bardóczi ákos @post.r

Avagy ismét egy trükk, ami elvben lehetetlen, gyakorlatilag simán megoldható, az online marketingesed pedig 1000%, hogy nem tudja. A végén némi net-teoretikai kitekintéssel.

Az utóbbi néhány napban eléggé alaposan elmerültem a FB-oldalak működésében, azt a részt most átugranám, hogy ez üzleti és gyakorlati szempontból milyen jelentősséggel bír.  Beszélgettem valóban jó online marketingesekkel, ami viszont általános tapasztalat, hogy az online marketingesek nem ismerik ízig-vérig a közösségi szolgáltatásokat, holott nagyon illene, emiatt nagyon sokszor nem tudnak megvalósítani olyat, ami az ügyfél számára előnyös lenne, rosszabb esetben pedig annyira mellényúlnak, hogy többen ártanak, mint használnak akár egyetlen rossz lépéssel is.

Na, akkor in medias res. A probléma: adott egy facebookos oldal, aminek több, mint 200 lájkolója van, emiatt nem nevezhető át. Amíg nem éri el egy oldal lájkolóinak a száma a 200-at, mindenféle bravúr nélkül átírható az oldal neve, viszont azt követően, hogy ennél több, már fel kell venni a kapcsolatot a Facebook hírhedt supportjával. Az átnevezési kérelmet pedig szinte biztos, hogy elutasítják. A Facebook oldalakkal kapcsolatos súgója nem azt mondja, hogy egy oldal egyáltalán nem nevezhető át 200 fan felett, hanem azt, hogy átnevezhető abban az esetben, ha ez a kapcsolódó guidelines-juknak megfelel, amiben persze megvan a logika, hiszen ha össze-vissza lehetne könnyűszerrel átirkálni az oldalak nevét, belátható, hogy az tömeges content poisoningra adna lehetőséget a blackhat SEO-s arcok miatt, amiből a felhasználók annyit látnának, hogy olyan oldalak virítanak a profiljukon és öntik az arcukba a kontentot, amit ők sosem lájkoltak.

Mi nem megoldás, mit NE tegyél, de tényleg ne, ha át akarsz nevezni egy nagy oldalt?
-    Úgy tűnhet, hogy önmagamat cáfolom meg, de ne higgy senkinek, aki előáll a tuti tippel! De tényleg ne! Egyrészt egy hülye tanácsot követni nagyon sokat árthat. Másrészt tudvalevő ugyan, hogy vannak olyan contact formok, amik közvetlenül nem érhetők el a Facebook felületéről – ilyen például a fiók végleges törlése is – amiben egy jó indoklással szinte mindent el lehet érni, ahogy többen sejtik azt is, hogy például milyen lépéseket kell követniük, ha egy nekik nem tetsző személyt, tartalmat vagy oldalt el akarnak távolítani vagy vissza akarnak állítani. Viszont hogy a Facebook mikor milyen forgatókönyvek szerint jár el, az legjobb esetben sejthető, aki azt mondja, hogy biztosan tudja, az hazudik.
-    Ahogy hasonló problémáknál lenni szokott, a témában még az első néhány száz keresési találat is ostobaság, ráadásul veszélyes ostobaság, ezeket ne kövessük, amiből valamiféle információ szerezhető, az egy évnél nem régebbi, témában megjelent leírások, de az nem az első száz találat közt lesz, az biztos.
-    Több helyen azt olvasni, hogy a felhasználó telepítsen ilyen-olyan böngésző plugint, aztán jó lesz. Egy ilyen böngésző plugin valójában egy webes proxy szerepkörét tölti be, na meg nem mellékesen súlyos veszélynek teheti ki az oldal, az egész gépet, szóval az elővigyázatlan felhasználó gyakorlatilag a fél veséjével fizet érte, ráadásul lehet, hogy nem is működik.
-    Igaz, hogy a ritkán felmerülő problémák megoldásához szükséges tudásáért valaki joggal kérhet pénzt, akár nem is keveset, de a neten látatlanba ne fizessünk senkinek ilyenért, még egy marketing ügynökségnek is csak akkor, ha már sikerült megoldaniuk a problémát.

Akkor mi a megoldás? Kis ismétlésként leírom, hogy hogyan is működik a Facebook supportja, amelyik ugye a legdrágább erőforráson, az emberi erőforráson spórol, ahol tud, ezért nehézkes kapcsolatba lépni velük legtöbbször és valami érdemit elérni.

