bardóczi ákos @post.r

A Facebook még a 2014-es F8 fejlesztői csúcson jelentett be több, Facebook-kisalkalmazást gyökeresen érintő változtatást. 

A módosítások április 30-ától hatályosak és azoknál az appleteknél lehetnek különösen feltűnőek, amik a felhasználó ismerőseinek körét használják egyik adatforrásként, egyébként pedig szinte mindnél.

Amikor egy Facebook appletet indít valaki, a FB illedelmesen rákérdez, hogy a szükséges engedélyeket megadja-e a felhasználó az alkalmazás számára, így például a születésnapot, az életkort, a profilkép lehívását, azt, hogy a felhasználó nevében posztolhat-e a falára, lényegében bármit, olyan információt is, ami egyébként minden ismerős elől rejtve van. A egység sugarú júzer pedig szokás szerint ekkor zsigerből kattint az engedélyezés gombra, az applet pedig lekérdezi a szükséges adatokat. Mindezt az alkalmazás az ún. Facebook API-n [application programming interface] keresztül teszi, aminek megvannak a maga játékszabályai, amik értelemszerűen időnként frissítésre szorulnak.

Alapvetően szinte az összes korábbi alkalmazásnak újra engedélyt kell kérnie a további működéshez az API 2.0-ás verziójának életbe lépése miatt, bizonyos alkalmazások egyáltalán nem lesznek működőképesek: eddig a függvénykönyvtár egy igencsak népszerű részét képezték azok a függvények, amik le tudták kérdezni a felhasználó ismerőseinek körét, sokszor az ismerősök ismerőseit, az ismerősökkel kapcsolatos cimkéket, hogy majd azzal kezdjenek valamit. Például az alkalmazás kiolvasta az ismerőseid, annak az ismerősi körét is a nevedben, majd mindebből rajzolt egy pofás kis gráfot, amiben vagy egyszerűen csak lehetett gyönyörködni, megint mások használhatták adathalászatra, a kutatók pedig természetesen a közösségek legkülönfélébb szempontú vizsgálatára.

Ez utóbbi műfajban az egyik kedvenc tudományos cikkem azzal foglalkozik, hogy egy jól irányzott kisalkalmazással még akkor is lekérdezhető, hogy az adott felhasználó kivel kavar, ha nincs is fenn az ismerősei közt az illető. Már volt róla szó, magyar nyelven ezzel a Precognox blogja foglalkozott A Facebook tudja kivel kavarsz - akkor is ha nem jelölöd a profilodon címmel. Amit azért fontos hozzátennem, ami úgy minden facebookos információra igaz, hogy itt sem maga a Facebook jelent kockázatot a felhasználó magánszférájára nézve, hanem az, ha a felhasználó mindenféle barom kisalkalmazásnak megad mindenféle engedélyt, aztán meg alaposan megfeledkezik róla. Ha történetesen adathalász alkalmazásról van szó, az alkalmazás készítője gyakorlatilag mindent láthatott a felhasználóról, az ismerősi körön keresztül például abból is adatbázist építhetetett a fejlesztő, hogy valaki mikor, kivel, hova checkolt be, teljesen észrevétlenül, egészen eddig akár évekig.

Az appok közül egyébként itt lehet kegyetlenül legyilkolni azonnal azt, amiről nem tudod azonnal, hogy micsoda, míg az Apps Others Use alatt azt szabályozhatod, hogy milyen adatokat tudjanak az appletek rólad lekérdezni. A Facebook Platform teljes kikapcsolása nem ajánlott.

Nem mennék bele abba a kérdésbe, hogy az előbb vázolt kockázat végülis a Facebook, a felhasználó vagy a rosszindulatú kisalkalmazások bűne, a mi szempontunkból a lényeg, hogy az API legújabb változatában az ilyen típusú kukkolásra csak sokkal körülményesebben van lehetőség, mivel kiherélték az ismerősök és velük kapcsolatos adatok lekérdezésével kapcsolatos függvénykönyvtár használhatóságát.

