bardóczi ákos @post.r

Térképek, keresők, mobilos társkereső rendszerek és közösségi szolgáltatások – mindnél természetesnek vesszük, hogy figyelembe veszik, honnan netezünk éppen vagy konkrétan működésképtelenek is lennének enélkül.

Gondoljunk csak bele: amikor elindítod a Google, Yandex, Bing vagy OpenStreetMap térképszolgáltatását, kisebb-nagyobb pontossággal eleve azt a területet mutatja, ahol vagy, nem pedig a teljes bolygót. Akár termékre, akár szolgáltatásra keresel rá, természetes, hogy ha az kapható illetve elérhető Magyarországon, a magyar találatokat fogja dobni, azaz ha Tihanyban ráguglizol arra, hogy „cafe”, nem a világ legtöbbször hivatkozott weboldalait fogja kiadni, amik valamilyen kávézó webhelyei, hanem azt, ami ésszerű közelségben van. Ha elindítod a Tindert, azt veszi alapul a választék megmutatásakor, hogy milyen közelségben vannak a csajok illetve pasik, enélkül működésképtelen lenne az egész, de olyan mobilos társkeresőt is láttam már, ami plusz/mínusz néhány méteres pontossággal mutatta a másik felhasználó pozícióját.

Ráadásul mindez független attól, hogy helymeghatározó funkciót használó mobileszközt használsz, asztali gépet vagy laptopot, csak a pontosság tér el. Hogyan? Honnan tudják a webes szolgáltatások, hogy éppen honnan netezel, ráadásul ilyen pofátlanul pontosan?

Ahelyett, hogy belemennék a részletekbe, ismét az elvi működést ismertetem nagyvonalakban, a geolokáció felhasználási lehetőségei nyilván végtelenek, ami nem kevés kérdést vet fel, amit inkább meghagynék azoknak idióta privacy fetisisztáknak akiket behatóbban érdekel a téma.

Ha nagyon vissza akarok menni Ádámig és Éváig, mindig eszembe jut, hogy micsoda össznépi őrjöngés volt még 10-15 évvel ezelőtt is annak kapcsán, hogy a mobilszolgáltatók naplózzák azt, hogy az előfizetők mobilja mikor hol volt éppen, ennek megfelelően azt is pontosan tudják, hogy merre volt maga az ügyfél és persze legalább annyi rémes ostobaságot hordtak össze a témában, mint manapság. A szolgáltatók pedig számomra érthetetlen módon első reakcióként lehazudták, hogy tárolnának a földrajzi hellyel kapcsolatos adatokat, holott ha bárki megnézi, hogy hogyan működnek a GSM hálózatok, - mondjuk ebből a jó régi, de az elméletet jól summázó könyvben – abból világosan kiderül, hogy nem is működne az egész, ha a hálózat nem tudná, hogy a mobil hol van, dióhéjban azért, mert az eszköz helye alapján tudják egyszerűen eldönteni a mobilhálózatok, hogy mely tornyot vagy tornyokat használja az eszköz, jelerősség, terheltség és egyebek alapján. Ez még jócskán a 80-as évek elején is így volt, de ha nem naplóztak volna ilyen-olyan adatokat, akkor esélytelen lett volna diagnosztizálni visszatérő problémákat, normálisan fejleszteni a hálózatokat, hiszen ha nem tudható, hogy egy-egy torony mennyire leterhelt, esetleg milyen típusú mobilok problémásak, azt sem lehet előre bejósolni, hogy hova kellene építeni még tornyot. Ezzel gyakorlatilag egy időben kötelezővé is tették a jogalkotók a szolgáltatók számára, hogy ezeket az adatokat jó sokáig tárolják is, aztán több bűntényt így sikerül megoldani, a mainstream sajtóba csak olyasmi néven vonult be a fogalom, hogy cellainformáció-alapú helymeghatározás.

Nos, ehhez képest ma a felhasználók egy jókora része rendszeresen becsekkol ide-oda-amoda a webkettőn, még azt is megjelöli, hogy pontosan hol lakik, na meg, hogy mettől meddig nyaral. Az Antivírus Blogon visszatérő téma, hogy a betörők elképesztően nagy része a social weben keresztül előre tájékozódik róla a betörés tervezésénél, hogy hova törjön be, elég csak megnézni néhány palimadarat, amelyik geotaggel Fészen, Instán, Foursquareen – ami aztán már tényleg az agyrém netovábbja – ha ezek esetleg nem lennének kint publikusként, és a betörőnek van egy csöpp esze, akkor létrehoz egy vonzó kamu karaktert, majd felveteti magát ismerősnek emberünkkel. Kihasználva azt, hogy ilyen téren annyira illedelmes a többség, főleg a jól kinéző szőke hölgyekkel, akiknek az adatlapja szerint egy iskolába jártak, hogy felvesz ismerősnek boldogot boldogtalant, de még akkor is, ha a kamu karakter képét egyébként ezer helyen dobná a Google Képkeresője és az illetőnek eszébe sincs megválaszolni azt a kérdés, hogy "bocs, honnan ismerjük egymást". [1]

Jókora patália volt belőle, amikor a Google Streetview kocsijairól kiderül, hogy nem csak utcákat fotózgattak, hanem menet közben összegyűjtötte a hatótávolságába kerülő wifi-routerek hálózati nevét, ún. BSSID-jét és el is mentette azt a kapcsolódó GPS-koordinátákhoz kötötten. Persze nem adta ki senkinek, viszont óriási adattárházat épített belőle. Persze sok-sok hülye és kevésbé hülye ország illetékes szervei kötelezték a Google-t, hogy ezeket az adatokat töröljék, mivel a routerek tulajdonosai explicit módon ebbe nem egyeztek bele. Mit csinált a Google? Like a boss, törölte az így begyűjtött adatokat, majd egy még precízebb helymeghatározást lehetővé tevő, gyakorlatilag megkerülhetetlen módszert alkalmazott. Itt most arról fogok irkálni, hogy hogyan működött az adatgyűjtés korábban, a legtöbb helyen már nem így működik a Goolge esetén, de millió meg egy más szolgáltatás csinálja.

