Szolgáltató adatai Help Sales ÁSZF Panaszkezelés DSA

About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (38),Facebook (18),privacy (17),egyéb (12),social media (11),itsec (11),social web (10),biztonság (9),mobil (8),Google (6),OSINT (6),jog (6),szellemi tulajdon (6),tudomány (6),magánszféra (6),szájbarágó (5),email (5),webcserkészet (5),molbiol (5),felzárkóztató (5),Nobel-díj (4),big data (4),Gmail (4),kultúra (4),terrorizmus (4),online marketing (4),kriminalisztika (4),plágium (4),webkettő (4),genetika (3),molekuláris biológia (3),pszichológia (3),azelsosprint (3),Android (3),biztonságpolitika (3),nyelvtechnológia (3),magatartástudomány (3),Apple (3),sajtó (3),2015 (3),orvosi-fiziológiai (3),élettudomány (3),gépi tanulás (3),jelszó (3),üzenetküldés (3),CRISPR (3),Onedrive (3),2-FA (3),popszakma (3),konferencia (3),levelezés (3),kriptográfia (3),reklám (3),biztonságtudatosság (3),hype (3),torrent (3),open source intelligence (3),neuropszichológia (2),Whatsapp (2),deep web (2),FUD (2),kulturális evolúció (2),nyílt forrású információszerzés (2),TOR (2),hitelesítés (2),titkosítás (2),Pécs (2),bűnügy (2),tweak (2),facebook (2),SPF (2),DKIM (2),bűnüldözés (2),DDoS (2),bejutas (2),videó (2),Reblog Sprint (2),természetes nyelvfeldolgozás (2),villámokosság (2),Hacktivity (2),Yoshinori Ohsumi (2),reblog (2),cyberbullying (2),arcfelismerés (2),ransomware (2),fiziológia (2),Netacademia (2),webkamera (2),szabad információáramlás (2),P2P (2),Balabit (2),cas9 (2),beszélgetés rögzítése (2),pszeudo-poszt (2),molekuláris genetika (2),bulvár (2),gépház (2),tartalomszolgáltatás (2),jövő (2),bolyai-díj 2015 (2),könyv (2),Tinder (2),öröklődő betegség (2),HR (2),sudo (2),Yandex (2),bug (2),nyelvtudomány (2),meetup (2),Twitter (2),tanulás (2),biológia (2),netkultúra (2),malware (2),IDC (2),social engineering (2),szociálpszichológia (2),kutatás (2),hírszerzés (2),iOS (2),vírus (2),farmakológia (2),pedofília (2),epic fail (2),génterápia (2)

A tartalombarkácsolás sikere vagy bukása a blogszférában


Szinte mellékes, hogy eredetileg mi az ember hivatása, ha jön egy grafomán roham, a blogolás kitűnő eszköz ennek kiélésére. Ellentétben a 10-15 évvel ezelőtti állapothoz, ma már nem kell tudni saját blogmotort fejleszteni, sőt, általában a HTML/CSS-kódot szerkeszteni sem, mivel jobbnál jobb platformok állnak rendelkezésre. Ami viszont nagyon fontos, hogy egy blog sikere vagy sikertelensége sokkal inkább függ a tartalomtól, mint attól, hogy a blogszolgáltató milyen pöpec dashboardot és extra funkciókat biztosít hozzá, na meg betartjuk-e a hobbi-tartalombarkácsolás játékszabályait.

Úgy fogalmaztam, hogy "tartalomtól" és szándékosan nem úgy, hogy a "tartalom nívójától". Ugyanis vannak blogplatformok, ahol azt látom, hogy a contentless szar folyik napi terabájtos dózisban, de mégis sikeres a maga módján, mert lévén, hogy könnyen érthető, nagyon széles közösséghez eljut, fogyassza egészséggel, akinek kell, de az ilyen oldalak számoljanak azzal, hogy a trónról bármikor lerúghatja őket egy másik gyökér oldal.

Ha már a nívóról van szó, ha nem bulvárszennyben utazunk, egy írás legyen annyira jó, amilyet csak ki tud facsarni magából a blogger, viszont figyelembe kell venni, hogy a platformok többségén az olvasók nincsenek annyira képben egy-egy témával kapcsolatban, mint a poszt szerzője, ezért elkerülhetetlen, hogy itt-ott egyszerűsítéseket kelljen alkalmazni, de úgy, hogy az a lehető legkevésbé menjen a szakmaiság, precizitás rovására. Ez a jelenség azóta létezhet, hogy megjelentek az első kézikönyvek, jórészt összefűzött papírusztekercsek formájában, de legalábbis eléggé régen.

Ne pénzért írjunk blogot vagy gyártsunk bármilyen tartalmat! Legalábbis ne azért kezdjünk hozzá. Ezen a ponton feltételezem, hogy a blogok, közösségi tartalmak és a klasszikus értelembe vett hírportálok évek óta egyre inkább egy műfajjá látszanak összeolvadni. Több hatalmas, nagy forgalmú webes birodalmat és blogot láttam, amit az alapítója saját szórakoztatására kezdett írni, majd egyszerűen megtetszett másoknak, amit írt, és visszatérő látogatókká váltak. Szóval just dance! Ugyanakkor láthattuk látványos kudarcokat is, hogy-hogynem mindig akkor, amikor valaki azért fogott egy webes vállalkozásba, mert gyorsan akart eszelősen nagy profitra szert tenni. A magyar web történetének egyik leglátványosabb buktája a zoom.hu volt, amit nem titkoltan azzal a céllal alapítottak 1,5-2 milliárd forint alaptőkével, hogy a két legnagyobb hazai hírportál versenytársa legyen. Hiába volt például a videós részlegnek saját stúdiója, meg gyakorlatilag minden, ami egy professzionális szerkesztőség és hírportál működtetéséhez kellhet, az egész nem élte meg még az egy éves kort sem. Logikailag ide kapcsolódik, hogy személyes blog esetén ne kimondottan azért írjunk, hogy minél több olvasónk legyen vagy azért, hogy hűdemindenképpen címoldalon legyen a posztunk.

Ugyanakkor az anyagilag szinte nulláról, viszont professzionális csapattal induló és szerkesztőségként máig egy budai lakást használó 444.hu látványos sikere szintén példa nélküli. A titok alighanem, hogy a szerkesztők egyrészt profik, másrészt hittek benne.

Egyik hobbim, hogy új webes szolgáltatásokat, ilyen módon blogszolgáltatókat próbálok ki, persze többségüknél csak azt nézem, hogy mit tud technikailag és más téren milyen erős. Viszont a legnagyobb blogos platformokon ott vagyok, oké, van, ahol időhiány miatt csak a szellemem :) Szóval ez alapján azt tudom mondani, hogy téves megközelíteni a dolgot úgy, hogy az egyik blogszolgáltató jobb, a másik pedig rosszabb. Egyrészt már csak azért is, mert más-más platformokat más-más koncepció mentén találtak ki, majd folytattak, így például a Tumblr mikroblog-szolgáltatás ugyan, semmi akadálya annak, hogy klasszikus blogként használjuk, de mégsem használják sokan annak, mert az ottani felhasználói tábor mikroblog-tartalmakra számít, ha fellép, így ha azt szeretnénk, hogy olvassanak is, egyszerűen nem szerencsés a Tumblin terjedelmes írományokkal dobbantani. Hasonlóan ahhoz, hogy a Yahoo képmegosztó szolgáltatása, a Flickr és a jól ismert Instagram elvben, technikailag egyaránt alkalmas arra, hogy komoly témájú, mély értelmű, dög nagy fotókat illetve apró, bénán effekt-szteroidozott szelfiket toljunk fel rá, mégis, ha az instás közösség a könnyedebb tartalmat csipázza, persze, hogy ott olyan tartalommal lehet felfutni, míg a Flickr-en a mélyebb jelentésű képekkel.

Az előzőhöz kapcsolódik, hogy egy tartalomszolgáltatás profilja illetve annak módja, ahogy a célközönséget eléri, amilyen aktivitást mutatnak rajta a látogatók, menet közben is változhat, sokszor messze nem világos okok miatt. Konkrét példaként emlegetném az Index-Inda-Bloghu-sztorit: amíg az index.hu a korábbi dizájnnal működött, a jobb oldali blogboxban voltak a index szerkesztői által beválogatott posztok, ahova bekerülni dicsőség volt, nagyon sok látogatót hozott és az egykori Indanet rendszer arra is lehetőséget kínált, hogy egy teljesen új blogot a blogger megpromózhasson. Másrészt még egy-egy gyengébb, ámde címlapos poszthoz is érkezett 10-30 komment, de a valóságos kommentáradat sem volt ritka. Indexkénél az Index/Index2 felosztás bevezetésével a közösségi tartalom háttérbe szorulni látszik, elvégre nem kell nagy webergonómia-szakinak lenni, hogy megállapítsuk: az olvasó sokkal ritkábban kattint rovatcímekre, oldalsávokra, meg úgy egyáltalán bármire, ami nincs szinte közvetlenül az orra előtt egy frappáns, konkrét címmel és snippettel.

Ha már Index, origózzunk is egy kicsit. A postr.hu blogjain sokkal kisebb a "kommentelési hajlandóság". Több közt. Az ajánlóba beválogatott tartalmak ugyanolyan szinesek, mint Indexéknél, többször jobbak is annál, a napi blogajánló nem alul elhelyezve, ugyanúgy hozná a minőséget és a látogatottságot, mint az Index egykori blogboxja, itt is van jó blogger bőven, csak éppen sokkal kevesebb, egyszólval felpörgetné a Postr.hu-t, legalábbis szerintem. A Postr.hu néhány sajátosságára egyébként van egy roppant egyszerű magyarázat: az Origo.hu jóval később, 2010-ben indította saját blogszolgáltatását, amikor, már mondjuk úgy eléggé fel volt osztva a terep a hazai blogszolgáltatók közt. Azaz ha valaki tumblizott, freeblogozott, bloghuzott, nem valószínű, hogy rögtön tiplizett is a postr.hu-ra, egyrészt, mivel a felhasználók ódzkodnak azoktól a szolgáltatásoktól, amiknek a lényegét nem tudják egy pillanat alatt átlátni, nincs korábbi tapasztalatuk vele, másrészt egész egyszerűen a felhasználók ideje véges, nem fognak csukafejest ugrani egy olyan szolgáltatásba, mivel kapcsolatban nem tudják egészen biztosan, hogy cool, többet ad nekik, még akkor sem, ha így van. Ja, innen üzenem, hogy szerintem így van, a Postr tényleg király és hülye kommentből is kevesebb érkezik.

A viszonyok megváltozásának legszélsőségesebb példája, amikor egy blogszolgáltató egyszerűen bezárja a bazárt, ahogy nemzetközi színtéren a Posterous, magyar színtéren a  blogter.hu tette. Ugyan eléggé jól bejósolható, hogy melyik szolgáltató kerülhet a webkettő temetőjébe, a Posterous példája mutatja, hogy egy rendszer sem lehet biztosan örökéletű csak azért, mert baromi sokan használják. Ezért a blogunkról rendszeresen készítsünk biztonsági másolatot  exportálással.

Az eddig leírtakból sejthető, hogy eléggé értelmetlen dolog egy teljesen új, bármiféle közösségi köldökzsinórtól mentes blogot indítani mondjuk www.faszablog.com címen saját blogmotorral, ugyanis ideális esetben az olvasótábort nem kell építeni, épül az magától, ha jó a kontent, viszont olyan esetben, amikor egy blog "lóg a semmiben", sokkal nehezebben megugorható feladat az olvasók elérése. Az viszont igen hasznos tud lenni, ha a blogszolgáltatónk lehetővé teszi, hogy saját domain-nevet rendeljünk a náluk futó blogunkhoz. így például, ha a http://science.bardoczi.net/ alatt futó blogszolgáltató, a Weebly kipurcan, a cím továbbra is él, csak éppenséggel az egésznek az időben exportált tartalmát be kell cibálni az új - importálás funkciót támogató - szolgáltatóhoz. A blog.hu-n és a postr.hu-n nincs saját domaines lehetőség, aminek a legnyomósabb oka alighanem az, hogy kicsi lenne rá az igény hazai terepen.

Nálam a blogírással kapcsolatban az igazán szűk keresztmetszetet a szabad idő jelenti. Viszont érdemes fent lenni több platformon is, amik mind saját nevünkön vagy azonos fantázianevünkön futnak ugyan, de a tartalomgyártási koncepciójuk kicsit más. Például az előbb emlegetett science.bardoczi.net blogon legutóbb egy olyan posztot lapátoltam ki egy levelezőkliens finomhangolásáról, ami relatív szűk kört érdekel és abszolút nem illene például a postr.hu-n tolt vonalba.

Első blikkre értelemszerűnek tűnhet, hogy ha egy poszt, ami mondjuk úgy, ide is és oda is bepasszol, jelenjen meg két helyen, ez ordas nagy hiba, többek közt azért, mert a keresőmotorok a pillanat törtrésze alatt úgy dönthetnek, hogy a tartalom nem elég eredeti és ezt egy durva ranking-pontszámmal büntetik vagy legalábbis nem előnyös, az összes keresőóriás azokat a tartalmakat cibálja előkelő helyre a keresési találatok közt, amik minél eredetibbek [többek közt]. Egy esetben történt, hogy ugyanazt a posztot két helyre tettem fel, mivel valamit tesztelni akartam. Az viszont kimondottan hasznos, ha a Twitter csatornánkra az összes blogunk rá van drótozva vagy kézileg twitteljük az új posztok linkjeit, így ha valaki maradéktalanul követni szeretné nyilvános bloggerkedős munkásságunkat [oké, ilyen úgysincs, hacsak nem szerelmes belénk az illető], elég csak a Twitter-csatornánkat követnie. Másrészt a Twittert elsősorban pont ilyesmire találták ki, a keresőóriások is szeretik, mert segít nekik eldönteni például több helyen azonos módon megjelent tartalmak esetén, hogy hol jelent meg korábban, ki retwittelte kitől és hasonló big data mágiák, amik a Google-Bing-Yahoo-trió titkos algoritmusarzenáljában az alapfelszereltség részei.

A több helyen való megjelenés akkor különösen hasznos lehet, ha gyakori a nevünk és valaki, aki még nem ismer - igen, elsősorban a HR-esekre gondolok - szeretne képet kapni rólunk, egyértelműbb lesz neki, hogy mely tartalmak tartoznak össze és melyek egy névrokonunkhoz.