A F8 hivatalos bejelentésének leglényegesebb mondandóját ennél rövidebben aligha lehetne összefoglalni:

Any deprecated permissions will be removed from existing users, and won't be grantable by new users. This includes the friends_* permissions, xmpp_login or user_checkins.

A dokumentációban pedig az indoklás valahogy így néz ki:

To put people first. This update was in response to feedback from people who were uncomfortable knowing that a friend could share their information with an app. With Graph API v2.0, we wanted to make sure that people had more control over their information.

Na már most normális emberben felmerül a kérdés, hogy akkor eddig mégis miért nem eleve így volt? IMHO azért, mert a FB attól tartott, hogy a felhasználói élmény csökkent volna, ami miatt ugye eleve az egész Facebook lett volna valamivel kevésbé népszerű. A "To put people first" igaz, csak éppen nem abban az értelemben, ahogy a Facebook láttatni akarja: a felhasználók biztonsága nem érdekli őket jobban, mint korábban, egészen addig, amíg nem érkeznek olyan visszajelzések tömegesen, amiből arra következtetnek, hogy a felhasználók kevésbé érzik magukat biztonságban, ami nyilván nem azt jelentené, hogy a felhasználó ésszel él, aztán korlátozza a róla lekérdezhető adatokat illetve lelövi az általa futtatott, de ismeretlen, tisztázatlan működésű kisalkalmazásokat, hanem inkább kevésbé használja a FB-t. Emlékeztető: a felhasználók egy részének még így is túl bonyolult a felület!

Elsőre nem nagyon bonyolult dolgokra gondoljunk az ismerőskukkolda kapcsán! Láttam egy tucat olyan alkalmazást, ami persze pénzért figyeli, hogy ki törölt az ismerőseid közül, mindezt nyilván úgy, hogy periodikusan lekérdezi az ismerősök halmazát és összeveti a korábbival. Persze annak, hogy egy ismerős eltűnik, lehet oka az is, hogy az illető deaktiválja a profilját, törli magát a Facebookról vagy letiltja emberünket, azon a lényegi dolgon nem változtat, ami szerint a Facebook a hivatalos súgóban szavatolja, hogy nem jelzi, ha egy ismerős töröl a kontaktjai közül. Erre nyitott kiskaput néhány fizetős mobilapp a kezdetektől azok számára az egoista türhők számára, akik képesek voltak ezért még pénzt is kiadni, azzal kapcsolatban pedig most inkább nem mondanék véleményt, ha valakinek annyira gesztus értékű az, ha más törli ismerősei közül, hogy szükségesnek látja ezt kisalkalmazással figyeltetni, valamit az életben nagyon rosszul csinál...

Végülis amellett, hogy a Facebook - pontosabban ahogy tisztáztam, az API-ja – biztonságosabbá is vált, sajnos sok-sok kutató alaposan szívhatja a fogát, aki például szociometriai kutatásaihoz a Facebookot használta adatforrásként. Az ismeretségi kör továbbra is lekérdezhető bizonyos esetekben, így például, ha a másik, adatforrásként használt ismerős szintén használja ugyanazt az alkalmazást az összes szükséges permissionnel, de nyilván teljesen életszerűtlen, hogy egy alkalmazást az összes ismerősünk használjon, körülbelül annyira, mintha azt mondanád valakinek, hogy "lécci tedd már fel ezt az appletet, mert szeretném tudni, hogy mikor tiltasz le".

Ma amolyan fészezős napot tartok, hamarosan jön még egy poszt arról, hogy hogyan értesülhetsz általad meghatározott szabályok alapján SMS-ben vagy Google Talk üzenetben egy-egy facebookos történésről, a friss posztjaim követéséhez itt tessék csengetni a Követés gombra kattintással: https://www.facebook.com/bardoczi

kép forrása: http://qz.com/140357/what-your-facebook-friends-list-reveals-about-your-love-life/

Mármint akkor nem, ha azzal a shotgunnal nem fejbe vagy mellkason lőnek, esetleg a lövedék nem üti át a lábat ellátó arteria femoralist, amitől az áldozat kábé azonnal elvérzik, de tippeket nem adnék a blogomat olvasó shotgun-tulajdonosoknak :)

Szóval néhány napja azon pörög a magyar sajtó, hogy az Országgyűlés Hivatala tasereket vásárolt aranyáron a házelnök védelme érdekében, mire hozzá is tették gyorsan, hogy a sokkoló amúgy nem halálos eszköz.