Nagyon nagy vonalakban a helyzet valahogy így néz ki: amikor valaki használatba vesz egy mobiltelefont, akkor vagy elfogadja a felhasználási feltételeket vagy felteheti dísznek a polcra kikapcsolva. Ha elkezdünk például egy andoridos mobilt használni, akkor kapásból beleegyezünk abba, hogy a mobil a háttérben leolvassa a hatótávolságában lévő BSSID-ket és elküldje a Google-nek, amit több adattal kapcsol össze, ezek többek közt
-    a korábbról már meglévő pozícióadatok
-    a mobilteló cellainformációja alapján helymeghatározásra használható adatok
-    az IP-cím, amit akkor kap meg, amikor a felhasználó kapcsolódik az egyik hálózathoz wifin keresztül, az Android core szolgáltatásain kívül pedig még kismillió Google-szolgáltatásnak ezt úgyis tudnia kell, például amikor a Gmail-es levelek automatikus letöltése történik, a felhasználó elindítja a Chrome-ot, amelyik szinkronizálja a könyvjelzőket, stb.  

Mielőtt most azt mondanák az almás és ablakos felhasználók, hogy ugyehogyugye, gyorsan megírom, hogy az Apple és a Windows Phone-os eszközök lényegében ugyanezt csinálják, csak éppenséggel a szolgáltatások neve más.

Na de még mindig nem világos, hogy a fent említett néhány adatból honnan tudja akkora pontossággal Android esetén a Android Device Manager, iPhone esetén pedig a Find my phone, hogy hol is az a mobil, ha elveszik, aztán megkeressük a térképen, hogy hol van.

A durván egyszerűsített magyarázat az, hogy egy cella alapján még a torony is csak kilométeres pontossággal tudná megállapítani a mobil helyét, de a mobil általában egyidejűleg több cellára kapcsolódhat, amiknek eltérő a jelerőssége, amiből besaccolható ezek távolsága, márpedig ezeket az adatokat az okosmobil elérheti. Ráadásul hacsak nem egy oázisban vagyunk, ahol még ember nem járt előttünk, akkor nyilván korábban más mobilja is lekérte és használta ugyanezeket az adatokat, másrészt tőlünk egy városon belül minden égtáj irányába kisebb vagy nagyobb távolságra, de van wifije a szomszédnak északra, délre, keletre és nyugatra egyaránt, ahol más mobilok ugyanezeket az adatokat már átadták a helymeghatározó szolgáltatásnak.

Innentől kezdve pedig már nettó matek az egész, egy-egy pont térbeli helye meghatározható más, ismert helyen lévő pontokhoz viszonyított távolsága illetve szögek alapján, ennek az egyik legegyszerűbb, de nyilván nem egyetlen módszere a háromszögelés.

Nos, egy mobiltorony ennyi kilométerre, a másik annyi kilométerre, hogyan adódik mégis a néhány méteres pontosság? Anélkül, hogy csukafejest ugranék konkrét adatbányászati módszerekbe, amik többségéhez amúgy nem értek, lényeg, hogy az adatbányászatnál, na meg egyáltalán amikor napjaink egyik legrémesebb buzzwordje, a big data kerül szóba, a lényeg azon van, hogy minél több adat áll rendelkezésre, még ha azok pontatlanok is, a nagyon sok pontatlan adatból kikövetkeztethetők nagyságrendekkel pontosabb, már használhatóbb információk. Lásd: machine learning,  ami végülis a mintázatfelismerés alapja és felhasználható szinte bárhol. [2]

Nagyjából ennyi! Fontos tudni, hogy a mobilokban szigorú értelembe véve sosem valódi GPS van, hiszen ekkor egyrészt a mobil nagyobb és drágább is lenne, másrészt pedig amikor a pozícióját le akarja kérdezni, mindig fel kellene vennie a kapcsolatot több műholddal, amire vagy pont van rálátás vagy nincs, de egy-másfél percig bőven eltartana, ráadásul olyan pontosságra nincs is szükség.

Tisztázzuk: a mobilokban használt, előbbi adatok feltöltése és lekérdezése alapján működő helymeghatározó technológia az AGPS, azaz Assisted Global Positioning System.

A mobileszközöket túl is tárgyaltuk, az esetleges pontatlanságokért pedig elnézést. Na de honnan tudja az asztali gép, hogy hol van?