Teljesen mindegy, hogy milyen bejelentésről van szó, első lépésben egy algoritmus elbírálja, hogy egyáltalán érdemes lehet-e foglalkozni a dologgal, ez már eleve nagyon sok tényezőtől függ, hiszen a Facebook más felhasználási feltételeket alkalmaz különböző államokban illetve régiókban, valamint függ attól, hogy a felhasználónak mennyi olyan kérése volt korábban, amit pozitívan bíráltak el, ha pedig egy oldalról van szó, akkor sejthetően az oldal számos tulajdonságától, mint az oldal kora, típusa, aktivitása és ki tudja még, hogy mi.

Abban az esetben, ha az első ellenőrzésen sikeresen keresztülment a kérelem, akkor kerül moderátorok elé, de nem ám a Facebook főhadiszállására kell gondolni, az piszok drága lenne. A moderátorok vélhetően a harmadik világban bagóért dolgozó, angol nyelven többé-kevésbé tudó alkalmazottak, akik kizárólag egy teljesen rigid, sokszor végképp nem logikus vagy igazságos forgatókönyv szerint járhatnak el és dönthetnek valaminek a módosításával kapcsolatban. Körülbelül ez felel meg a level-1 supportnak. A kérelmek szinte egyike sem jut tovább innen. Példa: eltávolításért bejelentett uszító, pornográf vagy tévesen annak vélelmezett tartalmak. Én a webes óriások helyében nem lennék ennyire prűd, mert lehet, hogy nagyon komoly árat kell fizetni érte.

Viszont a forgatókönyv azt is leírja, hogy mikor kell tovább dobniuk a labdát a tőlük már több döntési szabadsággal és jogosultsággal rendelkező support teamnek. Tipikus példa lehet ilyenre a tömeges pornográf tartalom, embercsempészet vagy nagyon jelentős mértékű fegyver- és drogcsempészet gyanuja. Ha úgy gondolnád, hogy annyira azért nem hülyék a rosszfiúk, hogy a Facebookot használják ilyen tartalmak megosztására vagy ilyen témák megvitatására, nos, egy részük tényleg ennyire hülye. Remek kérdés, hogy az a level-2 supportnak megfeleltethető csapat milyen módon dolgozik együtt például a Homeland Securityvel, amelyik olyan, mint Magyarországon a Nemzeti Nyomozóiroda. Viszont lehet, hogy itt döntenek olyan kérdésekben is, aminek a tárgya nem valamilyen visszaélés, bűncselekmény, de eléggé fajsúlyos, hogy ide kerüljön.

Viszont még egyszer: nem tudni, hogy egy-egy bejelentéskor merre pattan a labda, ahogy a support rendszer felépítése is érthető módon nem ismert pontosan.

Tegnap közel harminc perc keresés után – ami nálam nagyon soknak számít – azt gyanítottam, hogy az átnevezgetéssel kapcsolatos kérelmek sorsa nagyban függ attól, hogy a kérelem melyik államból érkezik. A Facebook felhasználási feltételeit ember legyen a talpán, aki követni tudja, de nem mellékes, hogy a felhasználókra vonatkozó szabályok nem csak attól függenek, hogy melyik államból vagy régióból történt a regisztráció, ahol rátapostak az Agree gombra, hanem attól is, hogy a felhasználó melyik államból használja a szolgáltatást és itt a lényeg.

Volt egy olyan sejtésem, hogy törvényi kötelezettség vagy ki tudja, hogy milyen okból, az USA területéről érkező bejelentések elbírálása ez EU-stól eltérően történik. A több ezres oldal átnevezését egy nappal korábban utasították el egy, számukra igencsak praktikusan semmitmondó válasszal.

Nosza, fogtam egy szűz böngészőt, pontosabban olyan böngészőkörnyezetet, amit a legjobban a pornó módnak is becézett inkognitó módhoz tudnék hasonlítani, viszont mégsem az. Ez azért fontos, mert ha például a korábbi munkamenet azonosítóm alapján felismer a Facebook vagy más web giant, akkor annak megfelelően fog kezelni – na meg az egész szolgáltatás viselkedni – amilyen régióból beléptem. [Például a korábban ismertetett SMS-küldözgetős feature el sem érhető a Google esetén. ]

