástudomány (3),Apple (3),sajtó (3),2015 (3),orvosi-fiziológiai (3),élettudomány (3),gépi tanulás (3),jelszó (3),üzenetküldés (3),CRISPR (3),Onedrive (3),2-FA (3),popszakma (3),konferencia (3),levelezés (3),kriptográfia (3),reklám (3),biztonságtudatosság (3),hype (3),torrent (3),open source intelligence (3),neuropszichológia (2),Whatsapp (2),deep web (2),FUD (2),kulturális evolúció (2),nyílt forrású információszerzés (2),TOR (2),hitelesítés (2),titkosítás (2),Pécs (2),bűnügy (2),tweak (2),facebook (2),SPF (2),DKIM (2),bűnüldözés (2),DDoS (2),bejutas (2),videó (2),Reblog Sprint (2),természetes nyelvfeldolgozás (2),villámokosság (2),Hacktivity (2),Yoshinori Ohsumi (2),reblog (2),cyberbullying (2),arcfelismerés (2),ransomware (2),fiziológia (2),Netacademia (2),webkamera (2),szabad információáramlás (2),P2P (2),Balabit (2),cas9 (2),beszélgetés rögzítése (2),pszeudo-poszt (2),molekuláris genetika (2),bulvár (2),gépház (2),tartalomszolgáltatás (2),jövő (2),bolyai-díj 2015 (2),könyv (2),Tinder (2),öröklődő betegség (2),HR (2),sudo (2),Yandex (2),bug (2),nyelvtudomány (2),meetup (2),Twitter (2),tanulás (2),biológia (2),netkultúra (2),malware (2),IDC (2),social engineering (2),szociálpszichológia (2),kutatás (2),hírszerzés (2),iOS (2),vírus (2),farmakológia (2),pedofília (2),epic fail (2),génterápia (2)

Gigantikus adatszivárgás a Google jóvoltából...


Reblog Sprint azelsosprint ITsec Google Google Search Appliance Google hacking Google dorksAlighanem 10-ből 9-en most először gondolkoznak el majd rajta komolyabban, hogy valóban annyira tuti dolog-e Google Drive-on – meg úgy egyáltalán Google-szolgáltatásban - tárolni bármit is. Másrészt a mostani, az első olyan esetek egyike, amikor bebizonyosodott, hogy a Google nagyvállalati környezetre szánt, kimondottan drága megoldása miatt bizalmas adatatok felmérhetetlen tömege szivárgott ki.

Eléggé erős sztorit hozott az Arstechnica a minap: Google Drive-ban tárolt, elvben védett dokumentumok tízmilliói voltak kereshetőek egyszerűen a Google keresője segítségével abszolút bárki számára, úgy fest, hosszú hónapokon keresztül. Ezek közt nem kis mennyiségben kórházak által kezelt olyan dokumentumok is, amiket a HIPAA szerinti törvényi megfelelőség szerint, azaz igencsak szigorú biztonsági követelményeknek megfelelően kellene tárolni, ilyen például a betegekre vonatkozó közvetlen adatok.

Az eset kiválóan rámutat arra, hogy a hülyeségig bízni a Google Drive-ban és az ahhoz kapcsolódó, megbízhatónak hitt szolgáltatásokban mekkora felelőtlenség. Hogyan fordulhatott elő konkrétan a mostani eset?

Reblog Sprint azelsosprint ITsec Google Google Search Appliance Google hacking Google dorksAz ún. Google dorkok és az erre épülő Google hacking azóta létezik, mióta maga a Google keresés is. Google hacking lényege, hogy a Googlebot indexel és gyorsítótáraz alapvetően mindent, amit csak lát és az adott webszerveren a dokumentum nincs megjelölve kimondottan úgy, hogy azt ne gyorsítótárazza semmilyen keresőszolgáltatás. Ez alól nem jelentenek kivételt természetesen azok a dokumentumok sem, amiket a felhasználó annak tudatában töltött fel valahova, hogy azt úgysem találja meg senki, ami pedig még gyakoribb eset, hogy a Googlebot az előbb emlegetett indexelést tiltó korlátozás hiánya miatt megeszi a webszerver egyik mappában felejtett, kényes információkat tartalmazó dokumentumot, így az kereshetővé válik.

Reblog Sprint azelsosprint ITsec Google Google Search Appliance Google hacking Google dorksHogy egy csapásra világossá tegyem azt, amiről szó van, lehet például olyan fájlok után keresni a Google-lel, amik valószínűsíthetően felhasználói név-jelszó párosokat tartalmaznak egy Excel-formátumban. Első blikkre a laikus olvasó azt hinné, hogy annyira azért senki sem hülye, hogy egy megosztott webmappába ilyet csak úgy ottfelejtsen, holott általában egy-egy ilyen ordító dorkkal dokumetumok tízezreit lehet megtalálni a neten, ami természetesen nem illegális, az ilyen dokumentumokból kinyert adatokat felhasználni viszont természetesen már az. Hiszen a legtöbb állam törvényei szerint egy, a web dzsumbujában talált felhasználói név-jelszó párossal belépni egy olyan helyre, amihez a felhasználónak semmi köze nincs, törvénysértő. A tankönyvi példaként is emlegethető lekérdezés egyszerű, mint a faék:

password filetype:xls

Az Offensive Securitynek pedig egy mindenki számára elérhető pedáns gyűjteménye van az olyan trükkökről, amikkel hasonló érzékeny adatok nyerhetők ki.  

Megjegyzem, a Google Drive-on tárolt dokumentumokban ezzel a módszerrel csak úgy nem lehet keresni, kivéve, amikor igen.

Mint ismert, a Google Drive, pontosabban a Google-szolgáltatásai számos más szolgáltatással összekapcsolhatóak, ehhez pedig mindig a felhasználó beleegyezése szükséges. A leggyakoribb eset, amikor olyan oldalon regisztrálsz, ahol az email címed és egy kiagyalt jelszó megadása mellett úgy is működik a regisztráció, hogy a Google-fiókoddal való regisztrációt választod. Ekkor az adott külső szolgáltatásba be tudsz lépni anélkül, hogy plusz egy jelszót meg kellene jegyezned, egyszerűen beenged a szolgáltatás, ha be vagy lépve valamelyik általad használt Google-szolgáltatásba, azaz a saját gépedről gyakorlatilag mindig. Amellett, hogy a dolog kétségkívül kényelmes, elvben biztonságos is, mert a külső szolgáltatásnak nincs szüksége a Google-jelszavadra, az ún. OAuth-on keresztül történik meg a fiókod azonosítása.

A Google egyik, nagyvállalatok számára kínált terméke az ún. Google Search Appliace, ami lényegében egy olyan megoldás, ami lehetővé teszi, hogy egy nagyvállalati ügyfél akár több tízmillió dokumentumát pillanatok alatt kereshetővé tegyék, persze szigorúan a szervezeten belül. Mindez pedig kombinálható-összekapcsolható olyan szolgáltatásokkal, mint a nagyvállalati Google Drive vagy éppenséggel ilyen-olyan csoportmunkát segítő rendszerek.

Reblog Sprint azelsosprint ITsec Google Google Search Appliance Google hacking Google dorksA mostani hajmeresztő adatszivárgás technikai oka leegyszerűsítve az volt, hogy a Google Search Appliance a Slack nevű, csoportmunkát támogató szolgáltatással az OAuth-on kereszül olyan hülyén volt összedrótozva, hogy ezek az egyébként szigorúan belső használatra szánt dokumentumok millióit láthatóvá tették a teljes web felé. Ami elgondolkoztató az egészben, hogy külön-külön sem a Google Drive, sem az ezzel összekapcsolt Google Search Appliance, sem pedig a Slack nem valamilyen kimondott szoftverhiba miatt csorgatta ki az adatokat sejthetően százterabájtos dózisban a web szabad ege alá, hanem ezek egyikének figyelmetlen beállítása miatt.

Hangsúlyoznám, ezek a szolgáltatások éppenséggel szinte mindenre fel voltak készítve, csak éppen arra nem, hogy a felhasználók egy része annyira kényelmes lesz, hogy majd egyszerűen tudatlanságból vagy lustaságból túlságosan lazára veszi a figurát, még akkor is, amikor teljes kórházak adatvagyonát kezeli.

Ahogy szoktam mondani, remek filozófiai kérdés, hogy egy-egy biztonságosnak kikiáltott szolgáltatás fejlesztőit mennyire terheli a felelősség olyan esetben, amikor magának az emberi természetből – tipikusan kényelemből – adódó biztonsági kockázat túl nagy marad a túl felhasználóbarát tervezés miatt. [Egy analógia: a legegyszerűbb esete ennek, amivel alighanem mindenki találkozott, hogy normálisabb helyeken a felhasználó által beállítandó jelszónak eléggé bonyolultnak kell lennie. ]

Itt egy idióta GSA-Googe Drive-Slack-összekapcsolásnak akkora a következménye, hogy az értelemszerűen bejósolhatatlan, hiszen egyenlő a lehetetlennel megállapítani, hogy Google-kereséseken keresztül talált kényes dokumentumokat mennyien töltöttek le és adták el a feketepiacon.

