Szolgáltató adatai Help Sales ÁSZF Panaszkezelés DSA

About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (38),Facebook (18),privacy (17),egyéb (12),social media (11),itsec (11),social web (10),biztonság (9),mobil (8),Google (6),OSINT (6),jog (6),szellemi tulajdon (6),tudomány (6),magánszféra (6),szájbarágó (5),email (5),webcserkészet (5),molbiol (5),felzárkóztató (5),Nobel-díj (4),big data (4),Gmail (4),kultúra (4),terrorizmus (4),online marketing (4),kriminalisztika (4),plágium (4),webkettő (4),genetika (3),molekuláris biológia (3),pszichológia (3),azelsosprint (3),Android (3),biztonságpolitika (3),nyelvtechnológia (3),magatartástudomány (3),Apple (3),sajtó (3),2015 (3),orvosi-fiziológiai (3),élettudomány (3),gépi tanulás (3),jelszó (3),üzenetküldés (3),CRISPR (3),Onedrive (3),2-FA (3),popszakma (3),konferencia (3),levelezés (3),kriptográfia (3),reklám (3),biztonságtudatosság (3),hype (3),torrent (3),open source intelligence (3),neuropszichológia (2),Whatsapp (2),deep web (2),FUD (2),kulturális evolúció (2),nyílt forrású információszerzés (2),TOR (2),hitelesítés (2),titkosítás (2),Pécs (2),bűnügy (2),tweak (2),facebook (2),SPF (2),DKIM (2),bűnüldözés (2),DDoS (2),bejutas (2),videó (2),Reblog Sprint (2),természetes nyelvfeldolgozás (2),villámokosság (2),Hacktivity (2),Yoshinori Ohsumi (2),reblog (2),cyberbullying (2),arcfelismerés (2),ransomware (2),fiziológia (2),Netacademia (2),webkamera (2),szabad információáramlás (2),P2P (2),Balabit (2),cas9 (2),beszélgetés rögzítése (2),pszeudo-poszt (2),molekuláris genetika (2),bulvár (2),gépház (2),tartalomszolgáltatás (2),jövő (2),bolyai-díj 2015 (2),könyv (2),Tinder (2),öröklődő betegség (2),HR (2),sudo (2),Yandex (2),bug (2),nyelvtudomány (2),meetup (2),Twitter (2),tanulás (2),biológia (2),netkultúra (2),malware (2),IDC (2),social engineering (2),szociálpszichológia (2),kutatás (2),hírszerzés (2),iOS (2),vírus (2),farmakológia (2),pedofília (2),epic fail (2),génterápia (2)

Bankkártya-anatómia II: "csak aláírva érvényes"


A bankkártyák gyártóitól ugyanazt várják el a bankok, amit az ügyfelek is: legyenek biztonságosak, amennyire csak lehet, ugyanakkor ne kerüljenek túlságosan sokba sem. Az érvényesség feltétele minden esetben az aláírás, amiről szeretnénk feltételezni, hogy nem módosíthatóak károsodás nélkül vagy legalább sufni módszerekkel nem.

 

bankkártya biztonság aláírás anyagtechnológia oldhatóság

Egy korábbi posztban már foglalkoztam vele, hogy mekkora suttyóság egy bank részéről, ha a bankkártya lejárta után úgy adják ki az ügyfélnek az új kártyát, hogy annak bankkártyaszáma marad ugyanaz. Persze, persze, lehet hivatkozni rá, hogy ott van még a CVC2/CVV2 kód, csak éppenséggel ezt az elfogadóhelyek egy része egyszerűen nem ellenőrzi.

A bankkártyáknál aláírás már csak azért is fontos, mert ha például Paypass-technológián alapuló vásárlás esetén felmerül a gyanú, hogy valaki nem a saját bankkártyáját használja, az elfogadóhely aláírást kérhet, aminek jó esetben hasonlítania kellene arra az aláírásra, ami a bankkártya hátoldalán van. Megint más esetben, ha nem bankkártyáról van szó, az egyetlen dolog, ami a kártyát érvényesíti, az aláírás.

Ha korábban nem is merengtünk el eddig rajta, a bankkártyák ún. aláíráspanelje olyan filmréteg, ami megköti a tintát, azzal kapcsolatban viszont nincs határozott elvárás, hogy milyen tollal kellene kézjeggyel ellátni a kártyát. Ha a festék belekötött ebbe a filmrétegbe, azt már ideális esetben nem lehet lesuvickolni vagy leáztatni róla, legalábbis úgy biztosan nem, hogy annak ne maradjon nyoma. Egyszerűnek tűnik, de elég belegondolni, hogy ha olyan rétegre van szükség, ami megfelelő erősséggel köt a bankkártya anyagához úgy, hogy ne kopjon le, a festék pedig álljon ellent az oldószereknek, kopásnak, hőhatásoknak, már jóval bonyolultabb a helyzet. Az ilyen filmrétegeket olyan szabadalmak védik, amikből elvben világosan kiderül, hogy hogyan is működik mindez, az más kérdés, hogy a leírás olyan magas röptű, hogy behatóan nem könnyű értelmezni csak úgy. Ami azt illeti, elsőre még azt sem könnyű megállapítani, hogy csak az elsőként USA-ban jegyzett szabadalmak közül melyik vonatkozik az aláírást megkötő filmekre.

Azt meg aztán pláne nem tudni, hogy adott plasztikkártya esetén melyikről is van szó. De még ha konkrétan tudnánk is, hogy a film melyik technológiával készült, lévén, hogy az aláírásokhoz használt Edding tollak olyan tintával működnek, aminek az összetétele nem igazán nyilvános, még mindig nem lennénk közelebb ahhoz, hogy tökéletesen megértsük a kémiai részleteket.

Ami biztos, hogy ha valaki az aláíráspanelt elkezdi súrolni valamivel, az aláírás tintájával együtt vagy jön maga a filmréteg is vagy a filmrétegbe impregnált minta, VISA kártyák esetén ez egyszerű csíkozás, míg MC esetén a MasterCard felirat piros, sárga és kék színnel. Az acetonos lemosás pedig eleve hülye ötlet, mivel nem csak az alkoholbázisú tintát oldja, hanem magát a műanyagot is.

Otthon amolyan nosztalgikus jelleggel elővettem pár lejárt vagy fölösleges kártyát és legalább ennyire nosztalgikusan vegyészkedtem egy kicsit. Több kártya együttes eredménye: gyenge közepes.

Mindenféle tinta felületről való eltüntetésénél az oldószer típusa és mennyisége, valamint a súrolással járó behatás arányát eltalálva a legnagyobb az esélye annak, hogy csak az aláírás jön le, míg a felület nem sérül látványosan. Az egyik tesztben 70 térfogatszázalékos etanolt használtam, viszont lévén, hogy az EDT pacsulik alkoholtartalma is hasonló, a benne lévő aromák pedig az oldási képességre nincsenek számottevő hatással, azzal is csinálhattam volna. A felületnek aztán nekiestem közepes súrolást kiváltó papírzsebkendővel, olyan műanyag polimer törlőkendővel, ami egyáltalán nem súrolt, illetve szarvasbőr kendővel is. Az eredmények eltérőek, ami viszont világos, hogy szembetűnő különbség van filmréteg és filmréteg közt olyan szempontból, hogy milyen kártyánál használták. Az egyszerű vásárlói hűségkártyánál gyakorlatilag mindig törölhető a tinta. Viszont még azonos bankkártyakibocsátó esetén is míg az egyik kártyánál a tinta lazán törlődik, megint másiknál nem vagy csak úgy, hogy azzal jön le az előzetesen ráimpregnált festék is.  Ezen kívül természetesen tapasztaltam olyat, hogy ugyanolyan súrolás hatására maga a filmréteg is jól látható módon karcolódott.

bankkártya biztonság aláírás anyagtechnológia oldhatóság

Egy másik tesztben szintén 70 v%-os alkoholt használtam, a kártyák gyakorlatilag egy alkoholos fürdőbe kerültek, amit ebben az esetben egy tartóval oldottam meg. A műanyag zacskó jelentősége az, hogy alapesetben az alkohol a gyorsabb párolgás miatt veszítene az oldóképességéből, míg ha le van zárva, ez kevésbé jelentkezik. Némi idő elteltével a tinta persze itt is megadta magát, egyetlen eset kivételével teljesen eltűnt néhány óra alatt! Ilyet tapasztaltam az egyik legkomolyabb bankkártyakibocsátó kártyájánál is úgy, hogy a benne lévő mint nem oldódott le.

A tanulság ismét az, hogy lehet ugyan spórolni azzal, hogy olcsóbb technológiát választva viszik fel a gyártók a film anyagát, nem meglepő módon, kevésbé lesz biztonságos. A lúgokat viszont mind jól bírja, tehát nincs para, ha valaki valakinek a zsebébe maradt, aztán kimosta a ruhaneművel együtt, ugyan alighanem más a helyzet, ha mindez főzőmosáson történt. Megjegyzem, senki ne próbálja ki otthon, a használt bankkártya formálisan eleve a bank tulajdona.

0 Tovább

Bardóczi Xmas Act


Világszerte kriminológiai iskolák véleménye definíciós és mérési–módszertani eltérések miatt megoszlik azzal kapcsolatban, hogy a társadalom tagjainak mekkora része bűnöző, de az 1-5% egész reálisnak tűnik. Azt nem tudom, hogy Magyarországon a rendvédelmi szervek hivatásos állományába tartozók hány százalékot tesznek ki, az meg aztán pláne megállapíthatatlan, hogy mennyien lehetnek azok, akiket valamilyen nyomozó hatóság szakértő tanuként szólíthat meg. Amit egy percig se felejtsünk el: a bűnözőktől az utóbbi két csoport tagjai védenek meg, nem pedig az ügyvéded, az ügyész vagy a bíró.

A 2015-ös év egészen bolondosan indult. Alapvetően olyan történet, ami megtörténhet bárkivel: sokadjára beugatott valaki, mire én egy amúgy sosem látogatott felületen megírtam róla, hogy őt meg konkrétan mindenki Takarítónak hívja. Miután azt valaki megosztotta egy Facebook-csoportban, a Takarító bepöccent, aztán úgy gondolta, hogy… alighanem nem gondolt semmit, csak gondolta, hogy perel. Ja, amúgy ellenem, nem az ellen, aki megosztotta vagy akik körberöhögték minimum száz komment kíséretében. Ezzel kezdetét is vettek a Takarítógate, amihez Takarító – a továbbiakban Tökfej – keresett egy erre kapható ügyvédet, K. Rékát – a továbbiakban Nyuszimuszi – akivel jól kijogászkodták, hogy itt bizony esetleg rágalmazás történt. Mármint, hogy én rágalmaztam meg a Takarítót, követed? Eléggé komoly gondok vannak egy olyan rendszerben, ahol ilyen vád eljut a bírósági szakaszik, de ezt nem is boncolgatnám tovább, a gumicsont per zárult nullával és emberünk alighanem máig nem tudja, hogy ezzel mekkora mákja volt, viszont emiatt kellett utaznom. Amúgy a szóban forgó városban lehet valami a levegőben, 2006-ban két pécsi ügyvédet kábszicsempészet miatt  kapcsoltak le, egy másik pécsi ügyvéd kábszit vitt az ügyfelének a hűvösre, ismét másik halott személyekkel tolta a bizniszt, az egymilliárdos sikkasztásban ezek után már a világon semmi meglepő sincs.

bűnügy önvédelem igazságszolgáltatás Pécs hülye ügyvéd büntetőjogász K. Réka Takarítógate zsarolás

Aztán jött egy rész, amit most praktikusan átugornék, de sokatmondó, hogy bűnügyi témában sosem posztoltam a Reblogon, meg úgy egyáltalán máshol sem, amikor pedig egyszer igen, akkor Nyuszimuszi zsaroló levelet küldött a blogszolgáltatónak a "tilcsák be a zinternetet" szellemében, közben próbált percsizni még egyet, csak a nyomozati szakaszban nem volt meg a bűncselekmény, amit a büntijogász nagyasszony szerint elkövettek ellene.

Azt gondolnánk, hogy ez után már csak-csak lenyugszik, de nem, most látom, hogy már megint feljelentést tett bízva abban, hogy harmadjára már csak sikerül kipréselnie magából valamit, ugyan láthatóan a dolog az összes bíróságnak kínos, meg büdös, mint a dög. Írhatnék többet is, csak akkor már nem lenne a dolog fair play.

Nos, ne legyenek illúzióink, attól, hogy valaki ártatlan, még simán nyerhetnek ellene pert, ha elég sokszor próbálkoznak, a feljelentő eléggé sokat hazudik hozzá a hatóságoknak, ami viszont elvi szempontból a legfontosabb: a büntetőjog nem játék! Azaz nem olyan dolog, amit csak úgy be lehet dobni, ha valakinek nem tetszik az arca. Ebben az esetben a kisebb probléma, ha valaki szociopata és megrögzött hazudozó, az viszont már nagyobb, ha a szociopata mivoltát nem tudja otthon hagyni a csirkeólban, hanem büntetőjogász ügyvédként is szociopata módon jár el. Hogy ezzel kapcsolatban milyen elvi problémák vannak még, az egy webhelyen egész jól össze is van szedve.

Többet nem is írnék, csak annyit, hogy mostantól policyt változtatok, ami hatályos mondjuk mostantól. Abban az esetben, ha megtudom, hogy valaki etikai szempontból elfogadhatatlan módon feljelentést tesz a magyar Rendőrség, bűnmegelőzési feladatokkal rendelkező egyéb szerv, terrorizmus elleni szerv, a Katasztrófavédelem, polgári- vagy katonai nemzetbiztonsági feladatokat ellátó szerv, egyéb rendvédelmi szerv hivatásos állományába tartozó személy illetve igazságügyi szakértői tevékenységet folytató személy vagy annak rokona, közeli ismerőse ellen, nos, mondjuk úgy, meglépem, amit kell. Márpedig megtudom. A rendvédelmi szervek állományának tagjai és a szakértők tudnak megvédeni a bűnözőktől, ahogy a poszt elején írtam. Ez persze nem jelenti azt, hogy mást bosszúból jelentgetni szabad lenne, de amit ezen a blogon írhatok, hogy a felsorolt csoport tagjait hamisan megvádolni különösen nem illik. Meg engem sem. Oké?

bűnügy önvédelem igazságszolgáltatás Pécs hülye ügyvéd büntetőjogász K. Réka Takarítógate zsarolás

Mindenkinek azt javasolnám, ami szerint én magam is el fogok járni. Ha nyomozó hatóság, kivételes esetben [amikor a nyomozó hatóság ki van zárva a nyomozásból] az ügyészség kérdez, legjobb tudásomnak megfelelően válaszolok, de nem asszisztálok baromságokhoz, azaz nem vagyok köteles bírósági bohóckodásban részt venni. Pont.

Megjegyzem, én amellett, hogy ha tehetném, a rendfenntartó szervek jogkörét bővíteném. Például olyan módon, hogy felülbírálhassanak bírói döntéseket [mondjuk akkor már nem bíró a bíró], mivel a bíró nem dönthet felelősségteljesen azzal kapcsolatban, hogy valaki ártatlan, bűnös, esetleg picit, nagyon vagy kib***ottul, mivel nincs nyomozati feladata, nincs benne gyakorlata sem, ennek megfelelően nem is várható el tőle, hogy átlásson egy esetet annak megállapítására egy büntetőjogi kérdésben, hogy valaki milyen ítéletet is érdemel ténylegesen.

A kedvencem az az eset 2015-ből – hangsúlyozom ugyan lehet, hogy csak legenda – ami szerint lekapcsoltak egy drogdílert, majd a drogdíler totálisan betépve feljelentette a vele eljáró rendőröket [megj: a tanuvallomást ilyenkor nyilván nem ugyanaz a rendőrség veszi fel, a feljelentést nem ugyanaz fogadja]. Na most akkor képzeljük el, hogy ha minden eszelős baromság keresztülcsoroghat a rendszeren, mire a drogdíler felperesként a bíró elé tolja a dolgot, a bíró mennyit fog látni az egészből úgy mégis, ha hozzátesszük, hogy pillanatnyilag sajnos nincs igazán hatékony garancia arra, hogy emberünk ne hazudozza végig az egész eljárást?

Az én kedvenc kóborhülyém esetén sincs garancia arra, hogy sehol ne akadjon el a dolog, ha mondjuk azt mondja, hogy a baranyaszalontahejőfütykösi kertjében láncfűrésszel kergettem meg a kukoricásban, mert nem akart dugni velem, függetlenül attól, hogy a kóborhülyét nem is ismerem, sosem jártam Baranyaszalontahejőfütykösön, láncfűrészem sincs, dugni meg aztán pláne nem szerettem volna vele soha, ha ez máshogy látja a T. Bíróság. Szóval lehet mondani mindent, de kijogászkoni már nélkülem fogják a dolgot, az biztos. Nonszensz ügyek miatt ne utazzatok sehova, ami ugye eleve idő- és energiaráfordítás lenne, másrészt az igazságszolgáltatás megítélését is rontaná, ezt pedig ki kell fejezni valahogy. Ha meg hozza a postagalamb a pecsétes papírt, ami rád nézve hátrányos, fellebbezd meg.

Kedves Tökfej és Nyuszimuszi, alighanem az életbe nem tudjátok meg, hogy mekkora mákotok volt, de nem lesz több Takarítógate. Na ugye, hogy tudunk mi értelmesen is beszélni xD

Ígérem, ebben az évben már csak kevésbé nyomasztó és többeket érdeklő témájú posztot fogok írni.

Hogy Tökfej is elégedett legyen, sorolom a képek forrását:

[1] Tarantino - Pulp Fiction

[2] Tom Shadyac - Liar Liar – kép nem is akárhonnan, hogy témánál maradjunk, ami Tökfej szerint vicces dolog :)

0 Tovább

Artériás vérzéscsillapítás like a boss, plusz egy kis gyökérkezelt bódulat (18+)


Még néhány évvel ezelőtt fejlesztették ki azt az eszközt, amivel az amerikai hadsereg akár a harctéren is képes súlyos vérveszteséggel járó sérülések ellátására, amik korábban biztosan halálos kimenetelűek voltak. Néhány héttel ezelőtt az FDA engedélyezte civil használatra is.

A videóban ugyan művér van műsebbel, így is eléggé erős lett.

Hasonló vérzéscsillapítási megoldás, ami erősen támaszkodott az anyagtechnológiára, volt már korábban is:

A National Institute of Health adatai szerint a hadszíntéren a leggyakoribb halálok nem meglepő módon az, hogy a katonák egy sérülés következtében annyi vért veszítenek, ami már összeegyeztethetetlen az élettel. Ami viszont meglepőbb, hogy a civil lakosságnál a halálozás közel 40%-át teszi ki az olyan haláleseteknek az előfordulása, aminél a halálok végülis a vérveszteség miatt fellépő sokk, azaz a keringési rendszer összeomlása.

Az evolúció a keringési rendszert úgy alakította ki, hogy a nagyobb nyomásnak kitett vénák és artériák a testfelszínhez képest jóval mélyebben helyezkednek el [pl. arteria femoralis vagy éppen az aorta], mint a perifériás vénák, amikből például a vérvétel történik. Ugyanakkor nem zárható ki, hogy valaki olyan súlyos sérülést szenvedjen, hogy a vérveszteséget a hemodinamikai rendszer ne tudja kompenzálni, azaz az eszméletvesztés, a sokk vagy a halál oka nem közvetlenül a vérveszteség, sokkal inkább az, hogy a vérveszteség túlságosan hirtelen történik. Ezért van kiemelt szerepe a vérzéscsillapításnak a gyakorlatban.

Érdekességként megjegyzem, hogy az eszméletvesztésnek az a típusa, ami azoknál történik, akik nem bírják a vért és a tűt, picit hasonló. A tű- és vérfóbia az egyetlen fóbia, amiről nemrég bebizonyosodott, hogy döntően örökletes, máig tisztázatlan, hogy például egy vérvételnél az egyébként relatív kis mennyiségű vér levétele miatt a hemodinamikai rendszer nem tudja időben szabályozni a megváltozott nyomásviszonyokat vagy az idegrendszer reagálja túl azt, amit az érzet kivált és ez vezet eszméletvesztéshez tűfóbiásoknál. Az eszméletvesztés evolúciós oka legnagyobb valószínűséggel az, hogy emberelődeink ezzel a nem túl kellemes, ámde hasznos manőverrel tudták megúszni például azt, hogy egy ragadozó megegye őket, hiszen a ragadozók nem esznek dögöt, márpedig az ijedtükben eszméletüket vesztett emberelődöket nem tudták az állatok megkülönböztetni a halottól. Persze ez alól is van kivétel, a nagytestű medvék például megeszik az elhullott állatokat is.  

Döntő részt örökletes, de nem gyógyíthatatlan a tű- és vérfóbia! Különböző kognitív terápiás eljárásokkal korrigálható a leghatékonyabbat, míg esetileg nagypotenciálú szorongáscsökkentők bizonyultak nagyon hatékonynak. Sokan nem tudják például, hogy a világ egyik legismertebb videójánál – David after dentist - a fogorvos a gyereknek előzetesen midazolamot adott, ami általánosan elterjedt a kanadai és USA-beli fogászati gyakorlatban, mivel így a fogorvosok úgy tudnak fogászati beavatkozásokat végezni fóbiás, nagyon félős, gyerekkorú vagy idős betegeket, hogy közben ők teljesen nyugodtak, persze közben nem hagyják elaludni őket. A hatóanyag sajnos Magyarországon ambulánsan is elérhető, szándékosan nem írom ki a márkanevét, biztonságos, de nem a legjobb hatásprofilú altató, amiben az a leggonoszabb, hogy a fogyasztója a hatása alatt történtekre rendszerint nem vagy csak töredékesen emlékszik, megint mások amnéziásak a gyógyszer bevételét megelőző rövid időszakra is. Viszont ha nem alszik el az érintett, tud érdekes dolgokat mondani mondjuk a fogorvosnál, csak youtube-fetisiszta ismerős ne legyen a közelben kamerás mobillal :) Az ilyen videókból már több összeállítás is van a YT-n.
 

0 Tovább

A web 2 üzleti fenntarthatósága és civilizációs mellékhatásai


Ahogyan a 90-es években megjelent az, amit ma webnek nevezünk, civilizációs léptékű robbantás történt, aminek a középtávú és hosszú távú hatásai egyáltalán nem voltak beláthatóak. Azzal, hogy a kutatók, újságírók, majd egyre többen, sokkal rugalmasabban és gyorsabban tudták lebonyolítani az információcserét egymás közt, minőségileg hozott változást a társadalom információáramlásában. Amit pedig még kevésbé lehetett bejósolni, hogy ez a civilizációs léptékű változás a mindennapi élet milyen területein fejti majd ki hatását.

Az első webes böngészők kezdetlegesek voltak, a legfőbb érdemük mégiscsak az volt, hogy a neten fellelhető információkat könnyen, egyszerűen elérhetővé tették olyanok számára is, akiknek a felhasználói szintű tudása addig nem volt elegendő az internet olyan szolgáltatásainak használatához, mint a BBS vagy a Usenet, amellett, hogy ezek nem is voltak olyan rugalmasak, mint a web.

 Ha ugrunk egy nagyot az időben, a kétezres évek elejére, a globális információcserében megjelent az a tendencia, hogy a felhasználó egyre inkább előállítójává is vált a web tartalmainak, nem csak passzív befogadója volt többé. Már korábban megjelentek a fórumok, amiket több, nagyon komoly tudományos diszkussziót folytattak, majd megjelentek a első webes közösségi szolgáltatások. Ha feltétlenül meg kellene jelölni egy bizonyos pontot, ahol a web 2 megjelent, alighanem ez lenne az.

 Viszont a 2000-es évek első felében az internet még mindig – bármilyen furcsán hangozzék is – a társadalmi elit, vagy legalábbis a magasabb iskolázottsággal rendelkezők játszótere volt, mivel egészen egyszerűen nem állt rendelkezésre a megfelelő infrastruktúra ahhoz, hogy az internethozzáférés mindenhova eljusson elérhető áron. Elérhető áron! Ez a lényeg. Különböző országok eltérő tempóban, de olyan ütemben és irányba dolgoztak a hálózatuk fejlesztésén, hogy azon keresztül a net minél szélesebb kör számára elérhető legyen.

  Magyarországon több magánkezdeményezés is volt, amelyiknek a tagjai szentül hitték, hogy az internetet elérhetővé kell tenni mindenki számára, mivel ez lehetséges kiugrási lehetőséget jelent azoknak is, akiknek egyébként esélyük nem lett volna kitörni abból a szociokultúrális közegből, ami folyamatosan szakadt le.

 Lényegében ugyanazt mondták, amivel még mindig találkozunk egy-egy rövid nyilatkozat szintjén: kötelességünk a közművé vált internetet eljuttatni mindenhova.

  Ez hozzájárult ugyan a net elterjedéséhez, de evidens, hogy a telkó cégek piaci verseny által diktált érdekei voltak meghatározóak abban, hogy a net egyre csak nőtt és nőtt. Az iWiW-re ma már úgy emlékszünk, mint arra a hazai közösségi szolgáltatásra, ami többek közt azért maradt le a versenyben, mert már nem csak a netezés veteránjai, hanem boldog-boldogtalan regisztrált rá, volt már minden, csak éppen Who-is-Who-jellege nem.

Mert ekkor történt egy fordulat

social media közösségi web web 2 webcserkészet civilizáció webökonómia hülye kommentelő trollok kultúra online marketing

 Forrás: onlinemarketing-trends.com

A nethozzáférés eljutott a kvázi funkcionális analfabéta rétegekhez is, ahogyan pedig az várható volt, megjelentek azok a bulvárt és más bugyutácska tartalmakat kínáló webhelyek, amik kimondottan ezt a kört célozták meg. Több kutató egyébként máig megkérdőjelezi, hogy valóban jó-e az, hogy az internet ma mindenhova eljut, hivatkozási alapként azt használva, hogy ezek a rétegeknek a netező tagjai elvben elérhetnének mindent, amit elérnek azok is, akik már a 90-es években is neteztek, mégsem teszik.

Az internet nem volt elit-médium, unikum, státusszimbólum többé

Magyarországról nézve az iWiW-en volt a leglátványosabb a jelenség. Ugyan rendkívül jókat lehetett szórakozni annak idején a Subba blog Subba szív: iWiW rovatán, ahol gondosan össze voltak gyűjtve hétről hétre azok az arcok egy csokorba, akikkel nem szívnánk egy levegőt egy percnél tovább, hacsak nem lenne kötelező, azzal, hogy a netveteránok számára zavarba ejtően ostoba fórumok és beszélgetések alakultak ki, a felhasználók továbbküldtek ész nélkül mindenféle ostoba lánclevelet, ami miatt a WiW-nek a saját email szolgáltatást konkrétan meg kellett szüntetni erőforrás hiányában, markánsan megmutattak valamit: a web visszafordíthatatlanul megváltozott és egyben az is világossá vált, hogy sosem lesz ismét olyan, amilyen volt.

social media közösségi web web 2 webcserkészet civilizáció webökonómia hülye kommentelő trollok kultúra online marketing

A netveteránok már bármerre jártak, egyre inkább kénytelenek voltak kerülgetni a félelmetesen gyülemlő  számukra teljesen irreleváns trash contentet, hogy ez miért baj és miért nem vonhatja ki magát senki ennek a hatása alól azzal a felkiáltással, hogy "nincsenek hülye ismerőseim", hamarosan rátérek.

Hiába jöttek az okos keresők és intelligens kommentmotorok, a net tartalma ma felhasználók által generált információs hulladék.

Nem tudom, hogy a világ akkor volt élhetőbb, civilizációs szempontból az volt áldásosabb, amikor még a net relatív drága volt és csak kevesekhez jutott el vagy most, ami viszont biztosan kijelenthető, hogy az ős-netezők többsége számára az akkori komfortosabb közeg volt.

 Ahogy korábban utalgattam rá, a netet olyan elvek tették olyanná, amilyen, mint például az, hogy függetlenül attól, hogy ki kicsoda és honnan érkezett, a szava elvileg ugyanúgy elhallatszott, nagyjából ugyanolyan mértékben alakította a közösségi gondolkodást. Félreértés ne essen! Persze, akkor is voltak netes csalók, voltak idióták, létezett a neten, bulletin boardokon és fórumokon terjedő demagóg propaganda, mi több, persze, voltak eszelősen elvadult konteós oldalak is, mindenféle ufóklubbal.

Ami viszont elképzelhetetlen volt

Hazánkban is létezett olyan webhely, ahova bárki szabadon írhatott cikkeket bármilyen témában, majd ha eléggé sok pozitív felhasználói értékelést és kommentet kapott, a lapnak olyan helyén jelent meg, amit nem kellett keresni, mert olyan részére helyezték el a rá mutató képet és leadet a szerkesztők. Témától függetlenül a kommentekről általánosságban elmondható volt, hogy hozzáadtak a cikk értékéhez, elgondolkoztatták a többi olvasót és a szerzőt, kisebb részben pedig persze, voltak trollok, szimplán hülyék, akik nem értették meg a cikk tartalmát és olyanok is, akik sosem a témába kötöttek bele, hanem a szerző személyét támadták. De nem ők voltak többségben és ez a lényeg!

social media közösségi web web 2 webcserkészet civilizáció webökonómia hülye kommentelő trollok kultúra online marketing

Az idő múlásával, a net szükségszerűen eljutott egyre iskolázatlanabb, alacsonyabb olvasási kultúrával és vitakultúrával, na meg egyáltalán, normális ésszel gondolkozni tudó társainkhoz is. Ekkor nagyon sok szerző gondolta úgy, hogy a valódi neve helyett ismét inkább használ egy nicknevet a cikkjeihez, elvégre kevésbé sértőnek éli meg a szerző, ha például egy troll a nicknevén hivatkozik rá vérgőzös személyeskedés közben.

 Ezen kívül szociálpszichológiából jól tudjuk, hogy az ember önképére markánsan visszahat az a környezet, amiben van, még ha sokan nem is tudják magukban megfogalmazni, ez az oka annak, hogy nem szeretik a hülye embereket. Még mindig a kétezres években jártunk, egyre több és több olyan felhasználó jelent meg a leglátogatottabb magyar webes kikötőkben például az iWiW vagy az Origo fórumanin, ami miatt sokan egyszerűen úgy döntöttek, hogy nem használják tovább a szolgáltatást, esetleg csak nicknévvel.

2005-2006-ot írtunk, amikor gyakorlatilag az egész ország rászabadult az iWiW-re, majd a MyVIP-re és ez volt egy újabb olyan jel, ami arra mutatott, hogy itt aztán komoly gondok lesznek. Bözsi néni több száz képpel alaposan dokumentálta disznóvágást, ahogy a hejőszalontafütykösi Icuka néni is tolta fel a képet a nemrég született unokáról, ami amúgy pont annyi felhasználót érdekelt már akkor is, mint manapság ha valaki a gyerekekről tol fel képet a Facebookra.

Mit érdekel? Mondhatnánk.

 Viszont nem mondhatjuk. Kapcsolódva kommentkultúra (vissza)fejlődéséhez, mivel a felhasználók közti demokratikus véleményszabadság mindeközben nem változott semmit az első böngésző megjelenése óta és Bözsi néni, meg Icuka néni ugyanúgy kommentelt egy-egy cikk alá, lehetett szó akár atommagfizikáról, akár a géntechnológia lehetséges hatásairól, akár gazdaságpolitikai folyamatokról. És igen, ahogy az várható volt, az ő hozzászólásaik nem igazán adtak hozzá a cikkhez, viszont ugyanolyan nyomatékkal bírtak, mint a téma elismert szakértői által írt kommentek. A jelenség pedig egyre csak eszkalálódott, igazából senki nem tudott és nem is lett volna kapacitása fékezni ezt. Ne legyenek illúzióink! Nyilánvaló képtelenség úgy olvasni egy kommentfolyamot, hogy a hülyeség ne érdekeljen, hiszen ehhez eleve el kell olvasni, másrészt mire végignéztünk egy-egy 100-200 kommentből álló folyamot, amiben rendszerint egyetlen eredeti gondolat sem volt, személyeskedés, ostoba demagógia, érvelésnek nem nevezhető mélysötét hülyeségek viszont annál inkább, a netveteránoknak teljesen elment a kedve attól, hogy ezek után kommenteljen, hiszen teljesen joggal gondolhatta, hogy értelmetlen. Miért kommenteljen bármit is, amikor az övé csak egy olyan komment lesz mint a 200 másik, ami úgyis elveszik az információs zajban, még akkor is, ha az ő kommentje egyébként érdemben hozzáadna a cikkhez.

Az olyan közösségi szolgáltatások pedig, amikre vagy meglévő tag meghívójával vagy előfizetéssel lehetett regisztrálni – azaz így próbálták szűrni a felhasználóikat – korábban megjelentek, mint gondolnánk, ami szintén jelzés értékű volt, ugyancsak arra mutatott, hogy a webet finoman fogalmazva nem arra és főleg nem azok használják, akiket a web atyjának is nevezetett Tim Berners Lee és sokan mások szivesen láttak volna a web alapjainak megteremtésekor.

social media közösségi web web 2 webcserkészet civilizáció webökonómia hülye kommentelő trollok kultúra online marketing

A Facebook-éra hajnalán az volt a legszerethetőbb, hogy az USA-ban élő ismerőstől kapott meghívóval egy olyan világba csöppenhetett a felhasználó, ami egész egyszerűen ismeretlen volt azok számára, akiknek a véleményére már akkor sem voltunk kíváncsiak és igen, hasonlóan az iWiW-hez, kezdetben döntő részben amerikai egyetemisták, kutatók és újságírók használták.. Több száz közösségi szolgáltatást megnézve megfigyelhető egy olyan életciklus, hogy a szolgáltatás először unikum, menő, ezt követően középszerű, majd a végén már-már ciki módon kommersz, ahova csak azért lépnek be nagyon sokan, hogy ne maradjanak le fontos dolgokról. Szűklátókörű, ostoba és átgondolatlan az a vélemény, ami szerint a közösségi webes szolgáltatások súlyos kompromisszumnok nélkül kiiktathatóak az életünkből, mivel az ismerősök ismerősök maradnak a való életben is, egyébként is beszélünk vele más csatornákon, ezért nincs szükségünk a Facebookra, Twitterre vagy LinkedINre. Ha egy picit belegondolunk, a felhasználók többsége a felhasználó élmény miatt a magánéletével kapcsolatos és szakmai információit döntő részben ilyen közösségi szolgáltatásokban osztja meg, ezzel megváltoztak az emberek közötti kapcsolattartás szokásai, amivel szemben lehet menni, csak éppen ezzel túlzás nélkül egy társadalmi konvenciónak megyünk szembe.

Ha pedig valaki szembe megy vele, abból egyenesen következik, hogy a kapcsolattartás alappilléreit jelentő információktól esünk el, például attól hogy egy távoli ismerősünknek mondjuk gyermeke született, nagyobb valószínűséggel fog a kapcsolat a valóságban is elhidegülni, míg ha nem értesülünk egy szakmai rendezvényről és hírekről vagy csak jelentős késéssel, amik egy közösségi szolgáltatásban jelennek meg legkorábban, hátrányba kerülünk azokhoz képest, akik igen. Azaz nem csak számos ismerőstől kerülünk  távolabb kerülünk és még a saját szakterületünkön is hátrányba kerülünk azzal, hogy valamilyen hír sokkal lassabban jut el hozzánk. Játsszunk el egy kicsit a gondolattal: a legközelebbi barátaink, na meg egy szélesebb, még mindig értékes 100-150 fős ismerősi körünk használ közösségi szolgáltatásokat, mi pedig nem: idővel ha elfelejteni ugyan nem is fognak, alig számítunk majd számukra valamit, mégpedig azért, mert ha a kapcsolattartás és az információcsere hatalmas részben a közösségi webre tolódik, közben az ismerőseink másokkal kerülnek közelebbi kapcsolatba, legyen az akár személyes, akár szakmai, mindemellett evolúciósan korlátozott, hogy hány más személynek a történéseit tudjuk, mi több, szükséges követnünk alaposan és valamelyest ahhoz, hogy ne maradjunk egyedül! Ergo nem, 5 év múlva nem lesz senki olyan fontos a másiknak, mint amilyen korábban volt, ha az ismerősével ellentétben nem használja a közösségi webet, ugyanis a közösségi webet használó ismerősnél a legjobb barátok kevésbé, viszont a bővebb kör egyszerűen frissül - leszámítva azt az esetet, ha a két fél napi kapcsolatban van egymással.

Még egy kicsit a kommentekről, megosztásról, lájkolásról!

Többen évek óta nem olvasnak kommentet, annyira természetesnek tartják, hogy abban normális gondolat csak elvétve lehet, teljesen mindegy, hogy milyen saját cikkről vagy megosztott tartalomról legyen szó. Azaz bátran kijelenthetjük, hogy bekövetkezett az a ritka jelenség, amikor egy alapjaiban demokratizált rendszer,

megbosszulta önmagát,

mégpedig annyira, hogy az eredeti formájából több aspektusból nézve semmi sem maradt, ez pedig elválaszthatatlan az előbb részletezett személyközti napi információcserétől, mivel az érdektelen információ kerülgetése elveszi az időt attól, ami valóban hasznunkra válna valamilyen formában. Az olyan megoldások, mint például az, hogy bizonyos felhasználók által posztolt tartalmak egy az egyben elrejthetők, a leghülyébbek letilthatók, csak részmegoldást jelentenek. A leggondosabb beállítás ellenére is napi rendszerességgel jelenik meg a falunkon olyan trash content, amire nem vagyunk kíváncsiak, de elénk került, mert megosztotta valaki, akinek a személye valami miatt fontos. A személyes és közösségi információcsere sajátos módon jobban összenőtt.

social media közösségi web web 2 webcserkészet civilizáció webökonómia hülye kommentelő trollok kultúra online marketing

Valahogy immár magunkénak érezzük azokat a Churchillnek tulajdonított, demokráciával kapcsolatos idézeteit, mint például, hogy „A demokrácia a legrosszabb kormányzási forma - nem számítva az összes többit, amellyel az emberiség időről időre megpróbálkozik.” Valaki valahogy nagyon jól megfogalmazta azt, hogy a demokrácia messze nem tökéletes, de még mindig a legjobb létező.

Ugyan több társadalomtudományi iskola meggyőző modelleket állított fel azzal kapcsolatban, hogy a leginkább irigyelt jóléti államokban miért működnek hatékonyan a közösségi döntések és a közösségi gondolkodás, mint máshol. A lényeg annyiban foglalható össze, hogy egy-egy konkrét, társadalmi léptékű, például szakpolitikai feladat megoldásához minél jobb, minél inkább hozzáértő szakértők kellenek, - még akkor is, ha a döntéseikre negatív választói nyomás nehezedik - hosszú távon viszont összeomlana egy pusztán szakértők által irányított rendszer, hosszú távon arra van szükség, hogy minél szélesebb tömeg szólhasson bele abba, hogy mit is szeretnének a jövőtől.

Az internet viszont más - csak nem tudjuk, hogy mennyire!

Itt nem igazán körvonalazhatók hosszútávú célok, nem csak azért, mert nem ismertek, hanem mert még olyan elemi kérdésekkel kapcsolatban sincs konszenzus, mint például az, hogy az egészséges véleménynyilvánítás határai hol húzódnak.

Az internet tehát halad valamilyen irányba a maga útján, a piaci szereplők pedig mindig igyekeznek kielégíteni minél gyorsabban és jobban azt az igényt, ami számukra profitot jelent. Az Instagram például messze nem a legjobb mobil fotós kisalkalmazás, de a legismertebb mivel kitűnően felismerte azt az igényt, hogy olyan jól ismert dolgokkal, mint amilyen az ételek, a szállodák fotózása vagy éppenséggel a többé-kevésbé szép külső fotózásával azok is többnek érezhetik magukat, akik egyébként semmilyen, más számra értékes és maradandó dolgot nem tudnának felmutatni, kifejezni önmagukat. Remek kérdés, hogy egy-egy menő, az átlagosnál több követővel rendelkező Insta-profil azért számít-e menőnek, mert a felhasználók tömegesen azt gondolták, hogy ez valamilyen értelemben érték, de hogy fut, az tény. És nem csak, hogy fut, hanem áthatja az internetet, ahogy sok más, igazából felületes és érdektelen felhasználói tartalom is.

Mi ezzel a baj?

Például az, hogy azokat a tartalmakat, amikkel a felhasználók hagyományos értelemben tájékozottabbak lesznek, csak egyre nagyobb erőforrásigényű keresőmotorral, ilyen módon egyre nagyobb és drágább IT infrastruktúrával lehet majd megtalálni, egyáltalán, az információ tárolása és elérése lesz egyre költségesebb, márpedig nagyban a net nem tesz különbséget a szelfibohóc fotósorozata és egy-egy, terrorizmussal kapcsolatos kitűnő írás közt. Azt, hogy fenntartható maradjon ez az ökoszisztéma, egyre kifinomultabb és durvább hirdetési megoldásokkal biztosítani, viszont alighanem eljön az a pont, amikor ez már több, mint kellemetlenné válik. Néhány évvel ezelőtt még senki sem hitte volna el, hogy bizonyos országokban egy-egy Youtube-videó megnézése előtt egy tévészpot-hosszúságú reklámot kell megnézniük, amit át sem lehet ugorni, ma ugyanúgy a többség számára elképzelhetetlen, hogy olyanért is fizetnie kell majd, amiért ma még nem fizet szinte senki közvetlenül - ahogy utaltam rá, egy adatközpont esetén, ahol minde bit tárolása és átvitele forintosítható, fenntarthatóság szempontjából ugyanannyiba kerül tudományos dokumentumokat és idióta home videókat tárolni.

Másrészt már sok-sok éve elkezdtek kialakulni olyan platformok, amikben olyan véleménykultúra tükröződik vissza, amilyet a net hőskorában megszokhattunk: azaz több az iskolázott felhasználó, troll és hülye persze van ott is, de jóval kevesebb. Emelett pedig van a kommerszé vált mocsok, amiben lassan már szinte értelmetlen lesz megosztani bármit is vagy más módon megszólalni, annyira nem számíthatunk normális reakciókra, annyira elveszik a zajban.

social media közösségi web web 2 webcserkészet civilizáció webökonómia hülye kommentelő trollok kultúra online marketing

Azaz hol volt, hol nem volt egy olló, társadalmi szakadék, ami egyre mélyebb lett különböző társadalmi és tartalomfogyasztói rétegek közt, az internettől pedig azt várták, hogy ezeket a fájó különbségeket az internet majd kiküszöböli, ahogy az elején írtam, többeket felzárkóztat, bekapcsol a világ vérkeringésébe, így a leszakadó rétegek számára a netezés olyan kiugrási lehetőséget jelent, ami addig nem volt adott. Ez elvben így is van. Viszont kultúrtörténeti szempontból ironikus módon azzal, hogy mindenki úgy szabadult be a netre, olyan mintha az Országos Széchenyi Könyvtárba hajtottunk volna be mondjuk kétszáz, esőerdőből idehozott bennszülöttet annak reményében, hogy megtanulnak olvasni, ha elvben a lehetőségük megvan rá. Természetesen az írásbeliséggel nem rendelkező törzsközösségi társadalom tagjai nem jobbak vagy rosszabbak, mint azok, akik addig is jártak a könyvtárba, polkorrektség ide vagy oda, belátható, hogy gondolatkísérletünkben azzal, hogy ők a könyvtárban a sarokba piszkítanak és húsz méterről üvöltöznek egymásnak, megnehezítenék azoknak a tevékenységét, akik ahhoz szoktak hozzá, hogy a könyvtár csendjében olvassanak. Persze, nyilván lenne olyan bennszülött is, aki megtanulja azt a nyelvet, amin a könyvek íródtak, majd néhány évvel később például íróként helyezkedjenek el, belátható, hogy nem ők lennének többségben.

Viszont mindeközben a könyvtár annyira használhatatlanná válna, hogy létre kellene hozni egy másik könyvtárat, ahova nem engedik be a bennszülötteket, az olvasni tudókat pedig igen, esetleg éppen fordítva, az eredeti könyvtárból kitiltanák a bennszülötteket és átterelnék egy számukra létrehozott könyvtárba, az eredeti olvasók pedig maradnának. A példa persze sántít, a neten mindkettőre egyaránt lehet analógiát találni, amit viszont vegyünk észre, hogy bármelyik történjen is, a bennszülöttek olvasási kultúrája nem lenne azonnal hasonló az eredeti könyvtárba járókéval attól, hogy elvben erre lehetőségük meglett volna rá, hogy megtanuljanak olvasni, viszont a próbálkozás mindkét csoport részéről kompromisszumokat meghaladó kényelmetlenséget eredményezne.Nos, a netet nem csak, hogy azonnal nem tanulták meg ésszerűen használni azok, akikről feltételezték, hogy majd élnek a lehetőséggel, hanem semmi jel nem mutat arra, hogy a jövőben ez majd lassan, de biztosan megtörténne.

A lényeg röviden, hogy az internet közel teljes kiterjedése abszolút nem tüntette el a szakadékokat különböző kultúrájú és szociális hátterű emberek közt, mi több, többen azon a véleményen vannak, hogy tovább fokozta. Hiszen például egy facebookos ufóklub tagjai tovább erősítik egymás közt a saját nézeteiket, míg a Researchgate fórumain a rutinosabb kutatók még tájékozottabbá teszik a kezdő kutatókat, a BestOfAllWorlds-ön a legnagyobb befektetőktől tanulhatnak a kisebb befektetők és olvashatnak egzotikus helyekről, a Quibb-en pedig lehetőség nyílik rá, hogy a téma legnagyobb szakértőitől eltanulja más azt, hogy milyen hírnek lehet a legnagyobb jelentősége a világ jövőbeli alakulására. Viszont ismétcsak vegyük észre, hogy minden esetben kell valamiféle előismeret vagy új ismeretek megszerzésére való hajlam az ufókkal, a kutatásokkal, a befektetésekkel és a szakmai hírekkel kapcsolatban! Ami ugyan elvben kialakulhat abban is, akiben eredetileg egyáltalán nem volt meg, sokkal életszerűbb, valószínűbb és tipikusabb, hogy olyan érdeklődési területen megy tovább a felhasználó, ami iránt eredetileg is érdeklődött, ebből a körből pedig nem is fog kitörni.

Túlzás nélkül mondhatjuk, hogy egy rendszer túldemokratizálódása szingularitások tömegét teremti meg. Hogy mit hoz a jövő, nyilván nem tudhatja senki. Ami viszont fontos, hogy amit a weben látunk, ahhoz tudjunk egy értékítéletet kapcsolni - vagy legalább próbálkozzunk vele - majd várjuk el tőle, hogy legyen önazonos a jövőben is. Azaz egy szolgáltatás vagy akár egy tartalom előállítója nyilván fejlesszen és változzon, ha az szükségessé válik, de ne menjen szembe a saját elveivel, azaz ne váljon teljesen mássá, mint amilyennek a tömeg megismerte. Ha egy sokadkategóriás bulvármagazin elkezd olyan típusú tartalmakat közzétenni, amihez a fogyasztóik nem szoktak hozzá, az eredeti olvasói egy tekintélyes, de előre nem látható részét elveszti, a jelenleg általánosan elterjedt netes hirdetési modellek farkastörvényei szerint pedig ez magával hozza az eredeti hirdetői kör elvesztését is. Egy női magazinban ha tippeket adnak a hölgyeknek azzal kapcsolatban, hogy a nehéz napokban hogyan csökkentsék az esetleges tüneteket, helyesen teszik. Viszont ha a leírás egy idő után tömve lesz magas szintű neuroendokrinológiai ismereteket igénylő eszmefuttatásokkal, nem éri el a célját, nem adja meg a tartalomfogyasztónak azt, amit elvár a laptól, mivel nem érti meg a tartalmat azon a helyen, ami korábban közérthető volt számára.

Ha egy politikai, tudományos vagy technikai hírekkel magas szinten foglalkozó platform lebutítja a tartalmait annak érdekében, hogy minél szélesebb kör számára elérhető legyen, az több, mint veszélyessé válhat. Természetes, hogy egy tudományos ismeretterjesztő cikkekben utazó lap szükségszerű egyszerűsítéseket alkalmaz és szakkifejezéseket hagy el ahhoz, hogy közérthetően, olvasmányosan magyarázzon el egy hírt olyan módon, hogy az újdonságot jelentsen akár egy témában jártas kutató számára is és olyan számára is, aki teljesen laikus a témában. Laikus, de nem idióta! A professzionális újságírás ugyanúgy újat ad a kutatónak és a laikusnak is. Úgy viszont képtelenség megírni egy cikket, hogy az újat adjon egy kutatónak és olyannak is, aki funkcionális analfabéta. Ha valahol megpróbálják nagyon alacsonyra tenni a lécet, a következmény az lesz, hogy a közösségi médiában a kutatók és az edukáltabb olvasók éles kritikával illetik az egész platformot, ahol a tartalom megjelent, idővel pedig elszoknak attól, hogy olvassák azt. Ez teljesen érthető egy olyan világban, ahol minden korábbinál ádázabb küzdelem folyik a tartalomszolgáltatók közt a felhasználók idejéért folytatott harcban. A mindenki számára érthető cikket ráadásul nem is feltétlenül olvassák többen, éppen azért, mert a tájékozottabb olvasókban ellenérzést válthat ki a tartalmon kívül az is, amilyen kommentek megjelennek egy-egy cikk alatt, ha odaszoktak olyan figurák is, akik korábban nem voltak jelen. Itt megjegyzem, természetesen ahogy a mindennapi életben, a kommentek világában is a legostobább van a leginkább meggyőződve a saját igazáról ráadásul, hiába kommentelne valaki a témába vágót, nem fog, mert semmilyen téren nem szeretne egy lapra kerülni azokkal, akik előtte kommenteltek iszonyatos butaságokat. Nem véletlenül kapcsolta le a kommentelést Reuters vagy a Popular Science.

A tartalompiacot persze rendkívül kifinomult online marketing megoldások rendszere tartja el, aminek egy nagyon fontos mutatója még mindig a látogatók száma. így logikusnak tűnik úgy gondolni, hogy ha olyan tartalom kerül valahova, amit nagyon sokan olvasnak, akkor a lap hirdetéseit nagyon sokan látják, a kiadó joggal kérhet igencsak izmos összegeket a hirdetőktől. A tartalomfogyasztási szokások, az iskolázottság és a fizetőképesség márpedig egyértelműen összefügg, a hirdető pedig végülis vásárlót szeretne, így a vásárlóerővel rendelkező kör megszólítása az érdeke. Ez viszont egyszerűen nem fog menni, ha például egy cikk százezer olvasója közül ugyan közel mind megérti a lebutított tartalmat, viszont ebből a körből alig vannak valamennyien, akiknek érdemes hirdetni, mivel nem jelentenek vásárlóerőt. Míg ha egy cikk eleve úgy készül, hogy szakmailag erősebb – egyszerűen mert magasabb iskolázottságot feltételez az olvasótól – nem fog elérni százezer olvasót, hanem csak húszezret, közülük viszont többen vissza fognak járni olvasni és kommentelni, azaz az olvasói és kommentelői kör átalakul. Ennek hatása hirdetői oldalról pedig az, hogy az elérés kisebb lesz ugyan, viszont egy sokkal iskolázottabb, ilyen módon sokkal fizetőképesebb réteg képernyőjén villan fel a hirdetés, így az új kör nagyobb valószínűséggel érdeklődik a hirdetett termék iránt, és sokkal nagyon valószínűséggel végül költeni is. Ergo a hirdetőnek sokkal jobban megéri hirdetni ott később is.

Ugyan az internet jövője nem jósolható előre, nincs okunk feltételezni, hogy az emberi természet, legyen szó érdeklődésről, információéhségről vagy fogyasztási szokásokról, alapjaiban változnának idővel.  Természetesen számos dolog részleteiben kultúrafüggő ugyan, de az emberi természet alapvetően állandó. A webes tartalmak születésük óta, - amikért nem kell közvetlenül fizetni – hirdetésekkel tarthatók fenn, de egy bizonyos intervallumot meghaladóan nem csak, hogy következetlen túlságosan igazodnia az tartalomfogyasztói bázisához, amit ráadásul az online markeint specialisták esetleg félre is ismerhetnek,  hanem üzleti szempontból is veszélyes.

Az emberi természet alapjaiban nem változik, viszont a webes tartalmakkal és szolgáltatásokkal szemben támasztott indirekt igények igen. A net jövője függ attól a web piaci szereplői a törpéktől az óriásokig milyen módon kezelik ezt egy változó környezetben.

0 Tovább

Biológiai fegyverkezés, génterápia, új szúnyogfajjal a malária ellen - változatok egy témára


Sikeres génterápiát alkalmaztak az örökletes izombénulás ellen, a Pentagon és az FBI szakértői a módszer alapjait jelentő technika veszélyességét mérlegelték, ugyanez a technika alkalmas lehet a malária felszámolására olyan módon, hogy génmódosított maláriaszúnyogok, amikben a malária nem él túl, idővel kiszoríthatják azokat a szúnyogpopulációkat, amik a maláriát terjesztik. Ugyanennek a CRISPR-Cas9-technikának alkalmazása lehetővé teszi, hogy még a megtermékenyülés előtt meggátolják egy örökletes betegség kialakulását ős-hímivarsejtek génállományának módosításával.  

Miről is van szó?  

Múlt hét szerdán vált hivatalossá a hír, miszerint a Torontóban sikerrel alkalmaztak génterápiát egy 14 éves betegnél egy biztos bénulással járó örökletes betegség, a Duchenne-féle izomdisztrófia megfékezésére. Egyre közelebb kerül a tudomány ahhoz, hogy most még halálos kimenetelű vagy az életminőséget súlyosan rontó betegségek még a mostani betegek életében gyógyíthatóvá váljanak. A Duchenne-féle izomdisztrófia genetikai oka, hogy a  disztrofin génjét kódoló DNS-szakasz hibája. A fehérje elengedhetetlenül fontos a normális izomműködésekhez, több más struktúrfehérjével együtt kapcsolódva teszi lehetővé az izommozgások molekuláris élettani alapját.  

génterápia tudomány humángenetika CRISPR cas9 duchenne-disztrófia malária szúmyog biológiai fegyver gene drive

Abban az esetben, ha valami miatt a disztrofin génje több példányban vagy egy ritkább változatban van jelen, kialakul a Duchenne-disztrófia, ami az életkor előrehaladtával folyamatos bénuláshoz vezet több olyan folyamaton keresztül, amik az izomsejtek elhalásához vezetnek. Például az izomsejtek nem tudják kontrollálni, hogy mennyi káliumiont engedjenek be. A beteg egyre gyengébb lesz, végül teljes ellátásra szorul, a betegség utolsó stádiumában pedig már a légzőizmok is működésképtelenné válhatnak, így a beteget lélegeztetőgéppel kell lélegeztetni. Nem véletlen tehát, hogy a rettegett izomsorvadás ennyire az érdeklődés középpontjában van.  

Az American Journal of Human Geneticsben januárban fog megjelenni nyomtatásban is az a cikk, amiben Daria Wojtal és Dwi Kemaladewi munkatársaival arról számolnak be, hogy hogyan alkalalmazták a génterápia egyik legígéretesebb módját a betegség gyógyításában. Sikerült elérniük többek közt azt, hogy a disztrofin-gén fölösleges példányai az érintett  sejtekben és azok őssejtjeiben eltűnjenek. Mindezt pedig egy víruson keresztül bevitt mesterséges gén bevitelével sikerült megvalósítaniuk. A génterápiához úgynevezett lentivirális vektort alkalmaztak, azaz a retrovírusok egy altípusába tartozó lentivírus fertőzőképességéért felelős génjeit eltávolították, helyére a molekuláris javítást lehetővé tevő gént szerkesztették, majd ezt juttatták be sikeresen a beteg sejtjeibe, ahol a vírus, ha úgy tetszik, a javított génekkel fertőzte meg a célsejteket.  

Ugyanezzel az eljárással gyorsabban fejleszthetők biológiai fegyverek is

Néhány héttel ezelőtt az USA-ban a Pentagon és az FBI szakértői tanácskoztak azzal kapcsolatban, hogy a CRISPR-Cas9-technika alkalmazásával létrehozott génmódosított élőlények milyen ökológiai kockázatot jelenthetnek, másrészt mekkora a valószínűsége, hogy terroristák esetleg minden korábbinál patogénebb kórokozókat állítsanak elő biológiai fegyverként való alkalmazás céljából. Természetesen a génmódosított élőlényekkel kapcsolatos kockázatok korábbról is ismertek voltak, a mostani technika azért kapott kitüntetett figyelmet, mert relatív egyszerűbb és olcsóbb, mint az ezt megelőzőek.  

Sokmillió életet is menthet

Szintén viszonylag új, hogy olyan maláriaszúnyogokat hoznának létre a gene drive technikával, amikben nem él túl a szúnyog által hordozott malária kórokozója, ilyen módon a genetikailag módosított szúnyogpopuláció kiszoríthatja az eredeti, maláriát terjesztő populációkat, felszámolva ezzel a malária terjedését szerte a világon. Hasonlóan, a ,ódszer kihasználásával lehetne a maláriaszúnyog-populációt részlegesen ivarképtelenné tenni.  

És a "szuperszúnyogok"?

génterápia tudomány humángenetika CRISPR cas9 duchenne-disztrófia malária szúmyog biológiai fegyver gene drive

Az előbb említett washingtoni konferencián biztonsági szakértők nem tartották valószínűnek azt a bulvár által felkapott hírt, ami szerint a terroristák szuper-moszkítókat hoznának létre. Viszont nem zárható ki, hogy az új módszerrel genetikailag módosított élőlények jelentsenek kockázatot többek közt azáltal, hogy kiszoríthatják a természetben előforduló fajtársaikat.  

Betegségek megelőzése, a magzati kor előtt?  

Szintén nemrég egy konferencián olyan, eddig még csak egéren alkalmazott technika  alkalmazását vetették fel kutatók, amiben átszabott ős-ivarsejtekből létrejövő hímivarsejtekkel végezhető mesterséges megtermékenyítést valamilyen örökletes betegség kialakulásának megelőzésére. Tehát elvben gyógyíthatóak lennének betegségek, még a megtermékenyülés előtt.  

Mi képzi mindezek alapját?  

Normális esetben, ha a egy élő sejtben a DNS egy szakasza károsodik, a károsodás a sejt belső hibajavító rendszere felismeri, a sérült szakaszt kivágja és a helyére visszaépíti az eredetit, természetesen mindezt számos köztes lépésben.  

A folyamatban viszont van olyan pont, aminél kis trükkel el tudják érni a kutatók, hogy ne az eredeti gént vagy géneket jelentő szakasz épüljön vissza be, integrálódjon a sejtmag DNS-ébe, hanem bizonyos megkötések közt szinte bármi más. Az ilyen módon módosított DNS természetesen a sejt osztódást követő utódsejtjeiben is jelen lesz, valamint már nem osztódó testi sejtek esetén a sejt működése a beavatkozástól függő módon változik meg.

Képek: pinimg.com, millerandlevine.com

0 Tovább

Magzati génterápia módosított hímivarsejtekkel  


Ugyan az elméleti lehetősége a magzati korban végzett génmódosításnak már jóideje rendelkezésre áll, egy éve próbálkoztak vele egy újszerű, korábbiaknál sokkal ígéretesebb eredménnyel, az örökletes vérzékenység egyik típusának kiküszöbölésére.  

A kínai kutatók próbálkozása azonban messze nem volt mindig bombasiker, 80 embrióból mindössze néhánynál volt sikeres a beavatkozás, aminek legvalószínűbb oka, hogy a beépíteni kívánt gén nem tudott beépülni megfelelő módon arra a helyre, ahova szerették volna.  

Az októberi IVF-csúcson Washington DC-ben a kutatók egy teljesen más koncepcióval álltak elő, szintén a CRISPR-alapú technika alkalmazásával spermium-őssejtek, azaz spermatogóniumok módosításával próbálkoznak a jövőben, hogy ezekkel a módosított sejtekkel történhessen a megtermékenyítés.  

De miért pont az ős-hímivarsejtek?  

Számos, teljesen logikus, ráadásul nem is olyan bonyolult érv sorakoztatható fel amellett, hogy miért éppen az éretlen hímivarsejtekre esett a választás. Petesejtből alapvetően jóval kevesebb van, ráadásul őspeték izolálása a hölgyek petefészkéből sokkal körülményesebb lenne.  

A hímivarsejtek különböző fázisú őssejtjeiből, ahogy magukból a hímivarsejtekből is viszont szinte számtalan van. A hímivarsejt természetesen nem egyetlen lépésben válik hímivarsejtté egy őssejtből, hanem több szelekciós lépés játszódik le a herékben, ehhez képest még így is akad dupla farokkal, esetleg dupla fejjel vagy egyéb módon a többitől eltérő módon létrejött hímivarsejt, a megtermékenyítésben viszont rendszerint nem ezek lesznek a nyerők.  

Egy kis "sperma-őssejttan"

A spermiogenezis egy olyan, rendkívül kemény „casting” a természetben, ahol csak a legjobb versenyzőkből lesz egyáltalán hímivarsejt. Az őssejti állapotból, azaz  spermatogóniumból egy mitózist követően elsődleges spermatociták lesznek, amik közül a fele marad spermatogónium vagy elpusztul vagy bejut a következő körbe. Ezt követően egy meiózist, azaz már számfelező sejtosztódást követően jönnek létre a másodlagos spermatogóniumok, amiknek egy része szintén elpusztul, amit egy újabb meiózis követ, ahol viszont már nem feleződik a génállományuk, spermatiddá válnak, ezek közül a legéletrevalóbbak válnak tényleges hímivarsejtté, idegen szóval spermatozoává.  

tudomány biotechnológia CRISPR cas9 génterápia spermatogenezis

Színre lép a genetic engineering új formája

Spermatogóniumból pedig van bőven, ha sikerült beékelni a beillesztendő géneket, természetesen még mindig nem biztos, hogy azok az érett hímivarsejtben is jelen lesznek, viszont igen sok „versenyző” esetén nyilván sokkal nagyobb esély van rá.  

Többé-kevésbé köztudott, hogy a sima lombikbébis mesterséges megtermékenyítésnél is több megtermékenyített petesejtet hoznak létre, amiből a legjobbak közül többet is beültetnek a  hölgy páciensbe, viszont ezek közül így is csak egy-kettő él túl és fejlődik tovább embrióvá, ergo a gyakorlatban nagyon fontos, hogy – ha szabad így fogalmazni - minél jobb alapanyaggal dolgozzanak az IVF-specialisták.  

Az alkalmazás legnagyobb gátja ott, ahol nem is gondolnánk!  

A kutatók persze tudják, hogy bizonytalansági tényezők még így is vannak, a legkomolyabb megoldandó problémaként viszont olyan tényezőt tartanak, amire nem is gondolnánk: az ős-hímivarsejtek ki kell nyerni a heréből, amit csak biopsziás módszerrel lehet megoldani, kérdéses viszont, hogy ennek hány férfibeteg veti alá magát a leendő gyermek kedvéért, fájdalomcsillapítás ide vagy oda. 

Génterápia régen és most

A konferencia videói mindenki számára elérhetőek.  Az embrionális korban végzett, génállományba való beavatkozás csak nagyon indokolt esetben, orvosi céllal engedélyezett. Ahogy írtam, különböző génterápiás eljárások már viszonylag sok ideje rendelkezésre állnak.    

Köztük vannak olyanok, amik még megtermékenyítés előtt, az embrionális korban illetve olyanok, amik akár felnőttkorban is alkalmazhatóak egy adott sejttípust megcélozva. A különböző technikák eltérnek a géneket hordozó, DNS-t vagy RNS-t felépítő polinukleotid vagy oligonukleotid szakaszok szállításának, sejtbe való bejuttatásának és sejtmagi DNS-be való beépítésének módjában. A magzati génterápiában a cél lehet az, hogy egészséges génekkel nyomják el olyan gének hatását, aminek a változatai súlyos örökletes betegséget okoznának, míg felnőtt korban nyilván csak adott sejttípus célozható meg. A módszereket mégis igen ritkán alkalmazzák sikerrel, mivel olyan jogi szabályozások vonatkoznak ezekre a módszerekre és az ezzel kapcsolatos alapkutatásokra szintén, mintha azokat a pattintott kőkorban írták volna.  

A klasszikus módszerek sem mentesek a nehézségektől  

Bármilyen típusú génterápiáról is van szó, komoly kihívást jelent az információhordozó nukleotidszakaszt a célsejtekbe juttatni. Ennek egyik módszere - egyszerűsítve - amikor egy vírust olyan módon alakítanak át, hogy abból a betegséget kialakító örökítőanyagot egy az egyben eltávolítják, ezek helyére pedig a beültetendő gének kerülnek, a kibelezett vírusban viszont azok a részek még megvannak, amik ahhoz szükségesek, hogy sikeresen bejutva a hordozott örökítőanyagot, ami ebben az esetben tehát nem a vírus génjei, hanem a belevarrt, bejuttatandó DNS, a gazdasejt DNS-ébe épülhessen, természetesen több köztes lépésen keresztül.  

Ha a beavatkozás ezzel a módszerrel, mondjuk adenovirális hordozóval, azaz virális vektorral történik, még mindig előfordulhat, hogy gyógyító vírusok a bejuttatását követően az immunrendszer lebonthatja. Viszont ha még ha el is éri a célsejteket és sikerül is bejutnia azokba, még mindig nem biztos, hogy a sejt belső védekező mechanizmusai nem gátolják meg, hogy a hordozott nukleotidszakasz helyesen a beteg sejtjeinek DNS-ébe épüljön.  

Változatok egy témára - hímivarsejt-szabászat  

A CRISPR-alapú technika, egészen pontosan CRISPR-Cas9-módszer lényege egyszerűsítve, hogy egy vágóenzim kivág egy célzott szakaszt az örökítőanyagból, amit a sejt hibajavító mechanizmusai nyomban érzékelnek is, és megkezdik a hibajavítást. A hibajavítás során viszont már nem az eredeti, hanem az átszabott, korrigált géneket hordozó polinukleotid-szakasz illesztik be. A sejtek osztódása, érése során pedig természetesen már az összes ebből létrejövő sejt a helyes változatot fogja hordozni, ha pedig a megtermékenyítés is ezzel történik, nyilván a megtermékenyített petesejt, majd az abból kialakuló magzat sejtjei is a helyes géneket hordozzák majd.  

Az alábbi ábra a génterápia azon típusát mututja, amikor virális vektorral juttatják a sejtmagi DNS-be beékelendő polinukleotid-szakasz. [a CRIPSR-cas9-nél nem adenovirális, hanem lentivirális vektort alkalmaznak]

tudomány biotechnológia CRISPR cas9 génterápia spermatogenezis

Wikipedia

0 Tovább

Álszentség és a közösségi web veszélyes ostobasága


A minap jelent meg az Origo Tech rovatában egy cikk Túl lassan reagált a Facebook a terrortámadásra  címmel, szintén nemrég a Subba Blogon egy poszt 2 girls 1 csicska címmel, videó amúgy itt.

Facebook social media social web OSINT open source intelligence nyílt forrású adatszerzés kriminalisztika

Az Origo cikke részletekbe menően beszámol róla, hogy a Facebookon többen számon kérték, hogy a terrorista szervezkedésekkel szemben túl lassan lépett, egészen pontosan, a terroristaakciókat pozitív színben feltüntető posztokat nem távolította el elég gyorsan, holott a Facebook egy fejese is kifejtette: „Terroristáknak, terroristapropagandának nincs helye a portálon.” Ezen kívül szóba került, hogy ilyen eseményeknél a Facebook akár plusz alkalmazottakat is behívhat, hogy felvegyék a harcot azokkal a felhasználói tartalmakkal. Ez több ponton ütköznek a gusztustalanul álszent és ostoba community guidelines-szel, másrészt nagyon veszélyes hülyeség.

Meanwhile in Hungary…

Ezzel körülbelül egy időben, ahogy a Subba hivatkozott posztja is felkapta a hírt, felkerült egy facebookos videó, amiben egy tinicsaj alighanem a haverjaival való megveretésével arra kényszerített egy hasonló kultúráltsággal és intellektussal megáldott jómadarat, hogy nyilvánosan kérjen tőle bocsánatot azért, mert azt posztolta róla, hogy fugáztak.

Ez utóbbi videó amúgy amellett, hogy röhögünk rajta, amellett, hogy ízléstelen, amellett, hogy egy olyan világba repít el bennünket, ahol semmi pénzért sem élnénk 5 perccel több ideig, a napnál is világosabb, hogy egy zsarolási bűncselekmény bizonyítéka, ugyan ez kutyát se zavar. Ja, a linken mindenki számára elérhetőek a hozzá tartozó kommentek is, most komolyan, mennyi van, amelyikből nem a kőprimitív arrogancia jön le?

Minden mindennel összefügg

Nemrég számoltam be a webes óriások eszelős ostobaságáról, amiben arról írtam, hogy a fene nagy szociális érzékenységük közepette bizonyos tartalmak moderálásával gyakran bizonyítékokat semmisítenek meg és hogy ez miért is baj.  

Vegyük észre, hogy itt aztán ezer fokon lobog az elmebaj – na meg a gusztustalan álszentség

Nem mélyedek bele ismét abba, hogy miért hatalmas hiba egy-egy közösségi szolgáltatás részétől, ha azonnal lemoderál bármit, amit szerintük a felhasználóknak nem szabadna látniuk valamilyen okból, okot pedig gyártanak hozzá bármikor. Leginkább azért, mert ha nem törlik azonnal azokat a tartalmakat, amiket a net leggátlástalanabb, morális téren állati szinten lévő  csőcseléke vagy éppenséggel elővigyázatlan, iszlamista szélsőségesekkel szimpatizáló arcok töltenek fel, ezek a tartalmak kutathatóak maradnak mind a nyomozó hatóságok, mint a külső kutatók, szociológusok, kriminológusok, kriminalisztikai módszereket fejlesztők és mások számára egyaránt. Ugyanis ha nem törlik, a tartalmakhoz kapcsolódó metaadatok, a kirívó vagy közösségre veszélyes tartalmakat terítő felhasználók aktivitása és az ő rajongói bázisuk felgöngyölíthető és követhető is marad, míg ha ostoba módon ezeket a tartalmakat eltávolítják, nyilván ezzel ezek az információk elérhetetlenné válnak – azaz valamivel később már sokkal nehezebb lesz azonosítani a potenciális bűnözőket, szélsőségeseket, egy szóval a legsúlyosabb arcokat.  

Facebook social media social web OSINT open source intelligence nyílt forrású adatszerzés kriminalisztika

Ez nem az óvodában verekedő Pistike!

Ha Pistike verekszik az óvoda udvarán és az ovónéni leállítja, annak megvan a maga logikája. De a közösségi web kicsit más: ha megfigyeljük, hogy a webkettőn verekedő Pistikével kik szimpatizálnak, Pistike általában miért kezd verekedni, általában kik a veszélyeztetett csoport és hogyan verekszik, ezzel később, de sokkal több ismeret birtokában állítjuk le a gondolatkísérletbeli Pistikét, de már a hasonlóan problémás 100 másik társával együtt és ez a lényeg!

Hosszasan lehetne még sorolni az érveket azzal kapcsolatban, hogy a Facebook mostani elképesztően ostoba moderációs gyakorlata miért helytelen. Ide tartozhat az az elvi ok is, hogy a Facebooknak egész egyszerűen nem feladata, hogy elvi szempontból veszélyes tartalmaktól – azaz a vírusos és spammer hivatkozások például nem tartoznak ide – megvédjék a felhasználóikat, mintha azok taknyos orrú óvodások lennének. Másrészt van egy olyan, rendkívül rossz olvasata a dolognak, hogy a felhasználóknak nem kell tartaniuk semmitől, mert majd a nagy és okos Facebook megvédi őket – holott nem, minden ilyen lépést a Facebook nyilván csak azért tesz, hogy családbarát legyen úgymond.