Nem hiszek a SEO-ban. Legalábbis a klasszikus értelembe vett SEO-ban. Nem állítom, hogy a keresőoptimalizálás teljesen kóklerség, mert nyilván nem az, vannak alapelvek, amiket nagyon érdemes betartani, csak fájdalmasan túl van ez az egész lihegve. Ha valaki nincs képben a keresőoptimalizálásban: például a permalink ne úgy nézzen már ki, hogy

http://www.webhelyem.tld/usercontent/index.php?articleID=k85s8dk49amcls9439dcmswkckjslkdf

ha úgy is kinézhet, hogy

http://www.webhelyem.tld/20141223/mezeskalacs-recept

ha a keresőmotorok jobban szeretik a human readable címeket. SEO-téren érdemes néha tájékozódni, de semmiképp sem szabad túllihegni. Személy szerint a tököm tele azzal, hogy manapság már egy rakás arc burkoltan vagy nyíltan SEO-szakinak mondja magát, holott annyira hülye hozzá, hogy azt nem tudnám minősíteni a jó ízlés határain belül. Több olyan esetet is láttam, hogy egy szájt százezres tételeket fizetett ki egy keresőoptimalizáláshoz elvileg értő cégnek, az eredmény pedig alig volt mérhető, mi több az oldal jól be is fuccsolt.

Most komolyan, aki olvasókat szeretne, arra kíváncsi, hogy mennyire tudja átverni a keresőmotort vagy arra, hogy mennyire kíváncsiak mások arra, amit ír? És akkor még a linkfarmokról nem is írtam, ami mindennek a legalja, hagyjuk is. Ami viszont fontos, hogy a saját blogposztjainkat szigorúan tilos arrogáns módon tolni Internetország lakóinak képébe, linkekkel összefosni ilyen-olyan felületeket. Pontosabban semmi sem tilos, de ha pontozni lehetne a gyökérséget, tőlem az ilyen blogger maximális pontszámot kapna.

A poszt menjen ki az eredeti helyén túl a Twitterre plusz esetleg még egy helyre, mondjuk a Facebookra. Aztán ha bejön az olvasónak, akkor úgyis olvassa/követi, az pedig elemi, hogy több blog esetén az eredetileg belőtt tematikától ne térjünk el, a Tumblira mehet a netszenny ezerrel, egy másik blogra a közérthető, de szakmai tartalom, megint másikra a hardcore szakmai írás vagy éppen egy személyes, de még vállalható sztori, ha létezik ilyen egyáltalán.

Ami vélemény, az természetéből adódóan érzékenységet sért, attól vélemény. Ami a tartalmat illeti, sem jogom, sem tisztem ezzel kapcsolatban okosságokat írni, néhány spéci dolgot leszámítva. Készüljünk fel rá, hogy az egyébként full ártatlannak tűnő téma is alaposan felháborgathatja más lelki világát, ha pedig a téma olyan, hogy valakinek a személyét érinti [tegyük fel, hogy nem közszereplő a figura, de a neten rendszeresen jelen van], akkor se nevezzük nevén, ha a legnagyobb kártékony balfasz, akit valaha is megismertünk, egyrészt, hogy ne gyűjtsünk ellenségeket fölöslegesen, másrészt sosem lehetünk biztosak benne, hogy a másik pusztán a rosszindulatával milyen károkat okozhat nekünk.

0 Tovább

Bankkártyaszám-anatómia, avagy így húztak le a bankom hülyesége miatt


Biztosan többek számára ismert, hogy vannak olyan mobilalkalmazások, amiknek a letöltése és használata ingyenes ugyan, viszont ún. in-app purchase-re van lehetőség, azaz az alkalmazáson belül lehet megvásárolni az extra funkciókat. Az illedelmes alkalmazás persze megkérdezi a fizetés módját, majd ha a bankkártyás fizetést választjuk, elkéri a bankkártyaszámot. A pofátlan alkalmazás megpróbálja megszerezni, aminek a sikeréhez néha elengedhetetlen a bank suttyósága is.

Történt ugyanis, hogy ma este láttam egy általam régen használt mobilalkalmazásban, hogy egy hónapig ingyenesen lehet használni az alkalmazás extra funkcióit. Gondoltam, ki is próbálom, elvégre azok a helyek, amik a kipróbálási lehetőségnél nem kérnek bankkártyaszámot, nem is tudnák honnan levonni az összeget. Elvileg. Ha pedig valahonnan a bankkártyaszámot mégis tudja valahonnan az app és rá is tudja terhelni az összeget, az ingyenességet úgy oldják meg, hogy a kártyán zárolják az összeget ugyan, ha 30 napig a bankkártya-elfogadó nem jelentkezik a zárolt, de még nem könyvelt összegért, mivel lemondja a kipróbált szolgáltatást a vásárló, az összeg visszakerül a vásárlóhoz.

Az én esetemben nem vagyok benne biztos, hogy honnan tudta az alkalmazás a bankkártyaszámom, az alkalmazásboltból aligha nyúlhatta le, alighanem korábban megadtam az alkalmazásban a régit hitelesítés miatt, ők pedig szépen elmentették. Később láttam ugyan, hogy itt nem kérdezett semmit az alkalmazás, gondoltam, nem is volt honnan levonnia, mivel - és most jön a lényeg - a korábban megadott bankkártyám lejárt nemrég, így a réginek az adatai érvénytelenek és nem használhatók fel. Mondom elméletileg!

Ugyanis, ha a bankkártya kibocsátó van akkora ergya-gyökér-suttyó paraszt, hogy a 3 vagy éppen 5 év érvényesség lejárta után a bankkártyát olyan módon újítja meg, hogy maga a bankkártyaszám nem változik és feltételezzük, hogy a bankkártya tulajdonosát /*card holder*/ sem keresztelik át idő közben, az egész megújításnak semmi értelme sincs. Ugyanis a lejárt, ergo már érvénytelen bankkártyának, aminek tehát a lejárati idején kívül más nem változott, nem túl bonyolult módon megjósolhatók próbálgatással az aktuális,  helyes adatai: a korábban tárolt lejárati időhöz években szépen hozzáadnak egyet, kettőt, hármat, négyet, ötöt, azaz öt évre kibocsátott bankkártya esetén legfeljebb öt próbálkozásra van szükség és az összeget már rá is terhelhetik. Jelen esetben is ez történt. Remek kérdés, hogy ez bankkártyacsalás-e.  

Egyébként egy tipikus, Magyarországon használt 16 számjegyű bankkártya száma ilyen módon épül fel:
- a bankkártya első hat számjegye a kártyakibocsátó-hálózatot azonosítja, amiből az első számjegy azt jelzi, hogy melyik szektorhoz tartozik a kártya, így például a 3-mal kezdődnek bizonyos hitelkártyák, mint például az American Express, 4-gyel illetve 5-tel az általános banki tranzakcióknál és vásárlásoknál használt kártyák, mint a Visa vagy a Mastercard
- az első hat számjegy 2-6 számjegyei a kártyakibocsátó-hálózat használható azonosítóit tartalmazzák, így például a szintén elterjedt Maestro /*az első számjegyet is belefoglalva*/ a 500000-509999 és 560000-699999 tartományokat használhatja
- ezt követi a 7-15. pozícióban a véletlenszerűen generált azonosítószám - és ez a lényeg - amivel kapcsolatban a pénzintézet kérheti a kibocsátó-hálózatot, hogy a bankkártya megújításánál maradjon a régi vagy változzon meg az adott ügyfél esetén
- a 16. pozícióban egy ún. Luhn-algoritmus által kiszámolt ellenőrzőösszeg áll

Egyszerűsítve tehát a bank a kibocsátó-hálózattól veszi a kártyákat. De ha kérhető, hogy változzon meg az azonosító, ami ugyebár gyakorlatilag az egyetlen variábilis elem a kártya megújításánál, akkor az ügyfél számára megrendelő bank miért nem kéri a kibocsátó-hálózatot, hogy úgy nyomják újra a kártyát? Ja, hogy az drágább lenne? Hát legyen ez a bank magánügye, azért fizetem az éves kártyadíjat, hogy a lehető legbiztonságosabban lehessen használni, csókolom!

Olyan részletekbe most nem mentem bele, hogy például a bankkártya hátoldalán lévő CVV, CVV2 kódok sok esetben lényegtelenek, ahogy abba sem, hogy más kártyaszám-generálási forgatókönyvek is lehetségesek, külföldön. Amit leírtam persze csak a kártyaszám generálás lényege, a teljes forgatókönyv bonyolultabb, viszont ez alapján is megállapítható, hogy még egy óriási bank esetén sem fordulhat elő, hogy a bankkártyaszám és lejárati dátuma megegyezzen véletlenül, ráadásul a tulaj neve is azonos legyen.

Ezen kívül vegyük észre, hogy a bankkártya adatok önmagukban csak akkor használhatóak fel, ha annak minden adata érvényes. így például a bolti kártyás vásárláskor hiába van rajta a blokkon az utolsó négy számjegy és a lejárati idő, ezek teljesen ártalmatlan adatok, viszont pont az előző bekezdésben leírtakból adódóan kitűnően alkalmasak lehetnek azonosításra. Például annak a valószínűsége, hogy ugyanazzal a négyszámjegy-lejárati dátum-kombóval ugyanazon a napon, ugyanabban a boltban vásároljon több azonos vevő, gyakorlatilag nulla.

És persze ha egy internetes elfogadóhely kéri, hogy küldjünk nekik scannelt vagy fotózott képet a bankkártyánkról azonosítás végett, nyugodtan küldjük el őket melegebb éghajlatra, esetleg mutatva, hogy mennyire vesszük a kérésüket komolyan, küldjük nekik sok szeretettel az alábbi képet, bárminemű egyezés a valósággal a véletlen műve xD



A szokásos bankkártya-tematikájú közhely és bullshitelés helyett a következőt tudom javasolni az olvasónak egyben eloszlatva néhány tévhitet:

- a bankkártya lejárta és megújítása előtt érdeklődjön a bankjánál, hogy az azonosító megváltozik-e egyáltalán, abban az esetben ha nem, egyszerűen ne kérje a megújítást, ilyenkor nem kell fizetni a letiltásért, mivel ez nem is letiltás, a kártya egyszerűen lejár. Új kártyát igényelni pedig jobb családokban nem drágább, mint az éves díj.
- full hülyeség azt mondani, hogy a neten nem adom meg a bankkártyaadataim, mivel
 I. a bankkártyaadatokat nem is tárolja normális, komoly elfogadóhely, ha nem feltétlenül szükséges, csak kap egy visszajelzést, hogy a kártyával minden stimmel és megtörténik a vásárlás
 II. a kártyaadatok megadását egy ellenőrzéshez még akkor is érdemes megcsinálni, ha nem tervezünk semmit vásárolni az adott webhelyen. Többször cikkeztem már arról, hogy ellopni egy Facebook-fiókot mennyire egyszerű. Nos, ha a felhasználó megadta a bankkártyaadatait a Settings/Payment methods alatt, a Facebook megpróbál zárolni egy dollárt, ha sikerül, elmenti és az 1 dollár visszakerül 30 nap után az egyenlegre és kétes helyzetekben, a Facebook előtt a korábbi bankkártyával történő azonosítás mutatja, hogy a felhasználó tényleg az, aki, hiába jelenti fel egy trollhadsereg az illetőt azzal a feljelentés-áradattal, töröltetés céljából, hogy kamuprofilról van szó, a Facebook jó eséllyel nem kér semmilyen további azonosítást a felhasználótól, akinek az accountja biztonságban marad
 III. elemi, hogy kinézetre is komolytalan webhelyen ne boltoljunk bankkáryával

Annak a valószínűsége, hogy egy, a neten kártyával rendszeresen fizető ügyfélnek egy éven belül a sarki zöldségesnél vagy cigivásárlás közben lopják el a bankkártya adatait, jóval nagyobb, mint annak, hogy a neten, ugyanis aki rendszeresen fizet a neten a kártyájával, "pofára" meg tudja saccolni a webhelyről, hogy mennyire vehető komolyan /*l. fentebb*/, míg a sima bolti vásárlás már bonyolultabb ügy.
Tisztelet a kivételnek, de az eladó sokszor nem olyan agytröszt, hogy észlelje, ha a vásárlói bankkártyadatai veszélybe kerülnek.

Tételezzük fel, hogy egy bankkártyacsaló banki alkalmazottnak kiadva magát elhelyez egy olyan eszközt az üzletben a terminál közelében, ami a tessék-lássék módon titkosított kártyaadatokat lehallgatja és továbbítja, akár vezetékes, akár vezeték nélküli a POS-terminálról van szó. De még az sem tűnne fel az eladónak, ha a "bankoscsávó", aki "hozott egy új terminált", valójában olyan POS-terminált adott, ami működik ugyan, de közben lopja a vevők kártyaadatait, hasonlóan az automaták kártyanyílására buherált eszközökhöz. Nem, még akkor sem tűnne fel semmi, ha egyébként más protokoll szerint üzemelné be a csaló az új terminált az üzemeltető nevében, de talán még akkor sem, ha a pofa úgy nézne ki, mint az egyik Beagle boy a Kacsamesékből.

Meg egyébként is? A boltosnak miért kellene tudnia a bankkátyaadatok biztonságáról, nem? Ha meg lopják, a vevőét lopják, "akkor meg kit érdekel, rohadthekkerek, sünökdóga, nem?" Tisztelet a kivételnek, de az általános mentalitás ez.
- a lejárt kártya se kerüljön a szemétbe, sem szétvágva, sem pedig egészben, de a legjobb, ha még a bankfiókban sem hagyjuk ott, lévén, hogy ők is a kommunális hulladékba tennék, hasonlóan ahhoz, ahogy a fenemód okos mobilszolgáltatók alkalmazottai sokszor a minden személyes adatot tartalmazó, de már szükségtelen dokumentumokat csak simán a kukába dobják, ilyen módon minden ilyen üzlet szemetese valóságos aranybánya az adathalászoknak. Nem arról van szó, hogy egy komplett identitáslopásra alkalmas adatmennyiséget gyűjtenének össze /*ugyan ez sem zárható ki */, a személyes adatok kikerülése súlyos visszaélésekre adhat lehetőséget, elég csak arra gondolni, hogy a telefonszolgáltatónk, netszolgáltatónk, telefonos ügyfélszolgálata személyes adatok alapján azonosít be minket, ha nem tudjuk az ügyfélazonosítónkat, így ha egy csaló elég trükkös valaki ahhoz, hogy kiadja magát a nevünkben /*szakargóban impersonation*/, az adataink birtokában például lemondhatja a telefonszolgáltatásunkat vagy lekérheti a hívásrészletezőt 1-2 évre visszamenőleg papíralapon egy általa megadott címre, esetleg a netes felületen új jelszót állíttathat be és úgy fér hozzá a híváslistához.

Ezen kívül cca. végtelen azoknak a lehetséges scenarioknak a száma, amik előfordulhatnak a social engineeringben  és az alapját a bizalmasnak hitt, személyes adatok képzik, ami valami miatt még mindig nem jutott el például még a telekom szolgáltatók tudatáig sem, hogy egyik-másik közintézmény és iskola adatkezelési gyakorlatát ne is emlegessem, arról úgyis csak szuperlatívuszokban lehetne írni.