Azért pedig, hogy az USA-ba tudjam varázsolni magam, kellett egy USA-beli VPN. Fontos, hogy a VPN szerepét nem helyettesíti egy webes proxy, másrészt tudom, hogy vannak ingyenes VPN-szolgáltatók, azok többségét bottal nem piszkálnám meg, mert jó esetben csak lassúak vagy forgalomkorlátosak, rosszabb esetben kockázatosak. Azt hinnénk, hogy az online marketing ügynökségeknél nyilván van valamilyen virtuális magánhálózati előfizetés, hiszen alapvetően olcsó másrészt lévén, hogy egyre több minden van a neten, aminek az elérése államhoz kötött, simán szükség lehet rá, hogy gyorsan átvarázsoljuk magunkat a világ túloldalára. Itt most az a fő szempont, hogy minél több földrajzi helyet lehessen bekamuzni, ha kell. Nos, ehhez képest az online marketingesek nem vágják, hogy mi az a VPN. A szűz böngészővel egy USA-beli VPN-en keresztül csatlakoztam, majd felléptem a Facebookra, amelyik persze rögtön rákérdezett, hogy valóban én vagyok-e, mivel pár perccel korábban még a vén Európából kapcsolódtam, miután ez megvolt, elindítottam pontosan azt a formot, amit egy nappal korábban és kértem az oldal átnevezését. Hogy-hogynem, összesen 10 perc nem telt el, átnevezzék a több ezer lájkerrel rendelkező oldalt!

Fontos megjegyzés, hogy attól, hogy ez nálam működött, egyáltalán nem biztos, hogy másnál is működni fog, tehát ne engem kéretik anyázni, ha hasonló helyzetben nem működik a leírt módszer. Hiszen ahogy írtam jópár tényezőtől függ, hogy egy kérvényt hogyan bírálnak el, a support viszont sosem indokol olyan módon, hogy az érdemi többletinformációt jelentsen, hiszen ha részletesen indokolnának egy moderátori döntést, ebből következtetve ezzel sokan azonnal vissza is élnének, röviden: kijátszhatóbb lenne a dolog. Mindegy, hogy miről van szó, az indoklás rendszerint annyi, hogy a döntés a felhasználási feltételek kapcsolódó részeivel összhangban van vagy sincs.

Megjegyzem, a Facebook fenntartja magának a jogot, hogy bármilyen döntést indoklás nélkül ismét felülbíráljon – nem is a Facebook lenne, ha nem így lenne.

Egy több ezres oldal átnevezésekor egyébként az összes lájkernél felvillan, hogy egy általa korábban kedvelt oldalt átneveztek és döntsön, hogy továbbra is lájkolja-e, mivel ez megzavarja a felhasználókat, így néhányan elhagyják az oldalt, némi veszteséggel lehet számolni, de egy több ezres oldal esetén ez nem jelentős.

Ennyi!

Amit fontos tudni, hogy önmagában az anonimizálás nem elég, sőt, inkább rossz például ilyen facebookos műveleteknél, hiszen a Facebook nagyon jól tudja, hogy melyik felhasználó érkezik TOR-on vagy más anonimizáló hálózaton keresztül keresztül.

Végül ejtenék pár szót arról, hogy szerintem hogyan érdemes VPN-szolgáltatót választani. A szolgáltatók profiljukban eltérnek egymástól olyan módon, hogy van, amelyik a nagy sebességet emeli ki erősségei közt, amivel látástól Mikulásig lehet torrentezni, megint másik kimondottan tiltja a torrentezést és a nagy adatátvitellel járó forgalmat, viszont erősségként kiemeli, hogy egy előfizetést egy rakás eszközön lehet egyszerre használni. Megint más VPN-szolgáltató azt hangsúlyozza, hogy a világ szinte minden országában jelen van. Illetve hogyne lennének olyan szolgáltatók, amelyek esküsznek a szeplőtelen szűzanyára, hogy számukra aztán a böngészés szent és sérthetetlen, az ő titkosításuk a legerősebb és ők aztán nem adnak ki adatot hatóságoknak sem, mivel nem naplóznak a feltétlenül szükségesnél több ügyféladatot. Ilyen szolgáltató persze simán lehet, hogy éppen egy titkosszolgálat fedőszerve, ahogyan az is, hogy semmivel sem anonimizál jobban az ő szolgáltatásuk, mint bármely más.

Végül megosztanék egy elgondolkodtató személyes sztorit. Egy szakmai rendezvényről vonatkoztunk haza, amikor szóba került a hálózati forgalom anonimizálása és szóba hoztam, hogy milyen aggályaim vannak a TOR-ral kapcsolatban és én melyik VPN-szolgáltatót használom. Az ott lévő überszuper tényfeltáró újságíró rögtön rávágta, hogy ez hülyeség és kész, mert az a szolgáltató az USA hatóságainak adatokat szolgáltatott ki valamelyik évben valamelyik ügyfeléről. Igen ám, csakhogy abban az esetben a kedves előfizető éppen valamilyen súlyos bűncselekményt tervezett elkövetni és az ottani hékek már egyébként is figyelték. A történet nagyon emlékeztet arra, amikor a világ egyik legbiztonságosabb levelezőszolgáltatójának tartott Hushmailt a Wired kemény kritikával illette amiatt, hogy néhány esetben adatokat szolgáltatott ki a hatóságoknak és azt a téves benyomást keltette, hogy akkor nem is olyan biztoságos, szar az egész. Nos, a Hushmailnél emlékeim szerint ez akkor történt, amikor az egyik ügyfelük arról diskurált már jóideje, hogy egy targoncányi drogot hogyan csempésszenek át, de ebből nem következik, hogy a Hushmail megtévesztené az ügyfeleit vagy szembe menne a saját elveivel.