Magyar vonatkozás – polkorrektek maradunk vagy hagyjuk, hogy kinyírjanak a Mekiben?

Az első komolyabb eset, amikor egy rázós arcra a neten keresztül lettek figyelmesek a hatóságok az volt, amikor Somogyi Ábel blogját elkezdte figyelni a rendőrség, majd megtették a szükséges lépéseket. Na most képzeljük el, ha akkor a csávó blogját csak úgy törli a blogszolgáltató mondjuk arra hivatkozva, hogy uszító tartalomnak náluk nincs helye! A türelmes megfigyeléssel a magyar zsaruk sokkal többre mentek, gyakorlatilag nem kellett bizonyítani a lementett tartalmak alapján, hogy az eszelősen elborult versek nem csupán a szerzői szabadság eredményeként születtek. Igaz, hogy a Móriczon kellett a tagnak lövöldöznie egy picit mire tényleg lekapcsolták, de semmi sem zárja ki, hogy valóban emberekre lőtt volna mondjuk az egyetemen, ha teheti – amiről értelemszerűen nem tudtak volna honnan értesülni időben a bűnüldöző szervek, ha a blog nincs.

Facebook social media social web OSINT open source intelligence nyílt forrású adatszerzés kriminalisztika

Nemrég szereztem be Wiil Counterterrorism and Open Source Intelligence kötetét, de számos könyvet meg tudnék még nevezni, ami azokat a metodológiákat mutatja be, hogy hogyan kutassunk radikalizálódó csoportok, potenciális bűnözők és egyéb rázós arcok után a közösségi weben és egyéb, nyílt netes forrásokban. Ezek a módszerek viszont mind feltételezik, hogy egy-egy szolgáltatás működtetője nem olyan ostoba, hogy törli azt a tartalmat, ami kiindulópont lehet egy terrortámadás megakadályozásához. Nos, a Facebook most mást sem csinál – de legalább jól jár vele, fő az imidzs, nemde?

Képek forrása: web, kuruc.info

2 Tovább

SSL/TLS: hogyan hallgathatják le a munkahelyén?


Ahány munkahely annyi szokás, viszont alighanem mindenki belefutott már abba a kérdésbe, hogy vajon mennyire jó ötlet a munkahelyi gépet magáncélra használni, mennyit tudhat róla az IT-s, a főnök, esetleg olyan is, aki jóval pletykásabb az elviselhetőnél.

Vannak munkahelyek, ahol az alkalmazott azonnal aláír egy nyilatkozatot azzal kapcsolatban, hogy a munkahelyi IT infrastruktúrát csak a munkájához szükséges célokra és módon fogja használni, ha pedig ez a policy változik, arról a munkahelynek őt is köteles értesítenie. Ez jellemzően tartalmazza azt, hogy a munkahelyi levelezés nem használható másra a rendeltetésén kívül és ezt a munkahely ellenőrizheti, mondjuk szúrópróbaszerűen és ez így helyes. Ami viszont már sokkal kacifántosabban, esetleg kevésbé érthetően van megfogalmazva, hogy a munkahely milyen mélységig láthat bele az alkalmazott netezésébe, ami a privát kommunikációját is érintheti. Főleg akkor, ha a zavarosan megfogalmazott szabályzat kiterjedhet a BYOD-eszközökre is, azaz azokra a kütyükre, amiket az alkalmazott saját maga visz be és a céges hálózatot használják.

UTM ITsec biztonság SSL TLS firesheep kriptográfia szájbarágó

Amivel alighanem mindenki egyetért, hogy a munkahelyére alapvetően dolgozni jár az alkalmazott, tehát mindenki joggal várhatja el, hogy ne csessze el az időt olyannal, aminek semmi köze nincs a munkájához. Ugyanakkor nagyon gyorsan kiderült az is, hogy azokon a helyeken, ahol letiltották az egyértelműen magán célra szánt, közkeletű alkalmazások használatát, mint a Twitter, a Gmail vagy a Facebook, az alkalmazottak feszélyezettebben érezték magukat, ennek megfelelően a produktivitásuk is csökkent. Röviden: az olyan típusú szolgáltatások tiltásának bevezetése, amik mindennapi kommunikációnk részévé váltak és megszoktuk, hogy elérhetőek, amikor kell, értelemszerűen csak feszültséghez vezethet. Ugyanakkor természetesen senkinek sem jó, ha az alkalmazott elcsetelgeti a munkaidő felét.

Komolyan nem tudnám megmondani, hogy melyik a legidiótább céges korlátozás, amiről olvastam vagy hallottam, de alapvetően kerülendő minden olyan módszer, ami az alkalmazottban olyan benyomást kelt, mintha a főnöke a háta mögött egész nap azt figyelné, hogy hogyan dolgozik. Természetesen kivételek vannak, kritikus feladatokat ellátó szervezeteknél nyilván megengedhetetlen lenne biztonsági szempontból, hogy onnan az alkalmazottak szabadon netezgessenek, így esetleg lefertőzzenek véletlenül egy olyan hálózatot, ami egy SCADA-rendszerhez vagy minősített adatokat tartalmazó rendszerhez kapcsolódnak valamilyen módon. Ahogy az is ismert, hogy több hadsereg nagyon helyesen megtiltotta az állománya tagjainak, hogy egyáltalán a közösségi webet használják.

Ami általánosságban elmondható, hogy az alkalmazottak alapvetően tájékozatlanok, aminek eredményeként veszélyeztetik egyrészt a céges adatok séthetetlenségét, másrészt a saját magánszférájukat is.

2010-ben hatalmas botrányt kavart a Firesheep, ami lényegében egy olyan böngésző-kiegészítő volt, ami lehetővé tette, hogy a géppel egy hálózaton lévő több gép titkosítatlan adatforgalma már-már kínos egyszerűséggel teljes egészében lehallgatható legyen. Azaz bárki, elemi informatikai előismeretekkel láthatta és jókat derülhetett rajta, hogy tőle nem messze egy kollégája miket olvas éppen a neten. Nem az az érdekes az egészben, hogy megjelent egy böngészőbővítmény, ami lehetővé tett, hogy egy mezei felhasználó úgy láthassa a másik tevékenységét, ahogyan az a zsékategóriás kémfilmekben ábrázolni szokták. Ugyanis ennek a lehetősége már ezer éve adott volt, az olyan jól ismert alkalmazások, mint mondjuk a Wireshark ugyanerre képes volt már a Firesheep előtt 10 évvel korábban is, csak éppenséggel azzal a különbséggel, hogy a Wireshark által sniffelt adatforgalom nem úgy jelent meg, mint valami kémfilmben, hanem az adatcsomagokat szépen összerakva pici hozzáértéssel simán olvasható volt a titkosítatlan forgalom, ami származhatott vezeték nélküli hálózatból és persze vezetékes hálózatból, azaz például a munkahely helyi hálózatára csatlakozva egyaránt.

UTM ITsec biztonság SSL TLS firesheep kriptográfia szájbarágó

Tehát igaz, hogy a probléma ismert volt már száz éve, mégis egy, végülis teljesen átlagos, mindenki számára használható böngészőbővítményre volt szükség ahhoz, hogy a világ legnagyobb szolgáltatói arra kényszerüljenek, hogy az alapértelmezett beállítás az legyen, hogy a felhasználó böngészője és a szerver közti adatforgalmat titkosítsák. Ez a gyakorlatban nem csak abból látható, hogy a böngésző címsorában a cím https-sel kezdődik, hanem az is, hogy az elején látható egy - jó esetben zöld színű, nem törött - lakat ikonja, amire rákattintva láthatjuk, hogy a kommunikáció egészen pontosan milyen titkosítás mellett történik, és egy ún. certifikátum megfelelően igazolja-e, hogy a webhely, amire kapcsolódunk, valóban az a webhely-e, aminek a címét a címsorban látjuk.

De hát ha a címsorban az áll, hogy www.bankom.tld, akkor az csak a bankom webhelye lehet, nem? Nem. Amikor a böngészőbe beírjuk a címet, a kérést az oprendszeren keresztül átadja a DNS-szervernek, ami alapértelmezés szerint mindenkinek a saját internetszolgáltatójának azon két szervere, amelyik elvégzi a névfeloldást, azaz megkeresi vagy megkeresteti a webcímhez tartozó IP-címet, ez visszakerül a böngészőhöz a kommunikáció innentől a felhasználó címe és böngészője, valamint a DNS-től megtudott www.bankom.tld oldal IP-címe közt fog folytatódni végig. /*egyszerűsítve*/

Kivéve, amikor nem!

Ugyanis lévén, hogy semmi sem garantálja azt, hogy a névfeloldásra irányuló kérésbe senki sem fog belepiszkálni a felhasználó és a szolgáltató DNS szerveri közt ún. közbeékelődéses támadással

Másrészt a szolgáltatók DNS szerverei ha mondjuk az elmúlt néhány órában már több milliószor feloldottak egy bizonyos címet, nem fogják ismét megkeresni azt a net dzsungelében, hanem a gyorsítótárból, "emlékezetből" veszik elő azt, a legnagyobb sérülékenységet pedig pont ez jelenti. 2008-ban éppen egy névfeloldással kapcsolatos sebezhetőség sokkolta a világot.

Tételezzük fel, hogy a támadók sikeresen beléptek a szolgáltató DNS-szerverére  és a nemrég lekért, www.bankom.tld hosztnévhez tartozó IP-címet aaa.bbb.ccc.ddd-ről átírták xxx.yyy.ppp.qqq címre, ez utóbbi pedig egy, a Karibi-térségben vagy hasonló remek klímájú országban elhelyezett szervert jelöl, amin olyan webhely fut, ami megtévesztésig hasonlít a www.bankom.tld bejelentkezőoldalára. Az ügyfél ekkor beírja a felhasználói nevét és jelszavát, amit a támadók naplóznak. A belépési adatok megadása után a felhasználó hibaüzenetet kap, miszerint rosszul adta meg a belépési adatait, majd átirányítják a valódi webhelyre, ahol már szabályosan be tud lépni, viszont nem veszi észre, hogy a bejelentkezéshez szükséges azonosítókat a támadók ellopták.

Ez ugyan egy erősen egyszerűsített példa volt a DNS működésével és annak eltéríthetőségével kapcsolatban, hiszen nincs olyan hülye bank, ami ne használna az éles felületen titkosított kommunikációt, a szerver és a kliens azonosítását, a belépés vagy egy-egy konkrét banki művelet pedig plusz egy jóváhagyást kérnek az ügyfelektől, ami mondjuk egy SMS-ben érkező számsor megadása. Viszont tartsuk észben, hogy számos levelezőrendszer van mind a mai napig, aminek a webes felülete nem alkalmaz titkosított kommunikációt, ilyen esetben ha a DNS-t célzottan eltérítik, olyan, mintha a felhasználó teljes egészében odaadta volna a postafiókja használati jogát a támadónak.

A DNS eltérítés gyakoribb, egyszerűbb, na meg sokkal kevésbé feltűnő módja, ha nem a szolgáltató DNS kiszolgálóját piszkálják meg, hanem a felhasználó gépét kihasználva azt, hogy a kliens szintén gyorsítótárazza a korábban feloldott neveket. Ha például valaki folyamatosan a Gmail-en lóg, nem fogja a böngésző minden alkalommal arra utasítani az operációs rendszert, hogy kérdeztesse le a Gmail.com-hoz tartozó IP-címet, amikor megszólítja az oldalt, hanem azt a lekéréseket cachelő helyről vagy egy,  állandó hosztnév-IP-párosokat tartalmazó, de megmókolt fájlból húzza elő, ez a másik módja a DNS hijackingnek.

Miután tisztáztam, hogy a névfeloldás jelentősége mekkora, nem csoda, hogy gyakorlatilag minden kicsit is normális operációs rendszer és személyi tűzfal úgy kezeli a hosztnév-IP-cím párosokat tartalmazó fájlba való beavatkozási kísérleteket, mintha a támadó páncéltörvővel próbálna bejönni az ajtón. Könnyebb megérteni, ha belenézünk ezekbe a fájlokba.

OSX esetén a fájlt /private/etc/hosts helyen találjuk, a legtöbb linux disztróban az /etc/hosts alatt, ha csak kimondottan át nem helyezték, míg Windows esetén a rendszergyökér\Windows\System32\drivers\etc\hosts.txt fájlban. Ez ugyan csak az állandó hozzárendeléseket tartalmazza, így nem valami izgalmas, viszont kis trükkel előcsalható, hogy az operációs rendszer az adott pillanatban miket gyorsítótárazott, itt jelen esetben biztosan meg fogjuk találni mondjuk azt, hogy a reblog.hu-hoz  a 84.2.32.100 vagy 84.2.32.101 cím, esetleg egy ún. kanonikus név tartozik. Nosza! A lista megjelenítéséhez viszont ismét lehet, hogy adminisztrátori jogosultságokra lesz szükség. A Windowsban egyszerűen el kell indítani egy parancssort adminisztrátori jogosultságokkal, majd ott kiadni az

 ipconfig /displaydns | more

parancsot, majd lehet is böngészni benne.  

Nem kell pánikba esni, ha a vártnál sokkal több hosztnevet látunk, hiszen nem csak a webes böngészéshez kapcsolódó címek láthatók it. Ha gyakran frissít a víruskeresőnk, fut közben a Skype, meg még  ki tudja mi, minden alkalmazás és szolgáltatás, ami használja a hálózatot kapcsolódik pár jóhelyre. Tovább bonyolít a helyzeten, hogy a terheléselosztás miatt egy hosztnévhez tartozhat több IP-cím is, egy IP-címhez több hosztnév, de még egy adott webhely is a tartalmainak egy részét teljesen más hosztnévről cibálja be, így például a Facebookra töltött képek esetén a scontent.xx.fbcdn.net helyről, aminek további IP-címei vannak.

Az olvasó esetleg korábban is tudott róla, hogy mi is a névfeloldás, mostanra világosabb lehet, hogy hogyan is működik, ebből adódóan mekkora kockázata annak, ha ebbe valamilyen módon beleberhelnek, a harceddzettebb bitbúvároktól elnézését kérek az egyszerűsítésekért.

A DNS-eltérítés kockázatát persze már az internet hajnalán felismerték, ezért ki kellett találni egy olyan megoldást, ami azonnal beavatkozik vagy jelez, ha erre utaló jelet talál. És persze egy pillanatig se felejtsük el, hogy ennek a megoldásnak teljesen függetlennek kellett lennie az átvivő közegtől, ideértve a csatorna köztes szakaszait is. Azaz függetlennek kell lennie attól, hogy a netező LAN-kábelen keresztül csatlakozik, titkosítatlan wifin keresztül, az adatcsomagok egy ideig telefonkábelen keresztül haladnak át, mire célbaérnek keresztülmennek 8-10 szerveren, útválasztón, amikről azt sem tudni, hogy kié és így tovább. Azaz feltétel volt a tervezésnél, hogy legyen független a megoldás a fizikai, adatkapcsolati, stb. rétegektől, így került a megoldást jelentő SSL és a vele gyakorlatilag azonos TLS [Transport Layer Security] és ami kapcsolódik hozzá, megjelenítési rétegbe.

Hogy szemléletes legyek, tételezzük fel, hogy egy papírcetlin szeretnék üzenni valamit a kollégámnak és olyan valakit bíznék meg azzal, hogy a papírcetlit vigye el neki, akiről tudom, hogy biztos, hogy úgyis elolvassa, másrészt még pletykás is, a papírcetlire az üzenetet mondjuk arab avagy japán nyelven írom, amit a címzett megért ugyan, de aki átadja neki a cetlit, nem. Ez esetben az, akit megkérek a levél továbbítására, a fizikai vagy adatkapcsolati rétegnek feleltethető meg, míg ami a cetlire kerül az átvivő számára értelmezhetetlen nyelven, megfeleltethető az alkalmazási vagy megjelenítési rétegnek.

Az SSL/TLS titkosítási és azonosítási feladatokat is ellát. Amikor arról van szó, hogy mennyire okos dolog mondjuk reptéri nyílt wifit használni netbankoláshoz vagy levelezéshez, alapvetően azért hülye a kérdés, mert ha SSL titkosítás mellett működik az adott webhely a böngészőbe, hiába hallgatja le a wifit valaki, az a kommunikáció, ami a laptop és a banki szerver vagy levelezőszerver közt bonyolódik, értelmezhetetlen adatmasszaként fog csak megjelenni, hiszen titkosított. [SSL/TLS-t viszont nem csak a böngésző használ! Lazán kapcsolódik, de ilyenkor ésszerűen azt kellene figyelembe venni, hogy a laptopon futhatnak olyan szolgáltatások, amik viszont sehogy sem titkosítanak. Okostelefonok pedig gyakorlatilag általános, hogy az appok erőforrásigényének csökkentése miatt számos alkalmazás egyáltalán nem használ titkosítást vagy csak nagyon gyengét, ami igencsak rizikós annak tudatában, hogy az okosmobilok többsége, hacsak nincs készenléti állapotban, automatikusan csatlakozik a nyílt hálózatokhoz, ha olyat lát, a mobil gyengén vagy sehogy sem titkosító szolgáltatásai és alkalmazásai pedig kapásból küldik is az adatokat a szervereik felé.] Akit a titkosítás pontos módja érdekel, itt olvashat róla

UTM ITsec biztonság SSL TLS firesheep kriptográfia szájbarágó

A titkosítással a gyakorlatban együtt jár, hogy egy, a kommunikációtól független, harmadik  fél előzetesen tanusítványt állított ki a szerver számára, ami igazolja, hogy ő tényleg az, akinek mutatja magát a kliens felé, akárcsak a szerver személyi igazolványa lenne. A böngészőprogramok pedig szintén tudják, hogy milyen típusú tanusítványokat fogadnak el és ha olyan tanusítvánnyal találkoznak, amivel valami nem stimmel, azonnal jelzik a felhasználó felé.

Visszautalva arra, amit a cikk elején írtam, ha a szolgáltató oldalán a DNS-szerver a névfeloldásokat hibásan végzi, a gyorsítótárában hamis hosztnév-IP-cím összerendelések vannak, ennek megfelelően téves adatot ad át a kliensnek, előfordulhat, hogy a http://bardoczi.net címen valamilyen kábszicsempész-gyilokpornós-fegyverkereskedős cég oldala jelenik meg. Ugyanez történik akkor is, ha a felhasználók  gépén az emlegetett hosts fájlokban valótlan párosítások vannak megadva, lényeg, hogy a felhasználó fejében meg sem fordul, hogy alighanem nem azt az oldalt látja, amit keresett.

Abban az esetben viszont, ha valaki a httpS://bardoczi.net címet látogatja meg, számos forgatókönyv elképzelhető, ha a DNS-kérés hamis. A jólnevelt böngésző azonnal jelez, hogy a domainnévhez tartozó certifikátumot a Comodo olyan módon állította ki, hogy a bardoczi.net hosztnévhez a 70.39.146.219 IP-cím tartozik, viszont a tartalom ennek ellenére mégsem erről a címről csorogna be, hanem teljesen máshonnan – teljesen más tartalommal. A felhasználónak lehetősége van arra kattintani, hogy vállalja a kockázatot és mégis betölti az oldalt, de csak annál a látogatásnál, minden újabb látogatásnál a böngésző erre újra rá fog kérdezni. Ami viszont tragikus, hogy a böngészők a mai napig lehetővé teszik, hogy egy-egy oldal "hamis személyivel" felkerüljön a kivételek közé, azaz a felhasználó minden látogatásakor a problémás certit elfogadja a böngésző, ami nem csak annyit jelent, hogy a felhasználó esetleg nem is azt az oldalt látja, amelyiket szeretné, hanem man-in-the-middle támadással más az egész adatforgalmat lehallgathatja. A certi részletei egyébként minden böngészőben lekérdezhetőek a címsor elején lévő lakatra kattintva.

Nos, képzeljük el, hogy valaki egyszer elfogadott egy hamis tanusítványt - vagy valaki, akivel közösen használják a böngészőt – ezen kívül a hosts fájl is meg van buherálva. Így előfordulhat, hogy hónapokon keresztül úgy használja mondjuk a gmail.com-ot, hogy azt valaki, akinek a szerverén keresztül megy az adat, aki a már említett közbeékelődéses támadással a felhasználó és a gmail.com közt áll, minden nehézség nélkül lehallgatja felhasználónévvel, jelszóval, a küldött levelek tartalmával, mindennel együtt! Az azonosításon kívül a titkosítás arra is kiterjed, hogy az adatfolyamot bizonyos méretű adatblokkonként ellenőrzi, hogy megfelelően titkosított-e, ha nem, figyelmeztet vagy eldobja a kapcsolatot menet közben.

Ha a böngésző tanusítványhibát jelez, annak ugyan lehet számos más oka is, de mindig mérlegeljünk előtte, hogy megéri-e a kockázatot, ha továbbmegyünk.  

Egyre több szervezet alkalmaz ún. UTM, azaz unified threat management megoldásokat aminek a lényege, hogy a biztonságot veszélyeztető szolgáltatásokat nem külön-külön küszöbölik ki. Azaz nem külön egy tűzfalas megoldás figyeli a hálózati forgalmat, egy antivírus megoldás kergeti a vírusokat, ezen kívül megint másik arra ügyel, hogy az alkalmazottak véletlenül ne küldözgessenek kifelé olyan információkat, amiket nem szabadna, hanem ezeket egy szolgáltatás suite-ba csomagolják. Itt ismét néhány egyszerűsítéssel fogok élni. Képzeljük el, hogy az elérendő célja az IT staffnak, hogy az alkalmazottak ne használjanak Yahoo Mail-t céges adatok átküldésére, de nem akarjuk elzárni őket a privát levelezésüktől sem. Azaz ezt valahogy ellenőrizni kell. Ekkor nincs mese, annak ellenére, hogy a Yahoo levelezője titkosított forgalmat bonyolít a szerver és az ügyfél közt, valamilyen módon meg kell figyelmi a forgalmat tartalmi szempontból olyan nyomok vagy mintázatok után kutatva, amik arra utalnak, hogy valaki nem túl bölcs módon mondjuk üzleti szempontból kritikus információkat küldözget, amiről tipikusan nem is tudja, hogy mennyire kritikus, csak azt, hogy a kollégának kényelmesebb átküldeni Yahoo-n, ha már úgyis oda van belépve. Megint más esetben ha már Facebookozik az alkalmazott, a forgalom titkosított ugyan, mégis ellenőrizni kell, hogy véletlenül se kattintson olyan linkre, amivel lefertőzi a céges gépet.

Van-e megoldás arra, hogy az alkalmazott magánszéfrája ne sérüljön, ugyanakkor mégis maradjon házon belül az az infó, amit házon belül szeretne tartani mondjuk egy vadászrepülőket tervező cég? A rövid válasz, ahogyan sejthető: nincs.

Ha valaki bele akarna fülelni a titkosított forgalomba, a böngésző azonnal jelezne, aminek annyira nem örülne a felhasználó. Mit lehet kezdeni azzal az adatfolyammal, ami titkosított? Nincs mese, fel kell oldani valahogy a titkosítást, dekódolni kell, megszaglászni, hogy nincs-e benne valamilyen kényes adat, majd titkosítani, de már a céges szerverrel és úgy továbbítani a  külső szerver felé. Ha a külső szerver persze észleli, hogy valaki belepiszkált az adatfolyamba, ennek megfelelően lehet, hogy egy olyan ködös hibaüzenetet dob, hogy nem felel meg a kapcsolat az elvárt biztonsági standardoknak, ezért vége a mókának. A webes szolgáltatások viszont nagyon sok esetben sokkal megengedőbbek, ha SSL-ről és certikről van szó, mivel tisztában vannak vele az üzemeltetők, hogy lehetnek olyan felhasználók is, akik annyira régi böngészőt használnak, amelyik az alkalmazott titkosítási módszert még nem támogatja megfelelően vagy olyan államból használnák a szolgáltatást, ahol a webes szolgáltató és az adott állam megállapodást kötött azzal kapcsolatban, hogy a felhasználóikat lehallgathatják. Kínában például így

UTM ITsec biztonság SSL TLS firesheep kriptográfia szájbarágó

Felmerül a kérdés, hogy mégis hogyan oldják meg a titkosított kapcsolat elemzését alkalmazó cégek azt elegánsan, hogy a felhasználók ne kapjanak figyelmeztetést, maximum törött lakat látszódjon a címsorban, ami azt jelzi, hogy titkosított a kapcsolat ugyan, csak a másik fél, azaz a szerver valódisága nem garantált? Úgy, hogy a céges gépre az előtelepített böngészőbe a célnak megfelelően megmókolt tanusítványok kerülnek, mivel tudható, hogy a magán kapcsolattartásra leggyakrabban használt webhelyek melyek és milyen certit használnak, amihez a cég hozzábiggyeszti a sajátját. Ezen kívül a cég saját DNS-szervereket használ, ami a szükséges oldalakat eltéríti.

Azért valami feltűnőbb nyoma csak van annak, ha gyakorlatilag hakkolva van az a technológia, amit arra fejlesztettek ki, hogy a kliens és a szerver tökéletesen bízhasson egymásban, nem? Igen, viszont olyan helyen, amit a felhasználó tipikusan soha az életbe nem néz meg. Ahogy már írtam, a címsor elején lévő lakatra kattintva, majd azon belül a tanusítvány részleteit kiválasztva jeleníthetők meg a szerver hitelesítésével kapcsolatos részletek. Ez például a LinkedIN esetén a Digicert által LinkedIN-nek kiállított tanusítvány, a Gmail esetén egy Geotrust/Google CA által Gmail-nek kiállított tanusítvány és így tovább. Abban az esetben, ha ettől eltérő tanusítványinformációkat látunk, akkor vagy a cég mókolt valamit, ahogy természetesen az sem zárható ki, hogy a céget egy kifinomult támadás érte, a támadó helyezett el  hamis certiket a böngészőben az alkalmazottak lehallgatására.

0 Tovább

Legjobb South Park részek - szerintem


Nem tudnám megállapítani, hogy melyik a legjobb rész, mert ahány néző, annyiféle szempontot emelhetnénk ki, mint hangsúlyosabb szempont. Nekem valahogy nekem azok a részek jönnek be a legjobban, amik valami olyan kérdésre reflektálnak, ami a leginkább megosztja ma az embereket illetve legjobban rámutat arra, hogy nagyon sok esetben a való életben az, amit civilizációnk tömegben gondolkodva mond, fél fokkal sem bizarrabb, mint ahogyan azt a South Parkban ábrázolják.

Mindnek a magyar nyelvű fordítását, kommentár nélkül embeddelem, egy kivételével csak a kiemelt részletet:

Revolúció 1. - 16. évad 3. epizód

Egy házba zárt közösség - 9. évad 12. epizód

Kormányármány - 17. évad 1. epizód

0 Tovább

10 deka diplomamunkát kérnék - 11 és fél, maradhat?


Nem semmi webhelyet dobott a gép nemrég: az gondolom mindekinek megvan, hogy diplomát, útlevelet, mindent lehet már rendelni a netről régóta, ráadásul le sem kell merülni a deep web mocskába ezekhez. Igazából semmi meglepő nincs benne, hogy vannak olyan vállalkozások, amik megrendelésre gyártanak szövegeket mások számára úgy, hogy azokat állításuk szerint nem szúrja ki semmilyen plágiumszűrő.

szellemi tulajdon jog plágium diplomamunkaA http://evolutionwriters.com/ oldalon csak meg kell adni az írásmű típusát, terjedelmét, szintjét, valamint a határidőt, aztán dobja is az árajánlatot az oldal.

Ha az oldal nem kamu, még azt sem tartom elképzelhetetlennek, hogy bizonyos témában megrendelésre tényleg írnak valahol más nevében és más helyett jó pénzért cikkeket, diplomamunkát, házi feladatokat, meg amit csak el lehet képzelni. Belegondolva piaca is van ennek bőven, mi több, az sem tartom kizártnak, hogy ha eleget fizet az ügyfél, akkor tényleg eredeti szöveget kap, amit ennek megfelelően nem szűrnek ki a plágiumszűrők sem.

Azért mégsem a legbölcsebb dolog ilyenkért fizetni azon túl, hogy ha valaki szellemi tulajdont lop és az kiderül, könnyen lehet, hogy egy életre oda a hitelessége normálisabb környezetben, de egy szellemi tulajdonnal való súlyos visszaélés megítélése nagyon sokmindentől függ. Viszont a bukófaktor normálisabb helyet hatalmas: ugyanis jobb helyeken egy-egy komolyabb írásművet szóban meg is kell védeni, márpedig ha valaki mondjuk energiatakarékos módon készített diplomamunkát szóban véd és nem nézett utána nagyon alaposan a forrásoknak, nem érti tökéletesen az egész koncepcióját, nem tudja elmondani normálisan, hogy milyen gondolatmenet alapján jutott azokra a következtetésekre, amikre, milyen fázisai voltak a kutatásának, akkor azt a bírálóbizottság úgyis kiszúrja, feltéve, hogy nem hülyékből áll. Ha ehhez még hozzákalkuláljuk azt is, hogy ha valaki nem professzionális hazudozó [ami rendkívül ritka], akkor annak a tudata, hogy mekkora tétje van a lebukásnak, a lebukástól való félelem szintjét növeli, ami minden esetben megnöveli annak a valószínűségét, hogy az illető tényleg lebukjon egy átveréssel vagy hazugsággal kapcsolatban. [via Paul Ekman et al.]

Annak vizsgálata, hogy hogyan azonosítható az, amit magyartalanul írásmű szerzőség-azonosításnak nevezhetnénk [authorship attribution], tényleg mélyvíz, de vannak egészen egyszerű, laikusok számára is könnyen érthető módszerei annak, hogy hogyan mutatható ki, ha egy írásmű eredetisége erősen megkérdőjelezhető. Teljesen mindegy, hogy valaki 5, 10, 15 vagy 30 évvel korábban szerezte a diplomáját vagy írta a doktoriját, meglepő részletességgel emlékszik az egész elkészítésének részleteire még abban az esetben is, ha azóta nem is foglalkozott a témával. Azaz ha egy felülbírálat során kérdeznek valakit, a kapott válaszoknál gyakran nem is kell sokkal több annak az eldöntésére, hogy valóban az ő szellemi terméke vagy sem.

szellemi tulajdon jog plágium diplomamunka

És akkor ott a szürkezóna... Volt nap, hogy már a fejem belefájdult, annyi olyan anyagot néztem át, ami nem volt plagizált ugyan, viszont annyira sok alkalommal merített a szerző másoktól, hogy gyakorlatilag ezzel előttem lenullázta az írás tudományos értékét. [alapvetően olyan tudományos írásműveket és szakcikkeket nézegettem, amiknek a témájához van valami közöm is] Éppen tegnap írtam róla, hogy bizonyos doktori iskolákban szinte bármilyen hülye szerezhet PhD-t, ami még nem zavarná az igazságérzetemet, az viszont már halálosan, hogy közben tudom, hogy több helyen kőkeményen meg kell dolgozni érte. A PhD-nél az élettudományok területén kimondottan gyakori, hogy korábbban már elvégzett kísérleteket egyszerűen megismételnek nagyon hasonló vagy akár teljesen azonos metodikával, majd a kapott mérési adatok végülis hibahatáron belül, de ugyanazon lesznek [a tudományos kutatásban egyik kritérium, hogy a vizsgált jelenség a kísérleti körülmények közt való reprodukálható legyen]. A metodika forrását persze megjelöli a trükkös szerző, hogy nehogy szó érje a ház elejét. Nos, a dolgot tovább lehet fokozni azzal, hogy a szerző a kapott adatok alapján ráadásul még hasonló következtetésekre is jut, mint annak a kutatásnak a szerzői, akiktől a kísérleti módszertant koppintotta*. Ennek mentén akár egy doktori disszertációt is össze lehet kalapálni úgy, hogy abban alig van tudományos hozzáadott érték, amit simán lehet, hogy a témában nem kellően jártas bírálók nem vesznek észre. Amit viszont ilyenkor érdemes figyelembe venni, hogy komoly felelősséggel járó helyeken a felvételnél a HR-csoport nem hülyékből áll, tisztában vannak egy-egy fokozat értékével. Illetve egy olyan korban, ahol már nagy hatékonysággal működő fordítási plágiumot azonosítani is képes rendszerek vannak, küszöbön állnak azok az algók is, amik egy-egy írásmű tényleges értékét meg tudják saccolni amellett, hogy határozottan egyre több kritika éri a legnagyobb nemzetközi lapok nívóbeli besorolását is.

*nem véletlen, hogy az élettudományok területén, ahol anyagilag megtehetik például PPP-szerint dolgozó,  hatóanyagkutatásban érdekelt cégek jelenlétével, bizonyos eljárásokat akár szabadalommal is védhetnek számos különböző országban [olyan, hogy "világszabadalom" nem létezik, ha valaki minden országra kiterjedő szabadalmat szeretne, akkor minden országban külön-külön végig kell vinni ezt, ami nem olcsó] illetve a különböző országok szabadalmi joggal kapcsolatos törvényei értelmében akár a nyilvánosság elől is el lehet rejteni egy módszert vagy kutatást például üzleti titokra hivatkozva. Amit viszont totális idiótaságnak gondolok, hogy bármilyen blődségre hivatkozva még egy diplomaszerzésnél is lehet kérni a több helyen, hogy a diplomamunka ne legyen nyilvános, ne legyen kereshető, ehhez akár egy témavezetői engedély is elegendő lehet. A probléma csak az, hogy a témavezető általában nem szellemi tulajdon jogvédelmére szakosodott szakjogász, így esélye sincs eldönteni, hogy a példánál maradva a kockázata annak nagyobb, hogy a kereshetőség hiányában esetleg plagizált anyag megy át simán a szűrőkön vagy amit leírtak benne, olyan értékű szellemi tulajdon, aminél valóban indokolt, hogy ilyen módjon védjék. Azt viszont egyszerűen nem tartom életszerűnek, hogy egy alap diplomamunkába olyan hatóanyagkutatással kapcsolatos adatok kerüljenek, ami mögött mondjuk egy gyógyszercég 100-500 millió dolláros, még szabadalom nélküli fejlesztése áll.

kép: wipo.int

0 Tovább

Névkártya-diletta – mi legyen rajta és mi semmiképp?


A névkártya jó: ha elérhetőséget cserélsz valakivel, egyszerűen csak elő kell húzni és átadni, nem drága, viszont jelentős gesztus értékkel bír. De mi legyen rajta akkor, ha nem céges névkártyáról van szó, ahol minden formai és tartalmi tényező adott?

névkártya készítés intellektus ostobaság egoizmus

Van ugyan szórakoztatóbb dolog is a világon, mint névkártya-titulusokat nézni egy-egy konferencia után, aztán már-már eldönthetetlen, hogy kinek adnád a nem létező "legidiótább titulus" díjat, többen mondják, hogy valójában nem is az a szakterületük, ami a névkártyájukon meg van jelölve, esetleg pont azok, akik kapják, nem tudják, hogy az adott titulus mit is fed. Na, ennél sokkal súlyosabb eset, amikor mikrovállalkozások alkalmazottainak névkártyáiról van szó, aminél alighanem a névkártya készíttetője dönti el, hogy mi is legyen rajta.

Most lehet, hogy a hülyeségig menő őszinteséggel, de megírom, hogy a tapasztalatom szerint az égvilágon semmit sem jelent, hogy valaki milyen specialist, expert, professional vagy senior ördögűző. Nem elvétve, hanem tömegesen találkoztam már azzal a jelenséggel, hogy valaki sokkal, de sokkal jobb előadó, mint amilyen jó kutató vagy szakértő a saját területén, szépen felépítette önmagát, de a titulusával egybevetve a szaktudása már-már nyomasztóan siralmas.

névkártya készítés intellektus ostobaság egoizmus

Hogy a profit és a kóklert hogyan különböztessük meg, arról már korábban írtam szinte mindegy is, hogy milyen konferenciáról legyen szó, rendszerint nagyon eltérő az előadók szaktudása és amikor végigbüntetted magad valamilyen bűn rossz előadással, az lesz a benyomásod, hogy elveszett fél óra az életedből, mert akkora bullshit ment, hogy azt tényleg bárki megtarthatta volna. Nos, én az utolsó pillanatig optimista vagyok ilyen esetben és feltételezem, hogy az előadó valójában nem akkor kókler, hanem akár az adott terület egyik legtehetségesebb szakértője, csupán nem tud előadni, mert tény, hogy sok ilyen is van, nem ritkán pedig ez az előadás utáni kötetlen magánbeszélgetésen derül ki.

Van viszont, amikor támadhatatlanul arra a megállapításra kell jutnom, hogy a dögös titulus mellett szinte lepkefingnyi tudás sincs, az illető csak a teljesen laikusnak tud újat mondani, viszont hasonlóan ahhoz, ahogy a magyar szóhasználat szerinti startupperkedés elterjedt, nemlétező tudással rajoskodni azért lehet annyira elterjedt, amennyire, mert lényegében semmit sem kell letennie az illetőnek az asztalra azért, hogy ún. szakértő legyen, annál meg mindenki illedelmesebb és energiatakarékosabb, hogy megmondja a másiknak, hogy nem szakértő ő, hanem valójában egy bohóc. A bohócok saját kis világa pedig remekül fenntartja önmagát, megvan az önmegvalósítás érzése, amit a többi bohóc rendszeresen még meg is erősít.

Továbbgondolva engem már a PhD-fokozat megléte vagy hiánya sem érdekel, mert igaz, hogy nagyon sok helyen kőkeményen megdolgoznak a doktori fokozatért értéket teremtve, nem kevés hely van, ahol szinte bármilyen hülye szerezhet doktori fokozatot, nem véletlenül kell honosítani a megszerzett doktori fokozatokat is az EU-n belül több ország közt is.

Nekem például sokkal többet mond, ha egy névkártyán azt olvasom, hogy CHFI (Computer Hacking Forensic Investigator), LPT (Lincesed Penetration Tester) vagy éppen OSSE (Offensive Security Exploitation Expert), mivel ezekért aztán tényleg meg kell dolgozni.

Viszont a másikat mégiscsak az érdekli, hogy akitől a névkártyát kapta, miben tud segíteni, minek a szakértője, amihez viszont úgy kell megválasztani, hogy mi legyen a névkártyán, hogy az ne legyen sem túl általános, sem pedig annyira spéci, hogy az illető egyszerűen ne tudja belőni, hogy az adott titulus ténylegesen mit is jelentene. Mert lehet valaki magas szintű szakértője egy bizonyos területnek, az elismerését, kiterjedt szakmai kapcsolatokat jó esetben a munkájával szerzi meg, nem pedig az önmajmolással, networkingeléssel. Avagy "a karriert nem kell építeni, épül az magától", a self-brandinget egy végtelenül szánalmas ostobaságnak tartom, ugyanakkor ha tetszik, ha nem, ha igazságos, ha nem, minden területen néha villantani kell valami látványosat, ami beépül a többiek róla alkotott képébe, része lesz az imidzsnek [phöejjj, hogy én hogy utálom ezt a kifejezést!]. Alighanem nem sok ember van, akit az önmajmolás-önsztárolás, megalomán balfaszkodás jobban irritál és nyomaszt, mint engem.

A saját névkártyámon egész eddig nem volt semmi feltüntetve a nevemet és az elérhetőségeimet leszámítva, gondoltam, hogy aki kér névkártyát, az már csak-csak megjegyzi, hogy miért kér és ki is vagyok, aztán ha esetleg csak hónapokkal később kerül a névkártyám ismét elé, akkor is ott a webcímem, amire el tud látogatni. Az alapvető probléma, hogy ne legyenek illúzióink, a többség ennél sokkal kényelmesebb, nem fog csak ilyen miatt elmenni egy webhelyre, másrészt még ha valaki megnéz egy életrajzi oldalt, abból sem biztos, hogy egyértelművé válik számára, hogy a névkártya tulaja miért is lehet érdekes számára. Hogy névkártya-szakértő nem vagyok, na, az már biztos, mert ugyan aki szeretett volna, megtalált eddig is, de ebben aligha lehet észlelhető szerepe a névkártyámnak. [pedig én jóideje csak akkor adok, ha valaki kimondottan elérhetőséget kér]

névkártya készítés intellektus ostobaság egoizmus

A következő névkártyámra tehát mindenképp kellene íratni valamit, csak éppenséggel biztos tippem nincs, azt pedig, hogy mihez is értek ténylegesen, csak mások tudnák megmondani, viszont ők sem feltétlenül objektíven. Nem tudom, hogy ilyenkor egy hangzatos pöcsséget vagy egy rövidítést a kevésbé eltolt dolog feltüntetni.

Önmagammal kapcsolatban amiben biztos vagyok, hogy több szakkönyvet nyálaztam át és benne lévő technikát próbáltam ki, valamint alkalmaztam, mint nagyon sokan mások. A lécet viszont nem teszem olyan alacsonyra, ahogy az manapság dívik: nem öcsém, ha elolvastál egy témában 20-30 könyvet, attól még nem vagy szakértő, expert, professional, senior akármi, csak van rálátásod! Ha hónapokon keresztül foglalkoztál valamivel behatóan, még akkor sem biztos! Nem, ha minden puccos konferenciára meghívnak és Te vagy az esemény fénypontja, még akkor sem biztos! Ha egy téma kapcsán a Te neved merül fel leggyakrabban, lehet, hogy értesz hozzá, de az is előfordulhat, hogy csak a dumád nagy.

Itt érdekességként megemlítem, hogy egy rakás modellt alkottak rá, de igazából máig nem világos, hogy miért korrelálnak a nyelvi képességek [főleg a verbális nyelvi skillek] sokkal kevésbé az intellektussal, mint bármilyen más tényező, ami az értelemhez köthető. A kiugróan intelligens és alkotó emberek közt is vannak nem kevesen, akik már-már idiótának tűnnek, ha meg kell szólalniuk, míg jól ismert, hogy az ún. nagy dumások közt többen pont a saját ostobaságukat, szakmai inkompetenciájukat fedik el, azt viszont professzionálisan, arra van beállva az agyuk. Sőt, a jelenség szélsőséges esete, amit a bevezető szintű nyelvtudományi szakirodalomtól kezdve, a neuropszichológián át a szociálpszichológiáig számos tudomány megemlít, hogy nem kevés dokumentált eset van, amikor valaki súlyos, intellektuális funkciókat érintő agysérülés vagy született fogyatékosság ellenére több idegen nyelven is pedánsan beszélt, az értelembeli hiányosságokra pedig csak akkor derült fény – túl persze a pszichológiai teszteken – amikor az illetőnek meg kellett volna oldania valamit, ami átlagos intellektussal csípőből megy, de az érintettek a feladat értelmezéséig sem jutottak el.

Az ember ellátogathat távoli tájakra, kapcsolatba léphet egy rakás specialistával, zabálhatja az ingyen sajtospogit szépnevű helyeken, aztán több előadás és beszélgetés után az lesz a benyomása többször, hogy "omg. hát ehhez én is értek annyira, mint a téma szakértője, de akkor mi az ördögtől szakértő az illető egyáltalán?" Viszont ha magasan van a léc, fel sem merül értelmes emberben, hogy azon a területen onnantól szintén szakértőnek nevezze önmagát.

névkártya készítés intellektus ostobaság egoizmus

Amiben biztos vagyok, hogy összhangban a Dunning-Kruger-effektussal, ami szerint a többség adott területen mindig kompetensebbnek, általánosságban pedig intelligensebbnek tartja magát annál, mint amennyire tényleg az, még mindig nem tudom, hogy mit véssek a magán névkártyámra, ha legközelebb készül. Ugyan felmerült bennem a Certified Senior Excel Expert Consultant vagy valami nem túl lírai, webről jól ismert megnevezés, például mágnespicsájú franciakurva vagy éppen ózdi sintér, komolyan azért nem merném megcsinálni, mert tisztában vagyok vele, hogy biztosan lennének, akiknek egyszerűen nem esne le a poén.

Gondoltam, hogy írok egy feketelistát azokból a titulusban előforduló kifejezésekből, amiket ha meglátok, nálam az illető megítélése mínusz ezerről indul, de senkit nem szeretnék véletlenül sérteni.


Képek innest: someecards.com

0 Tovább

130 halott? Járulékos veszteség 


Politikai és közéleti témában nem írok, nem is fogok. Nemrég írtam róla egy jegyztetet, hogy az, hogy mennyire korbácsolja fel egy-egy tudomány a kedélyeket és mennyire enged meg eltérő értelmezéseket, attól függ, hogy a tudomány tárgya mennyire áll közel az ember önképéhez, mennyire érinti azt.  

Ami a biztonságpolitikát illeti, mapanság ki sem látunk a sok szeméttől, nagyon nehéz meghatározó, tudományos értékű információt találni a témában, és persze, hogy ebben a témában is általában azoknak a véleménye ér el a legszélesebb körökhöz, akik lehülyítik a témát, nem is tehetnének másként, mivel ő maguk sem értenek hozzá, persze néhány kivétellel.  

A magyar tömegkommunikáció és egyáltalán az emberek közgondolkodása pillanatok alatt jut el valamilyen álláspontra, amitől később lényegében nem tér el és a szereplők a társadalmi kérdéseket azonnal valamilyen ideológiához vagy pszeudo-ideológiához kötik, egyszerűbben úgy is fogalmazhatnék, hogy átpolitizálják. Írom, hogy ez miért baj, egyébként a dolog kicsit hasonló a génmódosított termékekkel kapcsolatos álláspontok politizálódásához.  

Egybiten működnek az agyak. Nem csak ebben a témában, nem csak most, nagyon sokszor. Mert végletekben gondolkozni mindig a legegyszerűbb, a leghülyébb is megérti. Mellőzve azt a témát, hogy egy-egy politikai erő ebből tőkét kovácsol-e vagy sem, a magyar ballib nagyon gyorsan felvett egy olyan álláspontot, hogy a menekülteket segítenünk kell [ügyesen elhallgatva vagy nem tudva, hogy irreális kockázatvállalás mellett is], jobbszélről pedig ahogy ez lenni szokott, ezerrel tolják az ugyanilyen idióta, csak tartalmában más retorikát, ami szerint a bevándorlásból következik a terrorizmus, a terrorizmusból nemzethalál, sátöbbi. A sajtótermékek jobb- és baloldalon még ha csak a négy fal közt adnák a kretént a témában, az még nem lenne veszélyes. Viszont a jelenlegi formájában az.  

Valamit tisztázzunk: a politikai újságíró, a történész, sőt, még a szakpolitikus sem nyilatkozhat felelősségteljesen biztonságpolitikai kérdésben, egész egyszerűen, mert nem tanulta, nem ez a dolga. Röviden írom, hogy mindenki értse: ez egy külön tudomány. Viszont amiben profik sokan, hogy újságíróként olyan tartalmat állítsanak elő, ami az ő kasztjukhoz igazodik, a politikus pedig hasonlóan a saját nyájának megfelelő nyilatkozatokat ad és gesztusokat fog tenni, a kettőben közös, hogy érzelmi alapon.  

Tegnap a világ ismét vett egy leckét abból, hogy milyen veszélyekkel jár, ha a biztonságért felelős döntéshozókra, nem tud hatni a kutatói közösség, azaz azok a biztonságpolitikai szakértők, akiket esetleg sosem látunk. Nem ez volt az első lecke, alighanem nem is ez lesz az utolsó.  

Ha nagyon Ádámtól-Évától szeretnék elindulni, akkor írhatnék most a terrorizmus alapvető természetéről, arról, hogy a néhány halott a terrorista számára járulékos veszteség, a cél a hatás, amit kivált. Ahogy több helyen is lehet olvasni, azért, mert valaki a cipőjében apró, hegyes tárgyakkal akart valamikor felszállni egy gépre, azóta emberek millióinak kell levenni és megnézetni a cipőjét a reptéri becheckoláskor, de a félelemből adódó hatások az élet más területére is hatással vannak illetve növelik a kockázatát annak, hogy a politikai szinten lévő döntéshozók kontraproduktív válaszokat fognak adni akkor, amikor nagyon észnél kellene lenni. A terroristák pedig pontosan tudják, hogy hogyan eszkalálódhat egy, a világ biztonságpolitkai állapota szempontjából apró esemény hatása.  

Nem hungarikum az érzelmi alapú politizálás, csak éppenséggel az érzelmi alapú politizálással ott lehet nagyobb népszerűségre szert tenni, ahol az életszínvonal gyorsabban változik és a tömeges bizonytalanságérzet nagyobb.  

Tudjuk jól, hogy milyen retorikát tolt Magyarországon a jobb- és baloldalon az első sorban álló politikai tábor, amellett, hogy ostoba és demagóg módon tették mindezt, mintha kínosan ügyeltek volna arra, hogy még olyanban se értsenek egyet, ami egyébként józan ésszel is belátható. Például ha valaki meg merészelte volna jegyezni balról, hogy komplett hülye lenne az a terroristacsoport, amelyik kihagy egy olyan lehetőséget, amikor a tömegben elvegyülve lehet csőstöl küldeni a valódi terroristákat Európa belsejébe, a baloldali haverjai alaposan kiutálták volna. Jobb oldalon sem szólalt volna meg senki azzal kapcsolatban, hogy ha leterroristázzák az arab világ felét és pánikot keltenek, az azért nagyon necc, mert nem tudnak majd mit tenni akkor, amikor tényleg lesz valami ziccer. Magyarországon még különösebb nem volt, ami egyébként nettó szerencse.  

A baloldal szócsövei előszeretettel emelték ki azokat az egyébként valós eseteket, amikor valaki azért menekült a hazájából, mert tényleg szétlőtték a házát, közvetlen életveszélyben volt a családjával együtt. Na meg kiemelik, hogy a menekültek közt mennyi a magasan kvalifikált, több idegen nyelven beszélő arc, akiket majd simán felvesz az európai munkaerőpiac. És még sorolhatnám, de a valóság persze, hogy bonyolultabb.  

A biztonságpolitikai témájú egyetemi kurzusokon vizsgánál valahol a beugrók közt lehet az, hogy politikailag nem biztonságos, majd később háborússá váló helyzetben milyen tendencia szerint is hagyják el hazájukat a menekültek. Kezdjük ott, hogy azok, akik érintettek, részben már 10-15 éve vagy még régebben kivándoroltak szerte a világ minden tájára dolgozni, mivel valóban tanultak, jól besznélnek nyelveket, azaz megtehették. Ezt a réteget követte mondjuk úgy a középosztály, amelyiknek a mobilitása már sokkal kisebb volt, aztán csak akkor kezdték szedni a sátorfát, amikor már látszott, hogy a hazájukban komoly gondok lesznek, finoman fogalmazva. Nos, ők jórészt szintén elhelyezkedtek a világ munkaerőpiacán az integrációjuk pedig nem volt kérdés, annyira észrevétlen volt. És utolsó hullámban pedig tipikusan az menekül, aki legnagyobb valószínűség szerint korábban nem tehette meg, mert iskolázatlan csóró, akinek az integrációjára alighanem majd esély is alig lesz. Természetesen itt most tendenciákról van szó, minden táborban vannak kivételek.  

A jobboldal ugye ezalatt terroristázott habzó szájjal, holott nem nehéz belátni, hogy a menekültek alighanem sokkal jobban féltek a magyaroktól, mint fordítva, a kulturális eltérésekből adódó feszültség pedig még a békésebb, mondjuk úgy polkorrrekten európaibb vérmérsékletű rétegből is kihozta a felhergelt támadót. A debreceni menekülttáborban a legnagyobb balhé állítólag onnan indult, hogy valaki megtépett egy Koránt, simán lehet, hogy tényleg így volt. De egy fél pillanatig nem lennék meglepve, ha kiderülne, hogy egy jól képzett szaki vegyült el a tömegben csinálni egy kis balhét megrendelésre, hogy aztán tudjon mutogatni a történtekre, mint problémára a jobboldal. Ahogy az is elképszető lehetett sokak számára, amikor 2009-ben kiderült, hogy a romák elleni sorozatgyilkosságot megakadályozhatták volna, de valószínűleg politikai okból nem tették azért, hogy az akkori baloldal tudjon mutogatni a jobboldali radikalizálódásra utalva a cigány családok ellen elkövetett gyilkosságokra.  

Ha migrációról és annak lehetséges kockázatairól van szó, valójában alighanem senki nem tudja, hogy mik lehetnek a lehetséges forgatókönyvek, amik leírják, hogy mikor van meg az egyensúly Magyarország és Európa védelme és a menekültek emberiesség által megkövetelt segítése közt - hiszen nem lehet vagy nem kivitelezhető válogatni köztük, hogy kinek segítenek és hogyan, na meg kinek nem, függően attól, hogy mennyire tűnik veszélyesnek, ez egyébként is értelmezhetetlen fogalom. Nemrég biztos forrásból hallottam, hogy vannak olyan menekültcsoportok vallástól függetlenül, akiket Németországban eleve a szalafisták fogadják és módszeresen radikalizálják őket. Nagyon konteó-szagúnak tűnhet, hogy a full normális, persze tájékozatlanabb, kiszolgáltatottabb emberek radikalizálódhatnak, de az égvilágon semmi meglepő nincs benne, ha belegondolunk, hogy echte Nyugat-európai arcok közt is van olyan, aki ilyen-olyan ingerek hatására csatlakozik az ISIS-hez. [megjegyzésként egy kis szociálpszichológia középhaladóknak: jelen esetben mindegy, hogy az ISIS-hez, csatlakozhatna éppen valamelyik hülye szektához vagy lehetne sátánista is, a lényeg azon van, hogy vannak olyan, ki-nem zárható paraméterek, amik arra sarkallanak embereket, hogy eléggé rázós gittegyletekhez csatlakozzanak]  

Akkor mi lenne a megoldás még egyszer? Ahogy írtam, biztosan alighanem egyik kutató sem tudja biztosan, ha tudnák, akkor sem sikerülne elfogadtatni azon a szinten, amelyiken kell. Ami viszont világosan látszik, hogy mi nem megoldás: a mostani állapot. Egy amerikai vagy ausztrál számára alighanem ez egyszerűen értelmezhetetlen, de mondjuk ki: Európa egyszerűen becsicskult. [nem először, volt, hogy számos kutatást ellehetetlenítő, így a versenyképességet súlyosan veszélyeztető törvényeket léptettek hatályba azért, mert elég sokáig eléggé hangosan üdvöltözött pár félbolond állatvédő, na meg zöld-anarchista a megfelelő helyen] 

Azzal ugyan alighanem mindenki tisztában van, hogy ennyire rövid idő alatt ennyire sok és ennyire heterogén tömeget nem lehet beengedni, de a józan ész szerint nem az lenne a megoldás, hogy ha nem tudjuk, hogy hogyan kezeljünk egy világpolitikai kérdést hatékonyan, akkor kezeljük úgy, ahogyan tudjuk, aztán ahogy esik, úgy puffan. Igen, van kockázata annak, ha a menekültek egy részét nem engedik át a határokon, ami miatt esetleg valami kevésbé barátságos helyen háborúban lelövik őket [remek etikai kérdés, hogy ez esetben ez Európa felelőssége lenne-e]. De annak is megvan a kockázata, hogy annyi ember érkezik egyszerre, ami fölött nincs, nem is volt kontroll soha, aztán közülük néhány eleve terroristaként jön, nem felétlenül mezitláb vagy éppenséggel Európában radikalizálódik, aztán áll neki robbantgatni, amelyik persze szintén halálos áldozatokkal jár. Alighanem nem matekozható ki, hogy melyiknek a kockázata milyen jellegű típusú, irányú, mértékű.  

A dolog informatikai vonatkozása, hogy általános közvélekedés, hogy a tömeges megfigyelés rossz és kész, Európa legtöbb országában félreérthetetlenül deklarált, hogy a megfigyelésnek célhoz kötöttnek kell lennie, csak akkor alkalmazható, ha a szerzett információ máshogy nem szerezhető be, és így tovább, na ez egy amerikai számára szintén érthetetlen lenne. Ha a célhoz kötöttség szempontját nézzük, akkor észre kellene venni, hogy a célhoz kötöttséget nem úgy kellene értelmezni, hogy a megfigyelés tárgya egyén, hanem a lakosság egészéről szerezhető információ az, ami a megfigyelés tárgya. Na ez az, ami miatt a digitális szabadságharcosoktól falra tudnék mászni: ezek számára a szabadságharcosok számára pont az teremti meg a lehetőségét, hogy szerte a világon oszthassák az ezzel kapcsolatos baromságaikat, hogy az internet IT infrastruktúrájának elengedhetetlenül helyet adó USA bekeményített, amikor kellett.  

Lehet itt kificamodott borgőzös kocsmafilozófiákra ráfogni, hogy a tömeges információgyűjtés ellenzése  bizony a klasszikus hekker-filozófiából származtatható, csak eléggé nyomasztó, főleg olyan közegben, ahol még illene is érteni egy kicsit hozzá. Azt tudom írni, amit eddig is: a mass surveillance, mint gyakorlat bevezetése nem gusztus dolga, hanem az egyetlen lehetséges megoldás volt az USA-ban.  

Mielőtt valaki jönne azzal a sülthülye, demagóg dumával, hogy azért 1000 bevándorlóból mégiscsak 1 az, amelyik bombával bóklászó szélsőséges, ennek megfelelően nem ítélhetünk el egy teljes csoportot ezért, nem alkalmazhatunk a jelenleg hatályosnál sokkal erősebb kontrollokat, tudom, valamelyik tévében emlegette az egyik debil, hogy ez pont olyan, mintha minden németet lenáciznánk azért, mert volt és most is van köztük néhány. Hát nem! Ennek a logika mentén ugyanis simán eljátszhatnánk a gondolattal, hogy mondjuk ha 100 utasból csak 1 jelenthet veszélyt egy transzatlanti repülőjáraton, akkor próbáljuk meg, hogy mondjuk egyet sosem ellenőrzünk, aztán meg bízunk benne, hogy nincs nála rohadt nagy kézitáska. Ha meg mégis van, akkor abban a rohadt nagy táskában nem egy bomba van, ha pedig bomba van, nem pont a gépen tervezi felrobbantani.  

Európát emlegették már gyönyörű nőként a zenei kultúrában, de már most eleget tett azért, hogy a történelemben úgy írja be majd magát, mint puhapöcsű hülyegyerek.  

0 Tovább

Biztonságos(abb) jelszótárolás kézműves stílusban


A jelszavakkal kapcsolatos közhelyeket annyival egészíteném ki, hogy ha meg akarjuk védeni azt, akkor nem feltétlenül a legbölcsebb dolog feltolni a netre… Nem, titkosítva sem. Igaz, hogy a mai jelszókezelő szolgáltatások olyan titkosítást használnak, amik elvben lehetetlenné teszik a jelszavak kinyerését a mesterjelszó ismerete nélkül, egy pillanatig se felejtsük el, hogy hány és hány, matematikailag cutting-edge titkosítást használó szoftverben találnak hibát rendszeresen! Azaz amikor valami konkrétan észrevétlenül maradt programozási hiba miatt törhető.

Én sosem használtam netes jelszóemlékeztető szolgáltatásokat, viszont ha betartom a jelszó erősségével kapcsolatos irányelveket és természetesen nem használom ugyanazt a jelszót még csak két azonos helyen sem, két lehetőség marad: az egyik, hogy kitalálok valami rendszert arra, hogy hogyan képezzem a jelszavaim, ami függ a szolgáltatás nevétől vagy típusától például, a másik pedig az, hogy a jelszavakat valahova felirkálom.

A következőben egy mindenki számára kivitelezhető módszert mutatok be arra, hogy hova érdemes a jelszavakat felirkálni, ha már a mai világban egyszerűen nincs más ésszerű megoldás, hiszen ha használsz olyan 20 jelszót, amit meg is változtatgatsz havonta és azok kellően bonyolultak is, kizárt, hogy mindet fejben tudd tartani.

Mit NE tegyünk? Ha már elvetettük a netes jelszókezelő alkalmazásokat, kézenfekvőnek tűnik létrehozni valamilyen Office dokumentumot, Excelt vagy Word-öt, amibe aztán szépen bemásoljuk az összes jelszót és azért, hogy egyetlen megnyitással vagy a fájl ellopásával mégse kerüljenek ezek a hozzáférési adatok olyanhoz, akihez nagyon nem kellene, az Office fájlt titkosítva mentjük. Mi ezzel a baj? Ismétcsak tisztában kell lenni vele, hogy a dokumentumok jelszóval való védelme rendeltetése szerint mire alkalmas és mire nem. Az Office dokumentumokat ugyan többféle titkosítással is menthetjük, alapvetően ezek gyenge titkosítások. Másrészt ha megnyitsz például a egyszerű DOC fájlt, akkor megjelenik tipikusan a vele azonos lévő mappában egy rejtett fájl, ami gyakorlatilag annak a fájlnak a nyers példánya, amin aktuálisan dolgozol és törlődik, ha a dokumentumot bezártad. Ha viszont valaki másnak is hozzáférése van a munkamappához például hálózati meghajtón keresztül vagy éppen csak lefagy a gép, igen, kitaláltad: a Word vagy Excel által átmenetileg létrehozott fájlt szépen ott marad, titkosítatlanul vagy épphogy titkosítva, aztán később viheti, aki látja.

Mennyivel elegánsabb, ha egy jelszót olyan helyen tárolunk, ahol ember nem gondolná, hogy ott tároljuk, másrészt mégis bizonyos esetekben kellő biztonságot ad: a szteganográfia.

A weben kismillió megoldás akár online is kínálja, hogy az általad beírt szöveget, mondjuk jelszavakat belevési egy MP3-ba, képfájlba, akármibe, ami aztán később letölthető, megnyitva pontosan olyan, mintha MP3 illetve képfájl lenne, viszont a megfelelő szerkesztővel megnyitva kinyerhető a bele rejtett szöveg. Ilyen webes szolgáltatásokat nem mernék ajánlani senkinek, hiszen nem lehetünk benne biztosak, hogy a szolgáltatás nem épphogy a jelszavak lenyúlására van kitalálva.

A legegyszerűbb megoldások egyikét viszont megmutatom, amit nevezhetnénk akár kézműves kriptónak is. Az alapján az jelenti, hogy a különböző fájltípusok, jól ismert és alaposan dokumentált szerkezettel rendelkeznek. Ha például érdekel, hogy egy egyszerű JPEG kép, ami semmilyen metaadatot nem tartalmaz, tényleg csak annyit, hogy tömörített vagy sem, milyen színmélységet használ, milyen a szélessége és hosszúsága, nos, itt körülbelül egy atomrakéta tervrajzának pontosságával van leírva, holott tudjuk, hogy a JPEG számtalan metaadatot tartalmazhat és tartalmaz is, mint például azt, hogy milyen fényképezőgéppel készült a fotó, a Photoshop melyik verziójával igazítottak rajta és így tovább.

Ami a mi szempontunkból lényeges egyszerűsítve, hogy a mostani JPEG egy olyan tömörített képfájl típus, ami többek közt ellenőrzőösszeget is tartalmaz, azt is, hogy a kép meddig tekinthető még egyáltalán az eredeti képnek. Bizonyos esetekben ha csak minimálisan sérül a fájl olyan módon, hogy néhány bájt megváltozik benne, a képet vagy meg lehet nyitni vagy nem, megint más esetben, vegyük azt az egyszerű példát, amikor a JPEG tömörítettsége 0, akár jelentős „zaj” is lehet a fájlon belül, amit egyszerűen nem fog értelmezni a képnézegető program vagy a sérüléseket figyelmen kívül hagyja, de természetesen utazik a fájllal együtt, ha például azt lemásoljuk. És itt a lényeg: hogy ez a bűvös zaj bizonyos terjedelmi korláton belül szinte bármi lehet.

Első lépésben tehát szükség van egy tetszőleges formátumú képfájlra. Ezt követően egy tetszőleges képszerkesztővel nyissuk meg és mentsük el JPEG-be olyan módon, hogy egyáltalán ne alkalmazzon a képszerkesztő tömörítést.

Ezt követően az új, teljesen tömörítetlen fájlt nyissuk meg egy olyan szövegszerkesztővel, ami plain text szerkesztésére alkalmas, azaz mondjuk notepaddel vagy ahogy tetszik, valami ilyen rémség fog látszódni.

Ezt követően egy ritkább helyre [nem magyarázom] helyezzünk egy tetszőleges szöveget, mondjuk egy részletet Shakira-tól.

A nyers szövegként szerkesztett fájlt mentsük az eredeti formátumban, majd ellenőrizzük, hogy megnyitható-e. Megnyitható!

Ezt követően, ha előkukáznánk azt a szövegrészt, amit a képbe rejtettünk, csak egy egyszerű szöveges böngésző kell.

Persze, erre lehet mondani, hogy a JPEG különböző metaadat mezőjébe is bőven el lehetne rejteni ezeket, a JPEG metaadatait a Windows és az OSX nagyon gyorsan indexeli és aszerint is kereshetünk ugye. Viszont abban az esetben, ha adott egy mappa mondjuk ezer metallica-s képpel, még egy erősebb géppel is piszok sok időbe telik, hogy valaki, aki ki akarja nyerni az így elrejtett szöveget, megtalálja azt, hiszen alapvetően fájlformátumtól függetlenül egy adott szövegrészre keresni fájlok belsejében egy komolyabb fájlkezelővel vagy scripttel még mindig veszettül lassú.

Természetesen ajánlható ezen kívül, hogy a mappát, aminek a képei közé rejtettük a belevarrt szövegrészt, titkosítsuk linuxnál Truecrypttel, Windows esetén EFS-sel, OSX esetén pedig Filevaulttal, a legnormálisabb megoldás pedig persze az, ha pendrive-on van, az, hogy ez mezei pendrive, EFS-re formázott vagy hardveres titkosítást alkalmazó, már csak attól függ, hogy az igen csak hasznos paranoiditás milyen szintjén vagyunk.

2 Tovább

Hangrögzítés, jogi nonszensz és a mobilapp-fejlesztők


Amolyan össznépi tévhit a híres magyar leleményesség. Ami leginkább olyan, mint a magyar foci, a kiemelkedően erős közoktatás és hasonlók: valamikor volt talán egy pillanatig, azóta semmi jele, de az emléket dédelgeti a nép azóta is. Bezzzeg a.. Na kik? Nem, most az indiaiak. Most nem foglalkozom a olyan népcsoportokkal, akiknél többek közt a populáció átlag IQ-ja is magasabb meg van egy rakás paraméter, ami kell a leleményességhez.

Szóval: van ez a régi, lassan már csak papírnehezéknek alkalmas Blackberrym, de azért nem ártana, ha legalább egy vállalható telefon lenne, amelyik konkrétan fel is tudja venni a beszélgetéseket, elvben van rá app, nem? Na most ha az iPhone-osok vagy Windwos Phone-osok szétnéznek az alkalmazásboltban, egészen pontosan 0, azaz nulla darab olyan appot fognak találni, ami a telefonbeszélgetéseket rögzíti. Egyszerűen nem vállalja be a MS és az Apple az esetleges azzal kapcsolatos cirkusz, ami abból adódhat, hogy egy államban nem a törvénynek megfelelően használják az alkalmazást [pl. Magyarországon előre közölni kell a beszélgetőpartnerrel, ha a hívást rögzítik]. Az Android alkalmazásboltjai persze rogyásig vannak az ilyenekkel, de azt ugye bottal sem piszkálnám. Persze, persze, vannak központosított távmenedzsment szoftverek iOS-re és Windows Phone-ra is, amik lehetővé teszik a beszélgetés rögzítését, ezek nyilván a céges környezetre vannak szabva, egy magánszemély nem fog csillió' forintot fizetni csak azért, hogy a beszélgetéseit rögzíteni tudja.

Na de a Blackberry! Ha az alkalmazásboltról van szó, ha nem is akkora pöcegödör, mint a többi, azért itt is van szemét bőségesen: rendszerint a hívásrögzítő appoknak egy freemium változata, amelyik például  korlátozza a maximálisan felvehető beszélgetés hosszát és persze meg lehet venni néhány garasért a korlátozásoktól mentes teljes változatot.

Szembetűnő, hogy sokszor egy adott célra kitalált alkalmazás neve nagyon hasonló, a leírás akár  teljesen azonos is lehet, a review-k közt pedig a felhasználók egy része óva inti a letöltéstől a többieket scam-et kiáltva, megint másik része pedig kitűnő alkalmazásnak tartja, nem világos persze, hogy mennyi review valódi, több viszonyítási alap pedig nem nagyon van. Nos, ezeknél az alkalmazásoknál nem ritkán az a helyzet, hogy valamelyik zugcég, amelyiknek fejlesztő cégként még csak saját webhelye sincs, supportról nem is beszélve, feljeszt például beszélgetések rögzítésére egy alkalmazást, amelyik átmegy ugyan a Blackberry azon tesztjein, ami kell az alkalmazásboltban lévő feltöltéshez, de az alkalmazás minősége összességében nagyon silány. Főleg ezeknél az alkalmazásoknál, ha közben fut céges távmenedzsment alkalmazás is a szedres mobilon, a hülye felhasználó nem fogja érteni, hogy az ő saját hangrögzítője emiatt miért nem működik, holott az azért a jobb appoknál le van írva.
Amikor már vállalhatatlan a renoméja egy-egy ilyen alkalmazásnak, akkor a zugcég fogja magát, regisztrál teljesen más fejlesztői néven, aztán tolja fel gyakorlatilag ugyanazt az alkalmazást, ahogy írtam, sokszor még az app leírása is azonos, jobb esetben az app feljavított változata készül el, aztán a felhasználó ismét fizet érte.

Nincs mese, előfordulhat, hogy egy beszélgetést rögzíteni kell, amit meg lehet oldani persze telefontól függetlenül barkács módszerrel is, de egy stabilabb megoldás hosszú távon több hivatásban elengedhetetlen. Több munkakörben előfordulhat, hogy bejövő hívás érkezik egy olyan mobilra, amelyik rögzíteni ugyan nem tud, a hívó fél miatt mégis fel kellene venni a csevejt, ekkor egyszerűen a hívás átirányítható olyam mobilra, amelyik meg tudja rögzíteni és le van a gond. Konkrét példával: tételezzük fel, Mr. Csúnyabácsi hív a +36701234567 számomon, amit látok is a kijelzőn, viszont az iPhone-ommal használom a számot, akkor be van állítva egy olyan feltételes átirányítás például arra az esetre, ha nem veszem fel 15 másodpercig, ekkor átirányítódik a +36301234567 –es számomra, amit viszont a Blackberryvel használok vagy még kifinomultabb eszköz van a végére drótozva és azon a beszélgetés tökéletes rögzítésére alkalmas eszközzel fogadom a hívást.

Már maga a téma is nyomasztó, szóval nem fogok elmélkedni ezen, de megvan a bizarr bája, hogy évek óta minden mobilban van fotózási és videókészítési lehetőség, valahogy mégsem lihegik túl, hogy a felhasználó ne használja olyan módon, hogy azzal törvényt sértsen, ami szinte sosem valósul meg, hiszen például Magyarországon eleve csak arról készíthető kép vagy videó alapesetben, aki határozottan beleegyzett, akármekkora nonszensz is, egyébként törvénybe ütközik.  Márpedig ez a gyakoribb, mégsem állt elő soha senki azzal a gondolattal, hogy tilcsákbeakamerásmobilt. Bezzeg a hangfelvétel, hűűű, na annak aztán akkora a társadalmi veszélyessége, hogy na, azt már nem! Érti ezt valaki?