Visszatérve a bankkártyás témára, az emberi hülyeséget mi sem mutatja jobban, mint, hogy két és fél évvel ezelőtt indult egy Twitter-csatorna, amin első ránézésre roppant mód jópofa dolognak tűnt feltolni a saját bankkártya fotóját. Viszont a csatorna oldala a fejlécben hívta fel a figyelmet, hogy senki ne posztoljon képet a bankkártyájáról. Na mi történt? Igen, az Internetország egyszerű gyermekei halomra tolták fel a fotókat a csatornára. Oké, persze, a többség nem ennyire hülye, de a bankkártyaadatokkal kapcsolatos biztonságtudatosság ugyanúgy egyfajta kontinuumon helyezkedik el /*a teljesen hülyétől a több bankkártyát is használó formákig*/, mint sokminden más, de ezen a téren az átlag is hajmeresztő lemaradást mutat.

Bankkártyaadatokkal kezdtem, személy adatokkal folytattam, zárásként ide embeddelem az Személyiségtolvaj trailerjét, ami szerintem  a legrealisztikusabb hekkerfilm ever, annak ellenére, hogy nem hekkerfilmnek szánták.


11 Tovább

Plágiumot kutatni tilos!


Higgyék el nekem, ha lenne olyan fikablog, ami konkrétan a tudományos fórumokról mazsolázik, bőven fel lehetne tölteni tartalommal rendszeresen, ugyanúgy, ahogy a klasszikus tematikájú fikablogok feltöltik rendszeresen a posztjaikat RajVIP-ről, Facebook legsötétebb bugyraiból és hasonló helyekről származó fotókkal.

Néhány nappal ezelőtt nem kisebb helyen, mint a Pattern Recognition, Data Mining, Machine Intelligence and Learning LinekdIN-csoportban - ami nem mellékesen lassan húszezer tagot számlál - magának a csoportnak a moderátora tett közzé egy posztot, amivel vélhetőleg azt akarta az arra tévedők tudomására hozni, hogy aki ahhoz gyűjtene információkat, hogy hogyan plagizáljon, bannolva lesz. A posztot szöveghűen idézem Belur V. Dasarathytől, mindenesetre kis kutakodás után nincs okom feltételezni, hogy nem ő írta volna:

"Posts that directly or indirectly seek technical help (or offer to technically help) in carrying out the actual research and/or writing a thesis or paper which in effect promotes plagiarism will not be permitted. Such attempts, which subvert the integrity of academic processes, should not be tolerated. Members who post such items will be removed permanently from the group."

Én mondjuk jóval több trollkodós kommentre számítottam, gyorsan kiderült, hogy a LinkedIN többé-kevésbé tudományos tagjai sem különböznek alapjaiban az átlag kommentelőtől:

- érkezett az "elégedett vásárló" kommentje, aki szerint a felhívás túl arrogáns
- A Matematikus, aki mindenkinél okosabb, mivel levezet, definícióért kiált, selyempapírba burkolva kifejti, hogy szerinte ez hülyeség, de akár cáfolna, akár megerősítene valamit, az nem jön össze, de nem is baj, mert számára az a fontos, hogy más is lássa, hogy ő milyen okos
- az egyszeri ember, aki le szeretné csapni a magas labdát coolságból és konkrét precedenst szeretne látni, persze tudja, hogy úgysem fog kapni
- az ember, aki még mindig nem érti, hogy mi az ábra, mi több, szeretné, ha tisztázná a poszt megfogalmazója, hogy mire is gondolt pontosan.

Aki pedig még képes ötvözni az intuíciót, józan eszet a szakmaisággal, röhög az egészen és megtartja a véleményét magának.

Kezdjük ott, hogy a szellemi tulajdon ellopása azóta létezik, mióta egyáltalán van szellemi tulajdon, így teljesen érthető, hogy ez ellen a tudománynak teljes mellbedobással kell küzdenie. Viszont ahogy az igazságügyi orvosszakértők képzéséhez kellenek olyan alaposan dokumentált esetek, ami részletesen taglalják, hogy hogyan lőtték ementálivá a maffiózót és hogyan próbálták az elkövetők eltüntetni a nyomokat, a plágiumok kutatása is elképzelhetetlen kivesézett plágiumügyek tanulmányozása és a kapcsolódó metodikák tanulmányozása nélkül. A plágiumkutatásban pedig szintén nem lehet objektíven eldönteni, hogy egy poszt a tudományos kutatást szolgálja vagy egy valaki azzal kapcsolatban puhatolózna, hogy hogyan koppintson profibban. Ha ez nem így lenne, súlyosan sérülne a szabad információáramlás, ugyan dereng valami, néhány évvel ezelőtt LinkedIN-fajsúlyú oldalak akarták betiltani a Wikileaks-es forrásokra való hivatkozást... Nem volt egy sikersztori, na.

Ráadásul a plágiumkutatás pont azon területek egyike, amibe aligha lehet olyan módon beletanulni, hogy attól valaki hatékonyabban tudjon szellemi tulajdont lopni, ugyanis ideális esetben ha ilyen történne, minden bizonnyal lenne az elkövetőnek olyan kollégája, aki szöveg esetén szövegnyelvészeti eszközökkel akár rá is tudná bizonyítani a kollégájára a csibészséget. Tessenek csak csak találgatni, hogy egy hobbi-csempésznek mennyi esélye lenne. Teljesen hasonlóan, ha például egy igazságügyi orvosszakértő csalfaságon kapja az asszonyt, majd a szeretővel együtt elteszi mindkettőt láb alól, majd gondoskodik a nyomok gondos eltüntetéséről, pont a modus operandi lesz az egyik, ami rá tereli majd a gyanut, bármilyen profin is próbálta a gyilkosságot kivitelezni, a nyomozók nagy sansszal - más szakértők bevetésével - végül rá tudnák bizonyítani a bűncselekményt.

Szóval ortó nagy hülyeségnek tűnik bármit is tiltani ilyen módon, pláne tudományos közegben - a felhívásban a "directly or indirectly" fordulat a legszebb :) - hiszen egyrészt értelmetlen, másrészt összességében nem éri el a célját. 

Hiszen ha például egy tisztességes módszereket ajánlgató SEO-val foglalkozó oldal kiköti, hogy milyen módszerek nem taglalhatóak, és nem csak foganatosítja, de még betartatnia is sikerül, lesznek olyan arcok, akik átmennek a fehér vagy éppen szürke zónából egy totál blackhat SEO fórumra, ami megengedi például annak a taglalását, hogy hogyan kivitelezhető például egy ún. SEO-poisoning. Egy kémiával foglalkozó fórum is betilthatja, hogy robbanószerek vagy mérgek előállításáról diskuráljon a nép, de minek?

Példákat lehetne hozni bőven, de fölösleges. Egy olyan világban, ahol a kutatók egyre több apró diszciplináról tudnak egyre többet, jó kérdés, hogy emiatt a gyakorlatias szemlélet háttérbe szorul-e, aztán ennek eredőjeként többé-kevésbé elismert figurák mondanak vagy írnak egyre idiótább dolgokat?

képek innest': rudebaguette.com , hofstra.edu

2 Tovább

Egy webkettes óriás jövője és a Debilnet Hungary tanulságai


Nemrég vettem részt egy nagy-nagy online marketinggel foglalkozó konferencián - amit most nevezzünk csak Debilnet Hungary 2014-nek - ahol megkérdeztem néhány hardcore online marketinges [vagy annak tűnő] arcot, hogy a mi a véleményük a ELLOról, amiről már hónapokkal ezelőtt lehetett olvasni, miszerint egy olyan közösségi szolgáltatás, ami üzleti stratégia és privacy-kezelés szempontjából pont a Facebook ellenpólusa: egy olyan szolgáltatás, ahol többek közt nemhogy személyre szabott reklámok nincsenek, hanem semmilyenek, maximálisan tiszteletben tartják a felhasználók személyes adataihoz fűződő jogait, azokat semmilyen formában nem adtják tovább harmadik félnek, sőt eltekintenek az olyan baromságoktól is, minthogy a felhasználónak a valódi nevén kötelező használniuk a szolgáltatást. [csak megsúgom, hogy a netes kultúra kezdetén meg az volt teljesen természetes, hogy mindenki szabadon dönthetett róla, hogy a chatet, fórumokat, egyebeket, a saját nevén használja vagy inkább úgy dönt, hogy marad anonim, IMHO szerintem ma is ez lenne a természetes hozzáállás a webszolgáltatások részéről, ez akár passzol a működési modelljükbe, akár nem].

ELLO

Szóval több szakértő szerint az ELLO csúfosan el fog bukni, mert ha nincs hirdetés, megfogható bevétel, ilyen módon működtetésre fordítható anyagi alap sincs. Lehet. De kinyilatkoztatásként ezt rávágni egyrészt amellett, hogy még túl merész, egysíkú csordaszellemet tükröz pont egy olyan közegben, ahol elvben az innovatív gondolataikkal keresnek az online marketingben utazó jómunkásemberek.

Persze, láttunk már színes-szagos webóriásokat óriási hype közepén születni, majd a felhasználók többsége előtt csúfosan elbukni, mint amilyen a Google+ és láttunk olyat is, aminek kezdetben nem is igazán volt üzleti modellje, egyszerű, mint a faék és máig virágzik, mint a Twitter.

Az ELLO esetén a szakértő urak és szakértő hölgyek amibe nem gondolnak bele, hogy az ELLO reklámmentesnek mondja magát ugyan, viszont azt nem állítja, hogy esetleg nem tér át például freemium modellre később, jó esetben olyan módon bevezetve, hogy a felhasználó továbbra is dönthet róla, hogy elfogad-e hirdetést esetleg extra funkciókért vagy továbbra sem, elfogadt, de limitált mértékben vagy egyáltalán nem. Ekkor pedig rögtön más lesz a leányzó fekvése. Hozzáteszem, az már most látszik, hogy nem követték el az ELLO-nál azt az ordas nagy hibát, mint amikor évekkel ezelőtt szintén a Facebook ellenpólusaként mások beindítottá a Diaspora Projectet ami meg persze túl zavaros volt az átlag júzernek, el is felejtettük körülbelül azonnal.

Legyetek erősek: már most is több, jól futó szolgáltatás is létezik, amelyik egyáltalán nem a targetált hirdetésre alapuló üzleti modellel működik.

Persze könnyen lehet, hogy az ELLO is, többek közt a minimalista stílusa miatt nem fogja meg azokat a felhasználókat, akiknek felhasználói élmény kell, de azonnal (l. később) azokat viszont idővel igen, akik ennek ellenére, cserébe minőségi közösségi tartalmat kapnak, mivel nem kell napi rendszerességgel hide-olni a többszörösen büntetett előéletű, jófejségből ismerősnek felvett általános iskolai osztálytárs alaposan dokumentált romcskocsmai bebaszásairól készül képeket és hasonlókat. És hasonlóan a Twitterhez vagy a Tumblrhez, _meg_kell_dolgozni_ azért, hogy share-eljenek, like-oljanak, fave-eljanak, retwit-eljenek, repost-oljanak stb, mégpedigleg _idegenek_számára_is_értékes_tartalom_megosztásával. Na ez az, amire egyrészt jónéhányan nem lesznek képesek, másrészt ezért nem kerül olyan égtelen mennyiségű értelmetlen mocsok a közösségi falra, harmadrészt pedig - az előző kettőből adódóan - ha szűrt a közösség, ilyen módon minőségi a kontent is, az meghozza a felhasználói élményt, ami miatt érdemes lesz rendszeresen belépni és időt ott tölteni. Mert igen, ahogy arra már korábban utaltam, az, hogy a Facebookról rendszeresen annyit mondanak, hogy évek óta "mindent visz", nem jelenti azt, hogy a felhasználók máshol ne töltenének időt, ha látják értelmét, így például a LinkedIN normálisabb csoportjait is rendszeresen látogatja az, aki minőségi tartalmat akar és nem Macavagyok Fákkyeah Osztcső, mint másod-harmadszintű ismerőseinek baromságai, amik a FB működésmódjából adódóan átszivárognak az elsőszintű ismerősök falára, onnan pedig nekünk is kerülgetnünk kell.

Szóval lehet még ebből az ELLO-ból valami, persze az is simán lehet, hogy nem lesz, de óva intenék mindenkit, a nyáj után bégesse kinyilatkoztatásként, hogy ha valahol nincs reklám vagy freemium, az a web 2-es próbálkozás halálra van ítélve.

Korábban írtam már - és később még majd fogok is - a szűk elit közösségi webes szolgáltatásairól, amik élnek és virulnak, egész egyszerűen csak alaposan meg van szűrve valamilyen mechanizmussal, így szabályozva van, hogy ki az, aki oda tolhatja az egérmutatóját és ki az, akinek az alaposan dokmentált nyaralásaiból és céges bebaszásaiból köszöni szépen, de nem kér az ottani felhasználó tábor, aztán fel sem tud rá regisztrálni, aki nem oda való. Holott ezek egyike sem követi a klasszikus netes szolgáltatás-fenntarthatósági modelleket.

Internet HungaryIMHO az Debilnet Hungary már rég az a konferencia, ahol többségében a végtelenségig beképzelt önjelölt atyaúristenek, a wannabe-matketingesek által sztárolt véleményvezérek játszanak óvodás messzirepisáló-versenyt, aki pedig az online marketing szakmai vagy a tartalomszolgáltatás tényleg kiemelkedő alakja esetleg szürke eminenciása, vagy eleve el sem megy, mert el nem ítélhető módon az egészet leszarja. Vagy elmegy éppen, viszont vagy azért mert a cége küldte előadni és annak reményében megy, hogy tud értékes tudást átadni [na erre az Debilnet Hungary szinte teljesen alkalmatlan közeg], vagy azért megy, hogy körberöhögje a sok idiótát és este ingyen egye a marhapörit', na meg úgyszintén ingyen megpróbálja leinni magát a közeg átlag IQ-jáig. Hozzáteszem, hogy az IH azért nem egy pentagon, engem mondjuk senki sem hívott, senki sem fizette a belépőm, mégis ott voltam, ennek a részletezésébe nem megyek bele, elvégre nem a social engieeringről szól ez a poszt.

Szóval pudig próbája az evés, csak megkérdeztem néhány résztvevőt.

Sikerült beszélnem olyan vendéggel, akit azt hiszem, hogy nyugodtan nevezhetünk a hazai netes tartalomszolgáltatás egyik megteremtőjének, a beszélgetés közben pedig igazolódott, hogy ebben a közegben is érvényesül az a szabály, ami a tudományos világban általában vagy éppen az IT security terén is: a kompetencia és a szerénység egyenesen arányos. Életemben először beszéltem vele - közel egy órát - és azon túl, hogy az illető egy példásan közvetlen, szerény és tényleg meglepően nagytudású arc, sok újdonságot tudtam meg tőle. Többek közt az is leszűrtem, hogy az a berendezkedés, ami Magyarországon alakult, ahogy alakult internettörténeti szempontból, finoman fogalmazva átalakította a tartalomszolgáltatást, de inkább ne így történt volna: számos téren olyan negatív irányba, hogy egy-egy tőkeerősebb kiadói csoport, lazán előtérbe tudja hozni és előtérbe tudja is tartani a szart, míg értékes sajtótermékek relatív kisebb körhöz jutnak el, mivel azok mögött nem állnak annyira tőkeerős tulajdonosok.