Ahogy írtam, a mobil felküldözgeti a cellainfóit és az általa látható vagy általa használt hálózatok BSSID-jét is, ezen kívül a netszolgáltatótól kapott IP-t [mármint amit wifin keresztül használ]. Márpedig túl gyakran nem változik sem a netszolgáltatónk, ennek megfelelően az sem, hogy a netre csatlakozott eszköz milyen IP-címtartományból kap IP-címet, mi több, nem csak a címtartomány marad változatlan, a netszolgáltatók nem osztanak új IP-címet sem, ha nem feltétlenül szükséges, így akár hónapokig is ugyanaz marad a dinamikus IP, az pedig, hogy egy IP-cím milyen internetszolgáltatóhoz tartozik, lekérdezhető – Európában – a RIPE adatbázisán keresztül automatizáltan is, amit a GIS-szolgáltatások meg is tesznek. Egy-egy IP-tartományhoz tartozó blokk valahogy így néz ki:

https://apps.db.ripe.net/search/query.html?searchtext=188.36.223.0#resultsAnchor

A netszolgáltató persze elvben azt kamuzik be bizonyos korlátok közt, amit csak akar, viszont ez egyszerűen nem érdeke, az érdeke az, hogy olyan pontossággal adjon meg adatokat, ami a hálózatok közti adatcsere folyamán az útválasztást segíti, a sebesség érdekében pedig úgymond tudniuk kell a hálózatoknak, hogy hol vannak, tipikusan egy-egy országnyinál sokkal nagyobb pontossággal. Ez az alapja a távolság-vektor alapú útválasztásnak
ami biztosítja, hogy az adatcsomagok ne csámborogjanak a neten egyik géptől a másikig, mint gólyafos a levegőben, hanem minél gyorsabban jussanak el a feladótól a címzettig.

Lényeg, hogy amikor mondjuk megnézzük a Google Mapset asztali gépen, akkor az nyilván nem tudja átadni a routerünk hálózati nevét, viszont az IP-címét igen, amit kikeres az adattárházában, lévén, hogy ahhoz az IP-címhez vagy azzal egy címtartományban lévő címhez már kapcsolódtak korábban mobiltelók, amik fel is küldték a helyüket, ebből következik, hogy az adott IP-hez tartozó hely mi is. Ekkor hopp, minimum kerület pontossággal a Maps eleve arra a területre fókuszál, ahol vagyunk, nem pedig például csak Magyarországra. Azzal nem is bonyolítanám a képet, hogy az óriásszolgáltatók nem csak mobilok által kapott pozíciók alapján saccolgatnak, hanem néha méricskélnek is a szervereik és netszolgáltatók alhálózatai közt traceroutinggel, ami nem konkrét távolságokat mutat, hanem azt, hogy hálózati eszközök közt milyen sebességgel közlekedik az adat a mérés pillanatában. Ez csak nagyon durva becslésre adna lehetőséget, viszont ha sok-sok mérést végeznek és sok-sok útválasztó IP-címének hálózatát jegyzik fel [3], akkor a sok-sok pontatlan adatból legalább megye pontosságú adat jön ki.  Természetesen a szolgáltatások tudják, hogy egy IP-cím tartozhat mobilhálózathoz is, ami meg a címet mobileszközöknek osztja le, a mobilok ugyebár attól mobilak, mert mozognak, a geoinformatikai adattárházakat építő algoritmusok nem hülyék, ezt figyelembe veszik.  Egyrészt a már emlegetett RIPE adatok alapján, másrészt pedig az alapján, hogy alighanem már bőven volt mobil, amelyik éppen abból az IP-címtartományból /*azaz így szolgáltatón keresztül*/ használta korábban pont az ő egyik szolgáltatásukat, márpedig ha valaki mondjuk elkezd az iPhone-ján böngészni, a böngésző azzal kezdi, hogy jelzi a webhelynek, így az amögötti szolgáltatásnak, hogy ő egy mobileszköz, valahogy így  

80.99.xy.zw [URI] 7/2/15 11:17 PM Mozilla/5.0 (iPhone; CPU iPhone OS 7_1_2 like Mac OS X) AppleWebKit/537.51.2 (KHTML, like Gecko) Version/7.0 Mobile/11D257 Safari/9537.53

És ha nem is ebben a formátumban, a többi mobilalkalmazásnak is egyértelművé kell tenniük egy app elindításakor a szerver felé, hogy ő nem netre kötött kenyérpirító, hanem mondjuk egy Samsung Galaxy adott típusú és verziójú operációs rendszerrel.

A helymeghatározás többek közt ezeket a módszereket kombinálja, finomítja.

Amivel nem akartam bonyolítani a képet, hogy nem feltétlenül úgy kell elképzelni, hogy a Microsoft a Bing Mapshez, a Google a Google Mapshez, az Apple a Mapshez, a Yandex pedig a Yandex Mapshez külön-külön adattárházat épít, amik mit sem tudnak egymásról. Egyrészt nem ritkán az adatokat cserélgetik egymás közt és mindenki jobban jár, másrészt természetesen igénybe veszik olyan geoinformációs technológiákkal foglalkozó cégek technológiáit és adattárházait is, amik közvetlenül egyáltalán nem szolgáltatnak a végfelhasználók, csak a szolgáltatók felé, ilyen például a TeleAtlas aminek egy részéből rakták össze a Google Maps-et.

Ezen kívül alighanem mindenkinek a mobilján van olyan app, aminek egyáltalán nem szükséges tudnia, hogy hol vagyunk, mégis az ingyenes használat feltételévé teszi, hogy a pozíciónkat hébe-hóba felküldi egy partnerének, mi pedig nem olvassuk el a kilométeres T&C-t, na meg egyébként sem érdekelne.

Vannak olyan cégek, akiktől kilóra lehet venni olyan adatbázisokat, amik kizárólag az IP-címre támaszkodva adják vissza a látogató földrajzi helyét, ilyen például az IPteligence, az IPAddressLabs, az IP-DB, vagy az IP2location.  