Visszatérve az eredeti témához, a BerryOS 7-et nem fejlesztik tovább, ergo új alkalmazás sem jelent meg rá már ezer éve, egy olyan fejlesztő cégtől pedig, amelyiknek még webhelye sincs, nem várható el, hogy a Blackberry 10-es oprendszerére is tegye elérhetővé az appot anélkül, hogy ismét meg kellene venni azt. Ami meg nekem perpillanat van, azt az appot 2012-ben (!!) frissítették utoljára, viszont pazarul működik.

Ezek a fejlesztő cégek persze indiai fejlesztőkhöz köthetők, ahogy az néhány laza klikkeléssel megállapítható.

0 Tovább

Egy ISIS-közeli szervezet USA-beli kormányhivatalokkal trollkodik - megint


Az önmagát Kiber Kalifátusnak nevezező szervezet 54000 Twitter-fiókot tört fel és tett letölthetővé, ugyan még nem igazolt, hogy az adatbázisban lévő belépési adatok mindegyike valós.

Ugyan túl sok minden még nem állapítható meg biztosan, de több hírforrás szerint több, vezető beosztásban lévő CIA és NSA alkalmazott Twitter-fiókjának feltörése mellett az önmagát Kiber Kalifátusnak nevező, Junaid Hussain által felállított szervezet az alkalmazottak telefonszámát és a címét is közzé tette.

Amit az ISIS-szimpatizánsok egyértelművé tettek, hogy az akció bosszú volt Junaid Hussain brit iszlamista szélsőséges augusztusi meggyilkolása miatt.

Az akció egyébként a szintén iszlamista Crackas With Attitude akciója után egy nappal történt, amikor is egy másik kormányhivatal portálja felett vették át az uralmat.

Lehet, hogy úgy tűnik, hogy a támadások gyomoridegből mennek, hamarosan elmagyarázom, hogy miért messze nem.

 

Kép: thehackernews.com

0 Tovább

Egéragy és virtuális valóság 


Egy nemrég megjelent BBC beszámolót követően több hírportál is foglalkozott vele, hogy a Howard Hughes Intézet kutatói sikeresen alkalmazták a virtuális valóságot egérkísérletben.  
 


Konkrétan olyan környezetet állítottak fel, aminek következtében az egér elvben úgy viselkedett, mintha valódi környezetben lenne, a mért adatokra hivatkozva pedig a kutatás egyik vezetője nem kevesebbet állított, mint azt, hogy a kísérlettel sikerülhet jobban megérteni az emlékezet neurobiológiai alapjait vagy éppen az Alzheimer-kór (!!) kialakulását.  
 
 
Konkrétan a kísérleti egér agyába egy titán implantátumot rögzítettek olyan módon, hogy az egeret elaltatták izofluránnal, majd egy altató injekció beadása után a fej bőrét, majd a csonthártyát eltávolították illetve a koponyának azt a részét, ami embernél az agykoponyának felel meg. Ezt követően a megskalpolt egér implantátumának rögzítéséhez cianoakrilátot használtak, buprenorfin injekcióval oldották meg az állat fájdalomcsillapítását, illetve folyamatosan ketoprofent adagoltak a gyulladás megelőzésére a kísérlet során. Ezt követően az egész fejét egy adott fix pozícióba rögzítették. Szinte mellékes, hogy melyik hatóanyag hogyan is hat, ami biztosra vehető, hogy ezt követően az agyműtött egér már eleve nem viselkedhetett úgy, mint a beavatkozás előtt. Az eljárás ugyan felháborítónak tűnhet, az ilyen protokollok több állatkísérletnél elfogadottak, az pedig a kutató felelőssége, hogy egy kísérlethez mikor tart indokoltnak ilyen eljárásokat. Ugyan szóba kerül a tanulás és az emlékezés megfigyelése, ezzel a módszerrel eleve nem lehetséges megfigyelni azt, ahogyan ezek a magasabb rendű idegrendszeri folyamatok működnek, ugyanis az emlékezetben és a tanulásban nem csak az embernél van kulcs fontosságú szerepe az alvásnak, ugyanakkor a kísérletben használt egér nyilván alvásdeprivációnak lehetett kitéve, a koponyafedő eltávolításával járó kísérleteket a kísérleti állatok legfeljebb néhány napnál tovább eleve nem élik túl.  
 
Az előkészítés után az egeret egy nagy precizitású futópadra helyezték rögzített fejjel, alapvetően vizuális ingereken keresztül pedig azokat az idegrendszeri régiókat stimulálták, amik hasonló lehet ahhoz, amilyen stimulusokat egy egér az instrumentális kondicionálás közben kap, azaz amikor például megtanul tájékozódni egy labirintusban. Az instrumentális kondicionálás lényege, hogy az állat próba-szerencse alapon tanul meg valamit, lényegében klasszikus kondicionálási folyamatok láncolataként, a közismert klasszikus kondicionálás pedig egyszerűen arra épül, hogy ha valamilyen viselkedést követően az állatot jutalom éri, ennek megfelelően ismétli fogja azt, ugyanaz az inger pedig triggerként fog kiváltódni, aminek legismertebb esete Pavlov kutyás kísérlete. A laikusok és a kutatók egyaránt gyakran nevezik a jelenséget állati értelemnek és bizonyos szempontból valóban értelmesek is, ennek viszont az emberi tanulásban nagyon sokszor domináló absztrakciós készségekhez semmi köze.  
 
A kutatás ugyan nem ír róla, az én ismereteim alapján a cikkben bemutatott agyi aktivitás mintázata nem csak instrumentális avagy klasszikus kondicionáláskor jelenik meg, hanem sok más esetben is, főleg ha az egeret ilyen eljárásoknak vetik alá. A kutatók különböző nagy érzékenységű eszközzel, például infrakamerával folyamatosan rögzítették az egér bajuszának mozgását, aminek a tájékozódásban és a tanulásban alapvető szerepe van, majd ebből próbáltak következtetéseket levonni, alapvetően azt tapasztalták, hogy a szenzoros és motoros pályák ahhoz hasonló aktivitást mutattak, amikről korábban is feltételezték, hogy a tanulásnál, precízebben fogalmazva a kondicionálás ezen típusánál jellemzőek lehetnek.  
 
A kétségkívül látványos kísérletben megpróbáltak tisztázni olyan összefüggéseket is, amikkel elvileg több tudható meg a motorikus jelenségek idegélettani működésekről és egyáltalán a tanulás neurobiológiai alapjairól. A kísérlet valóban látványos lett ugyan, csak éppenséggel sokak számára nem szolgáltat meggyőző bizonyítékot még azzal kapcsolatban sem, hogy a kutatóknak valóban azokat az előzetes hipotéziseket sikerült igazolniuk, amit akartak.  
 
Némi fanyarsággal elmondható, hogy ha a kísérletnek volt is valami értelme, nagyon úgy fest, hogy biztos következtetésként csak annyi vonható le, hogy őrült kísérletekben még mindig próbálják egymást túllicitálni egyébként világhírű és komoly tudományos teljesítményt rendszeresen felmutató kutatóintézetek. A kísérlet pedig minél látványosabb, az alkalmazott módszerek minél inkább high-tech módszerek, nem csak a kutatók, hanem a laikusok számára is annál menőbb lesz látszólag. Azaz az ilyen cikkekre idővel nem csak a szaksajtó figyel fel.  
 
Állatkísérletekre természetesen elengedhetetlen szükség van például a gyógyszerfejlesztés bizonyos fázisaiban és az alapkutatásban is bőven akad olyan, amikor az ilyen eljárások gyakorlatilag megkerülhetetlenek. A másik biztos következtetés, hogy amikor kívülállók ilyen állatnyúzásról tudomást szereznek olyan módon, hogy esélyük sincs megérteni a kísérletet egészében, az magyarázat arra, hogy mi tartja életben az olyan totálisan őrült állatvédő szervezeteket, amik olyan módon küzdenek az állatok jogaiért, hogy az mindenféle szakmaiságot nélkülöz, ideértve a korszerű bioetikai megfontolásokat is. Ilyen például az Egyesült Államokban jól ismert PETA. Ez pedig rendszerint idővel átcsorog a tudománypolitikába olyan módon, hogy különböző államok illetve nemzetközi egyezmények jogi szabályozással értelmetlenül megnehezítik az állatkísérletet igénylő kutatásokat, amikről egy pillanatig se felejtsük el, hogy az ilyen kutatásokból származó ismeretek az állatgyógyászatban és a humán orvoslásban egyaránt fontosak. 

0 Tovább

Gépház üzen - Reblog, reblog, így szeretlek 


Szóval ha túl sok látogatód van egyszerre - vagy ki tudja, hogy miért - a blogmotor egyszerűen nem engedi a posztban hagyott hibákat kijavítani, nem érhető el a posztok listája sem, stb. a duplikációért elnézést kérek, a frissebbet olvassátok a két patkányevős poszt közül, abban javítva vannak a legordítóbb elírások. 

De új posztot létrehozni legalább lehet. 

0 Tovább

Élő patkányokat evett az unokáját megerőszakoló nyugdíjas 


Sokkoló állapotokra bukkant a rendőrség a Hejőszalontafütyköstől néhány kilométerre lévő Boborjánfalván: egy 59 éves nyugdíjas egy panellakásban élő patkányokat tenyésztett és evett meg, miközben unokáját szexrabszolgaként tartotta és csak ünnepnapokon engedte fel a pincéből.  

Igen, körülbelül ennek a sémának a mentén kezdődik egy olyan bejegyzés manapság, amire kiugróan sokan kattintanak. Mitől lesz egy-egy trash-kontent érthetetlenül népszerű, miközben az értékes és unikális tartalmak jórészét sokszor alig olvassák? Kútfőből nekifutok egy kicsit megvizsgálni a jelenséget tudományos aspektusból.  

Nem tudom már, hogy Aronson A társas lény vagy a Mackie-Smith-féle Szociálpszichológia könyvben, de pazarul össze van foglalva, hogy mi az, amivel felkelthető a tömeg érdeklődése, amiben sajátos,  hogy nyilván nem a racionalitás mentén történik mindez, hanem emocionális szinten, ezen belül is vannak olyan tényezők, amik növelik a sanszát annak, hogy egy hír terjedjen és meddig maradjon a köztudatban. Indirekt persze ezzel körülírható, hogy milyen hírek pedig nem ilyenek.  

Ami nekem rendszeresen az eszembe jut, a vér-pina-celeb-kombó. Bármilyen bulvár szintű bűnügyi hírt lehet olyan módon tálalni, hogy azt olvassák, ha valami semmit sem változott az emberi kultúra történetében, hogy az emberek alapvetően szeretnek borzongani, amit tudományosan behatóan vizsgáltak, nemrég pedig az Origo rakott össze egy témában egy kapcsolódó cikket.  

Mindegy, hogy gladiátorok küzdenek oroszlánokkal vagy éppenséggel a texasi láncfűrészes kergetőzik a kukoricásban a film mindenkori leghelyesebb muffjával vagy pasijával a sokadik Láncfűrészes feldolgozásban, a hatás hasonló, a nyilvános kivégzéseket pedig köztudottan nem ritkán ünnepnapokra időzítették - néha meg a kegyelmeket is, mondjuk akkor "engedtek szabadon egy labot a böltönből" . 

A celebfaktor hasonlóan sajátos jelenség, bizonyos embereknek akár még csak szimpatikusaknak sem kell lenniük, lehetnek akár megvetendő antihősök is, de véletlen, hogy tömegek érdeklődnek olyan személyek iránt bulvárlapokon keresztül, akiknek az életére még csak semmilyen hatással sincs egy-egy celeb. Intuitív magyarázat lehet az, hogy valahogy mégiscsak irigyeljük őket a pénzük vagy a népszerűségük okán, megint mások magyarázhatják azzal, hogy többen azért imádják azokat a celebeket, akiket rokonként ezerrel letagadnánk, mert a médiafogyasztó tudattalanul örül neki, hogy vannak, akiknek jóval sanyarúbb az élete. Akárhogy is, antihősökre mindig is szükség lesz. Nem megyek bele, de nem feltétlenül baj az, hogy azoknak a nevével lehet találkozni a magyar médiában legtöbbször, akik messze nem példaértékűek. Ez nem valamiféle betegsége a magyar tömegkommunikáció piacának. Arról persze lehet és érdemes is vitatkozni, hogy kultúránként hogyan tér el a celebek megítélése, egyáltalán mitől lesz valaki celeb.  

Minden hír Jolly Jokere az, amit én röviden úgy nevezek, hogy pina-faktor. Legyen valamilyen női idom a hír snippetjében, egy bulvármagazin headline-jában, teljesen mindegy, úgyis rátereli a figyelmet, főként a férfi olvasókét. A hölgy olvasókét meg esetleg azért, mert kíváncsiak rá, hogy mi olyan érdekes abban az idomban, pontosabban a hozzá kapcsolódó hírben, ami a pasik figyelmét felkeli. Nemrég egy forgalmas európai autópálya mellől a kihívó bulákat ábrázoló plakátokat el kellett távolítani, mivel kiderült, hogy a balesetek megnövekedett számát épp az okozta, hogy a vezetők figyelmét elterelte a vezetésről. A baleset vezetői egyébként szinte mind férfiak voltak.  

Ha valakit bővebben, a kocsmafilozófiai szintűnél jobban érdekel a vér-pina-celeb-effektus tömegkommunikációbeli hatása a tartalom eladhatóságára, Arionson és Mackie-Smith klasszikusa mellett Cialdini Hatás című könyvét emelném ki, mint ajánlott irodalom. Persze egy kommunikációs szakértő alighanem mást mondana, a rövid, nagy hatékonyságot ígérő könyvek ezen a területen is olyanok, hogy abból az olvasó nem ismeri meg egy-egy mechanizmus természetét behatóan, ilyen módon nem tudja azt továbbgondolni, önmagában szintetizálni és persze alkalmazni sem. Ami meg az újságíró iskolákat illeti, komolyan nem tudom, hogy ott mi van, de sosem értettem, meg nem is jártam ilyenbe soha. Hogy formailag hogyan érdemes jó blogot készíteni, azzal kapcsolatban a Reblog Maraton staff összeszedett pár gondolatot erre, ami pedig a személyes ars poeticámat illeti, arról már írtam itt.  

Ami még komolyan bejátszik abban, hogy egy hír mennyire fut fel, hogy az olvasó mennyire érzi önmagát  benne érintettnek valamilyen módon. A várandós hölgyek érthető módon sokkal jobban felfigyelnek a várandóssággal kapcsolatos hírekre, a vegetáriánusok a vega táplálkozással kapcsolatos hírekre és folytathatnám a sort. Viszont! Vannak olyan aduászok, amiket nevezhetnénk akár amolyan bulvár-univerzálénak is, azaz amikor egy hír olyan módon szólítja meg az embert, hogy azt szinte mindenki magáének érzi például olyan módon, hogy eszébe juttatja, hogy vele is megtörténhet. Ez összefügg az előbb emlegetett vér-faktorral, de ha gyerekrablásról van szó, nos, akinek gyermeke van vagy szeretne, fix, hogy oda fog figyelni egy olyan témájú hírre. Vagy éppen ha arról írnak, hogy a szomszédról évek után derült ki, hogy a helyi fetisiszta gyilkos, mindenki, akinek van szomszédja, tudattalanul eszébe jut, hogy akkor akár az ő szomszédja is lehet suttyomban fetisiszta sorozatgyilkos. Egy-egy fodrász szalonban mondjuk ez a tudatosságot is elérheti, például valamilyen szétkattant bűnözőről szóló hírről diskurálva nem ritkán felmerül, hogy a Bélának is volt egy harmadunokaöccse, akinek egy szembeszomszédja olyan karakterű ember volt, mint a hírben emlegetett fetisiszta gyilkos.  

A hír gyors befogadhatóságát nagyon sokak után nem írom le még egyszer, lehet rajta vitatkozni, hogy mennyire formai vagy tartalmi dolog. Érdekes módon a profi újságírók közül nagyon sokan azt vallják, hogy a terjedelem nem riasztja el az olvasót, ha az eléggé ütős és végig fenntartja a figyelmet.  

A hír impaktumába az is komolyan bejátszik, hogy mennyire érinti az emberlétet úgymond. Mondjuk a szokatlan agresszióról beszámoló bűnügyi híreknél ez világos. De van, aki csak mondjuk fémet és üveget eszik, esetleg három kilós faszt növeszt magának, ekkor mind-mind szembesülünk vele, hogy ez is az emberlét része.  

Alighanem jórészt az emberléttel és az önmagunkra vonatkozattással hozható összefüggésbe az is, hogy többen cáfolják az evolúciós modell helyességét, mert valamiért sérti őket, hogy az őseik nem voltak emberiek, míg például a Pitagorasz-tétel ritkábban képzi nyugdíjasklubok borgőzös vitaestjeinek tárgyát. Sajátos, hogy a tudományok közt az emberlét-tudattól távolabb esőek, mint a matematika vagy a fizika, gyakorlatilag sosem képzik vita tárgyát a közbeszédben, a biológia, mint az ember működését is vizsgáló tudomány, már gyakrabban, míg a leghevesebb vitákat a közbeszédben, de még a tuodmányos diskurzusokban is a politikai témák váltják ki. Én mondjuk azért nem nagyon irkálnék szociálpszichológiai témában sem szivesen, mert a legremekebb példákat mégiscsak a politikából lehet előhúzni sokszor, ilyenkor pedig amellett, hogy bekerülnék egy skatulyába, rendszeresen kellene érvelnem nem csak velem egyenrangú kutatók, hanem tőlem ezerszer hülyébb emberek előtt is.  

cukiság van! meg kattintás! 

A médiapszichológia szép dolog. Hogy-hogynem emberközeli is. A véleményvezérek lehetnek olyan figurák is a kommunikációtudományban, tartalomiparban és rokon területeken, akiknek amúgy közük nincs az egészhez. Állatorvosi ló esete: egy szépnevű kiadó korábban minden évben megrendezett egy blogok közötti versenyt - ezt figyeld: a versenynek még a nevét is lopták, onnan tudom, hogy konkrétan tőlem - idén hála a jóégnek már nem, ezzel nem csekény mértékben csökkentve a kulturális környezetszennyezést, mivel sokszor olyanok zsűriztek, akiknek lövése nem volt az egészről.  

A tartalomiparban nem feltétlenül azok vannak élvonalban, nem azoknak a legnagyobb a befolyása, akikek a kompetenciája indokolná, de így van ez más szakterületeken is, itt viszont azért sajátos, mert kommunikációtudományról van szó. Ami még komolyan bejátszhat, az magának a tartalom előállítójának a személye, holott egy szellemi alkotásnál ideális esetben függetlenül kellene értékelnünk a tartalmat és a tartalom közlőjét, kivéve amikor nem :) Azoknak a vloggereknek a videóit, akiket nézek is, nos, ők úgy kerültek a csúcsra, hogy nem magukról pofáztak, nem álltak neki soha ekézni a másik személyét. Ja, hogy a magyar videoblog-szcénában 1-2 ilyen van összesen? Oké.  

Ki tudja, az is lehetséges, hogy mostantól adagolok néhány nanogram bulvárt, amikor példát hozok egy jelenségre, de az is simán lehet, hogy nem. 

Ja és persze az oldalamat lájkolni ér - ott gyakran lazábbra veszem a figurát, aztán esetleg kikerül egy fake zsüsztinbíber-fasz, Nicki Minaj csöcse, mittudomén! 

Ha Rajtad múlna, hova tetted volna a cikket?
Tudomány rovatba 19%
Technika rovatba 10%
Kultúra rovatba 25%
a Reblogra 28%
mindegy, csak könnyebben megtalálható helyre 18%
0 Tovább

A világ legjobb és legrosszabb szelfijei - a ConvNet algoritmus szerint


Hasonló volt már korábban is, ezúttal ún. konvolúciós neurális hálót alkalmatzott egy kutató olyan algoritmus fejlesztéséhez, ami egy szelfiről eldönti, hogy mennyire előnyös, így azzal kapcsolatban tud szabályszerűségeket megállapíani. Különböző típusú neurális hálókat a gépi tanulásban már régóta használnak, a gépi tanuláson alapuló módszerek lényege pedig, hogy az algoritmus kap egy, lehetőség szerint minél nagyobb tanuló halmazt vagy halmazokat, aminek elemeit adott tulajdonság szerint válogattuk össze. A gépi tanulás folyamatában a kezdeti, tipikusan folyamatosan bővülő tanulóhalmaz alapján, a gépi tanuló algoritmus, jelen esetben egy neurális háló, folyamatosan szabályszerűségeket észlel és tárol, ami a kapott elemekre általában igazak. Egy idő után már képes lesz megállapítani egy korábban még sosem látott halmaz elemeiről, hogy azokra érvényesül-e valamilyen tulajdonság vagy sem - döbbenetes pontossággal. Egy fotóról eldönteni emberi szemmel, hogy előnyös vagy sem, nem olyan nehéz, viszont egy gép ízlését kialakítani már korántsem olyan egyerű.  

A Stanford egyik kutatójának, Andrej Karpathynak a blogján nemrég megjelent bejegyzés szerint azért nem is lehetetlen. A gépnek először hatékonyan meg kellett tanítani, hogy mi szelfi egyáltalán és mi nem, majd letöltött ötmillió olyan képet, aminek a tagjei közt ott volt a #selfie kifejezés. Ezt követően letöltött szintén jóadag olyan szelfit más forrásból, amikhez viszont már hozzákapcsolta azokat a metaadatokat is, hogy egy szelfit mennyien lájkoltak vagy kommenteltek, mivel ez nyilván összefüggésben van azzal, hogy mennyire tetszett egy-egy kép másoknak, ezek kívül különböző, statisztikai alapú súlyozási módszereket is használt. Miután a neurális háló tanítása megtörtént, kapott egy ötvenezer elemből álló teszt halmazt, azaz amiről el kellett döntenie az algoritmusnak elemenként, hogy egy-egy szelfi előnyös vagy sem. A posztba egyébként bekerültek a legelőnytelenebbnek ítélt szelfit is. Az algoritmuson keresztül levont általános szabályszerűségek azzal kapcsolatban, hogy mitől lesz jó egy szelfi:   

- hölgynek kell lenni  

- az arc a teljes kép egyharmadát tegye ki, lehetőleg középen vagy a kép felső részében  

- mindenképp látszódjon a homlok  

- viszont látszódjon a hosszú haj is  

- az arckép jó, ha valamilyen effekttel túltelített  

- a legjobb szelfikhez valamilyen keret is tartozott az algoritmus szerint  

Mindezek igencsak egybevágnak azzal, amire intuitív módon is azt mondanánk, hogy szép. A kutatás persze kitér az előnytelen szelfi ismérveire is. Nem kapcsolódik a gépi tanuláshoz, viszont fontos megjegyezni, hogy az olyan effekt, ami az arcot telítetté teszi, a felszínét egységesnek mutatja, azaz az azon előforduló szabálytalanságokat elfedi, tudattalanul mindig is elnyerte mások tetszését. A jelenség evolúciós pszichológiai alapját az adja, hogy a szabályos, szimmetrikus, durva eltérésektől mentes arc az evolúció során egyet jelentett azzal, hogy az egyed egészséges, ellenálló a környezeti hatásoknak, ideértve a kórokozókat, azaz olyanra jellemző, aki alapján emberelődeink tudattalanul helyesen dönthettek úgy, hogy az adott asszonnyal vagy férfival érdemes családot alapítani. Ami egy alaposan vizsgált evolúciós hipotézis értelmében szép, preferált, preferált a közösségi szolgáltatásokban is, egy erről mit sem tudó gépi tanuló algoritmus számára szintén az, csak éppenséggel teljesen más úton lehet arra a következtetésre jutni, hogy valami szép.

képek forrása, erre van még bőven: http://runt-of-the-web.com/selfies-gone-wrong

2 Tovább

Szív-koszorúereket nyomtattak 3D printerrel


3D nyomtatással a valódihoz haosnlóan viselkedő szívkoszorúereket hoztak létre a Carnegie Mellon Egyetemen nemrég.

A koronáriák a szív saját vérellátását biztosító ereiként folyamatos, nagymértékű és változó terhelésnek vannak kitéve, ennek megfelelően hagyományos 3D-nyomtatással nem lehetne ennyire terhelhető, ugyanakkor a valódihoz hasonló, elasztikus struktúrákat létrehozni, amik hosszú távon működnek is. A szív korszorúerei felépítésük szempontjából nem különböznek alapvetően a többi értől, viszont képesnek kell lennüik a lehető leggyorsabb regenerálódásra egy apró sérűlés vagy éppen egy szívinfarktus után. A szív saját érrendszerének működőképessége szinte egyenértékű magával a szívvel, így azzal is, hogy mennyire használható az például egy szívátültetéskor, ugyan ott számos más tényező is számít. A CMU-n kifejlesztett technika lényege, hogy miután elkészítették az erek alapvázát, amik önmagukban még annyira instabilak, hogy a saját súlyuktól is azonnal összeesnének, a struktúrát belülről tartó zselatint kioldják belőlük, miközben további rétegeket építenek rájuk több lépésben, így a létrejött műerek viselkedésükben nagyban fognak hasonlítni a termékszetben is előforduló koronaerek viselkedéséhez a szívburokban lévő nyomás és hőmérsékleti viszonyok mellett.  
 
 
Nagy reményeket fűznek a szövetek és szervek hasonló módon való létrehozásához, viszont számtalan tényező lehet, amit in vitro vagy in situ nem tudnak még figyelembe venni a kutatók, emiatt egy beültetett anatómiai strukltúra esetleg nem tudná ellátni a feladatát, ami esetleg az állatkísérletekben való kipróbálásnál derülhet ki a legkorábban. Tökéletes, működőképes szövetek és szervek létrehozása azért is igencsak nehéz, mert egy adott komplex struktúra kialakulása a természetben folyamatosan történik, embrionális kortól kezdődően, onnantól kell megfelelnie az alakuló szervnek a környezeti viszonyoknak, aminek minden biofizikai részlete még messze nem ismert. Hasonló okból nem lehet bonyolultabb, működőképes szerveket létrehozni pusztán őssejtekből in vitro annak ellenére, hogy ismert, hogy milyen növekedési faktorok hozzáadása szükséges ahhoz, hogy egy őssejt adott típusú szövetté differenciálódjon. 

0 Tovább

Kém-casting - képzelt párbeszéd egy lapigazgatóval


Van két dolog, amiről egy szót nem terveztem írni, az egyik a hír, ami röviden úgy foglalható össze, hogy "juj, jönnek a kémek a szerkesztőségekbe", a másikról pedig pláne nem, egy szakmai rendezvényről, amin a napokban vettem részt.  
 
A minap egészen remek szakmai rendezvényt sederítettek itthon egyik nagyon reprezentatív budapesti épületében, ahova meghívást ugyan nem kaptam, mivel a meghívott vendégek jórészt a hivatásos rendvédelmi szervek szakértői, vezetői voltak, jóval kisebb számban pedig olyanok, akik ezeknek a szervezeteknek valamilyen beszállítói vagy külső szakértői. Természetesen abban az esetben, ha valami végülis a tudományt szolgálja, más vagy mások érdekeit pedig nem sérti az ottlétem, ráadásul erősen a kutatási területembe vág, bemegyek én,  meghívó ide vagy oda.  
 
A rendezvényről sokat mond, hogy a neten annál több információ nem nagyon lelhető fel, hogy mikor és hol, az épületbe belépéskor TEK alkalmazottai mágneskapun terelték keresztül még az atyaúristent is és persze végig figyelték a rendezvényt, az ebédnél nem volt ülésrend, ezért leültem egy helyre, ami éppen szabad volt, ekkor a velem egy asztalnál ülők pedig azonnal befejezték azt a témát, amiről addig beszéltek. Ha mindez nem lenne elég, az egyik szekción való részvétel az épületen belül plusz beléptetést igényelt és feltétele volt a nemzetbiztonsági ellenőrzéshez kötött ún. személyi biztonsági tanúsítvány, ami viszont nekem nincs, ugyan volt rá ötletem, hogy hogyan hallgathatnám meg az engem érdeklő ottani előadásokat, nem kockáztattam meg, hogy kidobjanak.  
 
Ezzel gyakorlatilag egyidőben ásta elő az Index a "sajtókémtörvényt", amit egy friss Origo-cikk szerint már vissza is vontak.


Mivel csak este voltam gép előtt, épphogy tudtam az egészről és az jutott eszembe, hogy mekkora farmermellényes manír már az élettől, hogy amíg azt a gumicsontot rágják, hogy kémek mehetnek-e szerkesztőségekbe – már ha egyáltalán ez volt a törvény értelmezése – közben épp fordítva, erről mit sem tudva, mondjuk úgy egy érdeklődő ember, mint magánszemély, beballag a kémek közé a tudását gyarapítani. Félreértés ne essen, nem valami überelhetetlenül nagy titkot akartam megtudni, csak érdekelt pár előadás. Azt az apróságot most ugorjuk át, hogy van tiszt, fedett nyomozó, egyebek de olyan, hogy "kém" meg "titkosügynök", maximum a konyhanyelvben.  
 
Ha mindez még nem lenne elég, éppen most egyezkedek egy dög nagy hazai hírportállal egy szorosabb együttműködésről, akiknek ráadásul írtam, hogy kizárólag velük dolgoznék, másrészt meg azt, hogy a saját nevemen nincs szakirányú tapasztalatom a tartalomszolgáltatás terén olyan értelemben, hogy hivatalosan soha nem irkáltam sehova. Nos, ők ezt a posztot alighanem olvassák, nem tudom, hogy mekkora az esélye a dolognak, de ha ezt összevetik az eheti kémtörvény tervezetével vagy mi az ördöggel, esetleg gondolhatják azt, hogy kémkedni mennék hozzájuk, mi másért.  
 
Az egész kémtörvény hype-ot egyébként alapvetően az a hírportál csinálta, amelyik felkapta kiszúrta eredetileg az egészet, ami pedig a közkeletű értelmezését illeti, na, az úgy hülyeség, ahogy van. Ahelyett, hogy belemennék annak az eleve fárasztó témának a magyarázatába, hogy 2015-ben akár a TEK-nek, akár a Szakszolgálatnak, akár az Szervezett Bűnözés Elleni Koordinációs Központnak, akár az IH-nak teljesen fölösleges lenne ténylegesen beküldeni valakit egy nagyobb szervezethez, jelen esetben tartalomszolgáltatóhoz azért, hogy ott megfigyeljen vagy manipulálni tudjon, inkább egy képzelt párbeszédet írok le.  
 
KÉM: Jó napot kívánok, a főnököm utasítására Önöknél kellene holnaptól dolgoznom. 
LAPIGAZGATÓ: Jaaa, vagy úgy? A kémtörvény miatt. Nem tudjuk, hogy ilyenkor mi az eljárás, de megdumáljuk valahogy, jó? 
KÉM: Oké, amúgy még nekem sem mondták el, hogy mit kellene csinálni, meg mi az, amit az IT infrastruktúrán keresztül, egyéb titkos adatszerzéssel ne tudnánk meg Önökről és nem tudnánk dezinformálni, manipulálni, de hát tetszik tudni, hirtelen találták ki ezt az egészet. Amúgy meg nem kell tartaniuk tőlem, végülis törvényhez kötött, hogy mikor mit tehetek, még ha salátatörvényhez, akkor is.  

LAPIGAZGATÓ: Hát ez van sajnos, de majd megoldjuk. Egyébként dolgozott már szerkesztőségben?  

KÉM: Hátőőő, még nem.  

LAPIGAZGATÓ: De azért talán valami hobbi blogja vagy legalább Tumblr-je csak van, nem?  

KÉM: Az sincs, még életemben nem írtam, meg középsuliban sem voltam jó magyarból.  

LAPIGAZGATÓ: Húha, akkor hogyan osztjuk meg a feladatot? Felveszünk plusz egy újságírót, aki effektív dolgozik Ön helyett, ameddig Ön meg kémkedik?  

KÉM: Tényeg nem tudom, mondjuk addig a 9GAG-ről válogathatok vicces képeket főállásban, ha az önöknek megfelel.  

LAPIGAZGATÓ: Végülis mi annyira nyereségesek mondjuk nem vagyunk, hogy szórjuk ki a pénzt és felvegyünk két személyt főállásba azt sem tudjuk, hogy miért, de remélem azért erre valamilyen költségtérítést csak adnak. Egyébként ha mi adunk önnek fizetést, emellett kap még a rendvédelmi szervtől is?  

KÉM: Hát hogyne kapnék!  

LAPIGAZGATÓ: Akkor ki tudunk egyezni egy minimálban' nem?  

KÉM: Én mondjuk arra gondoltam, hogy fizethetnének annál azért kicsit többet. Ez nem olyan mondjuk, mint titkos adatgyűjtés céljából diplomatákkal dumálgatni külföldön, de azért mégiscsak plusz munka, érti.  

LAPIGAZGATÓ: Nem nagyon. De mindegy, mondjon egy összeget, aztán kifizetjük. Ja és ennek ugye titkosnak is kellene lennie a teljes szerkesztőség előtt?  

KÉM: Ami azt illeti igen, de csak nem veszik észre sokan, ha nulla újságírói múlttal beülök főállásban hétfőtől minden nap? Áh, ha Redditet böngészek 9GAG helyett akkor talán nem. Vagy mégis?  

LAPIGAZGATÓ: Végülis... Majd meglátjuk.   

0 Tovább

A Onedrive hiszti margójára


Nem tudom már, hogy hol is olvastam, de ha bármilyen szolgálatásról van szó, ott csak egyvalami lehet korlátlan, azaz unlimited vagy unmetered: amit a szolgáltató hazudik, amihez sokszor társul egy elszart előkalkuláción alapuló árképzés.

Ugyan már írtam róla, de a Google Drive-on kívül is van élet, ha online fájlhosztingról van szó. Az elmúlt néhány napban azon háborodott fel Internetország népe, hogy a Microsoft Onedrive szolgáltatása azok számára a felhasználók számára sem biztosít korlátlan tárhelyet, akiknek egyébként korlátlan tárhelyet ígértek bizonyos csomagokban, a cég indoklása szerint azért, mert több felhasználó több, mint 75 TB, azaz durván 75000 GB (!!) adatot talicskázott fel, ami nyilván úgy jött össze, hogy gondolták, hogy okosba' inkább tárolják a HD pornót a cég által fizetett felhőbe, hogy ne a gépükön foglalja a helyet, ezen kívül pedig alighanem rendszeresen mindenről, amit láttak, bővítményes biztonsági mentést készítettek és tettek fel, na ez az, amit a MS nem vállal be. Ami viszont szinte semmilyen hírben nem jegyeznek meg, hogy a felhasználók ezzel bőven megsértették a fair usage policy-t, amiben viszont igenis benne van, hogy egy-egy felhőszolgáltatás mire alkalmatlan és mire nem. Több hoszting szolgáltatónál, amelyiket használok, én is korlátlan tárhelyet kapok elvben, azonnal szólnának, ha a webhoszint szolgáltató esetén ontanék fel eszelős mennyiségű adatot, amit nem is használ a webhely. Ehhez hasonló módon, egy fájlhoszting szogláltatót sem arra találtak ki, hogy DVD-lenyomatokat tároljon valaki rajta tonnaszámra.

A heavy userekkel még mindig egészen jó arcok voltak, mivel az érintett felhasználóknak egy évük van, hogy az adataikat máshol helyezzék el, ezt követően 1 TB tárhelyet kapnak. A jelenlegi díjszabások alapján kimatekozható, hogy a Microsoftnak még így is iszonyú ráfizetés, de legalább nem akkora az arcvesztés, mintha csak egy hónapot adnának például. A felhő-alapú fájlhoszting szolgáltatások árképzése jól mutatja, hogy hogyan is matekozik a szolgáltató: úgy számol, hogy lesz egy rakás felhasználó, aki szinte semennyi adatot nem fog fenn tárolni. Például nagyon sok magyar felsőoktatási intézményben a hallgatók ingyenesen kaptak Office 365-öt dög nagy tárhellyel, de a Microsoft természetesen előre tudta, hogy a többség nem is fogja használni, ahelyett, hogy már most beleszoknának a hallgatók, hogy hogyan dolgozzanak enterprise level szolgáltatásokkal, inkább használnak továbbra is levelezőlistákat, horribile dictu Facebook-csoportokat vagy közös email címet [szóval aminek az egész évfolyam tudja a jelszavát], de az emberi hülyeség eme pompás manifesztációját inkább hagyom, más témához vezetne át. Ugyanakkor a Microsoft azt is tudta, hogy igen, lesznek heavy userek, akik meg nagyon nagy tárterületet fognak használni, a logika nagyon hasonló, ha a Microsoft legnagyobb csomagjairól van szó és ha arról, hogy ha a felhasználó egyszerűen csak több adatot tárolna a privát Onedrive tárhelyén, ami ingyenesen néhány GB, akkor pár garasért kaphat.

Hozzáteszem, azért ortó nagy trollnak kellett lenniük azoknak, akik ennyi adatot nyomtak fel tárhelyükre, mivel lévén, hogy dokumentumtárolásra találták ki a szolgáltatást, ezért a maximális feltöltési sebesség 400 kbps körül van IP-címenként, viszont a Onedrive több, párhuzamos munkamenetet enged meg, így ha a felhasználó több klienssel kapcsolódott egyszerre, eltérő IP-címekkel, akkor annyiszor 400 kbps sebességgel tölthetett fel. Onnan tudom, hogy a 400 kbps-os sebességlimit IP-címentként van beállítva, mert nemrég teszteltem.

Mindenki szopóágra kerül, köszönjük tetves trollok!

A Onedrive sejthetően nem csak emiatt volt ráfizetéses, többek közt a mostani misuse miatt nemcsak azok jártak rosszul, akik nem rendeltetésszerűen használták a szolgáltatást, hanem abszolút mindenki: eddig például 15 GB ingyenes tárhely volt, a következő évtől már csak 5 GB lesz, illetve további 15 GB bónuszt kapott eddig az, aki a Windows Phone-os mobilján a képek tárolását az Onedrivera bízta. Nem világos, hogy visszamenőlegesen is érvényesítik-e a dolgot. Egyébként lesznek még itt meglepik bőven: korábban volt egy akció, aminek a lényege az volt, hogy ha akkor regisztrál a felhasználó a szolgáltatásra, akkor 100 GB-os tárhelyet kap - az meg már elég sokak figyelmét elkerülhette, hogy csak egy évig.

Ez az unlimited-ezés valahogy olyan megunhatatlan klasszikus blöff, mint az ingyen SMS-t és ahhoz hasonlót kínáló szolgáltatások: józanul gondolkozó ember úgyis tudja, hogy ilyen nincs, mégis sokszor a felhasználó szivesebben dönt aszerint, amit hinni szeretne, mint aszerint, amit a józan ész mondat vele. De a Skype-nál is teljesen hasonló a helyzet: attól, hogy valaki előfizet egy Unlimited Europe csomagra, a VoIP-szolgáltató nem feltételezi, hogy az illető majd ráköt egy telefonközpontot, egyébként nem is tudna.

Egyéni felhasználásra egyébként továbbra is az Onedrive-ot tartom a legjobb és legbiztonságosabb freemium fájlhoszting szolgáltatónak, ugyanakkor tisztában kell lenni vele, hogy mire alkalmatlan: a fájlnevekkel kapcsolatban ugyan csak ésszerű megkötések vannak, láttam már olyan hibát, amikor azon akadt fenn, hogy az egyik oprendszer kliensprogramja kicsit máshogy kezelte volna az ékezetes fájlnevet tartalmazó fájlt, mint a másik gépen lévő. A másik pedig, ami ugyan igencsak kevés felhasználót érinthet, hogy a többi fájlhoszting szolgáltatóhoz hasonló gyakorlatot követve folyamatosan vagy véletlenszerűen ellenőrizhetik a feltöltött tartalmat illegális tartalmak után kutatva - de mi ezzel a baj? Semmi, amíg nem a deep webről összekukázott nyomozati anyagokat tárolnál rajta, amiben előfordulhat bombakészítési útmutatótól kezdve kezdve pedopornón át drogreceptig minden szar, amit normális ember nem szivesen tárol úgy egyáltalán sehol, legfeljebb amíg gyorsan véleményezni kell, ha olyan a hivatása. Vagy éppenséggel olyan tartalom lehet necc, amit elvben véletlenül benézhet, falspozitívan értékelve felhasználási feltételeket sértő tartalomnak vélhet a nagy és okos algoritmus, ilyen pedig simán lehet mondjuk gyógyszerhatóanyagok farmakokinetikai dokumentációja vagy egyszerű családi, gyerekekkel nyaralós fotók. Ha az utóbbit nézi meg egy riasztás után a MS safety staff, az még belefér, ha egy szabadalmazás előtt álló hatóanyag leírását, az már kevésbé.

Szóval mindenki nyugodjon le (...) és a szolgálatásokat arra használja, amire kitalálták, a Onedrive-ot mondjuk dokumentumtárolásra, amire egyébként tökéletesen alkalmas is. A hiszti egyébként hasonló ahhoz, mint amikor néhány évvel ezelőt egy hazai netszolgáltató élt azzal a jogával, hogy egyoldalúan felbontotta a szerződést néhány ügyfelével, akiknél orrba-szájba ment a torrent, ezzel persze jelentős deficitet okozva a szogláltatónak, mivel a szolgáltató sem ingyen kapja az adatátviteli mennyiséget ill. a sávszélesség-használatot sebesség szempontjából, amiknek ráadásul harmonizálniuk kell a szolgáltatás minőségi mutatóival úgy, hogy mindez persze ne legyen ráfizetéses se.

Hirtelen az esetről egy korlátlan svédasztalos fogyasztással kapcsolatos cikk jutott eszembe, amit ide idézek 444-éktől, akik egyébként tesztelték is a dolgot:

"Évek óta kering az interneten egy legendás bejegyzés, amelyben egy elégedetlen vevő leírta, hogy őt eltanácsolták egy budapesti svédasztalos étteremből, mert túl sokat zabált.

Sokan nem hittek abban, hogy meg lehet enni ezt a menüt: Egy eperkrémlevest, majd egy frankfurtilevest. Ezt követte egy meleg előétel: kacsamellfalat. Majd ettem KETTŐ szelet húst rizibizivel, fokhagymás mártással. Továbbá ettem kb. tíz "kisháromszögnyi" füstölt karaván sajtot, tökmagot, és egy tányér sült krumplit (álánatúr). Ezt követte kb. három dinnyefalat (kb. két harapásnyira voltak felvágva). Megettem egy banánt (kettőt vittem el, de egyet elcsórtak az asztaltársaim), valamint apránként egy pár kanál pirított tökmagot. Végezetül desszertként megettem két madártejet (kb. két deci volt egy), egy sárgadinnyés-túróhabos fagyit (egy gombóc fagyi, egy gombóc sárgadinnyés túróhab), meg még további két gombóc vaníliafagyit. Megittam 2 x 2 dl őszilét, egy fél pohár sangriát, két pohár kólát valamint egy kapuccsínót."

Amúgy nem tudom, hogy Bede Márton a rekordkísérlet megismétlése előtt mennyit éheztette magát, de alighanem aznap már nem sok cikket írt.

Képek: Wikia

0 Tovább

Billentyűzet lehallgatás like a boss: barkács módszerrel, bölcsészbiztos magyarázattal


Biztonságtudatos felhasználónak tartod magad, de vezeték nélküli billentyűzetet használsz? Kínos. Avagy öreg trükk, nem vén trükk: a billentyűzet rádiójeleinek sniffelése.

A vezeték nélküli billentyűzetek elterjedésekor természetesen nem volt szempont és sajnos igény sem arra, hogy a billentyűzet és a vevője közti kommunikáció titkosított, pláne elfogadható mértékben titkosított legyen, ami egy sajátos helyzetet teremtett. Nevezetesen azt, hogy sokan titkosítják a gépükön tárolt adatokat millió meg egyféle módon, hardeningelik, ahogy tudják, ugyanakkor ha vezeték nélküli billentyűzetet használnak, az összes billentyűleütés tetszőleges távolságból lehallgatható, ráadásul úgy, hogy a géphez hozzá sem kell férni, csak egyszer a közelében elhelyezni egy praktikusan telefontöltőnek álcázott dobozt. Ráadásul bagóért összekalapálható a garázsban olyan eszköz, ami ezt lehetővé teszi.

A vezeték nélküli billentyűzetek lehallgatása olyannyira nem új műfaj, hogy komolyabban már 2007-ben is komolyabban foglalkoztak vele.

Néhány hónappal ezelőtt pedig Samy Kamkar olyan szájbarágósan írta le step-by-step, hogy hogyan építs billentyűzetpoloskát, hogy azt tényleg szinte mindenki megérti, aki meg tud különböztetni egy USB-csatlakozót a lyukkártyától. Az elektronikában ugyan nem vagyok otthon, de a neten fillérekért rendelhető apró elekronikai kütyük gyakorlatilag úgy működnek, mint a legó és mindhez kimerítő mennyiségű dokumentáció áll rendelkezésre, viszont még csak nem is nekünk kell kitalálni, hogy milyen alkatrészekkel érdemes valamit megvalósítani és a szoftvert hozzá faragni, hiszen már ezt is rég kiagyalták a műfaj szerelmesei. A blogposzt szerint 80 dollárból összedobható, mobiltöltőnek álcázott eszköz folyamatosan figyeli a hatótávolságában lévő vezeték nélküli billentyűzetet és ami a legszebb az egészben, hogy egy kezdetleges GSM modul gondoskodik arról, hogy mindezt egyszerű mobilhálózaton keresztül továbbítsa a megfelelő helyre. Akár egy kémfilmben, nem?

Az alapvető probléma azon túl, hogy a vezeték nélküli billentyűzetek egy része vagy nem alkalmaz semmiféle titkosítást vagy alkalmaz ugyan, de az olyan bénán van megvalósítva, hogy könnyűszerrel dekódolható, a billentyűzet pedig az az eszköz, amire a felhasználó talán legritkábban gondol úgy, mint ami az adatai integritását esetlegesen veszélyeztetheti.

Én személy szerint már évek óta már jóideje éppen ezért nem használok vezeték nélküli billentyűzetet, ami pedig volt, stílusosan lepasszoltam egy volt korábbi, szomszéd szobában lakó lakótársamnak talán szülinapra :)

A kockázat kiküszöbölése meglehetősen egyszerű: ne használjunk vezeték nélküli billentyűzetet, hacsak nem sajnáljuk a pénzt olyanra, ami normálisan titkosít és persze ennek megfelelően  eszelősen drága. Nem csak kritikus környezetekben, hanem olyan helyekről is száműzni kellene a wireless billentyűzeteket, mint például egyetemi vagy akadémiai kutatóintézetek, szerkesztőségek és persze illene néha szétnézni, hogy nincs-e valami olyan mobiltöltőnek tűnő valami a konnektorba csatlakotatva, amiről nem tudni, hogy kié és micsoda. Ugyanis ha bagóért összeállítható ilyen sniffer, ahol a támadónak csak egyszer kell fizikailag a megfigyelendő billenytűzet közelében lennie, hogy az adott irodában csatlakoztassa a kütyüt az egyik konnektorba, valamivel drágábban  kapható olyan is, ami mondjuk nem csak a szomszéd szobából, de jóval nagyobb távolságból is képes a billentyűzeteket megfigyelni, tudva, hogy ami 2,4 GHz-s frekvencián muzsikál, az szinte biztos, hogy egy vezeték nélküli billentyűzet, összevetve azzal, hogy a billentyűzetekre nyilván jellemző, hasonló hullámhosszon működő Bluetooth vagy Zigbee-eszközök megkülünböztethető módon adják a jeleket.

Arról, hogy hogyan barkácsoljunk egy hétvége alatt billentyűzetpoloskát, olyan kimerítő leírást ad az eredeti poszt és videó, hogy ahhoz nem is tudnék mit hozzátenni.

Megjegyzem, ahogy a titkosított kommunikációt folytató eszközökre általánosan jellemző, a vezeték nélküli billentyűzetek némelyikében is elkezdtek alkalmazni egyfajta obfuszkációs technikát, aminek a lényege, hogy a billentyűzet akkor is dobál jeleket, amikor egyébként nem gépel rajta senki vagy éppenséggel gépelés közben olyan jeleket is lead, amit majd a vevője nem vesz figyelembe, ez értelemszerűen olyan eszköznél csak korlátozottan megoldható, hiszen a számításigényesebb titkosítás és a kamu-jelek küldése nem csak erősebb beépített hardvert követelne, hanem az elemet is gyakrabban merítené.

0 Tovább

Molekuláris pillangó-effektus: így hatnak a gyógyszerek


Korábban alighanem még senki sem ábrázolta annyira szemléletesen a gyógyszerek hatásmódját, mint annak a videónak a készítője, amelyikbe tegnap akadtam bele. Hozzáteszem, persze akinek volt ilyen tárgya, annak semmi újat nem fog mondani, ha mégis: azt, hogy olyan módon is összeállítható egy animáció, hogy abból tényleg szinte mindenki megértse, hogy hogyan is működnek a gyógyszerek.

Természetesen nem minden gyógyszer ugyanígy működik, de a gyógyszerek szinte mindegyikének általános sémája az, hogy a hatóanyagmolekulát megfogja egy tőle jelentősen nagyobb szállítófehérje, amelyikkel idővel el nem jut egy, a sejt felszínén lévő fehérjéhez, a receptorhoz. A hatóanyag a transzportermolekulával úgy kapcsolódik a sejtfelszínen lévő fehérje, a receptor kötőhelyére, mintha egy kulcsot tennénk a zárba, azaz nem kötődik össze-vissza minden-mindennel, a receptorok többnyire specifikusat arra a molekulára, amit kötnek és ligandnak is hívjuk. Miután a kötődés megtörtént, a receptorfehérje konformációja megváltozik, olyan módon, hogy az valamilyen változást indít el a sejt belsejében. Lényegében ez nem csak a gyógyszerek, hanem úgy általában minden életműködésnek az egyik alapja.

Valahogy így:

Persze a gyógyszerek általában nem önmagukban kerülnek be a szervezetbe, hanem a gyógyszer vivőanyagával együtt. Azok a molekulák, amik még messze nem gyógyszerek, csak hatóanyag-jelöltek, ún. lead compound-ok, olyan molekulák, amik ha nem buknak el egyik teszten sem és a leghatékonyabbak a csoporton belül, esetlegesen gyógyszer lehet majd belőlük. Viszont amikor egy adott életműködés megváltoztatása érdekében elkezdik kutatni, hogy milyen típusú molekulák jöhetnek szóba, amik megfelelő ligandként tudnak viselkedni, nem bomlanak el, kellően nagy affinitással kötnek a helyükre és eléggé specifikusak, nem szintetizálják meg rögtön az összeset, hanem van több ezer, esetleg több tízezer játékos, amik közt tekintélyes számítási kapacitással rendelkező szoftverek elvégzik az első selejtezőt. Aztán akik benn maradtak a körben, alaposabban megnézik, a legesélyesebb játékosokat megszintetizálják, majd ezt követően tesztelik sejtkultúrákon, majd állatokon, ezt követi a klinikai kipróbálás. Vegyük észre, hogy egy teljes szervezetre kiható életműködés megváltozását végülis egy-két fehérje szerkezetének megváltozása okozza, ezért adom utólag azt a címet a posztnak, hogy "pillangó-effektus".

Az egyszerűsítések mellett rokonértelműként használtam a gyógyszer és a hatóanyag kifejezést, holott szigorú értelemben nem az, a gyógyszer a hatóanyag mellett az a vivőanyag is, amiben a hatóanyag kötve van, ettől is függ egy gyógyszer hatékonysága. így fordulhat elő, hogy egy gyógyszer generikuma sokkal kedvezőtlenebb, mint az eredeti, pedig a hatóanyag azonos. Ami érdekesség, hogy a gyógyszer hatóanyagát a legtöbb államban 10-15 évig szabadalom védi, ezalatt az idő alatt kell, hogy visszahozza az árát, ezt követően más gyógyszercég is legálisan szintetizálhatja, viszont a vivőanyag továbbra is titkos marad vagy legalábbis a részleteket az eredeti gyógyszercég megtartja magának.

Természetesen egy hatóanyagmolekula még működhet ezer meg egyféle képpen, alapvetően sokszor a ligandot felismerő hely és a kötőhely nem is azonos, egy receptornak több ligandja is lehet, az is előfodulhat, hogy a fehérje konformációváltozása nem attól következik be, mert a kötőhelyére kötődött volna valami, az is lehetséges, hogy az kmau-ligandnak nincs is kötőhelye, viszont a fehérje hátára vagy oldalára kapaszkodva úgy változtatja meg a receptorfehérje konformációját, hogy az a természetes ligandjait sokkal nagyobb valószínűséggel köti meg vagy éppen fordítva, ennek a torzulásnak a következtében a kötőhely is torzul, így hiába van ott a ligad, az nem tud kapcsolódni a receptorra. Izgalmasabbnál izgalmasabb gyógyszer-interakciók oka lehet, hogy két ligand van jelen és kötődne ugyanarra a helyre, hely viszont nyilván csak egy van, ekkor az kerül ki győztesen, amelyik nagyobb affinitással, nagyobb erősséggel kötődik a receptorhoz. De maga a kötődés is többféleképp létrejöhet.  

A gyógyszerekre való eltérő érzékenységet és azt, hogy a mellékhatásprofil betegenként más, az magyarázza, hogy vannak örökletes tényezők is, amik befolyásolják, hogy milyen típusú receptorból mennyi van, milyen eloszlású, az milyen gyorsan bomlik el, ez már "néprajz".

0 Tovább

A CIA ismét hülyét csinált a világból? Oké, akkor magyarázom


Még az Ars Technica-cikk megjelenése előtt értesültem róla, hogy megint volt valami dráma, nevezetesen a kémfőnöktől minősített adatokat szerzett meg egy-két unatkozó középiskolás. 

A sztorit és az ilyenekhez hasonló történetekre jellemző általános dinamikát összefoglalom vázlatosan, pontról pontra, mert megint az a benyomásom, hogy ezt a viccet már hallottam párszor. 

Először is, a támadó a legritkább esetben hacker /*a kifejezés US english értelmében*/, inkább valami unatkozó hülyegyerek, aki egy jól ismert személy postafiókjához olyan módon fér hozzá, hogy azt social engineeringnek sem nevezném, ugyanis teljesen publikusan fellelhető információk alapján általában kitalálja a jelszót, valamiféle feltörésről, azaz az autentikáció megkerüléséről vagy MITM-támadásról szó sincs.

A legismertebb eset, amikor Sarah Palin személyes Yahoo-fiókjához fértek hozzá, ami nem volt egy fene nagy bravúr, mivel a fiókhelyreállításhoz szükséges biztonsági kérdés a születési dátum vagy az iskola volt, amit egy elnökjelölt esetében nem olyan eszelősen nehéz kideríteni. 

Nem sokkal később George W. Bush AOL-os fiókjához szeretek hozzáférést ennél nem túl bravúrosabb módon, amit érdemes alaposan megfigyelni, hogy az AOL-os fiókból az égvilágos semmi kínos nem került ki. 

Nemrég pedig azon pörgött a net népe, hogy Clintonné nem csak, hogy nem értette, hogy miért nem jó ötlet magáncélra saját, valami barkácscég által összegányolt szervert használni, aminek a sértetlenségét alighanem az FBI és a Secret Service ügynőkei összeszorított farpofával figyeltek végig, utólag sem magyarázhatták el neki, hogy a magán és a szakmai levelezés egyszerűen nem választható el ilyen módon, politikus esetén pedig pláne nem. [ui. ahogy írtam róla korábban, az emberi tudat egyrészt nem mindig tudja megkülönböztetni a kényes és kevésbé kényes információkat, másrészt egy információ bizlmas jellege időben is változhat, hamradrészt egy kifinomultan dolgozó social engineer teljesen privát adatok kimozaikozásából is bőven eljuthat az őt vagy megbízóját ténylegesen érdeklő információkhoz] 

Másrészt jelen esetben a CIA-főnök használt egy AOL-os fiókot, ami az AOL minőségét és stabilitását ismerve már önmagában bizarr. Egy magyar önkormányzatnál nemhogy előfordulhat, hanem egyenesen minennapos lehet, hogy pusztán kényelemből küldözgetnek át egymástnak adminisztratív dolgozóktól kezdve a döntéshozókig olyan dokumentumokat, amiket nagyon nem kellene privát címekre, publikus szolgáltatókon keresztül. 

Itt elvben történhetett ez is. Viszont volt egy olyan feltételezésem, hogy egy kémfőnök ennyire hülye mégsem lehet, inkább arról van szó, hogy egy jól megtervezett honeypot az egész: figyelik, hogy kik, mikor, milyen módszerrel próbálnak hozzáférni az AOL-fiókhoz, azt pedig beszivárogtatni, hogy melyik a főkém email fiókja, ismétcsak nem egy nagy bravúr. 

Harmadrészt a feltételezésemet alaposan megerősítette, hogy ez történhetett, amikor a Wikileaksen megláttam a postafiókból kikukázott überszupertitkosnak vélt dokumentumokat: vagy olyanok, amik csak azt valószínűsítik, hogy a doksi tényleg a Brennan AOL-fiókjából származik, talán még annyit sem, megint más dokumentumok úgy lettek összeállítva, hogy azok belsős anyagnak tűnnek, de jónéhány, valóban érzékeny dokumentummal való korábbi találkozás után bárki azt tudja mondani, hogy itt szembetűnően gyakorlatilag semmi sincs, ami biztonságpolitikai szempontból kényes lenne vagy ha már nem is értékes, legalább ciki. Az összeset mondjuk nem nyálaztam át, ha valaki talál, ne fogja vissza magát, jelezze! 

Negyedrészt, tehát találtak is valamit meg nem is, ez volt a fene nagy hekkelés. Az általános séma pedig ahogy ez lenni szokott, a Ámerika tíz perc hírnévre éhes hőse gyorsan eldicsekszik a mestertervvel - ezért már önmagában járna az amatőrségi bizonyítvány - amit valamelyik szép nagy sajtóorgánum minimális ellenőrzés után le is közöl, nehogy már lemaradjon a sztoriról. Ez jelen esetben a New York Times és a CNN volt. Amikor a mainstream pörög a témán, a sokkal komolyabb, gyakran eléggé komoly szakértőkkel dolgozó lapok, mint az Arstechnica vagy a Wired, szintén nem engedheti meg magának, hogy egyáltalán ne írjon róla, még akkor is, ha alighanem tudják, hogy az egész sokkal inkább médiabumm, mint bármi más, de legkevésbé kormányzati adatszivárgás. 

Eztán szerte a világon mindenki leközli gyakorlatilag ugyanazt és persze nem jellemző, hogy az egész sztorit kicsit újragondolva írjon róla olyan, aki valamit konyít a témához, mondjuk látott már több olyan security breachet, aminek valóban komoly diplomáciai vagy reputációt befolyásoló hatása volt. Na, ez nem olyan. De azon sem lennék meglepődve, ha a CIA egy faék, akarom mondani, a Blackberrym hátlapjához hasonló egyszerűségű módszerrel hülyét csinált volna az egész világból, mi több, ez a legvalószínűbb. Ismét az jut eszembe, amikor egy időben egy-egy kormányzati csúcsszerv azzal került mindenhol címoldalra, hogy a webhelyüket - azaz még csak nem is intranetről volt szó például - rendszeresen feltörte valaki, aki úgyis eldicsekedett vele vagy legalábbis könnyűszerrel azonosítható volt. Főleg a 90-es években és a 2000-es évek első felében volt már-már konzervhír, hogy ismét meghakkolták a NASA-t, csak épp arra nem tértek ki, hogy a webes frontendet, ami egy egyszerű webszerver. A webszerverek alighanem szándékosan legyengített szerverek voltak, a támadó kiléte pedig egy kincs volt a hírszerzés és a nyomozó hatóságok számákra, mert rajta keresztül fel lehetett térképezni több, hasonló hacktivista csoportot. 

Végül megjegyzem, akár valódi adatszivárgás történt, akár roppant jól eljátszották az egészet, az egész médiabeli megjelenésére rátesz egy lapáttal az, hogy még sokkal pitibb esetekben, sokkal alacsonyabb pozícióban lévő alkalmazottak sem mondhatnak semmit. 

Hipotézisekben kimeríthetetlen vagyok: érdekes módon a veszett biztonságos levelezést kínáló cégek azt követően kapcsolják magasabb fokozatra a marketingkampányukat, miután egy-egy ilyen eset történik és frissen a tömeg tudatában él. Nem kizárt, hogy egy rég ismert lehetőséget kihasználva beszivárogtatták pár hülyéhez, hogy hogyan léphet be egy fejes email-fiókjába, amit persze meg is tett, a sajtó pörög rajta ideig-óráig, egy-egy hakkolhatatlan levelezést kínáló startup pedig mondhatja magáról, hogy na, náluk ilyen aztán nem történhet meg. 

0 Tovább

Instant biobulvár: a szakállban annyi baktérium lehet, mint a sz*rban?


Pontosabban a vécében. Ugyan az International Business Times online kiadásában – igen, ott! - már korábban pukkant a hír, még mindig eléggé adja, hogy egy nem túl tudományos igényességgel elvégzett, de egészen életszerű mikrobiológiai mérés szerint a szakállban annyi mikroba lehet, mint az emberi ürülékkel rendszeresen érintkező felületeken.

Hirtelen az jutott eszembe, hogy többségünk általában nem azt gondolja retkesebbnek, ami valóban az, így például a plázákban alighanem a legtöbb szutyok nem a relatív könnyen tisztítható vécécsészéknél, na meg mosdókagylóknál gyűlik össze, hanem ott, amire egyrészt kevésbe gondol a takarítónéni, másrészt takarítani is körülményesebb, az meg pediglen maga a csap nyitója. Amire ugyebár mindenki garantáltan rámarkol, ráadásul kifelé menet. Nem véletlenül van kórokozók szempontjából kicsit is kritikusabb környezetekben mindenhol könyékkel billenthetős csap, amit mondjuk egy plázában nyilván azért nem lehetne megoldani, mert egy héten belül gallyra vágnák, így az infravörös kapcsoló egyszeri befektetés, de még így is jobban megéri, azon túl, hogy elegánsabb is. Amit pedig abszolút a legretkesebbnek találtak szinte környezettől függetlenül, az a kilincs, ahogyan az nemrég le is közölték egy neves mikrobiológiai lapban – és nem, természetesen a kilincset a takarító személyzet pont nem takarítja.

Visszatérve az eredeti hírhez, az ugyan nehezen képzelhető el, hogy a szakállban annyi baktérium legyen, mint mondjuk a székletben, mivel a széklet tömegének is egy jelentős része baktérium, azt viszont a kilincshez hasonlóan valószínű, hogy az a szakáll, amelyiket nem mosnak meg rendszeresen, tényleg nagyon szutykos lesz.

Ami a témáról eszembe jutott, hogy mennyi hiedelem lengi körül mondjuk a raszta hajat, hogy precíz legyek, a tincseket. Nem igaz, hogy a haj valamennyi idő után tisztítja önmagát. Pontosabban csak annyira, mint amennyire az igaz, hogy a fülünk belső felülete rendszeresen tisztul – persze, meg lehet várni, amíg kiesik a zsír egy-egy darabban, csak nem számít éppen européer megoldásnak. A fülzsírtól azért gusztább* téma, hogy a raszták a hajukat hogyan tisztítják vagy hogyan nem, amennyire én tudom, attól, mert megmossa valaki, nem esik szét, ha normálisan meg van csinálva és a mosáshoz nem alkalmaz különösebben zsíroldó hatással rendelkező sampont, ennyire egyszerű.

A szakállal alighanem hasonló a helyzet, amit érdemes figyelembe venni, hogy amikor még nagyon elterjedt volt, akkor mások voltak az általános higiéniés szabályok, a népesség immunrendszere, különös tekintettel az antigén repertoire-ra amit egy tartományon belül alighanem nevezhetünk akár civilizációfüggőnek is. Röviden, bármilyen szőrről van szó, ha valaki nem mossa, büdös lesz és feltenyésznek benne mindenféle mikrobák, ennyi! Ha valaki valahol nagyon szőrösödik, az nyáron a faszizzasztó hőségben egyszerűen szedje le.

*a mikrobiológia nem területem, de az világos, hogy ezen a téren tudománytalan valami kapcsán arról beszélni, hogy mennyire undi vagy sem. És abba még bele se mentem, hogy amúgy az összes rasztát utálom, leszámítva azokat, akiket ismerek.

0 Tovább

A vírusvédelem gazdaságtana és jövője - szájbarágó


"Melyik virtusirtó a legjobb? Amúgy olyan kellene, amelyik ingyenes is, tudod, én nem értek hozzá, csak az a lényeg, hogy menjen is." Ez egy igencsak gyakran felmerülő kérdés, amivel kapcsolatban, mielőtt megválaszolnám, gyorsan meg kell jegyeznem, hogy önmagában a vírusirtó, azaz végfelhasználói antivírus termék már jóideje édeskevés, olyat kell választani, ami tartalmaz tartalomszűrőt, személyi tűzfalat, és egyáltalán, minél több olyan funkciót valamilyen formában, amit nagy-nagy rendszerekben is alkalmaznak, csak itt kicsiben. Másrészt, ahogy arra kitérek, amellett, hogy nem lehet kijelenteni egy adott antivírus termékről, hogy a legjobb, azt meg pláne nem, hogy ha most hatékony, majd az lesz több hónap vagy év múlva is. 

mindeközben a világon a Fireeye animációján

Tételezzük fel, hogy az olvasó nem művelte ki magát malware analízis rejtelmeivel kapcsolatban, hanem átlag felhasználóként próbálja meg védeni a gépét a kártevőktől. A vírus, rootkit és malware kifejezéseket minden további nélkül használhatjuk rokon értelmű kifejezésként, a kártevők ezek csoportosítása mára már tényleg történeti az esetek többségében. 

Abban az esetben, ha valaki legalább megkérdezi, hogy melyik a legjobb AV-termék, a jobbik eset, a rosszabb, ugyan talán már kevésbé gyakori, amikor valaki azt vallja, hogy az ő víruskergetője aztán mindent felismer. 

Ahogy írtam, a normális végponti védelmi megoldás, azaz security suite nem csupán vírusirtó motorból áll, hanem tartalmaz olyan elemeket, amik szigorú értelembe véve nem az AV-termék részei ugyan, nyilvánvaló, hogy a gép biztonsága szempontjából legalább annyira fontosak. Például a legtöbb termék tartalmaz olyan funkciót, amelyik figyeli, hogy a felhasználó milyen webhelyet látogatna meg és ha azt észleli, ha olyan webhelyről van szó, amit korábban észlelt, mint kártékony webhely, jelzi ezt a felhasználónak - függetlenül attól, hogy a böngészőnek egyébként is van-e ilyen funkciója vagy sincs. 

 

a Kaspersky threat-mapje szerint sem jobb a helyzet

Hasonló módon, a security suitehoz gyakoran kapcsolódik valamilyen IPS vagy IDS megoldás, ha más nem, olyan, ami figyeli, hogy nem érkeznek-e esetleg töredezett adatcsomagok a hálózat felől vagy éppen egy alkalmazás nem akar-e olyan műveletet végrehajtani, ami egyébként végképp nem megszokott az adott környezetben. 

Maradva a klasszikus antivírus-termékekhez legközelebb eső szoftvereknél, az http://av-comparatives.org/ rendszeresen összeállít részletes elemzéseket különböző, végfelhasználók számára kínált AV-megoldásokkal kapcsolatban, ami nagy segítség lehet a választásban, de semmiképp se mondanám, hogy a konkrét választáshoz bőven elég, még akkor sem, ha a teszteket különböző szempontok alapján végzik el, amik egyikében azt nézik, hogy éles használat közben mennyire teljesít jól egy termék, megint másikban azt, hogy mennyire erőforrásigényes, mennyire strapálja a gépet, megint másik tesztben azt, hogy mennyi falspozitív találatot ad és így tovább. Többek közt azért nem lehet mindössze ennyi alapján dönteni, mert figyelembe kell venni a konrét környezetet, amiben a termék majd futni fog, másrészt van olyan termék, aminek helye lenne az összehasonlítások közt, de mégsincs fenn. Az alatt, hogy különböző környezetek figyelembe vétele, nem csak azt értem, hogy figyelembe kell venni a különböző teljesítményű gépeket, hanem azt is, hogy a felhasználó, amlyik használni fogja, mennyi előismerettel rendelkezik, azaz tudja-e hatékonyan használni a szoftvert olyan módon, hogy nem kell irritálóan sokat foglalkoznia vele, viszont a gépét is megfelelő biztonságban tudhatja, a termék az elvárható mértékben a háttérben, csendben végzi a feladatát és csak akkor rikácsol, amikor az tényleg indokolt. 

Másrészt figyelembe kell venni azt a nagyon kellemetlen tényt, hogy az a védelmi megoldás, ami most még a csúcson van, lehet, hogy néhány idő elteltével már gyalázatosan rosszul teljesít. Még a tavalyi Hacktivtyn Varga-Perke Bálint mutatta be azt az eszközt, amivel víruskergetők hatékonyságát vizsgálta, sokkoló, de több AV termék, mintha nem is lenne, a legfeltűnőbb behatolási kísérleteket sem észleli. 

Az tűnik logikusnak, hogy a legszélesebb körben ismert termékek biztosan a legjobbak is, holott ez nem igaz. Meggyőződésem, hogy több antivírus termék azért örvend nagyon nagy ismertségnek, mert sikerült eltalálnia az igencsak nehezen belőhető szintet a felhasználóbarát kialakítás és a hatékonyság közt. Ugyanis nyilván egy végponti termék beállítópaneljei nem lehetnek ijesztően bonyolultak a felhasználók számára, ebből viszont egyenesen adódik, hogy nem is lehet annyi mindent finomhangolni bennük. 

Platform, platform és platform... Korábban már meséltem róla, hogy amikor iMac-emet vagy a Macbookomat használom, mindkettőn fut több víruskergető is, amik ebben a környezetben nem vesznek össze egymással, de az OSX felhasználók döntő többsége még azzal sincs tisztában, hogy illene bekapcsolni a BSD-lelkű OSX beépített tűzfalát a rendszerbeállításoknál, ami többek közt egy nagyon precíz iptables-konfigurálást végez a háttérben. Víruskereső beállításáról eleve csak ez után van értelme egyáltalán beszélni. 

Sokszor a linuxos felhasználók a legsúlyosabbak, legvitaképtelenebbek olyan szempontból, hogy pusztán azért érzik magukat fenenagy biztonságban, mert valamelyik linux-disztrót használják. A közveszélyes mítosz, ami szerint a linux disztribúciók védettek a vírusokkal és vírus-jellegő kártevőkkel szemben, mindig is mítosz volt, arra pedig nincs általános recept, hogy milyen finomhangolást kell elvégezni egy Slackware vagy egy OpenSUSE disztrón azért, hogy az valóban eléggé biztonságosnak mondható legyen. Másrészt az is meggyőződésem, hogy a linux felhasználók többségének a gépét akár éveken keresztül is átjáróháznak lehetne használni anélkül, hogy abból bármit is észlelnének. 

Ami a Windows-t érintő kártevőket illeti, a drága felhasználó sokszor a legelemibb lépéseket sem teszi meg, mint például az oprendszer rendszeres frissítését. Persze abban az esetben, ha a Windows nem aktivált, nem legális forrásból származik, lehet, hogy az automatikus frissítés emiatt nem fog menni, viszont a MS update oldaláról minden esetben lecibálhatók a frissítések kézzel. Hogy mennyire nem érdekli a többséget a frissítés, arra amilyen szélsőséges, legalább annyira tanulságos eset, hogy a 2008-ban azonosított Conficker worm annak ellenére képes volt 6-7 évig a legelterjedtebb kártevők dobogós helyén maradnia, hogy a felhasználóknak egyetlen (!!) frissítést kellett volna telepíteniük ugyan, ami korrigálja azt a hibát, amit a kártevő kihasznált, de még ezt sem tették meg. A windowsos rendszerek alapértelmezett beállításai is persze általában veszélyesek, túl megengedőek, a tömegeknek szánt oprendszerre természetesen igaz, amit előbb írtam a védelmi termékekkel kapcsolatban, azaz a kényelem és a biztonság közti egyensúly megtalálása kulcs kérdés. 