A vállalati Google-szolgáltatások egy jókora részének, de a Google Drive-nak is már-már az információs társadalom elleni bűne, hogy azt az érzetet keltik a felhasználókban, hogy pusztán a szoftveres megvalósítás szintjén megvalósított biztonság egyet jelent az effektív biztonsággal. Megjegyzem, nagyon sokak szerint a Google vállalati megoldásai egyszerűen megbuktak ilyen szempontból, mert többek közt a túl sok kényelmi szolgáltatás megteremti annak a lehetőségét, hogy a felhasználó figyelmetlensége miatt súlyos, észrevétlen adatlopások történhessenek.

Reblog Sprint azelsosprint ITsec Google Google Search Appliance Google hacking Google dorksTételezzük fel, hogy van egy újságíró, aki a Google Drive-on tárolja az adatait, mi több, ezek keresztül fér hozzá azokhoz az adatokhoz is, amit vele más Google Drive felhasználók megosztottak. Az is járhat helyreállíthatatlan bizalomvesztéssel, ha egy egyszerű kézirat, netán olvasótól kapott, bizalmas adatokat is tartalmazó dokumentum az olvasó kilétét felvedve szivárog ki. Annak pedig a gondolatával is eljátszani is rémes, hogy az újságíróból idővel rovatvezető, főszerkesztő, majd a kiadó menedzsmentjének tagja lesz és – lévén, hogy a felhasználói szokások szinte sosem változnak – akkor is ilyen szarokat használ, amikor már egy óriási kiadó stratégiai lépéseit leíró dokumentumokat kell kezelnie.

Röviden: a Google Drive, na meg úgy egyáltalán a Google rossz, kéremkapcsoljaki.

A teljesség kedvéért megjegyzem, régebben voltak helyek, ahol én is Google Apps-t javasoltam bevezetésre vagy állítottam be, de ez a Google Apps beállítópaneljén történő finomhangolás mellett történt egyrészt, ami úgy-amennyire meg tudja védeni a felhasználót önmagától [például 16+ karakteres jelszóhossz kikényszerítésével, de ezek nem alapértelmezés szerinti beállítások]. Másrészt  nem javasolnám olyan helyen, ahol kimondottan minősített adatokat kezelnek. Ezen kívül én magam is használok Google szolgáltatást, de vagy tartalékrendszerként vagy a Google Apps olyan sajátossága miatt, amiben Google Apps vélhető a legerősebbnek, például egy esetleges levélbombás támadás elleni védelemben.

/*hogy még egy utolsót rúgjak a Google-be, azt a technikát, amivel a levélbombákat illetve spameket hatékonyan meg tudják fékezni nem is ők fejlesztették ki eredetileg, hanem az általuk felvásárolt Postini*/

Képek: information-age.com, teachprivacy.com, a1goodidea.com

0 Tovább

Reggeli villámokosság: kifejezések első előfordulása a neten


azelsosprint Reblog Sprint nyelvtechnológia haladó keresés szájbarágó etimológia SZÖKIK A MÁLNAAkár egy komolyabb fórumon folytatott vitában, akár az igényesen végzett kutatásban szükségessé válhat, hogy ésszerű energiabefektetés mellett meg lehessen állapítani egy adott kijelentésről, hogy ki is mondhatta először. Az első előfordulás megsaccolásának persze számos más területe is lehetséges. Hangsúlyozom, egy-egy kifejezés első előfordulását rendszerint csak megbecsülni lehet, ezek egyike sem bizonyító erejű.

Nem akarok túl elméleti felvezetéssel kezdeni, de érdemes tudni, hogy kapcsolódó, de más műfaj az etimológia, ami az önálló kifejezések eredetének feltárásával foglalkozik, ez természetesen magában foglalja, hogy egy kifejezés miből származtatható, hogyan alakulhatott és sokszor azt is, hogy mikor. Az etimológiai eszközökről viszont tudni kell, hogy egy-egy konkrét kérdést nem lehet velük felelősségteljesen megválaszolni mélyebb nyelvtudományi, nyelvtörténeti tájékozottság nélkül. A másik, hogy minél nagyobb korpusz áll rendelkezésre az adott nyelven, annál bőségesebb és pontosabb adatbázisokat tudnak kiépíteni a kutatók, viszont még a legtöbb természetes beszélővel rendelkező nyelvek esetén sem lehet minden kifejezésről 100%-os pontossággal megállapítani a származását és első előfordulását. A magyar pongyolán fogalmazva közepes írásbeliségű nyelv, viszont az etimológiai szótárak közt már több is elérhető a neten, ilyen például a Tótfalusi-féle etimológiai nagyszótár

Érthetően sokkal nagyobb információtartalommal feltöltött és régebbi, megkockáztatom, hogy az összes közül a legkomolyabb etimológiai adatbázis az Etymonline angol nyelvű változata, ami – az én ismereteim szerint – pontosságában még a több természetes beszélővel rendelkező mandarin kínai, hindi és spanyol etimológiai adatbázisok pontosságát is lepipálja.  

Na de mi a helyzet a gyakorlattal? Azaz amikor egy idézet első előfordulását szeretnénk megállapítani. Több eszköz is van, amik közül csak a legegyszerűbbeket említem.

A Google Keresőben adjuk meg a kifejezést idézőjelezve és/vagy válasszuk ki a verbatim keresési módot, ami jelezni fogja a kereső felé, hogy a kifejezés szó szerinti előfordulására vagyunk kíváncsiak. Ezt követően, precízebb találatot kapunk, ha nem a felajánlott opciókat használva, hanem keresőoperátor megadásával állítjuk be, hogy kimondottan időbeli előfordulásra vagyunk kíváncsiak.

Azaz ha arra szeretnénk választ kapni, hogy melyik dokumentumban fordult először elő az a kifejezés, hogy

szökik a málna

akkor a következő keresőkifejezést építhetjük fel. Az egyik valahogy így néz ki

"szökik a málna" before:2016/05/23

természetesen ha nincs találat, akkor a before: és az after: operátorokkal lehet játszani, ezzel szűkíteni a találati halmazt, ami fontos, hogy mivel keresőoperátorokról van szó, a keresőkifejezés literálja(i) után kell, hogy álljanak, csupa kis betűvel, kettősponttal. Ínyencek próbálkozhatnak még a daterange: operátorral, ahol Julianus-naptár szerinti értékkel kell megadni azt a dátumtartományt, amiben a kifejezést keressük.

Bizonyos esetekben hasznos lehet még a Google Trends bevetése, ami ugyan csak tömeges előfordulású kifejezéseknél hatékony, kiindulópontnak jó lehet például olyan szempontból, hogy mikor kezdte el foglalkoztatni a net népét az a téma, amihez az adott fogalom szorosan kapcsolódik.

azelsosprint Reblog Sprint nyelvtechnológia haladó keresés szájbarágó etimológia SZÖKIK A MÁLNA

Miért is kezdtem azzal, hogy csak saccolni lehet ezekkel az egyszerű módszerekkel, pontosan megállapítani az első előfordulást nem vagy csak kivételes esetben? A sok-sok ok közül az egyik az, hogy abban az esetben, ha a dokumentum, amiben a kifejezést elsőként szerepelt, már törölve lett, egy idő után a Google indexből is kikerül, így nyilván nem jelenik meg a keresési kifejezések közt, mint gyorsítótárazott tartalom. A másik ok, hogy a Google igencsak hasonlóan olvassa a webhelyeket, ahogyan az ember, márpedig szinte minden korszerű webhelyen vannak olyan dinamikus elemek, amik más-más tartalmat jelenítenek meg a külön-külön lapletöltések alkalmával. Kevésbé kocka módon fogalmazva: gyakorlatilag minden hírportál ajánlgat korábbi vagy éppen újabb cikkeket az alatt a cikk alatt, amit aktuálisan olvasunk, hasonló témában, amit persze a Google is figyelembe vesz. Ez viszont technikai szempontból azt jelenti, hogy hiába fordul elő például az

"részeg árvíztűrő tükörfúrógép támadt a súlytalan rugóra"

egy olyan posztban, ami mondjuk 2016. május 23-án jelenik meg, mivel nem egy statikus oldalról van szó, lévén, hogy közben újabb elemek jelennek meg a cikk alatt, amikor a Googlebot újra pásztázza az oldalt, az ő kis snapshotjához tartozó időbélyeget meg fogja változtatni egy későbbi időpontra, így olyan, mintha a kifejezést valójában csak később írták volna le. Megoldás: nincs mese, a találatok egy részét külön-külön meg kell nézni, és abban látható a poszt, twit, cikk, akármilyen bejegyzéstípus pontos dátuma.

Ezen kívül segíthet még az inurl: operátor, ha azt úgy adjuk meg, hogy az operátor után az URL-ekben gyakran előforduló formában adjuk meg a dátum egy részét. Példa:

"részeg árvíztűrő tükörfúrógép támadt a súlytalan rugóra" inurl:2016/05

persze több találat esetén az inurl: után megadott dátumnál egyre korábbi dátumokkal lehet próbálkozni, de szóba jöhet még az intitle: is.

Soha ne felejtsük el, hogy nem csak Google Search létezik a világon, más-más keresőkben más-más haladó keresési operátorok érhetők el.