Aki pedig nem egy barlangban töltötte az elmúlt 2-3 évet, annak mondanom sem kell, hogy a tulajdonosnak elvben nem nagyon lenne szabad beleszólnia egy általa tulajdonolt tartalmak kialakításába, ez nem kevésszer előfordult már, mondjuk ittaztán itt, aztán meg máshol is, és nem várható, hogy az ezzel kapcsolatos tendencia javulni fog belátható időn belül.

Ugyanazon az estén megkérdeztem egy másik formát, akit a blogjában megjelenő banális Facebook tippeket, bullshitben gazdag ökörségeket, totál infantilis prognózisokat és máshonnan jópár hónap vagy jópár év elteltével átlopott, magyarra fordított trivialitásokat tartalmazó blogposztjai ellenére mégis A Magyar Online Marketing Atyaúristenének tartanak. Az "úriembernek" amúgy ugyanazt a kérdést tettem fel, amit egy nagy-nagy magyar egyetemen elsős hallgatók egy részének, akik jórésze azt sem tudja, hogy mi az az online marketing: indokolt lehet-e a szakmai tartalmat és a személyesebb tartalmat elkülöníteni különböző social webes csatornákon és ha igen, milyen esetekben? Azaz elkülöníteni azokat az üzeneteket, ami szakmai tartalom részét képzik és jobb ha saját nevén mennek ki, valamint a lazább, baromkodósabb tartalmakat, amit inkább a közvetlen környezetének szán az ember, lévén, hogy egy HR-es, egy lazább ismerős és egy szakmai kör mégiscsak ez alapján ítéli meg, függetlenül attól, hogy milyen területen dolgozik. Először is a szóban forgó onlájnmarketinganyaúristen-sztárlófasz válasz helyett megnézte a mobilján az aktuális meccs állását, aztán pedig semmivel sem adott kiforrottabb választ, mint a kiselsős bölcsész egyetemisták egyharmada! Ja, a beszélgetés alatti három percben ki nem hagyta volna megjegyezni, hogy az őt sztároló tumblr mikrobologot amúgy TÉNYLEG nem ő csinálja. Húbazdmeg...

Online Marketing Blog

Berényi Konrád, online marketing

El szokott hangzani az az eléggé vitatható álláspont, hogy egy zenei fesztiválra nem a zene miatt megy el a vendég, hanem kikapcsolódni meg bekúrni. Az Debilnet Hungaryvel kapcsolatban több mondták, hogy az előadások jórészének nívója minősíthetetlenül szar ugyan, de egy konferenciára úgysem azért megy az ember, hanem kapcsolatot építeni, bizniszelni. Tudva, hogy az Debilnet Hungary nevetségesen túlárazott, ha naivabb lennék, meglepődve kérdezhetném, hogy "mivaaan"? Viszont. Ha valaki elmegy egy ilyen helyre, akkor elvárná, hogy az idióták által megtartott szar előadások és a tényleg hozzáértők által tartott gondolatébresztő performanszok aránya mégse legyen ennyire tragikus. Ezek szerint a nagyrészt magyar közösség nem várja el. Egészségetekre! 

Internet Hungary

Amúgy értem én, hogy a házirendbe miért foglalták bele a szervezők, hogy nem készíthető kép- és videófelvétel [értitek, 1. a mai világban 2. egy ONLINE marketing konfon!]: ugyanis ha lehetne és élnék is a lehetőséggel, féllegálisan rommá tudtam volna trollkodni az egészet, elég lett volna csak néhány banális szakmai fogalommal kapcsolatban megkérdezni a megjeleneket, majd készíteni egy pofás kis Youtube-videót arról, hogy például mennyien tudják, hogy mi is az a SWOT-elemézés ők, "mint szakértők". Amit igaz, sokan nem tudnak, ha valakinek akár egyetlen marketinges kurzusa is volt az egyetemen vagy egyetlen normálisabb könyvet is olvasott a témában, nyilván olyan elemi, mint biológusok körében, hogy a lónak patásként négy lába van, a katicabogárnak pedig rovarként hat.

0 Tovább

Vujity Tvrtko esete az egyetemi illemtannal


Kedves Vujity Tvrtko! Engedd meg, hogy néhány javaslatot tegyek arra az esetre, ha legközelebb is elmész valahova előadni, ahol közvetlenül előtted valaki a teremben előadást tart. Pláne, ha nem fantáziatuningolt horrorsztorikról beszélnek előtted, hanem digitális kultúráról. 

1. akkorra jössz be a wannabe-firkász asszisztenseiddel, amikorra a termet lefoglaltátok
2. megvárod, amíg az előző előadó hallgatósága távozik és aztán jössz be
3. ha már az előadást megzavarva mégis előbb, legalább KÖSZÖNSZ
4. majd megvárod, amíg az előtted lévő előadó elpakolja a felszerelését és azután kezdesz el kicuccuolni

Köszi!

Történt ugyanis, hogy a mai napon egy nagyobb hazai egyetem Auditorium Maximum termében előadást tartottam 14:00-től, ami 15:30-ig tartott volna, viszont délelőtt kaptam a telefont, hogy jön ez az úriember és ugyan csak 16:00-tól ad elő, neki a terem 15:15-től kell. Érted, kell!

Mit lehet tenni ilyenkor, gondoltam, hogy az egyébként is tömény előadásanyagot 90 helyett besűrítem 75 percbe úgy, hogy a saját hallgatóink kérdéseire is maradjon idő.

15:00 után valamivel kopogtak az ajtón, majd az előadásomra bebaktatott Vujity Tvrtko meg két fiatal csaj, akikel a projektort és a laptopját hozatta – gondolom őmaga nem tud mobiltelefonnál nehezebb tárgyat emelni, majd teljes természetességgel elkezdték kipakolni az előadói asztalra a saját felszerelésüket, miközben én még a záró gondolatokat mondtam. Nos, azt hiszem, hogy a kertévékben szocializálódott sztárfaszok tahósága új szintre lépett.

Nos, belegondolva egyáltalán nem bántam meg, hogy az előadásom vége előtti utolsó pillanatban a prezentációmba belevarrtam a legendás tahóságod érintő Subba-posztot, a teljes prezentációt amúgy innen töltheted le

Poszt frissítve: 2014.09.30. 22:17 

UPDATE 2: Helyreigazítás: Vujity Tvrtko mégsem sztárfasz! 

2 Tovább

Hogy nem tört világhatalomra a linux?


Nem tudom már, hogy ki mondta, hogy a Windows azt a rendszer, amit senki sem dícsér, de mindenki használja, a linux pedig az, amit mindenki dícsér, de senki sem használja. Ez ma már kevésbé igaz, mint 10 évvel ezelőtt, de alapvetően sokatmondó.

Mielőtt belecsapnék, megjegyezném, hogy az első linux disztróval még bőven általános iskolás koromban találkoztam, a Suse 6-os telepítéséhez pedig tényleg vért kellett izzadni, összehasonlíthatatlan a mostani telepítőkkel. Egy darabig használtam, aztán jött jópár év kihagyás, majd ismét elkezdtem használni OpenSuse-t, Slackware-t, ezekben el is merültem amennyire kell, az összes laptopomon van linux telepítve és szinte mindig van nálam egy zsebből indítható Kali Linux is. Aki képben van, az már elkezdett morogni, aki nincs, annak írom, hogy nincs olyan, hogy "A linux", ugyanis a disztribúciók közt akkora különbségek vannak, hogy sokszor értelmetlen erről általánosságban beszélni, esetleg csak *nix, azaz linux-szerű operációs rendszerről. Másrészt most csak az asztali gépekre telepített linuxokra szorítkozom és egyáltalán nem foglalkozom azzal, hogy akár pici szerveren, akár mainframe-en, akár egy grid-es szuperszámítógépen milyen lehetőségeket ad egy-egy jól megválasztott disztribúció.

Először is, aki úgy gondolná, hogy az open source illetve a free software jó, a nem-open source rossz, az gondolja újra egy kicsit a dolgot: mindkettőnek megvannak az előnyei és hátrányai, amik közül a mi szempontunkból most az a legrelevánsabb, hogy az első linux verziók megjelenése óta követhetetlenül sok disztribúció jelent meg, de még egy disztribúción belül is egy-egy főverzió közti különbségek akkorák voltak, hogy gyakorlatilag újra meg kellett szokni az új felület használatát, esetleg agyműtétet végezni a rendszeren, hogy a korábbi grafikus felület jelenjen meg. Ez volt régen.

Hiába, hogy a grafikus felületek közt gyakorlatilag "csak" három fő változat, a KDE, a Gnome és az Unityvel turbósított Gnome működik szinte minden asztali gépen, a felhasználók egész egyszerűen utálják, ha leülnek egy idegen gép elé és bele kell tanulniuk, meg kell szokniuk, hogy már megint minden máshol van. Egy Apple-gépen, az OSX-nél eléggé adja magát a dolog, míg egy Windows-verziónál is megszoktuk, hogy mit hol találunk, sőt, mintha az Microsoft kínosan ügyelt volna arra, hogy még hatalmas verzióváltások közt se legyen túl kontrasztív a különbség a grafikus felületben, mivel az elriaszthatja a felhasználókat, holott egy Windows 9x és egy NT-s termékvonalba tartozó Windows közt a különség körülbelül akkora a motorháztető alatti elemeket elnézve, mint mondjuk egy medúza és egy elefánt közt.

Míg az MS mindent megtett, hogy az újonnan megjelenő változatokban visszavarázsolható legyen egy Windows 95-ből (!!) ismerős felület, a különböző, egymással többé-kevésbé kapcsolatban álló linux GUI-k fejlesztői közt még ha volt is összhang, nem geek, hanem átlag felhasználói léptékben annyira gyorsan divergáltak a különböző grafikus felületek, hogy gyakorlatilag nem volt két linuxos gép, amin ugyanott lettek volna a lényegi elemek. Igaz, én elvből sosem foglalkoztam behatóan az Ubuntu nevű szörnyszülöttel, ott még felcsillant a remény, hogy ha az Ubuntu meghódítja a világot, talán majd változik a helyzet egy egységes grafikus felülettel. Nem így történt. Mire pedig már egészen egységesek lettek a felületek, a felhasználói kultúra kollektív tudatába beleégett, hogy a linux az a rendszer, ahol minden máshol van, aztán jól elveszi a figyelmet pont arról, ami miatt az ember gép elé ül, azaz az effektív munkáról, akár a könyvtárban, akár az iskolában, akárhol.

Persze, persze, viszonylag gyorsan megszokható mindhárom vezető linuxos felület, de a lényegen nem változtat: a felhasználó a gépet egész egyszerűen _használni_ akarja és nem fordít fölösleges energiát erre, ha nem feltétlenül szükséges.

Miután alaposan kiveséztem az első indokot, amit persze lehetne részletezni pro és kontra a végtelenségig, a linux másik legfájóbb része a telepítés. Jópár évvel ezelőtt már-már gurunak kellett lenni ahhoz, hogy valaki lelket leheljen a grafikus felületbe, amit ugye a Windows és a Mac alapjáraton tudott, sőt, a linuxnál elég volt néhány rossz beállítás hozzá, hogy végleg elfüstöljön egy CRT monitor. Szóval anno ha valaki linuxot akart, akkor vagy megkért valakit a telepítésre, aki értett hozzá, vagy nekiállt saját maga és - akkor még méregdrágán - napokon keresztül keresgélt a neten, hogy hogyan is orvosolható egy-egy probléma, ami miatt valami nagyon nem úgy működik, ahogy működnie kellene.

Mára ez is változott, a legtöbb desktop disztró egy next-next-finish-tematika alapján végigvitt telepítés után indul grafikus felülettel, helyesen felismert, ilyen módon működő hardverekkel, vattacukorral, törökmézzel. Igaz, hogy ezt a Windows mondjuk tudta 10 évvel előtte, a Mac meg 20 évvel előtte, de ne legyünk gonoszak, szóval működik, na. Elterjedt változatoknál egyre ritkábban ugyan, de vannak esetek, amikor meg nem. Például a régi laptopomon a Suse egy főverzió váltásakor néhány évvel ezelőtt egész egyszerűen nem volt hajlandó a videókártyával együttműködni az ún. Xorg, ami egyáltalán lehetővé teszi, hogy valamilyen grafikus felületet beélesítsünk a gépen, aki képben van, annak mondanom sem kell, hogy Xorg-ot profin idomítani külön tudomány. Na már most az világos volt, hogy a jelenség az Nvidia videókártyák bizonyos lapkakészlettel dolgozó változatát érintette tömegesen, ez valahogy nem hatott meg és itt is találkoztam azzal a jelenséggel, amivel 10 évvel korábban is, és teljesen általános, ha valamilyen hardver nem akar működni linuxon: valamennyi eleve meglévő tudás mellett ki lehet ugyan keresgélni a probléma megoldását, de ez még egy elszántabb geek számára is több órát, rosszabb esetben több napot vehet igénybe. Ugyanis egyszerűsítve a linuxnál nincs olyan, hogy "felhasználói szintű ismeret". Lehet hozzá érteni jobban, meg kevésbé, esetleg csak egy grafikus felületet ismerni, de ha valaki rendszeresen használja, egész egyszerűen készüljön fel rá, hogy rendszeresen kicsit képeznie kell magát, az arra fordított időt pedig alighanem tudná értelmesebb dologra is fordítani, ha nem kimondottan informatikával foglalkozik.

Oké, itt most nem az advanced userre, na meg a neandervölgyi kinézetű rendszergazdákra gondolok, ugyanis bizonyos tudásszint elérése után drámaian csökken egy-egy desktopos probléma megoldásához szükséges idő.

Én még a minap sem lepődtem meg azon, hogy a legújabb OpenSuse-nak úgy kell tantraimát mondani, hogy ugyan legyen már kedves elindítani a wifi-kártyát, mintha az nem lenne teljesen elemi egy gép használatánál. A beállításokkal való "gépészkedés" persze annyiban változott, hogy ma már egyre kevesebbszer kell kézzel belenyúlni egyenesen egy konfigurációs fájlba vagy előcibálni az átlagos felhasználó számára rettegett parancssort. Márpedig a ők vannak többen.