A helymeghatározásnak olyan esetben is fontos szerepe lehet, amiről egyébként nem gondolnánk. Például a Skype alapértelmezés szerint egy hanghívásnál point-to-point, ha úgy tetszik, közvetlen kapcsolatot hoz létre a két fél közt, amihez nyilván egymás IP-címét tudni kell. A Skype-on ez letiltható ugyan, ekkor egy köztes szerveren fut át az adat, viszont olyan esetben, ahol csak lassabb netet kap a mobil, pont emiatt lesz a hangminőség rosszabb.

Amit írtam, hogy a Google esetében a BSSID-alapú adatgyűjtési gyakorlat számos országban már a múlt, amíg viszont nem volt így, addig a wifi BSSID-je végére írt _nomap jelölővel lehetett utasítani a Google-t, hogy ezt ne vegye figyelembe, a wifink neve a helyével együtt ne kerüljön fel az adatbázisba. Na és? Ott van még ezer másik szolgáltató, amelyik meg gyűjti látástól Mikulásig. Ráadásul értelmetlen is tiltani, mivel vannak olyan, az OpenStreetMap-hez hasonló, közösségi tudáson alapuló geoinformatikai megoldásokat is használó rendszerek, mint például a WiGLE amiknek az API-felületén keresztül mondjuk pont olyan BSSID-k kereshetők bárki számára, aminek a nevében benne van, hogy _nomap :)

Szóval eléggé gyorsan érdekessé tudja tenni magát az a felhasználó, aki mondjuk az otthoni routerét így nevezi el, addig csak a Google látta, az átnevezés után meg az egész világ. Az is lehetőség, hogy a router konkrétan ne boardcastolja a hálózat nevét, ekkor viszont ha valaki vendégségbe érkezik és wifit használna, kézzel kell bekalapálnia a hálózat nevét is a jelszó mellett, mivel az nem fog látszani a wifi hálózatok felsorolásában.

Még egy picit a Google-ön rugózva, mondhatni eléggé para, amikor 30 napra visszamenőleg meg lehet nézni, hogy merre mászkáltunk az androidos mobilunkkal, hacsak ez nem volt letiltva, trükkös dolognak tűnik az, hogy meghamisítjuk a mobilunk pozícióját, annyira nem az. Ez elvben elérhető Blackberryn, Windows Phone-on, Apple-n is, csak sokkal durvább beavatkozással, míg Android esetén elég a beállítások alatt bekapcsolni a Developer mode-on belül a Mock location engedélyezését, ezt követően a geek-ebbek az Android SDK-n keresztül idétlenkedhetnek vele, de vannak konkrétan olyan alkalmazások is, amiken egyszerűen csak rá kell bökni a térkép egy pontjára és rögtön azt kamuzza a mobil az összes alkalmazásnak, hogy valójában mondjuk a Déli-sarkon vagyunk. Nagyon gyorsan hozzáteszem, hogy egyetlen androidos mobilom van, amit szinte soha nem viszek el sehova otthonról, többen viszont elsődleges telefonként használják a saját androidos mobiljukat. Abban az esetben, ha valami hülyeség van bebökve a valódi pozíció helyett, a többi platform  esetében pedig például egy az egyben le van tiltva a földrajzi hely meghatározása, nos, teljesen mindegy, hogy Android, Windows Phone, iOS vagy Blackberry a mobilunk, garantáltan nem lesz meg, ha valahol ott felejtjük, hiszen maga a mobilkereső-lopásgátló szolgáltatás sem éri el.

Azt hiszem, hogy itt érdemes megjegyeznem, hogy lopás esetén a tolvajok kevésbé agytröszt részét nem tartja vissza az, hogy tisztában vannak azzal, hogy a mobil pozíciója könnyen meghatározható, ugyanakkor nem célszerű töltött lőfegyver, magánhadsereg, de minimum rendőri segítség nélkül a telefon után menni, ugyanis tragédiába is torkolhat a dolog, ugyan számoltak már be szórakoztató esetekről is amiknek a középpontjában nagyon hülye orgazdák állnak.

Lényeg, hogy az Android természetesen észleli, ha developer módban fut és az eszköz földrajzi helye pedig egész egyszerűen életszerűtlen módon változik, azaz például néhány másodperc alatt átkerül Zürichből Debrecenbe, a GIS-rendszerek pedig nem hülyék, azonnal észlelik, hogy a pozíció nem természetes módon változott meg és tudják is a helyzetet helyén kezelni – vagy a szolgáltatás, aminek szolgáltatják az adatot. Ahogy írtam korábban, a Facebook például annyira kifinomult, hogy ha valaki 13:00-kor még Budapesten lájkolgatott, 13:05-kor pedig rögtön beírja a helyes felhasználói nevet formálisan Rio de Janeiroban /*IP-cím alapján*/, annak túl sokféle magyarázata nem lehet. Az egyik, hogy valaki tényleg ellopta a jelszót és megpróbált belépni más nevében, a másik lehetőség pedig, hogy a felhasználó anonimizáló proxyt, VPN-t, TOR-t vagy hasonlót használ. Mindkét esetben a Facebook a szokatlan aktivitás miatt megpróbál róla meggyőződni, hogy valóban a tulajdonos szeretne belépni ezért még elkér ilyen-olyan adatokat. Viszont abban az esetben, ha valaki össze-vissza „ugrál” az IP-címe alapján, a Facebook nem fogja törni magát és valahanyadik belépés után már simán megy a belépés. Ebben az esetben nem az a GIS kifinomult, amelyik a Facebook alatt fut, hanem ahogyan a Facebook használja a GIS-től kapott körülbelüli pozíciót.