Korábbi posztokban már írtam róla, hogy először azt kell tisztázni privacy-related kérdésekben, hogy az adatot és az adatátvitelt kitől akarjuk óvni ténylegesen, az NSA-től vagy valami ellenérdekelt gyökértől, akinek vannak olyan kapcsolatai, amin keresztül szervereket foglalhat le egy-egy szerverteremből abban az országban, ahol azok vannak vagy jó cimborája egy netszolgáltatónál, amelyik a titkosítatlan adatot sniffelheti, a meglátogatott oldalakat naplózhatja. Na már most ki-ki döntse el magában, hogy az IT viszonyokat ismerő arcként neki az a fontosabb, hogy az elvi lehetőségét is kizárja vagy csökkentse annak, hogy a netszolgáltatóján keresztül esetlegesen lehallgassák az adatforgalmának titkosítatlan részét vagy bérgyilkosként az, hogy őt aztán ne lássák a legkomolyabb hatóságok sem.

Ami a TOR-hívőket illeti, komolyan nem tudok velük mit kezdeni, mivel értelmes indoklást még nem hallottam vagy olvastam azzal kapcsolatban, hogy a gyakorlatban a TOR miért szavatolná jobban az anonimitást, mint egy normálisan beállított OpenVPN, ugyanakkor olyat már többször olvastam, hogy a TOR kliensszoftverében orbitális méretű biztonsági rés tátongott. Attól ugyanis, hogy valami nyílt forráskódú, még nem jelenti azt, hogy a benne lévő hibát gyorsabban meg is találják, viszont nem is olyan elképzelhetetlen konteó, hogy a TOR Projectben vannak olyan fedett nyomozók [konyhanyelven titkosügynöknek hívják] önkéntesként, akik szándékosan tesznek olyan backdoort a szoftverbe, ami majd lehetővé teszi, hogy lazán megfigyeljék a TOR-felhasználókat.

Szoktam utalgatni rá, hogy egyre súlyosabb probléma, hogy a felhasználók az információbiztonság fontosságáról azért nem győzhetők meg, mert nem értik, amilyen mélységben kell. Azt viszont még nem írtam, hogy a tőlük is súlyosabb, abszolút meggyőzhetetlen arcok viszont azok, akik alaposan rápörögtek az elmúlt évek privacy-hypejaira, mondjuk egy tényfeltáró újságírói szervezet tagjaként nap, mint nap bújják a Wikileaks-et, csak TOR-on csatlakoznak és értik is, hogy az anonimizálási módszerek hogyan működnek. Pont azért nem lehet meggyőzni őket semmiről, mert úgy gondolják, hogy úgyis ők tudják jobban. Megjegyzem, hála a jó égnek, őket nem is akarom meggyőzni.

Képek: laptopmag.com, lessingflynn.com

majdnem olyan lesz, mint felszedni 1500 pingpong labdát egy tornateremben nitrogénpukkantás után.

Ha voksolni lehetne arról, hogy melyik legyen az évtized legrémesebb buzzwordje, alighanem a big data fölényesen nyerne. Mi is a big data? Paradigma, módszertanok összessége? Több vagy kevesebb annál? Erre alighanem csak a jövő fogja megadni a választ, azt viszont nagyon is érdemes tudni, hogy ki az, aki nem csak dobálózik a big data fogalmával és ki az, akinek ugyan lövése nincs az egészről, irkál meg előad a témában bújtatott marketing részeként.

Nemrég láttam a LinkedIN-en, hogy egy önmagát adatvarázslónak aposztrofáló cég megjelentetett egy blogposztot, nulla hozzáadott értékkel, ami önmagában tényleg egy büdös szót nem érdemelne. Az viszont már igen, hogy az egyik hazai nyelvtechnológiai cég vezetője kommentelte, ezek szerint valamiféle jelentőséget mégiscsak tulajdonított neki, márpedig egy totálisan kókler poszthoz úgy hozzászólni, mintha az unikális tartalom lenne és nem bullshit, kicsit olyan, mintha a Napiszarra mennénk fel önmagunknak barátnőt keresni.