A harmadik és talán legfontosabb dolog, ami miatt a linux nem hódította meg az asztali gépek világát, az a dokumentációját jellemző káosz vagy éppen sokszor nem human-readable megfogalmazás. Az, hogy az előbb emlegetett parancssorban nem csak azt lehet megnézni, hogy egy parancs mit csinál és hogyan kell használni, de még azt is, hogy bizonyos feladatra melyik lehet a legalkalmasabb parancs, a grafikus felületen pedig van egy óriási súgó, ez az átlag felhasználót nem nyugtatja meg. Persze, persze, vannak a linuxban úgymond nyelvi univerzálék, na meg POSIX-os rendszerek logikáját alaposan megtanulva és átlátva könnyebb dolga van az embernek, gondoljunk csak bele: valaki ír egy adott disztróról egy könyvet akár kezdőknek, akár profiknak, gyakorlatilag mire kijön a nyomdából, már a fele nem úgy működik, ahogy az meg vagyon' írva. Azt pedig hagyjuk, hogy magyar szerzőktől egész egyszerűen sokkal több egész egyszerűen szar könyv jelent meg a témában, mint amennyi jó.

Ehhez képest egy-egy Apple-fanatikus néha ír egy-egy könyvet az OSX használatáról, gondolom teljesen hülyéknek, ami pedig a Windowst illeti, minden nagyobb verzió megjelenését követően megjelenik először a Microsoft hivatalos teljes dokumentációja, utána egy-egy haladókönyv, ami nem foglalkozik azzal, hogy hol találja az olvasó a Start menüt, minden mással meg igen, amire magától amúgy az olvasó az életbe nem jött volna rá és tényleg átlag userként meg tud oldani egy-egy átlagosan problémás helyzetet, végül meg persze néhány könyv a nagyszülőkre optimalizált didaktikai felépítéssel. De a lényeg, hogy van egy normális dokumentáció, amit le lehet emelni a polcról, aztán tényleg benne is van, hogy mi lehet buktató, ha valakit érdekel, bepillantást nyerhet a motorháztető alá is. Na, ez a linux disztróknál egész egyszerűen nem így van, a dokumentáció tipikusan pokolian terjengős és mintha nem embereknek írták volna. Persze ez nem jelenti azt, hogy ne lennének jó könyvek linuxokhoz, viszont azok még ha bőségesek is, még mindig nem elegendőek ahhoz, hogy magabiztosan telepítse és használja a felhasználó a rendszert, anélkül, hogy esetleg szopórollerezni kellene egy-egy full alapvetőnek tűnő probléma megoldásán.

A negyedik dolog, ami miatt nem lett a linux világsiker az end-usernél, hogy a Microsoft a tragikomikus Windows Millenium után felkötötte a gatyát, gyakorlatilag nem fejlesztette tovább a 9x-termékvonalat, majd a Windows 2000 után letett az asztalra egy olyan NT-s operációs rendszert, ami ötvözte a korábbi windowsos rendszerekből megszokott grafikus felületet és logikát valamint az NT-s windows-ok stabilitását, ez volt pediglen a Windows XP. Korábban az NT-s vonalba tartozó rendszerek kb. semmivel sem voltak kompatibilisak, amik nem valamilyen céges hálózati szolgáltatáshoz kellettek, nem csoda, hogy kutya se telepítette otthonra. Emlékszik még valaki a Windows NT 4.0-re? Na ugye. Ehhez képest a Win XP máig az egyik legelterjedtebb oprendszer.

Végezetül a nagyon sokból néhány könyvet ajánlanék nehézségi sorrendben a nagyon sok jóból annak, aki linuxozna vagy linuxozik, de jobban meg szeretné érteni, ezek a könyvek pedig viszonylag függetlenek attól, hogy melyik disztribúcióról van szó.

Pere László - GNU/linux rendszerek üzemeltetése I-II. - nyugi, valójában kezdőkönyv, de nem totálisan szájbarágós
Marcel Gagné - Linux rendszerfelügyelet - szintén az alapoktól indít, de az előzőnél sokkal alaposabban tárgyalja a rendszergazdai feladatok ellátásához szükséges feketemágiát
O'Reilly-Kossuth-Kiskapu piros könyvek - szinte mind jó
ISECOM - Hacking Exposed: Linux, Security Secrets and Solutions - klasszikus darab a patinás Hacking Exposed sorozatból, ha a netről boltolod be, nagyon érdemes megnézni, hogy hanyadik kiadás 

0 Tovább

Az eboláról, kicsit szakszerűbben, némi szakmai csapongással


Az ebolával kapcsolatos megnövekedett érdeklődés akkora, hogy most az uborkaszezonban nem is lehetne népszerűségében más hírhez hasonlítani olyan módon, hogy közben megőrizzük a téma komolyságát, pedig pár dolog eszembe jutott: mondjuk amikor minden idők kedvenc pop-pedofilja, Michael Jackson propofollal a vénájába kötve átlépett az örök vadászmezőkre, Zsüsztin' Bíber visszavonult, Britney Spears várandós lett és hasonlók. Higgyék el, egyiknek sincs nagyobb hatása az életünkre, mint a mostani ebolabalhénak, írom is, hogy miért. 

A most szóban forgó ebola kórokozója nem túl jó családból származik, besorolását illetően a nyugat-nílusi láz, az influenza és a hepatitis C kórokozójához hasonlóan az egyszálú RNS-vírusok közé, viszont mivel a molekuláris biológiája alighanem senkit sem érdekel, ez most át is ugorhatom. Ami mindenkit érdekel: tkp. kinek is kell tartania az ebolafertőzéstől? Ha Ön rendszeresen fogyaszt majomhúst, Közép-Afrikában él nőként és átmegy Önön a fél falu hagyománytiszteletből, ha megözvegyül, esetleg szimplán csak végigcsókolgatja az elhunytakat a temetésen ugyancsak hagyománytiszteletből vagy éppen olyan folyóból iszik, amelyikbe amúgy a szomszéd rendszeresen belevizel, belefos, beleszül, na meg a csalfaságon kapott és agyonütött feleség holttestét is becsúsztatja, akkor van ok az aggodalomra.

A HIV-vel kapcsolatban is gyakran hangoztatták, hogy rekombináns DNS-technikával szabott-varrt kórokozó, ami aztán nem vált be biológiai fegyverként, de azért itt maradt, nem is bonyolítom a képet azzal, hogy attól, hogy egy kórokozó DNS/RNS-szekvenciája visszavezethető más, korábbi kórokozók szekvenciáira, még nem jelenti azt, hogy biztosan mesterségesen jött létre illetve ha mesterségesen mixelnek ki egy kórokozót, az nem jelenti feltétlenül, hogy könnyen visszavezethető lenne meglévő kórokozók szekvenciájára. Mi több, a természetben még civilizációs időbeli léptékben is ismerünk olyan megjelent kórokozókat, amik ha nem is a semmiből jelentek meg, alaposan eltértek az összes addig ismert kórokozótól, aztán eltűntek az evolúció süllyesztőjében anélkül, hogy kiirtották volna az emberiséget. Annak a jelenségnek, ami miatt egy pandémia megtorpan, sok oka lehet, így például ha a kórokozó a gazdával előbb végez, minthogy az tovább adhatná a kórt. Tudvalevő, hogy például a baktériumok körében a szifilisznek még a korai középkorban volt egy sokkal durvább alfaja, ami tünettanát tekintve olyan módon tért el a fennmaradt szifilisz lefolyásának tüneteitől, hogy sokkal gyorsabban jelent meg és olyan rusnya tüneteket produkált, hogy szegény beteget más bottal sem piszkálta volna meg, nemhogy nemi kapcsolatba lépjen vele, ez pedig a szóban forgó alfaj vesztét jelentette.

Tehát szinte mindegy is, hogy az ebola a természet vagy az ember teremtménye, ami biztos: mintha Afrikára, hogy precízebb legyek, az afrikai kultúrára lenne szabva, Európában viszont aligha rúg labdába. Európában, na meg a fejlett világban, ahol seperc alatt a debilitásig hypeolja a tömegkommunikáció egy-egy új kórokozó feltűnését, amihez szinte a WHO a sajtónyilatkozataiban igazodik, nem pedig a WHO-nyilatkozatokhoz igazodik a sajtó, ahogy az ildomos lenne megvan ennek a parának a jótét hatása is. Sokkal felkészültebben áll a problémának az egészségügy és a lakosság egyaránt [pl. kevésbé eszünk dögöt], így nem néz komoly karrier elébe egy ilyen kórokozó. Ha valaki szerencsétlenül megfogalmazott press release-t szeretne olvasni, ajánlom figyelmébe mondjuk ezt: http://www.who.int/mediacentre/news/releases/2003/pr31/en/ . A 2003-as SARS-őrület alatt 200 fő halt meg, Európában összesen 29-en fertőződtek meg, ehhez képest mondjuk az influenza évente 20-30 millió halálos áldozatot követel, ennek viszont nincs különösebb hírértéke, nem is eladható. Ha már megfékezésről van szó, nem csak a karantén alkalmazhatóságáról van szó, nemrég olvastam, hogy egy korábbi ebola-járványnál Afrikában amúgy képzetlen apácák oltogatták ezzel-azzal a betegeket úgy, hogy mindössze 5-6 steril tű jutott naponta több száz betegre, szóval akire nem jutott, azt kimosott (!!) tűvel szúrták, és még csak nem is ez a legcifrább sztori az infektológia történetében.

Egy szó, mint száz, ha ezen a téren nem vagyunk túl szociálisan érzékenyek, ámde tárgyilagosak, akkor kijelenthető, hogy a mostani ebolavariáns európabeli kiterjedéséhez eszelős szakmai hibákat kellene egymásra halmozni, másrészt a mostani történetesen egy olyan helyzet, ahol a fejlett világot a pénze, ezen keresztül a felkészültsége védi meg egy hirtelen fellépő és veszélyes jelenségtől.

Ha valaki joggal szeretne szörnyülködni, inkább az Epocrates Bugs and Drugs mobilappot ajánlom figyelmébe, ahol arra lehet rákeresni, hogy városonként mennyi és milyen antibiotikumra érzéketlen baktériumot azonosítottak az USA-ban. 

Epocrates Bugs and Drugs

Szóval amitől tényleg van okunk a parára kórságok terén, az sokkal inkább az antibiotikumrezisztencia, ami meghatározó vélemények szerint nagyobb veszélyt jelent majd, mint a terrorizmus

0 Tovább

Facebook-klónok "szupermenő arcoknak" I.


http://www.jeffbullas.com/2013/06/24/7-tips-on-how-to-create-content-for-the-social-web/Ákivagyok Osztcső. Ismerős? Facebook, RajVIP, néhai iWiW és sok más közösségi szolgáltatás: egyaránt lehet őket értékes, eredeti tartalmak megosztására és időpocsékolásra használni, azt pedig teljesen természetesnek vesszük, hogy gyakorlatilag korlátozás nélkül regisztrálhat bárki, aminek persze megvannak az előnyei és a rendkívül súlyos hátrányai is. Ha valaki nagyon illedelmes és még a sittről frissen szabadult általános iskolai osztálytársat is visszaigazolja ismerősként, kerülgetheti a sok értelmetlen szart a falon. Viszont eloszlatnám azt a közkeletű tévhitet, ami szerint a hatalmas Facebook-penetráció mellett képtelenség új, versenyképes közösségi szolgáltatást indítani és üzemelteti a felhasználók idejéért folytatott versenyben. Most kimondottan olyan social webes szolgáltatásokról fogok írni, amik sokszor egy igen szűk, kiválasztott - vagy önmagát annak valló - felhasználói réteg számára érhetők el, aminek persze ugyancsak vannak hátrányai és előnyei egyaránt.

Egy kis online marketinges magyarázat azoknak, akik egy barlangban töltötték az elmúlt 20 évet, nagyon röviden: az általam ismert többszáz közösségi szolgáltatás mindegyike - akár ingyenesen használható, akár előfizetéssel használható, akár freemium-modellel működik - közös abban, hogy direkt vagy indirekt reklámfelületet értékesít, amin keresztül persze a hirdető a számára legértékesebb potenciális fogyasztói réteget szeretné megszólítani. Ha ez sikertelen, a közösségi szolgáltatás idővel letűnik a süllyesztőben, részben az iWiW látványos haláltusája is annak volt köszönhető, hogy nem tudtak olyan fogyasztói kört megszólítani a hirdetéseiken keresztül, akik tényleges vásárlóerőt jelentettek volna, amellett, hogy nem építettek be olyan funkciókat, amik miatt egyáltalán érdemes lett volna egyáltalán belépni, azaz a nyújtott felhasználói élmény csúnyán elmaradt attól, amit például a Plebsbook Facebook nyújt, arról pedig csak találgatások vannak, hogy egy viszonylag profi, marketingesekből, designerekből, fejlesztőkből, ötletemberekből álló csapat miért nem volt képes sok-sok éven át olyan radikális változtatásokat eszközölni, amik megmentették, mi több, nyereségessé tehették volna az iWiW-et. Nem igaz ugyanis az, hogy a nagyobbak ellen értelmetlen a küzdelem, attól, hogy valaki Google plusozik, facebookozik vagy twitterezik még igenis fordít időt olyan közösségi szolgáltatásra, aminek látja értelmét, ilyen például a LinkedIN-nek.

Talán nem köveztek meg a már-már coelho-i bölcsességért, de minden menő közösségi webszolgáltatást az tesz menővé, mert valami olyat tud adni a felhasználónak, amit máshol nem kap meg.

Előzőekből adódóan nyilván megvan a piaci igény az olyan közösségi szolgáltatásokra, ahova az átlagosnál jóval magasabb jövedelemmel rendelkező vagy éppen az átlagosnál sokkal értékesebb, eredeti tartalmakat terítő (azaz tájékozottabb, kreatívabb) felhasználókra van szükség, így ennek a körnek tudnak olyan reklámokat villantani, amit - leegyszerűsítve - csóró és hülye felhasználóknak teljesen értelmetlen lenne, ez pedig sokszor csak olyan stratégia mellett valósítható meg, hogy valamilyen módon szűrik a felhasználókat már a regisztrációkor, azaz a bejáratnál. Mielőtt elhamarkodottan rávágná bárki is, hogy ez mekkora sznobéria, elitimus, mások kirekesztése, kicsit jobban belegondolva világos, hogy ez az üzleti modell szempontjából teljesen logikus, mi több, ebben a szegmensben az egyetlen járható út, hiszen egyetlen webes szolgáltatás sem népjóléti szolgálat; másrészt sehol sincs az leírva, hogy Internetországban kötelező lenne biztosítani a felhasználók közti esélyegyenlőséget, még ha ez súlyos ellenérzéseket vált is ki. Teljesen hasonlóan ahhoz, ahogy a Mensa HungarIQa is rendszeresen megkapja azt az ostoba vádat, hogy elitista pöcsök gittegylete, hogy-hogynem sejthetően nem túl magas IQ-val rendelkezők részéről.

Csapjunk is bele, a felsorolás szigorúan szubjektív! Az első blokk olyan szolgáltatásokat tartalmaz, amik személyes tapasztalat alapján is kitűnőek kapcsolatépítés, nívós szakmai beszélgetések, munkakeresés és értelmes időtöltés szempontjából, és amitől egy szolgáltatás értéke IMHO döntően függ: hogy kik vannak rajta.