Gépház üzen: a kérdésekre nem fogok tudni a megszokott sebességgel válaszolni pár napig :(

0 Tovább

Nyelv, tudat, nyelvhasználat – első találkozásom az idegen nyelvvel


reblog sprint azelsosprint nyelv nyelvtanulás fejlődéspszichológia pszicholingvisztika felzárkóztató nyelvhasználatNem sok nyomasztóbb téma van annál, mint az, hogy a magyarok mennyire gyengék átlagosan, ha idegen nyelvtudásról van szó. Nem csak a Magyarországon élő magyarok! Ha valaki alaposan szétnéz a tág ismeretségi körében, ideértve mondjuk a volt általános iskolai osztálytársak cikibb felét, nos, azok akik nem amiatt költöztek mondjuk Londonba, mert ott jobb lehetőséget találtak arra, hogy megvalósítsák valamelyik ötletüket, hanem azért, mert nem éppen irigyelni való melóval jobban keresnek, mint Magyarországon, azt találja, hogy hiába élnek kinn több éve, egyáltalán nem biztos, hogy megtanulták a helyi nyelvet. Igaz, hogy idegen nyelvterületen a nyelvtanulás valamennyivel könnyebb, azt viszont csak a full szenilis nagyik gondolhatják, hogy valaki azért tudott megtanulni egy idegen nyelvet, mert külföldön volt vagy hogy ki kell menni külföldre azért, hogy valaki szinte tökéletesen megtanuljon idegen nyelven. Mindkettő egy-egy önmagát makacsul tartó, ostoba és – amint be fogom mutatni: veszélyes – mítosz a nyelvtanulással kapcsolatban.

Az én ismereteim szerint ma még a nyelvtudomány számára sem világos, hogy egyáltalán a mindennapi kommunikáció hogyan bonyolítható le annyira gyenge, az általános iskolás szintűvel is alig összevethető nyelvtudással, mint amennyivel például magyarok – és persze más nemzetek fiainak – százezrei élnek például Londonban olyan helyeken, ahol kevésbé van szükség kommunikációra, azaz kétkezi munkások.

Imádom a nyelveket! A holland játékosságát, a francia diplomatikusságát, a spanyol rejtett kiterjedtségét és gazdagságát, az olasz paggogását, az angolban azt, hogy bármilyen szégyenletes bénasággal beszéli valaki, a lényeg érthető marad előttem, a japánban azt, hogy az elején semmit sem értesz belőle, aztán egy bizonyos ponton megvilágosodsz, csak legyen cérnád eljutni odáig, az oroszt és az [standardizált] arabot azért, mert ezekkel egy-egy teljesen, új addig ismeretlen világ nyílik meg, ami igaz a többi nyelvre is, de a legmarkánsabban ennél a kettőnél éreztem ezt.

Azért félreértés ne essen, ezeket nem beszélem is, mert valamilyen nyelvből nyelvvizsgát szerezni, egy [nem anyanyelvi] nyelvet olvasni és beszélni, valamint választékosan alkalmazni, nos, mind más-más műfaj.

De még mennyire, hogy más! Nem ritka, hogy még magyarul, a saját anyanyelvemen sem tudom normálisan szóban kifejezni magam, egy ideig érdekelt, hogy ennek lehet-e köze ahhoz, hogy régen dadogtam, mára már sokkal kevésbé foglalkoztat a kérdés. Aztán Csernus doktor legyen a talpán, aki megállapítja, hogy vajon a nyelvzabálással megpróbálom túlkompenzálni önmagam sok-sok év után, ha gimnáziumban az egyetlen tárgy, amiből sikerült buknom [egyszer félévkor] pont az angol volt vagy véletlenről van szó.

Ugyancsak szerencsétlen véletlen, hogy hogyan érintkeztem először az idegen nyelvvel az óvodában, majd általános iskolában, majd gimnáziumban hogyan vészeltem át azt, amit merészeltek nyelvoktatásnak nevezni.

Emlékszem, óvodás koromban a szülők egy része kitalálta, hogy legyen fakultatív nyelvtanulás, ami nem tűnik annyira hülye ötletnek, viszont maga a kivitelezés egész egyszerűen tragikus volt. Kezdeném ott, hogy mindegy, hogy milyen fakultatív programról van szó, az óvodás gyerekek egy része egyszerűen nem meri megmondani a szülőnek, ha utálja az elfoglaltságot, amire járatják, aminek több oka is lehet, ezért a szülőnek erre különösen oda kell figyelnie, hacsak nem akarja megkockáztatni, hogy ilyen miatt valamit a gyerkőc egy életre megutáljon. Máig emlékszem, hogy a német nyelvtanulás valami olyasmiből állt, hogy főnevek német nyelvű megfelelőit kell bemagolni 4-5 évesen, természetesen úgy, hogy semmilyen fogalmi keret nem volt, amibe az ovisok ezeket a fogalmakat el tudták volna helyezni, ami minden tanulási folyamatban kulcs tényező. A szülők viszont elvilloghattak vele, hogy az ő gyerekük milyen korán kezd nyelvet tanulni. Ami pedig az egész kivitelezésében totálisan elhibázott volt, hogy olyan szülők kérték az ovis nyelvtanítást, akik nem vagy csak minimális szinten használták az idegen nyelvet, ahogy az én szüleim is!

Fejlődéspszichológiából a modellkövetés a nyelvtanulásban betöltött szerepe eléggé jól ismert, ahogy az is, hogy gyakorlatilag nincs annyira kicsiny gyermek, amelyik ne szúrná ki, ha a felnőtt minta, akár szülői, akár más felnőtt, valamilyen szempontból nem hiteles. Márpedig itt olyan szülők – na nem csak a saját szüleim – szorgalmazták ez a módszertanilag és minden más szempontból messze elhibázott nyelvtanulósdit, akik nem beszéltek idegen nyelven. Innentől komolytalan a gyerek számára az egész, legyen akármilyen kicsi is. Amikor a szülők, az ovónénik, majd később az általános iskolai tanárok az idegen nyelv fontosságáról beszélnek, holott ők maguk sem tudnak semmilyen idegen nyelven, nem látja a gyerek, hogy idegen nyelvű lapokat olvasnának, idegen nyelvű adót néznének, hatalmas csorbát szenved a felnőttek hitelessége. A jelenség hatása majdnem annyira pusztító, mint amikor a kezdetleges drogprevenciós programokban a 60-70-80-as években, majd később is olyanok beszéltek tiniknek ostobaságokat a drogok hatásairól, akiknek fogalmuk nem volt az egészről. A gyerkőcök azt tapasztalták a környezetükben, hogy a bátyus néha elszív egy zöldet, mégsem őrül meg, a nővére lánybúcsúkra bespurizva megy csapatni, azaz a gyerekek tapasztalatai nem igazolták azt, amit a drogprevenciós elődadáson hallottak. A következmény pedig, kultúránként eltérő mértékben ugyan, de még annál is súlyosabb volt, mintha egyáltalán nem kerültek volna szóba az iskolában a drogok – mivel nemzedékek nőttek fel, akik hiteltelennek látták azt, amit a drogokról hallottak és akitől hallották az iskolákban, majd éppen ezért hajmeresztő kockázatoknak tették ki magukat. IMHO ennek isszuk a levét máig, csak éppenséggel államonként, kultúránként eltérő, hogy mennyire gyorsan tudták a rendkívül káros beidegződéseket helyrerakni. Ha úgy tekintünk a nyelvtudás hiányára, mint a mobilitás hiányára illetve a munkaerőpiaci elhelyezkedést nehezítő hatásra, nem túlzás azt mondani, hogy ennek a hatása nemzetgazdasági szinten alighanem a káros szenvedélyek által okozott kárral vethető össze!

Amikor jött az általános iskola, német nyelvet választottam, abból is vittem haza életem első elégséges osztályzatát, ami nem tudom, hogy engem sokkolt jobban vagy az eredetileg pedagógusként dolgozó szüleimet, akik mintadiákot akartak belőlem faragni. Nem túlzok, de kicsit traumatizált, mert miután az ellenőrzőbe bekerült az osztályzat, órákig bóklásztam a városban és azon görcsöltem, hogy otthon hogy fogom kidumálni a dolgot. Ami pedig a német tanárnénit illeti… Azt mondják, hogy az idő mindent megszépít. Körülbelül úgy, ahogy az ember farka élete végéig nő… Ha ma találkoznék vele, nem nagyon lenne más kérdésem, mint az, hogy mi a jóégnek tanított általános iskolában. Ugyanis ha van két dolog, amit a tanárnő nagyon gyűlölt, az egyik az általános iskolások, a másik pedig maga a tanítás, a legkisebb hiába komolyan az volt, hogy nem tudott németül, mivel egy orosz szakosból sürgősségi jelleggel átképezni próbált spiné volt, akinek a gondolatától nem csak a nyelvóra előtt, hanem már aznap reggeltől rendszeresen gyomorgörcsöm volt.

reblog sprint azelsosprint nyelv nyelvtanulás fejlődéspszichológia pszicholingvisztika felzárkóztató nyelvhasználatGimnáziumban német és angol óráim voltak, a tanáraim jöttek-mentek és egyaránt akadt köztük tehetséges nyelvtanár és olyan is, aki tényleg komplett idióta volt, ezt a részt szerintem ugorjuk is át. Ja, azért annyira hirtelen ne. Ugyanis ami aztán tényleg feltette az i-re a pontot, ami a nyelvtanulást illeti, az a szóbeli érettségimen történt. A saját nyelvtanáromnál érettségiztem, aki adott egy tételt, amiben a rágógumigyártás történetéről volt egy rész, amit el kellett olvasni, majd saját szavakkal összefoglalni angol nyelven pár perccel később fejből. A dolog nem volt különösebben bravúros, mivel egyébként is jó és segítőkész tanár vizsgáztatott, de maga a felelet egyenesen szürreális volt. A vizsgáztató tanár mellett ugyanis ült egy másik nyelvszakos tanár, aki rendszeresen elröhögte magát, amikor belekezdtem egy-egy mondatba. Ismerős lehet a szituáció, amikor azt hiszed, hogy valaki ennyire kretén bunkó már nem lehet, aztán utólag esik le, hogy mégis. Felelet közben azt hittem egy ideig, hogy esetleg mögöttem lehet valami, ami annyira szórakoztató vagy szimplán csak bepiált az érettségi elnökkel, de gyorsan rá kellett jönnöm, hogy nem. Mindig akkor röhögött a képembe, amikor egy-egy elakadás után folytattam a feleletet. Tényleg rajtam röhögött! Ha van valami, amire nem számít senki 18 éves érettségiző lurkóként, na az alighanem az, hogy a szóbeli érettségije közben – amikor egyébként is van egy jóadag para – rajta röhög valaki, felelet közben.