Az Apple esetén a Find my phone szolgáltatásnál nem világos, csak sejthető, hogy a Macbookokat és iMac-eket hogyan találja meg annyira gyorsan az Apple, de sejthető, hogy a logika lényegében az, ami a mobiloknál, ráadásul a Macbook akkor is folyamatosan figyelheti a BSSID-ket, amikor egyébként altatva van – hiszen például a leveleket is letölti még attól. És nem lehet olyan egyszerűen legyilkolni benne a helymeghatározást, mintha egy értékes nem-Apple laptop lenne, aminél a tolvaj rögtön kigyalulja az oprendszert az esetlegesen rajta lévő helymeghatározó szoftverrel együtt.

Ha valaki valami miatt nem szeretné, hogy a földrajzi pozíciójának nyoma maradjon, annak azt a protokollt tudom javasolni, amit én követek néha: a SIM-kártyát átteszem egy régi butamobilba és nem viszek magammal semmit, amiben egyáltalán van lehetőség a geolocationre. Persze, a mobilszolgáltatóknál megmarad, hogy merre jártam, csak éppenséggel ez egyáltalán nem zavar, hiszen nem valami félelmetes hárombetűs szervezet elől akarok elbújni.

Tehát a geolocationt lehet szeretni, nem szeretni, de alapvetően a felhasználói élményt fokozza, bizonyos alkalmazások működése erre alapul. Használjuk ésszel.

[1] én már a WiW-érában sem illedelmeskedtem, akit nem ismertem meg arc alapján azonnal, nem volt egyértelmű, hogy biztosan az, akinek mondja magát vagy biztosra vettem, hogy értelmes tartalmat nem fog a falra hányni, azonnal elutasítottam a bejelölést, ha ismét jelölt, bónuszként le is tiltottam.
[2] a biztonsági okokból felszerelt kamerák egy része alapvetően nagyon pocsék felvételt készít az arcokról, ez viszont nem jelenti azt, hogy értelmetlen lenne a begyűjtött adat. Amikor például valaki egy bankautomatát berhel, közben nyilván mozog. A nagyon sok, rossz minőségű képkocka alapján pedig már előállítható olyan kép, ami alkalmas a személyazonosításra.
[3] A traceroutinget egyrészt alapvetően nem erre találták ki. OSX-ben és linux shellben a traceroute, Windows parancssor esetén pedig a tracert paranccsal érhető el, de elvégezhető webes felületen is: például ha nem tudjuk, hogy a Budapesti Műszaki Egyetem és valószínűleg annak webszervere melyik városban van, csinálhatunk felé egy nyomkövetést, amiből látszik, hogy a hoszt IP-je, annak „megfordítottja”, azaz reverse-elve az IP hosztnévvé Budapesten van, sokszor a végpont előtti IP-cím jelenti a hasznos információt vagy a hosztnév vagy az alhálózat alapján. Számos esetben viszont igen bonyolult technikákat alkalmaznak azért, hogy a földrajzi hely ne legyen egyértelmű, na meg azért, hogy a terheléselosztás biztosított legyen. Például ha valaki lekérdezi a Youtube.com IP-címét, kijön egy cím, ami az ARIN /*ez a RIPE USA-beli megfelelője*/ szerint Mountain Viewban van, Kaliforniában. Ha viszont lekérdezzük az IP-cím reverse-jét, akkor olyan hosztnevet kapunk, aminek a nevéből sejthető, hogy valójában az a szerver, amivel a böngésző felveszi a kapcsolatot, Budapesten van. Perpill. ezt a címet kaptam: 216.58.209.206, aminek a reverzje ennek feleltethető meg: bud02s22-in-f206.1e100.net. Amúgy a magyar felhasználók Gmail-es levelezését és Google Drive fájljait még csak véletlenül sem Magyarországon tárolja a Google :)

Képek innest: reddit.com, iconbeast.com, neilson.co.za

A bosszúpornó nem jó ötlet. A kutathatóságát korlátozni szintén nem.

Legalábbis szerintem. Lehet, hogy nincs igazam. Igencsak sűrű volt az elmúlt néhány nap internetügyileg - instant felzárkóztató a Wireden itt -, ezek közül az egyik szerintem ami a netes kultúra és cybercrime szempontjából együttesen leginkább elgondolkodtató, hogy a Google úgy változtatta meg a keresőszolgáltatását, hogy az ne nagyon dobjon bosszúpornó oldalakat találatként akkor, ha valaki a revenge porn keresőszóra keres. Ha valaki nincs képben, a Google a találatok felsorolásánál, relevanciájuk meghatározásánál az egyik szempont, amit figyelembe vesz a ranking algoritmusokkal, hogy miután - nagyon-nagyon sok - felhasználó egy adott kifejezésre keresett, utána mire kattintott rá. Nagyon durván egyszerűsített példával, ha nagyon sokan Martin Garrix nevére keresnek rá, majd ezt követően a vele kapcsolatos Wikipedia-szócikkre kattintanak, akkor az a találat be fogja előzni idővel a www.martingarrix.com oldalt, hiszen a felhasználók a Wikipedia-szócikket tartják relevánsabbnak  most ne menjünk bele, hogy persze sokminden mástól is függ.

Szóval ha valaki eddig bosszúpornót keresett, akkor a top találatok közt valóban bosszúpornó oldalakat is talált.