Kényelem, azaz egyszerűség és a biztonság. Nos, igen. A saját Windowsomon olyan security suite fut, amivel mást biztos a világból ki lehetne kergetni, mert annyira bonyolultnak tűnhet beállítani, hozzáteszem, egyszer kell normálisan beállítani, aztán különösebben foglalkozni sem kell vele. 

Engem már riasztott el antivírus szoftver azzal, mert annyira halálosan bugyuta volt és alig lehetett benne valamit átállítani, ehhez képest persze, hogy ellentétben az általam használttal, a sokkal bénább fenn van az AV-comparatives listáján. Olyan megoldásoknál, ahol egyáltalán nem látni a motorháztető alá, idő kérdése, hogy a felhasználó mikor fog súlyos árat fizetni a kényelemért. Több AV-termék egészen elképesztő dolgokat enged meg magának, például többről kiderült, hogy az AV-motor beengedi a szignatúra alapon felismert vírust, de csak akkor csinál is vele valamit, ha azt valami futtatná, ami hajmeresztő blődség, mert kombinálva olyan módszerekkel, mint a felhő alapú heurisztika, azaz amikor a gép felküldi a szervernek a gyanusnak ítélt fájlt vizsgálatra vagy a viselkedés alapú heurisztika, ami azt vizsgálja, hogy egy folyamat végez-e valamilyen szokatlan műveletet, egyáltalán nem biztos, hogy kiszúrja a kártevő működését az AV-motor, azaz erre nem kellene támaszkodni, a szigorúbb beállítás viszont drámaian megnöveli a szoftver erőforrásigényét. 

Mi lehet tehát a megoldás, ha nem értesz hozzá? Az egyik, hogy bízol a rendszergazdában, amiből mondjuk nem következik egyenesen az, hogy kellő mélységben ő is érteni fog hozzá és nem arra gondolok, hogy képesített malware analyst vagy sem. Láttam már szép nagy szervezeteket, aminél olyan malware-védelmi megoldást vezettek be, amik veszett drágák voltak de legalább jó szarok, ami egészen addig nem tűnt fel senkinek, amíg nem tarolta le a fél világot mindenféle ransomware, azaz váltságdíjszedő malware.  

a Norse szerint sem rózsásabb a helyzet

A vírusvédelem tehát nem választható el az informatikai biztonság többi területétől, kérdezz olyat, aki ért hozzá, ha senki sincs a közelben, akkor marad az AV-comparatives, mint kiindulási pont. 

Hozzáteszem, első látásra gyanusnak tűnhet, hogy hogyan lehet a világ legjobb vírusirtói közt több olyan is, ami egyébként teljesen ingyenes, tipikusan otthoni használatra avagy mitől is ingyenes? Ami ingyenes, az nem feltétlenül rosszabb. A freemium termékeknél általában a felhasználó megkap mindent, vattacukorral-törökmézzel, aztán ha olyanra lenne szüksége, ami nyilván szintén kell, azaz például biztonságosabb netezést lehetővé tevő tartalomszűrő, akkor már a fizetős csomagot kell választania. 

Ami gyakran látott jelenség freemium termékeknél, hogy a freemium a teljes terméktől esetleg csak olyan funkciókban tér el, amik konkrétan irrevelánsak a konkrét felhasználó esetén. így például értelmetlen hatékony spamszűrést emlegetni akkor, ha a felhasználó nem levelezőklienst használt a levelezéshez, hanem webes felületen levelezik, ahogy az elsöprő többség. Gyakran látható és inkább csak a félelemre apelláló marketingszöveg az, hogy egy ilyen termék biztonságosabbá teszi a netes vásárlást, de az már nem derül ki, hogy hogyan. Ugyanis ha ismeretlen zugshopok látogatásánál nem figyelmezteti a felhasználót sem a védelmi termék, sem a böngésző, a felhasználót sem zavarja, hogy egy láthatóan vállalhatatlan helyen adja meg a bankkártyája adatait, akkor nyilván értelmezhetetlen biztonsági featureként az, hogy "biztonságosabb netes vásárlás". Ami még egy hangzatos favorit, az a parental control. Nem tudom, hogy ki hogy van vele, de nekem általában feltűnik, ha olyan webhelyre tévedek, ahol kábszit, kurvákat, fegyvert vagy gyilokpornót lehet rendelni illetve nézni, anélkül, hogy erre figyelmeztetne egy szoftver. Ha bárki úgy gondolná, hogy ez egy roppant hatékony megoldás azért, hogy a netező gyerekek biztonságba netezhessenek, van egy rossz hírem: az esetek többségében a gyerkőc körülbelül akkor már ki tudja lőni vagy meg tudja kerülni a parental controlt, mire megtanul olvasni. 

Ismét más freemium megoldásnál az ingyenes és a teljes verzió esetleg szinte semmiben nem különbözik egymástól leszámítva azt, hogy az egyikhez van támogatás, a másikhoz pedig nincs, ami lehet, hogy annyira nem tűnik fontosnak, de fogyasztói kultúrától függően vannak államok, ahol azok, akik tényleg csak használni akarják a gépet, a részletekkel pedig nem foglalkozni, inkább befizetnek pár garast évente, hogy valami szaki segítsen helyrepakolni a gépet telefonon vagy távoli bejelentkezésen keresztül, ha van valami probléma. Esetleg olyan termékről van szó, aminél a gyártó főprofilját nem is az AV és személyes tűzfal megoldások jelentik, hanem valami teljesen más, például nagyvállalati megoldások, az abból befolyó összeg egy részét költik arra, hogy end-user termékeket fejlesszenek ezzel erősítve a márka nevét és még így is simán megéri. 

Felhasználói tudatosság mindenek felett: tökéletes megoldás valószínűleg sosem lesz, mivel hiába jelzi ki egy védelmi termék, hogy egy emailen érkezett webcím gyanus vagy egy alkalmazás szokatlan műveletet hajtana végre, a felhasználó úgyis arra a gombra kattint, amelyikkel a felugró ablak leggyorsabban eltüntethető az útból. Ahogy a legtöbb helyen a felhasználók úgy gondolják, hogy a biztonság szavatolása csak az IT-sek dolga, úgy a legtöbb helyen az alkalmazottnak semmiféle kártérítést nem kell fizetnie olyan kárért, amit ők maguk okoztak, azaz például egy riasztás ellenére engedett lefutni egy ismeretlen alkalmazást vagy egy nyilvánvalóan scam emailben rákattintottak egy fertőzött webhelyre mutató hivatkozásra. 

Tudjátok mit? Nem csak rossz oldala van annak, hogy az utóbbi néhány hónapban két nagy magyar orvosi egyetemen is rommá fertőzték a gépparkot ilyen-olyan ransomware-ek, ezzel számos kutató dokumentumait végérvényesen gallyra vágva - holott ez megelőzhető lett volna. Ilyenkor mindig úgy gondoljuk néhányan, hogy ebből aztán már csak-csak tanulnak majd valamit az érintettek, még mindig jobb, mintha mondjuk 5 év múlva, egy még durvább malware szedi szét a házat, aminek az eredménye végülis nem kevés értékes kieső munkaóra. Amit sokan nem vesznek észre, hogy minden állami költségvetésű szerv végülis a közös kasszábból gazdálkodik akkor is, ha éppen megelőzhető vírusfertőzések után kutatási adatok helyreállításával szerencsétlenkednek az alatt az időt alatt, amit lehetne értelmesebben is tölteni. 

Valahogy ez a privát szektorban nagyon sok helyen nem kérdés, hogy beengedni egy vírust olyan módon, hogy az alkalmazott valamelyik művelettel eltér az informatikai biztonsági házirendtől, ugyanúgy következményeket von maga után, mintha véletlenül megöntözi forró csokival a céges projektort. Szent igazság, hogy a biztonságtudatosságot még mindig annál inkább veszik komolyan, minél közvetlenebb módon látható egy-egy incidens következtében adódó kár, legyen szó akár egy vírusfertőzésről, akár célzott támadásról

A security suite termékek jövője egyértelműen olyan irányba kell, hogy menjen, aminek a lényege, hogy a felhasználót önmagától védik meg több-kevesebb sikerrel, arra még jóideig nem lehet számítani, hogy a felhasználót tekintsük értelmes lénynek a géphasználat szempontjából, de ez nem a security suite-ok sajátossága. Ennek első látványos megjelenése a Windows-termékekben megjelenő UAC volt az OSX-eken pedig alapértelmezés szerint időről időre csökkentették a felhasználók jogosultságait avagy ahogy a művelt kínai mondaná, principle of least privilege

Ahogyan az is várható, hogy a végponti biztonsági programcsomagok piaca olyan módon fog diverzebbé válni, hogy az egyik futtatása a bevallottan az erősebb, a másik a gyengébb hardverrel rendelkező gépeken ajánlott, az egyik bolondbiztosabb, a másik kevésbé, de nagyobb finomhangolásra ad lehetőséget, illetve az egyre gyorsabb netes penetráció előnyeit kihasználva az egyik jobban támaszkodik a felhőre, a másik kevésbé. Ezen kívül várható, hogy azokon a helyeken, amiket kevésbé tartottak kritikusnak vírusvédelmi szempontból, a helyi rendszergazda vagy IT team bekeményít és valamilyen módon szankcionálja, ha egy alkalmazott hülyeségére vezethető vissza a sikeres fertőzés. 

A fenti animációkon az látható, ahogy egy-egy víruslabor, önmagát általában csupasz Windows XP-nek álcázó honeypot szerverét mennyi és milyen típusú támadás éri, ehhez adódnak még a felhasználók gépei által automatikusan elemzésre felküldött fájlokból és viselkedésmintákból származó adatok. 

könyv tipp: Szőr Péter - A vírusvédelem művészete; Hacking Exposed: Malwares and Rootkits  
térképek: Krebsonsecurity Blog, animáció meg van még, mondjuk itt

0 Tovább

Titkos információszerzés - változatok egy témára


Bármilyen informatikai eszközről is legyen szó, egyszerűen minden felület potenciális sebezhetőséget jelent, amin keresztül az eszköz információcserét folytat a külvilággal. És persze mindig lesz olyan, amire nem gondolunk. Ideértve az ember pszichikai nyomait is.

Az iOS eszközök Sirije és az androidos mobilok Google Now funkciója egy roppant vicces dolog, már csak azért is, mert ahogyan azt korábban is sejteni lehetett, nem csak az ember számára hallható hanggal és nem csak a mobil tulajdonosa tud utasításokat adni a mobilnak, hanem a funkción keresztül hakkolható a mobil targetált elektromágneses sugárzással is, 16-17 láb távolságból, esetlegesen anélkül, hogy a mobil tulajdonosa ebből bármit is észlelne, ahogy az olvasható a Wired nemrég megjelent cikkében is, ami arra is kitér, hogy francia kutatók egyébként bagóért beszerezhető eszközökből dobták össze a támadáshoz szükséges eszközt.

A mai kütyük egyébként többé-kevésbé árnyékoltak az elektromágnesességgel szemben, könnyen belátható, hogy a mikrofon eleve nem lehet annyira árnyékolt, mint a többi rész, annak meg nincs sok értelme, hogy folyamatosan figyeljen. Ebben a nem túl zajos videóban azt mutatják be, hogy az egyébként lezárt mobilt hogyan is oldották fel gyakorlatilag a "távoli parancsvégrehajtás" ezen kevésbé ismert módszerével. 

Korábban már olvashattunk példát, hogy egészen szokatlan átvivő közeg is alkalmas lehet egy támadás kivitelezésére, pár évvel korábban még teljesen őrült ötletnek tűnt, hogy a processzor által végzett titkosítási folyamatokat a szó szoros értelemben lehallgassák, aztán simán megcsinálták. A kriptoanalízis ezen formájáról egészen emberi nyelven írt wiki-szócikk erre

Nyilván túl nagy sansza nincs annak, hogy ilyen támadást alkalmazzanak is, hacsak nem nagyon nagy értékű információhoz próbálnak hozzáférni, másrészt a támadóknak fizikailag is közel kell kerülniük az eszközhöz.

Amit érdemes tanulságként levonni – már megint – hogy le lehet ugyan költöztetni mondjuk az összes gépet a pincébe, aztán a falat kibélelni ólommal, a mobilt meg Faraday-bagbe tenni, ha felmerül az esélye annak, hogy valaki azt próbálja meg támadási vektorként alkalmazni mondjuk valakinek a leghallgatására, értelmetlen. Mindig lesznek olyan módszerek, amikre a személy nem gondol, mi több, még a kutatók sem, tökéletes biztonság akkor lenne kialakítható, ha mindent elzárnánk a külvilágtól, ami információt hordoz. Ez egyrészt nem megvalósítható, másrészt nem is kell megvalósítani. Amikor azt írtam, hogy "mindent", úgy értem, hogy az informatikai eszközökön túl még a felhasználót is, aki tud valamilyen információt. Ugyanis egy személy gyakorlatilag a puszta létével pszichikai nyomok hatalmas forrása lehet, amire két egyszerű példát is írok.

Az egyik, hogy máig az egyik leghatékonyabb eszköze a puhatolásnak [kriminalisztikai értelemben: olyan adatszerzés, amikor a másik nem is tudja, hogy adatot szolgáltat] az, ha a social engineer, a fedett nyomozó vagy a hazugságvadász úgy beszélget a másikkal, hogy a beszélgetést egyébként a másik teljesen spontánnak érzi és egy rakás irreleváns kérdés közé, a beszélgetés közepére bök be egy fedett nyomozó egy arra irányuló kérdést, amire konkrétan kíváncsi, persze nem feltétlenül direkt kérdést kell elképzelni. Az eredmény: a másik még csak észre sem veszi, hogy valamit konkrétan elmondott vagy éppenséggel olyan információkat kotyogott ki, amiből már kimozaikozható az, amire mondjuk egy nyomozó kíváncsi, megerősít vagy gyengít egy előzetes hipotézist.

összetett, de nem úgy, ahogy elképzelitek

A másik példa, ami mutatja a pszichikai nyomok hatalmas információértékét, azok a nyomok, amik a nyelvhasználatban nyilvánulnak meg. Hiába próbál valaki úgy blogot írni például, hogy az technikai szempontból gyakorlatilag a legdurvább paranoiditásig menően anonimizált, a nyelvhasználata elárulhatja a szerzőt akkor is, ha nem is azokat a szavakat vagy szóösszetételeket használja, amik rá jellemzőek is máshol is fellelhetők a neten, mondjuk a személyes blogján vagy a magánlevelezésében. Ugyanis a mondatszerkesztési stílus és a mondatok közti logikai összefüggések strukturálása többek szerint olyan egyedi, mint az ujjlenyomat (az idiolektus egyfajta része), alighanem az adott szerző által írt témától is független. Azaz szöveganyag alapján azonosítani egy szerzőt a neten elvben csak számítási teljesítmény kérdése. Sok esetben ezerszer prózaibb a helyzet, egyszerűen a szóhasználat alapján felfedhető a szerző kiléte.

A titkosszolgálatok története pedig tele van olyan sztorival, amikor egy módszer nem került egy garasba sem, ámde annál ötletesebb volt és félelmetesen egyszerű, mint például az, hogy a KGB ügynökei hogyan azonosították a CIA ügynökeit, végülis ugyancsak pszichikai nyomok alapján.

a világ egyik legismertebb DJ-jének olyan képe, ami millió meg egy helyen fenn van a neten, a Google Képkereső pont ezt a képet mégsem találja. Miért? Na, annyi könnyítést adok a megfejtéshez, hogy a találatokból lehet következtetni rá, hogy milyen kétklikkes manipulációt végeztem a képen

0 Tovább

DNS-hibajavításért Nobel-díj - magyarázom is


Na melyik tudomány hekkelte be magát a Nobel-díjas felfedezések közé ismét? Az elmúlt 10-20 évet elnézve gyakorlatilag minden évben osztottak olyan Nobel-díjat, amit a kutatók valamilyen módon a molekuláris biológia módszereivel, arra alapozva folytattak vagy konkrétan egy molekuláris biológiai folyamatot tisztáztak.

Mielőtt csukafejest ugranék  a molekuláris szintű mechanizmusok tárgyalásában, érdemes megnézni az alábbi videót a jelenség emberi oldaláról, nevezetesen egy kisfilmet a xeroderma pigmentosumról.

Megint más esetben, a Neill-Dingwall-szindrómánál, más nevén Cockayne-szindrómánál ugyanúgy arról van szó, hogy egy örökítőanyagban bekövetkezett hibát nem ismernek fel az erre szakosodott enzimek, persze más típusú hibát, a klinikai kép is teljesen más.  

Idén Tomas Lindahl, Paul Modrich és Aziz Sancar a DNS-t érintő hibajavító mechanizmusok és ezek esetleges meghibásodásaik mikéntjének tisztázásáért kaptak Nobel-díjat, azonban nem orvosi-fiziológiait, hanem kémiait, lényegében tényleg minden további nélkül nyerhették volna az egyik és a másik kategóriában egyaránt.

A lényeget fussuk át még egyszer: az élő sejtekben lévő, csigalépcsőként elképzelhető DNS, aminek a lépcsőfokait egymással szemben, párban elhelyezkedő bázisok képzik, a köztük lévő belső kötés az egyik, ami a szerkezetet stabilizálja, a másik stabilizáló kötés pedig a csigalépcső külső vázát adó, cukor-foszfát gerinc egységeket összekapcsoló kötés hosszában. Elmagyarázni sokkal nehezebb, mint mutatni, tehát valahogy így:

A DNS rendkívül kompakt formában van jelen, de szükség esetén fellazul, majd a szálból a szükséges szakaszról, mint genetikai információt hordozó részről, egyfajta lenyomat készül, ez az RNS. Egy-egy ilyen szakasz feleltethető meg általában egy-egy génnek (transzkripció). Az RNS szálra rákapcsolódik az ún. riboszóma, ami a hordozott információ alapján elkészít egy génterméket, általában fehérjét (transzláció), ami végülis az azonosítható örökletes tulajdonság lesz. Sejtosztódáskor a teljes DNS-ről másolatot kell készíteni, meg kell kettőzni azt, aminek a másodpéldánya az új sejtbe kerül. A molekuláris biológia lényegében ezeknek a folyamatoknak a részleteivel foglalkozik.

Régóta ismert, hogy a transzkripció, a transzláció és a duplikáció részfolyamataiban néha előfordulnak hibák, mégpedig olyan hibák. Persze a könyvekben több külön fejezet foglalkozik azzal, hogy a különböző hibákat hogyan ismeri fel és javítja ki a rendszer, megjegyzem, elképesztő bravúrossággal és pontossággal. Ha ez nem történne meg, a DNS-ünk információtartalma össze-vissza változna a sejtosztódások alkalmával avagy hiába lenne pontos egy-egy génre vonatkozó információ, a géntermék a transzkripció vagy a transzláció hibája miatt végeredményben hibásan jönne létre, összességében igen rövid idő alatt az élettel összeegyeztethetetlen vagy legalábbis nagyon súlyos állapot alakulna ki. A hibajavítási folyamatokat nevezzük repair-nek. Előfordul, hogy a repair bizonyos esetekben nem működik, de általában nem a hibajavító képesség teljes hiányát, csak csökkent működését kell elképzelni.

Meglehetősen szerteágazó témáról van szó és természetesen nem úgy kell elképzelni, hogy három kutató tárta volna fel az összes típusú hibajavító mechanizmust egy az egyben.

Ahhoz, hogy a DNS kellően stabil legyen, bizonyos játékszabályoknak érvényesülniük kell, így például a létraszerű molekulában az adenin bázissal szemben csak timin lehet, míg a citozinnal szemben csak guanin. Abban az esetben, ha ebbe hiba csúszik a DNS elkészítése során, annak egyik közvetlen következménye, hogy a DNS kevésbé lesz stabil, úgy is fogalmazhatnék, hogy a csigalépcső nem a megfelelő módon feszül, másrészt nyilván amikor a leolvasás, RNS-re való átírás történik, hibás információ fog az RNS lenyomatba kerülni, ha pedig a DNS megkettőződésére van szükség, a másolat is hibás lesz. Teljesen érthető, hogy az evolúció a rendszert úgy fejlesztette, hogy a hibákat azonnal észleljék és javítsák az erre specializálódott enzimek. Azaz ha például egy adeninnel szemben a láncban nem timin épül be, hanem bármi más, azt enzimek észlelik, kivágják és beillesztik helyette a megfelelő bázist, ez az ún. bázis-excíziós repair, de előfordul, hogy nem csak a bázist kell lecserélni, hanem a csigalépcső külső gerincét adó cukor-foszfát részt is, ez a nukleotid-excíziós repair. Ez persze még mindig egyszerűsítés, valójában például nem lehetséges egyetlen nukleotidot kivágni, csak egy teljes szakaszt, amihez tartozik, majd a helyére szintetizálni kell egy megfelelő szakaszt a helyes nukleotiddal, ez lényegen nem változtat. (Hivalalos press release erre: http://www.nobelprize.org/nobel_prizes/chemistry/laureates/2015/popular-chemistryprize2015.pdf ) Bizonyos esetekben egy-egy élőlénynél éppen azok az enzimek hiányoznak vagy működnek alul, amiknek a szabást-varrást-stoppolást-hibajavítást kellene normálisan végezniük. Abban az esetben, ha nem az egész életet végigkísérő hibáról van szó, hanem arról, hogy súlyos hiba történik a transzkripció vagy a transzláció folyamatában és azt nem észleli és korrigálja semmi egészséges emberben, egy élő sejtben – ez egyébként igen ritka – a sejt az utolsó pillanatban vagy észreveszi magát, aztán öngyilkos lesz, azaz apoptotizál megint más esetben pedig hibásan működik, osztódik, az utódsejtekbe eleve hibás információ kerül, általában valamilyen daganatos betegséget alakul ki. Persze előfordul olyan is, hogy egyetlen eltévedt bárányból több tízezer sejtből álló kolónia alakul ki, amelyik aztán osztódik, ha kell, ha nem, kedvezőtlen körülményeket kialakítva abban a környezetben, amiben az adott szövet normális sejtjei élnek, a jelenséget az immunrendszer felismeri és a tumoros sejteket kivégzi. Ilyen előfordulhat tehát egészséges embernél is, bizonyos környezeti tényezők viszont fokozzák az esélyét, hogy bekövetkezzen, ilyen tényezők például az UV sugárzás vagy a dohányzással beinhalált kátrány.

Van, akinél már a születéstől fogva a hibajavítás elmarad. Maga a hibajavító funkció nyilván nem pótolható, a betegeket azokkal a betegségekkel kezelik, amik a repair hiányának közvetett következményei.

A posztban látható első videóban konkrétan a DNS szálban emlékeim szerint timin-párosok jönnek létre, amit nem észlel és javít semmi, ennek következtében, az utódsejtekbe is tropa DNS kerül. Márpedig amikor a testet napfény, ilyen módon több UV éri, a timin-dimerek létrejöttének esélye drámaian nő, ezért ha ezt a típusú DNS károsodást semmi sem korrigálja, az súlyos bőrelváltozást okoz, mivel az UV elsősorban annak szöveteit érinti, rosszabb esetben pedig bőrrák alakul ki.

A második videóban bemutatott betegség molekuláris szintű oka, hogy a DNS megkettőződésekor olyan nukleotidok kerülnek egymással szembe, amiknek egyáltalán nem szabadna, azaz eltérnek az A-T, G-C-szabálytól, azonban ez a mismatch javítatlanul marad, normális esetben így történik:

A repair folyamatokat egészen jól, animációs filmekkel bemutató Youtube-csatorna itt érhető el,  természetesen az érhetőség kedvéért az ilyen folyamatokról írni vagy épp animációt készíteni csak jelentős egyszerűsítésekkel lehet. Amit vegyünk észre, hogy az önmagában genetikai tulajdonság lehet, hogy egy szervezet genetikailag instabil, másrészt éppen sok esetben a repair alulműködése jelenti az evolúció molekuláris szintű alapját, azon keresztül, hogy utat enged a mutációknak.

0 Tovább

Öreg iPhone, nem vén iPhone – tuning


Amíg rá van pörögve a fél világ a legújabb iPhone-ra, van aki elvből, van, aki nettó gyakorlati megfontolásból addig nem cseréli le a meglévő iPhoneját amíg az nem válik használhatatlanná.

Márpedig az könnyen lehet, hogy soká lesz, oprendszeri frissítést pedig a nagyon súlyos sebezhetőségeket orvosló hotfixeken kívül nem adnak ki hozzá, ugyanakkor mára határozott lassulás tapasztalható a régebbi, frissített iPhone-okon, ellentétben azzal, hogy korábban az Apple foggal-körömmel ragaszkodott hozzá, hogy egy Apple-eszköz nem lehet érezhetően lassabb egy frissítés után akkor sem, ha egyébként régi. A nagyon régieket pedig egyszerűen nincs lehetőség frissíteni.

Mivel attól Apple az Apple, az újabb almás mobilom annak ellenére, hogy öt éves, ugyanúgy működik és alighanem működni is fog egy ideig, ha valaki hasonló cipőben jár, akkor érdemes néhány trükköt alkalmaznia, hogy a vén mobil is elfogadható sebességgel működjön. Azaz hogy kell kikapcsolni azokat a felesleges szarokat, amik csak eszik a rendszererőforrásokat. Kizárólag a hagyományos módon elérhető beállítási lehetőségekre térek ki, azaz olyanra nem, amit az oprendszer BSD-szívcsakrájába való beletúrással lehetne elérni - ha már úgysem jön hozzá frissítés, majdnem mindegy, nem? A leírt tweakek nem jailbreakelt eszközön, iOS 7.x-en biztosan működnek, az Apple-fanatikus cikkek többségében pedig pont ezek nincsenek leírva.

Ó, a Spotlight Search: milyen szép is, ha a megfelelő kulcsszó töredékének a beírásával is megjelenik az az alkalmazás, levél és egyáltalán bármi, amit hirtelen nem találunk, ugye? Amit viszont nem árt figyelembe venni, hogy az eszköznek mindent, aminek azonnal kereshetőnek kell lennie, a maga módján fejben kell tartania, ami folyamatosan igencsak számításigényes bravúrokat igényel, lévén, hogy nincs olyan eszköz, ami mindig mindent a memóriában tárolna, de ahhoz, hogy pl. egy gyors kereséshez a memóriába varázsolja azt, amit kell, igencsak sok követ meg kell mozgatnia a rendszernek, azaz eléggé sok bitet kell talicskáznia össze-vissza a háttérben.

Megoldás: csak azokra a kis memóriaigényű adatforrásokra engedélyezzük a spotlight search-öt, aminél tényleg szükség van rá, ezen kívül tartsuk szem előtt az ésszerűséget. Ha például a Mail alkalmazásban úgyis van saját kereső, értelmetlen itt is indexeltetni.

Az iOS 7 megjelenésével még több, felhasználói élményt fokozó effekt került a rendszerbe, ami valóban fokozta a felhasználói élményt olyan iPhoneok esetében, amik rogyásig voltak memóriával és erős GPU-val szerelték őket, akik régebbit használnak, azoknak aligha volt élmény az, hogy minden lassabban érhető el, csak azért, mert a képernyőn az effektek kifinomultabbak. Ami kétségkívül jó tulajdonsága, hogy szépen le lehet kapcsolni és az életbe nem kell vele foglalkozni, persze a korábbi verziókból megszokott effektek ettől még maradnak.

Jó ötletnek tűnik ugyan, hogy egy alkalmazás a saját adatait akkor is frissíthesse, amikor egyébként a háttérben fut, mi pedig esetleg közben használunk teljesen más alkalmazást, az egész tipikusan fölöslegesen zabálja az erőforrásokat, ami az újabb iPhone-oknál nem érződik, viszont mindez használja a hálózatot és túráztatja az akkumlátort is.
Az Apple a végfelhasználók számára a mobileszközei esetén végképp nem tette egyértelművé és egyszerűen ellenőrizhetővé, hogy mit jelent pontosan, ha egy alkalmazás a háttérben fut, tétlen, folyamatosan fut valamilyen módon a háttérben vagy egyáltalán nem fut. Az világos, hogy a rendszer igen kifinomultan figyeli, hogy melyik alkalmazást milyen gyakorisággal használjuk, ennek megfelelően a gyakran használt appok fürgébben is ugranak elő. Ezért van, hogy elképzelhetetlen az az Android-környezetből ismert jelenség, hogy kevés memória esetén lelassul az egész és alkalmazásokat kézileg kell bezárni. Iphone esetén míg például a Hangouts akkor is figyel és fogad hívásokat, ha épp bekapcsoltuk a telefont és el sem indítottuk az alkalmazást, ezzel szemben mondjuk a Skypeon csak akkor vagyunk hívhatók, ha az utolsó megnyitás után nem volt konkrétan tétlen, hiába van ott a futó alkalmazások közt. Hasonlóan zavaros, hogy mit jelent az, hogy egy alkalmazás a háttérben ügyködhet-e. Nos, mivel a jólnevelt alkalmazás egyébként is úgy van megírva, hogy amit a felhasználó nem mentett el, amikor érzékeli, hogy épp a felhasználó bezárja, elmenti az adatot, így például az Evernote vagy a Notes egy feljegyzést ment akkor is, ha csak bezárjuk, ehhez nem kell a háttérben futnia. A példánál maradva, ha azt szeretnénk, hogy a következő indításkor már a máshonnan megejtett szerkesztések is azonnal láthatók legyenek, akkor ezt ez a megoldás biztosítja, az esetek többségében viszont semmi szükség rá, így kikapcsolható. Ha a háttérben nincs frissítve, csak akkor frissíti pl. az Evernote a jegyzeteket, amikor legközelebb indítjuk, ennek megfelelően lassabban indul, de közben a rendszer annyival lesz gyorsabb, amikor a konkrét alkalmazás nem fut, de másvalamit használunk. Azaz igaz, egy-egy indítás több időt fog igénybe venni, például a Facebook vagy a LinkedIN nem azonnal mutatja a fal legfrissebb állapotát, hanem az indításnál frissíti azt, erre egyébként is csak akkor van szükség, ha az appot használjuk.

Vegyük észre, hogy az előző a helymeghatározási funkcióval is összefügg. Azaz egy háttérben futó alkalmazás rendszeresen lekérheti a geoinfókat, sokszor fölöslegesen, ami tovább zabálja az erőforrásokat. Több szállodafoglaló app van, ami még abban az esetben is, ha meg se nyitottuk és otthon ülünk, a háttérben rendszeresen megnézi, hogy hol vagyunk, hogy annak megfelelően, közelben lévő szállodát tudjon ajánlani, a leggyorsabban, ha megnyitnánk. Nos, ha mondjuk valami elborult vidékre utazunk, hasznos lehet, hogy helyi információkat figyelembe véve és a leggyorsabban jelenjen meg a kínálat, nyilván ez a ritkább eset.

Az Assistive Touch bekapcsolásával viszont kapunk plusz egy Home gombot, ami amellett, hogy a valódi Home gombot kíméli azon keresztül, hogy azt ritkábban kell nyomkodni, mivel amellett vagy helyett is használható, gyorsan előcibálhatóvá tesz olyan lehetőségeket, amik gyors telefon esetén egyébként is gyorsak, lassúnál viszont határozottan lassabbak, ilyen például a multitasking, ráadásul egyéni gyorsindítók is beállíthatók ún. gesztúrák rögzítésével.

Az, hogy különböző alkalmazásokban személyre szabott reklámokat jelenít meg, inkább privacy szempontból érdekes, viszont annak is megvan a maga számításigénye, hogy gyűjtse a felhasználói szokásainkat és ennek megfelelően jelenítse meg a testre szabott reklámokat, amikor kell. A dolog kísértetiesen hasonlít a Google hirdetés-perszonalizációjához: egy totálisan eldugott helyen, de kikapcsolható.

Ha van valami, ami nem változott az iPhone-ok evolúciójában, az az, hogy az egyik legnagyobb akkumlátorgyilkos a levelezőalkalmazás. Ahogy több helyen is olvasható, ha több olyan postafiók is be van állítva, aminek a tartalmát rendszeresen nézegetnie kell a rendszernek és jeleznie, ha levelet hozott a posta, drámaian gyorsabban merül az akku. Ami viszont fontos, hogy fiókonként külön-külön állítható be, hogy a tartalmukat a rendszer milyen időközönként ellenőrizze, esetleg soha, csak amikor kézileg nyitjuk meg vagy éppenséggel a funkciót támogató szolgáltató push-üzenetként értesítsen-e egy-egy új emailről. Gondolkozzunk kicsit gyakorlatiasan: ha valakinek überelhetetlenül sürgős valami, az úgyis fel fog hívni, nem pedig emailt ír vagy SMS-t. Ha nem olyan témáról van szó, ami eszelősen sürgős lenne, akkor úgyis ráér addig, amíg legközelebb kézbe veszem a mobilom, amelyiken látom, hogy olvasatlan email van a postafiókban, a boríték ikonja melletti számból, aztán elolvasom a levelet. Ez esetben viszont teljesen mindegy, hogy a levelek rendszeresen negyedóránként, félóránként, óránként töltődnek le vagy gyakorlatilag azonnal, mert IMHO normális ember úgysem fog gyorsabban válaszolni, mert gyorsabban értesült egy új emailről. Ha belegondolok, hogy mennyi levél érkezik hozzám naponta, egy fél fejezetet nem tudnék elolvasni egy könyvből vagy éppen teljesen esélytelen lenne koncentrálni normálisan bármire is, ha azonnal megnézném az emailjeimet, amikor azok érkeznek. Nem csak akkugyilkos, de értelmes tevékenységet végző ember számra értelmetlen is a levelek túl gyakori auto-fetchelése, óránkénti beállítás bőven elég. Hasonlóan vagyok a Facebook-üzenetekkel, a Messengert elvből nem telepítettem, aki írt, attól kéretik szépen megvárni, amíg gép előtt leszek vagy felhív. Az alapértelmezett push-t mindenhol érdemes kikapcsolni a levelezőalkalmazás beállításainál.

Apple-eszközt használni iCloud nélkül elvben lehet, gyakorlatilag nagyon nem érdemes. Ehhez viszont kapcsolódik egy rakás értelmetlen trágya is, amit vagy használunk vagy nem, esetleg használat közben megszokunk. Nincs általános recept, nekem jó, ha a képek azonnal megnézhetők a gépen is, mivel azok ugye automatikusan töltődnek a felhőbe, ha használjuk [ezért halálosan ostoba a nagyokos Apple-fanoknak az az érvelése, hogy miért nem nagyobb az újabb iPhone  háttértára - mert arra ott az iCloud, csókolom! Ha ott fenn van akár a fotó, akár a videó, már törölhető a mobilról.]. Ugyanakkor most komolyan, nevezze már meg valaki 5 ismerősét, amelyik az Apple levelezőszolgáltatását használja! Na ugye, alighanem mi sem használjuk, valószínűleg fölösleges is, kilőhető, az meg most nem ide tartozik, hogy egyébként sem túl bölcs rajta levelezni, mert amiről az Apple úgy gondolja, hogy spam, az a levél az életbe nem lesz meg.

A billentyűzárnak látszólag nincs sok köze a teljesítményhez, figyelembe kell venni, hogy nem azonos a képernyőzárral, - azaz amikor a mobil egyszerűen lekapcsolja a képernyőt - és a passcode által védett billentyűzár, ami csak megadott jelszó vagy számkód helyes megadása esetén engedi a mobilt használni. A kettő nem feltétlenül azonos, az előbbi lehet rövid idő, az utóbbi pedig értelemszerűen több perc, azaz például csak akkor kérjen billentyűzárat, ha a tétlenség elérte az 5 percet, addig viszont a mobil szabadon feloldható, nem is eszi az akkut a kijelző, ugyanakkor a szükségesnél gyakrabban sem kell bekalapálni a billentyűzárat.

Nem a teljesítményhez, hanem kőkeményen a usabilityhez tartozó kérdés a térkép angol feliratozása, ami addig nem feltűnő, amíg nem utazunk nagyon messzire. Nos, tételezzük fel, hogy valaki meg elutazik, de nemhogy az ottani nyelvet nem beszéli, hanem még a helyi ábécét sem ismeri. Még én sem merném bevállalni azt, hogy az alkalmazás Moszkvába utazva a térképet kizárólag cirill betűkkel feiratozza, ahogy arab országba utazva sem azt, hogy kizárólag arabul, még akkor sem, ha már bőven a 20. században egyszerűsített arabot használják, amit ismerek valamennyire. Például egy háromszáz évvel ezelőtt élt író, akiről elneveztek valamilyen közterületet, nem fogják a nevét csak azért az új, a 20. századi, egyszerűsített arab nyelven kiírni, hogy a térképalkalmazások használhatóbbak legyenek. Az más kérdés, hogy aki távoli országba utazik, egy ottani térképalkalmazással szinte biztos, hogy jobban jár, Oroszország esetén mondjuk ilyen a Yandex Maps. Az alapértelmezett beállítás viszont az, hogy az iOS beépített térképe a helyi nyelven feliratozza a térképet, angolul ne. Akárhogy is, erősen érdemes bekapcsolni az angol feliratozást. Ha kénytelen lennél tárgyalni mondjuk egy reptéri urándetektor vezérlőszoftverének frissítéséről Dubaiban vagy Moszkvában, alighanem a helyi illetékesekkel szivesebben beszélnél angol nyelven, hiába gagyogsz oroszul vagy arabul.

Külön posztsorozatot érne meg, hogy miért érdemes a DNT-t  lekapcsolni és a böngésző helyben tárolt adatait néha törölni. Akármilyen környezetről is legyen szó, ha az adattárolást kell megoldani, nem csak a nagy mennyiségű adat, hanem a sok, elaprózott adat kezelése is számításigényes, márpedig a böngészők gyorsítótára tipikusan ilyen.

Hosszú lenne fejtegetni, másrészt messze nem a területem, de éppen az előző indoklás miatt azt a gyorsítótárat is érdemes üríteni néha, ami ugyanitt "Website Data" néven jelenik meg.

Egyébként az a kérdésfeltevés, hogy "Milyen telefont érdemes venni?" vagy épp "Melyik a legjobb?" a többség tudatában hitkérdés és nem, attól, mert valaki ki tud rootolni egy androidos mobilt vagy jailbreakelni egy iPhone-t, attól még nem ért hozzá. De tényleg, mennyi olyan ember van, akivel érdemben lehet vitázni arról, hogy mindennapos használathoz, üzleti környezetben való használathoz vagy  melyik a legalkalmasabb és miért?

Az ön- és közveszélyes Android ugyan tipikusan sokak tudatlanságára játszva éppen fordítva szokta mondani, de nem 2-3, hanem 5-7 éves lemaradásban van az iOS-hez képest, nincs általános recept arra, hogy milyen mobilt érdemes választani, ezért példaként írok néhány forgatókönyvet.

Ha megkérdezik tőlem, hogy egy céges flottához milyen céges mobilt ajánlanék, ahol számításba kell venni, hogy az alkalmazott esetleg elhagyja vagy célzottan ellopják tőle az eszközt azért, hogy arról adatokat nyerjenek ki, ugyanakkor a mobil mégsem lehet veszett drága, mert kapásból vennének belőle 300 darabot, mégis az Androidot ajánlanám. Igaz, hogy normálisan megvalósítva az operációs rendszer beépített funkciójaként a háttértár titkosítása csak a 4.3-4.4-től* létezik, ami laza 4 év lemaradás az Applehöz képest, ahol az iPhone 3GS-től kezdődően mindben alapértelmezés szerint titkosított** a teljes adattartalom, ráadásul nem opcionálisan, hanem kapcsolhatatlanul. A választás azért esne mégis az Androidra, mert relatív olcsó és számtalan olcsó távmenedzsment szoftver vásárolható hozzá, amit a saját megoldásaival kombinálva egy cég még jobban testre szabhatna később.  

Ha megkérdezne egy rokonom, hogy milyen mobilt vegyen, azt mondanám, hogy iPhone-t, mivel stabil, gyors, sosem hal le, para pedig akkor sincs, ha ellopják tőle, mivel a rajta lévő adattartalomhoz hozzáférni szinte lehetetlen a billentyűzár ismerete nélkül.

Ha olyan cég kérdezne, amelyiknél a céges csapatmunka minden részét valamilyen Microsoftos megoldással végzik jóideje és azzal is folytatnák, akkor nem túl drága Windows Phone-os mobilokat javasolnék. Igaz ugyan, hogy idővel elérhetőek lettek vagy lesznek más platformokon is azok az eszközök, amik tipikusan a MS üzleti megoldásai, mint mondjuk a céges chatnek nevezhető Lync, a csapatmunka svájcibicskájaként működő SharePoint vagy a levelezőrendszerek luxusverdája, az Exchange, ezek nem meglepő módon Microsoft-termékként Windows Phone-on működnek a legjobban. Hasonlóan ahhoz, hogy iPhone-on is lehet a Safarin kívül más böngészőt használni, csak éppen lassabb lesz. így például a MS Exchange postafiók beállítható Androidon is, lassú lesz, mint a vesztés.

Azaz elvben minden komoly szolgáltatás vagy alkalmazás létezik általában több platformra is, csak a teljesítményben vannak elképesztő eltérések, ezen kívül hosszú távon gondolkozva a költséghatékonyság és időtállóság eléggé erős szempont.

Ha már mobilok adatitkosítása, két lábjegyzettel zárnék.

*az Android esetén az első, de nem túl komolyan vehető titkosítás, mint natív operációs rendszeri funkció, a 3.0-tól létezik, ami pedig a komolyabb kriptomegoldást jelenti, a 4.3-ban jelent meg, de anno nem tartott sokáig az öröm, mert a legújabb verzión is lazán fel lehetett pattintani a titkosítást, a módszert amúgy elsőként magyar kutatók hozták nyilvánosságra 
**az iOS rendszerek esetén a ma elterjedten használt verziók terén nem tudok róla, hogy találtak volna kihasználható hibát a  titkosított adatok kinyerésére. Ez a gyakorlatban nem jelenti azt, hogy hozzáférhetetlenebb: idevágó kérdés, hogy minden főverziónál találnak valami arcpirító baromságot, amin keresztül a billentyűzár ismerete nélkül, valamelyik kényelmi funkción át is feloldható a mobil, ezeket a hibákat rendszerint azonnal javította az Apple.

Egy idén nyáron megjelent sokkoló kutatás ugyan az andoridos mobilok esetén igazolta,  gyakorlatilag belátható, hogy platformfüggetlen tulajdonság, hogy ha a felhasználók számsorként túl egyszerű billentyűzárat vagy feloldási mintát állítanak be, mindegy, hogy a mobil oprendszerének gyártója milyen módon valósította meg az adatok titkosítását, pusztán számokból álló billentyűzár esetén 8 számjegyűnél rövidebb kód egyszerűen nem biztonságos, Androidban minta alapján történő feloldásnál csak ésszerűtlenül hosszú lenne az. Az ujjlenyomatolvasós megoldások biztos nagyon fancy-k a felhasználóknak, nekem pedig megmosolyogtatóak, hiszen alapvetően eléggé baromság olyan azonosítót használni bármiféle autentikációhoz, amit az ember ezer helyen otthagy, lenyúlni viszonylag egyszerű, a 3D nyomtatás korában pedig bárki varázsolhat lopott minta alapján ujjlenyomat-másolatot. Arról nem is beszélve, hogy több olyan módszer található a neten, ami azt írja le, hogy tényleg barkács módszerrel téveszthető meg egyik-másik ujjlenyomatolvasó. Hogy az ésszerű áron beszerezhető biometrikus azonosításon alapuló módszerek használata miért hülyeség, hosszú mese lenne, de elég csak belegondolni, hogy retinán alapuló azonosításnál, a retina ugyan eléggé lekoppinthatatlan ugyan, de az olyan retinaszkenner, amit nem lehet megtéveszteni, már eszelősen drága, márpedig a közelgő legnagyobb őrület, ha igaz, a mobilokba épített retinaszkenner/írisz-szkenner. Ezekkel nem csak az a baj, hogy szimplán jópofa ostobaságok, mondjuk az adatokat a zsebtolvajtól megvédi, de célzott adatlopástól annyira védenek, mint Árpi bácsi bunkere az atomtámadás ellen. A nagy probléma az, hogy hamis biztonságérzetet keltenek a felhasználóban. Ugyanis a felhasználók annyira nem vágják, hogy valami hogyan működik, hogy nagyon sokaknak egy elfogadható, szemléletes képe sincs olyanról, amit jó tudni a mobil kapcsán. Blackberry felhasználóként beszéltem olyan Blackberry-tulajjal, aki meg volt róla győződve, hogy ha mi telefonálunk egymással, akkor az titkosított, de inkább nem futottam neki magyarázni, hogy ha a hívást nem a Blackberry Messengerében indítjuk, ami áttolja a hívást egy BIS/BES szerveren, ugyanolyan mezei telefonhívás, mint bármely másik.

0 Tovább

Reklámvakság lehet oka az alacsony webhelyen töltött időnek? 


Röviden: szerintem igen.  

Közismert jelenség, hogy az olvasók a F-alakban screenelik a képernyőn megjelenő szöveges tartalom egészét, a keresésnél és egy blognál is, ezért érdemes mindent, ami fontos, a blog bal oldallécébe tenni, fontossági sorrendben, ugyanis sokkal nagyobb a valószínűsége, hogy a felhasználó kattintani is fog ott valamire - azaz pont nem úgy, ahogy ennél a blognál van. 

Mi történhet viszont akkor, ha a beágyazott hirdetés az előbb tárgyalt, a tartalom mellett a leginkább értékes sávba, a bal oldalbox felső részébe kerül [nálam jobbra]? Ugyan egy heatmappel lehetne bizonyítani, de alighanem miután az olvasó meglátja a hirdetést, megjelenik a reklámvakság-effektus és érzéketlenebb lesz arra is, ami az alatt van [korábbi posztok linkjei, archívum, stb.]. 

Ezért valószínűleg növekszik a webhelyen eltöltött idő, ha a hirdetés megjelenítése máshogy van kialakítva, mondjuk csak a megnyitott posztok alatt vagy a posztokban közbeékelve jelenik meg vagy az oldalsávban, de véletlenszerűen megjelenő, más-más pozícióban viszont jó esetben nem a tetején. Mivel ahogy leírtam, onnantól már olyan, mintha az alatta lévő rész nem is létezne. . . Ha a reklám megjelenése az olvasó számára komfortosabb helyre kerül, igaz, jobban elkerüli az olvasó figyelmét, viszont mivel az olvasó több időt majd  tölt a helyen, a hasznos oldalsáv navpaneljén kattintgatva, alighanem többször is kerül elé a hirdetés, így nagyobb valószínűséggel néz majd rá. 


0 Tovább

Orvosi-fiziológiai Nobel-díj 2015 (frissül)


nobelKik kapják? Miért kapják? Miért  pont ezért kapják, mi ennek a jelentőssége? Szinkrontolmácsolni mondjuk nem fogok, de ezekre mind választ kaphatsz, ha olvasod a cikket vagy nézed a közvetítést. Ha a live stream nem menne, itt találod a videó közvetlen linkjét: https://www.youtube.com/watch?v=kxBe5t3V2e0

..

10:53 2015.10.05. Tudtad? A díjat olyan kutatómunkáért ítélhetik oda Nobel szándéka szerint, amik valamilyen módon az emberiség érdekét szolgálták. Azaz hiába dönti meg a mindenkori impakt faktort valaki mondjuk bogarak kutatásáról szóló publikációiról, alighanem nem kaphat díjat, ha annak nincs orvosi vonatkozása. Ahogy a neve is mutatja, nem "biológiai Nobel-díjról" van szó.

10:57 2015.10.05. Tudtad? Az elmúlt néhány évtizedben ebben a kategóriában Nobel-díjakat egyaránt kapott olyan, aki eredetileg fizikus, vegyész, biológus vagy orvos volt és gyakorlatilag minden felfedezés a molekuláris biológia területéhez kapcsolódott. A magyarázat, hogy a molekuláris biológia több tudomány közti határvonalat eltüntetett, ugyanakkor a kutatás egyértelműen a biológiai folyamatok molekuláris szintű vizsgálatára irányult.

11:25 2015.10.05. LOOOOOL! Az operatőrök a kezdés előtt 7 perccel kezdtek el babrálni a kamerákkal, nos, az ékesszólás náluk is nagyon megy. Eddig 5-6 ohh shit-et számoltam össze.

11:35 2015.10.05. a díjazottak személye: Willam C Campbell, Satoshi Omura, Youyou Tu - a malária (egysejtű) életciklusának kutatásáért, más  mikrobák kutatásáért és a kapcsolódó kezelések kidolgozásában való jelentősségükért. így a malária mellett a biharziózis kezelésében és az bakteriális eredetű filariázis kezelésében is. 

11:48 2015.10.05. A laudációban kiemelték, hogy a kutatás módszertani és más szempontból is új paradigmákat vonultatott fenn, ezen kívül a malária replikációs ciklusának tisztázása a malária által veszélyeztetett tömegek kezelésében igencsak nagy. A kutatásuk mostani vonala elérhető áron tett lehetővé megelőző kezeléseket is.

11:58 2015.10.05. Na, eléggé gyorsan vége is lett a sajttájnak, ha valaki lemaradt, persze utólag vissza lehet nézni. A felfedezések hatásáról hamarosan írok ugyanebben a posztban.

12:18 2015.10.05. Hivatalos press release erre, hamarosan magyarázom, hogy mi micsoda.

Az idei orvosi-fiozológiai Nobel-díjon három kutató osztozott, érdekesség, hogy a díjat úgy ítélték meg, hogy a díjjal járó összeg egynegyed-egynegyed részében William C. Campbell és Satoshi Ōmura osztozik, míg a felét Youyou Tu kapja.

Campbell és Omura az Avermectin, majd a még hatékonyabb ivermectin felfedezésével a szegényebb országok számára is lehetővé tették, hogy hatékonyan kezeljék azokat a paraziták okozta, főként trópusi megbetegedéseket, amik a kutatások középpontjában álltak és az egyik legsúlyosabb közegészségügyi problémát jelentették.

Miről is van szó? Egy trópusi rovar lárvája bonyolult immunológiai reakciókon keresztül olyan szöveti elváltozásokat okoz, ami végső soron vakságot, durva bőrelváltozásokat vagy bénulást okoz. Ez az Onchocerciasis.

A mai napin egyáltalán nem ismert semmilyen vakcina, amivel meg lehetne előzni, így rendkívüli jelentősége volt, hogy hatékony kezelési módszereket fejlesszenek, amik elérhetőek azon fejlődő országok számára is, amik leginkább endémiásak. A hatóanyag felfedezésében kulcs szerepe volt, hogy a hatóanyag eredeti alapvegyületét egy batérium toxinjainak tanulmányozása során találták meg. Hogy mekkora epidemológiai problémát is jelent mindez, arról ez a Wikipedia-kép mindent elmond.  

Szintén rovarlárva okozta elváltozás egyrészt a nyirokrendszert bolondítja meg, ennek eredményeként az interstitialis folyadék felhamlmozódik a szövetközti térben, ezzel súlyos ödémákat alakít ki. Az ödémáknak persze lehet más oka is, trópusi területen ez sokkal durvább formában jelentkezik egy lárva okozta fertőzés esetén.

kezelés egy 2008-as videón

Youyou Tu eközben az Artemisia annua növényfaj aktív hatóanyagait kezdte vizsgálni amiről idővel kiderült, hogy minden korábbi hatóanyagnál gyorsabban pusztítja el a malária kórokozóját. A félreértések elkerüléséért írom, hogy nem arról van szó, hogy a módszert egyedül a klasszikus kínai orvoslás módszereivel találta volna meg, hanem arról, hogy egy korábban ismert gyógynövényt vizsgált olyan szempontból, hogy annak mely hatóanyagai lehetnek esélyesek az egysejtű eukariota kórokozókkal szembeni küzdelemben.

Nem tértem ki különösebben a parazitológiai és immunológiai vonatkozásokra, ezekhez nem is értek olyan mélységben, hogy felelősen tudnék írni róluk, ezek fellelhetők a neten. Összességében idén az orvosi-fiziológiai Nobel-díj odaítélésében különösen nagy szerepet kapott, hogy az egyébként újszerű felfedezések mekkora társadalmi hatással bírnak [korábban többször messze nem volt egyértelmű, hogy mennyi időn belül lehet egy-egy Nobel-díjas felfedezést a klinikai gyakorlatba átültetni].

képek: Nobel-díj sajtóanyag

0 Tovább

Nobel-díj 2015 – és amit a díjról alighanem nem tudtál


Valamivel kevesebb, mint 24 óra múlva, holnap helyi idő szerint 11:30-kor jelentik be, hogy kik kapják idén az orvosi-fiziológiai Nobel-díjat. Aztán pedig sorra a többit, a díjátadó pedig hagyományosan december 10-én lesz, élő közvetítésen is követhető a neten. Összegyűjtöttem néhány érdekességet, amit talán nem tudtál a díjról.

1. Nobel-díj csak adott konkrét kutatásért adható, életmű-jelleggel nem. Ez azt jelenti, hogy könnyen lehet, hogy valaki nagyon sokat tett az emberiségért több évtizedes kutatói karrierje alatt, a hatása pedig a tudományos világra is igencsak nagy volt, egyáltalán nem biztos, hogy Nobel-díjat kap. Ez viszont nyilván nem zárja ki, hogy valaki olyan kutatásért kapjon Nobel-díjat, aminek a tárgya lényegében végig ugyanaz volt.


2. Nobel szigorúan megtiltotta, hogy valaha is matematikai Nobel-díjat adjanak át. Ennek kultúrtörténeti oka, hogy Nobel neje egy matematikussal kavart. Más kérdés, hogy a közgazdasági Nobel-díjasok teljesítménye mögött nagyon sokszor valamilyen nagyon komoly matematikai teljesítmény áll.


3. A Nobel által lefektetett rendelkezésektől szinte sosem térnek el, ami igen szokatlan szituációkat is eredményezhet. Poszthumusz nem adható Nobel-díj senkinek, aminek meglehetősen spéci az értelmezése: abban az esetben, ha már eldöntött, hogy a Nobel-díjat ki kapja, de még nem jelentették be és közben a leendő díjazott meghal, mégsem kapja meg a díjat. Abban az esetben, ha a díjazottat a hivatalos bejelentés és a december 10-ei átadási ceremónia közti időszakban éri a halál, akkor ítélnek oda posztumusz Nobel-díjat. Hasonló nem sok volt, viszont Ralph M. Steinmann immunológus 2-3 nappal azelőtt hunyt el, mielőtt bejelentették a díj odaítélését 2011. októberében. A Nobel-díj bizottság ismét összeült, végül a díjat mégis odaítélték.

4. Hasonlóan a tudományos és nem művészi tevékenységért odaítélt díjakhoz, hivatalosan nincsenek jelöltek, a díjbizottság és azok, akik felterjesztik a kutatókat, mint lehetséges díjazott, teljes titokban dolgoznak elvileg. Gyakorlatilag megvalósíthatatlan, hogy ne szivárogjon ki semmi, ugyan már próbált bekeményíteni a díjbizottság annak érdekében, hogy a díjazott személye valóban ne derülhessen ki a bejelentésig. Többé-kevésbé sikerül is, ugyan a Thomson Reuters Sciencewatch rendszeresen megpróbálja megjósolni a díjazottakat. Az elmúlt 13 évben 52-ből 21-et díjazott személyét sikeresen el is találta. [ennek nem néztem maximálisan utána, de a TR jóslatai igencsak meghatározóak] Titoktartás szempontjából Magyarországon a Bolyai-díj díjbizottsága jobban tolja, ugyanis tipikusan tényleg legkorábban az átadás helyén, mondjuk a folyosón derül ki a díjazott személye, korábban nem, mivel azt csak a díjazott és a közvetlen környezete tudja meg előtte nem sokkal azzal a kéréssel, hogy nem közölhetik.

5. Szent-Györgyi Albert volt az egyetlen kutató, aki magyar állampolgárságú kutatóként vette át a Nobel-díjat. Egy volt tanárom valahogy úgy fogalmazott, hogy a magyarok eléggé jók, ha Nobel-díjat kell szerezni, a gond csak az, hogy eddig szinte az összes Nobel-díjast sikerült elüldözni Magyarországról valami miatt.


6. Ha már Szent-Györgyi Albertet hoztam szóba, tévhit, hogy a C-vitamin felfedezéséért kapta volna a Nobel-díjat, valójában a citrátciklus és az ahhoz kapcsolódó biokémiai folyamatok feltárásáért kapta [Krebs-szel megosztva], ugyan az indoklásba a C-vitamin felfedezése is bekerült. Még nagyobb tévhit, hogy Einstein a relativitáselméletért kapott volna Nobel-díjat, holott valójában a fényelektromos jelenség felfedezése és az elméleti fizika egyéb területein elért eredményeiért tüntették ki. A relativitáselmélet alighanem azért maradt bent a köztudatban, mert a C-vitaminhoz hasonlóan többen megjegyzik, mint a fényelektromos effektust, na nem mintha többen értenék is.

7. Köztudott, hogy a magyarok közt igen sok a Nobel-díjas, néhány kutatás cáfolta, hogy a teljes népességre vagy a kutatóhálózat méretére vetítve Magyarország annyival sikeresebb lenne más országoknál, mint ahogyan ezt sokan gondolják. Másrészt nemrég egy közvéleménykutatásból kiderült, hogy emellett a többség nemhogy felsorolni, hanem megnevezni sem nagyon tudja a magyar származású Nobel-díjasokat. Emlékeim szerint a BME K épületének egy eléggé forgalmas részén kapásból három mellszobor is van, amelyik egykori BME-s Nobel-díjasok előtt tiszteleg.

8. A Nobel-békedíjat szintén Nobel alapította, viszont az egyetlen, amit nem Stockholmban, hanem Osloban adnak át. Míg a többi kategóriában legfeljebb három személy osztozhat a díjon, Nobel-békedíjat kaphat szervezet is, a legnagyobb balhé és kritika pedig rendszerint ennek kapcsán merül fel. Pletykák szerint nem hivatalosan a jelöltek közt volt Hitler, Sztálin és Mussolini is, de amiatt is gyakori a cicaharc, hogy valaki nem kapja meg, aki viszont többek szerint megérdemelné


9. A tudományos világban a Nobel-díj ellenpólusaként is ismert IgNobel-díjat azok a kutatók kapják meg, akiknek a kutatásait nem lehet vagy nem érdemes megismételni, viszont ez a díj független a kutatás tényleges értékétől, nem feltétlenül pejoratív a díjazottra nézve az alapítók szándéka szerint. Az alapkutatásban egyébként is tuskóság feltenni azt a kérdést, hogy egy kutatásnak mi is az értelme, ugyanis könnyen lehet, hogy azonnal nem látszik, mivel attól alapkutatás az alapkutatás. A prímszámok fogalma például 3-4 ezer éve ismert volt, az alkalmazási területeit rendszerint véletlenül találták meg, majd igazán nagyot a 20. századi kriptográfia területén ment, például a prímszámokkal kapcsolatos összefüggések ismerete tette lehetővé a különböző asszimmetrikus kriptográfiai eljárások kidolgozását.

10. Az átadási ceremónia napján a helyszín miatt fél Stockholmot egy részét lezárják, aminek sokan nem örülnek annyira, de már megszokták. Ha valaki arra jár és bejutna valami piggybacking technikával, utólag írja meg, hogy hogyan sikerült, egyébként minden évben ugyanazon a helyen van:

Az idei orvosi-fiziológiai és közgazdasági Nobel-díj tárgyáról és annak jelentőségéről szóló magyarázó posztot magyar nyelven elsők közt ezen a blogon lehet majd olvasni, Facebookon itt lehet szeretni.

képek: gsouto-digitalteacher.blogspot.se, brobible.com

0 Tovább

Internet alkotta korlátok és az információs robbanás


Baj-e, ha sok az információ? Nemrég egy konferencián egy előadó azzal vezette fel az előadását, hogy ez az információs túlterhelés szerinte mekkora baromság, mert amikor ő egyetemre járt, akkor is sokkal több információ volt elérhető, mint amennyit meg lehetett volna emészteni, a könyvtárból pedig úgyis csak azt a két könyvet vette ki, amelyikre szüksége volt.

És alighanem senkinek a fejében sem fordult meg, hogy ez mekkora logikai mellényúlás. Az pedig pláne nem, hogy a pofa tényleg nincs tisztában a jelenség lényegével. Az információs robbanás okozta zajról már nagyon sokan cikkeztek, több évtizede foglalkoznak vele, hogy ennek azért lehetnek kiszámíthatatlan hatásai, mivel az evolúció erre nem készítette fel az ember agyát. A kapcsolódó technológiai szingularitásról nem is beszélve.

Szóval a naiv megközelítés szerint, ha sokkal több az információ, akkor is ki tudom válogatni azt, amelyik számomra releváns, érdekes, szükséges, azt használom, a többit pedig hanyagolom. Hol itt a baj? Ott, hogy minél nagyobb mennyiségű irreleváns információt kell kerülgetni, az annál több értékes energiát emészt fel fölöslegesen, az ember „információs áteresztőképessége” az érzékszervektől kezdve a kéreg alatti magvakon át az agykéregig minden részében, azaz a többlet információ feldolgozása korlátozott, leválogatása időt igényel.

Azzal, hogy több információ vált elérhetővé, mint bármikor a civilizáció történetében korábban, több tudományterületen is alaposan feladja a leckét.

Egyrészt a keresőmotoroknak hatékonyan kell túrniuk az egyre felmérhetetlenebb mennyiségű információban, ami egyre nagyobb IT infrastruktúrát igényel, fejlődés ide vagy oda. Annyira megszoktuk, hogy netes keresőket használni ingyenes, hogy el sem tudunk képzelni egy olyan kort, amikor már nem az a kérdés, hogy kell-e érte fizetni, hanem az, hogy mennyit, ha a keresés olyan számításigényessé válik, hogy az alatta lévő számítógépes infrastruktúra nem tartható fenn a klasszikus üzleti modellekkel. Ha valakinek túl bizarrnak tűnne a gondolat, megjegyzem, hogy már most is több adattárház van, aminek a használata, az abban való keresés előfizetéshez kötött. Másrészt korábban az is valószerűtlennek tűnt, hogy a Youtube-on átugorhatatlan hirdetések jelenjenek meg majd valamikor. Márpedig megjelentek és vannak országok, ahol a videó előtti hirdetés nem néhány másodperc, hanem egy tévéreklám hosszúságú és át sem lehet ugrani.

A netes keresés és relevancia kapcsolata több, nagyon ütős teoretikai kérdést vet fel annak fényében, hogy bizonyítottan a döntéseinket befolyásolja az, amit látunk, ha keresünk valami után. Ennek az egyik legproblematikusabb esete például az, ha valaki valamilyen gyógyszerre, hatóanyagra vagy egyáltalán bármi olyanra keres, amivel kapcsolatban inkább az orvosával kellene megkonzultálnia. A top találatok felületesek és pocsék minőségű tartalomra mutatnak, rosszabb esetben veszélyes baromságok. A jelenség oka nyilván az, hogy több kattintás érkezik arra az oldalra, ami érthető, az pedig nyilván nem feltétlenül a legszakszerűbb információforrás.

Ami még az információs robbanást illeti, szokás mondani, hogy milyen jó dolog is az, hogy ma már a bolygó lakosságának egyre nagyobb része fér hozzá az internethez. Igencsak retrográdnak fog tűnni, amit írok, de ez még globálisan nézve sem feltétlenül igaz. Ugyanis a nagyon sok felhasználó által feltolt nethulladék, mint felhasználói tartalom, a felhő-alapú világban végülis ugyanazokat az adatközponti infrastruktúrákat terheli, amin mondjuk a kutatók a legfontosabb tudományos híreket megosztják egymással, ami, ahogy írtam, egyre költségesebb a tárolás és a kereshetőség számításigénye miatt egyaránt. Ennek eredője pedig az lehet, hogy számos szolgáltatás, amiért most még el sem tudjuk képzelni, hogy fizetni kelljen a neten, hoppácska, egyszer csak fizetős lesz. Oké, nem azok miatt, akik a macskájuk elléséről képesek feltolni 200 képet, de miattuk is. A levét viszont pont nem ők fogják meginni, ugyanis a webes óriások nagyon jól tudják, hogy kikkel lehet fizettetni és kikkel nem, mely államokban alkalmazható valamilyen módon fizet(tet)ős modell és mely államokban kell a szolgáltatást továbbra is teljesen ingyenesen biztosítani, mivel az ottani végfelhasználók egyszerűen nem tudnák megfizetni, a netszolgáltatókon pedig nem feltétlenül lehet leverni például az átvitt adatmennyiség árába építve.

De jó is, hogy mindenki elérni ma a netet. . . Előbb kifejtettem, hogy ez szerintem még globálisan sem igaz. Ha pedig személy szerint nézem, nekem aztán pláne nem. Nemrég egy konferencián Uj Péternek volt pár gondolata, amit most átdolgozok. UP beszélt arról, hogy ami a netet illeti, túlestünk a ló másik oldalára, az internetben az volt sokáig a szép, hogy a teljes egyenlőség miatt mindenki kifejthette és ami a lényeg, el is juttathatta széles körhöz a véleményét, nem csak eljuttathatta, de el is jutott. Mára viszont a fagyi visszanyalt. Mindenkinek van véleménye, annak a tömegesen manipulálható-idomítható tömegnek is, amelyik jobban tenné, ha kussolna, a zajban egyre nehezebb meghallani az értelmes véleményt. Ha belegondolok, személy szerint nekem mondjuk tizenöt évvel ezelőtt, amikor még általános iskolás voltam, a netem lassú volt és drága, de bizonyos értelemben ezerszer jobb közeg volt. Persze, nyilván akkor is volt minden baromság, voltak hülyék, uszítható tömegek, trollok, bűnözők, de ami nagyon fontos, hogy nem ennyi!!!

Már emlegettem a Christakis Kapcsolatok hálójában, ezen kívül Cialdini Hatás című könyvét, ahogy Csermely Péter A rejtett hálózatok ereje könyvét szintén. Ha valaki a három közül az egyiket végignyálazta, akkor tisztában van vele, hogy ha tetszik, ha nem, nem vonhatod ki magad teljes egészében az alól a hatás alól, amit az vált ki, hogy Csaksimándzsesszikavagyok Osztő posztolgat a Facebookra emberfeletti helyesírási hiba/sor sebességgel.

Amikor valamilyen társadalmi vita kiéleződik, többször felmerül, hogy hogyan kerüljük el az idegesítő ismerősök tartalmait, megosztásait, nyilván a legésszerűbbnek tűnő lépés az, ha töröljük az ismerőseink közül a tagot és le van a gond vagy éppenséggel elrejtjük az összes általa posztolt tartalmat, ha ez a szolgáltatásban lehetséges. A Facebookon például igen.

A Facebook kutatói nem keveset tettek azért, hogy egyre inkább olyan tartalmak kerüljenek a felhasználók elé, ami a legnagyobb valószínűséggel érdekli is őket, ami többé-kevésbé működik is, az más kérdés, hogy vélhetően vissza is élnek azzal, hogy néha pedig pont ettől a szabálytól térnek el meglehetősen változatos módon. Anarki friss felzárkóztató cikke a témában erre. Én az összes közösségi szolgáltatásban kizárólag azokat veszem fel kontaktnak, akiknek a tartalmai érdekelnek, a Fészen pedig évek óta be sem lehet jelölni ismerősnek. Ezt bárki megteheti, aki nem akar jelentős mennyiségű időt elpazarolni azzal, ami a naponta sokszor néhány tizedmásodpercből adódik össze, amikor görgeted a hírfolyamot és pillanatok alatt kell döntened, hogy érdekel, azaz továbbolvasod vagy sem. De ha nem olvasod, az is idő, mivel időt fordítottál arra, hogy eldöntötted, hogy nem fogod olvasni. Nos, ha valaki túltolja azt, hogy megválogatja, kit vesz fel ismerősnek, ennek a finnyásságnak alighanem szintén megvannak a maga veszélyei. Például az, hogy ha eleve kézzel válogatom össze, hogy engem mi érdekel, bezárhatom magam egy olyan tematikus vagy fogalmi keretbe, ami miatt kisebb valószínűséggel zuhannak elém olyan információk, amik nem tartoznak ugyan szigorúan ahhoz, ami az engem érdeklő információk köre, de a szemléletmódon formálásához jól jönnének, mégsem érnek el, mivel kiszorítottam őket így nem fogok róluk értesülni.

A közösségi webes szolgáltatások tipikus életciklusa és a rajtuk található posztok nívója közti párhuzam egyenesen bájos. Akár iWiW, akár Facebook, akár LinkedIN, a felfutásakor mindig elit, cool, értékes, később valamivel slamposabb, a populáris baromságokat terítő felhasználók beszűrődésével az egész szolgáltatás úgymond olyanabb lesz, majd eljön az a szakasz, amit több közösségi szolgáltatás annyira nem tudott kezdeni, hogy konkrétan belehalt, azaz amikor annyi nethulladékot kell kerülgetniük a felhasználóknak, hogy inkább hagyták az egészet a fenébe. A LinkedIN Pulse eredetileg nem volt egy rossz ötlet, ez az a felület, ahol hosszabb posztokat tehet közzé bárki, egy szakmai témában. A probléma éppen azzal van, hogy bárki. És a dolog láthatóan kezd elkurvulni.

Persze, számos rendszerben éles eszű algoritmusokon túl a felhasználói értékelések is befolyásolják, hogy egy információ mennyire előkelő helyen jelenjen meg, több szolgáltatásban ha túl sok negatív feedbacket kap egy poszt vagy komment, eltűnik, míg ismerek olyan szolgáltatást is, ahol ha egy felhasználó posztjai összességében túl sok negatív visszajelzést kapnak, a rendszer szépen kizárja a felhasználót. Nem a felhasználási feltételek konkrét megsértése miatt, hanem emiatt, ez a szolgáltatás működésének egy szerves része. Viszont nyilván, nem sok szolgáltatás merné ezt a policyt bevezetni.

Szóval ami az információ forradalmát illeti, lesznek gondok bőven, több síkon is.

Komoly verseny folyik azok közt a szolgáltatások közt, amik arra szakosodtak, hogy minél inkább testreszabottan, minél kevesebb idő alatt, minél több releváns információt tálaljanak a felhasználóknak, közülük több, igencsak jó hatásfokkal, nyelvtechnológiai és mesterséges intelligenciában alkalmazott módszerek alapján a felhasználók olvasási szokásaihoz igazítva az ajánlgatott cikkeket. Azaz sokkal többről van szó, mint egyszerű híraggregátorokról vagy curated contentről.

A kategória egyik zászlóshajója a Flipboard ami – hogy-hogynem – nekem most pont olyan cikkeket ajánlgat, amik az információs robbanással és a felhasználó érdeklődésének megfelelő híreket válogató szolgáltatásokkal foglalkozó híreket dobál fel ezekben a percekben. A regisztráció után főkategóriák kiválasztása után alkategóriák nyílnak meg, amiken belül további alkategóriák tárulnak fel és így tovább. Az érdeklődési körök kijelölésénél tehát eleve a kategórián kívül az al-al-al-kategóriákat is figyelembe veszi majd a rendszer, amikor előállítja a személyes falunkat.

A Prismatic hasonlóan zavarba ejtően okos jószág. Ugyanis a kategóriák kiválasztása után folyamatosan figyeli, hogy milyen hírekre kattintottunk, mennyit időztünk ott ténylegesen, ennek megfelelően tanulja az olvasási szokásainkat és néhány óra használat után már-már félelmetes, de csak olyan cikkek fognak előtűnni, amik valóban érdekelnek.