Meg is fogalmaztam egy szép hosszú kommentet, majd inkább töröltem, mielőtt kommenteltem volna, hogy ne úgy jöjjek ki a dologból, mint a szőrszálhasogató tuskó.

A szóban forgó blogposzt az elején leszögezi, hogy bullshitmentes és marketingmentes lesz, ehhez képest gyakorlatilag csak azt tartalmaz, abszolút nulla hozzáadott értékkel. Felmerült bennem a kérdés, hogy hogyan állapíthatja meg valaki a másikról, hogy valóban otthon van-e azon a területen, amit újabban adattudománynak is szokás nevezni, ha ő maga nem ért hozzá mélyen. Röviden: hogyan különböztethető meg a profi a kóklertől?

Hirtelen az jutott eszembe, amikor legutóbb egy számítógépes nyelvészeti konferencián több workshop is volt, ahol több csapat is bemutatott olyan megoldásokat, amiknek a lelkét főként valamilyen gépi tanuláson, ide kapcsolódó mintázatfelismerésen, és rokon adatbányászati módszereken alapuló technikák adták.

Ahogy Linus Torvalds mondta, „Talk is cheap. Show me the code”, érdekelt, hogy egy-egy nyelvi feldolgozónál milyen algoritmusokat alkalmaztak, kombináltak, milyen programozási nyelvet használtak a megvalósításához. Így hát bele is kérdeztem, de nem nagyon tudták megmondani, mert hát „azt a Béla tudja”, a Béla meg persze, hogy nem volt ott. Ez persze nem jelenti azt, hogy ezek a kutatócsoportok hülyékből állnának, messze nem. Csak azt, hogy persze, van egy projektvezető, egy ötletember, egy elméleti arc és a csapatban persze valahol van egy ember, aki leprogramozza, amit kisütöttek, viszont a csapat úgy is képes hatékonyan működni, hogy nem lát bele minden tag minden apró részletbe, ami persze így normális, ettől csapat a csapat. Ugyanakkor mégis közösen le tudnak tenni az asztalra egy bizonyítottan újszerű és működőképes szoftvermegoldást.

Merőben más az az eset, amikor valaki gyakorlatilag bújtatva, de előadja magát fene nagy adatelemzőként, ismer is néhány látványos eszközt, de a tényleges tudás fájdalmasan hiányzik. Márpedig az ilyen nagydumás tahókkal alaposan el lettünk eresztve, akik végülis kifogták a szelet a big data vitorlából. Van-e esélye egy céges döntéshozónak megállapítani, hogy ha adatelemzésről vagy big data módszerek bevetéséről van szó, akivel tárgyal, kókler vagy profi? Az én véleményem, hogy határozottan van.

Mindenek előtt, ahogy más területen is, félre kell tenni azt a hiedelmet, hogy aki bele mer kérdezni egy-egy módszer mikéntjébe, az kötekedni akar, mert nem. Ha hangzatos terminusokkal találkozik akár egy újságíró, akár egy cégvezető, hirtelen kérdezzen bele és ne hagyja, hogy a szakértő úr valami kommunikációs csellel megkerülhesse a választ. Persze, persze, ha nem tudja a választ, az lehet azért is, mert esetleg nem érti jól vagy izgul, de ha már sorozatban fordul elő, az nem sok jót sejtet. Amit pedig a profiktól megtanulhatunk, hogy nem félnek azonnal rávágni, hogy „nem tudom”, ha valamit nem tudnak, jó esetben azt viszont igen, hogy milyen irányban lenne érdemes elindulni, hiszen a profizmus megköveteli, hogy az illető ismerje behatóan annak a szakirodalmát, amiről beszél.

A másik, hogy a kóklerek gyakran használnak igencsak látványos, már-már szemet gyönyörködtető ábrákat, dobbantanak demókat, arra viszont már nem tudnának szakmailag elfogadható választ adni, hogy miért pont azt az eszközt használják, amit. Lehet ilyen az SPSS, R, Rapidminer és számos más szoftvercsomag vagy programozási nyelv, ami viszont fontos, hogy a kókler azt használja, amit meg tudott tanulni, a profi pedig azt, ami egy-egy adott feladat megoldásához a legideálisabb!

Nem világos, hogy mitől függ az, hogy ki milyen módszertanról milyen véleményt alkot, viszont a profi egy-egy projektben tudatosan kiválasztott módszertant követ, amitől nem fél eltérni, ha az ésszerűség azt diktálja. A kókler kevésbé tervez, ahogy esik, úgy puffan.