Egyetemen persze nem volt mese, mint minden normálisabb helyen, a nyelvet egyszerűen tudni kell, különben eleve felkészülni sem lehet azokból a tárgyakból, amikből a jobb szakirodalom angol nyelven áll rendelkezésre.

Aztán összeszorított farpofával kerestem egy magán nyelvtanárt, aki lehet, hogy a többi tanítványánál sikerrel alkalmazta azt, hogy az Ezer kérdés, ezer választ című tematikus könyvből bemagoltat mondatokat, majd lecseszi őket, ha nem tudják pontosan visszamondani, nálam nem.

Nincs királyi út. Vagy mégis?

reblog sprint azelsosprint nyelv nyelvtanulás fejlődéspszichológia pszicholingvisztika felzárkóztató nyelvhasználatHa van még valami, ami makacsul tarja magát a nyelvtanulással kapcsolatos tévhitek közt, hogy csak megfeszített erővel, vérrel, verejtékkel lehet megtanulni egy idegen nyelvet. Szorgalom természetesen kell hozzá. Viszont más-más embernél más-más módszer lehet hatékony, amire viszont mindenkinek saját magának kell rájönnie. Ha ez megvan, onnantól kezdve már feszültségektől mentes a nyelvtanulás. Lomb Katóra utalnék, aki azt vallotta, hogy a nyelvtanulás hatékonysága nagyon nagy részben attól függ, hogy a nyelvvel kapcsolatos szorongásait mennyire tudja valaki félretenni.

Én a könyvesboltban választottam néhány nyelvkönyvet, ami nem tankönyv, de van benne kitöltögetős rész, ami nem hagyja, hogy a figyelmem alábbhagyjon gyakorlás közben, majd azokat töltögettem ki, így nem csak az íráskészségemet fejlesztettem, hanem ezzel párhuzamosan a szókincsem is bővült. Nekem ez vált be. Másoktól hallottam, hogy nekik az, ha idegen nyelvet néztek felirattal. Megint mások beszéltek ahogyan tudtak, majd folyamatosan korrigálták a saját hibáikat. Ami fontos, hogy nettó tévedés kiindulni abból, hogy egy idegen nyelvet azokkal a módszerekkel hatékonyan lehetne tanulni, mint az anyanyelvünket, ugyanis az a nyelv elsajátításának egy speciális esete – elég csak azokra a kisgyerekekre gondolni, akik olyan nyelvet tanulnak, amiben szinte nem is érdemes hagyományos nyelvtanulási módszerekkel szabályszerűségeket keresni [úgy tudni, hogy az európai aggyal legnehezebben tanulható nyelv az inuit eszkimó], a gyerek mégis megtanulja szabályosan használni. Ismét eloszlatok egy hiedelmet: a NYEST.hu ugyan már többször foglalkozott a témával, de nem létezik olyan, hogy legnehezebb nyelv, csupán annyi mondható egy nyelvről, hogy egy bizonyos kultúrával és anyanyelvvel rendelkező számára a legnehezebben értelmezhető és elsajátítható.

Egyébként a jól megválasztott nyelvkönnyel és munkafüzettel történő tanulás nekem mindig bejött, csak azt követően használtam a netet is a nyelvtanuláshoz, amikor már elértem egy bizonyos szintet.

A nem latin írásrendszerrel rendelkező nyelvek esetén a legelején persze szintén tagmondatokat érdemes megtanulni, sokkal nehezebb valamilyen fogalmi keretbe helyezni őket. Így például az orosz és az arab írásjeleit csak úgy tudtam megtanulni annyira, amennyire, hogy kivágott papírsablonokon, majd papírsablonok nélkül rajzoltam meg a különböző betűket, ahogyan tanultam írni általános iskolában is. Azonban itt is jól megfigyelhető, az elsődlegesség, mint sajátosság, nevezetesen az, hogy a cirill betűket még hosszas gyakorlás után is akaratlanul annak megfelelően formáltam egy idő után, ahogy a latin betűket írtam, ha azokban volt hasonlóság, ilyen például a latin b és az orosz

ь

 

Ha valakinek csak nehézkesen megy a nyelvtanulás, először érdemes átgondolni, hogy megfelelő módszer-e az, amivel egyáltalán próbálkozik. Ezt sajnos a nyelvtanárok többsége sem tudja, csupán azt, hogy általában, a diákok többségénél mi hatékony. Miután ez megvan, le kell vetkőzni a nyelvtanulással kapcsolatos félelmeket, majd úgy nekifutni a feladatnak.

Elképesztően sok ostobaságot hallottam és olvastam a nyelvtanulással kapcsolatban az utóbbi néhány évben, azaz legyünk mindig kellően szkeptikusak, amikor valaki meg akarja mondani a tutit azzal kapcsolatban, hogy mi is az igazi jó módszer. Hogy kinek mi, alighanem nagyban függ attól, hogy az idegen nyelvvel való első találkozása milyen volt. Akit behatóbban érdekel, hogy miért is teljesen más műfaj egy-egy nyelvet beszélni, írni és olvasni, főleg, ha nem az idegen nyelvünk, a fent jelölt könyveket tudom ajánlani.

Kép: Wikipedia

0 Tovább

Hatalmasat zakózott a Mercedes egy szabadalmi perben


Minden olyan eset, amikor a szellemi tulajdonjog sérelme felvetődik, teljesen más szempontból lehet érdekes, az más kérdés, hogy engem személyesen annál jobban érdekel egy-egy ilyen ügy, minél magasabb szintű, ötletes, esetleg korábban még nem is alkalmazott bizonyítási eljárásokat vetettek be a bíróság előtt.

A mostani pont nem olyan, de azért nem mentes a tanulságoktól: a Mercedes-Benz, pontosabban a Daimler csoport ellen még 10 évvel ezelőtt indított pert egy magánszemély, mivel bizonyos Mercedes típusok fejtámláiban olyan nyakmelegítőt építettek be, amit az adott módon nem lett volna joguk, sértette Ludwig Schatzinger felperes szabadalmi jogait, ugyanis a Mercedes által használt megoldáshoz nagyon hasonlót Schatzinger még 1996-98 körül védett le, ha jól látom erről van szó

A kocsikat ráadásul továbbra is így reklámozták és hozták forgalomba egészen mostanáig. Ember nem hitte volna, hogy Góliátot legyőzheti Dávid, ha eléggé kitartó, de a napokban a német bíróság jogerős ítélete kimondta: a Mercedes a továbbiakban nem reklámozhatja az ún.  Airscarf-tel szerelt kocsijait, valamint nem adhatnak el több ilyet. Ez első olvasásra nem tűnik nagy érvágásnak, viszont eszelősen sokba fog fájni a Mercedest tulajdonló Daimler-csoportnak.

A szellemi tulajdonjoggal kapcsolatos peres eljárások egyébként azért is húzódhatnak eszelősen hosszú ideig, mert más-más állam más-más módon értelmezi a szellemi tulajdonjogot és az összes hozzá kapcsolódó fogalmat is, ez ma a világon az egyik legkevésbé harmonizált területe a jognak, a szabadalmi perekben ráadásul olyan szálakat kell kibogozni, amik határokat nem ismerve messze szétágaznak a világban, főleg egy Mercedes által alkalmazott megoldás esetén.

A Daimler jogi csoportja nyilván eléggé régen tudott róla, hogy szellemi tulajdonjogot sért, alighanem azért nem hátráltak meg végig, mert a bevétel messze meghaladta azt a kárt, amit most elszenvedett illetve el fog szenvedni a cég.

0 Tovább

Ölhet-e egy meghekkelt inzulinpumpa?


inzulin fiziológia élettudomány élettan inzulinsokk endokrin rendszer ITsecLehet, hogy rémes buzzword, de ha már egyre több hordható eszköz okoseszköz, miért ne lehetne az inzulinpuma is az? Egyébként egyre korszerűbb inzulinpumpák már egy ideje vannak a piacon és még mindig egészen jól tartja magát az a tévhit, hogy egy távoli inzulinpumpa-hekkeléssel ember lehet ölni. Időszerűnek érezem megírni végre, hogy miért nem.