A Nuzzel és több, kizárólag mobilon elérhető személyes newsfeed alkalmazás egyre jobban és jobban találja el a felhasználó ízlését, még ha tökéletesek nem is lesznek soha – vagy – ahogy előbb emlegettem, esetleg nem zárjuk tudattalanul magunkat egy olyan fogalmi keretbe, ahonnan már kevésbé látunk ki, pont azért, mert direkt vagy indirekt meghatározzuk, hogy mi érdekel ezzel viszont azt is, hogy mi nem.

Ami még egy rendkívül komoly kérdést vet fel, hogy ezek a szolgáltatások nyelvcentrikusságukon keresztül hosszú távon milyen hatást fejtenek ki, mivel a tartalmak terén jóformán csak angol nyelvű tartalmak rúgnak labdába. Jól tudjuk, hogy a nyelv és a kultúra szorosan összefügg. És ahogyan a Yandex Key-el foglalkozó cikkben írtam mellékszálként sokszor nagyon keményen izolál is kultúrákat. Valamilyen hülye animével büntettük magunkat egy ismerősömmel, aztán felvetette, hogy azért érdekes, hogy a japók mennyi mindent máshogy értelmezhetnek és belegondolva, ha jelentősen kevesebb inger ér minket a távolkeletről, abból a mentalitásból vagy konkrét tudásból semmit sem tudunk átvenni, sokkal kevésbé lesz közösségi az a tudás egy nemzetközi csapatmunkában, ami sokkal inkább közösségi és magasabb szintű lehetne tudva, hogy ezt a net technológiailag elvben lehetővé teszi. De például van tősgyőkeres moszkvai, Moszkvában élő ismerősöm, akinél rákérdeztem, hogy hogyhogy csak olyan veszett régi képei vannak fenn a VK.com –on, kevésbé ismert nevén VKontakte-n. Mire mondta, hogy nem használja már ezer éve, amikor ott a… na vajon melyik?

Rendszeresen repkednek a közhelyek a globalizált világról, na meg arról, hogy az internet eltüntette a földrajzi távolságokat [ebben a formában mindkettő ortó nagy ostobaság], holott bizonyos, itt nem tárgyalt jelenségek miatt egyes szakadékokat az internet még mélyebbé tett, attól pedig nagyon messze van, hogy valóban maximálisan együtt tudjon működni az európai, a japán és a Dél-amerikai kutató – vagy bárki! – olyan módon, hogy egy adott feladat megoldásakor a megoldás közben egy-egy mentalitást adaptálnak abba a környezetbe, amiben a részfeladatok megoldása történik. A jelenség persze nem csak a kutatást érinti, hanem abszolút mindenkit, azért a kutatást hoztam példaként, mert talán ott a legkönnyebben értelmezhető a jelenség.

Egy könyvtárat meg lehetne tölteni annak az irodalmával, hogy az internet hogyan tette lehetővé azt, hogy emberek gondolkodjanak együtt, korábbi falak omoljanak le, azzal pedig szinte semmi nem foglalkozik, hogy mik azok a korlátok, amiket viszont épphogy megerősített.

Képek: fabiusmaximus.com, wikipedia.org, makemark.co.uk

0 Tovább

HOGYAN LEGYÜNK MENŐK? akkos is, ha a sablonszerkesztő átmenetileg elérhetetlen


...akkor első lépésben próbáld elérni más böngészővel. Ha úgy sem megy, próbálhatod más oprendszerrel ill. gondolkozz el rajta, hogy esetleg valamilyen böngésző bővítmény vagy attól független netes tartalomszűrő esetleg gátolhatja-e bizonyos tartalmak betöltődését. Ha  függetlenül oprendszertől, böngészőtől, mindentől még mindig nem megy, ugyanakkor célszerű lenne - mondjuk nálam - a FB-oldal dobozát áttenni balra, ami jobb panelen van vagy hasonló, eléggé prosztó ámde működő megoldás lehet, ha az oldal facebookos lájkboxját beteszem posztként, a Facebook-oldalon pedig posztolok valamit, ami annyira bulvár vagy retek trash kontent a mélyből, hogy amúgy az életbe nem posztolnám, viszont felkeltheti a T. Olvasó figyelmét vagy legalább kinyílik a machete a Kedves Olvasók zsebében. Mint mondjuk Rómeónál, aki arról csinál videókat, hogy akkor is fog videókat csinálni, ha mindenki azt mondja rá, hogy szar, meg egyébként is menőbb, mint Bede Márton menőügyi posztjai együttvéve. 

Itt például éppen arról folytat létfilozófiai nívójú diskurzust, hogy hogyan legyél menő! Ha viszont van egy pici szived, előtte klikkelj a Tetszik az oldal/Like avagy Ajánlom/Kedvelem gombra, nem egy-egy posztnál, hanem az Akos Bardoczi oldal cím fejlécében, ígérem, a FB-oldalon ennél már kizárólag nívósabb tartalom fog megjelenni!

0 Tovább

Előkészületben a net legnagyobb gyűlöletoldala?


Ugyan a 444-ék gyorsabban figyeltek fel a hírre, sokaknak gondolom még nincs meg, hogy olyan világméretű webes szolgáltatás indul hamarosan, amiben bárki porig alázhatja a másikat, természetesen – ahogy ez ilyenkor nem zárható ki – manipulatív módon is, azaz névtelenül vagy akár látszólag tömegesen.

Persze alázni eddig is lehetett, ez mégiscsak más. Láttam már gyűlöletoldalt, nem keveset, amikkel a legnagyobb probléma az, hogy a teljesen idióták számára is megadja a lehetőséget, hogy néhány kattintással más megítélését rontsák. A magyar logika szerint felmerülhet a messzemenően laikus kérdés, hogy ez azért rágalmazás, aztán az üzemeltető felelősségre vonható, nem? A kérdés persze halálosan ostoba, hiszen netes közegben a jog betűje értelmezhetetlen, még akkor is, ha egyébként nemzetközi konvenciókon alapuló jogi szabályozást sért a tartalom, hiszen az üzemeltető néhány klikkel költözhet olyan helyre, ahol a számára nem tetsző törvény nem hatályos.

Az nyilván mindenkinek megvan, hogy idegenek számára mindenki gyakorlatilag az, amit a piacvezető webes keresők első találatok közt dobnak róla a neten a nevére keresve. Na meg az is, hogy netezési kultúra ide vagy oda, az emberek alapvetően mindent beszopnak a neten, amit látnak, tömegben veszélyesen ostobák tudnak lenni.

Sok kedvenc példám közül az egyik a Facebookhoz kapcsolódik. Történt, hogy egy veszélyes bűnöző kijött a hűvösről, majd a volt felesége és a kisgyereke fotóját feltette a netre azzal a szöveggel, hogy elvesztek, keresi őket. A nőt és a gyereket a pofától úgy próbálták megvédeni a hatóságok, hogy új személyazonosságot adtak nekik, amellett, hogy tisztes távolságba is költöztették őket. Na tessék kitalálni, hogy a nagyon hülye internetező tömeg mennyi idő alatt segítette hozzá a pofát, hogy pontosan megtalálja az exnejét és a gyereket? Néhány nap!

A másik példa frissebb, szintén a Facebookhoz köthető, egy ausztrál nő egy bevásárlóközpontban pedofilnak hitt egy fószert, lefotózta és feltolta a Facebookra, amit persze az Isten adta birkanyáj tízezerszámra osztott meg. A pasasra alaposan rázúdult a népharag, el kellett költöznie, mivel halálos fenyegetéseket kapott, tisztázta ugyan magát, ezt követően pedig a nőre zúdultak a jól megérdemelt fenyegetések, a lényeg viszont, hogy az ilyenek rendszeresen megtörténnek és sejthetően lesznek is még, mégsem tanulnak belőle az emberek.

Tehát abban senki sem bízhat, hogy ha róla írnak valami szart, majd nem fog hatni a megítélésére csak azért, mert a Peeple-n jelent meg, mert igenis fog.

Ne legyenek illúzióink, nem csak a megosztó személyeket, politikusokat, újságírókat és más közszereplőket fog érinteni a dolog, most komolyan, van egyáltalán olyan ember, aki biztosan azt merné mondani, hogy őt aztán biztosan nem utálja senki?

Persze a Peeple-t gyorsan ki lehetne véreztetni majd mondjuk azzal, hogy a hirdetőikről írnak tömegesen és szervezetten csúnyákat, aztán hirdető híján nem lenne miből fenntartani az egészet, ennyi esze azért nincs az embereknek. Ugyan a 4chan fórumozói és hasonló közösségek eléggé gyorsan ugraszthatók, valószínűtlen, hogy hosszú távon működne.

Akkor viszont mit lehet tenni mégis? Nos, tényleg ettől teljesen függetlenül írtam volna róla, de ahogyan már korábban is írtam, nem az a megoldás, hogy nem vagyunk fenn semmilyen közösségi szolgáltatásban, azt pedig csak a teljesen idióták gondolhatják, hogy nem szerezhető róluk fotó vagy más nyilvános információ, ha sehol nincsenek fenn. A védekezést szerintem éppen az jelenti, ha valaki fenn van több platformon is.

Azokban a közösségi szolgáltatásokban és blogszolgáltatásokban, ahol fenn vagyok, mindnél full publikusra állítottam be szinte mindent, illetve ezek még jól össze is vannak drótozva egymással. Ennek eredménye pedig az, hogy velem kapcsolatban alighanem hiába írna valaki akármekkora vérgőzös anyázást, esetleg egy zsák pénzt is fizetne egy SEO-szakinak, nem fektetnék bele különösebb energiát, hogy azonosítsam az illetőt, ugyanis a keresők közt ott lenne ideig-óráig, aztán meg hátraszorulna a keresési találatok közt mondjuk a sokszázadik helyre, azaz olyan lenne, mintha nem is létezne. A keresőmotorok a SEO-poisoningot gyorsan kiszűrik, ha pedig valakinek a tartalmát megcsípi a Google pingvinje jóideig nem is fog létezni, az biztos.

Na ezért is javasolható mindenkinek, hogy tessék bátran jelen lenni a közösségi weben, minél több publicba szórt, lehetőleg eredeti tartalommal! Igen, akkor is, ha nem vagy blogger! Például egy új állás megpályázásánál ezer százalék, hogy annak a HR-esnek a szemében, aki rád keres, ezerszer rosszabb lesz a megítélésed, ha kevés vagy érdektelen tartalmat talál csak, mintha transzparens vagy, amennyire kell. Ez alatt azt értem, hogy ne fossad tele a céges zabálós, nyaralós, bebaszós képekkel a netet, hanem posztolj arról, amit egy újságban is szivesen látnál, őszintén érdekel!

Nem tudom már, hogy hol emlegettem, de a gyűlöletoldalakkal hasonló korúak lehetnek azok a webes szolgáltatások, amik azt vállalják, hogy valakiről a kínos tartalmakat eltávolítják vagy legalábbis próbálkoznak vele, ha már volt olyan hülye, hogy jó ötletnek tartotta a bokorba szarós na meg árokba hányós fotóit a netre kitenni, mert naivan azt hitte, hogy kontrollálhatja fölötte a láthatóságot. A kínos személyes tartalmak eltávolítására belőtt szolgáltatásokat jobb magyar kifejezés híján nevezik reputation managementnek azaz ügynökségek próbálják leszedni a kínos felkerült tartalmat, mondjuk mielőtt indulna egy választáson.
Ami a nyitó témához kapcsolódó személyes vélemény, lehet, hogy többek számára meglepő, de egybecseng azzal, amit múltkor írtam azzal kapcsolatban, hogy a web giantek eléggé rosszul teszik, ha fene jóindulatukban keresési találatokat tüntetnek el, gyakorlatilag bizonyítékokat semmisítenek meg.

Szóval szerintem szabad-e tiltani vagy üldözni a gyűlöletoldalakat, ha törvényhozó lennék próbálnám-e korlátozni? Lehet utálni, de határozottan nem! Mégpedig azért, mert az internet működésmódjából adódóan gyakorlatilag még nem láttunk sikeres próbálkozást olyanra, hogy bárkik is sikeresen radíroztak volna le teljes egészében és hatékonyan bármilyen tartalmat, ha rövid ideig sikerült is, megjelent még durvább és még megkerülhetetlenebb formában.

Előbb azt írtam, hogy nem, de kiegészítem azzal, hogy félreértés ne essen, természetesen ez nem jelenti azt, hogy minden tartalomnak helye lenne a neten. Például a nyílt, explicit kínzás, explicit uszítás, a doxing, a gyermekpornográfia és még számos dolognak nincs helye és üldözendő, ha már eltüntetni nem lehet, ami ezekben közös, hogy társadalmi evidencia, az egész világ hallgatólagos konvenciója révén üldözöttek és nem elsősorban azért, mert valamely állam tiltaná őket törvényi eszközökkel.

Másrészt azt vallom, hogy inkább maradhasson fenn az a tartalom a neten, igazságtartalmától függetlenül, ami mondjuk azt taglalja, hogy mekkora seggfej vagyok, ha ez az ára annak, hogy mindenki számára elérhető legyen az az információ is, amelyik azt taglalja, hogy egy távoli diktatúrában mekkora seggfejek vannak.

Amikor a netes tartalmak korlátozásáról van szó, még a témában jártas arcok közt is, ami az ezzel kapcsolatos vitákban közös, hogy szükségszerűen elmegy olyan irányba az érvelés, ahol értékítélet-alapon próbáljuk meg meghatározni annak a körét, hogy mit szabad és mit nem. Az értékítélet alapú érvelések pedig tudománytalanok.

Ugyan a blogon #voltmár, bónusz videó arról, hogy a tömeg mennyire szelektíven fogadja be azt, ami elé kerül, még akkor is, ha magában a címben benne van, hogy "OLVASD EL A LEíRÁST". A videóban a fiúnak egy idegen kifejezést kellett kimondania, a Youtube-on pedig olyan vérgőzös gyűlölködés érkezett kommentzivatarként, hogy a kommenteket tömegesen el kellett távolítani és a kommentelést le kellett kapcsolni.

Viszont példaként hozhattam volna azt a Twitter-csatornát is, aminek a leírásában a csatorna tulajdonosa a leírásban kérte, hogy senki ne töltse fel a bankkártyájáról készült képet, nem kevés idő telt el, mire rájöttek többen, hogy legalább a bankkártyaszámot okos lenne leradírozni. . .

A magyar netkultúra valóságos gyöngyszeme volt, amikor valaki magyarul is elkészítette azt a hoaxoldalt, amiben az ellen lehetett tiltakozni, hogy a Facebook fizetőssé váljon. Igaz, hogy az oldal leírásában kerek perec benne volt, hogy viccről van szó, annyian őrjöngtek miatta, hogy az anno bőven adott alapanyagot minden idők egyik legzseniálisabb Tumblr-jének, a Hungary vs Facebooknak. 

Szóval nem valószínű semmiféle armageddog. Éppen azért, mert túl sok az annyira sötét ember, aki nem tudja helyén kezelni az információt.

0 Tovább

Rövidhír: na kinek a vízuma került a netre :(


Avagy privacy kvíz, ebéd utánra, némi bulváros felütéssel. Nem túl vidám dolog, az egyetlen, amit te tehetsz azért, hogy ne fotózzák le semmilyen személyes iratod, amíg alszol, hogy alaposan elteszed. Ha esetleg nem vigyáz rá eléggé az asszisztensed, seggbe rúgod érte utólag.

Rövid kutakodás után szinte biztos, hogy nem őmaga fotózta le a vízumot még korábban.

Na ki? Műértők kedvéért még pár, picit manipulált kép.  

0 Tovább

Napi molbiol: a rettegett harlekin-baba szindróma


Nemrég posztoltam a tizenéves fiúról, akinek a bőre egyetlen fehérje deficitje – pontosabban az ellene indított autoimmun válasz – annyira miatt gyakorlatilag azonnal szétszakad.

Szintén a bőrt érintő, a 18. század közepe óta ismert, de csak nemrég tisztázott örökletes betegség, a harlequin ichthyosis ugyancsak a bőr fejlődését érinti nem is akárhogy.

Klinikai megjelenés – a betegség közvetlen oka, a bőr túlzott keratinizációja, ami azt eredményezi, hogy a meglehetősen rigid struktúrfehérje túltermelődése miatt a bőr több különböző részen, de akár a teljes testfelszínen megvastagszik, páncélszerűvé válik, aminek eredménye, hogy a bőr gyakorlatilag halpikkely-szerűen szigetekre töredezik, rendszeresen bevérzik, ami drámaian megnöveli a fertőzések esélyét és igencsak szokatlan külsőt eredményez, ami már a születéskor jól megfigyelhető. Mivel a bőr szinte teljesen rugalmatlan, így az olyan területek, ahol a bőrnek mozgékonynak kellene lennie, a test leginkább markánsan eltorzul. Így az újszülött szája és szeme gyakorlatilag folyamatosan nyitva van az ajkak és a szemhéj környezetében lévő bőrfelület rigiditása miatt.


Korábban a betegség minden esetben halálos kimenetelű volt, ma pedig, kombináltan, főleg isotretinoinnal kezelhető, ha a magzat túlél egy kritikus periódust. Az isotretinoin hatása elsősorban közvetett, hatásmódját tekintve a keratin túlzott jelenlétét követő gyulladást csökkenti.

A betegség oka a 2-es kromoszóma hosszú (q) karján 35-ös pozícióban lévő ABCA12 gén egy olyan típusa, aminél a normális típushoz képest akár több deléció is lehet, azaz bizonyos szakaszok hiányoznak. A betegség autoszomális recesszív, azaz a gén mindkét hibás példánya kell a betegség kialakulásához, ismét máshol olvastam olyat is, ami szerint a nemi X-kromoszóma egy bizonyos mutációja nagyon hasonló tüneteket eredményez.

Kép: globalgenes.org

3 Tovább

Hogyan segíti az online jelenlét egy üzlet sikerét?


Nemrég az Üzletrész egészen remek meetupot tartott a manapság korszerű marketing fogásokról. A rendezvényen szóba kerültek olyan részletek az online jelenléttel kapcsolatban, amire többen alighanem nem is gondolnak. Ahogy az egyik előadásban elhangzott, a LinkedIN-en a cégek jelenlétéről sokszor megfeledkeznek, holott a LinkedIN felhasználói tipikusan kíváncsiak egy-egy munkahely úgymond emberi oldalára is, túl azokon az adatokon, amik egy-egy cégről fellelhetők a neten.

Főleg az esemény délutáni részének igen fontos mondanivalója volt, hogy egy kkv-s vállalkozó ne azonnal értékesíteni akarjon, mivel nagyon sok üzlet úgy köttetik, hogy üzlettársak közvetetten ajánlják egymást. Mire is kell gondolni? Ahogy Nicholas A. Christakis és James H. Fowler Kapcsolatok hálójában vagy éppen Csermely Péter A rejtett hálózatok ereje könyvében is olvashatjuk, a legtöbben másodszintű kapcsolataikon keresztül találnak olyan munkahelyet, ami számukra ideális, azaz ismerősök ismerősein keresztül. Nem meglepő módon az üzletben is megfigyelhető hasonló, amikor üzlettársak ajánlják egymást valamilyen feladatra. Különböző befektetői klubok, ennek megfelelő szolgáltatást kínálnak az ügyfeleiknek: tudatos kapcsolatépítést, bizonyítottan hatékony módszerek segítségével.

A magyar piac egyik legprofibb, kvv-kat segítő csapatának híreit a Facebookon erre lehet követni. 

0 Tovább

Reblog tuning: így növeld az interaktivitást az olvasóiddal


Atommeghajtású social addon, Facebook-kommentelés a Reblogon, Disquus kommentmotor. Talán a legértelmesebb szolgáltatások, amik nagyban növelhetik az olvasóid megtartását a blog interaktív, közösségi jellegének erősítésén keresztül.

A csomagolás sem mindegy. Webergonómiai és dizájn részletekre nagyon nem térek ki, mivel azokhoz nem értek. Viszont ami a tartalom típusától függetlenül kulcs fontosságú azért, hogy az olvasóid vissza is járjanak, egyrészt, hogy minél inkább kézre álljanak számukra azok az eszközök, amivel a posztod egy-két kattintással meg tudják osztani vagy kommentelni máshol is, másrészt folyamatosan érdemes figyelni a visszajelzéseket, hogy tudd, mennyire érted el a célcsoportod, mi tetszett és mi kevésbé az olvasóidnak. Vigyázz, kész, több bullshit nem lesz a posztban, technikai részlet pedig annyi, amennyi minimálisan szükséges.

A Reblog előre elkészített sablonjait nem nézegettem, beállítottam egyet, nem tudom, hogy melyik mit tud alapértelmezés szerint, itt most olyan megoldásokat ismertetek, amik alighanem sablontól függetlenül működni fognak. Mindenesetre érdemes a meglévő sablont klónozni arra az esetre, hogy ha nagyon eltolnál valamit véletlenül, így vissza lehessen állítani az eredetit, ezt a sablonszerkesztőben éred el.  

Ugyan például az én reblogos blogom sablonjában egyébként is van ikonsor a posztok gyors megosztására, ezek némileg beleolvadnak a háttérbe, másrészt ha lehet olyan lehetőséget választani, hogy ne csak a legnagyobb közösségi szolgáltatásokban lehessen megosztani, hanem gyakorlatilag a világ összes szolgáltatásában, akkor miért ne?

Erre az egyik legremekebb találmány az Addthis beillesztése, ami szép nagy, színes-szagos gombokkal ajánlja fel a megosztás lehetőségét a legnagyobb közösségi szolgáltatásokban, de a narancssárga alapon lévő plusz jelre kattintva még több száz szolgáltatás tűnik elő, amiben szintén megoldható a megosztás. Az Addthisen való regisztráció után számos formátum közül választhatunk, gyakorlatilag minden testre szabható benne, nekem a hagyományos, poszt alján lévő tűnt a legpraktikusabbnak, de számos más, akár iző-mozgó megoldás közül is választhatunk.

Miután ez megvolt, lehet finomhangolni a gombsort, a végén pedig látható két kódrészlet, amit be kell illeszteni a reblogos blog sablonjába.

Mivel a Reblog természetesen nem egy statikus weblap, ezért a sablonszerkesztő kódszerkesztő részében a postr:body után biggyesszük be az első addthis-scriptet, míg a másik addthis-kódrészlet a poszt formázásának végét jelző reblog:share vagy hasonló nevű rész után illesztendő be, valahogy így:

Az Addthis azért is egy szeretetre méltó jószág, mert egyben megtekinthető az az analitika is, hogy mennyien osztották meg a posztunkat különböző szolgáltatásokban az Addthisen keresztül, ennek finomhangolásához érdemes összekapcsolni a bit.ly szolgáltatással, ami több, mint egy egyszerű linkrövidítő, szintén méricskéli a kattintásokat.

A bit.ly-ben a regisztrációt követően eleve érdemes összekapcsolni a bit.ly accountot a Facebook- és Twitter-fiókunkkal, hiszen a kattintástok egy része onnan jön, ha pedig bit.ly-vel hivatkozva posztolunk valamit, látni fogjuk, hogy mennyien kattintottak át vele. Megjegyzem, természetesen a bit.ly hivatkozásainkat megoszthatja más is, így az össz-kattintást fogjuk mérni, nem csupán azt, amit mi osztottunk meg. A bit.ly rövidítésből ránézésre nem tudható, hogy kinek a fiókjához tartozik, azaz ki méri a látogatottságot, ahogy persze az sem, hogy egy regisztrált felhasználó hozta-e létre a hivatkozás. Ami viszont fontos, hogy egy adott URL-hez alapértelmezés szerint ugyanaz a bit.ly hivatkozás fog tartozni, azaz például az example.com címhez  bit.ly/1LUYsw6 A bit.ly ún. API-kulcsára [lejjebb] lesz szükség ahhoz, hogy a bit.ly-fiókunkat a méréshez összekössük az Addthis-szel, amit a Setting alatt, az Advanced fülön találunk. Ezt az API-kulcsot, valamint a felhasználói nevünket kell beilleszteni az Addthis beállításai közt, persze nem kötelező. 

Azt tapasztaltam, hogy ugyan hiába lehet követésre jelölni a Facebookon, ha valakinek a blogját a tartalmai miatt és nem a személye miatt követnék a webcserkészek, de nem ismerik személyesen, akkor nem nagyon kattintanak a Követés gombra, így jó, ha a blogunknak van Facebook-oldala, amit aztán egyetlen klikkel lájkolni is lehet.

A Reblog súgójában még a régi módszer van leírva like-box létrehozására, ami az új Facebook API-ban már nem működik, viszont minden további nélkül létrehozható ilyen, testre szabva, az pedig remek kérdés, hogy a blognak melyik részén érdemes elhelyezni.

Ehhez nem szükséges Facebook fejlesztői fiók, egyszerűen csak ugorjunk el mondjuk ide, ezt követően már csak a megjelenítés finomhangolását kell beállítani. Ha úgy van beállítva, hogy a legfrissebb posztokat is mutassa a box, akkor azt is megjelenik majd, viszont természetesen az adott FB-oldalon megjelenő posztokról van szó, amik közt ideális esetben ott vannak linkelve bit.ly-vel a reblogos posztjaink, de értelemszerűen megjelenik az is, ami csak a Facebookon jelent meg.

Miután a beállítás megvolt, az Addthisnél látotthoz hasonlóan az első kódrészletnek a sablon törzsének kezdetét meghatározó rész után kell kerülnie, arra viszont figyeljünk, hogy a reblog sablonban ne szerepeljen a div id="fb-root” duplán.

A másik kódrészlet pedig oda megy, ahol ténylegesen meg szeretnénk jeleníteni, az én esetemben a posztok alá helyeztem el, viszont minden további nélkül megoldható, hogy ez például a reblog egy HTML-típusú oldaldobozában jelenjen meg.

A Facebook-kommentbox létrehozása sem bravúrosabb ennél, mi több, kimondottan hasznos lehet olyan környezetben, ahol a felhasználók kevésbé kommentelnek, lévén, hogy a FB-ra szinte mindig be van lépve a felhasználó, míg a Reblogos fiókjával nem feltétlenül.

Természetesen még számos típusa létezik a FB social pluginjeinek, viszont ember legyen a talpán, aki biztosan meg tudja mondani, hogy egy-egy adott környezetben mikor melyiket érdemes választani olyan módon, hogy az a legcélszerűbb legyen, ugyanakkor mindet beizzítani nem a legbölcsebb ötlet, mivel az egész egyszerűen összezavarja az olvasót és a dolog a visszájára sülhet el. Ez már webergonómiai kérdés.

A Disqus kommentmotor jó alternatívája lehet a Facebook-kommentboxnak, mivel azok a felhasználók is nagyon gyorsan kommentelhetnek, akik nem szeretnék, hogy a Facebookon használt nevük jelenjen meg a kommentek közt illetve hasonlóan a Facebook-kommentmotorjához, elvégezhetőek olyan finomhangolások, amik például meghatározzák, hogy a kommentek megjelenésük sorrendjében jelenjenek meg vagy az alapján, hogy azt a többi kommentelő mennyire találta hasznosnak az adott kommentet [influence]. Ezen kívül persze maguk a kommentek is kommentelhetők. A Disqus regisztráció után csak ki kell választani, hogy saját oldalhoz hoznánk létre Disqus boxot. 

Ahogy pedig látni fogjuk, szinte semmi nincs, amit ne lehetne benne testreszabni, amihez egy pazar analitikai felületet is kapunk arról, hogy a kommentelőink mennyire használták a Disqus-t, de még arról is, hogy általában hogyan viselkedtek.

A beállítás végén az Install gombra kattintva kapjuk meg a kódrészletet, amit be kell majd illeszteni a webhely sablonjának azon helyére, ahol a kommenteket szeretnénk megjeleníteni.

A Disqus nagyon nagy erőssége, hogy a felhasználó szabadon dönthet róla, hogy a Disqus-nevével, a Twitterjével, a Facebookjával vagy a Goole Plus fiókja segítségével kommentelne, azaz ha a felhasználónak nincs disqus-regisztrációja, néhány kattintással mégiscsak használhatja a szolgáltatást, aztán dönthet, hogy saját névvel vagy művésznéven.

Ha szeretnénk tudni részletekbe menően, hogy kik, honnan, hogyan olvassák a blogunkat, egyszerűen csak létre kell hozni egy Google Analytics fiókot, abban beállítani a blogunk nevét, ezt követően viszont nem kell a teljes felajánlott kódrészletet a sablonba hegeszteni, egyszerűen megadható a Reblog beállítópaneljén.  

Ami a Google Analytics-szel kapcsolatban fontos, hogy az olvasottsági adatokat gyűjteni egy dolog, értelmezni pedig egy másik dolog, amihez amúgy szinte senki sem ért. Nem csak maguknak az adatoknak az értelmezésére gondolok, hanem arra is, hogy ha például valaki nincs tisztában azzal, hogy ez egy JavaScript kódként jelenik meg a látogatóknál, ami egyszer fut le, nem pedig folyamatosan figyel, akkor félreértelmezheti több mindent, így a visszafordulási adatokat és a webhelyen töltött időt. Tételezzük fel, hogy klasszikus GA-kóddal mérünk, a látogató pedig meglátogatja egy posztunkat, amit az első betűjétől az utolsóig végig is olvas, majd elnézelődik másfelé. Abban az esetben, ha tovább nézelődik a blogon, akkor a JS ismét lefut, mivel új lapletöltés történik és feljegyzi a két JS-futás közt eltelt időt. Abban az esetben viszont, ha elnavigál egy teljesen más webhelyre, akkor teljes visszafordulásnak fog látszódni az analitikában, a webhelyen eltöltött időt pedig 0 másodpercnek mutatja majd, ami totálisan eltolja az átlagértéket.

Fontos még, hogy a Google Analytics kis trükközéssel ugyan alkalmas lehet egy-egy adott visszatérő látogató azonosítására, de alapvetően nem erre találták ki, hanem arra, hogy statisztikát, trendeket mutasson.

Ha arra lenne szükségünk, hogy a látogatókat külön-külön is meg tudjuk nézni, kitűnő alternatíva lehet a Clicky.com amiben könnyebben megnézhető egy-egy látogató külön-külön is. A Clicky nem jobb vagy rosszabb, mint a Google Analytics, hanem másmilyen. Az alapja ennek is a JavaScript.

Természetesen ha egy kellően paranoid olvasónk letiltotta bizonyos JS-ek futtatást vagy valamilyen böngészőbővítmény valamiért megfogja ezeket, akkor is lehetőség van naplózásra, majd abból analitika készítésére csak éppen fapadosabb módon. Egy teljesen statikus, átlátszó elemre való hivatkozást el kell helyezni az oldalon, a hivatkozott elemnek pedig olyan helyen kell lennie, ahol van nyers hozzáférésünk a webszerver logjához. Gyakran találkoztam azzal a kérdéssel, hogy miért mér különböző audit szolgáltatás más értékeket. Az ok persze alapvetően technikai, másrészt nyilván lehetnek teljesen máshogy beállítva, a GA alapértelmezés szerint akkor tekint újnak egy látogatást, ha az legalább 30 perc eltéréssel történik, alapvetően az IP és az általa elhelyezett süti alapján.

A Hootsuite is eléggé erős találmány, tipikus felhasználási területe, hogy a különböző webes szolgáltatásokban megjelenő tartalmak megjelenését időzítsük. Nos, nyilván mindenki több tartalmat olvas és oszt meg, mint amennyit ír, viszont jól jöhet, ha a saját falunkon, legyen szó akár Twitterről, akár Facebookról, akár Vkontakte-ről, olyan tartalmakat is dobálunk ki, amit nem mi írtunk a Reblogon, de vélhetően az olvasóink érdeklődésébe vág. A tartalmak rendszerezése mellett hasznos lehet, ha egy nagy forgalmú oldalt valaki egyedül csinál, amit sokan figyelnek is, ugyanakkor előre tudja, hogy nem lesz gép előtt 2-3 napig, de szeretné az olvasóit mindig új tartalommal ellátni a közösségi weben.

2-3 napig nem vagyunk gép előtt és ennyi számít? Ha hiszitek, ha nem, ugyan blog típusától is függően, de 2-3 nap kihagyás elég lehet ahhoz, hogy az olvasók annyira "leszokjanak" arról, hogy olvasnak egy adott tartalmat, hogy a látogatottság drasztikusan leesik, amit visszatornázni eléggé nehéz lehet. Másrészt vegyük figyelembe, hogy a Facebook sajnos a megjelenítéskor a kézileg, azaz böngészőből vagy mobilról posztolt tartalmat preferálja, ezt követik a máshonnan, de a Facebookon máshol már megjelent tartalmak, míg a third-party alkalmazások által posztolt tartalmat tartja a legkevésbé értékesnek. A Twitteren megjelenő linkjeim például megjelennek ugyan automatikusan a Facebook-falamon is, az ismerőseim streamjében már sokkal kisebb eséllyel jelennek meg ilyen módon ahhoz képest, mintha egyenesen a Facebookra toltam volna.

Amit pedig emlegettem jópárszor: minőségi tartalom mindenek előtt! Azaz lehet mindenféle eszközöket bevetni, amik épphogy a reggeli kávét nem főzik meg, na meg egy zsák aranyat kiadni egy önmagát SEO-szakinak mondó tagnak, hosszú távon egész egyszerűen nem fog futni az, ami nem unikális vagy éppenséggel – pont a másik véglet – nem nagyon durván populáris, mint amilyen a 9GAG és klónai.

Remek kérdés, hogy ha az emlegetett kommentelős szolgáltatások hülyebiztos módon valamilyen megvalósítással elérhetőek lennének a Reblog beállításai közt is például úgy, hogy a bloggernek ugyan új felhasználót létrehoznia a külső szolgáltatásban nem kellene, az automatikusan kapcsolódna mondjuk a „reblog” nevű felhasználóhoz tartozna, mi lenne az eredmény. Vagy káoszt vagy egy helyen megjelenítve egy olyan kontent egyveleg, ahol az aktivitás alapján látszik, hogy a Reblogon mi fut fel éppen.  

1 Tovább

Telefonbeszélgetés rögzítése tökéletes minőségben


Ráadásul extra szoftver telepítése nélkül. Ismét egy technika, amiről a többség alighanem úgy gondolja, hogy az életbe nem lesz rá szüksége, holott gyakorlatilag bármikor lehet.

A telefonbeszélgetések rögzítésére úgy igazából sosem volt elegáns megoldás, pláne Magyarországon nem. Elegáns alatt itt azt értem, hogy legális, nem ésszerűtlenül drága, az elkészült felvétel pedig nem tré minőségű. Konkrétabban:

Legalitás: telefonbeszélgetés rögzítésével kapcsolatos jogi hátteret teljes egészében persze nem tudom, abban viszont biztos vagyok, hogy a bíróság előtt csak akkor áll meg egy hangfelvétel, mint bizonyíték, ha az úgy készült, hogy a másik felet előre tájékoztattad róla, hogy a beszélgetést rögzíted. Kis magyar abszurd: igen, még akkor is, ha amúgy az illető konkrétan azt mondta, hogy kiirt a családoddal együtt, aztán meg letagadja, akkor is lehet, hogy a bíró nem veszi figyelembe, ha olyan kedve van, mivel nem tájékoztattad előtte a másikat a rögzítésről. A nyomozati szakaszban ugyan komoly jelentősége van a hangfelvételnek és persze komolyan veszik a nyomozók, akár megtörtént részedről a tájékoztatás, akár nem egy átadott hangfelvétel kapcsán, viszont azt a bíróság, ahogyan írtam, simán figyelmen kívül hagyhatja.

Anyagi ráfordítás: na, ez egy furcsa dolog. Akár mobil, akár asztali gép, mobil esetén földrajzi régiótól is függ ugyan, de hangrögzítő alkalmazás vagy van vagy nincs. Windows Phonera emlékeim szerint nincs, iOS-re szintén nincs, ahogyan Blackberry (OS 7) rendszerre sincs, legalábbis a standard alkalmazásboltból letölthető. Amilyenek vannak, sokszor valamilyen vállalati suite részei és mocsok drágák. Ami az Androidot illeti, nagyon sok az egyszerűen rossz minőségű felvételt készít, az olyan, aminél a freemium verzióban csak bizonyos hosszúságú beszélgetést vehetsz fel vagy fél percenként belesípol, közben pedig örülhetsz, ha nem fagy le az egész. Most persze az underground platformokkal, mint a Cydia vagy a CyanogenMod, nem foglalkozom. Persze, lehet próbálkozni ahhoz, hogy kihangosított telefon mellé tesz valaki diktafont, de azért érezzük, hogy messze nem az igazi a dolog.

Hát persze, hogy a legegyszerűbb és legfrappánsabb megoldásról sehol sem írnak a neten – ha mégis, akkor bocs – vagy csak nagyon sokadik találatként, ami biztos, hogy ez nekem magamtól jutott eszembe.

Az ugye mindenkinek megvan, hogy évek óta gyakorlatilag már szabvány, hogy minden mobilba a 80-as évek óta ismertős TRS-csatlakozóval, ismertebb nevén audio jackkel lehet csatlakoztatni  a headsetet. Ami pedig a mi szempontunkból fontos, bármi mást is, aminek a csatlakozója szintén ilyen, azaz például diktafont, aminek van külső mikrofon bemenete.

A megoldás nem olyan veszett bonyolult, a fotó magyarázata:
1. a mobil headset csatlakozójának helyére csatlakoztassunk egy rövid TRS-elosztót, az egyik kimenő végére csatlakozik maga a headset, amin beszélünk, a másikra egy hosszabbító, ami amúgy minél rövidebb, annál jobb
2. a hosszabbító másik végét - aminek mindkét vége ún. male-típusú – pedig egyszerűen csatlakoztassuk egy normálisabb diktafon mikrofonbemenetéhez – ekkor a mikrofon csak a bejövő jelre fog figyelni, a beépített mikrofonját magától kikapcsolja

Ennyi!

telefonbeszélgetés rögzítése

Az egyetlen, amire érdemes odafigyelni, hogy a hosszabbító legyen minél kisebb ellenállású, azaz minél rövidebb. A kicsit is normálisabb diktafonokban egyaránt van külső mikrofonbemenet és olyan funkció is, ami csak hangra kapcsol be, azaz bejövő híváskor a diktafont kézzel be sem kell kapcsolni, mert magától elkezdi felvenni, amit a kábelen keresztül kap.  

Ha úgy gondolnád, hogy neked ilyenre sosem lehet szükséged, csak úgy írom, hogy nemrég egy jogi területen dolgozó, ámde primitív lélek feljelentést tett a rendőrségen, konkrétan behazudta a nyomozó hatóságnak, hogy én telefonon megzsaroltam őt – ami már kapásból hamis vád és hamis tanuzás és ki tudja még, hogy mi a jómadár munkaköréből adódóan – aztán a rögzített telefonbeszélgetést elemezve a nyomozók megállapították, hogy erről szó sincs. Valóban ő zsarolt meg engem, ez már magánügy, ilyen módon nem ide tartozik, arra mutattam rá, hogy bizony, igenis életszerű és komoly tétje van annak, hogy egy telefonbeszélgetést feketén-fehéren rögzíteni kell.  

3 Tovább

about.me: Szex hirdetés ez amúgy? 


Webszolgáltatásonként eltérő, hogy mennyire látszik rajta az első pillanattól fogva, hogy mit tud nyújtani a felhasználónak, akiket elérni sem könnyű, nem még hogy megtartani. A látogatónak tetszhet a minimalista kialakítás, mint az Ello esetén 

esetleg az, hogy nagy töménységgel jöjjenek a kedvenc IT-s véleményvezéreink által posztolt tartalmak, egy helyen, mint a Google Plusnál úgy, hogy nem vegyülnek el más, kevésbé érdekes tartalmakkal. A másik véglet, amelyik kimaxolja a személyességet, arra lett tervezve, hogy rommá dícsérgessük a másikat, például a WeHeartIt-en, ha valakinek az egója ugyan ugyanezt megkapja a Facebookon is, amiről azt is  rebesgetik, hogy egyre több fiatal gondolja úgy, hogy a FB nem menő, mivel túl sok tőle idősebb van rajta. Míg a Tumblr-en azok aratnak, akik kellően fanyar humorral osztják a káoszt, a Stackchange-n és a Quora-n ahhoz szoktunk hozzá, hogy értlemesen feltett kérdésekre jó eséllyel valóban értelmes válasz érkezik hála a pontozási rendszernek. 

A BestOfAllWorldsön és a Quibben hízhat a felhasználó mája, amiért egyáltalán használhatja. 

Nem is sorolom tovább, ahogy abba sem megyek bele, hogy SEO-szempontból miért jó, ha valaki számos szolgáltatást nem csak kipróbál, mint én, hanem némelyiket rendszeresen használja is. Ha egy posztra mutató link kimegy a Twitterre és a Facebookra is, onnan úgyis elérik, nyilván a követők számától függően [ún. influence]. Szigorúan személyes vélemény, hogy értéke annak van, amikor valakit inkább a tartalmai és kevésbé a személye miatt követnek, ez utóbbi a celebek, na meg a jobb sorsra érdemes self-brand tanácsadó szakemberek [komolyan van ilyen!] számára fontos. 

Ismét magánvélemény, de ha van szolgáltatás, ahol aztán ezerrel ömlik az egoista baromkodás és nem kevesen alighanem fizetnének érte, hogy ne legyenek fenn, na az az ask.fm. Egy számomra nagyon meghatározó ismerőst kérdeztem az ask.fm-ről, aki mindenről tud valamilyen úriemberhez méltó véleményt mondani, gondoltam, na, erre biztos nem tud. Mire azt mondta: "nem tudom értelmezni". 

Én kicsit hasonlóan vagyok az about.me-vel, ami egyfajta netes névkártyának tűnik, mivel általában senkinél nincs semmilyen más szolgáltatásokból automatikusan importálódó tartalom vagy alig, pusztán a profil. Nemrég vezettek be rajta egy feature-t, ami körülbelül a LinkedIN elismerést kifejező endorsementjének feleltethető meg. 

Szóval tartalom ugyan nincs rajta, de használják, viszont hogy az én profilomat miért nézik meg naponta 50-150-én úgy, hogy emlékeim szerint szinte sehol sincs linkelve, rejtély, mivel nem is használom, pusztán a nevem van rajta és a webcímeim. Az, ami miatt használják, nyilván az emberi természet azon része, hogy szeretünk kukkolni, aztán meg megkukkolni, hogy minket ki kukkolt meg, ugyanis alapértelmezett beállítás szerint ezt az about.me mutatja. 

A szolgálatás megy tömeges egómeghajtással és úgy fest, az üzleti modelljük is működik. 

Több közösségi webes jelenség magyarázatánál legfeljebb sejtésem van. Gyakorlatilag mióta rendelkezésre áll a követés funkció a FB-n, nálam be van kapcsolva, ugyanakkor szinte senki sem használja. Hiába vannak például ennek a blognak visszatérő látogatói, ami alapján azt sejtem, hogy érdekli őket - Benneteket - , ami itt megjelenik, mégis csak rendkívül lassan növekszik a követőim száma, holott ha valaki követésre jelöl, azonnal értesülhet róla, ha posztolok valamit ide vagy éppenséggel megosztottam valamit, ami fontos, de még nem sharelte rommá a fél világ. Talán Follow-olás lehetőségét azért hanyagolja szinte mindenki, mert túl személyesnek tartják sokan, hogy olyat jelöljenek követésre pusztán az érdeklődésük alapján, akit személyesen nem ismernek. 

Kísérleti jelleggel beindítottam a Facebook-oldalam, ami vagy fog működni vagy sem, amit viszont garantálhatok: nem rólam fog szólni, hanem olyan tartalmakról, ami jó eséllyel azt is érdekli is a drága geek-illatú Olvasót, hiszen alighanem azért van itt. Persze a saját posztjaimon kívül, amiknek egy része itt a Reblogon jelenik meg, lesznek nemzetközi technikai és tudományos hírek első kézből, ahogy azt a Facebookon eddig a profilomon is toltam, ami újdonság lesz, hogy nagyritkán megfűszerezem valami szokásosan értéktelen, de azért a témába vágó cicás-kutyás-coelhós képpel, animált GIF-fel, vattacukorral-törökmézzel. Persze ezek elérhetőek lesznek egy csokorban is, linken, viszont sehol máshol, például az RSS feedolvasókban alighanem nem jelennek meg, mivel a múltban lesznek dátumozva. 

Örülök neki, hogy az emailben érkező visszajelzések alapján sokaknak tudtam segíteni abban, hogy a Gmail vagy a Facebook fiókjukat megerősítsék, többeket sikerül elgondolkoztatnom, így lesz ez a jövőben is, döntően itt, a Reblogon. Azért meg én kérek elnézést, hogy a gyári sablonba szándékosan nem nyúltam bele, ennek főként az az oka, hogy tudni akartam, mennyien kíváncsiak magára a tartalomra, amit írok, így, díszcsomagolás nélkül. 

Ha már Reblog, induljatok a Reblog Maratonon, mert írni jó, aztán toljátok a kvaliti-veljúable-junik-kontentot. 

Ha szeretnétek időben értesülni azokról a tartalmaimról is, amik nem jelennek meg az Origo nyitón vagy éppen pont nem nézitek a Reblogot, ezt az embrionális állapotban lévő, oldalt tessenek szeretgetni. Klikk, lájk, See First, gusztus szerint! 



0 Tovább

Facebook oldal átnevezése 200 lájkoló felett


Avagy ismét egy trükk, ami elvben lehetetlen, gyakorlatilag simán megoldható, az online marketingesed pedig 1000%, hogy nem tudja. A végén némi net-teoretikai kitekintéssel.

Az utóbbi néhány napban eléggé alaposan elmerültem a FB-oldalak működésében, azt a részt most átugranám, hogy ez üzleti és gyakorlati szempontból milyen jelentősséggel bír.  Beszélgettem valóban jó online marketingesekkel, ami viszont általános tapasztalat, hogy az online marketingesek nem ismerik ízig-vérig a közösségi szolgáltatásokat, holott nagyon illene, emiatt nagyon sokszor nem tudnak megvalósítani olyat, ami az ügyfél számára előnyös lenne, rosszabb esetben pedig annyira mellényúlnak, hogy többen ártanak, mint használnak akár egyetlen rossz lépéssel is.

Na, akkor in medias res. A probléma: adott egy facebookos oldal, aminek több, mint 200 lájkolója van, emiatt nem nevezhető át. Amíg nem éri el egy oldal lájkolóinak a száma a 200-at, mindenféle bravúr nélkül átírható az oldal neve, viszont azt követően, hogy ennél több, már fel kell venni a kapcsolatot a Facebook hírhedt supportjával. Az átnevezési kérelmet pedig szinte biztos, hogy elutasítják. A Facebook oldalakkal kapcsolatos súgója nem azt mondja, hogy egy oldal egyáltalán nem nevezhető át 200 fan felett, hanem azt, hogy átnevezhető abban az esetben, ha ez a kapcsolódó guidelines-juknak megfelel, amiben persze megvan a logika, hiszen ha össze-vissza lehetne könnyűszerrel átirkálni az oldalak nevét, belátható, hogy az tömeges content poisoningra adna lehetőséget a blackhat SEO-s arcok miatt, amiből a felhasználók annyit látnának, hogy olyan oldalak virítanak a profiljukon és öntik az arcukba a kontentot, amit ők sosem lájkoltak.

Mi nem megoldás, mit NE tegyél, de tényleg ne, ha át akarsz nevezni egy nagy oldalt?
-    Úgy tűnhet, hogy önmagamat cáfolom meg, de ne higgy senkinek, aki előáll a tuti tippel! De tényleg ne! Egyrészt egy hülye tanácsot követni nagyon sokat árthat. Másrészt tudvalevő ugyan, hogy vannak olyan contact formok, amik közvetlenül nem érhetők el a Facebook felületéről – ilyen például a fiók végleges törlése is – amiben egy jó indoklással szinte mindent el lehet érni, ahogy többen sejtik azt is, hogy például milyen lépéseket kell követniük, ha egy nekik nem tetsző személyt, tartalmat vagy oldalt el akarnak távolítani vagy vissza akarnak állítani. Viszont hogy a Facebook mikor milyen forgatókönyvek szerint jár el, az legjobb esetben sejthető, aki azt mondja, hogy biztosan tudja, az hazudik.
-    Ahogy hasonló problémáknál lenni szokott, a témában még az első néhány száz keresési találat is ostobaság, ráadásul veszélyes ostobaság, ezeket ne kövessük, amiből valamiféle információ szerezhető, az egy évnél nem régebbi, témában megjelent leírások, de az nem az első száz találat közt lesz, az biztos.
-    Több helyen azt olvasni, hogy a felhasználó telepítsen ilyen-olyan böngésző plugint, aztán jó lesz. Egy ilyen böngésző plugin valójában egy webes proxy szerepkörét tölti be, na meg nem mellékesen súlyos veszélynek teheti ki az oldal, az egész gépet, szóval az elővigyázatlan felhasználó gyakorlatilag a fél veséjével fizet érte, ráadásul lehet, hogy nem is működik.
-    Igaz, hogy a ritkán felmerülő problémák megoldásához szükséges tudásáért valaki joggal kérhet pénzt, akár nem is keveset, de a neten látatlanba ne fizessünk senkinek ilyenért, még egy marketing ügynökségnek is csak akkor, ha már sikerült megoldaniuk a problémát.

Akkor mi a megoldás? Kis ismétlésként leírom, hogy hogyan is működik a Facebook supportja, amelyik ugye a legdrágább erőforráson, az emberi erőforráson spórol, ahol tud, ezért nehézkes kapcsolatba lépni velük legtöbbször és valami érdemit elérni.

Teljesen mindegy, hogy milyen bejelentésről van szó, első lépésben egy algoritmus elbírálja, hogy egyáltalán érdemes lehet-e foglalkozni a dologgal, ez már eleve nagyon sok tényezőtől függ, hiszen a Facebook más felhasználási feltételeket alkalmaz különböző államokban illetve régiókban, valamint függ attól, hogy a felhasználónak mennyi olyan kérése volt korábban, amit pozitívan bíráltak el, ha pedig egy oldalról van szó, akkor sejthetően az oldal számos tulajdonságától, mint az oldal kora, típusa, aktivitása és ki tudja még, hogy mi.

Abban az esetben, ha az első ellenőrzésen sikeresen keresztülment a kérelem, akkor kerül moderátorok elé, de nem ám a Facebook főhadiszállására kell gondolni, az piszok drága lenne. A moderátorok vélhetően a harmadik világban bagóért dolgozó, angol nyelven többé-kevésbé tudó alkalmazottak, akik kizárólag egy teljesen rigid, sokszor végképp nem logikus vagy igazságos forgatókönyv szerint járhatnak el és dönthetnek valaminek a módosításával kapcsolatban. Körülbelül ez felel meg a level-1 supportnak. A kérelmek szinte egyike sem jut tovább innen. Példa: eltávolításért bejelentett uszító, pornográf vagy tévesen annak vélelmezett tartalmak. Én a webes óriások helyében nem lennék ennyire prűd, mert lehet, hogy nagyon komoly árat kell fizetni érte.

Viszont a forgatókönyv azt is leírja, hogy mikor kell tovább dobniuk a labdát a tőlük már több döntési szabadsággal és jogosultsággal rendelkező support teamnek. Tipikus példa lehet ilyenre a tömeges pornográf tartalom, embercsempészet vagy nagyon jelentős mértékű fegyver- és drogcsempészet gyanuja. Ha úgy gondolnád, hogy annyira azért nem hülyék a rosszfiúk, hogy a Facebookot használják ilyen tartalmak megosztására vagy ilyen témák megvitatására, nos, egy részük tényleg ennyire hülye. Remek kérdés, hogy az a level-2 supportnak megfeleltethető csapat milyen módon dolgozik együtt például a Homeland Securityvel, amelyik olyan, mint Magyarországon a Nemzeti Nyomozóiroda. Viszont lehet, hogy itt döntenek olyan kérdésekben is, aminek a tárgya nem valamilyen visszaélés, bűncselekmény, de eléggé fajsúlyos, hogy ide kerüljön.

Viszont még egyszer: nem tudni, hogy egy-egy bejelentéskor merre pattan a labda, ahogy a support rendszer felépítése is érthető módon nem ismert pontosan.

Tegnap közel harminc perc keresés után – ami nálam nagyon soknak számít – azt gyanítottam, hogy az átnevezgetéssel kapcsolatos kérelmek sorsa nagyban függ attól, hogy a kérelem melyik államból érkezik. A Facebook felhasználási feltételeit ember legyen a talpán, aki követni tudja, de nem mellékes, hogy a felhasználókra vonatkozó szabályok nem csak attól függenek, hogy melyik államból vagy régióból történt a regisztráció, ahol rátapostak az Agree gombra, hanem attól is, hogy a felhasználó melyik államból használja a szolgáltatást és itt a lényeg.

Volt egy olyan sejtésem, hogy törvényi kötelezettség vagy ki tudja, hogy milyen okból, az USA területéről érkező bejelentések elbírálása ez EU-stól eltérően történik. A több ezres oldal átnevezését egy nappal korábban utasították el egy, számukra igencsak praktikusan semmitmondó válasszal.

Nosza, fogtam egy szűz böngészőt, pontosabban olyan böngészőkörnyezetet, amit a legjobban a pornó módnak is becézett inkognitó módhoz tudnék hasonlítani, viszont mégsem az. Ez azért fontos, mert ha például a korábbi munkamenet azonosítóm alapján felismer a Facebook vagy más web giant, akkor annak megfelelően fog kezelni – na meg az egész szolgáltatás viselkedni – amilyen régióból beléptem. [Például a korábban ismertetett SMS-küldözgetős feature el sem érhető a Google esetén. ]

Azért pedig, hogy az USA-ba tudjam varázsolni magam, kellett egy USA-beli VPN. Fontos, hogy a VPN szerepét nem helyettesíti egy webes proxy, másrészt tudom, hogy vannak ingyenes VPN-szolgáltatók, azok többségét bottal nem piszkálnám meg, mert jó esetben csak lassúak vagy forgalomkorlátosak, rosszabb esetben kockázatosak. Azt hinnénk, hogy az online marketing ügynökségeknél nyilván van valamilyen virtuális magánhálózati előfizetés, hiszen alapvetően olcsó másrészt lévén, hogy egyre több minden van a neten, aminek az elérése államhoz kötött, simán szükség lehet rá, hogy gyorsan átvarázsoljuk magunkat a világ túloldalára. Itt most az a fő szempont, hogy minél több földrajzi helyet lehessen bekamuzni, ha kell. Nos, ehhez képest az online marketingesek nem vágják, hogy mi az a VPN. A szűz böngészővel egy USA-beli VPN-en keresztül csatlakoztam, majd felléptem a Facebookra, amelyik persze rögtön rákérdezett, hogy valóban én vagyok-e, mivel pár perccel korábban még a vén Európából kapcsolódtam, miután ez megvolt, elindítottam pontosan azt a formot, amit egy nappal korábban és kértem az oldal átnevezését. Hogy-hogynem, összesen 10 perc nem telt el, átnevezzék a több ezer lájkerrel rendelkező oldalt!

Fontos megjegyzés, hogy attól, hogy ez nálam működött, egyáltalán nem biztos, hogy másnál is működni fog, tehát ne engem kéretik anyázni, ha hasonló helyzetben nem működik a leírt módszer. Hiszen ahogy írtam jópár tényezőtől függ, hogy egy kérvényt hogyan bírálnak el, a support viszont sosem indokol olyan módon, hogy az érdemi többletinformációt jelentsen, hiszen ha részletesen indokolnának egy moderátori döntést, ebből következtetve ezzel sokan azonnal vissza is élnének, röviden: kijátszhatóbb lenne a dolog. Mindegy, hogy miről van szó, az indoklás rendszerint annyi, hogy a döntés a felhasználási feltételek kapcsolódó részeivel összhangban van vagy sincs.

Megjegyzem, a Facebook fenntartja magának a jogot, hogy bármilyen döntést indoklás nélkül ismét felülbíráljon – nem is a Facebook lenne, ha nem így lenne.

Egy több ezres oldal átnevezésekor egyébként az összes lájkernél felvillan, hogy egy általa korábban kedvelt oldalt átneveztek és döntsön, hogy továbbra is lájkolja-e, mivel ez megzavarja a felhasználókat, így néhányan elhagyják az oldalt, némi veszteséggel lehet számolni, de egy több ezres oldal esetén ez nem jelentős.

Ennyi!

Amit fontos tudni, hogy önmagában az anonimizálás nem elég, sőt, inkább rossz például ilyen facebookos műveleteknél, hiszen a Facebook nagyon jól tudja, hogy melyik felhasználó érkezik TOR-on vagy más anonimizáló hálózaton keresztül keresztül.

Végül ejtenék pár szót arról, hogy szerintem hogyan érdemes VPN-szolgáltatót választani. A szolgáltatók profiljukban eltérnek egymástól olyan módon, hogy van, amelyik a nagy sebességet emeli ki erősségei közt, amivel látástól Mikulásig lehet torrentezni, megint másik kimondottan tiltja a torrentezést és a nagy adatátvitellel járó forgalmat, viszont erősségként kiemeli, hogy egy előfizetést egy rakás eszközön lehet egyszerre használni. Megint más VPN-szolgáltató azt hangsúlyozza, hogy a világ szinte minden országában jelen van. Illetve hogyne lennének olyan szolgáltatók, amelyek esküsznek a szeplőtelen szűzanyára, hogy számukra aztán a böngészés szent és sérthetetlen, az ő titkosításuk a legerősebb és ők aztán nem adnak ki adatot hatóságoknak sem, mivel nem naplóznak a feltétlenül szükségesnél több ügyféladatot. Ilyen szolgáltató persze simán lehet, hogy éppen egy titkosszolgálat fedőszerve, ahogyan az is, hogy semmivel sem anonimizál jobban az ő szolgáltatásuk, mint bármely más.

Végül megosztanék egy elgondolkodtató személyes sztorit. Egy szakmai rendezvényről vonatkoztunk haza, amikor szóba került a hálózati forgalom anonimizálása és szóba hoztam, hogy milyen aggályaim vannak a TOR-ral kapcsolatban és én melyik VPN-szolgáltatót használom. Az ott lévő überszuper tényfeltáró újságíró rögtön rávágta, hogy ez hülyeség és kész, mert az a szolgáltató az USA hatóságainak adatokat szolgáltatott ki valamelyik évben valamelyik ügyfeléről. Igen ám, csakhogy abban az esetben a kedves előfizető éppen valamilyen súlyos bűncselekményt tervezett elkövetni és az ottani hékek már egyébként is figyelték. A történet nagyon emlékeztet arra, amikor a világ egyik legbiztonságosabb levelezőszolgáltatójának tartott Hushmailt a Wired kemény kritikával illette amiatt, hogy néhány esetben adatokat szolgáltatott ki a hatóságoknak és azt a téves benyomást keltette, hogy akkor nem is olyan biztoságos, szar az egész. Nos, a Hushmailnél emlékeim szerint ez akkor történt, amikor az egyik ügyfelük arról diskurált már jóideje, hogy egy targoncányi drogot hogyan csempésszenek át, de ebből nem következik, hogy a Hushmail megtévesztené az ügyfeleit vagy szembe menne a saját elveivel.

Korábbi posztokban már írtam róla, hogy először azt kell tisztázni privacy-related kérdésekben, hogy az adatot és az adatátvitelt kitől akarjuk óvni ténylegesen, az NSA-től vagy valami ellenérdekelt gyökértől, akinek vannak olyan kapcsolatai, amin keresztül szervereket foglalhat le egy-egy szerverteremből abban az országban, ahol azok vannak vagy jó cimborája egy netszolgáltatónál, amelyik a titkosítatlan adatot sniffelheti, a meglátogatott oldalakat naplózhatja. Na már most ki-ki döntse el magában, hogy az IT viszonyokat ismerő arcként neki az a fontosabb, hogy az elvi lehetőségét is kizárja vagy csökkentse annak, hogy a netszolgáltatóján keresztül esetlegesen lehallgassák az adatforgalmának titkosítatlan részét vagy bérgyilkosként az, hogy őt aztán ne lássák a legkomolyabb hatóságok sem.

Ami a TOR-hívőket illeti, komolyan nem tudok velük mit kezdeni, mivel értelmes indoklást még nem hallottam vagy olvastam azzal kapcsolatban, hogy a gyakorlatban a TOR miért szavatolná jobban az anonimitást, mint egy normálisan beállított OpenVPN, ugyanakkor olyat már többször olvastam, hogy a TOR kliensszoftverében orbitális méretű biztonsági rés tátongott. Attól ugyanis, hogy valami nyílt forráskódú, még nem jelenti azt, hogy a benne lévő hibát gyorsabban meg is találják, viszont nem is olyan elképzelhetetlen konteó, hogy a TOR Projectben vannak olyan fedett nyomozók [konyhanyelven titkosügynöknek hívják] önkéntesként, akik szándékosan tesznek olyan backdoort a szoftverbe, ami majd lehetővé teszi, hogy lazán megfigyeljék a TOR-felhasználókat.

Szoktam utalgatni rá, hogy egyre súlyosabb probléma, hogy a felhasználók az információbiztonság fontosságáról azért nem győzhetők meg, mert nem értik, amilyen mélységben kell. Azt viszont még nem írtam, hogy a tőlük is súlyosabb, abszolút meggyőzhetetlen arcok viszont azok, akik alaposan rápörögtek az elmúlt évek privacy-hypejaira, mondjuk egy tényfeltáró újságírói szervezet tagjaként nap, mint nap bújják a Wikileaks-et, csak TOR-on csatlakoznak és értik is, hogy az anonimizálási módszerek hogyan működnek. Pont azért nem lehet meggyőzni őket semmiről, mert úgy gondolják, hogy úgyis ők tudják jobban. Megjegyzem, hála a jó égnek, őket nem is akarom meggyőzni.

Képek: laptopmag.com, lessingflynn.com

0 Tovább

Jövő hetem...


majdnem olyan lesz, mint felszedni 1500 pingpong labdát egy tornateremben nitrogénpukkantás után.

0 Tovább

Mitől szakértő a szakértő? Profi vagy kókler? 


Ha voksolni lehetne arról, hogy melyik legyen az évtized legrémesebb buzzwordje, alighanem a big data fölényesen nyerne. Mi is a big data? Paradigma, módszertanok összessége? Több vagy kevesebb annál? Erre alighanem csak a jövő fogja megadni a választ, azt viszont nagyon is érdemes tudni, hogy ki az, aki nem csak dobálózik a big data fogalmával és ki az, akinek ugyan lövése nincs az egészről, irkál meg előad a témában bújtatott marketing részeként.

Nemrég láttam a LinkedIN-en, hogy egy önmagát adatvarázslónak aposztrofáló cég megjelentetett egy blogposztot, nulla hozzáadott értékkel, ami önmagában tényleg egy büdös szót nem érdemelne. Az viszont már igen, hogy az egyik hazai nyelvtechnológiai cég vezetője kommentelte, ezek szerint valamiféle jelentőséget mégiscsak tulajdonított neki, márpedig egy totálisan kókler poszthoz úgy hozzászólni, mintha az unikális tartalom lenne és nem bullshit, kicsit olyan, mintha a Napiszarra mennénk fel önmagunknak barátnőt keresni.

Meg is fogalmaztam egy szép hosszú kommentet, majd inkább töröltem, mielőtt kommenteltem volna, hogy ne úgy jöjjek ki a dologból, mint a szőrszálhasogató tuskó.

A szóban forgó blogposzt az elején leszögezi, hogy bullshitmentes és marketingmentes lesz, ehhez képest gyakorlatilag csak azt tartalmaz, abszolút nulla hozzáadott értékkel. Felmerült bennem a kérdés, hogy hogyan állapíthatja meg valaki a másikról, hogy valóban otthon van-e azon a területen, amit újabban adattudománynak is szokás nevezni, ha ő maga nem ért hozzá mélyen. Röviden: hogyan különböztethető meg a profi a kóklertől?

Hirtelen az jutott eszembe, amikor legutóbb egy számítógépes nyelvészeti konferencián több workshop is volt, ahol több csapat is bemutatott olyan megoldásokat, amiknek a lelkét főként valamilyen gépi tanuláson, ide kapcsolódó mintázatfelismerésen, és rokon adatbányászati módszereken alapuló technikák adták.

Ahogy Linus Torvalds mondta, „Talk is cheap. Show me the code”, érdekelt, hogy egy-egy nyelvi feldolgozónál milyen algoritmusokat alkalmaztak, kombináltak, milyen programozási nyelvet használtak a megvalósításához. Így hát bele is kérdeztem, de nem nagyon tudták megmondani, mert hát „azt a Béla tudja”, a Béla meg persze, hogy nem volt ott. Ez persze nem jelenti azt, hogy ezek a kutatócsoportok hülyékből állnának, messze nem. Csak azt, hogy persze, van egy projektvezető, egy ötletember, egy elméleti arc és a csapatban persze valahol van egy ember, aki leprogramozza, amit kisütöttek, viszont a csapat úgy is képes hatékonyan működni, hogy nem lát bele minden tag minden apró részletbe, ami persze így normális, ettől csapat a csapat. Ugyanakkor mégis közösen le tudnak tenni az asztalra egy bizonyítottan újszerű és működőképes szoftvermegoldást.

Merőben más az az eset, amikor valaki gyakorlatilag bújtatva, de előadja magát fene nagy adatelemzőként, ismer is néhány látványos eszközt, de a tényleges tudás fájdalmasan hiányzik. Márpedig az ilyen nagydumás tahókkal alaposan el lettünk eresztve, akik végülis kifogták a szelet a big data vitorlából. Van-e esélye egy céges döntéshozónak megállapítani, hogy ha adatelemzésről vagy big data módszerek bevetéséről van szó, akivel tárgyal, kókler vagy profi? Az én véleményem, hogy határozottan van.

Mindenek előtt, ahogy más területen is, félre kell tenni azt a hiedelmet, hogy aki bele mer kérdezni egy-egy módszer mikéntjébe, az kötekedni akar, mert nem. Ha hangzatos terminusokkal találkozik akár egy újságíró, akár egy cégvezető, hirtelen kérdezzen bele és ne hagyja, hogy a szakértő úr valami kommunikációs csellel megkerülhesse a választ. Persze, persze, ha nem tudja a választ, az lehet azért is, mert esetleg nem érti jól vagy izgul, de ha már sorozatban fordul elő, az nem sok jót sejtet. Amit pedig a profiktól megtanulhatunk, hogy nem félnek azonnal rávágni, hogy „nem tudom”, ha valamit nem tudnak, jó esetben azt viszont igen, hogy milyen irányban lenne érdemes elindulni, hiszen a profizmus megköveteli, hogy az illető ismerje behatóan annak a szakirodalmát, amiről beszél.

A másik, hogy a kóklerek gyakran használnak igencsak látványos, már-már szemet gyönyörködtető ábrákat, dobbantanak demókat, arra viszont már nem tudnának szakmailag elfogadható választ adni, hogy miért pont azt az eszközt használják, amit. Lehet ilyen az SPSS, R, Rapidminer és számos más szoftvercsomag vagy programozási nyelv, ami viszont fontos, hogy a kókler azt használja, amit meg tudott tanulni, a profi pedig azt, ami egy-egy adott feladat megoldásához a legideálisabb!

Nem világos, hogy mitől függ az, hogy ki milyen módszertanról milyen véleményt alkot, viszont a profi egy-egy projektben tudatosan kiválasztott módszertant követ, amitől nem fél eltérni, ha az ésszerűség azt diktálja. A kókler kevésbé tervez, ahogy esik, úgy puffan.

A profik folyamatosan figyelnek a visszajelzésekre egyrészt önmagukkal, másrészt a megoldandó feladattal kapcsolatban is, míg a kóklerek csak ritkán, esetleg semennyire. Elcsépelt, de nem is tudnék olyat, ami jobban illik ide: „Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.” Nem ritkán szivesen írnék egy témáról, csak aztán belegondolok, hogy elolvasnék még előtte jópár könyvet, hogy véletlenül se kerüljön bele kontárság, aztán végül nem írom meg. Sajnálatos, de igaz, hogy a többség, aki megszólal egy-egy témában, nem így működik, kis lexikális tudással pedig csak a baromság dől hozzáadott érték helyett. Bizonyára voltatok már úgy, hogy egy téma szakértőjétől meghallgattatok egy előadást, aztán a végére megérett az a gondolat, hogy „Ezt az előadást én is tarthattam volna, holott nem is vagyok szakértő. Hihetetlen, hogy aki hivatásszerűen foglalkozik vele, ezzel keres!?”

Ismét csak azt mondom, hogy a jó kutató ismérve többek közt az, hogy képes holisztikusan is szemlélni egy-egy feladatot, míg a kevésbé tehetséges egy bizonyos fogalomrendszerbe bezárva él. Azt vettem észre, hogy ezzel sajátos módon együtt szokott járni az, hogy a kókler fájdalmasan a mainstreamet majmolja, míg a profi tud és mer teljesen máshogy gondolkozni, hiszen attól profi, jelentős értéket teremteni igazából így lehet. Tény, hogy sokszor nem a téma véleményvezérei a legjobb szakértők, csupán a legismertebbek és nagyon gyakran sokkal sikeresebbek, mint akik tényleg tudnak. Egészen addig, amíg meg nem változik a környezet, aztán bambi. Egy gyökeresen megváltozó környezetben ugyanis a profi képes gyorsan váltani, egy kóklernek viszont ez annyi idejébe telik, amennyi idő alatt a cég becsődöl háromszor. A piaci környezet viszont nem változik gyakran. Legalábbis nem eléggé gyakran, sajnos.

Végül meg kell jegyeznem, van benne valami bizarr báj, hogy van valaki, aki mondjuk egy-egy, tudományos szaksajtóban megjelenő hírt vagy akár csak idézetet valamilyen formában elsőként elhozza hazai közegbe például egy Twitter-bejegyzésként, aztán az egy lap megírja félreértelmezve, megint másik helyen megjelenik már fél fokkal normálisabban, de úgy írnak róla, mintha ők találták volna. Az egyik legnagyobb ismert fehérkalapos hekker mondta nekem, amikor befejezte a blogolást annak kapcsán, hogy miért tészi’ le a lantot, az hogy tele lett vele a bakancsa, hogy az ő blogjáról lopkodják át a híreket azok a szerzők, akik még ahhoz is gyökerek, hogy saját maguk kövessék a nemzetközi sajtót és jó esetben megnézik az eredeti forrást is. Azt hiszem, hogy átérzem a dolgot.

Hölgyeim és Uraim! Azért azt ne felejtsék el, egy idézet eredete, első elfordulása sokszor nehézkesen azonosítható, az viszont már sokkal könnyebben, hogy például magyar szövegkörnyezetbe ki idézte először. A posztot egy korábban általam már idézett, Dan Arielynek tulajdonított idézetével zárnám:

Big data is like teenage sex: everyone talks about it, nobody really knows how to do it, everyone thinks everyone else is doing it, so everyone claims they are doing it...

Ami a művelődnivalót illeti, a technikai jellegű irodalmat ismeri, az tudja, hogy hol keresse, mindenki másnak bevezetőként a posztban mutatott könyveket tudnám javasolni.