A profik folyamatosan figyelnek a visszajelzésekre egyrészt önmagukkal, másrészt a megoldandó feladattal kapcsolatban is, míg a kóklerek csak ritkán, esetleg semennyire. Elcsépelt, de nem is tudnék olyat, ami jobban illik ide: „Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.” Nem ritkán szivesen írnék egy témáról, csak aztán belegondolok, hogy elolvasnék még előtte jópár könyvet, hogy véletlenül se kerüljön bele kontárság, aztán végül nem írom meg. Sajnálatos, de igaz, hogy a többség, aki megszólal egy-egy témában, nem így működik, kis lexikális tudással pedig csak a baromság dől hozzáadott érték helyett. Bizonyára voltatok már úgy, hogy egy téma szakértőjétől meghallgattatok egy előadást, aztán a végére megérett az a gondolat, hogy „Ezt az előadást én is tarthattam volna, holott nem is vagyok szakértő. Hihetetlen, hogy aki hivatásszerűen foglalkozik vele, ezzel keres!?”

Ismét csak azt mondom, hogy a jó kutató ismérve többek közt az, hogy képes holisztikusan is szemlélni egy-egy feladatot, míg a kevésbé tehetséges egy bizonyos fogalomrendszerbe bezárva él. Azt vettem észre, hogy ezzel sajátos módon együtt szokott járni az, hogy a kókler fájdalmasan a mainstreamet majmolja, míg a profi tud és mer teljesen máshogy gondolkozni, hiszen attól profi, jelentős értéket teremteni igazából így lehet. Tény, hogy sokszor nem a téma véleményvezérei a legjobb szakértők, csupán a legismertebbek és nagyon gyakran sokkal sikeresebbek, mint akik tényleg tudnak. Egészen addig, amíg meg nem változik a környezet, aztán bambi. Egy gyökeresen megváltozó környezetben ugyanis a profi képes gyorsan váltani, egy kóklernek viszont ez annyi idejébe telik, amennyi idő alatt a cég becsődöl háromszor. A piaci környezet viszont nem változik gyakran. Legalábbis nem eléggé gyakran, sajnos.

Végül meg kell jegyeznem, van benne valami bizarr báj, hogy van valaki, aki mondjuk egy-egy, tudományos szaksajtóban megjelenő hírt vagy akár csak idézetet valamilyen formában elsőként elhozza hazai közegbe például egy Twitter-bejegyzésként, aztán az egy lap megírja félreértelmezve, megint másik helyen megjelenik már fél fokkal normálisabban, de úgy írnak róla, mintha ők találták volna. Az egyik legnagyobb ismert fehérkalapos hekker mondta nekem, amikor befejezte a blogolást annak kapcsán, hogy miért tészi’ le a lantot, az hogy tele lett vele a bakancsa, hogy az ő blogjáról lopkodják át a híreket azok a szerzők, akik még ahhoz is gyökerek, hogy saját maguk kövessék a nemzetközi sajtót és jó esetben megnézik az eredeti forrást is. Azt hiszem, hogy átérzem a dolgot.

Hölgyeim és Uraim! Azért azt ne felejtsék el, egy idézet eredete, első elfordulása sokszor nehézkesen azonosítható, az viszont már sokkal könnyebben, hogy például magyar szövegkörnyezetbe ki idézte először. A posztot egy korábban általam már idézett, Dan Arielynek tulajdonított idézetével zárnám:

„Big data is like teenage sex: everyone talks about it, nobody really knows how to do it, everyone thinks everyone else is doing it, so everyone claims they are doing it...”

Ami a művelődnivalót illeti, a technikai jellegű irodalmat ismeri, az tudja, hogy hol keresse, mindenki másnak bevezetőként a posztban mutatott könyveket tudnám javasolni.

Mióta az azonosításhoz használnak jelszavakat, gyakorlatilag ugyanaz a probléma velük: a felhasználó leírja, elhagyja, lenyúlják, lelesik, kölcsönadja, a jelszó túl gyenge és folytathatnám a sort. A blogon már többször is téma volt az egyre több helyen bevezetett többlépcsős, konkrétabban kétlépcsős hitelesítést valamilyen formában, azaz amikor a felhasználói nevünk és a jelszavunk, - mint két statikus azonosító – mellett meg kell adni még egy, egyszer használatos azonosítót is, ami például egy SMS-ben érkező token vagy egy mobilalkalmazás által generált, adott ideig érvényes számsor. Tanulságos, hogy ezt a netbankos rendszereknél vezették be először, majd jóval később, sorra azok a szolgáltatók, akiknél nagy mennyiségű információ tárolódik, mára pedig támogatja gyakorlatilag minden komolyabb webszolgáltatás.