Az inzulinpumpák hekkelésének ötlete néhány évvel ezelőtt merülhetett fel valami Tarantino vagy Robin Cook rajongóban. Minél okosabb egy eszköz, annál inkább hekkelhető, de már akkor csóváltam a fejem, hogy ilyen módon megpróbálni valakit eltenni láb alól sokkal inkább egy bizarr konteó, mint racionális kockázat. Ugyan nagyon a posztba illene, de mindenkit megkímélek attól, hogy ismertetem az emberi szénhidrátszint-szabályozás fiziológiáját.

Ha eljátszunk azzal a morbid gondolattal, hogy valaki majd néhány év múlva vezeték nélküli kapcsolaton keresztül más inzulinpumpáját úgy állítja át, hogy az a szükséges adagtól sokkal többet vagy kevesebbet adagoljon, legfeljebb kellemetlenséget okozhat, mást nem nagyon.

A legfontosabb, hogy a beteg nagyon jól tudja, hogy abban az esetben, ha túl magas lett a cukra, akkor az milyen diszkomfortérzettel jár és mit kell tennie, beadja magának az inzulint máshogy, ha tapasztalja, hogy például a pumpa nem működik.

Ha valaki a kelleténél több inzulint kapott, annak is markáns jelei vannak a beteg számára, azaz van ideje rá, hogy visszabillentse a szénhidrátháztartását, amihez nem is szükséges az inzulinnal ellentétes hatású glukagon beadása, csupán nagy fajlagos szénhidráttartalmú és glikémiás indexű táplálék bevitelével megakadályozható a komolyabb probléma. Ha súlyosabbá válna a helyzet, a környezetének kicsit is tájékozottabb tagjai számára az acetonos lehelet alapján világossá válik, hogy a cukorszint elszaladt.

Ami viszont fontos, hogy egyik állapot sem alakul ki olyan gyorsan, hogy ne lehessen mit tenni, mára szerencsére ritka az eszméletvesztés cukorbetegek körében kimondottan a vércukorszint miatt. Persze nagyobb a valószínűsége például, ha valaki tajrészegre issza magát – ez egyébként is eszméletvesztést okozna – vagy olyan hatású drogot fogyaszt, ami hirtelen változtatja a vércukorszintet, mint a fű vagy a hatásukban amfetamin-jellegű szerek már-már követhetetlenül népes csoportjába tartozó kábszik valamelyike. Ezen kívül problémát jelenthet még, ha olyan beteg, aki egyébként nem sportol, például hirtelen komoly fizikai megterhelésnek teszi ki magát.

Röviden: már csak azért sem lehetne senkit eltenni láb alól, mert jóval korábban észlelné, hogy valami nem stimmel.

A következő ok, magának az inzulinmolekulának a jellegéből, ennek megfelelően az inzulin hatóanyagként való kiszereléséből adódik. Az inzulin emlékeim szerint egy közel 6 kilodalton tömegű, azaz viszonylag nagy fehérjemolekula. A biztonsági előírásokon túl ez az egyik oka annak, hogy az inzulinpumpák patronjába egész egyszerűen nem lehet 2-3 napi adagnál, azaz cca. 300 nemzetközi egységnél nagyobb mennyiséget betölteni, mivel ha úgy tetszik, az inzulin megromlana. Viszont a 300 NE-estől nagyobb patron tényleg nincs, legalábbis nem tudok róla. Összehasonlításként egy ember teljes napi inzulintermelése 100 NE, aminek a fele azonnal metabolizálódik, ilyen módon inaktívvá válik a májban, míg a fennmaradó egynegyed része kiválasztás útján [természetesen lebontva] távozik. 300 NE inzulin egy adagban ugyan az emberek többségének rendesen betenne’, inzulinsokkot is okozhatna, ez a pumpa és a pumpa szerelékének kialakítása miatt kizárt. Ugyanis az inzulin egy igencsak vékony vezetéken, és persze nagyon apró tűn keresztül jut a bőr alá, ahonnan egyrészt nem kerül azonnal a véráramba, másrészt pedig a tű eleve nem tudna például 1-2-3 napi mennyiséget átengedni csak úgy. Az inzulintollakban hasonló mennyiségű inzulin van, ezek azért tekinthetők szintén veszélytelennek, mivel egyszerre csak kisebb adagot képesek kijuttatni, ugyancsak a bőr alá. Azaz egy inzulinpatron tartalmával inzulinsokk elvileg kiváltható lenne ugyan: ha áttöltenék egy fecskendőbe, amiből beadnák jól célozva, intravénásan.

Aki izgalmasabb befejezésre számított, nos, sajnos egy konteóval kevesebb.

Megjegyzem, természetesen vannak inzulinreceptoron keresztül ható, ilyen módon az inzulin fiziológiás hatását kiváltó hatóanyagok illetve létezik nagyon gyors hatású inzulin, ami a természetes humán inzulintól néhány aminosavban különbözik, viszont nyilván nem ezek kerülnek a tollakba és pumpákba.

Kép: Cook Kóma filmjéből

4 Tovább

Víruskereső miatt fagyott le szívműtét közben egy orvosi szoftver


Merge Hemo IoT Internet of Things orvosi eszköz szívműtétKicsit későn jutott el hozzám a hír, de úgy fest, hogy nem kacsa: még egy februári szívműtét közben a Merge Hemo, a beteg adatait valós időben monitorozó szoftver nemes egyszerűséggel lefagyott műtét közben, mivel egy nem eléggé elővigyázatosan konfigurált vírusirtó éppen akkor indított egy víruskeresést, ami kiterjedt arra a gépre is, amin a szóban forgó szoftver futott.

Eredetileg az orvosi eszközökben, ezen belül a diagnosztikai eszközökben is zárt, beágyazott rendszerek futnak, aminek pontosan csak az a feladatot látják el, amit el kell látniuk, viszont az a lehető legpontosabban kell tennüik. A Merge Hemo esetén éppen az jelentette a problémát, hogy követve az orvosi eszközöket is érintő IoT-trendeket, több kényelmi szolgáltatás mellett már képes az adatokat neten keresztül továbbítani, amihez nyilván hálózati csatlakozás szükséges nyilván az ehhez kapcsolódó architektúra kialakításával együtt. Azaz sokkal inkább hasonlít egy ilyen eszköz már egy személyi számítógépre, mint egy műtétek közben, élesben használt orvosi diagnosztikai eszközre, mint mondjuk 5 évvel ezelőtt. A konkrét esettel kapcsolatban még érdemes a Slate friss posztját elolvasni.

Az orvosi eszközökkel kapcsolatos aggodalmak egyébként egyáltalán nem újkeletűek. Például az USA egy korábbi vezető politikusának Dick Cheneynek azért kellett letiltani a pacemakerje által biztosítható vezeték nélküli hozzáférést, hogy egy esetleges gyilkossági kísérletet megakadályozzanak ezzel.

Kép: Wikipedia

0 Tovább

Információbiztonság és az írástudók felelőssége


ITsec kulturális evolúció média sajtó tömegtájékoztatás Adecco IT Academy biztonságtudatosság FUD fear uncertainty and doubtViszonylag gyakran szokták mondani, hogy a tömegtájékoztatás feladata a minél pontosabb, gyorsabb és hiteles tájékoztatás, azaz egy-egy hír közzétételének esetleges következményei miatt már nem vonható felelősségre a hír előállítója. Személyes véleményem, hogy ez még akkor sem állná meg a helyét bizonyos esetekben, ha egy hírt teljesen objektíven közölnének.

1992. áprilisában Los Angelesben négy rendőr igazoltatott gyorshajtás miatt egy fekete sofőrt, aki ellenszegülni próbált a közúti ellenőrzés során, mire a négy – nem mellékesen fehér illetve hispán – rendőr alaposan helybenhagyta, amiről videófelvétel készült, majd megjelent a helyi televízióban. Ezt követően nem sokkal elszabadult a városban a pokol: szinte példátlan lázadás tört ki a városban, a keletkezett kárt egymilliárd dollárra becsülik, több, mint ötven fő életét vesztette, a rend helyreállításához többek közt a nemzeti gárdát kellett segítségül hívni. Ami külön érdekesség, hogy a példásan liberális amerikai sajtó történetében szinte példátlan módon bírósági végzés született azzal kapcsolatban, hogy a felvételt tilos a továbbiakban bárhol is közzétenni, persze már késő volt.


A sok-sok tanulság közül amit mindenképp kiemelnék, hogy a tömegtájékoztatásnak egészében igenis van felelőssége, másrészt akár egy-egy hír esetén is mérlegelni kell, hogy annak közzététele nem sért-e olyan mértékben közérdeket vagy társadalmi érdeket, hogy az már masszívan szembe megy azzal a társadalmi érdekkel, amit a sajtó hivatott szolgálni.

Bizonyos területeken a teljes sajtóhoz viszonyítva szokatlanul gyakran találkozni olyan információval, aminek az idő előtt történő közzététele súlyos érdeksérelemmel járna. Ez az oka annak, hogy ha a tesztelők, külső etikus hekkerek például a pénzintézeti adatbázisok de facto standardjának tekintett Oracle motorban találnak valamilyen sebezhetőséget egy adott bank esetén, akkor ennek a részleteit csak azt követően teszik közzé, miután az érintett bankot tájékoztatták és a hibát kijavították. A kutatók véleménye megoszlik azzal kapcsolatban, hogy melyik a legjobb reporting gyakorlat, az ún. partial disclosure, azaz amikor csak érzékeltetik egy-egy érintettel, hogy a rendszerében hiba van vagy esetleg a full disclosure, amikor a hibát teljes egészében, minden részletével együtt közzéteszik, így kényszerítve például az érintett pénzintézetet, hogy a hibát azonnal javítsa. Az utóbbi nyilván az a kockázatot hordozza magában, hogy a hibát kihasználhatja egy támadó még az előtt, mielőtt a szóban forgó hibát javítani tudnák.