0 Tovább

Email biztonság, újragondolva – jelszó nélkül


Mióta az azonosításhoz használnak jelszavakat, gyakorlatilag ugyanaz a probléma velük: a felhasználó leírja, elhagyja, lenyúlják, lelesik, kölcsönadja, a jelszó túl gyenge és folytathatnám a sort. A blogon már többször is téma volt az egyre több helyen bevezetett többlépcsős, konkrétabban kétlépcsős hitelesítést valamilyen formában, azaz amikor a felhasználói nevünk és a jelszavunk, - mint két statikus azonosító – mellett meg kell adni még egy, egyszer használatos azonosítót is, ami például egy SMS-ben érkező token vagy egy mobilalkalmazás által generált, adott ideig érvényes számsor. Tanulságos, hogy ezt a netbankos rendszereknél vezették be először, majd jóval később, sorra azok a szolgáltatók, akiknél nagy mennyiségű információ tárolódik, mára pedig támogatja gyakorlatilag minden komolyabb webszolgáltatás.

Ami még érdekesebb, hogy a Yandex január táján gondolt egy nagyot és a nagy és ingyenes szolgáltatók közt elsőként opcionálisan olyan authentikációt tett elérhetővé a belépéshez, amivel a jelszó teljes egészében nélkülözhető: csak a felhasználói nevet kell megadni, a jelszót pedig képletesen egy olyan állandóan kulcs helyettesíti, ami végülis mindig nálunk van.

A beállítási folyamat meglehetősen egyszerű, az okostelefonunkra le kell tölteni a Yandex Key alkalmazást, majd a lépésről lépésre történő webes beállításkor megjelenő QR-kódot beolvasni vele, de megadhatjuk a képernyőn megjelenő átmeneti karaktersorozatot is. Jó, jó, de ezt eddig tudta többek közt a Google Authenticator, a Microsoft Authenticator, a Duo Mobile és a többi is, nem? Itt jön a csavar: a Yandex Key beállításához kötelezően be kell állítani egy négy számjegyből álló alkalmazás PIN-t is.

Innentől kezdve, ha megpróbálunk belépni a Yandex-fiókba, a Yandexen csak a felhasználói nevet kell beírni, majd a jelszó helyett a QR-kód ikonjára kattintani, ekkor egy QR-kód jelenik meg a képernyőn. Ezt be kell olvastatni a Yandex Key appal és a beléptetés megtörténik. Viszont! Abban az esetben, ha a Yandex Key megnyitása után hibás PIN-t adunk meg, szintén bescannelhető ugyan a QR-kód, viszont azzal a beléptetés nem fog menni és – ami a lényeg – ha valaki mondjuk az ellopott mobilunkkal próbálni így belépni, nem fog  tudni, mivel az alkalmazás PIN-t nem ismeri. Ha eddig nem lenne eléggé csavaros a dolog, az alkalmazás nem figyelmeztet érvénytelen PIN esetén sem, így a támadónak nagyon megnehezíti a dolgát, mert még ha neki is állna végigpróbálgatni a 10000 ismétléses permutációt, ami a PIN lehet 0000-9999 tartományban, nem fogja tudni könnyen megállapítani, hogy mikor talált.  

Akkor ez most végülis kétlépcsős hitelesítés vagy sem? Végülis igen, de eddig nem látott kivitelben. Jelszó helyett mindössze a négy számjegyű alkalmazás PIN az egyetlen fix elem, amire emlékezni kell, meg persze a saját felhasználói nevünk.

Természetesen a többi 2-FA megoldáshoz hasonlóan itt is van lehetőség alkalmazásjelszavakat létrehozni vagy visszavonni például levelezőklienshez, viszont vegyük észre, hogy a Yandex ezzel a módszerrel kiiktatta a felhasználók azonosításában örök problémát jelentő tényezőt, a statikus jelszót!

Abban az esetben, ha a mobil nem alkalmas QR-kód olvasására, a QR-kód helyett a webes belépésnél kérhetjük azt is, hogy egy egyszer használatos karaktersorozatot kelljen megadni, ami szintén a Yandex Key-en olvasható le.

Amíg nagyon bétában futott, tapasztaltam olyat, hogy nem sikerült belépni a helyes PIN ellenére sem, a hibát azóta már javították, az ok valószínűleg az volt, hogy a mobilalkalmazás más időzónát használt, mint ami a Yandex-fiókban be volt állítva. Hogy ennek mi a jelentőssége, azzal senkit sem büntetnék, erre lehet olvasni róla

A posztnak azt a címet adtam, hogy „Email biztonság”, mert a Yandexet évek óta elsősorban levelezésre használom. Viszont érdemes tudni, hogy az orosz google-nek is csúfolt webes óriás a levelezésen túl fájlhoszting szolgáltatóként is működik, van benne térképalkalmazás, webes fordító, naptár, gyakorlatilag minden, ami a Google-account vagy éppen Microsoft-accountok használatakor is elérhető.

Az ok, ami miatt a Yandex alig ismert Európa nyugati régióiban, egyszerű, konkrétan az, hogy nagyon sokáig nem volt elérhető angol nyelven, néhány éve viszont szinte minden szolgáltatását elérhetővé tették angol nyelven is. Ha először használod és oroszul jelenik meg, de nem tudsz oroszul, egyetlen kattintással állítható át a teljes felület angolra.

0 Tovább

iMessage, Apple-minőség... 


Ritka, több éves, ámde annál irritálóbb bugba akadtam az iMessage-ben, alighanem nem csak én. Pontosabban, hogy ez most bug vagy feature, ki-ki döntse el, ami szinte biztos, hogy alighanem problémát a legharceddzettebb Apple-idomár sem tudná megoldani, hacsak nem olvasott utána az iMessage protokoll, na meg azonosítás lelki világának, ha nem olvasott utána a témának. Ilyen szempontból egészen jó kiindulópont mondjuk ez a fórum. Az iMessage-t annak idején többek közt több, nem ritkán több Apple-eszközt egyszerre érintő sebezhetőség bejelentése után kapcsoltam le, amik közt olyan is előfordult, ami elvben távoli kódfuttatásra  adott lehetőséget a legfrissebb üzenetküldőben is. 

Amikor elkezdtem használni az iMac-emet, arra gondoltam, hogy létrehozok egy külön iCloud-fiókot neki, amit az egyik iPhone-omon is bekapcsoltam, eléggé gyorsan kiderült, hogy volt nem túl jó ötlet, ezért használtam ismét az eredetit a mobiljaimon is, viszont hiába száműztem, mi több, töröltem az új AppleID-t, az iMessage aktiválásánál mégis azzal próbált a szolgáltatáshoz kapcsolódni annak ellenére, hogy az újonnan létrehozott AppleID már nem is létezett. 

A hibajelenség valahogy így nézett ki, nem a posztban lévő mailcímeket használtam, de ez a lényegen nem változtat. Amikor próbáltam aktiválni az iMessage-t az érintett iPhone-omon, akkor az a korábbi, már nem létező apple @ brdczi.net AppleID-vel akart kapcsolódni és nem is ajánlotta fel, hogy azzal a címmel kapcsolódjak, ami a mobilhoz hozzá volt rendelve a többi iCloud szolgáltatáshoz, azaz az akos @ brdczi.net –tel. 

A dolog meglehetősen reménytelennek tűnt, megnéztem a fent emlegetett fórumot, majd Macbookon a meglévő AppleID-vel belépve megnéztem, hogy milyen feladói címmel „envelope”-pal engedélyezett az üzenetküldés, amiben látszódott a mobilszámon kívül több email cím is. Ezek egyike a korábbi AppleID-hez kapcsolódó feladói cím volt, ezért emlékezett – messze nem világos módon – az eszköz arra, hogy valamiért azzal kellene a szolgáltatást bekapcsolnia a mobilomon is. Az összes hozzárendelt envelope email-címet kiszedtem, csak a mobilszámot hagytam benn, a szolgáltatást az iMac-en és a Macbookon is kikapcsoltam, majd ismét be, hozzáadva egy, az új AppleID-hez kapcsolt email-címet. Ezt követően az iPhone-on az iMessage aktiválásnál már nem a régi AppleID-vel próbált kapcsolódni az iMessage-hez, hanem azzal, amit a többi szolgáltatás is használt az eszközön. És működött. 

A jelenség egyrészt felveti azt a kínos kérdést, hogy milyen programozástechnikai hibák lehetnek az almás felhő szolgáltatásaiban, amik esetleg nem csak kellemetlenek, hanem biztonsági szempontból is hagynak maguk után kivetnivalókat, mint amilyen volt a szintén éveken keresztül észrevétlenül maradt „goto fail” néven elhíresült SSL-t érintő sebezhetőség. Másrészt, persze nem Apple sajátosság, de jól tudjuk, hogy az Apple Care, na meg az Apple szervizei a gyakran előforduló problémák megoldására vannak berendezkedve, olyan probléma megoldására, ami a felhasználóknak legfeljebb néhány ezrelékét érinti, alighanem nem, így ha ritka issue miatt kerül az eszköz szervizbe, szinte biztos, hogy nem ússza meg a factory resetet, a felhasználó pedig egy kiadós adatvesztést. Ez utóbbinak az az oka, hogy ha a szerviz vagy a felhasználó teljes biztonsági mentést csinál az iPhone-járól vagy iPad-járól, az minden lesz csak nem teljes. Az Apple-felhasználóknak érdemes tudniuk többek közt azt is, hogy egy-egy teljes mentés utáni visszaállítás az alkalmazásokat, üzeneteket, emaileket visszaállítja persze, viszont a belső alkalmazásadatokat, mint mondjuk egy üzenetküldő app chatlogjai, amiről az app szerveroldalon nem tárol mentést, azt nem. Márpedig bőven van olyan alkalmazás, amelyik például a belső üzeneteket nem tárolja szerveroldalon spórolva az erőforrásokkal, egy ezer éves beszélgetés csak azért húzható elő, mert a mobil SQLite-adatbázisa tárolja, ami egy iTunes-os teljes  mentésbe vagy bekerül vagy sem, ezeket pedig iOS esetén messze nem triviális ledumpolni. Azaz sajnos vannak olyan alkalmazásadatok, amik gyakorlatilag tényleg csak addig léteznek, amíg az eszköz megvan és működik. 

Kép: pix-hd.com
 

0 Tovább

Hogyan legyél kiber PUA?


Se szeri, se száma azoknak a videóknak, amiben valami korábban sehol sem látott, pocakosodó fószer löki a vakert arról, hogy mi a biztos módja annak, hogy valaki felszedjen egy csajt, amit vissza is igazolnak azok az esetek, amikor a PUA-növendékeknek sikerül is koppintania valamelyik módszert és véletlenül olyan csajba akadnak, akinél pont működik. Azt meg hagyjuk, hogy ezeknél a hölgyeknél könnyen lehet, hogy bejönne bármilyen más módszer is, szóval abszolút nem az unikális jelleget keresik a pasiban.

Na jó, nem vagyok én akkora nagy párkapcsolati szakértő, mint Kiss Ádám eredetileg amúgy molekuláris bionikus, mérnök informatikus kolléga, akinek a videója olyan parádésra sikerült, hogy azt először valami Viktória nevű zsebpolihisztor utána pedig Paintshop Noémi  szedte darabokra, ahogy kell.  

Szóval mi a helyzet akkor, ha nincs időd vagy kedved emberek közé menni, de azért felszednél valakit, akár komoly, akár komolytalanabb kapcsolat céljából? Nosza, ott a mobilos-kattintgatós-ismerkedős appok luxusverdája, a Tinder, aminek a lényege így foglalható össze, ha valakinek kimaradt volna: az app dobálja fel a hölgyeket, aztán jobbra vagy balra húzod a fotót, függően attól, hogy bejön-e, ha pedig kölcsönösen bejöttök egymásnak, akkor a match alapján el lehet kezdeni a chatelést. A helymeghatározásnak különös szerepe van abban, hogy kiket dobál fel ajánlatként. Az ötlet egyébként nem új, olyannyira nem, hogy a helymeghatározáson alapuló mobilos ismerkedő alkalmazások közül bő 3 évvel korábban jelent meg a melegek által használt Grindr,  így történetileg akár helyesebb is a Tindert a heteró grindr-nek nevezni, nem a Grindr-t meleg tindernek, na de maradjunk a polkorrektek.

Nem mintha olyan eszelősen bonyolult lenne a Tinder használata, viszont a megfelelő stratégiával sokkal nagyobb hatékonysággal lehet hölgyeket fogni és ez a lényeg. Én amikor a minap telepítettem az appot, elsőre nem működött, ahogy szerettem volna, aminek az oka az volt, hogy a Facebookból importált adatok alapján a felhasználóm nemét nem tudta meghatározni, mivel az már nem csak male vagy female lehet, egy ideje bármi beírható,  nekem ekkor jutott eszembe, hogy néhány hónapja beírtam, hogy „szeretem a sört”, amivel nem nagyon tudott mit kezdeni szegény app. Nosza, vissza is állítottam a felhasználót férfi neműre. Minimális finomhangolás után nekifutottam a böngészésnek, ahogy írtam, nem egy rocket science használni az appot, ami azt illeti, annyira nem, hogy akár egy pszeudokódban is kényelmesen, röviden meg lehetne adni, hogy hogyan nőzzön valaki helyettünk, ha esetleg még mobilnyomkodáshoz is elfoglaltak lennénk.

Ne legyenek illúzióink, egy hölgy akár komoly, akár kevésbé komoly kapcsolatot keres, az alapján dönti el a másodperc tört része alatt, hogy érdekes-e neki a csávó, akit éppen a képen lát, szóval ha valakinek nem lett volna fenn valami nyaralós képe fénykorából, érdemes feltenni. Ami viszont fontos, és ami inspirált arra, hogy írjak erről: előfordulhat, hogy a hölgynek nem jössz be, aztán ha ő dislike-ol, akár véletlenül is, nálad már fel sem fogja dobni az alkalmazás, holott lehet, hogy egy kis facebookos böködés után kiderülne, hogy pont az a típusú játékos a húspiacon, akit te keresel és persze vice versa. Ergo oldjuk meg, hogy ne dislike-oljanak, mielőtt mi nem néznénk meg valakinek az adatlapját.

A következő stratégiát követtem: ha nem volt bűn ronda a szentem, kapta a lájkot, ami egyébként ilyen módon gyorsan el is fogyott, mivel csak 12 óra elteltével oszthattam volna ismét a virtuális gesztust, inkább összeszorított farpofával előfizettem 1 hónap premium tinderezésre. Ha a hölgy jól nézett ki, nem merültem bele, a többi képének nézegetésébe [hiszen kevésbé helyes csajról is lehet nagyon jó képeket lőni], hanem megnéztem az adatlapot, ahol általában vannak kiegészítő információk. Nos, ha ott látszódott Insta, snapchat vagy bármilyen azonosító vagy ritka névvel találkoztam, már tapostam is a screenshotra, majd aztán a lájkra. Ha ciki képbe botlottam, akkor természetesen nem. Na, ezt el lehet játszogatni pár száz felhasználón keresztül vagy akár tovább is, ami a lényeg, hogy amint a screenshot elkészült, az ugye mobilplatformtól függetlenül, alapértelmezés szerint már megy is fel az iCloud/Google Drive/Onedrive felhőben. Pont, ami kell: a név, rajta az Insta-azonosító, ami sokszor linkelve van a FB-fiókkal vagy más kereshető adat. Aztán majd ha valamikor rémesen sok időm lesz, akkor megnyitom ezt a mappát, aztán már keresem és bököm is a hölgyet a Fészen, ha nagyobb szerencsém van, nem sokkal később meg személyesen. Mondjuk nekem sosem a kapcsolatfelvétellel van problémám, hanem az érdeklődés fenntartásával, de ez most senkit sem érdekel. Szóval ha visszabök, akkor indulhatnak a szokásos tiszteletkörök az üzenetküldőben – mondjuk erre alighanem sosem lenne időm, de azért eljátszani a gondolattal érdekes.

Első blikkre nincs sok értelme, hogy egy bankrablás pontosságával írjam le, hogy hogyan érdemes a webkettőn puáskodni, tény, hogy nagyon sok komoly emberi kapcsolatot alakít, a Facebook. Olyan komoly kapcsolatokat, amiknek egy részéből később házasság lesz, a felhasználók a saját, másodszintű ismerőseik közt találják meg, akárcsak a való életben, ez itt módosulhat olyan módon, hogy a Tinder összesodor olyan hölgyekkel, akikkel közös ismerős ugyan nincs, viszont közös érdeklődési terület a lájkolt tartalmak alapján van!

Az világos, hogy a Tinderen egyszerű, [matematikailag] diszkrét adatok alapján dől el, hogy egyáltalán milyen körből kerülhetnek eléd a játékosok, ez pedig, hogy milyen neműt keresel és a másik olyan neműt keres-e, mint a te nemed, milyen korosztályban és földrajzilag milyen széles körben. Van viszont számos más adat, ami a felhasználó előtt nem világos, leginkább csak gray box tesztek  alapján tudható, hogy az app nagyobb valószínűséggel dobálja fel azokat a felhasználókat, akikkel van közös ismerős, akik korábban már megnéztek, hasonló tartalmakat lájkolt és hasonlók.

Haladó kiber PUÁknak javasolható mobil helyett, kapásból mobilfejlesztői környezetben, gépen futtatni az appot, gusztus szerint egy rakás robottal.

Amit azért fontos észben tartani, hogy ha már a Tinder átcibál adatokat a FB-ról, kizárólag olyat információkat tegyünk ki magunkról a húspiacra, amikben vélhetőleg nem nagyon van semmi rázós. Egyrészt, mert a Tinder megmutathat olyan információkat is, amik egyébként nem voltak láthatóak, mint például közös ismerősök vagy lájkolt oldalak. Arról nem is beszélve, hogy a Tindert komoly kritikával illették  többször is egyszerűen a szoftveres megvalósítása miatt. Ezek közül talán a legsúlyosabbak azok voltak, amikor a Tinder egy korábbi verziója értelmetlenül sok képet áttöltött a saját szerverére, amik állítólag elérhetőek is voltak, kívülről is, bárki számára.

Arról lehet vitatkozni, hogy ilyen-olyan szempontból mennyire érdemes szemérmeskedni egy ilyen alkalmazásban, viszont tartsuk észben, hogy attól, hogy az app elvben csak a fotót, az életkort és a keresztnevet mutatja – illetve, ha valaki olyan hülye volt a FB-regisztrációnál, hogy összekeverte a családnevével, akkor azt – ettől még a játékosok szinte mindig megtalálhatóak, az előbb emlegetett adatokon túl például a Google Képkeresőjével is.

Többek közt a Tinderről is esett szó a múltkori Netacademia Ethical Hackingen, Reiter István mobilos API-k sebezhetőségét érintő előadása itt tekinthető meg.

Mindezek után felmerülhet a kérdés, hogy ha ekkora szarvashibák voltak a Tinderben korábban, akkor hogyhogy nem lett belőle akkora vagy hasonló botrány, mint az Ashley Madison meghakkolásakor? A magyarázat szerintem az, hogy minden olyan szolgáltatásban, ahol felhasználói adat tárolódik, az adatszivárgás sajnos annyira mindennapos, hogy biztosan nem éri el az újságolvasók ingerküszöbét és csak másodlagos, hogy az Ashley Madison egy deklaráltan félrekúrós oldal volt, míg a Tinder nem az. Illetve az előbbi esetben hirtelen történt a disclosure nagy mennyiségű adattal, amit alaposan meg is hype-oltak, ezek után már tényleg csak részletkérdés, hogy ahogy az utólag kiderült, az Ashley Madison hölgy felhasználói mögött többségében nem is állt valós személy.

Kisebb-nagyobb csalással vagy spammel minden szolgáltatásban számolni kell. Én csak a napi gyöngyszemet emelném ki: az egyik felhasználónál a kép helyén az alábbi pazar marketingszöveg áll… Értitek! 22 éves és idén érettségizett. Oké, én ha önmagam helyett küldenék valakit érettségizni valamilyen tárból, alighanem élnék némi korbeli diszkriminációval : )

Könyvajánló, nem csak emberi kapcsolatokról: Nicholas A. Christakis, James H. Fowler - Kapcsolatok hálójában

Képek: libri.hu, animalnewyork.com

0 Tovább

Genetika – ahogyan még nem olvastál róla 


Augusztusban eléggé erős videót töltöttek fel a 14 éves fiúról, aki egy meglehetősen ritka örökletes betegséggel született, ami miatt a bőre annyira sérülékeny, hogy gyakorlatilag folyamatosan kötözni kell, hogy a helyén maradjon. 

Az emberi bőr ugye egy több rétegből álló szövet, a rétegeket pedig a bőr extracelluláris mátrixa rögzíti egymáshoz, aminél igen súlyos elváltozásokat okozhat, ha valamelyik struktúrfehérje valami miatt nem úgy viselkedik, ahogy kellene, esetleg hiányzik. A szóban forgó betegségnél az extracelluláris mátrix fehérjéi közül a kollagén csoport tagjainak egyik, a 7-es típusú kollagén érintett, ami több, rostokat alkotó fehérjével együtt a sejtközötti mátrix stabilizálásában elengedhetetlen. Ennél a betegségnél a fehérje létrejön ugyan, viszont egy szerencsétlen mutáció miatt autoimmun választ jelenik meg, azaz az immunrendszer idegenként ismeri fel és ennek megfelelően támadja, jelen esetben a bőr legfelső és alatta lévő rétege nem tud egymáshoz rögzülni. 

Itt konkrétan az disztrófiás epidermolysis bullosáról van szó, amivel kapcsolatban eloszlatnék egy gyakori, genetikához kapcsolódó félreértést. Általános iskolában, majd középiskolában is szóba kerülnek a Mendel-törvények kapcsán a klasszikus példák, de azért nagyon röviden fussuk át. A [diploid] élőlények testi sejtjeinek két kromoszómája alkot egy párt, aminek azonos pozícióin ugyanannak a génnek két különböző változata fordulhat elő, ez jelenik meg a fenotípusban, azaz valamilyen látható vagy mérhető sajátosságban. Ennek tankönyvi példái a kodomináns öröklésmenet, mint amilyen az AB0 vércsoportrendszerre jellemző, azaz mindkét gén, az A, B is kifejeződhet, ha annak jelen van a domináns típusa,  AB, ha mindkettőnek jelen van a domináns típusa, esetleg egyik sem. Az intermedier öröklődés esetén egy köztes tulajdonság jelenik meg két eltérő szülő esetén, azaz például a fehér és a fekete kakas utóda legnagyobb valószínűséggel szürkésebb lesz. A domináns-recesszív öröklődés esetén az egyik génváltozat által meghatározott tulajdonság megjelenik, míg a másik egyáltalán nem, azaz ha például egy betegséget kiváltó gén domináns az ún. vad típussal szemben, akkor az lesz a meghatározó, egy örökletes betegséget kialakítva, de a lényeg, hogy genetikailag minél távolabbi szülők utódáról van szó, a hátrányos, betegséget okozó gének megjelenése annál kevésbé valószínű, hiszen nagyon kicsi az esélye, hogy éppen mindkét szülő ugyanazt az előnytelen allélt hordozza. Viszont ez nem jelenti azt, hogy a domináns-recesszív öröklésmenet minden esetben így jelenne meg a fenotípusban. 

Érdemes tudni, hogy bizonyos esetekben – ami azt illeti, ez a gyakoribb – vannak fenotípusos megjelenést módosító hatások, azaz olyan folyamatok, amik a klasszikus mendeli genetika alapján nem érthetőek meg, természetesen nem állnak szemben vele. A tankönyvi példában domináns episztázisról van szó, egyetlen domináns gén elegendő, hogy elnyomja a párja hatását, míg recesszív esetén elegendő, ha csak az egyik példány hibás, erre példa a fenti kisfiú esete is. 

A fenti példában szinte ugyanolyan tünetegyüttest vált ki a domináns módon öröklődő disztrófiás epidermolysis bullosa és ennek a recesszíven öröklődő típusa. A domináns öröklődésű esetben a 3-as kromoszóma kis karján 21.3 pozícióban ha a kromoszómapár mindkét tagján ugyanolyan hibás változata van jelen a COL7A1 génnek, csak akkor alakul ki a betegség, míg ha csak az egyiken, akkor az utód sanszos, hogy egészséges. 

Szinte ugyanennek a betegségnek, azaz a recesszíven öröklődőnek viszont teljes más a genetikai háttere, lényeg, hogy az MMP1 gén egy mutáns típusa van jelen és a COL7A1 hibás változata ekkor önmagában is kialakítja a betegséget, akkor is, ha az egészséges változatot meghatározó jelen van. 

A helyenként nagyon pongyola, de érthetőbb megfogalmazásért elnézést, többek közt csak arra szerettem volna ebben a posztban rámutatni, hogy a genetikában az az izgalmas, hogy gyakorlatilag minden alól van bizonyos szempontból kivétel, amiknek az azonosítását viszont csak a molekuláris biológiai módszerek tették lehetővé ésszerű idő alatt, klasszikus genetikai módszerrel nem voltak kimutathatóak. A fenotípusos és genotípusos arányokat eltoló tényezőkből persze még számos van, hogy fokozzam a dolgot, itt megjegyzem, hogy akár genetikailag tökéletesen identikus vagy szinte identikus egyedek, azaz egypetéjű ikrek, azonos génváltozatokkal sem tökéletesen egyformák fenotípusosan, aminek oka, hogy az ún. metilációs mintázat eltérhet és el is tér.  

0 Tovább

Felzárkóztató a nyelvtudomány, a helyesírás és a nyelvi kultúra kapcsolatáról


Avagy néhány tény, amit eddig nem tudtál a témában, pedig érdemes tudni róla, szigorúan szubjektíven.

A 444 már egy augusztus 27-ei cikkében azon vicceskedett, hogy jön az új "helyesírási szabályzat" (sic!)  #ésezmijengázmár, a cikket ugyan nem olvastam végig, viszont így is világos, hogy a lényeget még azok sem vágják, akiknek nagyon illene, például az újságírók.

Az első és legfontosabb, hogy a helyesírás avagy ahogyan sokan ismerik nyelvtan és nyelvhelyesség több irányzat szerint nem előírja, hogy hogyan KELL, használni a nyelvet, hanem pont ellenkezőleg, arról ad egy leírást, ahogyan a nyelvet aktuálisan általában hogyan használjuk és ajánlásokat fogalmaz meg azzal kapcsolatban, hogy az adott nyelv logikája alapján, egy-egy kifejezést hogyan érdemes leírni /*helyesírás*/ illetve szövegkörnyezetében használni /*nyelvhelyesség*/.

Amit alighanem szintén nem tud a többség, hogy az MTA Nyelvtudományi Intézetének helyesírással foglalkozó kutatócsoportja nem valamiféle zombikból álló ultrakonzervatív gittegylet, ahol még a golyóstoll is újdonság, hanem többek közt olyan mesterséges intelligenciával rokon, számítógépes nyelvészeti eszközkészleteket vetnek be a nyelv elemzésére, mint amilyen a machine learning és igen, ők történetesen nem csak beszélnek a big datáról, hanem használják is. Amolyan modoros-maníros fanyar tény, hogy programozás területén pont azok a helyesírás kutató nyelvészek vernék le az átlagos képességű programozókat és más, műszaki-természettudományi jómunkásembereket, akik most az új helyesíráson röhögnek és minden valószínűség szerint hülyén halnak meg, ha nem értik meg, hogy hol is a humanities helye a tudományok térképén.

Szóval nem, drága barátaim, nem kevesen épphogy ti vagytok az elmaradott buta faszok, mert nem tudjátok, hogy mi a helyesírás feladata, szerepe, kutatásának módja és mi nem az.

Mindennek a legalja amúgy az volt, amikor néhány éve egy erősen Zs-kategóriás egyetemi informatikus hallgatókat tömörítő csoportban arra pörögtek rá többen, hogy a kommentjeimben helyesírási hiba fordult elő, ésháteztígyhogy. Na, akkor segítek: egy nyelvésztől vagy olyantól, aki foglalkozott nyelvészettel, azt elvárni, hogy a helyesírása tökéletes legyen, pont akkora ostobaság, mintha mondjuk egy matematikustól várnák el, hogy 8-10 számjegyű számokkal tudjon egy pillanat alatt pontosan fejben számításokat végezni.

Ott ugyan próbáltam kiemelni, hogy amire ők gondolnak, az helyesírás avagy "nyelvtan", ami egy külön terület, én viszont nem foglalkoztam ezzel soha, mindez az érvelés hiábavaló volt, mert egy csoportban lévő, korábban egyetemi oktatóként dolgozó, jobb sorsra érdemes szerencsétlen borgőzös, cefreszagú demagóg hőbörgése adta a lovat az Isten adta nép alá, aki pedig értelmesen tudott volna hozzászólni a dologhoz, inkább bölcsen hallgatott.

Szintén fontos megjegyeznem, hogy a témában minimálisan is jártas ember általában nem köt értékítéleteket ahhoz, ha a konvencionálistól eltérő helyesírással vagy nyelvhasználattal találkozik. Amihez már lehet értékítéletet kötni - csak nem feltétlenül elegáns - ha olyan szöveggel találkozunk, amiben amellett, hogy ordas helyesírási hibák vannak, olyan nyelvhasználati kultúrára enged következtetni, ami alapján feltételezhetjük, hogy az írásmű szerzője tényleg nem olvasott összesen 5 könyvet életében :) :) :) Viszont önmagában a szokásostól eltérő nyelvhasználat láttán értékítéletekben gondolkozni, nem elegáns és tudománytalan. Ha én szögletes illetve kerek zárójel jelölésére a C-stílusú kommentjelent használom szivesen, ezen kívül a mondatot néha kötőszóval nyitom, mert csak, ez az idilektusom része, legfeljebb van, akinek nem tetszik. 

Márpedig ez fontos, ugyanakkor olyat is láttam, amikor valakinek a helyesírása ugyan nem tért el jelentősen a megszokottól, viszont a nyelvhasználati kultúra mégis annyira gyatra volt, hogy gyakorlatilag a figura képtelen volt egy szövegnek felismerni egynél több konnotációját, aztán feldobta, hogy egy kommentben definiáljam neki a plágium mibenlétét... #szellemi_ökölcsapás_a_múltból #nyomokban_pécsezést_tartalmaz

0 Tovább

Webergonómia és kogníció 


Sokszor egészen egyszerűen a lényegét értjük totálisan félre annak, ami elénk kerül - ezt lehet használni és kihasználni egyaránt. 

Tegnap egy számomra fontos arc lecserélte a profilképét a FB-n, én meg nem lájkoltam vagy kommenteltem, hanem magánba küldtem neki egy képet, csak épp mellékattintottam és olyan képet, amit nagyon, nagyon, de nagyon nem akartam - konkrétan egy gyorsba generált mém olyan felirattal, hogy le van szarva, azt kábé. Üzenetet nem lehet visszavonni ugye, aztán azt csináltam, hogy küldtem neki egy targoncányi képet a a Tumblr-ről összelopkodva külön-külön üzenetként. (aztán elmentem sétálni, mert ez a tévedés jelezte számomra, hogy igencsak le vagyok merülve agyilag) Az eredmény: valóban nem vette észre, amit első, félreküldött üzenetként küldtem neki. Azaz annak felismerése, hogy ha több üzenetet küldesz valakinek, az azt megelőzőek mintha nem is léteznének, annak ellenére, hogy lehetnek fontosak, de a címzett még nem olvasta, hasonló kicsit ahhoz, hogy az emberek beszopnak mindent pusztán a lead és a hozzá tartozó kép alapján. Ezzel kapcsolatban néhány klasszikus: 
- néhány éve Magyarországon is végigsöpört az a hoax egy tiltakozó FB-oldalban, ami szerint fizetős lesz a Facebook, de az oldal leírásában már benne vagy, hogy az egész csak egy vicc, amit persze már kutya sem olvasott el. 

Az eredmény: létrejött az év, ha nem az évtized legzseniálisabb tumblija, amit elnézve ismét elgondolkoztam rajta, hogy valóban jó-e az, ha mindenkihez elér az internet: http://hungaryvsfacebook.tumblr.com
- A NeedADebitCard Twitterén arra kérik a felhasználókat, hogy ne posztolják ki a bankkártyájukról készült fotót. Ja, de a figyelmeztetést már általában nem olvassák el. Mostanra már aki nagyon posztolni akarja a bankkártyájáról készült képet, nem azért takarja ki a bankkártyaszámot, mert úgy gondolja, hogy azt közzétenni nem a legbölcsebb, hanem azért, mert a többi képnél is ezt látja:  https://twitter.com/needadebitcard vö. sokig fullba nyomták a kretént teljes bankkártyával, talán még a Twitter is beavatkozott és eltávolított egy rakás twitet. 

- a harmadik példa, a net egy nagy klasszikusa, hol egy nyelvi versenyről készült videóban a gyerekeknek ritka szavakat kell helyesen lebetűzniük, itt konkrétan azt, hogy "negus". A 8 évvel ezelőtt feltöltött videó címében is szerepel hogy előtte kéretik a kommenteket elolvasni, na meg végignézni a teljes videót, ennek ellenére amíg lehetett kommentelni, annyi gyalázkodó komment érkezett, hogy a videó feltöltője inkább letiltott a kommentelést, ami IMHO eléggé hülyeség volt, ugyanis az emberi ostobaság bizonyítékait, ahogy sokminden más sem szabadna a netről eltüntetni: 

0 Tovább

Nemzetközi piacra léphetne a freemail.hu?


Még nem tudni, hogy milyen újdonságok várhatóak a megújuló freemail.hu-tól, viszont elvben elképzelhető lenne az is, hogy világszerte használt óriás levelezőrendszerek versenytársa legyen. Ehhez persze szükség lenne angol nyelvű változatra, ezen kívül olyan feature-ökre, amiket más, mezei levelezőrendszerben nem talál meg a felhasználó.

Összegyűjtöttem néhány ötletet, közben pedig négy szempontot tartottam előtérben, mégpedig az egyszerűséget, a felhasználói élményt, máshol nem látott, haladó funkciók elérhetővé tételét és azt, hogy mindezt viszonylag egyszerűen le is lehessen programozni. Ezen kívül feltételeztem, hogy a felhasználók legalább egy nagyobb közösségi szolgáltatásban már regisztráltak. Az ötletek egy része az agyamból pattantak ki vagy egy enterprise level levelezőrendszerben, esetleg közösségi szolgáltatásban találkoztam velük, míg néhányat más levelezőrendszerekből loptam át. A feature-öknek önkényesen még egy-egy fantázianevet is adtam néhol, persze minden extra funkció opcionális lenne.

A felhasználói élményt és kényelmet fokozó lehetőségeket soroltam előre, míg az inkább technikai vagy haladó felhasználók számára érdekeseket a végére.

A felhasználók időnként hiányolják azt, hogy egy levél nem vonható vissza, amit egyszer elküldtünk, az kézbesítődik is, ha tud, viszont egyre több levelezőrendszernél bekapcsolható olyan lehetőség, ami azt a benyomást kelti, hogy a levelet vissza lehet vonni. Ilyen esetben nem valódi visszavonásról van szó, hiszen az eleve lehetetlen, hanem arról, hogy a levél bekerül egy várakozási sorba, majd ha a felhasználó nem gondolja meg magát, akkor történik meg a levél tényleges kiküldése. A funkció beépíthető lenne olyan módon, hogy a felhasználó beállítja, hogy a levél percben mennyi ideig tanyázzon a Kimenő mappában, ha addig nem gondolja meg magát, a levelezőrendszer már küldi is.

Gondolom sokakkal előfordult már, hogy vasárnap hajnalban, sakálrészegen álltak neki SMS-t vagy email írni, amit azt alaposan megbántak. Korábban erre a problémára kínált megoldást a Google Labsból a Gmail-hez elérhető kiegészítő Mail Goggles néven. Lényeg, hogy a Freemail [Másnap] funkció bekapcsolásával előre beállított nehézségű, de alapvetően fejben elvégezhető matematikai feladatok közül kellene ötöt megoldani egy perc alatt, a megfogalmazott levelet pedig a rendszer csak akkor engedné elküldeni, ha ezt az akadályt sikerrel vitte a felhasználó. Beállítható lenne egy időintervallum, amikor ennek mindenképp működnie kell, azaz hétvégén estétől hajnalig. A funkció lényege, hogy ha a józanul seperc alatt megoldható feladatokat nem sikerül megoldani részegen, akkor az a felhasználók többsége számára egy nyomatékos figyelmeztetés önmaguk felé, hogy akkor nagyon nem lenne érdemes üzenetet küldeniük.

Ma már minden valamire való szolgáltatástól elvárható, hogy legalább a legnagyobb social media felületekkel összedrótozhatóak legyenek. Ennek megfelelően ha a felhasználó a Freemail [Szülinap] funkciónak megengedné, hogy hozzáférjen a facebookos/Google plusos ismerőseihez, így az ő születési dátumukhoz, és beállítana egy előre megadott sablont, a Freemail [Szülinap] az ismerős email-címére automatikusan születésnapi köszöntő üzenetet tudna küldeni – még akkor is, ha mi simán elfelejtenénk. Persze érdemes lenne elvégezni azt a finomhangolást, hogy az összes ismerős kaphasson automatizált köszöntőt vagy csak az ismerősök egy bizonyos köre.

Ismerve, hogy a felhasználók átlagosan mennyi időt töltenek más közösségi szolgáltatásokban, ha már az összekapcsolás megtörtént, hasonlóan ahhoz, ahogy beállítható a Skype-kliensünkben, hogy ott is megjelenjen az, ami a Facebook-falunkon, a Freemail [Social]-lel megoldható lenne, hogy az oldalsávban a facebookos, twitteres, linkedines falunk tartalma pörögjön vagy éppenséggel egy RSS-feed.

Gyakori jelenség, hogy egy levelet félrecímeznek, nem véletlenül van minden levelezőrendszerben automatikus kitöltés a címzett mezőhöz. Viszont ha a levelezőrendszer még látja is a különböző szolgáltatásokban lévő kontaktjainkat, az első címzés után felajánlaná, hogy egy arcot kapcsoljunk az automatikusan mentődő címhez. A további levélküldést pedig többféleképp tenné egyszerűbbé.

A félreküldést küszöbölné ki és a címzést tenné kényelmesebbé, ha egy gyorskeresővel ellátott oldalpanelben az apró avatarképpel és névvel látszó ismerős nevére kattintva a levelezőrendszer autofillezné a címzett mezőt, ha korábban a levelezőpartnernek küldtünk levelet – a lényeg a képen van! Itt megjegyzem, hogy nem a Gmail sajátossága, hogy betölti a feladó fotóját is, ha tudja, a Gravatar [Globally Recognized Avatars] szolgáltatásban szinte már mindenkinek a fotója fenn van – legfeljebb nem tud róla – ennek megfelelően pl. a Fastmail és a Yandex Mail is megjeleníti webes felületen a feladó képét, ha az elérhető az email címe alapján. Ha pedig ilyen módon az avatar betöltése nem lehetséges, a rendszer lepecázhatná a képet egy olyan közösségi szolgáltatásból, amivel már összekapcsolta a felhasználó, illetve ha valakinek a profilja kívülről is látható, még erre sem lenne szükség a kép megjelenítéséhez.

Egy Freemail [Időzítő] lehetőséget bekapcsolva megoldható lenne, hogy egy előre megírt levelet a Freemail adott időpontban küldjön ki, ez ha nappalra van beállítva, egy fontos címzett mobilja akkor sem vinnyogna, ha a levelet az éjszaka közepén írtuk meg neki, de fontos, hogy mielőtt megkapja, azaz például reggel, amikor már esetleg nem vagyunk gép előtt.

Szintén hasznos kényelmi szolgáltatás lenne, ha egy oldalpanelből egy levelezőpartner nevére kattintva egyszerre lenne megjeleníthető az összes tőle érkezett és neki küldött levél.

A fontos, megválaszolandó levelek csillagozása hasznos dolog, viszont ha közben érkezik egy rakás levél és a megcsillagozott nincs a felhasználó szeme előtt, nagyobb valószínűséggel fogja elfelejteni. Így beállítható lehetne, hogy a felső vagy az alsó sávban a rendszer jelezze, hogy mennyi fontos levél várakozik még és azok egy kattintással a figyelmeztetősávból elérhetőek lennének.

Több levelezőrendszerben már rég alapszolgáltatás, hogy ha a levél szövegében előfordul például az a szó, hogy „CV”, „életrajz”, „csatolt” vagy bármi, aminél valószínűbb, hogy valamit valóban csatolni terveztünk a levélhez, de mégsem tettük, a levelezőrendszer a küldés gombra kattintás után rákérdez, hogy nem felejtettünk-e el mellékletet csatolni a levélhez esetleg.

A Freemail [Metatag] a kimenő, bejövő levelek feladóinak nevéből, a tárgyban előforduló szavakból, benne előforduló linkekből és különböző tartalmi elemekből generálhatna egy halmazt, aztán pedig a metacímkéket oldalpanelen megnyitva gyakoriságuk sorrendjében mutatná azokat, valamint ugyanitt kereshetőek is lennének. Így például előkukázható lenne az összes olyan levél, ami esetleg teljesen különböző feladótól jött teljesen különböző okból, de szerepel benne például a „pályázat” kifejezés.

Ha már metáknál tartunk, a Freemail [Sherlock] az előző elven működne lényegében, de nem a gyakori, releváns, hanem épphogy a legritkább kifejezéseket, szokatlan szófordulatokat gyűjtené össze. Így például be lehetne saccolni, hogy nem azonos-e esetleg a feladója két, különböző címről és névvel küldött levélnek, még akkor is, ha a levelek több éves időbeli különbséggel érkeznek.

Ha már úgyis bölcsészkedésnél tartunk, a leveleket opcionálisan fel lehetne dobni a Freemail [Coelho] bekapcsolásával, ami az aláírás elé vagy után tenne valamilyen rémes közhelyet Freemail [Coelho] aláírással. Ugyanezen az elven lehetne egy beépített mémgenerátor is, ahol a felhasználó kiválaszthatná egy jól ismert mém képét, amire a Freemail [Coelho] automatikusan rátenne egy feliratot a levél tárgya alapján, amit persze a felhasználó szerkeszthetne, majd pillanatok alatt hasonlóan az aláíráshoz illeszthetne.

Egy levelet PDF-be exportálni nem egy nagy bravúr, viszont teljesen más a helyzet, ha ez a lehetőség egyetlen klikkel elérhető. A Freemail [PDF] bekapcsolása után egyetlen kattintással a levelezőrendszer elkészíthetné a levél PDF másolatát és már kérdezné is, hogy hova mentse le. Ennek lenne egy másodlagos funkciója is: nagyon sok helyen a HTML formátumú levelekben lévő képek nem töltődnek be automatikusan adatvédelmi okból, hiszen ilyenkor a levél feladója láthatja, hogy a címzett a levelet elolvasta és azt is, hogy honnan, milyen operációs rendszerrel, milyen böngészővel, hiszen a kép végülis egy külső webszerverről töltődik be, ami ugye naplózza a letöltéseket, így a képek letöltését is. Ebben az esetben viszont a Freemail egyik IP-címét tudná csak naplózni, hiszen az tölti le önmagának és nyomtatja ki PDF-ben a levelet képekkel együtt.

Az automatikus mentés elemi minden olyan felületen, ahol szöveget írunk. Viszont előfordulhat, hogy egy átfogalmazott szöveg sokkal rosszabb, mint az eredeti és egy 10 perccel korábbi változatát szeretnénk előszedni. Ha a levelet a rendszer percenként mentené, akkor egy 25 percen keresztül fogalmazott levél esetén, percenkénti mentéssel persze 25 példány lenne a piszkozatok közt, ami persze eltűnik, amint a levelet elküldtük, addig viszont egy tetszőleges, korábbi változat előkukázható, ami sokkal egyszerűbb, mint a visszavonás gombbal játszani, hiszen lehet, hogy olyan szövegrészt is eltüntetünk vele, amit viszont szeretnénk meghagyni. A Freemail [Croquis] megoldaná.

Előfordulhat, hogy nem vagyunk otthon, egy publikus gépet használunk, valamilyen kisebb vagy éppen óriási fájlt le szeretnénk tölteni magunknak későbbre, viszont nincs nálunk pendrive sem, sem más egyéb, ráadásul még a netkapcsolat is siralmasan lassú, esetleg a tartalmat helyben le sem lehetne tölteni. Ekkor a Freemail [Crawl] használatával a Freemail a megjelölt URL-ről letöltené saját magának a tartalmat, amit ésszerű ideig tárolna, otthon le lehetne tölteni, majd küldene a levelező egy figyelmeztetést, hogy a félretett fájl meddig tölthető le, hasonlóan az ún. óriáslevelekhez, ahol a csatolt fájl szintén nem magában az emailben van, hanem fel van töltve a levelezőszolgáltatás tárhelyére.

Ha már tárhely, igaz, hogy ez nagyban függ attól, hogy az adatok tárolása hogyan van megoldva, szolgáltatói részről lehet, hogy praktikusabb lenne, ha a felhasználók nem kapásból 10 GB-t kapnának, hanem a regisztrációkor mondjuk 500 MB-t, ami aztán a felhasználói használati szokásaihoz alkalmazkodva – például a levelezőben töltött idő, a regisztráció óta eltelt idő és a forgalom függvényében - növekedne, ahogy ez működött régen a Yahoo levelezőjénél is.  

Hasonlóan egyrészt a felhasználót és a szolgáltató erőforrásait is védené, ha beállítható lenne, hogy a különböző mappák mennyi ideig tárolják a leveleket, a megadott idő lejárta után pedig törlődjenek, kerüljenek a kukába vagy kerüljenek át tömörített archívba, amit a belső keresőnek már nem kellene indexelnie.

Az előző megoldás mellett vagy helyett bevezethető lenne az a funkciói is, ami disaster prooffá teszi a levelezést, hasonlóan a nagyvállalati megoldásokhoz, csak éppenséggel fapados kivitelben: ha például a alicebobandeve@freemail.hu cím regisztrációjakor létrejönne egy alicebobandeve-bak@freemail.hu fiók is, aztán abba minden kimenő és bejövő levelünkből érkezne egy-egy példány, a néhány napnál régebbi leveleket pedig a rendszer alaposan betömörítené. Ekkor, ha valaki véletlenül törli az összes levelét mondjuk egy elszart  POP3-letöltéssel, az egész előkukázható lenne a másik fiókba való belépés után és nem kellene a szolgáltatónál könyörögni a mentésért, ezen kívül ha valaki más felhasználó fiókjába belépve a nevében küldene levelet, annak egy ilyen backup fiókban ugyancsak nyoma maradna, hiába törölné a támadó a levelet a kimenő levelek közül.

Tudjuk, hogy nagyon gyakori, hogy valaki egész egyszerűen úgy hagyja a gépét használat után mondjuk nyilvános helyen vagy iskolában, így utána bárki odaülhet, aztán úgy trollkodhat a másik fiókjában, ahogy csak akar. Ezt a kockázatot többféleképp lehetne csökkenteni. Ha mondjuk a felhasználó be akarna keményíteni, akkor beállíthatná, hogy egy-egy levél megnyitásához, új levél küldéséhez vagy a beállítások átállításához ismét be kelljen írni a jelszót valahány perc inaktivitás után. Inaktivitás alatt itt azt értem, amikor a felhasználó nem navigál el másik felületre mondjuk 1 percig.

A belépéskor opcionálisan lehetne kétlépcsős azonosítás, amiről itt a blogon már többször írtam, illetve a Yandex megoldásához hasonlóan mondjuk Freemail [Kulcs] mobilapp, ami az alkalmazás előre beállított PIN-kódjának megadása után kiköp egy olyan karaktersorozatot a felhasználó okosmobilján, ami érvényes belépési jelszó 1 percig. A hagyományos jelszólopással kapcsolatos kockázatot egy csapásra kiküszöbölné.  Az más kérdés, hogy ha valakinek a fiókjába nagyon be akarna lépni valaki, akkor ellopná az okosmobilját, miután leleste a Freemail [Kulcs] mobilalkalmazás PIN-jét...

Hasonlóan, a felhasználó a Freemail [Kulcs] vagy adott számra küldött SMS segítségével azonnal le tudná zárni a felhasználó a fiókját /*kényszerített átmeneti jelszó + minden aktív session lezárása*/, amint tudomást szerzett róla, hogy valaki belépett a fiókjába, majd az otthoni gépén fel tudná oldani a blokkolást.

A levelezőrendszerek körében szintén eléggé eredeti lenne, ha kiiktatható lenne a jelszóemlékeztető kérdés lehetősége [igaz, ezt most sem kötelező megadni], ami ugye nagyobb kockázatot jelent, mint amennyire a biztonságot fokozza, le lehetne tiltani, hogy másodlagos email-címre jelszóhelyreállítot küldjön a rendszer. Viszont meg lehetne adni 3-5 ismerős email címét, akik kapnának egy-egy rövid karakterláncot, majd ezeket külön-külön megkapná a fiók tulajdonosa, összeillesztené és csak úgy tudna új jelszót beállítani, ha már kicsukta magát. Na, ezt az ötletet a Facebooktól csentem.

A kényelmet nagyban fokozó szolgáltatás lenne, ha a Freemail [IMAP]-pal meg lehetne adni más postafiókunk IMAP4-elérését. Az ilyen módon bedrótozott külső postafiók egy új mappaként jelenne meg a Freemailben, de nem töltené le az összes levelet a másik helyről fölöslegesen, hanem hasonlóan a jól nevelt levelezőprogramokhoz csak a levelek fejlécét. Aztán az töltődne át ténylegesen, amit a felhasználó meg is nyit. Ezen kívül a Freemail-ből a külső fiókba lehetne átmásolni leveleket az IMAP-os mappába másoláson keresztül. A Freemail ilyen módon levelezőkliensként is működne, viszont nem zabálná a tárhelyet.

A Freemail [fancy] bekapcsolásával a Freemail magától generálna egy ékes-grafikus aláírást, ami a social webes elérhetőségeinket is tartalmazza, ha engedélyeztük azt. Hasonló elven, amikor levelet kapunk valakitől, a rendszer előkukázná az illető LinkedIN-profilját név vagy email-cím alapján és mutatná is az oldallécben, ahogy erre a Microsoft Exchnage-ben és a Google Appsben egyaránt van lehetőség egy kiegészítővel.

Persze, persze, az emailjeink aláírása lazán átszerkeszthető a beállításoknál, viszont ha bekapcsolható lenne a Freemail [szignó]-n keresztül több aláírás, a levél megírása után, alul, legördülő menüből választhatnánk ki, hogy az adott levél aljára melyik kerüljön, esetleg ne is legyen aláírás.

Az Out of Office jó ötletnek tűnt, amikor kitalálták, viszont ha valaki elmegy nyaralni, aztán minden, levelezőlistán keresztül neki is kézbesítődő levélre automatikusan küld Out of Office választ, az már zavaró lehet. Ha pedig spammernek, akkor kínos, mert a spammer biztos lesz benne, hogy élő postafiókot talált be. Kifinomultabban a Freemail [OOO]-val be lehetne állítani, hogy csak bizonyos, például címjegyzékben lévő, nem levlistás címzettek felé küldjön automatikus választ a távollétről.

A Thunderbird Display Mail User Agent addonjához hasonlóan a Freemail [Spy] egy kis ikonnal jelezné, hogy a feladó milyen levelezőrendszerből küldte a levelet, aminek még nem lenne önmagában túl sok értelme, ugyan innen gyanítható lenne, ha a feladó címét meghamisították, ha például egy Yahoo-s logo virít egy bme.hu-s cím mellett. Ha ez kiegészülne olyan funkcióval, ami azt is mutatja, hogy a levelet földrajzilag honnan küldték, na, az aztán igazán főnök lenne. A https://www.iplocation.net/ -ról elérhető adatbázisok valamelyikét lehetne alapul venni, aztán pedig adatforrásként a levelezőrendszernek csak ki kellene olvasnia a hosszú fejléc sorai közül a küldői IP-címet tartalmazó X-Originating-IP értéket vagy ha ilyen nincs, akkor a megfelelő Received: sort, ahol, ha máshogy nem, a hostname reverse alapján adódó IP-címhez tartozó országot alapul vennie – persze a helymeghatározás hibás lesz, ha az így következtetett ország időzónája és az az időzóna, amit ugyanúgy tartalmaz a hosszú fejléc, nem egyezik. Az esetek többségében viszont mutatná, hogy melyik városból jött a posta. Az esetek döntő többségében működne. Nos, mivel a szolgáltatás olyan adatokkal dolgozik, amit eleve megkapott a hosszú fejlécben, ezért annyira azért nem lenne emberiség ellenes dolog kiírni a valószínűsített várost vagy országot.

a freemail - igencsak rég

Réges régen, talán igaz sem volt, a két nagy levelezőóriásnál be lehetett állítani, hogy a postafiókunkat a saját domain-nevünkkel használhassuk, aztán először a Google jelentette be, hogy a Google Apps free változatát nem támogatják tovább nem sokkal később pedig a Microsoft tett ugyanígy.

Mondjuk freemium változatban a saját domain beállítható például a mail.ru-n – feltéve, hogy valaki eléggé jól tud oroszul – vagy az Oroszországból érzékeny dolgokat kitelepített Yandexen, ha pedig valaki echte ámerikai megoldáshoz ragaszkodik, a Zoho Mail 10 felhasználóig ingyenes saját domain névvel. Nos, elvben a Freemail eléggé nagyot dobbanthatna, ha lehetne saját domaint beállítani a levelezéshez, de például olyan módon, hogy a full ingyenes változatban ott virít a Freemailt promózó sor a saját domaines címekről küldött levelek végén, míg néhány garas befizetése után már nem.

Egy közösségibb dolog lenne az opcionális Reblog oldaldoboz, ahova a felhasználó néhány klikkel tudná hajigálni a hírlevelekben érkező, érdekes híreket vagy linkeket egy-egy mikroblogposztba.

Mind küldtünk már levelet olyannak, akiről tudtuk, hogy a postafiókjába csak az nem lát be, aki nem is akar, de a dolog elkerülhetetlen volt. Erre frappáns megoldás lenne az önmegsemmisítő levél, ami végülis egy Freemail-tárhelyen tárolt levél lenne, a címzett pedig csak egy linket kapna, amire kattintva a levelet el tudja érni. Be lehetne állítani, hogy a levél az elküldéstől számítva, valamint a megnyitástól számítva mennyi ideig lehet olvasható, így talán még a legkreténebb, nulla biztonságtudatossággal és a teljes céges adatvagyonnal rendelkező CEO-t is sikerülne megvédeni önmagától :)

A biztonságot ugyan nem, de geek-faktort fokozná egy Freemail [Wordcloud], amelyik az adott szövegben lévő szavak gyakorisága alapján az aljára legenerálná a levélre jellemző szófelhőt, aztán jót röhögni rajta. Ha még nem játszottál ilyennel, erre tessék szórakozni erre vagy éppen erre.

Volt már róla szó, hogy a teljes iparág mennyire rápörgött az emailek titkosítására, aztán megjelent egy rakás levelezőszolgáltató, amelyik webes felületen keresztül nyújtott PGP-szolgáltatást, magyarul újra feltalálták a kereket. Hogy mást ne mondjak, a szanaszét hype-olt Protonmail 14 évvel (!!) később újra feltalálta a Hushmailt.

Viszont aki levelezéshez használt Horde rendszert, tudja, hogy ott is van lehetőség PGP-kulcspárt importálni, aztán úgy titkosított leveleket küldözgetni, az más kérdés, hogy ha a privát kulcs nem csak a végponton van meg, az pont a PGP koncepcionális lényegének lábbal tiprása.

Ugyanakkor ha minden, így a levelezés is a weben van, igény van rá, abban pedig bízzunk, hogy a kulcsot a szerver tényleg eléggé ellophatatlan módon tárolja. A Freemailbe simán be lehetne építeni olyan funkciót, ami lehetővé teszi a PGP-kompatibilis titkosítás és digitális aláírást – legalább megismerik többen, hogy mi a jóég az a PGP – és lenne rá lehetőség, hogy a felhasználó a privát kulcsát törölje a Freemail szerveréről és a saját gépén tartsa, amit együtt tudna használni bármilyen levelezőklienssel. Illetve ha weben használná a PGP-t, a Freemail levele letöltődne kliensoldalra, a felhasználó titkosítaná vagy aláírná a böngészőben a privát kulcs betöltése mellett, majd a kliensoldal visszaküldené szerveroldalra és úgy küldené a levelet.

Lehet, hogy amit leírtam, azok közül többminden olyan dolognak tűnik, ami túl kevés felhasználót érdekelne ahhoz, hogy érdemes legyen leprogramozni, viszont ami biztos, hogy felfigyelnének a sokat látott Freemailre, másrészt nemzetközi színtéren a felhasználók „kis része” nem is jelentene annyira kevés felhasználót. Ekkor persze alaposan megváltozna az üzleti modell, a rendszert angol nyelven használó felhasználók miatt, akkorát menne’ a dolog, amekkorát magyar levelezőrendszer még nem.

Képek: Gravatar, Iminet, ic.co.uk

0 Tovább

A legjobb fájlmegosztó pedig...


Microsoft OneDrive, Google Drive, MEGA, Yandex Disk, Apple iCloud vagy Dropbox? Nem, nem fogok írni sokak után egy ezer plusz egyedik cikket arról, hogy ezeket összehasonlítgassam, inkább írok arról, hogy milyen szempontok alapján érdemes fájlhoszting szolgáltatót választani személyes célra.

Sokakkal előfordult már, hogy otthon felejtettek egy fontos pendrive-ot, esetleg ellopták a gépét vagy más módon, de fontos adatokat vesztett el, amikről ugye a felhasználó sosem készít mentést, amíg először meg nem történik a baj. A cloud fájlhoszting szolgáltatók ugyan ezt a problémát gyakorlatilag egy az egyben ki tuják küszöbölni, használják is egyre többen, viszont nagyon nem mindegy, hogy melyiket, több szempontból sem.

Nagyon gyors felzárkóztatóként írom, hogy ezekhez a szolgáltatásoknak része egy gépre telepíthető kliensprogram, amivel ki lehet jelölni azokat a mappákat a gépen, amiket szeretnénk a saját gépünk mellett a felhőben is tárolni. Azaz ha egy ezen belüli fájlt módosítunk, a módosítás  szinte azonnal megtörténik a felhőben tárolt példányon is, hasonlóan minden  más fájlművelethez, azaz az egész olyan, mintha egy hálózati meghajtó lenne. Itt most a személyes használatra szánt szolgáltatásokkal fogok foglalkozni, főleg információbiztonsági és stabilitási szempontból, de emészthetően.

Ahhoz képest, hogy mennyi fájlhoszting szolgáltató van meglepően kevés az olyan, aminek a freemium változata szerintem megfelel az átlagos felhasználói igényeknek és azoknak a biztonsági követelményeknek, amiket ha mindenki követne, egy boldogabb világban élnénk.

Korábban már írtam róla, hogy a PRISM-para után számos semmiből előtűnő netes cég, legyen szó levelezésről, fájlhosztingról vagy csevegőprogramról, úgy fogta ki a szelet a vitorlából, hogy a felhasználók tájékozatlanságára építve olyan ostobaságokkal bizonygatta azt, hogy ők aztán tényleg a legbiztonságosabbak, mint például hogy a szervereik valamilyen egzotikus országban vannak, ahova nem ér el sem az EU sem az USA mocskos mancsa /*#LOL!*/, illetve egymást akarták túllicitálni azzal kapcsolatban, hogy a szervereiken milyen erősségű titkosítás mellett tárolják a felhasználóik adatait.

Nos, több tárhelyszolgáltató valóban megvalósította, hogy a felhasználó amikor adatot feltölt, azt kliensoldalon a kliensprogram vagy a böngésző titkosítja, eleve titkosítva tolja fel a szerverre, a szerver azt tárolja, amikor pedig a felhasználó letölt a tárhelyéről, letöltődik a szerverről az igencsak erősen titkosított adatmassza, amit a felhasználó a saját kulcsával, amit jelszó véd, szépen kibont. Eléggé gyorsan belátható, hogy ugyan ilyen esetben nyilván a szolgáltató sem látja, hogy milyen adatot is tárolnak nála ténylegesen, viszont egyrészt nagyban korlátozza a lehetséges kényelmi szolgáltatásokat, másrészt eszközfüggő ugyan, de a fájlok szinkronban tartását lassabban végzi. Harmadrészt pedig olyan kockázat ellen véd, aminek a bekövetkezési esélye meglehetősen kicsi, nevezetesen, hogy valaki közvetlenül a szerverhez férjen hozzá valamilyen módon, aztán arról emeljen le adatokat, amihez ugye eleve tudnia kellene, hogy egy sok(tíz)ezer gépből álló privát cloudban melyik gép is az, amelyiken az ellopni, hatóságok esetében pedig lefoglalni kívánt adat van. Nos, igen, a jó öreg MEGA-ra gondolok, amivel végfelhasználói szempontból a legnagyobb para látszólag paradox módon éppen az, hogy nincs lehetőség jelszóhelyreállításra vagy a fiók teljes törlésére, ha a felhasználó nem tud belépni. Az viszont igenis életszerű, hogy valaki az áldozat  MEGA-jelszavát egy keyloggerrel ellopja, belépés után megváltoztatja, a fiók tulajdonosa pedig nem tehet semmit.

A MEGA-t azért emeltem ki, mert a legbiztonságosabb szolgáltatónak tartják, elméletben az is, gyakorlatban viszont épphogy ezért nem.

Ha belegondolunk a jelszólopás rizikója miatt, a felhasználói név és jelszó páros egy-egy belépéshez mindenhol édeskevés, pláne abban az esetben, ha az összes dokumentumunk fenn tanyázik a fellegekben, ugyanakkor a többlépcsős hitelesítést aminek a legegyszerűbb megvalósítása, hogy a felhasználói néven és jelszón kívül egy SMS-ben érkező vagy mobilapp által generált, fél percig érvényes tokent is meg kell adni belépéskor, ha olyan eszközről lép be, amiről korábban nem lépett még be. Azaz az azonosítás kétlépcsős, 2-FA. Viszont egy kezemen meg tudom számolni, hogy hány normális fájlhoszting szolgáltató van, amelyik ezt lehetővé is tenné, legalábbis a freemium változataiban.

Nem teljesen mindegy, hogy szerveroldalon az adat mennyire titkosított abban az esetben, ha egy közönséges jelszólopással is elérhető mind a kliensoldalon keresztül? Na ugye! A saját fájljainkhoz tipikusan csak a saját eszközeinkkel szeretnénk hozzáférni, ugyanakkor a jól kialakított 2-FA lehetővé teszi, hogy ha idegen gépen kell belépnünk egy fájl eléréséhez, a munkamenet egyszeri legyen, azaz más gépén ne jegyezze meg a böngésző, mint saját eszközt. Tehát a 2-FA elemi feature kell, hogy legyen!

A MEGA-t még akkor kezdtem el használni, amikor nekem alkalmasabb még nem volt, nemrég az átköltözésnél pedig volt szerencsém kipróbálgatni a komolyan vehető alternatívákat, amikkel kapcsolatban azt tapasztaltam, hogy több téren éppen arra alkalmatlanok, amire kitalálták őket.

Szép dolog, ha nagy az ingyenesen használható tárhely, ez viszont teljesen mellékes, ha nem talicskával hordjuk fel a HD pornót, hogy ne a gépen foglalja a helyet, hanem valóban dokumentumokat, forráskódokat és fotókat tárolnánk rajta, ami pedig nyilván sok apró fájlt jelent, amit a szolgáltató esetleg egyszerűen nem tud kezelni. Márpedig tényleges felhasználói adatból átlagosan 10-20 GB-nál több aligha van, aminek folyamatosan frissnek is kell maradnia.  

Google szolgáltatást a Youtubeon kívül elvből nem használok ugye, viszont eleve titkosított fájlokat próbáltam feltolni a Google Drive-ba, aminek a kliensprogramja az első volt, amelyik egyszerűen megadta magát, mivel nem tudta kezelni a túl sok fájlt a feltöltésnél. Kiírta ugyan, hogy behalt, azt már nem, hogy milyen fájloktól dobta el az agyát. Viszont abban az esetben, ha valakit nem zavar, hogy a Google-felhőben tárolt adatok olyan infrastruktúrán működnek, aminek a kialakításánál a költséghatékonyság volt az egyik fő szempont, a Google semmiféle felelősséget nem vállal egy-egy adatvesztés miatt, hajrá! Ugyanakkor a Google Drive jól teljesít nagy méretű fájlok feltöltésénél, de itt különösen igaz, hogy a felhőbe eleve titkosítva kellene feltolni az adatot. A Google mezei és üzleti felhasználásra szánt Google Apps változata közt semmiféle lényegi különbség nincs.

A Google Drive szerveroldalon ugye nem titkosít. Hogy miért eleve titkosítva? Egy fél pillanatig se felejtsük el, hogy az adatok védelme elméletileg a Google európai leányvállalatának policyjától függ, gyakorlatilag meg ugye annak az államnak a jogbiztonságától, ahol az adott konkrét felhasználó adatait ideiglenesen vagy tartósan tároló szerverek vannak. A Google pedig stílusosan a felhasználó földrajzi helyéhez legközelebbi adatközpontba fogja az adatot lapátolni, nos, Magyarország meg nem egy olyan ország, ahol különösebb visszhangja lenne egy adatlopásnak.

Az Európában kevésbé ismert Yandex Disk kliensprogramja már lényegesen jobban teljesített sok apró fájl esetén, de alapvetően szintén megadta magát idővel, de nem ez volt benne a legirritálóbb, hanem az, hogy az én esetemben pont akkor nem működött a kliensprogram, amikor a 2-FA-t bekapcsoltam, innentől kezdve pedig felejtős a dolog, ugyan alighanem a hibát előbb-utóbb javítják. Webes felületen 2-FA mellett viszont problémamentesen működik, tökéletesen alkalmas olyan adatok tárolására, amiknek az elérésére, módosítására csak ritkábban van szükség.

A Microsoft OneDrive kliensprogramja szintén a sok apró fájlba döglött bele először, viszont ha ezeket a húzós tartalmú mappákat külön-külön töltöttem fel, problémamentesen működött. A OneDrive-val kapcsolatban többször emlegetett adatvédelmi aggály, hogy folyamatosan pásztázza a felhasználók által feltöltött tartalmakat, alapvetően illegális tartalmak után kutatva, például a nagy mennyiségű, szerzői jogvédelem alá eső, megosztott könyvek, na meg a visszaélésre esetlegesen alkalmas fotók miatt harap. Szép és jó, hol itt a probléma?
Természetesen mindezt egy mintázatfelismerő algoritmus végzi, az viszont ismétcsak nem világos, hogy ha az algó talál ilyet, akár falspozitívan gyilokpornóként azonosítva egy farsangi képet, azonnal szögre akasztja a felhasználót vagy éppenséggel bekerül egy nagy kalapba, ahol már emberi ellenőrzésen is átmegy a dokumentum. Természetesen az is előfordulhat, hogy egy leendő, még nem szabadalmaztatott gyógyszerhatóanyaggal kapcsolatos részletes dokumentumot tekint a nagyokos algoritmus valami drogos cuccnak, ami enyhén szóval nem szerencsés, ha egy teljesen kívülálló alkalmazott elé kerül ellenőrzésre. Ugyan lehet még olvasni az Onedrive-on szinkronizálható fájlok számát érintő 20000-es limitről, ezt nem tapasztaltam.

Fontos tudni, hogy ilyen tartalmi ellenőrzést végez az összes nagyobb cloud szolgáltató, amelyiknek van rálátása a felhasználói adatokra, egyetlen megoldásként ismétcsak az javasolható, hogy a különösen rázós doksikat eleve titkosítva töltsük fel.

Szintén lényeges, hogy ne bízzunk ezer százalékig a felhőben, legyen air gapped másolata is mindennek olyan pendriveon, amit csak akkor húzunk elő, amikor nagyon kell. Ugyanis hiába, hogy a fájlhoszting szolgáltatókat arra találták ki, hogy kényelmesebbé és egyszerűbbé tegyék a fájlok kezelését különböző eszközök közt, simán előfordulhat, hogy pont ez okoz adatvesztést.

Ugyan nem mentem bele részletekbe, de ha egy fájlt módosítunk a saját gépünkön mondjuk Windowsban és természetesen nem sokkal később az OSX-et futtató almás laptopunkkal szeretnénk elérni, a szinkronizáló kliensprogramnak nyilván meg kell oldania, hogy a fájl újabb verzióját érjük el. Hogy ezt melyik kliensapp hogyan csinálja, annak nem mentem utána nagyon, a MEGA például a fájlok korábbi verzióiról készít egy-egy példányt, ami alapértelmezés szerint a felhasználó elől el van rejtve, de előhúzható szükség esetén. Annak felismerése, hogy melyik fájl a legújabb és melyiket kell figyelembe vennie a szoftvernek, valószínűleg úgy történik, hogy a szoftver megvizsgálja egyrészt az utolsó módosítás pontos idejét időbélyeg  szerint vagy éppen nyilvántartja a fájlok kiszámított hash értékét ami azonnal megváltozik, ha a fájlban módosítás történik. Az időbélyeget vagy a hash-ellenőrzőösszeget pedig ügyesen tárolja és kezeli olyan sebességgel, hogy ebből a felhasználó semmit se vegyen észre.

Aki szinkronizált már életében bármit bármivel találkozhatott azzal a jelenséggel, amikor éppen ez a kényelmi funkció okoz adatvesztést. Például a hülye box.com cloud esetén, amiről még nem írtam, ha a szinkronizálás rosszul van beállítva – jobb családokban a felhasználónak eleve szinte semmit sem kell állítgatnia – olyan módon, hogy egy helyben tárolt üres mappát szinkronizáljon egy olyannal, ami a felhőben már megvan vagy éppen fordítva, a box.com képes és az üres mappához igazodik úgymond, azaz törli a teljes tartalmát, ráadásul úgy, hogy azt esetleg vissza sem lehet állítani.

A cloud tároló vállalati környezetben gyakorlatilag megkerülhetetlen, személyes használat esetén pedig könnyebbé teszi az életet, viszont érdemes figyelembe venni, hogy mi az, amire alkalmatlan valamilyen szempontból – például a darkwebről bizonyítékként lementett tartalmak tárolására nem a legalkalmasabb.

Egy nem is olyan régi hír szerint pedig a legkomolyabb versenyzők esetén sem szavatolható 100%-ig, hogy valaki valamilyen újfajta technikával ne lásson át a felhőkön: Man-in-the-Cloud

0 Tovább

Filozófia és terrorizmus


Az Al-Kaida ismét hadüzenetet küldött a fél világnak. Ilyen mondjuk előfordul máskor is, a mostanival kapcsolatban azért meg kellett várnom, amíg a hír leülepedik bennem. 

Ha esetleg valakinek kimaradt volna, a néhai bin Laden fia, Hamza bin Laden, akiről amúgy alig tudható valami pontosan a Wikileaks és a Wikipedia lapjain fellelhető információn túl. 

Ami több mint para, hogy a napokban hangüzenetben gyakorlatilag az összes USA-szimpatizáns ország megtámadására szólította fel az Al-Kaidát, európai nagyvárosokat kiemelve. Most ugorjunk is át azon a morbid részleten, hogy miért van az, hogy a harcokat, de akár a kivégzéseket egyaránt tudják venni full-HD-ben, gondolom én, GoPro-val, ami aztán gyakorlatilag azonnal a neten landol, míg a hangüzeneteik ugyanúgy recsegnek és kiadós késéssel kerülnek nyilvánosságra, mintha a 70-es években lennénk. 

Mivel nem értek hozzá, nem tudom megítélni, hogy a mostani ténylegesen mennyire jelent fenyegetést Európára nézve, felvet viszont egy fogós kérdést. 