Ami még érdekesebb, hogy a Yandex január táján gondolt egy nagyot és a nagy és ingyenes szolgáltatók közt elsőként opcionálisan olyan authentikációt tett elérhetővé a belépéshez, amivel a jelszó teljes egészében nélkülözhető: csak a felhasználói nevet kell megadni, a jelszót pedig képletesen egy olyan állandóan kulcs helyettesíti, ami végülis mindig nálunk van.

A beállítási folyamat meglehetősen egyszerű, az okostelefonunkra le kell tölteni a Yandex Key alkalmazást, majd a lépésről lépésre történő webes beállításkor megjelenő QR-kódot beolvasni vele, de megadhatjuk a képernyőn megjelenő átmeneti karaktersorozatot is. Jó, jó, de ezt eddig tudta többek közt a Google Authenticator, a Microsoft Authenticator, a Duo Mobile és a többi is, nem? Itt jön a csavar: a Yandex Key beállításához kötelezően be kell állítani egy négy számjegyből álló alkalmazás PIN-t is.

Innentől kezdve, ha megpróbálunk belépni a Yandex-fiókba, a Yandexen csak a felhasználói nevet kell beírni, majd a jelszó helyett a QR-kód ikonjára kattintani, ekkor egy QR-kód jelenik meg a képernyőn. Ezt be kell olvastatni a Yandex Key appal és a beléptetés megtörténik. Viszont! Abban az esetben, ha a Yandex Key megnyitása után hibás PIN-t adunk meg, szintén bescannelhető ugyan a QR-kód, viszont azzal a beléptetés nem fog menni és – ami a lényeg – ha valaki mondjuk az ellopott mobilunkkal próbálni így belépni, nem fog  tudni, mivel az alkalmazás PIN-t nem ismeri. Ha eddig nem lenne eléggé csavaros a dolog, az alkalmazás nem figyelmeztet érvénytelen PIN esetén sem, így a támadónak nagyon megnehezíti a dolgát, mert még ha neki is állna végigpróbálgatni a 10000 ismétléses permutációt, ami a PIN lehet 0000-9999 tartományban, nem fogja tudni könnyen megállapítani, hogy mikor talált.  

Akkor ez most végülis kétlépcsős hitelesítés vagy sem? Végülis igen, de eddig nem látott kivitelben. Jelszó helyett mindössze a négy számjegyű alkalmazás PIN az egyetlen fix elem, amire emlékezni kell, meg persze a saját felhasználói nevünk.

Természetesen a többi 2-FA megoldáshoz hasonlóan itt is van lehetőség alkalmazásjelszavakat létrehozni vagy visszavonni például levelezőklienshez, viszont vegyük észre, hogy a Yandex ezzel a módszerrel kiiktatta a felhasználók azonosításában örök problémát jelentő tényezőt, a statikus jelszót!

Abban az esetben, ha a mobil nem alkalmas QR-kód olvasására, a QR-kód helyett a webes belépésnél kérhetjük azt is, hogy egy egyszer használatos karaktersorozatot kelljen megadni, ami szintén a Yandex Key-en olvasható le.

Amíg nagyon bétában futott, tapasztaltam olyat, hogy nem sikerült belépni a helyes PIN ellenére sem, a hibát azóta már javították, az ok valószínűleg az volt, hogy a mobilalkalmazás más időzónát használt, mint ami a Yandex-fiókban be volt állítva. Hogy ennek mi a jelentőssége, azzal senkit sem büntetnék, erre lehet olvasni róla. 

A posztnak azt a címet adtam, hogy „Email biztonság”, mert a Yandexet évek óta elsősorban levelezésre használom. Viszont érdemes tudni, hogy az orosz google-nek is csúfolt webes óriás a levelezésen túl fájlhoszting szolgáltatóként is működik, van benne térképalkalmazás, webes fordító, naptár, gyakorlatilag minden, ami a Google-account vagy éppen Microsoft-accountok használatakor is elérhető.

Az ok, ami miatt a Yandex alig ismert Európa nyugati régióiban, egyszerű, konkrétan az, hogy nagyon sokáig nem volt elérhető angol nyelven, néhány éve viszont szinte minden szolgáltatását elérhetővé tették angol nyelven is. Ha először használod és oroszul jelenik meg, de nem tudsz oroszul, egyetlen kattintással állítható át a teljes felület angolra.

Ritka, több éves, ámde annál irritálóbb bugba akadtam az iMessage-ben, alighanem nem csak én. Pontosabban, hogy ez most bug vagy feature, ki-ki döntse el, ami szinte biztos, hogy alighanem problémát a legharceddzettebb Apple-idomár sem tudná megoldani, hacsak nem olvasott utána az iMessage protokoll, na meg azonosítás lelki világának, ha nem olvasott utána a témának. Ilyen szempontból egészen jó kiindulópont mondjuk ez a fórum. Az iMessage-t annak idején többek közt több, nem ritkán több Apple-eszközt egyszerre érintő sebezhetőség bejelentése után kapcsoltam le, amik közt olyan is előfordult, ami elvben távoli kódfuttatásra  adott lehetőséget a legfrissebb üzenetküldőben is. 