Fegyvert fegyverrel összehasonlítani aligha lehet, ezt a cirkuszt meg nem is nagyon értem, veszélyes lenne viszont azt hinni, hogy a sokkoló biztosan veszélytelenebb a lőfegyvernél. Jó esetben úgyis csak olyannak engedik meg, hogy taserrel mászkáljon, akinek egyébként is engedélye van éles lőfegyver használatára, gyakorlatilag meg ki tudja. írom, hogy miért: a taser által leadottnál sokkal kisebb elektromos ütés is halált okoz, ha olyat ér, akinek bizonyos típusú szívritmuszavara van - és a lényeg - ha az illető pacemakert használ és úgy lövik meg taserrel, nincs az a csodatraumatológus, aki megmentse az érintettet a biztos haláltól, ugyanis a legdrágább szívritmus-szabályozók is biztosan azonnal gallyra vágódnak ekkora elektromos lökéstől, gyakorlatilag függetlenül attól, hogy a test melyik részét érinti az elektromos behatás:

Effect of Stun Gun Discharges on Pacemaker Function (Azamuddin Khaja; Gurushankar Govindarajan; Wayne McDaniel; Greg Flaker)

Mondjuk engem egyszer sem lőttek meg sokkolóval, meg nem is földeltem le soha két kézzel zárlatos főelosztót szerverszobában, műértőknek mutatok két képet, amiből látszik, hogy a szívritmus nem játék, attól is rendesen megborulhat, ha rommá dolgozod magad:

Ha nekem választani kellene, hogy lőfegyverrel vagy taserrel lőjenek, inkább csak egy vodkanarancsot kérnék előtte sok narancslével és még több bétablokkolóval, akkor talán esélyesebb a túlélés.

Egy szó, mint száz, valahogy megint a lényeg kerülte el a köz figyelmét, abban meg csak bízhatunk, hogy ha már ez a helyzet, tasert csak olyan kap, aki lőfegyvert is kaphatna.

Pacemakerem ugyan nincs, de ha esetleg lesz, csak reménykedem benne, hogy nem lesz benne WiFi.

Tegnap az Origón jelent meg egy újabb kritika az NSA-botrányt feldolgozó Citizenfour-ral kapcsolatban, amiben Mesterházy Lilitől olvashatjuk, hogy "A Citizenfour felbecsülhetetlen értékű kordokumentum, tele hátborzongató, szomorú jelenetekkel."

Én konkrétan amikor először láttam a Citizenfourt, a HACK-ből azzal az ötlettel ballagtam haza, hogy ez a film olyan lenyűgözően pocsék, hogy arról már írni kell. Konkrétan azért, mert a debilitásig elfogult, a valóságnak egy szeletét kibontja, de a megértéshez elengedhetetlenül szükséges aspektusokat figyelmen kívül hagyja, ami a legfájóbb az egészben, hogy tovább torzítja az emberek fejében a magánszféra integritásáról alkotott, egyébként is torz képet.

Ismétlem önmagam, de azért... A legtöbb problémát az jelenti, hogy ha információbiztonságról, security awarenessről, privacyről van szó, a többség tart olyantól, amitől nincs oka tartani és egyben nem figyel eléggé oda olyanra, amire nagyon érdemes lenne odafigyelni.