Egész életszerű az az elmélet, hogy az öreg bin Ladent azért találták meg annyira nehezen, mert a CIA-nek egyszerűen nem volt elegendő, arabul eléggé jól beszélő, beépülni képes ügynöke, aztán végülis a terroristavezért az étkezési szokásai buktatták le - egyrészt köszönet big data, másrészt még egy ok, ami miatt nem tudok mit kezdeni azokkal, az USA tömeges megfigyelési gyakorlatát kifogásoló idiótákkal arcokkal, Snowden meg a szerethető hazaáruló ugye. Bin Laden lekapcsolásának a lényege az volt, hogy sem az egyén, sem egy terroristacsoport étkezési szokásai nem változnak jelentősen időben, ezt tudva pedig "csak" ki kellett szúrni, hogy honnan rendelnek mindig hasonló arányban ételalapanyagokat és kik, ahonnan már csak egy apró ugrás volt megtalálni a terroristacsoport séfjeit, na meg magukat a terroristákat. Ezzel arra utalok, hogy nem volt egy rutinművelet lekapcsolni az Al-Kaida akkori fejét, mivel a terroristák gyorsan tanulnak, a jövőben meg pláne nem lesz az. 

Amire viszont valahogy nem görcsöltek volna különösebben rá különösebben a hírszerző szervezetek, hogy a terroristacsemetéket illetően mi is legyen a protokoll. Az tudott, hogy Hamza bin Laden már tizenéves korában is vett részt terroristaakciókban, abban pedig ezer százalékig biztosak lehetünk, hogy ha őt is ki akarták volna lőni, az összes emberjogi szervezet azonnal habzó szájjal csinálta volna a parádét, hogy nem lőhető ki egy kiskorú, lényegében kisgyerek csak azért, mert a fater terrorista. Ahhoz pedig nem kellett sokat várni, hogy világossá váljon: a felcseperedő terroristafióka bőven okozhat még kellemetlen perceket a világnak. 

Szóval szabad lett volna-e a mini Ladent szintén előhúzni, amikor még lehetett, de kisfiú volt? Ez az a komplex kérdés, amire ugyan az etika és a fiolózófia minden bizonnyal tud sederíteni egy frappánst választ, de alighanem nem olyat, amit a biztonságpolitika azonnal be tud építeni a saját gyakorlatába és annak megfelelően eljárni. 

Vagy az etika ad túl ködös válaszokat kicsit is összetett kérdésekre vagy inkább arról van szó, hogy valahol megtorpan a kommunikáció, ahol olyan távoli területek szakértőinek kellene konszenzusra jutniuk egy-egy kérdéssel kapcsolatban, mint a fiolozófusok és a biztonságpolitika véleményvezérei, stratégái. Márpedig ha erről van szó, nem is lehetne találóbb az a gondolat, hogy a huszadik századi tudománynak annyira sikerült szétszedni a világról alkotott képet, egyre kisebb és kisebb területről tudnak a kutatók minél többet, hogy ezeket már harmonizálni, társadalmi szempontból hasznosíthatóvá tenni az igazi bravúr. 

Tudvalevő, hogy a mammutcégek előszeretettel alkalmaznak házi filozófusokat, kicsit mintha késve kezdte volna el gründolni a blölcsész staffot az NSA, mindenesetre a próbálkozás dícséretes, hogy próbálnak erősíteni bölcsészfronton. 

képek: nypost.com, blogs.oregonstate.edu

0 Tovább

Sugárzó pina figyel a Nemzetbiztonsági Szakszolgálat közepén


Mármint pina nevű wifi-hálózat. De miért érdekes mindez? Mi az a wardriving? A heti második OSINT gyorstalpaló posztból kiderül.  

klikk a képre a nagyításhoz

kép nagyban

Egyre többször kerül szóba a wifi hálózatok biztonsága, egy-másfél éve meg is keresett egy kiadó, hogy a készülő kötetükbe lektoráljam a vezeték nélküli hálózatok biztonságával foglalkozó részt, amihez ha nem is vagyok hülye, mint a harangöntéshez, de messze nem értek hozzá annyira, hogy egy ilyen fejezetnek szaklektora legyek.

A wifi hálózatok népszerűsége túl sok szót nem érdemel, amiről alighanem szintén eddig is többen hallottak vagy használták már, hogy számos olyan, known sourcingen, azaz közösségi tudásmegosztásra alapuló szolgáltatás van már, amin meg lehet nézni, hogy egy idegen helyen hol találunk legközelebb wifi-hálózatot. Na de honnan tudják ezek a szolgáltatások, hogy hol van wifi, és még azt is, hogy éppenséggel nyitott vagy valamilyen jelszavas hozzáféréshez kötött, ráadásul nem ritkán a hálózati eszköz olyan adataival együtt, amit nem a legbölcsebb, ha elárul a wifi-hálózat tulajdonosa?

Kezdetben volt a klasszikus wardriving, amikor megszállott geekek erre kihegyezett, laptopra kapcsolt antennákkal bóklásztak, amik folyamatosan figyelték a terepet, majd ha láttak egy wifi hálózatot, feljegyezték annak nevét, azt, hogy jelszóval védett vagy sem valamint természetesen rögzítették hozzá a pontos GPS koordinátákat. Ebből még annyira nem gyűlt össze tengernyi adat, néhány kivételes esettől eltekintve, mint amilyenről múltkor írtam a helymeghatározás kapcsán és csak részben volt elérhető a nagyközönség számára. Aztán jöttek a wifi-képes okostelefonok és ahogy az várható volt, ezt is megváltozott. Több alkalmazás is van, amin a mobilunkon meg tudjuk nézni, hogy a világ különböző pontjain milyen feltérképezett wifi-hálózatok vannak, ezek egy részénél opcionálisan, más részénél gyakorlatilag a használat kezdetekor elfogadjuk azt a feltételt, hogy a szolgáltatás használatáért cserébe a mi mobilunk is folyamatosan figyel, ha úgy tetszik jegyzetel, aztán tölti is fel a szolgáltatás adatbázisába az újonnan talált hálózatokat vagy frissíti azok tulajdonságait. A világ wifi routereinek nevének, pontos helyének és MAC-azonosítójának összegyűjtése és közzététele nem az ördögtől való dolog, viszont azon túl, hogy wifit foghatunk olyan helyen, ahol egyébként nincs netelérés, de szükség lenne rá, természetesen számos más célra is használható.

A nyitott wifi nem játék. Nemrég történt, hogy valaki egy család nyitott wifijét használva egy fórumon trollkodott egyet, konkrétan azt írta, hogy tele van robbanóanyaggal és használja is, ha kell, a fórumozót pedig persze az netelőfizetése alapján próbálták azonosítani, ami alapján rá is találtak egy családi házra, az Illinois állambeli Evansville-ben, ahova a SWAT igencsak nagy erőkkel szállt ki:

Mire aztán kiderült, hogy valójában valaki az utcáról használta a wifit, ők konkrétan nem robbantottak volna semmit. Arról, hogy a betört ajtó javításának költségét megtérítették-e a hékek, már nem nagyon van hír.

Azoknál a szolgáltatóknál, ahol bevezették a Wi-Free nevű őrületet, aminek a lényege, hogy más netkapcsolata is használható, ha az adott szolgáltatónál mi magunknak is van előfizetésünk, van némi ok a parára. Nos, elvben bárkinek wifi kapcsolata használható, - aki kimondottan nem tiltatta le a Wi-Free opciót, - mivel annak használata elvben saját előfizetéshez és azonosításhoz kötött, viszont sosem lehetünk benne biztosak, hogy
-    másvalaki a free wifihez kapcsolódó azonosítóinkat más nem szerzi meg, esetleg kéri kölcsön
-    esetleg nem lopják ki magától a szolgáltatótól
-    az előző kettő egyike sem, viszont az authentikációt a router olyan protokollon keresztül végzi, amiről rég tudott, hogy szar – nem vagyok benne biztos, de talán az egyik legnagyobb magyar netszolgáltató a MS-CHAPv2-et használja ehhez, amiről a Buhera Blog is beszámolt
-    esetleg a protokollal nincs probléma, viszont egyszerűen rosszul van implementálva, azaz leprogramozva az adott hálózati eszközben
-    ha még csak nem is használunk Wi-Free csodát, magának a routernek az alapértelmezett beállításai olyanok, ami alapján simán csatlakozhat rá bárki – poszt egy hazai példán keresztül szintén a Buhera Blogról erre

Másrészt tudva levő, hogy az olcsó 2 in 1, szolgáltatótól kapott kábelmodemek, amik routerek is egyben, ha önmagukban nem lennének eléggé közveszélyesek, maga a szolgáltató azzá teheti őket azzal, hogy egy WAN management protokollon keresztül az ügyfél tájékoztatása nélkül beleturkálhat valamilyen távbeállítás miatt, esetleg nem csak a szolgáltató, hanem bárki más is, amilyenre ugye szintén volt már példa.

Ha megnézünk egyet, a legnépszerűbb, wifis eszközöket feltérképező oldalak közül, mint amilyen a Wigle.net, akkor látható, hogy egy-egy hálózat nevére rázoomolva sokszor látható annak ún. MAC-azonosítója is, amiből kiderül a hálózati eszköz gyártója és sokszor az is, hogy melyik szériába tartozik.

Ez azért minimum problémás, mert rendszeresen fedeznek fel sebezhetőségeket bizonyos gyártók adott szériába tartozó eszközeivel kapcsolatban, amit ha egy támadó is tud, azt esetlegesen kihasználva hozzáférést tud szerezni a routerhez anélkül, hogy ahhoz tudnia kellene a belépési adatokat.

A routerekben persze beállítható, hogy az a nevét, az ún. SSID-t ne boardcastolja, viszont még ekkor is láthat minimum annyit például a mobil, ami a feltérképezést végzi, hogy mi a router MAC-címe. Nos, azért, hogy a MAC-cím alapján ne legyen a router típusa azonosítható, azt természetesen át lehet írni gusztus szerint olyan esetben, amikor ez lehetséges. Ugyanis több kábelmodem – ami tipikusan egyben wifi router is - esetén ha a MAC-cím megváltozik, a szolgáltatóval nem képes felépíteni a netkapcsolatot. Olyan részletekbe most nem mennék bele, hogy bizonyos eszközökön külön MAC állítható be a net és a belső hálózat felé, ahogy abba sem, hogy mindenképp egészségesebb a szolgáltató által biztosított kábelmodem és a gépeink közé egy saját routert is betenni.

Ne felejtsük el, hogy ha valaki telepített egy wifi hálózatok térképezésére és egyben gyűjtésére használt alkalmazást, könnyen lehet, hogy a mobil akkor is figyel és küldi a látott hálózatokat a szolgáltatás felé, amikor emberünk nem is tud róla, csak a az alkalmazás a háttérben fut.

Nem mintha nagy távolságból ne lehetne a wifi hálózatokat figyelgetni, de alighanem ez történhetett a több olyan közhivatalban is, ahol ilyen-olyan jópofa nevű hálózatokat vagy azok MAC-címét láthatjuk. A Nemzetbiztonsági Szakszolgálat egyik pina nevű wifijéről tudható, hogy egy kis Cisco-Linksys router, míg egy másik, közelben lévő, szintén pina nevű wifi hálózat egy Technicolor. Még egyszer: abban az esetben, ha nem mókolták meg a MAC-címet. Ezen kívül pedig figyelembe kell venni, hogy az adatbázisban nem feltétlenül minden adat friss, viszont az évszámot mutató csúszkát átállítva lehet rá következtetni, hogy a wifi hálózat mikor került fel először közszemlére.

Az ilyen térképekről egyébként sokszor nem csak az olvasható le, hogy hol vették lazábbra a figurát a kelleténél, hanem – lévén, hogy a jelerősség is fel van tüntetve – az is, hogy merre szoktak mászkálni az alkalmazottak illetve nyilván, ha sűrűn vannak egymás mellett wifi spotok, akkor abból látható, hogy egy könnyebben megközelíthető helyről, például az ügyféltérről van szó. Ezen kívül azok a mobilok, amik wifi hotspotként is képesek működni, természetesen szintén felkerülhetnek az adatbázisba, aminek a MAC-címe alapján pedig a mobilteló típusa derül ki.

Az Országgyűlés Hivatalának és a Parlament épületének legendásan hülye wifi policyjáról amúgy az Instán is találni képet:


kép: https://instagram.com/p/fSV88zsyHV/

A rendszeresen átirkált, kilométeres jelszavak használata helyes, az már kevésbé, hogy a Parlament területén lévő, összes parliament néven boardcastolt hálózatról megállapítható, hogy melyik Cisco szériába tartozik. De kis keresgélés után találni alighanem otthonról becipelt routert is a Parlament vagy más kormányhivatal területén, amivel sejthetően nem az ajtót támasztják, hanem szintén a belső hálózatához kapcsolódnak, ami ismétcsak nem túl bölcs dolog.

Találni viszont olyan eszközöket is, például a Teve utcai Sünplázában, aminél a MAC-cím alapján nem azonosítható sem a gyártó, sem pedig a típus - a MAC-cím leolvasásához a zoomolásnál az egyszerű térkép nézetet érdemes választani a műhold helyett.

klikk a képre a nagyításhoz

Kutatásra fel, kommentben lehet nevezni a nagy Wifi Hülyenév Versenyre, közben pedig akkor se lepődjön meg senki, ha a Google megkérdezi, hogy miért is vagy kíváncsi valamilyen adatra:

0 Tovább

Ugyan semmi, csak a heti Android-malware


Hivatalos alkalmazásboltból lett letöltve, több százezer felhasználó által, akik 4+ pontosra osztályozták, legitim alkalmazásnak tűnik és a mobilplatform bármely mobilját érinti, nem csak a megbuheráltakat, mi az? Igen, androidos kémprogram, mi más.

Már ha egyáltalán hírértékű az Android-mezőnyben, hogy a Google Play Storeban azonosítottak néhány olyan alkalmazást, amit letöltöttek és kitűnőre értékeltek több százezren, és teljesen mindegy, hogy az adott mobil rootolva van vagy sincs, így is, úgy is viszi az egész házat, pofátlanul gyakorlatilag minden adatot, amit csak lát. Ne legyenek illúzióink, a válogatás nélkül, minden áldozattól kilopott és összegyűjtött információ minden bizonnyal megvehető a feketepiacon, akár konkrét adatmasszaként, akár csak belépéshez szükséges felhasználói név-jelszó párosként, alighanem a díler csak annyit kérdez, hogy dekára vagy tonnaszámra venné a vásárló. Ilyesmit tesz lehetővé az a heti házikedvenc is, amit az ESET azonosított nemrég.

Az Android manapság olyan, mint a Windows 98 és Windows Millenium volt sokáig: mindenki tudta, hogy ön- és közveszélyes, de azért továbbra is mindenki használta, olyan sebezhetőségek illetve malware-ek megjelenése pedig, amik eget rengető, na meg részvénycibáló hatással lennének más platformokra, az Androidnál épphogy hírértékűek.

Mi több, előfordul, hogy még csak nem is kell alkalmazást telepíteni az androidos mobilra, mivel a felhasználó eleve úgy veszi meg hivatalosan a szolgáltató üzletében, hogy az eszközre  előtelepített alkalmazások lopják a felhasználói adatokat, ahogy az történt egy magyar szolgáltató által értékesített telefonszériával is. A hírt most nem keresem meg, de írom  egyszerűsítve, hogy mi történik a mobillal, mielőtt kikerül a polcokra. Úgy kell elképzelni a dolgot, hogy amikor az adott szolgáltató megrendel raklap számra adott márkájú, adott típusú mobilt, ahogyan azt is be kell állítani, hogy a mobil csak egy adott hálózattal álljon szóba – amíg nem függetlenítik – legyen rajta egy előtelepített Android, előtelepített alkalmazásokkal, ezt pedig ott csinálják, ahol a legolcsóbb, mondjuk Kínában, hol máshol. Miután elvégezték az előtelepítést, megy mondjuk Magyarországra, aztán persze kutya sem ellenőrzi, hogy a mobil nem küld-e a kelleténél több felhasználói adatot bárkiknek, a felhasználó tudta nélkül. Olyan ez a téma, mint a globális klímaváltozás vagy az éhínség, nem lehetne dokumentumfilmet csinálni abból, hogy az Android mindössze azzal, hogy olcsó, a mobilszegmens egy részét valahol a pattintott őskorban tartja, ehhez képest ha találnak egy bugot az iOS, Windows Phone vagy Blackberry egy ezer éve nem frissített verziójában, bégethet a nyáj, ha kihasználható a bug, ha nem. Ami meg aztán már végképp érthetetlen, hogy ha a felhasználók otthon, na meg a cégnél használnak személyi tűzfalat, vírusirtót, miért vesznek olyan mobilokat, amiről konkrétan tudják, alighanem lopható róla az égvilágon minden?  

Nos, normális ember nem engedné, hogy egy teljesen ismereten személy kattintgasson a LinkedINjén, Facebookján, Google-fiókján, Tinderjén, turkáljon az SMS-ei közt, ráadásul mindent lementsen és bárkinek el is adja, aki fizet érte. Androidot bezzeg használ a fél világ. Hát így.

Ha eltűnnék több napra, túlságosan belemerültem az irracionális fogyasztói döntések kutatásába, eltűntem az óceánon, esetleg csak a Balatonba fulladtam bele.

A Linux Torvaldsnak tulajdonított idézet szerint „Talk is cheap. Show me the code.”, szóval mostantól majdnem minden poszthoz írok példakódot könyvajánlót is annak, akit behatóbban érdekelnek a témák.  

Android-alapú szoftverfejlesztés - Az Android rendszer programozásának bemutatása (Ekler Péter - Fehér Marcell - Forstner Bertalan - Kelényi Imre)


Kép: phandroid.com

0 Tovább

Fesztiválhekkelés: karszalag-barkácspraktika


Ugorjunk is át azon a témán, hogy a nyári szabad idő eltöltésekor a fesztiválozás, a koncertezés vagy éppenséggel a disco a legmenőbb, szerintem az utolsó. Ami tény, hogy akármilyen rendezvényről is szó van, nagyon gyakran alkalmazott módszer a tömeges beléptetésnél a karszalag, aminek a lényege, hogy egy rendezvényen való részvétel joga ne legyen átruházható, ennek megfelelően vannak kialakítva a karszalagok is: feltenni mindet nagyon egyszerű, viszont ha valaki leveszi valami miatt - magyarul letépi vagy levágja - az teljesen biztos, hogy még ha ismét összerakható is, a biztonsági őr egyszerűen kiszúrja és nem engedi a belépést később. Elképzelhető olyan szituáció, ami miatt mégis szükséges egy karszalag leszedése olyan módon, hogy az ne sérüljön meg és később simán vissza lehessen tenni: mondjuk ha egy egyébként meglehetősen értékes kedvezményekre jogosító, egész nyárra érvényes karszalagnak - valószínűleg a festékanyaga - az én bőrömön allergiás reakciót vált ki néhány óra után.

Ha karszalagokról van szó, a legegyszerűbb a mindenki által jól ismert papír karszalag, ennél erősebb, stabilabb kell a nagyobb fesztiválok résztvevőinek, ekkor a karszalag anyaga is erősebb, gondolom nehezebben hamisítható és egy plombaszerű izé zárja le olyan módon, hogy a vendég akár a szalagot vágja el, akár a plombát töri le, annak nyoma marad: a karszalag érvénytelenné válik. Biztos van még néhány típus, én tegnap ugrottam el egyik kedvenc magyarországi szórakozóhelyemre, amelyik az adott nap olyan karszalagot adott a vendégeinek, amik jelentős belépési kedvezményeket jelent a nyár további részében, ami pedig a lényeg, hogy olyan megoldást használtak, amilyet én még korábban nem láttam, a karszalagnak viszont a nyár végéig a vendég csuklóján kell lennie, ami nem feltétlenül kényelmes megoldás.

 Az elvi működést lehetővé tevő felépítés a következő: adott egy műszál alapú, talán nagyrészt poliészter szövet szalag, aminek az egyik oldala hófehér, a másik oldala pedig mintás, mindez pedig egy olyan lapított gyűrűbe fut bele, aminek a belsejében alulról és felülről 4-4, egy irányba döntött fog található, ami "harapja" a szalag szövetét. A gyűrűben tehát egyik irányban minden további nélkül elmozdulhat a szalag, viszont ezzel ellentétes irányba már nem, ez biztosítja azt a stabilitást, ami miatt kizárt, hogy véletlenül leesik miközben a kultúrafogyasztó plázabenszülött bemindenezve révül a legújabb AVICII-re a tánctéren és persze, ami miatt leszedni csak úgy lehet, hogy visszaapplikálni nyom nélkül már esélytelen. Azért annyira mégsem. Inkább mutatom fotókkal, a gyűrű az eredeti fehér, szalagként pedig az ott kapott, szinte azonos anyagtechnológiai tulajdonságokkal rendelkező fekete szalagot használtam a képek elkészítésénél a szemléletesség miatt.

Fogak a gyűrű belsejében

Ahogy az ki fog derülni, még azt sem lehet megjátszani, hogy a vendég nem húzatja olyan szorosra a karszalagot a hostessel, olyan logika mentén, hogy ekkor elvileg a kézfejen keresztül ki lehetne bújni belőle, majd feltenni, amikor ismét kell.
 

Nos, mivel nekem már pár óra után kezdett vörösödni a csuklóm - tudjuk be annak, hogy a karszalag festékére allergiás a bőröm - a parti után azon agyaltam, hogy hogyan lehetne mégis úgy leszedni okosba', hogy később visszatehető legyen. Kézügyességet igénylő dolgokat nem csináltam soha, az ördöglakatokhoz sosem volt elég türelmem, a lockpickinghez mindig hülye voltam, máig csak a legegyszerűbb zárakat tudom kinyitni kulcs nélkül, ami viszont a karszalagot illeti, az is motivált, hogy meg tudom-e csinálni, ráadásul egyedül, azaz egy szabad kézzel.

A kézenfekvőnek tűnő, de nyilván hülye ötletek elvetése után abból indultam ki, hogy ha a működés arra az elvre épül, hogy hogyan kapcsolódik egymáshoz egy alapvetően lágy anyag, azaz a szalag és egy teljesen rigid anyag, azaz a gyűrű a fogakkal, akkor ilyen irányba lenne érdemes keresni a megoldást. A megoldás még mindig nem adja magát, de azért már derenghet: törjem ki a fogakat? Nem lenne egyszerű, mivel eleve annyira a szalagnak is van  térkitöltése a gyűrűbe húzva, hogy egy vékony szög se nagyon férne hozzá, vastagabb pedig a szalagot roncsolná. A cél tehát, hogy a fogak valamilyen módon engedjék el a szalagot. 

 Ekkor kitaláltam, hogy éppen azt a sajátosságot lehetne kihasználni, - na még egyszer: a gyűrű csak a lágy anyagokat fogja meg, a rigideket nem, a működés lényege pedig egy teljesen rigid és hegyes és egy, mondjuk úgy beakadós anyag közti, tisztán fizikai kapcsolódás. Ezért fogtam egy egyszerű PE-palackot, abból kivágtam egy olyan szélességű csíkot, ami a szalaghoz hasonló szélességű. A PE-csíkot pedig egyszerűen befűztem a szalag és a gyűrű fogai közé a megfelelő menetirány felől (mivel ugye a fogak cca. 45 fokban döntöttek) és violá a fogak elváltak a szalagtól. A felső rész könnyen ment, de még mindig van alul is 4 fog, ami tartja a szalagot. Innentől jött egy adag bénázás, mivel alapvetően csak az egyik kezemet használhattam, másrészt a második PE-csíkot már eleve sokkal nehezebben sikerült becsúsztatni, mivel ekkorra már eléggé szorosan állt az egész a gyűrűben. Inkább mutatom, itt csak az egyik oldalra fűztem be a PE-csíkot:

Ennyike, minimális mozgatás után a PE-csík a fogakat elválasztja a szalagtól, vegyük észre, hogy a PE-csíkba pedig nem tud beleharapni a gyűrű foga a rigiditása miatt, elcsúszik rajta, maga a szalag pedig mindkét irányba húzható, legközelebb is fel tudom tenni, ha megyek. Minimális az esélye, de ha már legközelebb kidobnak ezen népi bölcsesség közzététele miatt, viszont, ha tudnak belőle meríteni a fesztiválozók, már megérte megírnom.

A technika pedig nyilván tovább finomítható. A következő használat előtt azért, hogy a gyűrű egyrészt eléggé szoros legyen, viszont kevésbé szoruljon rá az anyagra, így kevésbe „rágcsálja” azt, ennek kiküszöbölésére azt találtam ki, hogy a gyűrű belső fogait vagy alul vagy felül "kihúzom", azaz kitöröm, amikor még a szalag nincs benne. Ami annyira nem egyszerű, mert a szinte minden anyagon átmenni képes orvosi szikével nem férek hozzá, a körömollóval lehet próbálkozni, de csak részleges lesz, inkább csak a fogak tetjén koptatja egy picit. Egy felhevített tű nyilván leolvasztaná a fogakat, nem vagyok sem idegsebész, sem órásmester, mi több, a kézügyességem az átlaghoz képest kimondottan rossz, viszont ebben az esetben elég lenne egy egészen apró, nem kívánt elmozdulás a felhevített tűvel, aztán a gyűrű úgy sérülhetne meg, hogy arról már levágósabb lehet, hogy valaki megpróbálta meghekkelni.

Záró megjegyzésként írom, hogy hasonlóan sok más itteni blogposztban leírthoz, ez a módszer is egy elméleti lehetőséget mutat be, proof-of-concepttel, ami nem jelenti azt, hogy próbáld is ki otthon azért, hogy átadd a haverodnak egy fesztiválon mondjuk, ami nemes dolognak tűnik, viszont nyilván sérti a rendezvény szervezőinek az érdekeit, azokat a szabályokat is, amiket egy rendezvénnyel való részvételkor elfogadsz, röviden fogalmazva csalás leszedni egy karszalagot azért, hogy utána más is tudja használni, hiszen az átruházhatatlanság a lényeg.

Azért nem használtam végig technikai szakkifejezéseket, mert lövésem sincs a témához, viszont ha ezt technika tanárként, anyagtechnológusként, lockpickerként, fizikusként olvasod, szivesen veszem, ha írsz, akár kommentben, akár magánban.

Ja, amúgy ezer hálám az esztergomi gimnazista csávónak, aki megmutatta a gyakorlatban, hogy az ingyenpiáért hogyan lehet duplán sorba állni - mivel korlátlan italfogyasztás van ugyan, de olyan suttyó módon megoldva, hogy a pultos akkor sem fog kettőt adni egyszerre egy vendégnek, ha amúgy tudja, hogy mindenki 15-30 percet várakozhat arra a piára.

 Ilyesmiből ismerheted fel, ha esetleg allergiás lennél valamilyen festékanyagra, amik a karszalagokra kerülnek.  

1 Tovább

A web tudja hol vagy: szinte mindig


Térképek, keresők, mobilos társkereső rendszerek és közösségi szolgáltatások – mindnél természetesnek vesszük, hogy figyelembe veszik, honnan netezünk éppen vagy konkrétan működésképtelenek is lennének enélkül.

Gondoljunk csak bele: amikor elindítod a Google, Yandex, Bing vagy OpenStreetMap térképszolgáltatását, kisebb-nagyobb pontossággal eleve azt a területet mutatja, ahol vagy, nem pedig a teljes bolygót. Akár termékre, akár szolgáltatásra keresel rá, természetes, hogy ha az kapható illetve elérhető Magyarországon, a magyar találatokat fogja dobni, azaz ha Tihanyban ráguglizol arra, hogy „cafe”, nem a világ legtöbbször hivatkozott weboldalait fogja kiadni, amik valamilyen kávézó webhelyei, hanem azt, ami ésszerű közelségben van. Ha elindítod a Tindert, azt veszi alapul a választék megmutatásakor, hogy milyen közelségben vannak a csajok illetve pasik, enélkül működésképtelen lenne az egész, de olyan mobilos társkeresőt is láttam már, ami plusz/mínusz néhány méteres pontossággal mutatta a másik felhasználó pozícióját.

Ráadásul mindez független attól, hogy helymeghatározó funkciót használó mobileszközt használsz, asztali gépet vagy laptopot, csak a pontosság tér el. Hogyan? Honnan tudják a webes szolgáltatások, hogy éppen honnan netezel, ráadásul ilyen pofátlanul pontosan?

Ahelyett, hogy belemennék a részletekbe, ismét az elvi működést ismertetem nagyvonalakban, a geolokáció felhasználási lehetőségei nyilván végtelenek, ami nem kevés kérdést vet fel, amit inkább meghagynék azoknak idióta privacy fetisisztáknak akiket behatóbban érdekel a téma.

Ha nagyon vissza akarok menni Ádámig és Éváig, mindig eszembe jut, hogy micsoda össznépi őrjöngés volt még 10-15 évvel ezelőtt is annak kapcsán, hogy a mobilszolgáltatók naplózzák azt, hogy az előfizetők mobilja mikor hol volt éppen, ennek megfelelően azt is pontosan tudják, hogy merre volt maga az ügyfél és persze legalább annyi rémes ostobaságot hordtak össze a témában, mint manapság. A szolgáltatók pedig számomra érthetetlen módon első reakcióként lehazudták, hogy tárolnának a földrajzi hellyel kapcsolatos adatokat, holott ha bárki megnézi, hogy hogyan működnek a GSM hálózatok, - mondjuk ebből a jó régi, de az elméletet jól summázó könyvben – abból világosan kiderül, hogy nem is működne az egész, ha a hálózat nem tudná, hogy a mobil hol van, dióhéjban azért, mert az eszköz helye alapján tudják egyszerűen eldönteni a mobilhálózatok, hogy mely tornyot vagy tornyokat használja az eszköz, jelerősség, terheltség és egyebek alapján. Ez még jócskán a 80-as évek elején is így volt, de ha nem naplóztak volna ilyen-olyan adatokat, akkor esélytelen lett volna diagnosztizálni visszatérő problémákat, normálisan fejleszteni a hálózatokat, hiszen ha nem tudható, hogy egy-egy torony mennyire leterhelt, esetleg milyen típusú mobilok problémásak, azt sem lehet előre bejósolni, hogy hova kellene építeni még tornyot. Ezzel gyakorlatilag egy időben kötelezővé is tették a jogalkotók a szolgáltatók számára, hogy ezeket az adatokat jó sokáig tárolják is, aztán több bűntényt így sikerül megoldani, a mainstream sajtóba csak olyasmi néven vonult be a fogalom, hogy cellainformáció-alapú helymeghatározás.

Nos, ehhez képest ma a felhasználók egy jókora része rendszeresen becsekkol ide-oda-amoda a webkettőn, még azt is megjelöli, hogy pontosan hol lakik, na meg, hogy mettől meddig nyaral. Az Antivírus Blogon visszatérő téma, hogy a betörők elképesztően nagy része a social weben keresztül előre tájékozódik róla a betörés tervezésénél, hogy hova törjön be, elég csak megnézni néhány palimadarat, amelyik geotaggel Fészen, Instán, Foursquareen – ami aztán már tényleg az agyrém netovábbja – ha ezek esetleg nem lennének kint publikusként, és a betörőnek van egy csöpp esze, akkor létrehoz egy vonzó kamu karaktert, majd felveteti magát ismerősnek emberünkkel. Kihasználva azt, hogy ilyen téren annyira illedelmes a többség, főleg a jól kinéző szőke hölgyekkel, akiknek az adatlapja szerint egy iskolába jártak, hogy felvesz ismerősnek boldogot boldogtalant, de még akkor is, ha a kamu karakter képét egyébként ezer helyen dobná a Google Képkeresője és az illetőnek eszébe sincs megválaszolni azt a kérdés, hogy "bocs, honnan ismerjük egymást". [1]

Jókora patália volt belőle, amikor a Google Streetview kocsijairól kiderül, hogy nem csak utcákat fotózgattak, hanem menet közben összegyűjtötte a hatótávolságába kerülő wifi-routerek hálózati nevét, ún. BSSID-jét és el is mentette azt a kapcsolódó GPS-koordinátákhoz kötötten. Persze nem adta ki senkinek, viszont óriási adattárházat épített belőle. Persze sok-sok hülye és kevésbé hülye ország illetékes szervei kötelezték a Google-t, hogy ezeket az adatokat töröljék, mivel a routerek tulajdonosai explicit módon ebbe nem egyeztek bele. Mit csinált a Google? Like a boss, törölte az így begyűjtött adatokat, majd egy még precízebb helymeghatározást lehetővé tevő, gyakorlatilag megkerülhetetlen módszert alkalmazott. Itt most arról fogok irkálni, hogy hogyan működött az adatgyűjtés korábban, a legtöbb helyen már nem így működik a Goolge esetén, de millió meg egy más szolgáltatás csinálja.

Nagyon nagy vonalakban a helyzet valahogy így néz ki: amikor valaki használatba vesz egy mobiltelefont, akkor vagy elfogadja a felhasználási feltételeket vagy felteheti dísznek a polcra kikapcsolva. Ha elkezdünk például egy andoridos mobilt használni, akkor kapásból beleegyezünk abba, hogy a mobil a háttérben leolvassa a hatótávolságában lévő BSSID-ket és elküldje a Google-nek, amit több adattal kapcsol össze, ezek többek közt
-    a korábbról már meglévő pozícióadatok
-    a mobilteló cellainformációja alapján helymeghatározásra használható adatok
-    az IP-cím, amit akkor kap meg, amikor a felhasználó kapcsolódik az egyik hálózathoz wifin keresztül, az Android core szolgáltatásain kívül pedig még kismillió Google-szolgáltatásnak ezt úgyis tudnia kell, például amikor a Gmail-es levelek automatikus letöltése történik, a felhasználó elindítja a Chrome-ot, amelyik szinkronizálja a könyvjelzőket, stb.  

Mielőtt most azt mondanák az almás és ablakos felhasználók, hogy ugyehogyugye, gyorsan megírom, hogy az Apple és a Windows Phone-os eszközök lényegében ugyanezt csinálják, csak éppenséggel a szolgáltatások neve más.

Na de még mindig nem világos, hogy a fent említett néhány adatból honnan tudja akkora pontossággal Android esetén a Android Device Manager, iPhone esetén pedig a Find my phone, hogy hol is az a mobil, ha elveszik, aztán megkeressük a térképen, hogy hol van.

A durván egyszerűsített magyarázat az, hogy egy cella alapján még a torony is csak kilométeres pontossággal tudná megállapítani a mobil helyét, de a mobil általában egyidejűleg több cellára kapcsolódhat, amiknek eltérő a jelerőssége, amiből besaccolható ezek távolsága, márpedig ezeket az adatokat az okosmobil elérheti. Ráadásul hacsak nem egy oázisban vagyunk, ahol még ember nem járt előttünk, akkor nyilván korábban más mobilja is lekérte és használta ugyanezeket az adatokat, másrészt tőlünk egy városon belül minden égtáj irányába kisebb vagy nagyobb távolságra, de van wifije a szomszédnak északra, délre, keletre és nyugatra egyaránt, ahol más mobilok ugyanezeket az adatokat már átadták a helymeghatározó szolgáltatásnak.

Innentől kezdve pedig már nettó matek az egész, egy-egy pont térbeli helye meghatározható más, ismert helyen lévő pontokhoz viszonyított távolsága illetve szögek alapján, ennek az egyik legegyszerűbb, de nyilván nem egyetlen módszere a háromszögelés.

Nos, egy mobiltorony ennyi kilométerre, a másik annyi kilométerre, hogyan adódik mégis a néhány méteres pontosság? Anélkül, hogy csukafejest ugranék konkrét adatbányászati módszerekbe, amik többségéhez amúgy nem értek, lényeg, hogy az adatbányászatnál, na meg egyáltalán amikor napjaink egyik legrémesebb buzzwordje, a big data kerül szóba, a lényeg azon van, hogy minél több adat áll rendelkezésre, még ha azok pontatlanok is, a nagyon sok pontatlan adatból kikövetkeztethetők nagyságrendekkel pontosabb, már használhatóbb információk. Lásd: machine learning,  ami végülis a mintázatfelismerés alapja és felhasználható szinte bárhol. [2]

Nagyjából ennyi! Fontos tudni, hogy a mobilokban szigorú értelembe véve sosem valódi GPS van, hiszen ekkor egyrészt a mobil nagyobb és drágább is lenne, másrészt pedig amikor a pozícióját le akarja kérdezni, mindig fel kellene vennie a kapcsolatot több műholddal, amire vagy pont van rálátás vagy nincs, de egy-másfél percig bőven eltartana, ráadásul olyan pontosságra nincs is szükség.

Tisztázzuk: a mobilokban használt, előbbi adatok feltöltése és lekérdezése alapján működő helymeghatározó technológia az AGPS, azaz Assisted Global Positioning System.

A mobileszközöket túl is tárgyaltuk, az esetleges pontatlanságokért pedig elnézést. Na de honnan tudja az asztali gép, hogy hol van?

Ahogy írtam, a mobil felküldözgeti a cellainfóit és az általa látható vagy általa használt hálózatok BSSID-jét is, ezen kívül a netszolgáltatótól kapott IP-t [mármint amit wifin keresztül használ]. Márpedig túl gyakran nem változik sem a netszolgáltatónk, ennek megfelelően az sem, hogy a netre csatlakozott eszköz milyen IP-címtartományból kap IP-címet, mi több, nem csak a címtartomány marad változatlan, a netszolgáltatók nem osztanak új IP-címet sem, ha nem feltétlenül szükséges, így akár hónapokig is ugyanaz marad a dinamikus IP, az pedig, hogy egy IP-cím milyen internetszolgáltatóhoz tartozik, lekérdezhető – Európában – a RIPE adatbázisán keresztül automatizáltan is, amit a GIS-szolgáltatások meg is tesznek. Egy-egy IP-tartományhoz tartozó blokk valahogy így néz ki:

https://apps.db.ripe.net/search/query.html?searchtext=188.36.223.0#resultsAnchor

A netszolgáltató persze elvben azt kamuzik be bizonyos korlátok közt, amit csak akar, viszont ez egyszerűen nem érdeke, az érdeke az, hogy olyan pontossággal adjon meg adatokat, ami a hálózatok közti adatcsere folyamán az útválasztást segíti, a sebesség érdekében pedig úgymond tudniuk kell a hálózatoknak, hogy hol vannak, tipikusan egy-egy országnyinál sokkal nagyobb pontossággal. Ez az alapja a távolság-vektor alapú útválasztásnak
ami biztosítja, hogy az adatcsomagok ne csámborogjanak a neten egyik géptől a másikig, mint gólyafos a levegőben, hanem minél gyorsabban jussanak el a feladótól a címzettig.

Lényeg, hogy amikor mondjuk megnézzük a Google Mapset asztali gépen, akkor az nyilván nem tudja átadni a routerünk hálózati nevét, viszont az IP-címét igen, amit kikeres az adattárházában, lévén, hogy ahhoz az IP-címhez vagy azzal egy címtartományban lévő címhez már kapcsolódtak korábban mobiltelók, amik fel is küldték a helyüket, ebből következik, hogy az adott IP-hez tartozó hely mi is. Ekkor hopp, minimum kerület pontossággal a Maps eleve arra a területre fókuszál, ahol vagyunk, nem pedig például csak Magyarországra. Azzal nem is bonyolítanám a képet, hogy az óriásszolgáltatók nem csak mobilok által kapott pozíciók alapján saccolgatnak, hanem néha méricskélnek is a szervereik és netszolgáltatók alhálózatai közt traceroutinggel, ami nem konkrét távolságokat mutat, hanem azt, hogy hálózati eszközök közt milyen sebességgel közlekedik az adat a mérés pillanatában. Ez csak nagyon durva becslésre adna lehetőséget, viszont ha sok-sok mérést végeznek és sok-sok útválasztó IP-címének hálózatát jegyzik fel [3], akkor a sok-sok pontatlan adatból legalább megye pontosságú adat jön ki.  Természetesen a szolgáltatások tudják, hogy egy IP-cím tartozhat mobilhálózathoz is, ami meg a címet mobileszközöknek osztja le, a mobilok ugyebár attól mobilak, mert mozognak, a geoinformatikai adattárházakat építő algoritmusok nem hülyék, ezt figyelembe veszik.  Egyrészt a már emlegetett RIPE adatok alapján, másrészt pedig az alapján, hogy alighanem már bőven volt mobil, amelyik éppen abból az IP-címtartományból /*azaz így szolgáltatón keresztül*/ használta korábban pont az ő egyik szolgáltatásukat, márpedig ha valaki mondjuk elkezd az iPhone-ján böngészni, a böngésző azzal kezdi, hogy jelzi a webhelynek, így az amögötti szolgáltatásnak, hogy ő egy mobileszköz, valahogy így  

80.99.xy.zw [URI] 7/2/15 11:17 PM Mozilla/5.0 (iPhone; CPU iPhone OS 7_1_2 like Mac OS X) AppleWebKit/537.51.2 (KHTML, like Gecko) Version/7.0 Mobile/11D257 Safari/9537.53

És ha nem is ebben a formátumban, a többi mobilalkalmazásnak is egyértelművé kell tenniük egy app elindításakor a szerver felé, hogy ő nem netre kötött kenyérpirító, hanem mondjuk egy Samsung Galaxy adott típusú és verziójú operációs rendszerrel.

A helymeghatározás többek közt ezeket a módszereket kombinálja, finomítja.

Amivel nem akartam bonyolítani a képet, hogy nem feltétlenül úgy kell elképzelni, hogy a Microsoft a Bing Mapshez, a Google a Google Mapshez, az Apple a Mapshez, a Yandex pedig a Yandex Mapshez külön-külön adattárházat épít, amik mit sem tudnak egymásról. Egyrészt nem ritkán az adatokat cserélgetik egymás közt és mindenki jobban jár, másrészt természetesen igénybe veszik olyan geoinformációs technológiákkal foglalkozó cégek technológiáit és adattárházait is, amik közvetlenül egyáltalán nem szolgáltatnak a végfelhasználók, csak a szolgáltatók felé, ilyen például a TeleAtlas aminek egy részéből rakták össze a Google Maps-et.

Ezen kívül alighanem mindenkinek a mobilján van olyan app, aminek egyáltalán nem szükséges tudnia, hogy hol vagyunk, mégis az ingyenes használat feltételévé teszi, hogy a pozíciónkat hébe-hóba felküldi egy partnerének, mi pedig nem olvassuk el a kilométeres T&C-t, na meg egyébként sem érdekelne.

Vannak olyan cégek, akiktől kilóra lehet venni olyan adatbázisokat, amik kizárólag az IP-címre támaszkodva adják vissza a látogató földrajzi helyét, ilyen például az IPteligence, az IPAddressLabs, az IP-DB, vagy az IP2location.  

A helymeghatározásnak olyan esetben is fontos szerepe lehet, amiről egyébként nem gondolnánk. Például a Skype alapértelmezés szerint egy hanghívásnál point-to-point, ha úgy tetszik, közvetlen kapcsolatot hoz létre a két fél közt, amihez nyilván egymás IP-címét tudni kell. A Skype-on ez letiltható ugyan, ekkor egy köztes szerveren fut át az adat, viszont olyan esetben, ahol csak lassabb netet kap a mobil, pont emiatt lesz a hangminőség rosszabb.

Amit írtam, hogy a Google esetében a BSSID-alapú adatgyűjtési gyakorlat számos országban már a múlt, amíg viszont nem volt így, addig a wifi BSSID-je végére írt _nomap jelölővel lehetett utasítani a Google-t, hogy ezt ne vegye figyelembe, a wifink neve a helyével együtt ne kerüljön fel az adatbázisba. Na és? Ott van még ezer másik szolgáltató, amelyik meg gyűjti látástól Mikulásig. Ráadásul értelmetlen is tiltani, mivel vannak olyan, az OpenStreetMap-hez hasonló, közösségi tudáson alapuló geoinformatikai megoldásokat is használó rendszerek, mint például a WiGLE amiknek az API-felületén keresztül mondjuk pont olyan BSSID-k kereshetők bárki számára, aminek a nevében benne van, hogy _nomap :)

Szóval eléggé gyorsan érdekessé tudja tenni magát az a felhasználó, aki mondjuk az otthoni routerét így nevezi el, addig csak a Google látta, az átnevezés után meg az egész világ. Az is lehetőség, hogy a router konkrétan ne boardcastolja a hálózat nevét, ekkor viszont ha valaki vendégségbe érkezik és wifit használna, kézzel kell bekalapálnia a hálózat nevét is a jelszó mellett, mivel az nem fog látszani a wifi hálózatok felsorolásában.

Még egy picit a Google-ön rugózva, mondhatni eléggé para, amikor 30 napra visszamenőleg meg lehet nézni, hogy merre mászkáltunk az androidos mobilunkkal, hacsak ez nem volt letiltva, trükkös dolognak tűnik az, hogy meghamisítjuk a mobilunk pozícióját, annyira nem az. Ez elvben elérhető Blackberryn, Windows Phone-on, Apple-n is, csak sokkal durvább beavatkozással, míg Android esetén elég a beállítások alatt bekapcsolni a Developer mode-on belül a Mock location engedélyezését, ezt követően a geek-ebbek az Android SDK-n keresztül idétlenkedhetnek vele, de vannak konkrétan olyan alkalmazások is, amiken egyszerűen csak rá kell bökni a térkép egy pontjára és rögtön azt kamuzza a mobil az összes alkalmazásnak, hogy valójában mondjuk a Déli-sarkon vagyunk. Nagyon gyorsan hozzáteszem, hogy egyetlen androidos mobilom van, amit szinte soha nem viszek el sehova otthonról, többen viszont elsődleges telefonként használják a saját androidos mobiljukat. Abban az esetben, ha valami hülyeség van bebökve a valódi pozíció helyett, a többi platform  esetében pedig például egy az egyben le van tiltva a földrajzi hely meghatározása, nos, teljesen mindegy, hogy Android, Windows Phone, iOS vagy Blackberry a mobilunk, garantáltan nem lesz meg, ha valahol ott felejtjük, hiszen maga a mobilkereső-lopásgátló szolgáltatás sem éri el.

Azt hiszem, hogy itt érdemes megjegyeznem, hogy lopás esetén a tolvajok kevésbé agytröszt részét nem tartja vissza az, hogy tisztában vannak azzal, hogy a mobil pozíciója könnyen meghatározható, ugyanakkor nem célszerű töltött lőfegyver, magánhadsereg, de minimum rendőri segítség nélkül a telefon után menni, ugyanis tragédiába is torkolhat a dolog, ugyan számoltak már be szórakoztató esetekről is amiknek a középpontjában nagyon hülye orgazdák állnak.

Lényeg, hogy az Android természetesen észleli, ha developer módban fut és az eszköz földrajzi helye pedig egész egyszerűen életszerűtlen módon változik, azaz például néhány másodperc alatt átkerül Zürichből Debrecenbe, a GIS-rendszerek pedig nem hülyék, azonnal észlelik, hogy a pozíció nem természetes módon változott meg és tudják is a helyzetet helyén kezelni – vagy a szolgáltatás, aminek szolgáltatják az adatot. Ahogy írtam korábban, a Facebook például annyira kifinomult, hogy ha valaki 13:00-kor még Budapesten lájkolgatott, 13:05-kor pedig rögtön beírja a helyes felhasználói nevet formálisan Rio de Janeiroban /*IP-cím alapján*/, annak túl sokféle magyarázata nem lehet. Az egyik, hogy valaki tényleg ellopta a jelszót és megpróbált belépni más nevében, a másik lehetőség pedig, hogy a felhasználó anonimizáló proxyt, VPN-t, TOR-t vagy hasonlót használ. Mindkét esetben a Facebook a szokatlan aktivitás miatt megpróbál róla meggyőződni, hogy valóban a tulajdonos szeretne belépni ezért még elkér ilyen-olyan adatokat. Viszont abban az esetben, ha valaki össze-vissza „ugrál” az IP-címe alapján, a Facebook nem fogja törni magát és valahanyadik belépés után már simán megy a belépés. Ebben az esetben nem az a GIS kifinomult, amelyik a Facebook alatt fut, hanem ahogyan a Facebook használja a GIS-től kapott körülbelüli pozíciót.

Az Apple esetén a Find my phone szolgáltatásnál nem világos, csak sejthető, hogy a Macbookokat és iMac-eket hogyan találja meg annyira gyorsan az Apple, de sejthető, hogy a logika lényegében az, ami a mobiloknál, ráadásul a Macbook akkor is folyamatosan figyelheti a BSSID-ket, amikor egyébként altatva van – hiszen például a leveleket is letölti még attól. És nem lehet olyan egyszerűen legyilkolni benne a helymeghatározást, mintha egy értékes nem-Apple laptop lenne, aminél a tolvaj rögtön kigyalulja az oprendszert az esetlegesen rajta lévő helymeghatározó szoftverrel együtt.

Ha valaki valami miatt nem szeretné, hogy a földrajzi pozíciójának nyoma maradjon, annak azt a protokollt tudom javasolni, amit én követek néha: a SIM-kártyát átteszem egy régi butamobilba és nem viszek magammal semmit, amiben egyáltalán van lehetőség a geolocationre. Persze, a mobilszolgáltatóknál megmarad, hogy merre jártam, csak éppenséggel ez egyáltalán nem zavar, hiszen nem valami félelmetes hárombetűs szervezet elől akarok elbújni.

Tehát a geolocationt lehet szeretni, nem szeretni, de alapvetően a felhasználói élményt fokozza, bizonyos alkalmazások működése erre alapul. Használjuk ésszel.


[1] én már a WiW-érában sem illedelmeskedtem, akit nem ismertem meg arc alapján azonnal, nem volt egyértelmű, hogy biztosan az, akinek mondja magát vagy biztosra vettem, hogy értelmes tartalmat nem fog a falra hányni, azonnal elutasítottam a bejelölést, ha ismét jelölt, bónuszként le is tiltottam.
[2] a biztonsági okokból felszerelt kamerák egy része alapvetően nagyon pocsék felvételt készít az arcokról, ez viszont nem jelenti azt, hogy értelmetlen lenne a begyűjtött adat. Amikor például valaki egy bankautomatát berhel, közben nyilván mozog. A nagyon sok, rossz minőségű képkocka alapján pedig már előállítható olyan kép, ami alkalmas a személyazonosításra.
[3] A traceroutinget egyrészt alapvetően nem erre találták ki. OSX-ben és linux shellben a traceroute, Windows parancssor esetén pedig a tracert paranccsal érhető el, de elvégezhető webes felületen is: például ha nem tudjuk, hogy a Budapesti Műszaki Egyetem és valószínűleg annak webszervere melyik városban van, csinálhatunk felé egy nyomkövetést, amiből látszik, hogy a hoszt IP-je, annak „megfordítottja”, azaz reverse-elve az IP hosztnévvé Budapesten van, sokszor a végpont előtti IP-cím jelenti a hasznos információt vagy a hosztnév vagy az alhálózat alapján. Számos esetben viszont igen bonyolult technikákat alkalmaznak azért, hogy a földrajzi hely ne legyen egyértelmű, na meg azért, hogy a terheléselosztás biztosított legyen. Például ha valaki lekérdezi a Youtube.com IP-címét, kijön egy cím, ami az ARIN /*ez a RIPE USA-beli megfelelője*/ szerint Mountain Viewban van, Kaliforniában. Ha viszont lekérdezzük az IP-cím reverse-jét, akkor olyan hosztnevet kapunk, aminek a nevéből sejthető, hogy valójában az a szerver, amivel a böngésző felveszi a kapcsolatot, Budapesten van. Perpill. ezt a címet kaptam: 216.58.209.206, aminek a reverzje ennek feleltethető meg: bud02s22-in-f206.1e100.net. Amúgy a magyar felhasználók Gmail-es levelezését és Google Drive fájljait még csak véletlenül sem Magyarországon tárolja a Google :)

Képek innest: reddit.com, iconbeast.com, neilson.co.za

1 Tovább

így tüntet el bizonyítékokat a Google


A bosszúpornó nem jó ötlet. A kutathatóságát korlátozni szintén nem.

Legalábbis szerintem. Lehet, hogy nincs igazam. Igencsak sűrű volt az elmúlt néhány nap internetügyileg - instant felzárkóztató a Wireden itt -, ezek közül az egyik szerintem ami a netes kultúra és cybercrime szempontjából együttesen leginkább elgondolkodtató, hogy a Google úgy változtatta meg a keresőszolgáltatását, hogy az ne nagyon dobjon bosszúpornó oldalakat találatként akkor, ha valaki a revenge porn keresőszóra keres. Ha valaki nincs képben, a Google a találatok felsorolásánál, relevanciájuk meghatározásánál az egyik szempont, amit figyelembe vesz a ranking algoritmusokkal, hogy miután - nagyon-nagyon sok - felhasználó egy adott kifejezésre keresett, utána mire kattintott rá. Nagyon durván egyszerűsített példával, ha nagyon sokan Martin Garrix nevére keresnek rá, majd ezt követően a vele kapcsolatos Wikipedia-szócikkre kattintanak, akkor az a találat be fogja előzni idővel a www.martingarrix.com oldalt, hiszen a felhasználók a Wikipedia-szócikket tartják relevánsabbnak  most ne menjünk bele, hogy persze sokminden mástól is függ.

Szóval ha valaki eddig bosszúpornót keresett, akkor a top találatok közt valóban bosszúpornó oldalakat is talált.

18 év börtönre ítélték nemrég azt a Kevin Bollaer nevű pofát, aki olyan oldalt üzemeltetett, amire bárki beküldhette az exéről vagy más haragosáról készült házipornós képeket. Ja, meg egy olyan oldalt is üzemeltetett, amin pénzt kért az áldozatoktól az adott tartalmak eltávolításáért.

Ha a Google hatalma nagy, akkor érthető, hogy a társadalmi szerepvállalása és felelőssége is legyen az, nemde? Szerintem ez nem kérdés. Viszont! Van egy másik alapelv, ami szerint nem manipulálják művileg azokat a találatokat, amiket az általuk működtetett algoritmusok relevánsnak találtak, ez alól kivételt jelentenek olyan esetek, amikor az algoritmusok hibájából mégsem az adódik releváns találatnak, ami józan ésszel belátva az, ez az ún. SEO-poisoning, más néven spamdexing.

Ilyenkor a durva beavatkozásra nyilván azért van szükség azon túl, hogy a használhatóságot rontja, ha nem nyúlnak bele, mert megvédi a felhasználókat az esetleges, másodlagos veszteségektől, például vírusfertőzésektől, nem-többségi véleményt tükröző, a szólásszabadsággal visszaélő tartalmaktól, de hosszasan lehetne még taglalni ennek az elvi magyarázatát.

A revenge porn kifejezéssel kapcsolatos módosítás viszont egész egyszerűen nem ilyen, igaz, ha a bosszúpornót kereső arcok nem találnak bosszúpornó oldalakat - itt meg tudnék nevezni egy rakás keresőmotort, amivel továbbra is simán! - akkor nyilván a bosszúpornó áldozatait megvédi ezzel a Google. A gondolkodó, de a témában nem tájékozott ember egyik gondolata az lehet, hogy aki volt olyan hülye, hogy hagyta magát egy kiadós bukakee partin fotózni, az meg is érdemli, mi több, majd ebből tanul, ettől nevelődik a nép - ugyanis az esetek többségében nem arról van szó, hogy a képeket ellopják, hanem arról, hogy egy rakás idióta az általa szűknek vélt körnek átküldözgeti ezeket a képeket azzal izmozva, hogy mekkora jó csaja van, a kép meg persze nem parkol végleg még a legjobb barátja mobilján sem, hanem kikerül. Az igazság szempontjából viszont félrevezető lehet ez a logika, hiszen teljesen mindegy, hogy valami kinek a sérelmére történik, sosem hibáztatható a sértett azért, mert valaminek az áldozatává vált, még akkor sem, ha egyébként megelőzhette volna.

Na de akkor mégis mi a jóég a probléma azzal, hogy a Google így moderál? Ugyanaz, ami a még hülyébb Facebook moderációs elveivel, nevezetesen, hogy gyakorlatilag bizonyítékokat semmisít meg, így egy-egy ilyen törvénysértés, na meg az azzal összefüggésbe hozható személyek és egyáltalán maga a jelenség nem lesz kutatható sem a hatóságok, sem pedig a nem hatóságok körében munkálkodó többi kutató számára.

Tegnap nagyon rápörgött a net arra a témára, hogy az USA-ban mindenhol engedélyezett lett a melegházasság*, ennek kapcsán jutott eszembe, hogy Oroszországban pedig nemrég gyakorlatilag kriminalizálták, ehhez képest ismét jóidőre lecsukták Alexander Marcinkevicset, a pofát, aki szervezetten uszított a melegek ellen olyan módon, hogy a mozgalmát amúgy pedofilellenes szervezetnek tüntette fel, de a hülye is látta, hogy nem az.

A 444 egy-másfél éve írt róla egy egészen sokkoló cikket a jelenségről amin a beágyazott Youtube-videókat már nem lehet megnézni - mily' véletlen, szintén a Google tartalompolitikai gyakorlata miatt, amiről most írok. /*a Youtube ugye Google-szolgáltatás*/

Na de hogyan sikerül az Oroszországi Föderáció területén az ottani hatóságoknak mégis töménytelen mennyiségű bizonyítékot összegyűjteni - mi több, ezt megteheti bármelyik olvasó is, már ha bírja a gyomra - a terror ezen formájáról és nagyon-nagyon sok más bűncselekménnyel kapcsolatban is? Nos, úgy, hogy az "orosz facebookon" a VKontakte-ként is ismert vk.com -on, ami legalább harmad akkora, mint a Facebook, de talán volt idő, amikor nagyobb is volt annál, semmilyen, még egyszer semmilyen vagy szinte semmilyen tartalmat nem távolítanak el, ha mégis, akkor sok idő után, viszont például a spammerekket és a kamu felhasználókat ők is irtják, ahogy tudják. Ha viszont azokat a videókat, amiben embereket aláznak, vertek, lincseltek rommá, a Google-höz és a Facebook-hoz hasonló puhapöcs módon azonnal törölték volna néhány bejelentés után, azzal egyrészt bizonyítékok tömegét tüntették volna el, mi több, esélytelen lett volna feltérképezni a lájkok és kommentek alapján azokat a felhasználókat, akik ilyen-olyan radikalizálódó csoporthoz tartoznak és ez a lényeg!

Ha valaki csinálna egy olyan oldalt, amin mondjuk én látszódom professzionális módon photoshoppolva mondjuk thai kurvákkal, akiknek mondjuk az arcára ráengedtem néhány patront - ilyen rajzolásához amúgy tutorial is van :) - és az oldalon fel lenne tüntetve, szó szerint, hogy "bardóczi ákos, meg fogunk gyilkolni", akkor hülye lennék lemoderáltatni, akár Facebook-oldalról, akár más felületről van szó, hiszen akkor aztán biztos, hogy nem lehetne megtalálni az elkövetőt, míg ha a tartalom fennmarad, akkor teljesen más a helyzet.

Persze lehet, hogy tévedek. De nagyon úgy fest, hogy a keresőóriás olyan döntést hozott, amit rövid- és középtávon üdvözölnek a jogvédő szervezetek, na meg úgy mindenki, ők pedig elbújhatnak a társadalmi szerepvállalás mögé. Megjegyzem, számos eszköz van még, amivel a már törölt/nem kereshető tartalmak is kutathatóak, viszont a Google mégiscsak egy olyan hatékony eszköz, amit sokszor körülményes mellőzni.

Alapvetően a cyberbullying megelőzésére mindenkinek, különösen pedagógusoknak és szülőknek a Safer Internet Hungary webhelyét ajánlom.  

*globális emberjogi problémákhoz, biztonságpolitikához nem értek behatóan, viszont annyira leszarom az USA-beli melegházasságot, hogy el se tudjátok képzelni, lévén, hogy globális téren, de még az USA-ban is az emberkereskedelem, fegyverkereskedelem, gyermekprostítúció, pedoporesz és még sokminden más, gyakorlatilag minden fajsúlyosabb emberi jogi probléma, mint hogy az egyik bácsi a másik bácsival házasodhat-e. Viszont nyert a cukiságfaktor, hiába, hogy ennek relatív kicsi a jelentősége egy olyan államban, ahol eddig sem volt túl necc melegnek lenni a világ számos országához képest. Azzal meg mégsem lehetne rommá hype-olni a világot, hogy sikerült felszámolni mondjuk a szervkereskedelmet, egyszerűen mert maga a téma annyira negatív érzeteket kelt a tömegben, míg az LMBTQIA-jogok nem - ebben a mozaikszóban amúgy az a legnevetségesebb, hogy évről évre hosszabb. Vigyázat! Lehet, hogy tévedek. De kicsit analóg a helyzet ahhoz, amikor egy kibszott állatkert jóval több támogatást kap civilektől, mint egy gyermekklinika, mert ház kiskecskéket simogatni, meg aranyhörcsögöket mégiscsak cukibb, mint lesoványodott gyerekekre gondolni, akik nem sokkal korábban még egészségesek voltak, a kórházban pedig beszerezhetőek lennének kedvezőbb mellékhatásprofilú terápiás készítmények, kialakíthatóak lennének sokkal barátságosabb kórtermek, csak éppen nincs rá pénz.

képek forrása: feminspire.com, kidshealth.org, worldwideweber2014.wordpress.com

0 Tovább

Gmail-törés egyetlen mobilszámmal


Körülbelül két héttel ezelőtt tett közzé a Symantec egy figyelmeztetést az otthoni felhasználók részére egy videóval együtt, amiben pazar módon elmagyarázzák, hogy hogyan lopható, "törhető" egy Google Account  mindössze az áldozat mobilszámának ismeretében. /*azaz hogyan férhető hozzá a Gmail mellett az áldozat összes kapcsolódó Google-szolgáltatáshoz való hozzáférése is a jelszó ismerete nélkül*/

A módszer lényege nagyon röviden:

1. a támadó kattint az elfelejtett jelszóra a Google bejelentkező felületén, megadja az áldozat címét, majd kiválasztja a jelszóhelyreállítás módjainál, hogy SMS-tokent kér a visszaállításhoz. Ez ugye az a rövidke számsor, ami az áldozat mobiljára megérkezik, majd a begépelésével új jelszó állítható be.
2. Az áldozat persze azonnal figyelmeztetést kap, hogy valaki jelszóhelyreállítást kért a nevében és persze magát a tokent /*vegyük figyelembe a pszichés hatást is!*/, ilyennel bizonyára már többen találkoztatok Ti is korábban. Valami ilyesmire kell gondolni:

"Your account was logged into from a new browser or device. Review the login: https://webhely.tld/token_helye"

"Your account was recently logged into from Safari on Windows."

"Facebook Password reset code: [öt-hat számjegyű szám] Or reset your password here: http://fb.com/l/token_helye" [1]

"Access data for your account has been ordered by you personally or by someone else. Your temporary password: [jelszó helye]"

3. És itt jön a csavar, a támadó egy, az áldozat által nem ismert mobilszámról SMS-t küld, ami nagyban hasonlít a webszolgáltatások előbb idézett rendszerüzeneteihez, majd hozzáteszi, hogy a fiókja biztonságosabbá tétele érdekében SMS-ben küldje el válaszként a tokent.

4. Az áldozat kellően beparázik ahhoz, hogy ne vegye észre azt, hogy a válasz SMS-t egy közönséges mobilszámra küldi, ami kézbesítődik is a támadó mobiljára, aki a böngésző előtt vigyorogva szépen bekalapálja a tokent, új jelszót állít be és már el is lopta a fiókot, az áldozat legfeljebb akkor veszi észre, hogy valami nagyon nem stimmel, amikor legközelebb próbál belépni, de akkor már valóban új jelszót kell kérnie, hiszen nyilván nem tudja, hogy mit adott meg a támadó. Esetleg a támadó egy olyan kamu SMS-t küld, amiben egy kamu ideiglenes jelszó van és azt állíttatja be a felhasználóval olyan körítéssel, hogy ne változtassa meg pár napig :)

Videó, hogy szemléletes legyen:

Hozzáteszem, hogy a Symantec a Gmail-en mutatja be a módszert, de vegyük észre, hogy gyakorlatilag bármilyen webalkalmazásnál bevethető a támadás, ideértve a Facebookot, LinkedIN-t, Evernote-ot, stb. aminél a fiókhoz hozzá van rendelve mobilszám.

Adja magát a kérdés, hogy a támadás kivédésére mi jelent megoldást és mi nem?

Első laikus gondolat, ami nemhogy nem jelent megoldást, utalva a korábbi posztjaimra, nagyon veszélyesen hülye ötlet, a fiók még könnyebben ellopható:
- ha nincs beállítva mobilszám - hiszen így akkor sem tud a szolgáltatás azonosítani, amikor a legitim felhasználónak lenne rá szüksége
- ha olyan mobilszám van hozzárendelve, amit más nem ismerhet meg - ne vicceskedjünk már, ilyen egész egyszerűen nincs, soha nem is lesz, még olyan életszerűtlen esetben sem, amikor valaki fene nagy biztonságtudatosságában direkt a webszolgáltatásokhoz vesz egy SIM kártyát, amit a mobilszolgáltató titokban tart, a felhasználó a számot nem árulja el senkinek. Egészen egyszerűen nincs olyan, hogy "beszerezhetetlen mobilszám".

Akkor mi jelent megoldást? Egyszerűen az, ha a felhasználó figyelmes, és semmilyen webes szolgáltatásból érkező SMS-re nem válaszol, mivel ilyet normális webes szolgáltatás szinte sosem kér, néhány nagyon ritka esetet leszámítva!

Egyébként a videó megjelenése óta gondolkoztam rajta, hogy ezt megírjam-e vagy sem, több szempontból. Egyrészt egész egyszerűen azért, mert ez a blog nem news outlet, nem posztolom újra, amit más kitalált, esetleg csak abban az esetben, ha ahhoz eléggé sokmindent hozzá tudok tenni. Másrészt azért, mert ez a tweak nekem konkrétan annyira nem új, hogy már ezer éve találkoztam vele, ugyanakkor felvet egy fogós etikai kérdést. Amikor valaki talál egy programhibát, ami esetlegesen kihasználható, majd azonnal közzéteszi, ezzel kényszerítve a szoftverrendszer fejlesztőjét a minél gyorsabb javításra, full disclosure-nek nevezzük, megoszlanak a vélemények azzal kapcsolatban, hogy ez mennyire jó gyakorlat. Nos, teoretikai szempontból az olyan módszerrel kapcsolatban is tehető közzé full disclosure, mint amilyen ez, azaz egy kevéssé ismert social hack ismertetése, viszont remek kérdés, hogy erre a szolgáltatók hogyan reagálnak, persze legnagyobb valószínűséggel sehogy, ugyanakkor alighanem lesznek olyan pöcsök, akik megtalálják mondjuk ezen a blogon, aztán fel is használják, mivel a téma iránti érdeklődés finoman fogalmazva is intenzív – ja, az egy tálca sört még tartom!  

Ugyanakkor egyrészt a blogolás olyan értelemben nem felelősségteljes műfaj, hogy agyalnom kellene annak a közvetett következményein, amit leírok,  az is előfordulhat, hogy aki biztonságtudatossági tréningeket tart, esetleg itt találkozik a módszerrel először, aztán be tudja építeni a tananyagba, hogy aztán a felhasználók erre a támadási formára is fel legyenek készítve.

Azoknak írom, akik erre a posztra keresőn keresztül találtak rá törési gyorstalpaló után kutatva és primitív kíváncsiskodó pöcsként nem értik meg, hogy a barát, barátnő, főnök, alkalmazott, feleség fiókjához való illetéktelen hozzáférés milyen súlyosságú dolog, azt tudom mondani, hogy nyugodtan próbálják ki, mivel az előzetes megfelelő anonimizáláshoz, na meg mondjuk úgy, laborkörülmények beállításához elég eszük úgysincs, a web giantek meg nem hülyék, jó esetben szokatlan aktivitás esetén úgyis meggátolják a támadást, bónuszként azonosítják a támadót, de úgy, hogy őt rúgják ki végleg, szóval hajrá!  

Sokszor nem értik, amikor arról beszélek, hogy alapvetően mindenféle jelszóemlékeztető, jelszóhelyreállító feature rossz, pláne, ami nem igényel emberi beavatkozást, akármilyen szofisztikáltnak tűnik is. Ugyanakkor erre nyilván szükség van tömegszolgáltatások esetén, hiszen semmilyen szolgáltatás, amelyik közvetlenül nem kér előfizetési díjat a használatáért, egyszerűen nem engedheti meg magának egy harceddzett ügyfélszolgálat fenntartását [2], ugyanakkor azt sem, hogy a felhasználóik semmilyen módon ne férhessenek hozzá a fiókjukhoz például amikor valóban elfelejtették a jelszavukat.

Vegyük észre, hogy a netbank-rendszerek már nem ilyen hülyék, nem lehet beállítani új jelszót csak úgy, néhány banknál még telebankon keresztül sem, ahogy azt is, hogy itt - az én definícióm szerint - ismétcsak szó sincs törésről, csak egy átlagosan kifinomult trükkről, ami az emberi tudat egy sajátosságát használja ki, - ami ugye esetfüggően bug vagy feature :) -  nem pedig egy szoftveres hibát!  

[1] korábban a FB-ban volt egy olyan jelszóhelyreállító metódus, amiben a mobilra érkező 5 számjegyű számmal lehetett új jelszót beállítani. Nos, ekkor megérkezett egy token SMS-ben, amit a felhasználónak meg kellett adnia, ha pedig elírta, akkor a Facebook figyelmeztette, hogy helytelen, ezért adja meg újra, VISZONT nem korlátozta a próbálkozások számát! #facepalm!!! Tehát akár automatizáltan is bárki bárki másnak a fiókján végigpróbálgathatta a maximálisan 99999 lehetséges ismétléses permutációt - átlagosan ebből ugye tehát mindössze ötvenezer próbálkozás is elegendő volt, majd ha talált, beengedte a szolgáltatás a támadót. A módszer persze azóta már nem működik és a próbálkozások számán túl még nagyon sok mást is figyelnek a normális webszolgáltatások annak kiküszöbölése érdekében, hogy a jelszót valóban a fiók tulajdonosa tudja csak átírni, aztán ha támadást tapasztal, ahogy írtam, szépen szögre akasztja a támadót.

[2] Ami a szolgáltatások supportját illeti, nos, igen, kivétel minden alól van. Ortó nagy botrány volt belőle, amikor kiderült, hogy jelszóvisszaállításkor az Apple telefonos supportja az új jelszó beállításához csak a fióktulajdonos postai címét kérte el meg talán még egy adatot, amit bárki megtudhat, a gyakorlaton mégis csak akkor változtattak, amikor már jópár Apple-fiókot feltörtek. Másrészt bizonyos esetekben a Google csak akkor engedélyezi az új jelszó beállítását, ha a fiók tulajdonosa befizet 1-3 USD-t, ekkor egy alkalmazott is megnézi a felhasználó korábbi aktivitását, majd valamilyen belső policy alapján eldönti, hogy a kapcsolattartói email-címre küld-e átmeneti jelszót. Azt viszont már nem ellenőrzik, hogy a bankkártya, amivel ezt az összeget valaki fizeti, annak a nevén van-e, akinek a nevén regisztrálva van a fiók :)

A legdöbbenetesebb tapasztalatom konkrétan személyes és egy óriásszolgáltatóhoz tartozik, mivel nem tudom, hogy a módszer működik-e még, nem írom meg, hogy melyikről van szó. Történt, hogy egy szolgáltatásba még kiskoromban regisztráltam, nem használtam évekig, amikor pedig ismét léptem volna be, a jelszó nem stimmelt. Gondoltam, semmi probléma, ott az account recovery, igen ám, de a hozzá tartozó email cím már nem élt, már a domain sem, így oda nem tudtam jelszóhelyreállítót kérni. Ahogy az ott szépen le volt írva, felvettem a kapcsolatot a supporttal, megírtam nekik, hogy mi az ábra, viszont lévén, hogy ilyet bárki írhat, feltüntettem azokat az adatokat, amiket csak én tudhatok, nevezetesen, hogy évekkel korábban másodperc pontossággal mikor regisztráltam /*megvolt az ezzel kapcsolatos email a benne lévő aktiváló kóddal együtt*/, melyik netszolgáltatót használtam akkor. Olyan válasz érkezett, hogy azt hittem, nem hiszek a szememnek: a supportos tag ragaszkodott hozzá, hogy arról az email címről írjak nekik, amelyikkel regisztráltam, holott pont azért írtam nekik, mert a postafiók már nem létezett. Aztán küldtem nekik még néhány adatot, ami nyilván megvolt nekik is, rajtuk kívül csak én tudhatok róla, de a tag ragaszkodott a belső policyhoz, aztán ellevelezgettünk pár napig. Végén gondoltam, hogy ez már tuti bukó, nincs vesztenivalóm, aztán lezavartam neki a legcifrább kurvaanyázást, amit csak tudtam, ékes angolsággal viszont - itt jön a lényeg - az emailem fejlécét úgy változtattam meg, hogy annak a feladó mezőjében az általuk kért, a már nem létező címem szerepeljen, válaszcímként pedig olyan, ami létezik és azt is megírtam nekik, hogy egy több tízmilliós szolgáltatásban ez a gyakorlat nevetséges, hiszen ilyen alapon bárki lenyúlhatja más fiókját egyszerűen a supportnak küldött email fejlécének megmókolásával. Nem hiszitek el, hogy mi történt: a supportos azonnal küldött jelszót /*hiszen formálisan arról a címről írtam nekik, amelyikhez tartozott az account!*/ és visszakaptam a hozzáférést a szolgáltatáshoz.

képek: geekpause.com, hackpla.net, mikeyanderson.com

4 Tovább

Döntéselmélet, matek,  mobiltarifa


"Hülye ámerikaiak", mobiltarifák és gazdaságpszichológia. Mi bennük a közös?