18 év börtönre ítélték nemrég azt a Kevin Bollaer nevű pofát, aki olyan oldalt üzemeltetett, amire bárki beküldhette az exéről vagy más haragosáról készült házipornós képeket. Ja, meg egy olyan oldalt is üzemeltetett, amin pénzt kért az áldozatoktól az adott tartalmak eltávolításáért.

Ha a Google hatalma nagy, akkor érthető, hogy a társadalmi szerepvállalása és felelőssége is legyen az, nemde? Szerintem ez nem kérdés. Viszont! Van egy másik alapelv, ami szerint nem manipulálják művileg azokat a találatokat, amiket az általuk működtetett algoritmusok relevánsnak találtak, ez alól kivételt jelentenek olyan esetek, amikor az algoritmusok hibájából mégsem az adódik releváns találatnak, ami józan ésszel belátva az, ez az ún. SEO-poisoning, más néven spamdexing.

Ilyenkor a durva beavatkozásra nyilván azért van szükség azon túl, hogy a használhatóságot rontja, ha nem nyúlnak bele, mert megvédi a felhasználókat az esetleges, másodlagos veszteségektől, például vírusfertőzésektől, nem-többségi véleményt tükröző, a szólásszabadsággal visszaélő tartalmaktól, de hosszasan lehetne még taglalni ennek az elvi magyarázatát.

A revenge porn kifejezéssel kapcsolatos módosítás viszont egész egyszerűen nem ilyen, igaz, ha a bosszúpornót kereső arcok nem találnak bosszúpornó oldalakat - itt meg tudnék nevezni egy rakás keresőmotort, amivel továbbra is simán! - akkor nyilván a bosszúpornó áldozatait megvédi ezzel a Google. A gondolkodó, de a témában nem tájékozott ember egyik gondolata az lehet, hogy aki volt olyan hülye, hogy hagyta magát egy kiadós bukakee partin fotózni, az meg is érdemli, mi több, majd ebből tanul, ettől nevelődik a nép - ugyanis az esetek többségében nem arról van szó, hogy a képeket ellopják, hanem arról, hogy egy rakás idióta az általa szűknek vélt körnek átküldözgeti ezeket a képeket azzal izmozva, hogy mekkora jó csaja van, a kép meg persze nem parkol végleg még a legjobb barátja mobilján sem, hanem kikerül. Az igazság szempontjából viszont félrevezető lehet ez a logika, hiszen teljesen mindegy, hogy valami kinek a sérelmére történik, sosem hibáztatható a sértett azért, mert valaminek az áldozatává vált, még akkor sem, ha egyébként megelőzhette volna.

Na de akkor mégis mi a jóég a probléma azzal, hogy a Google így moderál? Ugyanaz, ami a még hülyébb Facebook moderációs elveivel, nevezetesen, hogy gyakorlatilag bizonyítékokat semmisít meg, így egy-egy ilyen törvénysértés, na meg az azzal összefüggésbe hozható személyek és egyáltalán maga a jelenség nem lesz kutatható sem a hatóságok, sem pedig a nem hatóságok körében munkálkodó többi kutató számára.

Tegnap nagyon rápörgött a net arra a témára, hogy az USA-ban mindenhol engedélyezett lett a melegházasság*, ennek kapcsán jutott eszembe, hogy Oroszországban pedig nemrég gyakorlatilag kriminalizálták, ehhez képest ismét jóidőre lecsukták Alexander Marcinkevicset, a pofát, aki szervezetten uszított a melegek ellen olyan módon, hogy a mozgalmát amúgy pedofilellenes szervezetnek tüntette fel, de a hülye is látta, hogy nem az.

A 444 egy-másfél éve írt róla egy egészen sokkoló cikket a jelenségről amin a beágyazott Youtube-videókat már nem lehet megnézni - mily' véletlen, szintén a Google tartalompolitikai gyakorlata miatt, amiről most írok. /*a Youtube ugye Google-szolgáltatás*/

Na de hogyan sikerül az Oroszországi Föderáció területén az ottani hatóságoknak mégis töménytelen mennyiségű bizonyítékot összegyűjteni - mi több, ezt megteheti bármelyik olvasó is, már ha bírja a gyomra - a terror ezen formájáról és nagyon-nagyon sok más bűncselekménnyel kapcsolatban is? Nos, úgy, hogy az "orosz facebookon" a VKontakte-ként is ismert vk.com -on, ami legalább harmad akkora, mint a Facebook, de talán volt idő, amikor nagyobb is volt annál, semmilyen, még egyszer semmilyen vagy szinte semmilyen tartalmat nem távolítanak el, ha mégis, akkor sok idő után, viszont például a spammerekket és a kamu felhasználókat ők is irtják, ahogy tudják. Ha viszont azokat a videókat, amiben embereket aláznak, vertek, lincseltek rommá, a Google-höz és a Facebook-hoz hasonló puhapöcs módon azonnal törölték volna néhány bejelentés után, azzal egyrészt bizonyítékok tömegét tüntették volna el, mi több, esélytelen lett volna feltérképezni a lájkok és kommentek alapján azokat a felhasználókat, akik ilyen-olyan radikalizálódó csoporthoz tartoznak és ez a lényeg!

Ha valaki csinálna egy olyan oldalt, amin mondjuk én látszódom professzionális módon photoshoppolva mondjuk thai kurvákkal, akiknek mondjuk az arcára ráengedtem néhány patront - ilyen rajzolásához amúgy tutorial is van :) - és az oldalon fel lenne tüntetve, szó szerint, hogy "bardóczi ákos, meg fogunk gyilkolni", akkor hülye lennék lemoderáltatni, akár Facebook-oldalról, akár más felületről van szó, hiszen akkor aztán biztos, hogy nem lehetne megtalálni az elkövetőt, míg ha a tartalom fennmarad, akkor teljesen más a helyzet.