Először írok egy kicsit a filmről, ugyan igazság szerint túl sok szót nem érdemelne az egész. Nem igazán van értelme azon vitatkozni, hogy Ed Snowden most akkor a digitális kor Robin Hoodja, aki végülis leleplezte a nagy és gonosz kormányt, amelyik ármánykodva kukkolta a saját állampolgárait vagy éppenséggel Ed Snowden a bizonyíték arra, hogy a világ legkorszerűbb eszközeivel dolgozó titkosszolgálatoknál is komoly gondok vannak/voltak, ha arról van szó, hogy szakszerűen kellene kiosztani a szerepköröket és a vele járó jogosultsági szinteket azok közt az alkalmazottak közt, akik minősített adatokkal dolgoznak és végülis Ed Snowden - máig nem tudni, hogy miért - gondolt egyet, aztán vitte, amit látott. Aki Ed Snowdent szeretné Robin Hoodként látni, hát éppenséggel joga van hozzá, de azt is kívánhatnám, hogy "Snowden legyen a céges rendszergazdád..." A filmből egyébként végig nem derül ki, hogy ténylegesen mi motiválta arra, hogy fogja azokat az információkat, amiknek a bizalmas kezeléséért fizették, aztán egyszerűen ellopja, majd közzétegye azokat - már ha értelmes emberként összesen annyi indoklással nem érjük be, hogy meg akarta mutatni, hogy az USA az ördög patákkal. Snowden úgy fogalmazott, hogy "Az elnyomás eddigi leghatékonyabb fegyverét építjük az emberiség történetében", amivel még mindig nem lettünk okosabbak. Ugyanis nem igazán van nyoma annak, hogy az USA például egy ideológia sujkolására használná a nála lévő adattengert. Néha még elhangzik az a nagyokos érv, hogy a sok ideig tárolt információval az a baj, hogy később azt a kormány előszedheti. Nos, szerintem szedje is elő, ha az illető terrorizmusra adja a fejét, ha pedig nem erről van szó, akkor nem teljesen mindegy?

A filmmel végülis mindenki jól járt, a készítők bezsebeltek egy halom díjat érte, a legelborultabb konteós paranoid arcok mondhatták egymásnak, hogy ugyemegmondtuk, aki az ezzel kapcsolatos híreket egyáltalán nem követte, képbe került, csak sajnos teljesen rosszul és folytathatnám a sort. Snowden személyét most hagyjuk is, inkább foglalkozzunk azzal, hogy ez az elképesztően ostoba és akaratlanul manipulatív film hogyan viszonyul a valósághoz.

Aki nem egy kavics alatt töltötte az időt az 1990-es évek óta, annak nem kell magyarázni, hogy az USA milyen terrorveszélynek van kitéve és ennek milyen jelentősége van az egész világ biztonságpolitikájára nézve. Pontosabban a jelek szerint mégis kell magyarázni. A biztonságpolitikának nem vagyok szakértője, de ami világos, hogy ha az USA-t ér egy terrortámadás, akkor abba gyakorlatilag beleremeg a fél világ. Márpedig érné, bőven. Amire a Citizenfour még csak utalást sem tesz, hogy sosem fogjuk megtudni, hogy az Egyesült Államok szépnevű hárombetűs szervezetei mennyi és milyen típusú terrortámadást előzött meg helyben és szerte a világon. Ha viszont van valami, amiben biztosak lehetünk, hogy ha még a Bush kormányzat nem keményít be 2000. szeptembere után, de nagyon, akkor az USA-t már azóta nem USA-nak hívnák, mármint azt, ami megmaradt volna belőle.

A tömeges megfigyelés egyszerűen nem egy opcionálisan választható lehetőség volt az USA történetében, hanem az egyetlen járható út! A proaktív, preventív műveleteken kívül nincs más eszköz a terrortámadások kivédésére, a terrorizmus természetéből adódóan, ha úgy tetszik, ez a biztonság ára.