Ezekről a webes elit-gittegyletekről általánosságban elmondható, hogy évente 5-10 meghívó küldhető maximálisan, ez azonban több faktortól is függ, mint például a felhasználói aktivitás, a már meghívott aktív felhasználók száma és mivel mindnél élet-halál kérdés a felhasználói körrel kapcsolatos koncepció érvényesítése, nem küldhető meghívó azonnal a regisztráció után, az előregisztrációk emberi ellenőrzésen is átmennek, mindemellett bárkit kirúghatnak, ha túl sok - khömm, mondjuk úgy - MyVIP-es nívójú tartalmat posztol. Több helyen van dislike funkció, ami segíti, hogy a közösség szabályozza önmagát, aztán az oda nem illő arcokat bannolják.

InterNations.org

Eredetileg az expatokat célozza meg és segíti a kapcsolatteremtést olyanok számára, akik gyakran utaznak, ugyanakkor ismerkedni szeretnének hasonszőrű figurákkal. Minden tag adatlapját, aki akár meghívóval, akár más módon regisztrált, külön-külön alaposan átnézik, valószínűleg egybevetik a róla neten fellelhető információkkal, nem nyilvános, hogy a "felvételi arány" milyen, ami viszont tény, hogy nem túl magas. Mindemellett a "felvételi" meglehetősen hektikus: irtó kínos volt, amikor egy távoli barátomnak, aki az Oxfordi Egyetemen szerzett diplomát, majd PhD fokozatot, meghívót küldtem, viszont alighanem a kézi ellenőrzésen bukott el az account élesítése, amit persze nem indokoltak. 

Internations.ORG

ELEQT.com

Az elmúlt 1-2 évben óriási ráncfelvarráson átesett szolgáltatásba eredetileg kétféleképp lehetett bekerülni: a felhasználó vagy kicsengetett 5000 USD-t vagy éppenséggel volt ismerőse, aki meghívja, ugyan ez lehet, hogy már változott. Az ELEQT számomra tökéletesen érdektelen része a luxus-szirszarok, annál jobbak viszont a fórumozós felület és a szigorú kritériumok alapján összeállított kulturális programajánló.

ELEQT.com

Pingsta.com

Ide ugyan nem csak meghívóval lehet bekerülni: ha valaki igazolja, hogy több, mint 10 éves tapasztalattal rendelkezik a hálózatok üzemeltetése terén, már fogadják is tárt karokkal. Vagy nem. Mindenesetre az alapos szűrés szavatolja, hogy a szakmai témákba ne kontárkodjon bele bármiféle n00b, de nem vagyok róla meggyőződve, hogy szakmai információforrásként értékesebb lenne, mint a Stackexchange vagy a Quora.

aSmallWorld.com

Az egykor nyolcszázezres felhasználói táborával talán még mindig a legnépesebb, legrégebben alapított webes elitklub első verziójának vesztét pont az okozta, hogy egész egyszerűen nem tudták normálisan kontrollálni és kínosan kezdett az egész elkurvulni. Másfél évvel ezelőtti kiadós leállást követően újraindult újratervezett formában, ám a kegyelemdöfést nem csak a bevezetett 130 eurós éves előfizetési díj jelentette, hanem az, hogy az eredeti alapító gyakorlatilag levette a kezét az egészről és a bizniszt dilettánsoknak passzolta le, akik persze hibát hibára halmozva elérték, hogy újgazdag, ámde annál nagyobb sznob gyökerek kerüljenek túlsúlyba. 130 EUR ide vagy oda, az újraindítás után csak azok aktiválhatták vissza a profiljukat, akik eredetileg is tagok voltak, azaz a felhígult felhasználói kört a fizetőssé tétellel próbálták megszűrni, aminek meg is lett a tragikus eredménye, túlzás nélkül, az ASW-ből seperc alatt sikerült élő halottat csinálni ezen a piacon. Wiki szócikk amúgy erre.  

BestofAllWorlds.com (BOAW)

Az ASW alapítója által létrehozott site neve nem kevés élcelődésre adott okot a nemzetközi sajtóban már az indulása előtt is. Témák szempontjából persze ez is főként a luxusra és az életmódra van kihegyezve, a blogolós felület és a fórumok példás igényességgel vannak kialakítva, a témák változatossága pedig eléggé nagy változatosságot mutat a nívó szempontjából, még mindig hasznosabb, mint a nyílt szolgáltatások többsége.

Bestofallworlds.com

Quibb.com

Regisztrálni bárki regisztrálhat. A beugrón viszont csak nagyjából a játékosok egyharmadát engedik át mégpedig aszerint, hogy a Twitteren, Google Pluson és más helyeken eléggé nagy influence-szel (ergo valószínűleg erős tartalommal) rendelkeznek-e ahhoz, hogy a Quibb-en is bölcselkedhessenek. Persze a többi szolgáltatás is angol nyelvű, a Quibb moderátorai a csatlakozni vágyóknál mintha csak az angol nyelvű külső tartalmait vennék figyelembe az influence megállapításakor, ami kétségessé teszi a szolgáltatás jövőét, hiszen más nyelveken is vannak erős tartalmak, sőt.

ELIXIO.net

Luxus, luxus, luxus, itt viszont már a masszív debilitásig menően, mindez a 2000-es évek elejét idéző webergonómiai megvalósítással súlyosbítva. Kritikusai szerint a fájdalmas egyhangúsága mellett valójában kakukktojás a hasonló szolgáltatások közt és valójában egy kamu-elit oldal, ami csak annyiban szűrt, hogy csak meghívóval lehet regelni, legalábbis csak azzal lehetett, amikor én kezdtem el használni. 

ELIXIO.net

Ez a poszt egy három részesre tervezett sorozat első tagja. A következő posztomban kitérek rá, hogy a zárt webes közösségekben milyen kockázatokkal lehet számolni, amikre hagyományos közösségi szolgáltatásokban gyakorlatilag soha, milyen átverési kísérleteket láttam az elmúlt néhány évben és hogy miben tényleg különbözik az a felhasználó tábor, aminek tagjai csak szigorú szabályok alapján használhatnak egy szolgáltatást azoktól, ahova a MyVIP-szökevények is bármikor felregisztrálhatnak. Elöljáróban annyit mondanék: senki se próbáljon meghívót venni pénzért a neten!

A harmadik posztban terveim szerint arról írok, hogy a szűrt és zárt felhasználói közösségek hogyan hathatnak és hatnak is a közösségi információáramlás mostani formájára.

0 Tovább

Egy legendás levelezőrendszer esete a biztonsággal, na meg a felhasználókkal


"Celebrating our 15th anniversary with our new feature: Two-Step Verification" jelentette be a legendás Hushmail májusban a Twitteren, amit - kéretik figyelni! - mindössze egyetlen felhasználó favolt és retwittelt, én meg konkrétan nem vettem észre, pedig jópár éve hardcore hushmailes vagyok. Értem én, hogy a jó munkához idő kell, de ha egy olyan levelezőrendszernél, aminek a születésénél maga Zimmermann, a PGP titkosítóalgoritmus atyja bábáskodott, IMHO máig az egyik legbiztonságosabb levelezőrendszer a világon, gyakorlatilag le vannak maradva az end-user szemében a többiekhez képest, na, az nem jó. Nem jó, mert 2FA téren megelőzte őket az összes nagy, látszólag ingyenes, a felhasználók adataiból élő kommersz mailszolgáltató  Google Mail - Yahoo - Outlook.com sorrendben, ahogy az egy-egy újításnál lenni szokott. Szóval Hushmailék  túl kevéssé kommunikálták a történetet. 

Az, hogy beelőzték őket, még a kisebb probléma: a PRISM-parát meglovagolva ugyanis egy rakás "überbiztonságos", semmiből előtűnő freemium modellel működő vagy előfizetéses levelezőszolgáltatás jelent meg a piacon, amik jó esetben nem zárják be a boltot maholnap és tipliznek a Bahamákra az ügyfelek pénzével ill. jó esetben ezeket a szolgáltatókat nem valamilyen szépnevű hárombetűs szervezet fedőcége vagy nehézsúlyú adathalászok hoztak létre pont azoknak a megfigyelésére, akik éppen azért fizetnek, hogy a levelezésük ne legyen látható. 

Fejtegethetném, hogy nem, nem csak akkor van szükséged elfogadhatóan biztonságos levelezésre, ha egy jó nagy cég vagy hírportál vezetője vagy (egyébként is, 5-10-15 év múlva még lehetsz és igen, 5-10-15 év múlva is valakinél meglesz levelezésed), az meg sokkal cirkalmatosabb téma, hogy mikor is tekinthetünk egy levelezőrendszert biztonságosnak, ugyan egy részét itt már érintettem korábban. 

Az átlag felhasználótól nem várható el, hogy megállapítsa egy levelezőszolgáltatásról, hogy mennyire biztonságos, elég csak rákeresni a neten, hogy melyik is a legbiztonságosabb levelezőrendszer a világon és belenézni az első néhány találatként talált fórumba. Ezt a tudatlanságot kihasználva szedte meg magát egy rakás, elvben biztonságosnak tűnő levelezést kínáló startup olyan jól hangzó, ámbár szakmai szempontból még debilebb érvekkel, minthogy a szervertermük be van fúrva egy hegy gyomrában, skandináv országban/Svájcban van, amire kevésbé lát rá az NSA vagy éppen azzal érvelt a szolgáltató, hogy saját titkosító algoritmust fejlesztett ki, de hogy mi az, na, azt nem árulja el. Ha nem vagy terrorista, a levelezést amúgy nem az NSA-tól kell félteni, hanem mondjuk egy üzleti versenytárstól, aki alighanem meg tud fizetni olyan szakit, aki technikai tudással és/vagy kapcsolati tőkével szinte bármelyik szerverbe bele tud nézni, ha eleget fizetnek neki. Eloszlatnám azt a közhelyet, hogy "minek foglalkozni vele, mert úgyis feltörhető", tökéletes biztonság nincs, viszont elfogadható biztonság igenis van. És általában nem a legdrágább megoldásokkal. 

Ha egyéni felhasználóként vagy cégvezetőként arról szeretnél informálódni, hogy mi az, ami tényleg biztonságosnak tekinthető, ne a zöldségest, hentest vagy a szomszéd neandervölgyi kinézetű, informatikus végzettségű photoshop-artistát kérdezd, hanem olyat, aki ért is hozzá, mondjuk mert ez a hivatása. Ha a netről informálódnál, az csalóka lehet, ugyanis az ezzel kapcsolatos netes keresésnek csak akkor van értelme, ha pontosabb képed van róla, hogy mit is keresel, azaz az értékes információhoz nem meglepő módon eleve jól kell feltenni a kérdést. 

Securityreactions tumbliról schmittelt képpel zárnám soraimat: 

"Why aren’t you worried about the NSA spying on your internet use or emails?"

0 Tovább

"De nekem nem láthatók a Facebook-ismerőseim"


Képzeljük el azt a prózaian egyszerű szituációt, hogy valamilyen okból tudnunk kell, hogy valakinek kik az ismerősei a Facebookon [2], viszont az érintett felhasználó letiltotta, hogy az ismerősei listája látható legyen. Persze, persze, egy kamu adathalász FB-kisalkalmazással ami az felhasználó “szives hozzájárulása” után lekérdezi mindezt, nem nagy bravúr. Viszont a Facebook alkalmazásfejlesztői környezetében [API] egyrészt nem tud mindenki (adathalász) szoftvert fejleszteni, másrészt ha a felhasználó explicite letiltotta, hogy kisalkalmazások a kontaktlistájához hozzáférjenek, mindez meghiúsul.

Ebben a posztban egy arcpirítóan egyszerű megoldást mutatok be, amin keresztül bárkinek a kontaktlistája lekérhető egyetlen programkód megírása nélkül.

Amikor egy szűz böngészőn keresztül – azaz nem pl. meghívóval – regisztrálunk a Facebookra, az illedelmesen felajánlja, hogy bővítsd az ismerőseid körét és onnan dob fel ajánlatokat ahonnan tud: a rendszer feltételezi, hogy a meglévő ismerőseid ismerőseit nagyobb valószínűséggel ismered, mint véletlenszerűen ajánlott felhasználókat, így eleve őket fogja ajánlgatni a jobb oldallécben. Könnyen belátható, hogy ha még nem nagyon léptél kapcsolatba senkivel és csak egyetlen ismerősöd van, az ő ismerőseit dobja fel – és, most jön a lényeg – teljesen függetlenül attól, hogy a meglévő ismerősöd a saját kontaktlistáját mások előtt rejtettre állította vagy sem. Azaz ha elegendő alkalommal frissíted az ajánlott ismerősök listáját, az összes ismerősdét kigyűjtheted, függetlenül attól, hogy azt elvileg láthatnád-e vagy sem, de a módszer még akkor is működik, ha a célfelhasználó az emlegetett kisalkalmazások számára az ismerősök leolvasását az API-n keresztül is tiltotta [1]. Ez mondjuk – számomra – abszolút nem új.

Amit viszont nemrég vettem észre, hogy, hogy a felvázolt esetben nem csak azokat a felhasználókat dobja fel ajánlottként, akik már a meglévő ismerőseid ismerősei, hanem azokat is, akiket ő ismerősnek jelölt vagy őt jelölték ismerősnek, de még nem igazolta vissza a kapcsolatot. Mindenki döntse el magában, hogy ez mennyire kínos, nekem csak egy leendő számítógépes nyelvész kérdése jutott eszembe: “ez most bug vagy feature?”.

Ismétcsak azt tudom mondani, hogy egy közösségi szolgáltatásban teljesen fölösleges a privacy settings-szel és a hasonlóan szépnevű audience selectorral játszani, hasonlóan ahhoz, ahogy a képek láthatósága is kijátszható volt látható minden más is vagy így vagy úgy, legfeljebb az lehet kérdés, hogy egy-egy módszer mennyire ismert.

Nem kalandoznék el nagyon, de összességében ismétcsak azt tudom mondani, hogy nem az a megoldás, ha bojkottáljuk a közösségi webes szolgáltatásokat, hanem az, hogy csak olyan tartalmat töltünk fel, ami szigurúan publikus.

[1] ennek az egésznek természetesen semmi köze az API-hoz
[2] oké, persze ez sokkal egyszerűbb a LinkedIN-en vagy az iWiW-en, amíg van, ui. nyilván ezek általában átfednek
[3] haladó kérdés: az ismertetett logika + egy FB-sajátosság alapján hogyan kérdezhető le a teljes ismerőslista ha több ismerősöd van, de csak egyvalaki ismerőslistájára vagy kíváncsi, aki mindenki előtt rejtve próbálja tartani az ismerőseit. Megoldás jöhet kommentben és emailen egyaránt!

1 Tovább

Hogyan működik a világ legerősebb titkosítási eljárása?


Na jó, a címadással csaltam egy kicsit: egyrészt az egyik legerősebb ma ismert és civil használatra megengedett titkosítási eljárásról fogok írni, másrészt a számításelméleti részletekbe egyáltalán nem megyek bele.