Nemrég vettem részt egy kicsi, ámde kiváló szakmai rendezvényen, ahol az ország egyik legelismertebb etikus hekkere beszélt a Sony Entertainment elleni támadásról. A Sony elleni támadást a fősodrú média, ahogyan ez lenni szokott, úgy mutatta be, mintha egy igencsak kifinomult, nagy szakértelmet igénylő, nehezen kivédhető támadásról lett volna szó. A látványos breach-ekről olvasva rendszerint az olvasókban az a benyomás alakul ki, hogy itt aztán tényleg egy komoly technikai bravúrt hajtottak végre valamiféle guru csúcshekkerek.

És ez baj. Komoly baj.

Kisebb részben azért, az olvasókban torz benyomást alakítanak ki az információbiztonsággal foglalkozó közösséggel kapcsolatban, ha a prosztó módon, amatőr módszereket használó támadókat úgy kezeli a mainstream sajtó, mintha tényleg hekker guruk lennének. Egyrészt ez sérti azok önérzetét, aki tényleg értenek hozzá, másrészt a tömegekben össze fog kapcsolódni az információbiztonsággal kapcsolatos tevékenység a számítógépes bűnözéssel. Egyszerűbben fogalmazva: simán elképzelhető, hogy egy laza, de személyes ismerősömnek hozzáférnek valamilyen netes fiókjához, aztán azt fogja gondolni, hogy biztosan én voltam úgy szórakozásból, csak azért mert úgy gondolja, hogy én képes lehetek rá.

Mi a másik súlyos következménye annak, ha a hírekben megjelenő támadásokkal és támadókkal kapcsolatban téves kép él az emberek fejében? Ahogy a meetup előadója nagyon frappánsan megfogalmazta, egyfajta nihilisata hozzáállás felé sodorja a felhasználókat. Azaz aszerint a séma szerint fognak gondolkozni, hogy fölösleges odafigyelni az információbiztonságra, hiszen "úgyis van valaki", aki fel tudja törni a hozzáféréseit, ha nagyon akarja. Ennek a nihilista hozzáállásnak lehet következménye vagy ha úgy tetszik tünete, hogy manapság a gépek közel felén semmilyen antivírus szoftver nincs telepítve. De alighanem a jelenség része az is, hogy a végfelhasználók nem titkosítják az adataikat, holott ez mindössze néhány kattintás lenne már a Windows XP elterjedése óta, illetve már közhely emlegetni, hogy gyenge jelszavakat használnak, ráadásul több helyen azonosat. Korábban már részletesen taglaltam, hogy miért nem mondhatja senki azt a mai világban, hogy "az én adataimra senki sem kíváncsi".

Visszatérve az előadásra, a Sony elleni támadást valószínűleg nem az Észak-koreai kormány követte el, de ha már hírbe hozták őket, nyilván nem mondták azt, hogy nem ők voltak. Gondoljunk csak bele, ha történne egy olyan kísérleti atomrobbantás, amire felfigyel a fél világ, de csak hírbe hoznák Észak-Koreával, az fix, hogy nem tiltakozna kézzel-lábbal a diktatúra jóllakott napközis hülyegyereke Kim Jong Un személyében azzal, hogy nem ő voltak.

A Sony elleni támadás kivizsgálása során kiderült, hogy a cég éveken keresztül tömegesen kapott teljesen közönséges adathalász leveleket, így csak idő kérdése volt, hogy minél több alkalmazott hozzáférését tudják elhappolni. Ezen kívül természetesen a kutatók visszafejtették azoknak a kémprogramoknak a kódját, amiknek szerepet tulajdonítottak az adatlopásban, abból pedig kiderült, hogy ha nem is egy kontármunkáról van szó, több jel is arra utal, hogy a támadók igencsak béna módon hagytak nyomokat maguk után.

ITsec kulturális evolúció média sajtó tömegtájékoztatás Adecco IT Academy biztonságtudatosság FUD fear uncertainty and doubtNem merülnék technikai részletekbe, de lényeg, hogy a klasszikus vírusokat, rootkiteket, spyware-eket, a professzionális támadók úgy írják meg, hogy azok visszafejtése után ne lehessen következtetni a kilétükre illetve arra sem, hogy a rosszindulatú program milyen korábbi kártékony kód továbbfejlesztése lehet. Erre példa az első valódi informatikai fegyvernek tekintett, urándúsító üzembe bejuttatott Stuxnet és az abból származtatott, később azonosított csúcskártevők, amiknél nemcsak arra nem lehet következtetni, hogy melyik állam állhatott a létrehozásának hátterében, de sokszor még olyan részleteket is elhelyeznek ezekben a malware-ekben, amik megpróbálják félrevezetni a kutatókat!

Ehhez képest a bénább kártevők írói egy halom olyan jellegzetességet hagynak a kártevőjükben a programozásuk során, ami később könnyebben azonosíthatóvá teszi őket.

Az is szóba kerül, hogy az olyan rémes buzzwordök, mint a "nulladik napi sebezhetőség", vagy "szofisztikált támadás" eleve gyanakvásra adnak okot a figyelmes olvasókban.

Hatalmas hiba lenne figyelmen kívül hagyni, hogy a média mellett az IT biztonság is egyre meghatározóbb biznisz, így az bizonyos informatikai biztonsági megoldásokat kínáló cégek jórésze ki is fogja a szelet a vitorlából és a kommunikációjukat szándékosan úgy alakítják, hogy azzal maximalizálják a bevételüket azon keresztül, hogy eladnak olyan terméket is az ügyfeleiknek, amikre valójában nem is lenne szükségük vagy éppenséggel nem olyan módon. Nem is tudom már, hogy hol olvastam, de hatalmas igazság, hogy nem a biztonságot szavatoló technológiai megoldást kell eladni, hanem a biztonság érzetét. Ami nyilván sokkal könnyebb, ha bizonyos szintű félelemérzetet keltenek az ügyfelekben.

ITsec kulturális evolúció média sajtó tömegtájékoztatás Adecco IT Academy biztonságtudatosság FUD fear uncertainty and doubt

Ebben pedig a fősodrú média nagyon gyakran akaratlanul és tudattalanul partner, mi több, a jelenségnek már réges-régen neve is van: FUD, azaz fear, uncertainty, doubt.  

A FUD mögött gyakran könnyen felfedhető az üzleti érdek, ha magyar példát kell hoznom, alighanem nagyon sokan emlékeznek rá, amikor a szolgáltatók a mobiltelefonálás hőskorában azt állították, hogy a mobil függetlenítése olyan bűncselekmény, amiért börtön jár, holott, nem több, mint egy polgárjogi szerződésszegés a telkószolgáltató és az ügyfél közt, de ilyen miatt még az életbe nem indult per az országban. Az már más műfaj, amikor valaki tömegesen és pénzért halomra függetlenítette a mobilokat. Amikor a szolgáltatók látták, hogy ezzel nem lehet gátolni a folyamatot, később azt hangoztatták, hogy a függetlenítés károsítja a mobilt, ami a régi mobilok esetén szintén nem volt igaz.

De ha FUD-ról van szó, a legkomolyabb, leginkább autentikusnak nevezhető cégek is nyilatkoztak már olyan módon, hogy amögött az üzleti érdekek eléggé világon kivehetőek voltak. Például az Apple nem kevesebbet állított néhány évvel ezelőtt, mint hogy a jailbreakelt mobilok kinyírhatják a mobil adótornyokat, míg hivatalosan egy szó sem esett sokáig a jailbreakeléssel járó valós kockázatokról.

ITsec kulturális evolúció média sajtó tömegtájékoztatás Adecco IT Academy biztonságtudatosság FUD fear uncertainty and doubtÁtverések és visszaélések persze a net előtt is léteznek, – kultúrafüggően ugyan – sokszor addig nem szorultak vissza, amíg valaki a saját bőrén nem tapasztalta meg azt a kárt, amit azzal szenvedett el, hogy átverték olyan esetben, amikor tevőlegesen ő maga tette mindezt lehetővé. Az már látszik, hogy a netes közegben teljesen hasonló a helyzet, a kérdés csak az, hogy szervezeti szinten milyen módszerek lehetnek a leghatékonyabbak arra, hogy mintegy immunizáljuk az alkalmazottakat a tipikus átverésekkel szemben.

A social engineering élt, él és élni fog… A rendezvény végén több gondolatindító kérdés is felmerült azzal kapcsolatban, hogy a gyakori, nagy kockázattal járó és emberi gondatlanságból adódó incidenseket hogyan lehetne megelőzni figyelembe véve azt, hogy a céges hálózatokba érkező kártevők több, mint fele email csatolmányként érkezik, amit egyszerűen csak nem kellene megnyitni, nem is beszélve a klasszikus adathalász levelekről, amit egyre inkább személyre szabottan próbálnak eljuttatni egy-egy címzettnek. Ismétcsak úgy tűnik, hogy a technikai fejlődéssel és benne lévő kockázatokkal egyszerűen nem tudott lépést tartani kultúránk, nem tartom kizártnak, hogy ezt lényegesen siettetni nem is lehet. Azaz a technikai evolúciót utolérni sincs esélye a kulturális evolúciónak, ugyan előremutatónak tűnnek azok az ötletek, mint például az, hogy a biztonságtudatosságra egészen a kezdetektől kellene szocializálni mindenkit kisiskolás kortól.