A film nem foglalkozik vele, nem is témája, de azért illett volna tisztázni azt, hogy különböző információkat kitől kellene védeni. Például az összes kommunikációs felületet kellően bonyolult jelszóval kellene védenie mindenkinek, annak tudatában, hogy lehet, hogy az nem olyan bizalmas, amit ő küldött másnak, viszont amit másvalaki küldött neki, a feladó annak tudatában küldte, hogy csak a címzett olvashatja el, nem pedig a címzett és a címzett csaja, meg annak barátnője, meg úgy mindenki, aki vagy tudja a jelszót vagy éppenséggel egy házibuliban bebaszva behuppan a gép elé, megnézné a saját emailjeit, de emberünk Gmail-es postafiókjában találja magát, mivel nem jelentkezett ki. Mindegy, hogy milyen típusú szervezetről van szó, miután felmérték, hogy kik jelenthetnek fenyegetést informatikai szempontból, annak megfelelően kell berendezkedniük. De azt a legsúlyosabb idiótákon kívül senki nem mondta, hogy az adatokat az NSA elől indokolt lenne elrejteni, csókolom! Persze, mint minden más téren, itt is egyszerűbb végletekben gondolkozni, ezért sokan gondolják úgy, hogy hiába tesznek óvintézkedéseket, úgyis van valami szaki, aki az információikhoz hozzá tud férni, ha nagyon akar, ami egy veszélyesen hülye felfogás. Hiszen ekkor az adatgazda tárva-nyitva hagyja az ajtót mindenféle Droid előtt. Például céges környezetben nem dzsímélezünk, meg nem használunk ilyen-olyan ad-based szolgáltatót ingyen, amelyik gyakorlatilag számonkérhetetlen egy adatszivárgás vagy adatvesztés esetén.

Ami pedig a tömeges megfigyelést illeti, nem tudnám mivel jobban szemléltetni a dolgot, mint ahogy tették ezt a South Park alkotói a Kormányármány epizódban, amikor Cartman azon akadt ki, hogy kövérnek és jelentéktelennek minősítették. Azaz: valóban mindenkit megfigyelnek, de nem mindenki ugyanolyan érdekes. Mondjuk ha valaki az USA-ban vallási fanatikusokkal gengel és rendszeresen robbanóanyagok előállításához szükséges összetevők nevére keres rá a neten, na, az már érdekesebb, de ez normális embernek nem sérti meg az igazságérzetét. Ahogy a reptéren is bevállaljuk az ellenőrzéssel járó szarozást, cserébe nem kell attól tartani, hogy a gép, amivel elindulunk, nem szabályosan száll majd le, hanem beleröppen egy felhőkarcolóba.

Az NSA figyel. És? Amíg nem vagyok terrorista, valahogy nem tud érdekelni. Szintén kínosan lerágott gumicsont, hogy pont manapság, egy olyan korban, ahol az egyszeri ember teljesen önként osztja meg az egész életét a neten közösségi szolgáltatásokban, rendszeresen becheckol a Foursquare-n, geotaggeli, hogy kivel, mikor hol, mit zabált, tíz évvel ezelőtt még halálosan fel volt háborodva, hogy a mobilszolgáltató  naplózza a cellainfók alapján azt, hogy éppen merre járt.

Olyan gyakorlatilag még nem igazán fordult elő, hogy valakinek indokolatlanul kellemetlenséget szerzett volna Ámerikában a Titkoszzógálat', olyan viszont tömegesen, hogy a felhasználók díszdobozban osztanak meg olyan információkat önmagukról, amivel aztán bármilyen hülye vissza tud élni.

A Citizenfour még az első felében azzal szórakoztatja a nézőket, hogy felvételeket mutat arról, ahogyan kormánytisztviselők lehazudják a tömeges megfigyelés tényét. Legyenek erősek: a titkosszolgálat attól titkos, mert a működésének több részlete nem nyilvános, nem csak önmagát, hanem az őt kiszolgáló országot veszélyeztetné, ha transzparensebbé tenné azokat a módszereket, amiknek nem szabad annak lenniük. Márpedig a sajtó természetéből adódóan, ha annak idején nem hazudják le a tömeges megfigyelés tényét, az újságírók ugyan továbbra sem tudtak volna többet tenni annál, minthogy a seggüket verik a földhöz és kitartóan óbégatnak azzal kapcsolatban, hogy bizony, az ármányos kormány megfigyel, konkrét információk nélkül nyilván még jobban burjánzottak volna a konteók, még jobban gallyra vágva ezzel az emberek biztonságtudatosságát, amit előbb emlegettem.