A PGP vagy annak egy klónja, megbízható becslések szerint az egész világon a titkosítást alkalmazó kütyük - legyen szó mainframe szerverről vagy filléres mobilról - közt legtöbb helyen alkalmazott titkosítási eljárás. A PGP valójában két titkosítási eljárás, egy asszimmetrikus és valamelyik szimmetrikus módszer alkalmazásaként működik.

Az asszimmetrikus titkosítás gyakorlatilag minden esetben az RSA módszeren alapul, aminek a működését a következő módon szemléltetném, ráadásul már-már tankönyvi nevekkel: Alice szeretne üzenetet küldeni Bobnak, viszont abban az esetben, ha Alice az üzenetet titkosítja, akkor a titkosításhoz szükséges kulcsot is el kellene juttatnia Bobnak, hogy Bob ugyanazzal a kulccsal az üzenetet vissza tudja fejteni. Abban az esetben, ha a titkosításhoz szükséges kulcsot közben elkapják a titkosított üzenettel együtt, a titkosítás semmit sem ér, hiszen vissza tudja fejteni az is, aki elkapta. Ezzel szemben az asszimmetrikus titkosításnál Alice és Bob egyaránt rendelkezik egy kulcspárral: mindkettőjüknek van egy saját, privát kulcsa, amit csak ő ismer és egy publikus kulcsa, amit bárki ismerhet és ismernie is kell, ha titkosított üzenetet szeretne küldeni neki. Ebben az esetben a történet a következő módon néz ki:
1. Alice és Bob odaadják egymásnak a saját publikus kulcsukat [ezt csak egyszer kell megtenniük]
2. Alice titkosított üzenetet küld Bobnak olyan módon, hogy az üzenet titkosításához a saját privát és Bob publikus kulcsát használja, majd elküldi az üzenetet
3. az üzenet megérkezik Bobhoz, majd az üzenet visszafejtését a saját privát kulcsával, valamint Alice publikus kulcsával végzi el

Azaz egyszer sem haladt át a teljes titkosításhoz szükséges kulcs, mégis tudják olvasni az egymásnak küldött üzeneteket, így az 1970-es években a több ezer éves (!!) ún. kulcsmegosztási problémát oldották meg. Hogyan kombinálódik is az asszimmetrikus és szimmetrikus módszer?

A szimmetrikus kulcsú titkosításnál ugyan csak egy kulcs van, ami a titkosítást és a visszafejtést egyaránt végzi, de ez ideális esetben eléggé erős.

Teljes kommunikáció RSA-val titkosítani egyrészt elképesztően számításigényes lenne, másrészt szükségtelen is, ebből adódott az ötlet, hogy a kettőt össze lehetne lőni, így létrehozva egy olyan titkosítási eljárást, ami kellőképpen erős ahhoz, hogy minden ma ismert törési próbálkozásnak ellenálljon. Ennek az ötletnek az alapján valósította meg Phil Zimmermann a PGP-nek nevezett titkosítási eljárást 1991-ben, ami a következőképp működik:

1. Alice tömöríti az üzenetet, hogy a műveleteket kisebb adathalmazon kelljen végrehajtani
2. Alice egy egyszer használatos, akkor generált kulccsal titkosítja az üzenetet egy szimmetrikus módszerrel
3. Alice magához a szimmetrikus titkosításhoz használt kulcsot - amit beágyaz az üzenetbe - titkosítja Bob nyilvános kulcsával, majd elküldi az üzenetet

Bob az üzenet visszafejtésekor a saját privát kulcsával először az asszimmetrikus titkosításhoz használt kulcsot éri el, majd azzal bontja ki a teljes üzenetet.

nem a teljes PGP ábrája! csak az asszimmetrikus titkosításé

Kultúrtörténeti érdekesség, hogy az internet hőskorában az, hogy egy egyszerű otthoni számítógéppel olyan erős titkosított üzenetet lehetett létrehozni, amit még a nagy-nagy hárombetűs szervezetek sem tudnak visszafejteni szuperszámítógépekkel, akkora riadalmat keltett, hogy 1993-ban az USA-ban eljárást kezdeményeztek Phil Zimmermann ellen, viszont lévén, hogy nem lehet perelni valakit csak azért, mert túl hatékony algoritmust hozott létre, a vád a fegyverek exportját szabályozó törvény megsértése volt. Végül az eljárást 1996-ban megszüntették vádemelés nélkül, addigra pedig a PGP már úgyis elterjedt az egész világon.

Még középiskolás koromban gondolkoztam azon, hogy ha ennyire egyszerű és ennyire hatékony egy titkosítási eljárás, akkor miért nem megy át minden elképzelhető felhasználói adat két fél közt, azaz például ha emailt vagy SMS-t küldünk valakinek, az eszköz csak betöltené a címtárból a feladó nyilvános kulcsát és a címzett már meg is nyitná az üzenetet a saját privát kulcsával. A teljes magyarázat bőségesen meghaladná ennek a posztnak a kereteit, a legfontosabb indokok mogyoróhéjban az emailezés példáján keresztül: pont a 90-es évek elején robbantak be az ingyenesen elérhető email szolgáltatók, amik döntően webes felületen működtek és a felhasználóik tudatosság szempontjából egész egyszerűen nem voltak érdekeltek abban, hogy az üzeneteik titkosítva legyenek, a szolgáltatóknak pedig nem volt érdekük plusz munkát róni a saját szervereikre, ezen kívül a privát kulcsokat is biztonságosan tárolni kellett volna valahol, ha szempont, hogy a felhasználó a leveleit bárhonnan meg tudja nézni, ne csak azon a gépen, amin a saját privát kulcsa van. Megjegyzem: ebben az időben még pendrive-ok és hasonlók kanyarban sem voltak, amin lehetett volna tárolni és használni a privát kulcsot.

Ma pedig az ingyenes levelezőszolgáltatók leggyakoribb üzleti modellje az, hogy a levelezésért nem kell fizetni, viszont egy algoritmus megvizsgálja a levélben előforduló kifejezéseket, majd annak alapján sebészi pontossággal helyez el targetált hirdetéseket a levél szövege melletti oldallécben. Dollármilliárdos piacról van szó. Ha az üzenet titkosított, természetesen a hirdetés targetálása lehetetlen. A Gmailnek például nyilván veszteséges, de nem tiltja, hogy olyan üzenetek továbbítására használják a felhasználók a fiókjukat, amik teljesen elemezhetetlenek az elemzőmotorjaik számára, ez azonban a felhasználóknak csak nagyon kis részét érinti.

Elméletileg megoldható, hogy egy webes levelezőrendszerben PGP-t alkalmazzanak, ez azonban rendkívüli kockázatot rejt magában, hiszen ha valamilyen módon a privát kulcsokat ellopják, az összes felhasználó titkosított levelezése olvasható lesz, ráadásul új kulcsot kellene mindegyiküknek generálnia. Valójában a publikus levelezőrendszerek közt egyetlen normális kivétel van, a Hushmail, ami a privát kulcsok tárolását saját maga oldja meg, ez a kulcs egyébként le is tölthető.

De mit tegyünk, ha saját magunk akarunk olyan titkosított leveleket küldeni és fogadni, amit aztán tényleg nem olvas se ember, se isten, hacsak nem szerezte meg a privát kulcsunkat? Természetesen több konkrét megvalósítás is van, ezek közül az egyik legelterjedtebb kombót mutatom be, ami működik Windowsban, OSX-en és linuxokon is.

Először is a levelezőszolgáltatónknál engedélyezzük az IMAP4/POP3-letöltést - annyira alap szolgáltatás, hogy ha nem lenne lehetséges, időszerű szolgáltatót váltani - majd telepítsünk fel egy levelezőklienst, például a Thunderbirdöt. Ezt követően szükség lesz egy PGP motorra, amiből többféle is létezik, a legelterjedtebb a Gnu Project által feljesztett GnuPG, ami Windowshoz a http://www.gpg4win.org/ címről, OSX-hez pedig a https://gpgtools.org címről tölthető le, a linux-júzerek meg úgyis tudják. Ezek után a Thunderbirdbe telepítsük az Enigmail addont, ami meg fogja hívni a motort, amikor titkosításra van szükség.

Ha mindez megvan, indítsuk el a GnuPG részeként települt PGA-t [GnuPG Agent] vagy a Kleopatra-t, ahol már gyerekjáték új kulcspárt generálni, kezelni. A kulcsunk mérete lehet 1024, 2048, 3072 és 4096 bites is, viszont erősen ajánlott alapértelmezés szerinti 2048 bites kulcsot generálni, mivel más PGP-szoftverek ezzel garantáltan kompatibilisek, ideértve például mobiltelefonok esetén például Android platformon az APG-t, iPhone-nál használt iPGMailt-t is. Fontos, az is, hogy a kulcs több jellemzője is megváltoztatható, a mérete azonban nem!

Ha a kulcspár készen van, aminek a privát részét egy szerkeszthető jelszó is védi, készítsünk róla másolatot, a publikus kulcsot pedig küldjük át annak, akinek szeretnénk GPG-zet levelet küldeni ill. kérjük el az ő publikus kulcsát. Természetesen azért, hogy mindez egyszerűbb legyen, szerte a neten vannak óriási "GPG-telefonkönyvek", ahol ki lehet keresni más GPG-kulcsát az email címe, neve és egyéb adatok alapján, így a publikus kulcsok betölthetők a saját helyi kulcstárunkba illetve mi is feltölthetjük a sajátunkat. Ha egy nagy GPG-adatbázisba feltöltöttük a publikus kulcsunkat, a többibe már nem szükséges, hiszen ezek szinkronban vannak egymással, Magyarországon ilyen például a http://keys.niif.hu/

Amint mindez kész, írjuk meg a titkosítani kívánt levelet, majd küldéskor üssük be a privát kulcsunkhoz tartozó jelszavunkat, az Enigmail pedig a címzett alapján tudni fogja, hogy kinek a publikus kulcsát kell használnia az üzenet titkosításához a kulcstárunkból és a levelet el is küldtük.

Ami még hatalmas előnye a megoldásnak, hogy ha a levelet digitálisan alá is írtuk, az megmásíthatatlanul bizonyítja, hogy a levelet valóban mi írtuk, akkor, azzal a tartalommal, közben nem írt át benne senki semmit és mivel egy GPG-kulcshoz több email cím is hozzárendelhető, ha az email címünk megváltozik, de a leveleinket továbbra is aláirkáljuk, az igazolja a címzett oldalán, hogy tényleg mi vagyunk csak más címmel, nem pedig valaki a nevünkben akar levelet írni.

A posztban nem tértem ki rá, hogy természetesen minden normális levelezőklienshez hozzá lehet adni olyan kiegészítőt, ami lehetővé teszi a PGP-zést, csak éppen van, amelyikben iszonyatosan fapados módon működik. Ahogy nem tértem ki a kulcspár finomhangolási lehetőségeire sem [érvényességi idő, kulcs értvénytelenítésének lehetősége].

Amit viszont nagyon fontos megjegyeznem, hogy a szimmetrikus- és asszimmetrikus titkosítást természetesen nem csak emailek titkosításánál használják, hanem ez a lelke például az SSL/TSL-titkosításnak is, aminek a nyomát nap, mint nap látunk a böngészőben szinte minden, önmagára valamit is adó webszolgáltatásnál, kis lakatként a böngészőben a címsor elején. Ott az egyszer használatos kulcs ismétcsak nálunk van, de a böngésző belügye, hogy azt hogyan kezeli, míg a publikus kulcs a szervernél, ami éppen kiszolgálja a webhelyet. A titkosítás eléggé világos ok miatt sokkal kisebb, mint 2048 bites kulccsal dolgozik. De a technika egyre több internetes telefonálást vagy chatelést biztosító szolgáltatásban is ott figyel, nem mellékesen nem mindegyikben, amelyikre a gyártó azt mondja, hogy igen. A ütősebb, jóval erősebb hardveres titkosítást alkalmazó pendriveok titkosításának az alapja ugyanez.

Néhány kapcsolódó téma, amibe most szintén nem mentem bele: az alkalmazott asszimmetrikus módszertől függően bizonyos kulcsok csak titkosításra használhatók, digitális aláírásra viszont nem valamint az, hogy a titkosítás szigorúan számításelméleti szempontból feltörhetetlen, nem jelenti azt, hogy a gyakorlatban is az: például, ha az egész véletlenül hibásan van leprogramozva vagy az algoritmusnak az a része, ami a kulcspárok generálásához a dög nagy prímszámokat nem teljesen véletlenül választja ki, így a lehetséges privát kulcsokból sokkal kevesebb állítható elő - amiből nemrég orbitális botrány is lett

A GPG-ről egyébként Thunderbird-GunPG-specifikusabban egy behatóbb cikket is írtam néhány napja, amit itt találtok meg

[kollégák figyelmébe: itt ismeretterjesztő cikkről van szó, ennek megfelelően lett megírva, az egyszerűsítések és az érthetőség kedvéért alkalmazott kevésbé precíz megfogalmazás, a PGP és GPG itt-ott szinonimaként való használata az érthetőséget hivatott szolgálni] A magyarázó ábra forrása: Wikipedia. 

1 Tovább

Facebook-fiók megszerzése kamu ismerősökön keresztül


Többször emlegettem már, hogy ha egy világméretű szolgáltatásról van szó, arról hajlamosak vagyunk azt hinni, hogy a rajta működő fiókunk teljes biztonságban van, főleg a relatíve egyszerű, azaz invazív törési technikákat nem igénylő módszerekkel szemben védett. Nos, nem. Már-már könyvet tudnék írni, hogy ilyen-olyan közösségi szolgáltatásokban hogyan lehet idegen fiókot megszerezni vagy eltéríteni, a felhozatalban pedig a Facebook előkelő helyen lenne. A módszerek többségéhez minimális programozási tudás szükséges vagy még annyi se, én most a legfrissebbet mutatom be.

A Facebook egy nem túl régen bevezetett újításaként a https://www.facebook.com/settings?tab=security&section=trusted_friends&view tabon meg lehet jelölni olyan ismerősöket, akiknek a segítségét lehet kérni abban az esetben, ha a fiókunk hozzáférhetetlenné válik, azaz nem tudunk belépni, de nem küldhető jelszó-helyreállító token sem emailen, sem mobilon SMS-ben, nem állítottunk be biztonsági kérdést és még egy okostelefon sincs hozzárendelve a fiókhoz. Ilyenkor van rá lehetőség, hogy a 3-5 kijelöl megbízható ismerősnek a Facebook küldjön egy-egy kódocskát, amiket hozzánk eljuttatva, majd aokat általunk beütve a Facebook fiók ismét elérhetővé válik. A nem kis probléma pedig az, hogy a Trusted contacts beállítása nem kötelező és a felhasználók többségénél nincs is bekapcsolva, a most bemutatásra kerülő account-hijacking erre alapul.