Persze lehet, hogy tévedek. De nagyon úgy fest, hogy a keresőóriás olyan döntést hozott, amit rövid- és középtávon üdvözölnek a jogvédő szervezetek, na meg úgy mindenki, ők pedig elbújhatnak a társadalmi szerepvállalás mögé. Megjegyzem, számos eszköz van még, amivel a már törölt/nem kereshető tartalmak is kutathatóak, viszont a Google mégiscsak egy olyan hatékony eszköz, amit sokszor körülményes mellőzni.

Alapvetően a cyberbullying megelőzésére mindenkinek, különösen pedagógusoknak és szülőknek a Safer Internet Hungary webhelyét ajánlom.  

*globális emberjogi problémákhoz, biztonságpolitikához nem értek behatóan, viszont annyira leszarom az USA-beli melegházasságot, hogy el se tudjátok képzelni, lévén, hogy globális téren, de még az USA-ban is az emberkereskedelem, fegyverkereskedelem, gyermekprostítúció, pedoporesz és még sokminden más, gyakorlatilag minden fajsúlyosabb emberi jogi probléma, mint hogy az egyik bácsi a másik bácsival házasodhat-e. Viszont nyert a cukiságfaktor, hiába, hogy ennek relatív kicsi a jelentősége egy olyan államban, ahol eddig sem volt túl necc melegnek lenni a világ számos országához képest. Azzal meg mégsem lehetne rommá hype-olni a világot, hogy sikerült felszámolni mondjuk a szervkereskedelmet, egyszerűen mert maga a téma annyira negatív érzeteket kelt a tömegben, míg az LMBTQIA-jogok nem - ebben a mozaikszóban amúgy az a legnevetségesebb, hogy évről évre hosszabb. Vigyázat! Lehet, hogy tévedek. De kicsit analóg a helyzet ahhoz, amikor egy kibszott állatkert jóval több támogatást kap civilektől, mint egy gyermekklinika, mert ház kiskecskéket simogatni, meg aranyhörcsögöket mégiscsak cukibb, mint lesoványodott gyerekekre gondolni, akik nem sokkal korábban még egészségesek voltak, a kórházban pedig beszerezhetőek lennének kedvezőbb mellékhatásprofilú terápiás készítmények, kialakíthatóak lennének sokkal barátságosabb kórtermek, csak éppen nincs rá pénz.

képek forrása: feminspire.com, kidshealth.org, worldwideweber2014.wordpress.com

Körülbelül két héttel ezelőtt tett közzé a Symantec egy figyelmeztetést az otthoni felhasználók részére egy videóval együtt, amiben pazar módon elmagyarázzák, hogy hogyan lopható, "törhető" egy Google Account  mindössze az áldozat mobilszámának ismeretében. /*azaz hogyan férhető hozzá a Gmail mellett az áldozat összes kapcsolódó Google-szolgáltatáshoz való hozzáférése is a jelszó ismerete nélkül*/

A módszer lényege nagyon röviden:

1. a támadó kattint az elfelejtett jelszóra a Google bejelentkező felületén, megadja az áldozat címét, majd kiválasztja a jelszóhelyreállítás módjainál, hogy SMS-tokent kér a visszaállításhoz. Ez ugye az a rövidke számsor, ami az áldozat mobiljára megérkezik, majd a begépelésével új jelszó állítható be.
2. Az áldozat persze azonnal figyelmeztetést kap, hogy valaki jelszóhelyreállítást kért a nevében és persze magát a tokent /*vegyük figyelembe a pszichés hatást is!*/, ilyennel bizonyára már többen találkoztatok Ti is korábban. Valami ilyesmire kell gondolni:

"Your account was logged into from a new browser or device. Review the login: https://webhely.tld/token_helye"

"Your account was recently logged into from Safari on Windows."

"Facebook Password reset code: [öt-hat számjegyű szám] Or reset your password here: http://fb.com/l/token_helye" [1]

"Access data for your account has been ordered by you personally or by someone else. Your temporary password: [jelszó helye]"

3. És itt jön a csavar, a támadó egy, az áldozat által nem ismert mobilszámról SMS-t küld, ami nagyban hasonlít a webszolgáltatások előbb idézett rendszerüzeneteihez, majd hozzáteszi, hogy a fiókja biztonságosabbá tétele érdekében SMS-ben küldje el válaszként a tokent.

4. Az áldozat kellően beparázik ahhoz, hogy ne vegye észre azt, hogy a válasz SMS-t egy közönséges mobilszámra küldi, ami kézbesítődik is a támadó mobiljára, aki a böngésző előtt vigyorogva szépen bekalapálja a tokent, új jelszót állít be és már el is lopta a fiókot, az áldozat legfeljebb akkor veszi észre, hogy valami nagyon nem stimmel, amikor legközelebb próbál belépni, de akkor már valóban új jelszót kell kérnie, hiszen nyilván nem tudja, hogy mit adott meg a támadó. Esetleg a támadó egy olyan kamu SMS-t küld, amiben egy kamu ideiglenes jelszó van és azt állíttatja be a felhasználóval olyan körítéssel, hogy ne változtassa meg pár napig :)

Videó, hogy szemléletes legyen:

Hozzáteszem, hogy a Symantec a Gmail-en mutatja be a módszert, de vegyük észre, hogy gyakorlatilag bármilyen webalkalmazásnál bevethető a támadás, ideértve a Facebookot, LinkedIN-t, Evernote-ot, stb. aminél a fiókhoz hozzá van rendelve mobilszám.