Nem hittem benne soha, hogy egy maréknyinál több ember lesz, akikkel erről a témáról érdemben tudnék vitázni. Másrészt - előre is elnézést a rémes összehasonlításért - valahogy ez a sztori nem lett volna eladható Julian Assange személyével. Pedig ő még csak nem is hazaáruló. :)

- Nocsak, az NSA? Tudhattam volna.
- A twitjeiről szeretnénk beszélni.
- Ember! Én csak kamuztam! Egyáltalán milyen jogon olvassa el a kormány a magánlevelezésemet? Nem hallottak még az alkotmányról?
- Dehogynem, ahogy a Függetlenségi Nyilatkozatról is. Sokan vannak, akik úgy gondolkodnak, mint maga, akik szerint a kormánynak nincs joga az állampolgárai után kutakodni, aztán egy repülő beleszáll a tornyokba és egy kislány meghal. A szabadok földjén a bátrak otthonában akar élni, ám a bátor nem szabad, ha föld nem otthon, és a föld nem otthon, amíg egyesek olyan mélyre dugnák a seggükbe az amerikai zászlót, hogy egy hétig csillagos-sávosat szarnak. Ha majd a vécén ül a csillagos fosórohammal, egy dolgot garantálhatok.
- És mit?
- Akkor már nem érdekli, hogy ki figyeli a twitterjét.

South Park 17. évad. 1. rész (magyar fordítás)

Nemrég emlegettem, hogy a szoftverrendszerek egyre nehezebben tekinthetők át, egy-egy kiesés egyre súlyosabb társadalmi hatást vált ki, a különböző IT megoldások közti eligazodás pedig egyre nehezebb lesz. Nincs ez máshogy az IT biztonsági megoldásokkal és szolgáltatásokkal sem, ami jobb helyeken ugyan már nem vált ki viszolygást a cégvezetőkből, tény, hogy erre még mindig nem fordítanak elég figyelmet, na meg még inkább pénzt, a másik oldalon ennek megfelelően kell alakítaniuk a marketinges- és PR-csapatoknak a reklámjaikat, ami messze nem könnyű, hiszen nem pillecukor vásárlásáról kell meggyőzni a célcsoportot.

Komolyan nem tudom megmondani, hogy a következő néhány film kiket is célozna, ugyanis aki a stratégiai szintű döntéseket hozza, alighanem már úgyis hallott a legkomolyabb játékosokról, ami két reklámban is közös, hogy az elfogadhatónál nem teátrálisabb módon egy-egy történetet mutat be, ami pont a megfelelő mértékben – na jó, egy kicsit jobban – paráztatja be nézőt. Lehet mondani, hogy ezek inkább imázsfilmek, a lényeg nem is azon van, hogy most akkor reklám vagy imázsfilm, hanem azon, hogy pár perc alatt többet mondanak, mint amennyit egy-egy cégnél a vezetők szájába lehetne rágni azzal kapcsolatban, hogy miért nem érdemes az IT-biztonságon spórolni.

Ugyan ezek nem a legújabb filmek, lehet, hogy adott cégtől nem is feltétlenül a legjobbak, az összeállítás teljesen szubjektív.

A Deloitte egy korábbi reklámfilmjében Dzsimi görkorcsolyázó prostiktól kap egy pendrive-ot, amivel aztán persze az lesz az első dolga, hogy hazamegy és jól lefertőzi vele a céges gépet, majd kezdődik is a dráma. A film amúgy jó kezdő spanyolosoknak is, mert a felirat nélküli változatot hirtelen nem találtam. [update: eredeti videó frissítve]

Az IBM egyik legújabb filmjében Törpapa tabletjét fertőzik meg Törpilláék, aminek következtében romba dől fél Aprajafalva közlekedési rendszere. Aztán mégsem.

A Lockheed Martin mosóporreklámjában tényleg minden felvillan a kijelzőkön, ami éles környezetben garantáltan nem, sztorija mondjuk nincs, de nem is hiányzik, mivel a nagypapás hanghordozással vakeráló narrátor mindent visz.

A Cívishír jól lebaszta az Átlátszóhu-t, amiért merészelt odamenni tényfeltáróskodni. Epic, nem is tudok mit hozzátenni, cikk a 4024.hu-n erre.