Ha visszaélésekről van szó, világos, hogy mik nem jelentenek megoldást. Például a Magyarországon ezerszer módosított, információs önrendelkezésről szóló törvény a netes közeg vonatkozásában annyit nem ér, mint amennyi a papír, amire valaha is kinyomtatták: még évekkel ezelőtt a jól ismert fikaoldalak a jog betűjére teljesen fittyet hányva hordták fel a felhasználók közösségi webes szolgáltatásból származó fasztortás, bepiálós vagy más módon kínos fotóikat, a törvénynek semmiféle visszatartó ereje nem volt. Viszont eléggé világosan látszik, hogy a náluk néhány évvel fiatalabb és rugalmasabb, most 14-22 éves generáció már jóval elővigyázatosabb azzal kapcsolatban, hogy mit tesz közzé a neten, ha a nagy átlagot nézzük. Azaz a technológiai kockázat és az internet természete maga szankcionálta a felhasználót a saját hülyesége miatt, aminek a hatása néhány év alatt érezhető lett.

Egy munkahelyek ugyanakkor nem tűnik túl életszerű megoldásnak az, hogy a fertőző hivatkozásokra kattintó vagy Google Docs-ban érzékeny adatokat feltalicskázó alkalmazott felkerüljön mondjuk egy hülyetáblára és más szankcionálási formák is vélhetően inkább a szervezeten belüli feszültséget növelnék, mint a biztonságtudatosságot, éves, évtizedes beidegződések nem változtathatóak meg csak úgy.

ITsec kulturális evolúció média sajtó tömegtájékoztatás Adecco IT Academy biztonságtudatosság FUD fear uncertainty and doubtAz Adecco IT Academyben különösen az tetszett, hogy különböző területről érkezett szakértők, érdeklődők oszthatták meg a tapasztalataikat, aminek hatalmas előnye, hogy ekkor olyan új következtetésekre juthat az érdeklődő, amire egy szűkebb körnek szóló szakmai rendezvényen alighanem kevésbé.

0 Tovább

Viselkedésalapú azonosításé a jövő?


UBA Balabit user behavior analysis authentikáció ITsec felhasználói magatartás viselkedésmintázat magatartástudomány Blindspotter IDC threat intelligenceIgazán kényes helyeken az erős jelszavak és a szigorú jelszópolitika már nem elegendő. Mi több, a többlépcsős hitelesítés is kijátszható, ahogy arról korábban már dobtam is egy posztot.  

Ha még az sem szavatolja a biztonságos beléptetést, hogy a felhasználónak a felhasználói neve és a jelszava mellett még egy egyszer használatos, például SMS-ben érkező vagy mobilalkalmazás által generált tokent is meg kell adnia, akkor mégis mi? Avagy mi az, ami szinte száz százalékosan azonosít egy-egy felhasználót? Igen, a viselkedése, amit a gép fel is ismer. Na de nem szaladnék annyira előre.

Nemrég több nagy iparági óriás is ismertette azokat a trendeket és friss kutatási eredményeket, amikből egészen dermesztő adatok derülnek ki, már ami az információvédelmet egészében illeti.

Az IDC egyik legújabb felmérése szerint a szervezetek többsége még mindig nem méri semmilyen módon azt, hogy az az összeg, amit információbiztonságra fordítanak, mennyire is hatékony. Míg nagyon sok esetben csak a hatósági feltételeknek kell megfelelniük, a harmadik legnagyobb csoportba pedig azok tartoznak, akik klasszikus kockázatbecslést végeznek, amikor kiértékelik egy-egy IT biztonsági incidens bekövetkezésének valószínűségét megszorozva az általa okozott kárral és ezt vetik össze azzal, hogy mennyit is költsenek informatikai biztonságra.

UBA Balabit user behavior analysis authentikáció ITsec felhasználói magatartás viselkedésmintázat magatartástudomány Blindspotter IDC threat intelligence

Olyan szempontból évek óta alig történt változás, hogy a leggyengébb láncszem nagyon sok esetben maga az ember, azaz az incidensek többsége megelőzhető lenne tudatosabb felhasználói viselkedés mellett. Nemrég egy konferencián az IT Services Hungary ismertetett egy, stílusosan Mikulásnapon elvégzett kísérletet, amiben egy auditor Télapónak öltözve ballagott be az ITSH egyik telephelyére nem mellékesen alaposan bekamerázva. Sehol nem állították meg, hogy igazolja a kilétét, szinte mindenki készségesen beengedte, így emberünk alaposan szét tudott nézni az irodákban, márpedig tudjuk, hogy egy hely bejárhatósága a social engineering támadások szempontjából aranybánya. Nem pusztán a helyismeret miatt, jobban belegondolva eléggé rizikós lehet, ha rejtett kamerával simán rögzíthető az, ami a monitorokon vagy esetleg nyomtatva megjelenik. Az öröm nem tartott sokáig, az alkalmazottaknak a Mikulás látogatása után levetítették a teljes felvételt, bemutatva azt, hogy az ál-Mikulás csak azt nem látott, amit nem is akart.

UBA Balabit user behavior analysis authentikáció ITsec felhasználói magatartás viselkedésmintázat magatartástudomány Blindspotter IDC threat intelligence

Márpedig a kifinomult, célzott támadások rendszerint hosszas előzetes információgyűjtéssel kezdődnek a megtámadni kívánt szervezettel kapcsolatban. A Lockheed Martin által csak Cyber Kill Chainnek nevezett ábra magyarra fordított változatát a CheckPoint idei diasorából vettem át, amiből kiderül az is, hogy egy-egy kémprogram telepítése ugyan néhány másodperc, a kémprogramok pedig nem kevés ideig, átlagosan 200 napig lappangnak egy hálózatban anélkül, hogy észlelnék őket, ráadásul ez az idő folyamatosan egyre hosszabbra nyúlik.

UBA Balabit user behavior analysis authentikáció ITsec felhasználói magatartás viselkedésmintázat magatartástudomány Blindspotter IDC threat intelligence

Nem csak azért nyúlik egyre hosszabbra, mert a malware-ek sokszor azért, hogy ne keltsenek feltűnést, nem lépnek azonnal akcióba, hanem azért is, mert az egész folyamat évről évre egyre kifinomultabbá válik. A kémprogramok elleni védekezés egyik bevett módja az, hogy minden kívülről jövő adat, így az esetlegesen rosszindulatú kód is először egy sandbox környezetben fut, azaz egy olyan virtuális gépen, amiben hiába kezdene el működni elvben, nem tenne kárt a valós rendszerben. 3-4 évvel ezelőttre teszem az első olyan kémprogramok megjelenését, amik már kellően rafináltak voltak ahhoz, hogy észleljék azt, ha nem valós, hanem virtualizált környezetben vannak, így ekkor nem tesznek semmit, hogy elkerüljék a feltűnést. Másrészt technikák egész sora jelent meg, amivel sok esetben lehetővé válik a sandbox-kitörés [sandbox evasion]  a vírusok számára.

UBA Balabit user behavior analysis authentikáció ITsec felhasználói magatartás viselkedésmintázat magatartástudomány Blindspotter IDC threat intelligence

Ahogy a poszt elején is írtam, az incidensek bekövetkezése mégis leggyakrabban emberi mulasztás vagy hiba miatt következik be, mi több, rendszerint ezek járnak a legtöbb kárral, így teljesen érthető, hogy a kutatások egy nagyon preferált területe lett éppen ezeknek az emberi hibáknak az időben történő kiszúrása.

Ahogy frappánsabban össze sem lehetett volna foglalni, a múlt a határvonal-alapú biztonság volt, amit többek közt klasszikus tűzfalakkal oldottak meg, manapság a legelterjedtebb az identitás-alapú biztonság, azaz amikor az előzőn túl egyre erősebb és erősebb azonosítási technikákkal látnak el rendszereket, a jövő pedig a viselkedés alapú biztonságé lesz.

Ami a jelent illeti, a többlépcsős azonosítás korában sokan lobbiznak a biometrikus azonosítást használó technikák elterjedése mellett, amit személy szerint én már akkor is egy igencsak fancy, ámde annál blődebb dolognak tartottam, amikor először olvastam róla komolyabban. A biometrikus azonosítással személy szerint az elvi problémát abban látom, hogy nem valami bölcs dolog olyan azonosításra támaszkodni, aminél az azonosításhoz használt információ nem változtatható meg. Többször igazolták már, hogy az okoseszközök ujjlenyomat-azonosítója arcpirító egyszerűséggel megtéveszthető, a retina mintázatát felismerő kamerák működése drága, körülményes és szintén becsapható. Sajnos a biometrikus azonosítás gyengeségei nem csak az emlegetett okoskütyük esetén jellemző, hanem drága és megbízhatónak hitt rendszerek esetén is. Ujjlenyomat? Retina? Írisz? Arc? Vénalefutás? Kéretik elhinni, hogy mindegyik sokkal biztonságosabbnak van kikiáltva, mint amennyire azok.  