Tételezzük fel, hogy valaki fel akarja nyomni az accountomat, így a Facebook nyitóoldalán a "Forgot your password?" pontot választja. Itt kereshető az áldozat a "helyreállításra szoruló" fiók egyedi azonosítója, rövid, ún. user-friendly neve, teljes neve, email címe(i), telefonszáma(i) alapján egyaránt. Ekkor valami ilyesmi tárul a szemünk elé:

facebook feltörés

Mivel itt lehetőség van azt az opciót választani, hogy a megadott elérhetőségek egyikéhez sincs hozzáférésünk, ezt követően a Facebook bekér egy tetszőleges email címet, amin felveheti velünk a kapcsolatot szükség esetén.

Továbblépve ezután választhatjuk azt a lehetőséget, hogy a barátainktól kérünk segítséget a fiók visszaállításához és itt jön a csavar: abban az esetben, ha korábban az áldozat nem jelölt ki megbízható kontaktokat az előbb emlegetett Trusted contacts tabon, az összes ismerős közül, teljesen tetszőlegesen lehet választani, hogy kitől kérünk segítséget. Jól ismert, hogy az átlag felhasználó igencsak tapintatos tud lenni, ha ismerősnek jelölik, gyakorlatilag visszajelöl boldogot-boldogtalant, így az sem ritka, hogy egy fogát csikorgató ex vagy éppen egy kirúgott beosztott van fent az ismerősök közt kamu néven, ezen kívül minden további nélkül fent lehet néhány kémkedő - szakargóban stalker - kamu felhasználó is, amit pont a támadó tett oda mondjuk több hónap alatt, hogy ne legyen túl feltűnő. Ha tehát legalább három olyan kamu felhasználót vett fel az áldozat, amit maga a támadó hozott létre és vetette fel velük magát ismerősnek az áldozattal korábban, nem nehéz megjósolni a következményt. Ezen a ponton ha a támadó kijelöli a saját három alvó ügynökét, akiknek a postafiókjába landol a három helyreállításhoz szükséges tokenkódocska és amint a támadó azokat megadja, már meg is szerezte az áldozat Facebook-fiókját.

facebook hacking

Egyedüli részmegoldásként azzal lehet csökkenteni a kockázatot, ha kijelölünk megbízható kontaktokat, így egy ilyen típusú támadás esetén a támadó nem tud tetszőlegesen választani az ismerőseink közül, amik némelyike esetleg mind hozzá tartozik.

Megj.1: a leírás messze nem tér ki minden leetséges scenariora, ezért nem biztos, hogy mindenkinél működik
Megj 2: a Facebook azért nem teljesen hülye, ha valaki amatőr módon, azaz anonimizálási technikák nélkül fog neki egy ilyennek, a Facebook millió meg egy dolog alapján azonosíthatja és végleg kirúghatja a támadót az összes accountjával együtt, ideértve a valódit is. Azaz ne próbáld ki otthon.

9 Tovább

Tanárplagi: ahol már a vizsgabeugró is plágium


De nem ám a hallgató által adott válaszok, hanem az oktató által írásban feltett tesztkérdések!

Zaválnij Bogdán

Nos, ha a szellemi tulajdon védelméről van szó, az alatt a jónéhány év alatt, mióta elkezdtem foglalkozni ezzel a témával, láttam már a kategóriában a "bolti csokilopástól" kezdve a "profin kivitelezett terrorcselekményig" mindent. Azt hiszem, hogy nem szorul különösebb magyarázatra, hogy miért nem villantok rendszeresen konkrét eredményekkel ezen a területen, elvégre nem szeretném izgalmasabbá tenni az életem a delikvensek revansa miatt, akik vélhetően nem szeretik, ha a szakmai reputációjukat kidumálhatatlan veszteség éri, mert kimondom nekik: LOPTATOK. Az más kérdés, hogy bizonyos esetekben tudományetikai kötelességem az illetékeseket anonim módon tájékoztatni róla.

Zaválnij BogdánNyugi, a minimálisan szükségesnél jobban nem megyek bele, hogy forrásmegjelölés nélkül elhappolni szellemi tulajdont miért sokkal súlyosabb dolog, mint azt a többség gondolja, a mostani eset pedig ugyan pitiáner, mi több, a műfajon belül a biciklilopás kategória, a régóta betegeskedő felsőoktatás egyik súlyos tünete.

Történt ugyanis, hogy közzétettek egy beugrót az arra adható válaszokkal együtt a Pécsi Tudományegyetem TTK-ján tanuló informatikus hallgatóknak az Operációs rendszerek tárgyhoz, a beugró egyébként ala' natúr itt tekinthető meg.

Jól látod. De ez nem ám valamiféle draft, hanem maga a dokumentum, magyar kérdésekkel, schmittelés-gyanus angol válaszokkal, összességében pedig már-már alulmúlhatatlan igénytelenséggel. PTE-s forrásaim tényként kezelik, hogy a kérdéssort az Operációs rendszerek tárgyat idén tanító Zaválnij Bogdán készítette és adta ki, azaz magának a dokumentumnak a metaadatait nem kellett megvizsgálni lévén, hogy azok nem relevánsak.

A kérdések kivétel nélkül I. A. Dhotre Operating Systems könyvéből illetve a Silberschatz, Galvin és Gagne Operating System Concepts Essentials szintén ARR jogvédett művéből származnak.

Nos, azzal - hangsúlyozom: a gyakorlatban - még különösebb probléma nem lenne, ha egy oktató egy sima kollokviumi vizsgaanyag elkészítéséhez - akár változatlan formában - máshonnan emel át szövegrészeket, azzal már igen, ha a közzétett anyagban semmilyen formában nem jelöli meg a forrást.

Zaválnij Bogdán egyébként PTE-s körökben egy fogalom a maga módján, az olvasó számára pedig érdekes lehet, hogy mégis ki lehet az, aki ilyen remek mestermunkát ad ki a kezéből. Az egyik személyes oldalát elnézve nem egy webergonómia zseni, az biztos, a MarkMyProfessor oldalon megjelent review-k pedig szintén magukért beszélnek.

A PTE TTK egyik kiadványában saját maga beszél arról, hogy az ELTE fizikus szakát félbehagyva átment az ELTE orosz szakára, amit ismétcsak megszakítva a BME mérnök informatikus szakán tanult, amit megszakítva ismét visszament orosz szakra, ahol orosz szakos diplomát szerzett orosz anyanyelvűként vélhetőleg cca. 10 év alatt, amiért innen is gratulálok! Ezt az értéket egyébként a neten fellelhető információk alapján saccoltam be, például az alapján, hogy a 2003-as OTDK munkájának elkészítése idejét harmadéves volt.

Egyetemi oktatói pozíciókat jobb családokban kemény szakmai sztenderdeknek megfelelő pályázat útján lehet elnyerni, ehhez képest az interjúban Zaválnij saját maga mondja el, hogy őt egy ismerőse hívta a PTE-re és ment is.

Teljes interjú innen tölthető le http://ptettkhok.hu/tietekp/2011/december.pdf‎ ha esetleg "elveszne", akkor innen

Ha eddig nem dobtad volna el az agyad azon, hogy a PTE több, saját maga által felállított szabályzatnak ill. az akkor hatályos jogi környezetnek szembemenve felvett egy bölcsészt egyetemen programozást tanítani, aki anno még PhD-fokozattal sem rendelkezett [az interjú azt a téves benyomást kelti, hogy a PhD akkor már megvolt], majd most fogod: végül szerzett ugyan PhD-t jópár évvel később filozófiából

Zaválnij BogdánA dolog pikantériája, hogy már a PhD-tézisek is az általam megkérdezett két, filozófiával hivatásszerűen foglalkozó kutató véleménye szerint tudományos nívóját tekintve finoman fogalmazva alacsony.

Hagyjuk is Zaválnij Bogdánt, így is jobban belementem a kelleténél ökörhúgy egyenességű életútjának felvázolásába, vissza a plágiumhoz és főként annak beláthatatlan következményeihez.

Ahogy írtam, az egész beugró-kérdéssorral az igénytelenségét leszámítva nem lenne semmi gáz, ha meg lenne jelölve, hogy honnan lettek az anyagok átvéve. Nem lettek. Ez pedig rendkívül rossz üzenet a hallgatók felé. Hogyan várható el a hallgatótól, hogy kellő tudományos és etikai normáknak megfelelően készítsen el akár egy órai beadandót, akár a tudományos diákköri dolgozatát, akár a diplomamunkáját, ha még az oktatótól is azt látja, hogy még a beugró kérdések is mindössze két könyvből lettek összekukázva? Hogyan várható el a hallgatótól az, hogy a tudományhoz egészséges mértékű alázattal viszonyuljon, amikor azt tapasztalja, hogy egy szakmailag megkérdőjelezhető kompetenciájú oktató a már emlegetett, nyilvánosan elérhető források alapján gyakorlatilag random osztályozza a Drága Jó Népet? És egyáltalán: mi várható az utánpótlástól, ha ilyen mintákat lát az erre fogékony egyetemista korosztály? Ezek bizony törpegalaxisok fajsúlyával bíró kérdések, amire sok mindent lehet mondani, csak éppen megnyugtató választ nem.

A posztban felhasznált képek forrása a hvg.hu.

UPDATE (13:28 CEST): egy másik forrás szerint úgy fest, hogy "csak" fordítási plágium történt, ezt a fájlt maga az oktató készítette.

http://bardoczi.net/static/zavalnij-bogdan/beugro.pdf (md5: BE3CBF90CEE51993EC8F49BE64C14A6B)

0 Tovább

WinXP hardening egyszerűen


Most, hogy megszűnt a Windows XP hivatalos támogatása, sejthető volt, hogy nem kevesen alaposan meg fogják lovagolni ezt a témát vagy azért, hogy a felhasználói tájékozatlanságra apellálva ezzel is keressenek vagy éppenséggel azért, mert zugfirkászként csak azért is, ők is akarnak mondani valamit ebben az XP-hardening témában valami okosat, ezen cikkek többsége viszont olyan, hogy írhatták volna akár a Windows 2000 korában is, akkora arcpirító banalitásokat tartalmaz.

Ami világos, hogy a felhasználók tényleg nem látják a kockázatot ebben az egészben, az armageddon pedig még várat magára egy picit és persze nem úgy fog bekövetkezni, ahogy azt az egység sugarú felhasználó elképzeli: nem gonosz hekkerek kukáznak össze több hegynyi mennyiségű információt sérülékeny rendszerekről [azt eddig is megtehették és teszik is, viszont általában nem az oprendszer a bűnös, hanem a biztonságtudatosság hiánya], hanem sérülékeny gépeket felhasználják majd botnet hálózat smurfjeként DDoS támadásokhoz vagy spammeléshez, aztán emberünk csak leshet, amikor a postafiókjából küldött leveleket kutya sem kapja meg, mert még a rendszeres levelezőpartnereinél is spambe landolnak a levelei, lévén, hogy blacklisten lesz az IP-címe, mailcíme vagy bármi más miatt, mivel a tudta nélkül, ő gépén keresztül küldtek jó sok viagrareklámot Fülöp-szigeteki látogatók. A kockázat elsősorban azokat a felhasználókat érinti, akiknél a dinamikus IP viszonylag ritkán változik, márpedig ez a gyakoribb: UPC.

Nos, a felhasználók többsége nyilván nem is eléggé involvált, másrészt nem is eléggé ért hozzá, hogy a windowsos rendszerét - legyen az XP vagy újabb - valóban biztonságossá tegye az általános user awarenesstől kezdve a fölösleges szolgáltatások kikapcsolásán és a kétes eredetű szoftverek legyilkolásán át a registry fúrás-faragásig. Ebből alighanem lejön, hogy mindezt külön tudomány, nyilván nem megyek bele, inkább kiemelek egy könnyen kivitelezhető részmegoldást, amivel nagyban fokozható akár egy XP-s gép biztonsága is.

Azok az idők már rég elmúltak, amikor a komplett antivirus-personal firewall-host intrusion detection megoldásokért egy rakás pénzt kellett volna fizetni, mi több, a legpatinásabb független szervezet, az AV-comparatives elemzése szerint a világ 10 leghatékonyabb antivírus- és személyi tűzfal terméke közt jobban teljesítenek, amik nem-fizetősek, hanem például donation vagy freemium alapon működnek, azaz nem kell közvetlenül fizetni értük. Személyes kedvenc wines környezetben a Comodo Internet Security terméke, amit az is kényelmesen tud telepíteni és használni, akit végképp nem érdekel ez az egész, tényleg csak használni akarja a gépet, viszont az is imádni fogja, aki megrögzött geekként imád minden apró részletet saját maga beállítani.

A Comodo Internet Security tartalmazza az antivírus motort, a legalább ennyire fontos HIPS-et és a persze személyi tűzfalat, amik mindegyike egészen gyorsan tanul, ha arról van szó, hogy a felhasználói szokásokat figyelve eléri, hogy minimálisak legyen a fals pozitív riasztások száma, viszont a disznóságokat szinte 100%-os hatékonysággal szűrje. A CIS free és CIS pro [előfizetéses] változata közt mindössze annyi a különbség, hogy az utóbbihoz jár terméktámogatás, azaz a végképp hozzá nem értő felhasználó telefonon, chaten és egyéb-egyéb módon zargathatja a CIS támogatási csoportját. A másik forrás, ami miatt a CIS fejlesztésére nem keveset tudnak költeni, mégis ingyenesen tudják adni, nem más, minthogy a Comodo bevétele döntő részt enterprise level megoldások értékesítéséből származik, viszont egy nagyon erős, felhasználóknak szánt antivírus-terméknek nagyon erős márkaépítő ereje van.

Ami ezen poszt megírásának alapötletét adta, a Comodo szintén ingyenes törésteszt-szoftvere. Miről is van szó? Az online tűzfaltesztekkel ellentétben itt arról kapunk nagyon jó képet, hogy milyen eséllyel kerül fel egy malware a gépünkre és ha már felkerült, akkor milyen károkat képes okozni. A szoftver letöltése után 300-400 tipikus windowsos sebezhetőséget vizsgál végig a progi, amik jórésze sokaknak nem mond semmit, viszont igen hasznos lehet, ha megmutatod valakinek, aki ért is hozzá. A tesztet erősen ajánlott lefuttatni frissítetlen windowsos rendszeren, frissített, de biztonsági csomag nélküli rendszeren és tetszőleges biztonsági megoldást használó rendszeren egyaránt. Ideális esetben a 400 test case átvizsgálása során a tűzfalprogramod és az AV-d - legyen az bármelyik - többször is sipákol, miszerint valószínűleg valami disznóság folyik a háttérben, ami biztos, hogy wines rendszer, ami mind a 400 akadályt csont nélkül veszi, ritka, mint a fehér holló, a saját, Win7-es gépemet Windows Server tapasztalatok alapján, több száz alapbeállítás megváltoztatása után sikerült 100%-ra biztosítani a teszt alapján.

9 Tovább