Amikor elkezdtem használni az iMac-emet, arra gondoltam, hogy létrehozok egy külön iCloud-fiókot neki, amit az egyik iPhone-omon is bekapcsoltam, eléggé gyorsan kiderült, hogy volt nem túl jó ötlet, ezért használtam ismét az eredetit a mobiljaimon is, viszont hiába száműztem, mi több, töröltem az új AppleID-t, az iMessage aktiválásánál mégis azzal próbált a szolgáltatáshoz kapcsolódni annak ellenére, hogy az újonnan létrehozott AppleID már nem is létezett. 

A hibajelenség valahogy így nézett ki, nem a posztban lévő mailcímeket használtam, de ez a lényegen nem változtat. Amikor próbáltam aktiválni az iMessage-t az érintett iPhone-omon, akkor az a korábbi, már nem létező apple @ brdczi.net AppleID-vel akart kapcsolódni és nem is ajánlotta fel, hogy azzal a címmel kapcsolódjak, ami a mobilhoz hozzá volt rendelve a többi iCloud szolgáltatáshoz, azaz az akos @ brdczi.net –tel. 

A dolog meglehetősen reménytelennek tűnt, megnéztem a fent emlegetett fórumot, majd Macbookon a meglévő AppleID-vel belépve megnéztem, hogy milyen feladói címmel „envelope”-pal engedélyezett az üzenetküldés, amiben látszódott a mobilszámon kívül több email cím is. Ezek egyike a korábbi AppleID-hez kapcsolódó feladói cím volt, ezért emlékezett – messze nem világos módon – az eszköz arra, hogy valamiért azzal kellene a szolgáltatást bekapcsolnia a mobilomon is. Az összes hozzárendelt envelope email-címet kiszedtem, csak a mobilszámot hagytam benn, a szolgáltatást az iMac-en és a Macbookon is kikapcsoltam, majd ismét be, hozzáadva egy, az új AppleID-hez kapcsolt email-címet. Ezt követően az iPhone-on az iMessage aktiválásnál már nem a régi AppleID-vel próbált kapcsolódni az iMessage-hez, hanem azzal, amit a többi szolgáltatás is használt az eszközön. És működött. 

A jelenség egyrészt felveti azt a kínos kérdést, hogy milyen programozástechnikai hibák lehetnek az almás felhő szolgáltatásaiban, amik esetleg nem csak kellemetlenek, hanem biztonsági szempontból is hagynak maguk után kivetnivalókat, mint amilyen volt a szintén éveken keresztül észrevétlenül maradt „goto fail” néven elhíresült SSL-t érintő sebezhetőség. Másrészt, persze nem Apple sajátosság, de jól tudjuk, hogy az Apple Care, na meg az Apple szervizei a gyakran előforduló problémák megoldására vannak berendezkedve, olyan probléma megoldására, ami a felhasználóknak legfeljebb néhány ezrelékét érinti, alighanem nem, így ha ritka issue miatt kerül az eszköz szervizbe, szinte biztos, hogy nem ússza meg a factory resetet, a felhasználó pedig egy kiadós adatvesztést. Ez utóbbinak az az oka, hogy ha a szerviz vagy a felhasználó teljes biztonsági mentést csinál az iPhone-járól vagy iPad-járól, az minden lesz csak nem teljes. Az Apple-felhasználóknak érdemes tudniuk többek közt azt is, hogy egy-egy teljes mentés utáni visszaállítás az alkalmazásokat, üzeneteket, emaileket visszaállítja persze, viszont a belső alkalmazásadatokat, mint mondjuk egy üzenetküldő app chatlogjai, amiről az app szerveroldalon nem tárol mentést, azt nem. Márpedig bőven van olyan alkalmazás, amelyik például a belső üzeneteket nem tárolja szerveroldalon spórolva az erőforrásokkal, egy ezer éves beszélgetés csak azért húzható elő, mert a mobil SQLite-adatbázisa tárolja, ami egy iTunes-os teljes  mentésbe vagy bekerül vagy sem, ezeket pedig iOS esetén messze nem triviális ledumpolni. Azaz sajnos vannak olyan alkalmazásadatok, amik gyakorlatilag tényleg csak addig léteznek, amíg az eszköz megvan és működik. 

Kép: pix-hd.com