A Balabit friss felmérései szerint az információbiztonsági szakértők gyakorlatilag mindegyike egyetért abban, hogy az incidensek egy jelentős része az alkalmazottak gondatlanságára vagy vezethetők vissza, esetleg ők maguk az insider támadók, valamint a gondatlansággal illetve szándékolt támadásokkal okozható kár nyilván annál nagyobb, minél több jogosultsággal rendelkezik az adott alkalmazott.

UBA Balabit user behavior analysis authentikáció ITsec felhasználói magatartás viselkedésmintázat magatartástudomány Blindspotter IDC threat intelligence

Innen eléggé értelemszerű, hogy akiknek a legnagyobb gondossággal kell vigyázni a munkáját illetve a legjobban védeni a hozzáféréseiket a külső támadóktól, a legmagasabb jogosultsági szinttel rendelkező rendszergazdák.

Itt lépett színre úgy igazán a felhasználó viselkedési mintázatának elemzése [balabites terminussal UBA avagy user-behavior analytics], amire természetesen nem csak ők fejlesztettek ki védelmi megoldást, elsősorban kényes adatvagyonnal dolgozó szervezetek számára.

Nézzük legegyszerűbb példaként azt, hogy mi lehet ordítóan feltűnő akkor, ha egy rendszergazda hozzáférését szerzi meg valaki és azzal próbál visszaélni. Ha valaki például adatbázis-adminisztrátorként egy pénzintézeti adatbázisszerverbe hétköznap általában reggel lép be, néha délelőtt vagy délben, a saját ebédidejében nem nagyon, délután ritkábban, éjszaka pedig soha, akkor szinte biztos, hogy ha hajnalban lép be valaki az ő hozzáférését felhasználva, csak támadó lehet.

UBA Balabit user behavior analysis authentikáció ITsec felhasználói magatartás viselkedésmintázat magatartástudomány Blindspotter IDC threat intelligence

Intuitív ezt nem olyan nehéz megállapítani. De hogyan lehet felkészíteni a gépet, egy komplex védelmi szoftverrendszert arra az esetre, ha ilyet tapasztal? Ismétcsak a bűvös gépi tanulás úszik be a képbe: valamilyen hatékony gépi tanuló algoritmus bizonyos idő alatt megtanulja, hogy az adott rendszergazda mikor szokott belépni, ezt tárolja, majd valószínűségi alapon riaszt, ha ettől a megszokottól valami merőben eltérőt észlel. Természetesen nem csak időbeli eloszlás tanítható a rendszernek, hanem szinte minden, ami leírja egy felhasználó géphasználati szokásait. Ha valaki szinte mindig a céges hálózatról lép be, kicsit szokatlan, ha otthonról lép be a céges VPN-en keresztül, az pedig már eléggé kritikus, ha képzeletbeli rendszergazdánknál azt tapasztalható, hogy hajnalban próbál belépni olyan IP-címmel, ami mondjuk egy karibi-térségben vagy Kínában jegyzett IP-tartományhoz tartozik.

UBA terén ez ráadásul csak a jéghegy csúcsa. Nyilván azzal kapcsolatban is lehet tendenciákat megállapítani adott, magas jogosultságú felhasználóval kapcsolatban, hogy milyen alkalmazásokat használ és mikor vagy milyen parancsokat ad ki egy parancssoros környezetben. Egészen pofás viselkedés alapú ujjlenyomat hozható létre ugyancsak gépi tanuláson keresztül arról, hogy a felhasználónak milyen a billentyűzési dinamikája, azaz a billentyűleütések időbeli eloszlása vagy ami legalább ennyire egyedi, hogyan használja az egeret [itt olyanokra kell gondolni, mint az egérmozgás sebessége, gesztúrái, vagy a kattintásdinamika illetve ezek együttesen és ki tudja még, hogy mi]. Scheidler Balázs egy ilyen, adott felhasználóra jellemző egérhasználati mintázat vizualizált képét is bemutatta.

UBA Balabit user behavior analysis authentikáció ITsec felhasználói magatartás viselkedésmintázat magatartástudomány Blindspotter IDC threat intelligence

A teljes védelmi megoldásnak szerves részét képzi, hogy a felhasználókat aszerint, hogy milyen jogosultságaik illetve szerepköreik vannak a cégnél, különböző osztályokba sorolja, azaz a valós-idejű monitorozást az sem zavarja meg, ha több, magas jogosultságú rendszergazdát kell megfigyelni, hiszen köztük is nyilván vannak különbségek többek közt szerepkör szerint, azaz lehet valaki adatbázis adminisztrátor, egy adott virtuális szerver adminisztrátora vagy akár mindenki fölött álló hypervisor admin. Enélkül megoldhatatlan lenne a riasztási szintek skálázhatósága, egyáltalán a riasztási házirend kialakítása.

Az UBA igencsak előremutató, hiszen valakinek a jellemző felhasználói magatartását nem lehet csak úgy meghamisítani, ugyanakkor újabb és újabb kérdéseket vet fel. Tudvalevő, hogy a felhasználói viselkedésből is számos pszichikus nyom nyerhető, konkrétabban olyan jellegzetességek is, amik összefüggésben állnak vagy állhatnak a felhasználó más területen mutatott viselkedésével, ami viszont már nem tartozna másra, ennek megfelelően biztosítani kell, hogy ezek a patternek ne kerülhessenek ki. Hogy világosabb legyen: a Rorschach-tesztnél is a vizsgált személy ábrák láttán adott visszajelzéseiből tudnak pazar leírást adni az illető személyére vonatkozóan, holott a teszt előtt nyilván úgy gondolták volna, hogy a tintapacák értelmezésének első blikkre semmi köze nincs például az illető személyiségvonásaihoz.

Másrészt hosszú út is áll még az UBA előtt, hiszen a gépi tanításon alapuló megoldást fel kell készíteni arra is, hogy egy felhasználó jellegzetes felhasználói viselkedése változhat nyilván akkor, ha más szerepkörbe kerül, ezen kívül ami bennem felmerült, hogy a felhasználói viselkedés finomszerkezetét olyan tényezők is befolyásolhatják, mint különböző gyógyszerek vagy akár élelmiszerek. Ez alatt nem csak arra gondolok, hogy a billentyűzési-egerezési dinamika nyilván más lesz, valamilyen lónyugtató hatása alatt ül a gép elé, esetleg több kávét ivott a kelleténél vagy bepiált, az eltérés elvben akkor is megmutatkozhat, ha valaki alaposan teleeszi magát ebédidőben, majd úgy ül vissza a gép elé. A felhasználói viselkedés mintázata márpedig annál nagyobb „felbontású” lesz, minél több információ gyűlik össze a felhasználóról, az pedig eléggé világos, hogy a fejlesztés iránya az, hogy a felhasználó viselkedésbeli ujjlenyomata legyen minél részletgazdagabb.

Remek kérdés, hogy a felhasználói viselkedés elemzésén alapuló védelem finomhangolásához eléggé gyorsan lehet-e alkalmazni, abba integrálni a magatartástudományi, főként kognitív pszichológiai és neuropszichológiai ismereteket, ahogy történt ez például a nyelvtudomány területén is.

A felhasznált ábrákért köszönet az IDC-nek!

0 Tovább

Szexhirdetés vagy joghézag ez amúgy?


magánszféra jogrendszer egyéb Nagy-BritanniaMost olvasom, hogy már több, mint harminckétezren foglalnának helyet abban az étteremben, ami amúgy még meg sem nyitott, de ha majd megnyit, akkor igazodva a kor igényeihez, tök pucéran étkezhetnek ott a vendégek.

Már az bájos, hogy a várólistára email-címmel lehet feliratkozni, engem valahogy feszélyezne egy szál faszban étteremben ebédelni egy olyan korban, ahol minden személyre átlagosan olyan másfél kamerás mobilteló jut. Ráadásul tudvalevő, hogy valami miatt az Isten adta népnek éttermi zabálás közben a megszokottnál is nagyobb az affinitása arra, hogy fotózzon, töltse fel Instára, Fészre, taggeljen, becsekkoljon.

Egyébként könnyen lehet, hogy valamilyen magyar csodastartupper áll a Bunyadi étterem hátterében, mert az étterem hivatalos webhelyén 
azt is megjegyzik, hogy hely nevét helyesen BoN/YA/Dee-ként kell ejteni.  

Jó, jó, Magyarországon még személyt sem lehet lefotózni a beleegyezése nélkül, azaz nemhogy csak feltölteni vagy tárolni, de lefotózni sem, a briteknél cifrább lehet a helyzet akkor, ha valaki egy alaposan dokumentált faszvillantós ebéd nyilvánosságra kerülése miatt perelne. Ugyanis pont Nagy-Britannia olyan értelemben nem jogállam, hogy nincs európai értelembe vett, alkalmazott alkotmánya leginkább a helyileg kiadott precedensek az irányadók, szóval nem lennék meglepve, ha jó ideig lehetne idétlenkedni a magánszféra integritásának megsértése miatt indított perekkel eredménytelenül, mire tényleg történne is valami. /*megjegyzem, ugyanebben a csodás államban néhány éve elvben simán bezárhatnak azért, ha olyan titkosítást használó adattárolót találnak nálad, aminek az adattartalmához nem férnek hozzá*/

Azt hiszem, hogy én ma estére már kikapcsolom az internetet.

Animgif innest: Index

0 Tovább