Ma beszabadultam a könyvesboltba, ahol be is zsákoltam négy könyvet, alapvetően csak egy  gazdaságpszichológia és döntéselmélet kötetet szerettem volna venni, de csak az egyik volt elérhető ezért - hát nem is én lennék - választottam még három könyvet, amit amúgy eszembe sem volt megvenni odafelé menet.

Már majdnem a pénztárnál voltam, amikor eszembe jutott, hogy a vásárlások után az adott üzlet olyan kuponokat ad, amik 5000 HUF fölötti vásárlás esetén 500 HUF, 7000 HUF fölötti vásárlás esetén pedig 1000 HUF kedvezményt adnak. Hoppácska, drágább könyvek esetén nyilván költséghatékony megjátszani azt a stratégiát, hogy veszek valamilyen árban könyvet egy már meglévő kupon felhasználásával, ami után ugye kapok egy új kupont, majd külön veszem meg még azokat a könyveket, amiket olcsóbban kapok meg a frissen kapott kuponnal.

Hogy ne kelljen szegényeket A-nak, B-nek, C-nek meg D-nek csúfolnom, inkább nevén nevezem:

Gazdaságpszichológia - 3990 HUF

A Big Data ökoszisztémája - 3500 HUF

A magyar beszéd - 1000 HUF

Retorika - 4500 HUF

Tehát a kérdés, hogy milyen sorrendben érdemes összerakni az 1. és a 2. külön fizetett párost - esetkeg n-est - azért, hogy a legtöbbet spóroljak meg? Az eldöntési probléma pedig lebontható egy egyszerű matematikai feladatra, amit nem tudtam fejben kimatekozni!

Egyébként is siettem, a könyveket félretetettem, ezért inkább hazaballagtam, aztán persze sikerült összerakni a legnagyobb megtakarítást jelentő kombót, a feladaton pedig csavart még egyet az, hogy a törzskártyám után 10% kedvezményt kapok, a kupon pedig csak akkor érvényesíthető más kedvezménnyel összevonva, ha a törzskártyával fizetett ár még mindig 5000 HUF illetve 7000 HUF fölött lenne.

Vegyük észre, hogy a legmegfelelőbb vásárlási sorrend kiszámolása közel sem olyan triviális, mint amilyennek tűnik elsőre.

Nos, ha általánosan jellemző lenne a középiskolákra, hogy a tanár egy-egy ilyen feladattal szórakoztatja a lurkókat, na meg egyáltalán, a matematika sokkal inkább a mindennapi életben is használható gazdasági alkalmazásokra lenne kihegyezve, alighanem többen szeretnék és többen is értenék.

Aki ismer, tudja rólam, hogy mindig is utáltam, amikor azt hallottam, hogy az ámerikaiak milyen hülyék, igazából aki ilyet mond, előttem kiállította magáról a szegénységi bizonyítványt. Ugyanis azon túl, hogy pl. a legtöbb Nobel-díjast az USA adja a világnak, az elemi oktatás is a legfejlettebb, ugyanis lehet, hogy első blikkre gagyibb a tananyag a poroszos magyarhoz képest, mire valaki ott elvégzi az általános iskolát vagy leérettségizik, sokkal nagyobb eséllyel tudja is alkalmazni azt, amit megtanult, az már egy más kérdéskör, hogy ez az ottani fogyasztási szokásokra és árképzésre hogyan hat ki.
Az, hogy a magyar középiskolás korosztály nagy átlaga* sokkal hülyébb az amerikaitól, rendszeresen igazolódik a PISA-teszteken

Nem emlékszem egészen pontosan, de emlékeim szerint a magyar 10-11. évfolyamosok egyik feladatában az volt a kérdés, hogy adott egy r(1) sugarú pizza x forintért valamint egy r(2) sugarú pizza x forintért, melyiket érdemesebb megvásárolni /*feltételezve, hogy rohadt éhesek vagyunk és biztosan meg is esszük*/. Nos, ebben a feladatban két laza körterületet kellett volna számolni, aztán meg felállítani egy aránypárt, amin a magyar diákok elképesztően nagy része elvérzett!

Nos, ha valaki nem járt az USA-ban semmilyen iskolába, de érdekli a téma, ajánlom, hogy hasonlítson össze két matek könyvet, lehet az akár középiskolás akár felsőbb matematika is. Egy-egy témakör általános didaktikai sémája a magyar könyvben: picit bevezet, tételt mond, bizonyít, aprólékosan még egy kicsit foglalkozik a részletekkel, aztán jó esetben van apróbetűs rész, amiből vagy kiderül vagy sem, hogy egyébként a megtanult összefüggést mire is lehet alkalmazni. Lehet, hogy van más típusú is, olyan ez, mint a termodinamikai főtételek: bizonyítani nem tudom, de kivételt még nem láttam alóla. A didaktikai felépítés azokban az amerikai felsőbb matematika könyvekben, amiket használtam: felvet egy konkrét problémát, amit körüljár olyan összefüggéseken keresztül, amit az olvasó akkorra már ismer, amikor pedig ez megvolt, az új összefüggés szinte adja magát, ekkor amolyan fináléként jön a tétel kimondása és a bizonyítás.

*úgy fogalmaztam, hogy "nagy átlaga"? Bocsánat, nem szeretnél olyan türhő lenni, mint amikor valamivel kapcsolatban olyan hírt lehet olvasni, hogy egy mérés az első mért tényezővel kapcsolatban átlagosan ennyi, a másik mért tényezővel kapcsolatban pedig annyi, pont azért, mert az átlag /*itt: számtani közép*/ a legtöbb esetben nem mond semmit, másrészt súlyosan félrevezető. Hogy a középiskolások matekos skilljeinél maradjunk, gyakran elhangzik az, hogy a magyar oktatás ilyen téren milyen piszok erős, ami igazából sosem volt igaz és ezt azzal próbálják alátámasztani, hogy Magyarország hány diákot küldött a matematika diákolimpiára és ott milyen szép helyezéseket értek el, ami viszont kétségtelenül igaz. Viszont nagyon fontos, hogy Magyarország ebben - mint nagyon sok más téren is - a szélsőségek hazája. Igaz, hogy a népesség számához képest tényleg sok a diákolimpikon, viszont tömegjelenség, hogy nagyon sok középiskolából gyakorlatilag full hülyén kerülnek ki a diákok, ezen a helyzeten pedig csak ront az az általánosan elfogadott mentalitás, hogy "hülye vagyok a matekhoz, de nem szégyenlem". Azt pedig nyilván nem várjuk, hogy amikor kijön egy-egy újabb PISA report, - aminek amúgy szerintem az újságírók jó részének még a végkövetkeztetését sem tudja értelmezni - a cikkekben az átlagok mellett megjelennek olyan finomságok, mint az értékek szórása, na meg mediánja amiből még mindig igen merész lenne bármiféle trendet is megállapítani, de legalább kevésbé lenne félrevezető.

Egyébként ami csúcsra járatva mutatja, hogy nagyon sokan mennyire ostobán döntenek matematikai szempontból, nem más, mint a magyar mobilcégek promócióinak hatása. Óriás betűvel tolják az ügyfél arcába, hogy mennyi a percdíj, ami mondjuk csak hálózaton belül, adott időszakban érvényes, ez a first impression hatás pedig már bőven elég ahhoz, hogy csórikám írja is alá a hűségszerződést ezer évre és még ő gondolja majd úgy, hogy jól járt.

Praktikus tanácsa azoknak, akik tarifacsomagot választanak: ha nincs meg több hónapra visszamenőleg az, hogy korábban milyen hálózatok irányába hány percet telefonáltál /*így az nem tölthető pl. Excelbe*/, egyszerűen vegyük alapul a különböző mobilszolgálgatók piaci részesedését, ami nagyon nagyjából mutatja, hogy valószínűleg milyen gyakorisággal fogod hívni a vérgőzösen vörös, a bugyirózsaszín, na meg a bilikék mobilhálózat ügyfeleit.

Ehhez hozzárendelhetők súlyok, most egyszerűsítve nem az ügyfelek száma, hanem a piaci részesedés alapján, azaz
Bugyirózsaszín: 46,6%-ból adódóan 0,466
Vörös: 22,5%, ebből adódóan 0,225
Bilikék: 30,9, ebből adódóan 0,309

Figyelmen kívül kell hagyni azt, hogy reggel 8 előtt és este 8 után mennyi a percdíj, mivel 20:00-tól 8:00-ig nem nagyon telefonálunk, szóval marad a 12 órás intervallum, de az egyszerűség kedvéért képzeljünk el egy olyan tarifacsomagot, amiben a percdíj független a hívás idejétől.

Ugyan már a magyar mobilszolgáltatók árképzése olyan irányba tart, ami próbálja konszolidálni azt, hogy milyen irányba telefonálunk, a Bugyirózsaszín szolgáltató sokáig csúcstartó volt abban, hogy hálózaton belül kedvező volt a percdíj, hálózaton kívül telefonálni pedig olyan méregdrága, mint egy adag nyílméregbéka-turmix ciánkálival.

Tegyük fel, hogy a Hülyevagyokmatekból díjcsomag hálózaton belül 15 HUF-os percdíjat kínál, hálózaton kívül pedig 30 forintosat. A piaci részesedésre alapozott adatok alapján tehát a hívásaink 46,6%-a fog 15 forintos percdíjjal számlázódni, míg a fennmaradó 100-46,6=53,3%-a viszont piszok magas, 30 forintos percdíjjal! Ez mondjuk havi 200 perc beszélgetéssel számolva (200x0.466x15)+(200x0.533x30)=1398+3198=4596 forintos telefonszámlát jelent majd átlagosan. Ezt eljátsszuk mondjuk a többi tarifacsomaggal is, aztán kiderül, hogy milyen telefonszámla várható végülis nem percdíjat fizetünk majd, hanem telefonszámlát.

Az egyszerűsített példában feltételeztem, hogy nem akkor és olyan irányba telefonálunk, amikor olcsó, hanem, amikor tényleg telefonálni szeretnénk [ez ugye nappal nagyjából véletlenszerű] illetve jó tudni minél több időre visszamenőleg, hogy addig tipikusan hány percet telefonáltunk havonta és milyen irányokba. Ha egy tarifacsomagnál számít a hívás ideje is, ahogy emlegettem, az életszerű 12 órát vesszük figyelembe, ez hasonló logika mentén kialakított szorzó lesz, mint a hívás irányából számított érték. Ezen kívül a szolgáltatók imádnak trükközni már kábé mindennel, amit észben kell tartani, hogy a telefonálási szokásaink nem változnak attól jelentősen, mert a telefonálás össz-díja más, hacsak nem vagyunk irdatlanul zsugoriak.

0 Tovább

Na ki villantotta az évtized legjobb kémfilmjét?


Nemrég írtam, hogy Melissa McCarthy gyakorlatilag megcsinálta minden idők legjobb hekkerfilmjét, amit ráadásul nem is hekkerfilmnek szántak eredetileg, hanem vígjátéknak, de mindkettőnek kitűnő. Erre kijön minden idők legjobb kémfilmjével!

A tavalyelőtt megjelent Személyiségtolvaj egy olyan nőről szól, aki önmagát másnak kiadva más bankkártyáját használja mindenre, amikor pedig már teljesen kisemmmizte az áldozatot, ellopja valaki más személyiségét és így éli életét, egészen addig amíg... A sztorit persze nem spoilerezem le, viszont ami ebből a szempontból fontos, hogy nagyon jól megmutatja, hogy a professzionális csalók hogyan manipulálják a környezetüket, ha pedig ötletességről van szó, a bűvészkedés vagy a social engineering gyakorlatilag ugyanezeket a módszereket alkalmazza, természetesen a cél más.
Alighanem a film készítői közül senki nem tud róla, hogy véletlenül sikerült egy annyira realisztikus filmet készíteniük - leszámítva persze a vígjátékhoz szükséges fordulatokat - hogy a kívülálló azért röhög rajta, mert úgy gondolja, hogy ilyen egyszerűen nincs. Nos, ellentétben mondjuk azokkal az idióta "hekkerfilmekkel", amik vagy megtörtént eseten alapultak vagy akciófilmként nézettséget akartak generálni,  a film alapján az információbiztonság és a netes bűnözés világáról egy totálisan torz kép alakul ki a nézők fejében, ahogy erre utaltam is a múltkori cikkem elején.

Amúgy nem nagyon néztem ilyen-olyan hekkerfilmeket, meg kémfilmeket sem, mert egyszerűen blődségnek tartom mindet, az más kérdés, hogy az egyik látványos, a másik pedig kevésbé, függően attól, hogy mennyit robbantanak, lőnek, zuhannak benne, az pedig már-már kötelező elem, hogy a főhős mindig levarrja a legjobb bulát körülbelül a film felénél, aki általában nem sokkal később meghal.

Teljesen mindegy, hogy a James Bond- vagy Mission Impossible-franchise melyik konzerv darabjáról van szó, lehet, hogy látványosak ugyan, viszont ha olyan nézi, akinek már volt a kezébe biztonságpolitika vagy kriminalisztika könyv, esetleg mindkettő, alighanem végig fogja szánakozni az egészet: ugyanis a kémfilmekkel nem az a baj, hogy totál életszerűtlen elemekkel vannak tele - és itt most nem csak a repülőgépszárnyon ugrálásra gondolok - hanem maga a sztori is blőd, gyermekded, ami még mindig nem lenne baj, a baj már az, hogy ezek a filmek komolyan veszik magukat olyan téren is, ahol nagyon nem szabadna. Ez az, ami rém szánalmassá teszi mindet annak a nézőnek a szemében, aki akár csak egy kis ismerettel is rendelkezik például a nemzetközi terrorizmus természetéről. Szánalmas, de még egyszer: attól látványos, így valamelyest szórakoztató még lehet!

Idén mozikba került A kém, egész egyszerűen zseniális, életem öt legjobb filmjének egyike. Pont azért, mert összeszedi az összes megunhatatlan kémfilmbe illő elemet, maga a sztori semmivel sem bugyutább, mint bármelyik kémfilm sztorija, sok idő után látok már olyan vígjátékot, amelyik nem csak a hányás-fingás-böfögés háromszöggel tudja hozni a humorból adódó szórakoztatóértéket, hanem a a jobbnál jobb szóviccekkel is, ami sajnos egyre ritkább és ami a legfontosabb: a film nem is akarja komolyan venni magát.

Azt tudnám írni, hogy az én értelmezésem szerint A kém a legjobb kémfilm, amit valaha is láttam, mivel az én értelmezésemben görbe tükröt állít a többi kémfilm elé, ugyan nem szándékosan.


Egyébként a klasszikus hekkeres, kémes, helyszínelős, nyomozós filmek töretlen népszerűségét egyszerűen az adja, hogy a nagyközönség számára az információbiztonsággal foglalkozók, titkosügynökök [normális magyar terminussal: fedett tisztek vagy fedett nyomozók], na meg a kriminalisztikával foglalkozók tevékenysége a legködösebb, ami meg ugye olyan titokzatos, akár csak témájában, az alapvetően vonzó. Ennek oka többek közt, hogy egy-egy biztonságpolitikai esemény vagy hekkertámadás, konkrét leírása gyakorlatilag sosem kerül a sajtóba, mivel az olvasók egyrészt nem értenék, másrészt a többséget nyilván nem érdekelné olyan mélységben. Az ember fia pedig általában nem Wikileaksen scrollol órákig, hanem inkább mondjuk a 9GAG-en, személyes tapasztalatom szerint aki egy rakás Wikileaks dokumentumot átnyálazott, nagyon gyakran egészen egyszerűen félreértelmezi, ráadásul meg lesz róla győződve, hogy ő aztán már ért hozzá, mégpedig a legjobban és ember legyen a talpán, aki meggyőzi róla, hogy téved. Itt most nem az átlag konteós arcokra gondolok, hanem arra a jelenségre, amiben sajnos néhány tényfeltáró újságíró is belefut.

Ha pedig az ilyen misztikusnak tartott témáról valaki konkrétan dokumentumfilmet szeretne készíteni, abból rendszerint valami nagy rakás szar jön ki - többek közt pont azért, mert túlságosan utána kellene kutatni, ami elmarad. Ahogy szintén nemrég írtam róla, a Snowdent középpontba állító, önmagát halálosan komolyan vevő Citizenfour dokumentumfilm amellett, hogy védhetetlenül pocsék, még káros is, mivel tovább torzítja az emberek fejében élő képet a titkosszolgálatok működéséről, a terrorelhárításról /*pontosabban arról nem, mivel egy büdös szó nincs róla az egész filmben, pedig enélkül az egész értelmetlen, hiszen az USA tömeges megfigyelési gyakorlatához a terrorfenyegetés adta a jogalapot*/. Igazából annyira rossz film, hogy komolyan, még az NSA is rendezhette volna /*a film utómunkáin keresztül, a filmes staffba beépült fedett ügynökökön keresztül*/ azért, hogy még ködösebb legyen a kép az emberek fejében, ugyanakkor kevésbé baszkurálják őket a civilek. Ez viszont eléggé valószínűtlen, valószínűbb a Citizenfour készítői tényleg ennyire idióták és elfogultak és az én szememben leplezve, de csúcsra járatták a bulvárfaktort, súlyosbítva az atomnagy komolykodással.

Igazából ha valaki tényleg szeretne valami normális képet kapni arról, hogy hogyan is dolgoznak azokban a szakmákban, amik a legkevésbé vannak az orrunk előtt, elsődlegesen a Schneier a biztonságról című, magyar nyelven is megjelent könyvet ajánlanám, na meg persze magát a Schneier on Security blogot Ha könyvekről van szó, több, egészen jó biztonságpolitikával foglalkozó kötet is kapható a magyar könyvpiacon, ami pedig kellő mélységben foglalkozik kriminalisztikával*, nincs ugyan piaci forgalomban, viszont nem beszerezhetetlen.

*nagyon gyakran keverik a kriminalisztika és a kriminológia fogalmát. A kriminológia egyszerűsítve a bűnözés szociológiájával foglalkozik, a kriminalisztika pedig, mondjuk úgy maga a nyomozástan.

Végül egy videó, amit ma délelőtt loptam ki a Szakszolgálat Bég utcai épületéből, ahova úgy jutottam be, hogy a portás bácsik pont nem figyeltek, mivel elbújtak rágyújtani  :)

Ha traumatiológus vagy, feltétlenül dobj egy egymondatos véleményt a Vészhelyzetről, nyomozóként a CSI-ről, igaz, egyikből sem láttam soha egy teljes részt sem, de komolyan rejtély számomra, hogy melyik lehet a bárgyúbb, még ha nem is éri el az X-Akták szintet! 

0 Tovább

Torrentezés és netvirológia - letöltés biztonságosan?


Avagy létezik-e biztonságos letöltés? Főleg, ha nehezen beszerezhető anyagokról van szó.

Napjainkban a torrent szolgáltatásokban alap szinten jártas felhasználó csak annyit lát, hogy ha kell neki egy film, egyszerűen felmegy egy nagyobb torrentoldalra, majd rákeres a film címére, ezt követően pedig letölti a filmet kedvenc torrent kliensével.

A némileg tájékozottabb felhasználó már tisztában van vele, hogy vannak olyan peer-to-peer oldalak, amik valamilyen saját torrentkliens telepítését teszik annak feltételévé, hogy tőlük lehessen letölteni, ami persze felveti annak a lehetőségét is, hogy a torrentkliens nem csak letölteni illetve visszatölteni fog, hanem csinál valami teljesen mást is a gépen, mint mondjuk tolja a felhasználó arcába a reklámot. Ráadásul nagyon sok fertőző oldalra mutató hivatkozás a Google TOP 10-jében van.

Inkább a leggyakoribb tüneteket írom le, amit a torrent klienssel együtt települő malware csinálhat

- folyamatosan tolja a reklámod az arcodba, ha tetszik, ha nem
- a böngészők kezdőoldalát átállítja valami számodra érdektelen oldallá, amit nem tudsz visszaállítani
- a te géped szabad erőforrásait fogja a tudtod nélkül bitcoin bányászatra használni akkor is, ha nem is tudsz róla, a géped nincs üresjáratban, te pedig nem érted, hogy miért lassult be a gép
- mindenféle hülye eszköztárakat helyez el a böngészőben, amik szintén leirthatatlanok
- gyakorlatilag bármi más, ami az előzőekből kimaradt, de legalább ennyire idegesítő

Persze ezeket a malware vagy malware-szerű aktivitásokat vagy kiszúrja az antivírus szoftver vagy sem, ha ki is szúrja, könnyen lehet, hogy ha a kártékony programot sikerül eltávolítani, maga a torrent kliens sem lesz működőképes. Ráadásul akármilyen überszuper a vírusirtó, az intelligens malware gondoskodik róla, hogy szépen újratelepítse magát, méghozzá, hogy ne legyen feltűnő, nem is azonnal, hanem egy kis lappangási idő után.

Valóban vannak helyzetek, amikor már annyira romos egy gép, hogy újratelepíteni az egészet időtakarékosság szempontjából praktikusabb, mint kigyomlálni mindent, ami nem oda való, abban az esetben, ha a baj nem akkora - vagy nem tűnik olyan nagynak - nincs mese, riasztani kell valami harceddzettebb ismerőst, aki aztán alighanem állhat neki fúrni-faragni a Windows rendszerleíró adatbázisát,  könyékig túrni a böngésző, menüből nem elérhető finombeállításai közt, na meg guglizni, hogy egy-egy azonosított kártevőt hogyan lehet leggyorsabban leirtani kézileg - az egyetlen szerencse, hogy ez utóbbi már eléggé gyorsan elérhető. Azért írtam, hogy kézileg, mert olyan malware sem ritka, amelyik malware-eltávolítónak álcázza magát, azaz vírusgyilkolásra nem biztos, hogy a legjobb ötlet telepíteni még valamit, amit a kereső előkelő helyen dob és azt ígéri magáról, hogy eltávolítja, valójában pedig önmaga is vírus. OSX-es esetben pedig még cifrábbak lehetnek a protokollok és bizony ott is vannak nagyon komoly sebezhetőségek, ahogy az a The Register mai cikkéből is kiderül.

A windowsosos után pedig a legnagyobb kockázatnak pedig az elterjedtebb linux-disztrók használók közül az egyszerűbb lelkek vannak kitéve, akik még mindig úgy gondolják, hogy "jinyukszra nyinycsen víjus", ami igazából sosem volt igaz, de bízzunk benne, hogy majd felnőnek egyszer. A vírus és malware fogalmakat ugye rokonértelműként használom, ezek közül az egyik csoportba tartoznak a rootkitek, amik olyan rosszindulatú, kifinomult malware-ek, amik észrevétlenül és sokszor szinte észrevehetetlenül az operációs rendszer - akár legelemibb - működését változtatják meg, gyakorlatilag bárhogy. Linuxos rendszereken aztán végképp nincs semmiféle általános forgatókönyv rootkitek azonosítására, egy ősrégi módszer lényege, hogy a különösen fontos fájlok integritását, változásait folyamatosan figyelve van rá esély, hogy a rootkitet sikerül időben megfogni, kísérleti szinten sincsenek olyan módszerek, amik már a windowsos rendszereknél általánosan elterjedt ún. viselkedés-alapú heurisztikákat használnak, azaz azt szúrják ki, ha valami nagyon szokatlan történik, a témával kapcsolatban bővebben a poszt alján megjelölt könyvekből lehet tájékozódni.

Könnyen előfordulhat, hogy olyan tartalomra lenne szükségünk, ami eléggé specifikus ahhoz, hogy ne legyen fenn még a nagyobb torrent oldalakon sem, így jobban alá kell merülni a netnek.

Ha könyvet keresünk, ami nem teljesen újonnan jelent meg, lehet, hogy elegendő, ha a Google keresőjébe egyszerűen beírjuk a könyv címét a filetype:pdf operátorral, ami arra utasítja a keresőt, hogy csak a PDF-típusú fájlokat adja ki találatként és szerencsés esetben ott is lesz a teljes letölthető könyv, kevésbé szerencsés esetben pedig csak egy olyan oldalra jutunk PDF-csali miatt, ahol valójában a könyvnek csupán néhány oldala szerepel, a teljes könyv letöltéséhez már meg kellene adni a bankkártyaszámunkat, amivel kapcsolatban amúgy az adott webhely esküdözik, hogy nem von le róla egy garast sem, csak a felhasználó azonosítása vagy a free trial regisztráció megkezdése miatt kell :) És végig ne felejtsük el, hogy ha nem lennének olyan felhasználók tömegesen, akik még ezt is beszopják, nyilván nem érné meg üzemeltetni az ilyen oldalakat.

Nos, mi van akkor, ha kellene egy bizonyos könyv például, de az sehogy se sikerül normálisan lecibálni a netről, így az elszánt felhasználó nyel egy nagyot, kockáztat és megpróbálja minden áron lecibálni a tartalmat, a kockázatok minimalizálásával?

Kézenfekvőnek tűnik egy olyan gépet használni, amit akkor sem sajnálunk, ha rommá megy a rendszer rajta a nap végére, nemde? Végülis igen, de már igen korán felmerült rá az igény, hogy ehhez ne kelljen egy tényleges számítógépet és éles operációs rendszert használni, többek közt ez volt az egyik, aminek kielégítésére kifejlesztették az ún. virtuális gépeket. Ezek olyan szoftverek, amik a valódi operációs rendszer hátán alkalmazásként futva képesek más operációs rendszereket futtatni, amik gyakorlatilag teljesen izolált környezetben vannak, így a VM-ben futó operációs rendszer és annak alkalmazásai számára úgy tűnik, mintha valódi számítógépen futnának. Azaz ha valaki elkezd számítógépes vírusokkal foglalkozni, akkor egyszerűen ezekre az izoláltan, sandboxban futó operációs rendszerekre felteszi a vírusboncoláshoz szükséges eszközöket, na meg leferzőzi a vizsgálni kívánt vírussal. Hogy víruskutatókra nem kis szükség lesz, nem kérdés és a Duqu 2-be még bele se mentem.

Nos, a virtuális gépben futó operációs rendszereken szinte minden futtatható, amit az adott operációs rendszer támogat, persze érthetően jóval lassabban, így például tele lehet őket szórni kismillió ilyen-olyan letöltést segítő szarral és bízni benne, hogy azokkal már csak-csak sikerül letölteni azt a ritka könyvet vagy más, nehezen beszerezhető tartalmat, amire szükségünk lenne. Ha sikerült, a letöltött tartalmat még a virtuális gépen futtatott böngészőben feltolhatjuk a https://www.virustotal.com/ -ra, ami szignatúra alapon ismeri fel a kártevőket, vagy a Checkpoint Threat Cloudjába, ami pedig emulál egy Windows XP-s környezetet, ott megfigyeli a fájl viselkedését és megítéli, hogy biztonságos-e.

Ha egyik sem talált semmit, de még mindig igencsak paranoidok vagyunk és hallottunk már róla, hogy céges környezetben a vírusfertőzések közel fele úgy történik, hogy az emailben érkező, legitim PDF-nek tűnő csatolmány fertőzött, azaz a dokumentum szöveges tartalmán kívül rosszindulatú kódot is tartalmaz, az eleve PDF fájlt nyomtassuk ki például a PDF995 progival szintén PDF-fájllá. Ezt követően pedig a virtuális gépen például egy eldobható postafiókon keresztül a fájlt elküldhetjük önmagunknak.

Ha már PDF-ekről van szó, itt jegyzem meg érdekességként, hogy a helyzet már annyira súlyos, hogy a Checkpoint tömeges PDF-tisztító megoldást kínál szinte bármekkora cég számára, ami annyit csinál, hogy a beérkező emailekben lévő PDF-eket újra PDF-fé "nyomtatja" és csak ezt követően engedi a felhasználó postafiókjába.

Tehát elvileg virtuális gépet használva sokkal biztonságosabban lehet torrenezni a legelborultabb helyekről is. Hozzáteszem, számomra ez mondjuk azért nagyon fontos, mert ha meglátok egy jó könyvet a neten, annak sokszor pusztán a tartalomjegyzékéből vagy néhány megjeleníthető oldalából nem derül ki, hogy tényleg olyan könyv-e, amire szükségem van. Ugyanis míg régen többen megvettek egy könyvet printbe, amit aztán olvasgathatták ebook formában is a könyvhöz kapott hozzáféréssel, mára pont fordítva van, azaz olvasunk, azaz először megnézem a könyvet ebook formában, aztán ha azt látom, hogy tényleg nagyon jó, a több száz oldalt nem képernyőről fogom elolvasni, hanem inkább megrendelem printbe.

Megjegyzem, hogy az alkalmazott magatartástudomány engem érdeklő tájain, a social engineering és az open source intelligence területén persze, számomra nagyon sok átfedés van könyv és könyv közt, viszont azért sokszor van bennük valami egészen új is vagy a szemléletmódja más. Például nemrég egy barátomnak beboltoltam szülire Chris Hadnagy Social Engineering: The Art of Human Hacking című alapművét, ugyanakkor ugyanettől a szerzőtől a nemrég megjelent Unmasking the Social Engineer: The Human Element of Security könyvet, ami csak minimálisan fed át az előzővel és - most tessenek figyelni! - ahogy azt valahogy megsejtettem pár évvel ezelőtt, az látszik, hogy a legszofisztikáltabb social engineering és azt megelőző technikák döntően a nonverbális kommunikációra és többször a nyelvtudományból átvett kutatásokra alapoznak.

Egyébként meggyőződésem, hogy a nyelvtudományi kutatások közül nagyon sokminden annyira átcsorog majd az információbiztonság területére, hogy azt korábban aligha hitte volna valaki.

//ami kimaradt
0x100. Ha még nem tudod, hogy mozdonyvezető legyél, tűzoltó, katona, vadakat terelő juhász, esetleg víruskutató, két könyvet emelnék ki amolyan iránymutatásként:

A vírusvédelem művészete - Szőr Péter
Hacking Exposed: Malware & Rootkits Secrets & Solutions Paperback - Michael Davis, Sean Bodmer, Aaron LeMasters

0x200. Ami a posztból kimaradt, hogy természetesen a virtuális géppel történő trükközés sem bombabiztos megoldás, hiszen elvben előfordulhat, hogy a virtualizált környezetet biztosító alkalmazás egy hibáját egy intelligens malware úgy használja ki, hogy kitör onnan és eléri az éles operációs rendszert. Ismétcsak lehetnek olyan malware-ek, amik egyrészt jóideig lappanganak, másrészt több trükköt próbálnak bevetni annak megállapítására, hogy amin futnak, éles operációs rendszer vagy virtuális gép.

0x300. Remekül mutatja, hogy mennyire nem szabad elhinni semmit kapásból, amit a neten olvasunk, az az eset, amikor az uTorrent kliensre fogták rá, hogy a felhasználók tudta nélkül bányássza a bitcoit, amit komolyabbnál komolyabb lapok közöltek le, aztán persze egy tényleg komoly lap utána is nézett és kiderült, hogy erről ebben a formában szó sincs

képek: bluecoat.com, pcmag.com, github.io

0 Tovább

Válaszlevélért EGY TÁLCA SÖR!


Megszámolni is reménytelen lenne, hogy eddig mennyi levelet kaptam, annak apropóján, hogy mennyiért török FB-fiókot, én meg elvből minden levelemre válaszolok, legfeljebb egy mondatban, már annyira nem vicces. Korábban még vicces volt, főleg az, amikor az illető lobbizott még egy-két kört, amiben arról bizonygatott, hogy igenis igazságos lenne már azt a FB-fiókot feltörni mert az övét is feltörték, mert kell belőle egy bizonyító levél, mert az exe, mert csak úgy, mert a tag egy tetű, mert lehet, hogy megcsalják, mert csúnyán nézett, meg amit csak el lehet képzelni. Szóval az indítékok nem túl változatosak, a legtrükkösebbek komolyan azok voltak, akik úgy adták be, mintha saját magukat csukták volna ki, de nem tudják egyedül helyreállítani a fiókjukat.

Na, akkor most egy kis matek, szerintetek mennyi olvasó tévedt csak idén a blogra csak a Google keresési találatain keresztül, amiben benne volt a facebook feltörés vagy ahhoz nagyon hasonló keresőkifejezés? /*A százalékban kifejezezz értékek nem az összes, hanem csak a facebook kifejezést tartalmazó keresések eloszlását mutatják. */ Oké, akkor segítek:

Ezennel pályázatot hirdetek olyan sablonlevél megfogalmazására, amit azonnal felhasználhatok, alig kell valamit igazítani rajta és mehet is válaszként, a leghülyébb is megérti, hogy NEM BAZDMEG, NEM!!!, ötletes, humoros, ha sértő a címzettre nézve, nem sértőbb a feltétlenül szükségesnél, nem olyan, amire valószínűleg emberünk még egyszer visszakérdez.

Pályázni július 15-éig lehet a blog oldallécében lévő email-címemre küldött mintával, a legjobb pályamű megalkotójának jövök

EGY TÁLCA SÖRREL és egy kurva nagy Tor projectes matricával

amit legnagyobb valószínűséggel Budapesten tudok odaadni.

Pályázni lehet csapatban is, egy pályázó több pályaművet is beküldhet, nem értesítek senkit a levél kézbesítődéséről, de tessék lenyugodni, nálam semmi sem veszi el spambe. Hajrá! /*csak reménykedni tudok benne, hogy nem rántom magam után a Streisand-effektus egy mutációját*/

Ja, életemben először leírom már én is: kérlek oszd meg a posztot, ahol tudod :)

kép innen: interpretermag.com

0 Tovább

Adatközpontok és trendek


Az adatközpontokról mindenkinek rácsok mögötti, hűtőszekrény méretű szilíciumszörnyek vagy éppen zsúfolt, kisebb, asztali gépekhez hasonló masinákkal teli tömött polcok jutnak eszébe. Arról már jóval kevesebbet tudunk, hogy az adatközpontok ténylegesen hogyan is működnek és mikben változott az adatközpontok kialakítása az idő folyamán.

2-3 évvel ezelőtt még többen határozottan azt jósolták, hogy a jövő kis- és középvállalati környezetben a mikroszervereké, azaz az olyan szervereké, amik nem sokkal nagyobbak, mint egy asztali gép, csak éppenséggel a rendelkezésre állásuk sokkal nagyobb, emiatt persze egy átlagos asztali géphez képest drágábbak is. A mikroszerverek piaca ha nem is torpant meg, a kezdeti felfutás lelassulni látszik, vélhetően azért, mert ha a szerver többek közt attól szerver, hogy folyamatosan működnie kell, elfogadhatatlan, hogy a 2-3 év garanciális időszak után egy-egy ilyen kis szerver egy hardverhiba miatt leálljon és bizony ha nincs a kkv-nak szerződése valamilyen hosztingszolgáltatóval, amelyiknél egy tartalékszerver át tudná venni a mikroszerver feladatát, akkor az érthetően komoly kellemetlenség, mivel mikroszervert javíttatni nem is olcsó, másrészt veszélyeztetheti az üzletmenet-folytonosságot, akárcsak más leállás.

A megoldások egyike tehát nagyon sok esetben a klasszikus ún. polcos vagy rackszekrényes elhelyezés egy jól védett szerverhotelben, ahol nem kell számolni a porral, hőmérsékletingadozással, ingadozó páratartalommal, elektromágnesesség okozta zajjal vagy éppenséggel az olyan áramszünettől, amit a szünetmentes táp ne tudna áthidalni.
Hiszen a szerverhotelek tipikusan több, egymástól független, nagyteljesítményű betáppal vannak ellátva, nagyteljesítményű szünetmentes tápok gondoskodnak róla, hogy egy-egy áramszünet esetén se maradjanak a vasak áram nélkül, ha pedig még ezek a monstrum méretű szünetmentes tápok sem bírnák szuflával tovább, az szerverhotelek közelében vagy tetején elhelyezett dízelgenerátorokkal biztosítják az áramellátást, ugyan úgy tudom, hogy dízelgenerátorok beindítására Magyarországon még egyszer sem volt szükség a komolyabb adatközpontok esetén.


Dízelgenerátorok a tetőn [Dataplex]

A közelmúltban megtartott IDC Adatközponti Transzformáció Konferencián az adatközponti infrastruktúrákkal foglalkozó és céges ügyfélként jelen lévő részvevők oszthatták meg egymással a tapasztalataikat.

Szinte mindegy, hogy milyen infrastruktúráról van szó, máig a hibrid rendszerek a jellemzőek, azaz klasszikus dedikált szervergépek, nagy számításigényű és magas rendelkezésre állású mainframek  és felhő-alapú megoldások vegyesen.

Ami némileg meglepő lehet, hogy a 64 bites architektúra a nagyszámítógépek piacán csak szép lassan terjed ki, míg az asztali gépeknél és a laptopoknál már természetes, hogy mind 64 bites, ugyan 8-10 évvel ezelőtt a 64 bites architektúrák nem jelentettek a felhasználók számára akkora érezhető változást, mint korábban a 16 bitesről a 32 bitesre történő áttérés.
Ma már a tudatos otthoni felhasználónak sem kell tartania tőle, hogy komolyabb adatvesztést szenved el, ha elszáll a gépe, hiszen jobbnál-jobb cloud storage szogláltatók jelentek meg, amik folyamatosan feltalicskázzák a felhasználói adatokat a felhőbe, aminek tartalmát folyamatosan szinkronizálják a gépen, helyben tárolt
tartalommal.

Kis- és közepes méretű vállalatok szerverei esetén nyilván sokkal kackiásabb a helyzet. Az IDC-n az adatbiztonságra specializálódott Veeam regionális menedzsere egészen elképesztő adatokat osztott meg a hallgatósággal. Kiderült, hogy a felhő-alapú tároló megoldásoknál egy-egy leállás esetén az esetek közel 20%-ában lépnek fel súlyos nehézségek illetve a visszaállításkor. A cloudban alapvetően annyira bízik mindenki, hogy szinte sosem tesztelik. Egy-egy virtuális gép újraindítása egy kkv-nál olyan módon, hogy minden zökkenőmentesen haladhasson tovább, átlagosan négy órát vesz igénybe. Márpedig - ahogy erről többször is írtam ezen a blogon - egy-egy óra downtime társadalmi hatása időről időre egyre nagyobb, az érintett cég számára egyre nagyobb presztízsveszteséget jelent és a kiesésből adódó költségek is egyre nagyobbak.

Állítólag egy, a közelmúltban történt pénzintézeti szerverleállás 880 ezer USD veszteséget jelentett óránként.

IBM AS400 - napjainkig az egyik legelterjedtebb mainframe pénzintézeti környezetben

A Veeam előadásában elhangzott, hogy egy teljes adat- és szolgáltatásvisszaállítás meghibásodás esetén akár kevesebb, mint 15 perc alatt is megoldható. Itt persze nem arra kell gondolni, ami még régen volt IT-üzemeltetési gyakorlat, azaz, hogy - egyszerűsítve - "tükörszerverek" futnak egymással párhuzamosan így biztosítva a redundanciát, nem is úgy kell elképzelni a helyreállítást, mintha egyszerűen csak biztonsági másolatokat kapnának elő, hiszen azok természetükből adódóan nem tartalmaznák a legfrissebb adatokat illetve a kiesett szolgáltatások utolsó ismert állapotát. Valójában ún. replikátumokról, ha úgy tetszik, élő másolatokról van szó.

Egy másik előadásban volt róla szó, hogy a sok, különböző gépből álló szerverpark felügyeletét segítő integrált felügyeleti megoldások egyszerre képesek figyelni az infrastruktúra minden rezdülését és beavatkozni, ha kell. A központi felügyelet pedig nagyon nem mindegy, ha egy több ezer, ráadásul különböző platformon futó, különböző földrajzi helyen lévő gépekről van szó, amiknél nyilván igencsak veszélyes üzem lenne, ha csak külön-külön lehetne menedzselni. Ez utóbbinak az a magyarázata, hogy sokszor a nagygépes vagy több gépből álló rendszerek olyan módon futtatnak párhuzamos folyamatokat vagy éppenséggel biztosítanak virtualizált környezeteket eltérő szolgáltatásokhoz, hogy az IT-s nem is tudja valójában, hogy melyik melyiken fut fizikailag.

A HP előadásában volt róla szó, hogy a big data szép is, jó is, viszont azért, hogy egyre kifinomultabb módszerekkel lehessen hasznát venni, szükségszerűen olyan infrastruktúrára lesz a közeljövőben szükség, amik ma még nem elterjedtek.

Márpedig a jövőben a big datával tudnia kell bánnia minden olyan cégnek, ami meg szeretné tartani a versenyképességét, hiszen a hatékony üzleti tervek kialakításához nyilván jó minél pontosabban tudni, hogy hogyan optimalizálhatóak a belső folyamatok, hogy mit szeretne az ügyfél, arra mennyit hajlandó költeni és ez milyen paraméterekkel áll összefüggésben, amire a big data előtti korban esélyük sem lett volna rájönniük a kutatóknak.

Megjegyzem, ebben a posztban most nem megyek bele, hogy a big data mennyire buzzword vagy sem, na meg abba sem, hogy milyen bizarr módon néz ki, amikor egy aktuális tudományos vagy technológiai paradigmáról irritálóan sokan beszélnek a megrendelői oldalon olyanok, akiknek amúgy lövésük nincs a témáról. Ami viszont tény, hogy igencsak tekintélyes számítási kapacitásra és ehhez igazodó infrastruktúrára szükség lesz, ennek pedig szerintem is egyik flagshipje a HP, ha az igények kiszolgálásáról van szó. Ma ha egy szervezet hatékony szeretne lenni, a meglévő adattárházát az általa megbízott big datával foglalkozó cégnek úgy kell használnia, hogy úgymond minél jobb kérdéseket tudjon feltenni, ennek megfelelően minél részletgazdagabb válaszokat tudjon visszajuttatni a megrendelő szervezethez, ehhez viszont erős infrastruktúra kell.

A DevOps megközelítéssel a Prezi előadása foglalkozott behatóan. Akinek nem lenne ismerős a DevOps, nos, ez az a szemléletmód, ami azt vallja, hogy a szoftverrendszerek fejlesztői legyenek annak üzemeltetői is egyben. Aki nem foglalkozik informatikával, elsőre még így sem biztos, hogy világos, hogy miről van szó, hiszen elvben az informatikus tud szoftvereket fejleszteni, na meg üzemeltetni is, nem? Nos, az egyszerűsített válasz persze az, hogy valóban, viszont nyilván van, aki az idő folyamán a fejlesztésre, tesztelésre megint más pedig az üzemeltetésre specializálódik. Nagyméretű szoftverrendszerek pedig akkor működhetnek a legnagyobb hatékonysággal, rendelkezésre állással és persze leggyorsabban, ha a fejlesztőnek minél inkább pontos képe van arról a környezetről, azaz architektúráról, amire ténylegesen fejleszt valamint az admin-szemléletű informatikus képben van azzal kapcsolatban, hogy a sok-sok különböző technológiát használó szoftverrendszer alá hogyan érdemes beállítani a vasakat vagy éppen a felhőt.

A DevOps igazából kicsiben nem igazán értelmezhető dolog, viszont ha már arról van szó, hogy egy szolgáltatásnak percenként adatbázis lekérdezések milliárdjait kell végrehajtania nyilván megfelelő sebességgel, akkor a szolgáltatás által küldött adatbázis-lekérdezéseket kell optimalizálni ÉS az adatbázisszerveren a célnak leginkább megfelelő adatbáziskezelő motort kell választani, különben a szolgáltatás vagy lassú és megbízhatatlan lesz vagy veszett nagy összegeket kell a cégnek költenie arra, hogy meglegyen a megfelelő erőforrásigény. Az IT-re fordítható pénz pedig nyilván szűk keresztmetszet, azaz többet ésszel, mint erővel.

A klasszikus fejlesztési módszertanról és az agilis fejlesztésről szóló kerekasztal beszélgetésnek megvoltak a maga tanulságai. Megjegyzem, amikor ez kerül szóba valahol, többször tapasztalható, hogy úgy teszünk, mintha egyedül a V-modellel gyakran tévesztett vízesés-modell és az agilis fejlesztési módszertan létezne, holott van még bőven, másrészt gyorsan belátható, hogy az egyik nem váltja fel a másikat időben, hanem tisztában kell lenni azzal, hogy bizony, van, ahol az egyik, van, ahol pedig a másik fejlesztési módszertan hatékony. Ahogy az egész ipar, természetesen maga a fejlesztő is folyamatosan az idő szorításában dolgozik, tény, hogy időt spórolni valahogy a tesztelési folyamatoknál /*veszélyesen rossz*/ szokás. Az olyan módszertanokat követő fejlesztők, amik hallgatólagosan sokkal kisebb hangsúlyt fektetnek a tesztelésre, később komoly árat fizethetnek emiatt.
IMHO persze nincs általános képlet, megfelelő szoftverfejlesztési igényhez a megfelelő módszertant kell kiválasztani, igazán tragikusan például akkor sülhet el a dolog, amikor egy csapat olyan módszertant választ, amit esetleg saját maga talált ki vagy egyszerűen nincs elegendő rendelkezésre álló tapasztalat a hatékonyságával kapcsolatban.


Az IDC-n kiderült, amiről korábban csak pletykák voltak, nevezetesen, hogy a Raiffeisen Bank, kulcs fontosságú rendszerét ért leállást egy IBM AS400-as mainframe egy processzorának elfüstölése okozta, ami rántotta magával a többi hardverelemet. Ismereteim szerint ennyi még bőven kevés ahhoz, hogy egy pénzintézeti rendszer órákra elszálljon, emellett több, konkrétabban meg nem nevezett emberi eredetű hibát is elkövettek a helyreállítás során. Tehát az eset tanulsága ismétcsak az, hogy a leállást kizárni még méregdrága, többszörösen redundáns infrastruktúrával sem lehet biztosan, viszont nagyon nem mindegy, hogy a kiesett rendszer mennyi idő után áll talpra illetve veszi át a szerepét egy tartalék rendszer, ennek a gyakorlata viszont nyilván emberi tényező. Hogy mennyire részletes és szigorú annak a forgatókönyve, hogy különböző kieséseknél milyen protokoll szerint kell eljárni, nagyban függ attól, hogy milyen szektor informatikai rendszeréről van szó, ezzel a ISO/IEC 27000 szabványcsalád foglalkozik behatóan.

Közel teljes rendelkezésre állás létezik. Ez viszont nem csak a technikai kialakítástól, hanem az azt üzemeltető IT-stafftól, mint emberi tényezőtől is függ. Hogy a technikai megvalósítás mennyire is tud redundáns lenni, az IDC egyik előadójának a HP-nak egy ősrégi reklámjával szemléltetném.

0 Tovább

Minden idők leghülyébb hekkerei


A hekkelésről mindenkinek, akinek lövése nincs a témáról, valamiféle feketemágia jut eszébe, amit aztán nem tanulhat meg akárki, na meg makacsul tartják magukat bizonyos jól ismert, ámde még hülyébb elképzelések a hekkerekről. A leginkább közkeletű elképzelés Magyarországon alighanem az, hogy a hekker egy kivételesen  okos informatikus, aki aztán mindent lát mindig, kicsit bűnöző ugyan, de amolyan szerethető cukorpofaként a digital age robin hoodja, ezért kicsit megéri fosni tőle, amúgy meg teljesen öntörvényű és ha azzal bízzák meg, hogy törjön fel valamit, az is megcsinálja, na meg ha azzal, hogy tesztelje valaminek a törhetőségét, azt is, ugyanannyi pénzért.

Ahelyett, hogy hosszasan elkezdenék filózni rajta, hogy mennyire nincs így és miért, néhány megállapítást tennék: mindenki, akivel találkoztam és "hekkernek" vallotta magát /*azaz nem ethical hackernek, szoftvertesztelőnek vagy hasonlónak*/, mind valami szerencsétlen volt, akinek egy jó drága tanfolyamon kimosták az agyát főzőprogramon, aztán kapott egy papírt róla, hogy elvégezte, amit meg tud, annál jóval több megtanulható még egyetlen átfogó kötetből is. Vagy éppenséggel még ennyi se, nem végzett semmit az illető, az önképével meg olyan elégedetlen, hogy kitalálta, hogy ő márpedig hekker, úgysem nézi senki hülyének /*egy darabig*/, pont azért, mert ez amolyan kényelmesen ködös fogalom, amiről valami egyszerű lélek azt hiszi, hogy trendi. Nem keverendő az angol hacker kifejezéssel, de nem is nyelvészkednék tovább.

Nagyon röviden: nulla informatikai tudással és nulla ötletességgel, ilyen-olyan netről letöltött, játékprogram bonyolultságú szirszarokkal bárki okozhat komoly károkat szinte bárki, ugyan ehhez az is szükséges, hogy az áldozatban annyi biztonságtudatosság se legyen, mind Medve sajtban a brummogás. Az ethical hacking/pentesting/vulnerability research/social engineering meg teljesen más sportágak, viszont az ITsec-es, ha a foglalkozásáról kérdezik, legjobb, ha mond bármi mást, de komolyan, mégpedig azért, hogy magyarázni se kelljen, na meg ne is értsék félre. Ne keverjék az olyan idiótákkal, akikről most szó lesz.

Az alapsztorit amúgy a 403 Security CEO-ja jelentette meg még 2011-ben, mondjuk azóta jó sok adat átfolyt a BIX-en én ma olvastam így egyben először, ezért gondoltam, hogy sederítek róla egy posztot, alaposan kiegészítve. Az alapsztorik hitelességének ellenőrzésébe nem mentem bele, de ígérem, a végére világos lesz, hogy ez mellékes is, ahol kellett böktem bele egy kis lábjegyzetet [így számozva].

0x100. Még 2010-ben egy közelebbről meg nem nevezett valaki egy népszerű brit énekesnő, Kelly Osborne /*akinek nincs meg:  Ozzy bácsi és Sharon néni lány*/ email fiókját törte fel. [1] Ezt követően beállította, hogy a leveleket a levelezőrendszer továbbítsa egy adott címre [2], ámde nem egy erre a célra létrehozott, gondosan anonimizált fiókra továbbította hősünk a leveleket, hanem a saját, valódi email címére, ami alapján nem volt olyan pokolian nehéz azonosítani.  

0x200. Shahee Mirza, egy önmagát hacktivistának és géniusznak nevező 21 éves hülyegyerek bangladesi kormányzati webszervereket tört fel és azokon helyezett el remekebbnél remekebb nyelvhelyességgel írt üzeneteket, amiben felszólította a kormányt, hogy a számítógépes bűnözés elleni törvényeket módosítsák, mert ők, hacktivisták akkora zsenik, hogy úgyis feltörnek bármit. A dolog egyik pikantériája, hogy ugyanazt a dumát közel 20 webhellyel megcsinálta. Úgy bukott le, hogy elhelyezett a deface-elt oldalak alján egy olyan logót, amiben benne volt a neve. [3]

0x300. Samy Kamkar a MySpace egy sebezhetőségét felhasználva [4] útjára indította a Samy Wormöt, ami rommá fertőzött egymillió accountot, valójában csak annyit csinált, hogy megjelenítette a felhasználók képernyőjén a "Samy is my hero" üzenetet. Érdekes lélek lehet, mert ennyivel nem érte be, még a blogján is alaposan beszámolt a nagy hekkelésről, a kínos csak az volt, hogy a blogján volt egy kép a kocsijáról is - hát hogy ne lett volna - amin tisztán látszott a rendszáma, ami egyértelművé tette, hogy tényleg ő volt az elkövető. Na innentől nem volt nagy kriminalisztikai bravúr azonosítani. Az alkalmazott módszer egyébként nagy hasonlóságot mutatott azokkal a perzisztens XSS-támadásokkal, amivel a jó öreg iWiW-et is megkínálták néha

0x400. Daquan Mathis New Yorkban ellopott egy iPhone-t, de nem csak gyönyörködött benne, hanem csinált magáról egy rakás szelfit, nem mellékesen ugyanabban a ruhában, amiben a rablást vagy lopást elkövette. Nos, ehhez már alapjáraton hozzáfért az iPhone tulajdonosa /*már akkor is*/, amelyiknek az accountjaiból nem jelentkezett ki. Ha mindez még nem lett volna elég, a képeket a tolvaj a saját email címére küldözgette, ami szintén látható volt - és megdönthetetlen bizonyíték az év kiberbűnözője ellen. Itt hozzáteszem, hogy Magyarországon egy zsebesnek még ezt a szintet is sikerült messze felülmúlnia: miután csinált magáról egy adag szelfit, feltöltötte az eredeti tulajdonos Facebook-accountjára, ahogy arról a 444 beszámolt

0x500. Még 2006-ban egy Eduard Lucian Mandru nevű pofa, aki bejutott a DoD egyik - szerintem szándékosan legyengített - gépére, a védelmi minisztérium sokáig ennek ellenére semmit nem tudott róla az email címén kívül /*de valószínűbb, hogy ez a DoD részéről taktikai blöff volt*/. Emberünk néhány évvel később ugyanazt az email címet használta különböző álláshirdető-álláskereső oldalakon.

0x600. A hatodik nem igazán illik a képbe, de azért... Egy forma tisztában volt vele, hogy az USA-ban bizonyos helyeken, ahol tábla is jelzi, hogy lassítani kell a kocsival, a gyorshajtók rendszámtábláját egy rejtett kamera felveszi, majd ezt egy optikai karakterfelismerő szoftver átalakítja sima karakterlánccá, ahonnan már szintén gépileg mehet abba a nyilvántartásba a rendszám, amiben a kocsik tulajdonosait jegyzik, hogy könnyen elő lehessen venni a gyorshajtókat. Ötletes, nem? Amivel a pofa próbálkozott, még ötletesebb akart lenni és a rendszáma helyére egy olyan táblát tett, amit ha a rendszámnyilvántartó megkap, nem egyszerű szövegként fogja kezelni, hanem végrehajtható parancsként és konkrétan törli a teljes adatbázistáblát. A veszett nagy trükk a "ZU 0666......" rendszámmal ugyan alighanem nem jött be, de a hékek eléggé gyorsan nyomára akadtak a tagnak. Az SQL befecskendezésnek
nevezett támadás lényege, hogy ahol egy szolgáltatás bemenete szabályos adatot, tipikusan szöveget vár, meg is kapja, majd azt belefoglalja az adatbázislekérdezést ténylegesen elvégző függvénybe, viszont ha a szerver nincs rá felkészítve, hogy csak olyan adatot engedjen tovább, ami oda ildomos, elvben beküldhető olyan szöveg, ami egy adatbázisműveletként értelmeződik majd, például rekordokat vagy táblákat módosít, töröl, na meg amilyen jogosultsággal a szolgáltatás indította a függvényt. A tanulság az, hogy bemenetet - meg úgy egyáltalán semmit - nem adunk át azonnal feldolgozásra, hanem azt alaposan ellenőrizzük, mielőtt egy felületről egyenesen menne feldolgozásra /*jelen esetben pedig jó esetben nem végrehajtásra*/ a szerver gyomrában.

Egy korábbi posztomban már utaltam rá, hogy még pár évvel ezelőtt, amikor reggeltől estig dagonyáztam a dark web mocskában, azaz az internet azon tájain, amerre ember nem jár, ha nem nagyon muszáj, konkrétan személyek hitelességét ellenőriztem és persze nap, mint nap beleakadtam valami pöcsbe, aki pénzért árult meghívókat olyan közösségi szolgáltatásokba, ahova nem lehet csak úgy regisztrálni. Bizonyos szolgáltatásokba kizárólag egy vagy több tag meghívása alapján lehet belépni, a meghívókat pedig nem osztották két kézzel - márpedig ami csak korlátozott mennyiségben hozzáférhető, értelemszerűen vonzó, ha van benne racionalitás ha nincs. És bizony lesznek arcok, akik az emberi természet ezen mesés vonását ki fogják használni. Többször is találkoztam például kőburzsuj amerikai nyugger bőrébe bújva olyan formákkal, akik mondjuk az AsmallWorld-höz, ELIXIO-hoz vagy BestOfAllWorlds-höz kínáltak meghívókat szaros ezer dollárért, amit rendszerint lealkudtam 50 dollárra, a csaló pedig szintén kitett magáért, mondjuk amikor olyat írt, hogy biztos csóró szar amerikai vagyok, ha nem utalom a pénzt még aznap egy Paypal/Moneybookers/Skrill-számlára, amire ugyebár, ha tényleg öreg amcsi nyugger lennék alighanem az egó miatt azonnal fizetnék is. Na, fizetni nem fizettem, hanem amikor már rég tudtam, hogy a csaló honnan netezik, milyen oprendszerrel, böngészővel, mik azok a kamu identitások, amik szintén hozzáköthetőek, nem küldtem neki valami finomat a gépére, amivel bűncselekményt követtem volna el, inkább megírtam, hogy azonnal fizetek, de küldjön egy képlövést a szolgáltatásról, hogy meggyőződjek róla, hogy tényleg tud onnan meghívót küldeni.

A harceddzettebb webcserkészek kitalálhatják, hogy milyen screenshotot kaptam emailen, többször is: amin látszott a szolgáltatás, a másik böngészőfülön pedig befigyelt névvel/címmel a tag valódi (!!) Gmail/FB profilja. És ezek az arcok egész nap azzal foglalkoztak, hogy az USA-ban, na meg Európa burzsujabb részein lakó felhasználókat húzzanak le nem túl ékes angolsággal. Ugyan eléggé határozott volt a trend, hogy ez hol biznisz, leszek most olyan polkorrekt, hogy nem írom meg. A jelenség természetéből adódóan a tettesek elvben könnyen azonosíthatóak, gyakorlatilag meg a büdös életbe sem, hiszen a Paypal-nek az egyik lényege, hogy nem tudni, kihez tartozik a számla, amíg több ország hatósága összefogva ki nem kéri a számlatulajdonos adatait - amihez persze nincs joga. A károsultaknak pedig többszörösen indokolt okból úgysem tesznek feljelentést, azzal a szöveggel, hogy voltak olyan hülyék, hogy fizettek valakinek, akiről fogalmuk sincs, hogy kicsoda, de azért fizettek, mert egy elit közösségi szolgáltatásba akart bejutni, ahol nincs valódi ismerősük, aki meghívót küldhetne, tehát eleve illegálisan. Akinek hatalmas az egója, na meg még hülye is, azzal még nem érdemli ki, hogy lehúzzák pénzzel.

Na, ilyen cybercrime-os blogot mondjuk fix, hogy nem írok, ha meg mégis, akkor majd valamikor a jövőben, mondjuk kinyíratni magam nem akarom, szóval álnéven, de lenne mit írni azokról a manipulációs fogásokról, amiket a bűnözők és a nyomozók is alkalmaznak, arról nem is beszélve, hogy a csalók többségének annyi esze nincs, hogy a lebukást megelőzve legalább ne olyan fantom karaktert használjanak, amit azonnal dob a Google képkereső, sátöbbi.

[1] Amikor két droid arról beszél, hogy hogyan törték fel valakinek a Gmail/Facebook fiókját, a leggyakoribb esetek:

0x100. a felhasználói név ismert, a jelszó pedig valami elképesztően banálisan kitalálható szó, mondjuk "password"
0x120. a felhasználói név ismert, a jelszóemlékeztető vagy jelszóhelyreállító opció pedig pofátlanul egyszerű: új jelszó beállításához a rendszer megkérdezi mondjuk, a születési időt /*vagy bármi olyan adatot, ami full nyilvános*/, a helyes választ a támadó megadja és ezzel új jelszót állít be, amivel már be tud lépni. Én azt mondom, hogy alapvetően minden password recovery rossz, de ha már az ilyen Security questions a téma, na, azt akik tervezték, feltételezték, hogy a felhasználónak lesz annyi esze, hogy olyat állít be, amit nem banalitás tudnia vagy kitalálnia bárki más számára is.
0x130. letöltenek egy önmagát képfájlnak álcázó keyloggert a netről, majd elküldik emailen csatolt fájlként az áldozatnak, aki annak ellenére, hogy nem ismerős neki sem a feladó, sem a tárgy, meg úgy általában semmi, mégis van olyan hülye, hogy megnyitja, a víruskergető szoftver meg vagy megfogja vagy sem. Amikor a jelszót legközelebb beírja, azt a keylogger elküldi a támadónak. A játékprogramok egy része több intellektust igényel, mint egy ilyen konzerv-keyloggerrel támadni.
0x140. odamennek ahhoz a géphez, amit általában használ az illető, majd a böngésző beállításaira kattintanak és ott az elmentett jelszavaknál rákattintanak a jelszavak megjelenítése gombra... /*na, ez már a többségnek az advanced level*/

Tehát gyakorlatilag sosem az authentikációért felelős programhiba kihasználásáról, az adatokat ténylegesen tároló adatokhoz egy sérülékeny szerverszolgáltatáson keresztüli eléréséről, a kliens és a szerver oldal közti titkosított kommunikáció lehallgatásáról, stb, stb, stb. van szó. Amúgy innen is csókoltatom az összes idiótát, akiktől hetente legalább 2-3 levelet kapok "feltörnéd az exem fészbúkját?" témában, mióta egy ezzel kapcsolatos Facebook-cikkem megjelent.

[2] Ha már email átirányítás, ilyen beállításánál újabban még a legkommerszebb levelezőrendszerek is alul vagy felül egy csíkban, na meg ahogy tudják, figyelmeztetik a fiók tulajdonosát, hogy a levelei át vannak irányítva.

[3] vegyük észre, hogy itt is az überszuper nagy "feltörésnél" közönséges webszerverekről volt szó, nem pedig a kritikus infrastruktúrákért felelős gépek valamelyikéről. Magánvéleményem, hogy a NASA és az NSA korábban szándékosan alakította ki úgy a webhelyeit, hogy az a hülye, ámde elszántságuk miatt veszélyes aktivisták számára feltörhető legyen, majd miután elkapták az illetőt, már gyerekjáték volt feltérképezni ilyen-olyan potenciálisan underground csoportokat, amikbe az elkövető tartozott. Az általánosan bevett technika eredetijét honeypot-olásnak nevezik, ennek kifinomultabb, gyakorlatilag végtelenségig cizellálható változata a tar trapek használata, aminek az a lényege, hogy miközben emberünk reszeli a szervert, mindig egy kicsit nehezítünk valamit a védelmen, de vannak erre automatizált eszközök is, lényeg, hogy a szerencsétlen ennek megfelelően nyilván annál több nyomot fog maga után hagyni, hiszen a betörés módja sokszor egy adott csoportra jellemző, de jellemző lehet akár egyénre is.

[4] Én a Samy wormről valószínűsítem, hogy a szkript részletet valahol látta a neten, aztán kipróbálta, hogy a MySpace-n működik-e. Egyébként ún. XSS-sebezhetőség volt, amik közül vannak egészen kifinomultak, na meg annyira egyszerűek is, hogy azt a legbölcsészebb olvasó is azonnal megértené. A tankönyvi eset, amikor egy szövegdoboz szöveget vár bemenetként, de olyan kódot, például Javascript-parancsot kap, ami feldob egy kis ablakot egy adott szöveggel vagy valamilyen nem kívánt műveletet végrehajt. XSS-ről bővebben a Wikipedián.

Képek innest: blog.on.com, Wikipedia

0 Tovább

Így beszélnek össze a webhelyek Veled kapcsolatban


Nemrég részt vettem egy workshopon, aminek az volt a tárgya, hogy aki tényfeltáró újságíróként dolgozik, milyen informatikai fenyegetésekre érdemes figyelnie, hogyan lehet a kockázatokat alaposan csökkenteni. Nos, a teljes egynapos workshopon mindössze egyetlen eszközt mutattak be, ami számomra új volt, viszont annál inkább jópofa. Nem innovatív, nem technikai újdonság, de igencsak látványos.

Bizonyára mindenki találkozott már azzal a jelenséggel, hogy hiába csapkodta le a reklámokat ilyen-olyan módszerekkel a böngészőben és az általa látogatott szolgáltatásokban is, ezt követően például egy Googleben indított, fogfájással kapcsolatos keresés után a Facebook oldallécében egy fogorvosi rendelő reklámja virított...

A magyarázat, hogy a személyre szabott hirdetések világában a hirdetések személyre szabott megjelenését nem úgy kell elképzelni, hogy egy adott szolgáltatás határain belül érvényesek, hanem szolgáltatások közt is. Ennek a nagyon rövid technikai magyarázata az, hogy a hirdetéselosztó hálózatok összességében gyűjtik az információkat a felhasználókról, majd azt osztják meg az ügyfeleikkel /*tartalomszolgáltatókkal és közösségi szolgáltatásokkal*/, nem pedig külön-külön, ami érthető módon az egyik legkorszerűbb és leghatékonyabb hirdetési forma, hiszen ha valaki szabad perceiben csak a magyar hírportálok közt nézegeti meg a legfrissebb cikkeket, akkor a célzott hirdetést megjelenítő hálózat nem kezdi újra vizsgálni a felhasználó érdeklődési körét az alapján, hogy hova kattintott, mire keresett vagy éppen hol tartotta az egérmutatót, hanem figyelembe veszi azt is, hogy a korábban meglátogatott szolgáltatásokat és portálokat hogyan használta.

A gráfként megjelenített ábrákat mindenki szereti, mert szépek, elforgathatóak, nagyíthatóak és nagyon beszédesek, bárki számára elérhetőek /*mármint az is tudja használni, aki egyébként nem web-kórboncnok*/. Nincs ez máshogy ebben az esetben sem, maga a Mozilla egy roppant jópofa eszközt ad arra, ha szeretnéd látni, hogy hogyan "beszélnek össze" veled kapcsolatban a hirdetői hálózatok. Néhány pillanat alatt telepíthető a Firefoxhoz a Lightbeam kiegészítő, ami azonnal mutatja is, hogy melyek és mennyire. Persze akkor a leglátványosabb, ha átlag felhasználóként használjuk a netet, azaz nem használunk semmilyen reklámgyilkolót, nem mókoljuk meg a földrajzi pozíciónkat, nem trükközünk kliensoldalon. Az én esetemben valahogy így néz ki a dolgot egy perc kattintgatás után, ugyan szándékosan megnéztem egy review oldalt is, amiről tudom, hogy különösen pofátlan ebben a műfajban:

Google Chrome-ot használsz? Ez esetben sajnálom, lehet, hogy ott is van hasonló eszköz, nem tudom, meg annyira nem is érdekel, pont azért, mert Google, na meg Chrome, nem használom. Viszont érdemes tudni, hogy a nyílt forrású Chromium motor felhasználásával nem a Google Chrome az egyetlen böngésző, ami valaha készült, ha nagyon ragaszkodsz a Chrome-szerű böngészőhöz, a Comodo kapásból háromfélét is ajánl, ami nem akarja eladni az adataid kilóra, sőt, pont az ellenpólust képviseli mind:  
https://www.comodo.com/home/browsers-toolbars/browser.php

Ha már böngészők.

Nem új, de még mindig zseniális az az ismeretlen szerzőtől származó, de erősen Microsoft-gyanus reklámparódia, ami annak idején az egyik Chrome verzió reklámját figurázta ki még az eredeti reklám megjelenésének napján.

Ha pedig már videó, "Kutyával és gyerekkel maguk mindent beszopnak", ahogy mondta a Kiábrándult értelmiségi, és valóban, egy jóval kevésbé offenz', de esztétikus és hatásos böngészőreklámot is ide teszek.

Ebben a posztban egyáltalán nem foglalkoztam azzal, hogy enélkül finanszírozhatatlan lenne szinte minden valamire való - nem-fizetős - szolgáltatás a neten, azzal sem, hogy akár elhiszed, akár nem, ez a hirdetési modell igenis hatással van a fogyasztói döntéseidre, még akkor is, ha tudatosan egy-egy cikk olvasása közben a reklámot nem is olvasod, csak a szemed látókörébe kerül, azzal sem, hogy a reklámdobáló hálózatokat természetesen lehet korlátozni vagy blokkolni, viszont nem szabad túltolni a dolgot, mivel nagyon sok helyen ha a reklám nem jeleníthető meg, nem jelenik meg a tartalom sem, amit megnéznél vagy olvasnál. Amivel szintén nem foglalkoztam, hogy a privacy-fetisiszta jogvédők paranoid óbégatása miért iszonyúan károsak, lévén, hogy nem reális veszélyekről beszélnek, az igenis reális veszélyekről pedig gyakorlatilag sosem ejtenek szót érdemben, ami érthető is, mert ez olyan technikai rálátást és szemléletmódon igényelne, amivel ők maguk sem rendelkeznek. Szintén nem mennék bele, de érdekes téma, hogy a felhasználókról készülő profilalkotás bőven ad lehetőséget visszaélésekre például olyan módon, hogy egy webshop ugyanazért a termékért eltérő árat kér két különböző felhasználótól olyan tényezők alapján, hogy valószínűleg mennyit lenne hajlandó a termékért fizetni, van-e hasonló termékporfólióval rendelkező üzlet hozzá földrajzilag közel és még ki tudja, hogy mi alapján. Ez utóbbi amúgy nem egy konteós elméleti felvetés, hanem bizony-bizony van, ahol már rég alkalmazott módszer: WSJ: Websites Vary Prices, Deals Based on Users' Information. A témát magyar nyelven anarki is alaposan kivesézte pár hónapja. 

0 Tovább

A Hola rossz. Értem?


Meg persze hülyének lenni is. Hiába, hogy nem mai találmány az internet, máig makacsul tartja magát az a felhasználói téveszme, hogy van ingyen ebéd, többek közt. Van, akinek még mindig nem világos, hogy ez miért is veszélyes.

Nem ígérem, hogy teljes egészében elmagyarázom, hogy valójában semmi sincs ingyen, amiért nem kell a neten közvetlenül fizetni, tehát még egyszer, szépen, lassan: semmi! Ha nem fizetsz közvetlenül a piacvezető keresőmotor, na meg közösségi szolgáltatás használatáért meg ami hozzájuk kapcsolódik, az adataidat adod el kilóra, és rémesen fárasztó lenne elmagyarázni, hogy azzal, hogy amennyiben személyre szabottan jelennek meg hirdetések a képernyőn, közvetetten befolyásolni fogják a fogyasztói döntéseid, ha elhiszed, ha nem, ugyan mondjuk ez a Google esetében