Adja magát a kérdés, hogy a támadás kivédésére mi jelent megoldást és mi nem?

Első laikus gondolat, ami nemhogy nem jelent megoldást, utalva a korábbi posztjaimra, nagyon veszélyesen hülye ötlet, a fiók még könnyebben ellopható:
- ha nincs beállítva mobilszám - hiszen így akkor sem tud a szolgáltatás azonosítani, amikor a legitim felhasználónak lenne rá szüksége
- ha olyan mobilszám van hozzárendelve, amit más nem ismerhet meg - ne vicceskedjünk már, ilyen egész egyszerűen nincs, soha nem is lesz, még olyan életszerűtlen esetben sem, amikor valaki fene nagy biztonságtudatosságában direkt a webszolgáltatásokhoz vesz egy SIM kártyát, amit a mobilszolgáltató titokban tart, a felhasználó a számot nem árulja el senkinek. Egészen egyszerűen nincs olyan, hogy "beszerezhetetlen mobilszám".

Akkor mi jelent megoldást? Egyszerűen az, ha a felhasználó figyelmes, és semmilyen webes szolgáltatásból érkező SMS-re nem válaszol, mivel ilyet normális webes szolgáltatás szinte sosem kér, néhány nagyon ritka esetet leszámítva!

Egyébként a videó megjelenése óta gondolkoztam rajta, hogy ezt megírjam-e vagy sem, több szempontból. Egyrészt egész egyszerűen azért, mert ez a blog nem news outlet, nem posztolom újra, amit más kitalált, esetleg csak abban az esetben, ha ahhoz eléggé sokmindent hozzá tudok tenni. Másrészt azért, mert ez a tweak nekem konkrétan annyira nem új, hogy már ezer éve találkoztam vele, ugyanakkor felvet egy fogós etikai kérdést. Amikor valaki talál egy programhibát, ami esetlegesen kihasználható, majd azonnal közzéteszi, ezzel kényszerítve a szoftverrendszer fejlesztőjét a minél gyorsabb javításra, full disclosure-nek nevezzük, megoszlanak a vélemények azzal kapcsolatban, hogy ez mennyire jó gyakorlat. Nos, teoretikai szempontból az olyan módszerrel kapcsolatban is tehető közzé full disclosure, mint amilyen ez, azaz egy kevéssé ismert social hack ismertetése, viszont remek kérdés, hogy erre a szolgáltatók hogyan reagálnak, persze legnagyobb valószínűséggel sehogy, ugyanakkor alighanem lesznek olyan pöcsök, akik megtalálják mondjuk ezen a blogon, aztán fel is használják, mivel a téma iránti érdeklődés finoman fogalmazva is intenzív – ja, az egy tálca sört még tartom!  

Ugyanakkor egyrészt a blogolás olyan értelemben nem felelősségteljes műfaj, hogy agyalnom kellene annak a közvetett következményein, amit leírok,  az is előfordulhat, hogy aki biztonságtudatossági tréningeket tart, esetleg itt találkozik a módszerrel először, aztán be tudja építeni a tananyagba, hogy aztán a felhasználók erre a támadási formára is fel legyenek készítve.

Azoknak írom, akik erre a posztra keresőn keresztül találtak rá törési gyorstalpaló után kutatva és primitív kíváncsiskodó pöcsként nem értik meg, hogy a barát, barátnő, főnök, alkalmazott, feleség fiókjához való illetéktelen hozzáférés milyen súlyosságú dolog, azt tudom mondani, hogy nyugodtan próbálják ki, mivel az előzetes megfelelő anonimizáláshoz, na meg mondjuk úgy, laborkörülmények beállításához elég eszük úgysincs, a web giantek meg nem hülyék, jó esetben szokatlan aktivitás esetén úgyis meggátolják a támadást, bónuszként azonosítják a támadót, de úgy, hogy őt rúgják ki végleg, szóval hajrá!  

Sokszor nem értik, amikor arról beszélek, hogy alapvetően mindenféle jelszóemlékeztető, jelszóhelyreállító feature rossz, pláne, ami nem igényel emberi beavatkozást, akármilyen szofisztikáltnak tűnik is. Ugyanakkor erre nyilván szükség van tömegszolgáltatások esetén, hiszen semmilyen szolgáltatás, amelyik közvetlenül nem kér előfizetési díjat a használatáért, egyszerűen nem engedheti meg magának egy harceddzett ügyfélszolgálat fenntartását [2], ugyanakkor azt sem, hogy a felhasználóik semmilyen módon ne férhessenek hozzá a fiókjukhoz például amikor valóban elfelejtették a jelszavukat.

Vegyük észre, hogy a netbank-rendszerek már nem ilyen hülyék, nem lehet beállítani új jelszót csak úgy, néhány banknál még telebankon keresztül sem, ahogy azt is, hogy itt - az én definícióm szerint - ismétcsak szó sincs törésről, csak egy átlagosan kifinomult trükkről, ami az emberi tudat egy sajátosságát használja ki, - ami ugye esetfüggően bug vagy feature :) -  nem pedig egy szoftveres hibát!  

[1] korábban a FB-ban volt egy olyan jelszóhelyreállító metódus, amiben a mobilra érkező 5 számjegyű számmal lehetett új jelszót beállítani. Nos, ekkor megérkezett egy token SMS-ben, amit a felhasználónak meg kellett adnia, ha pedig elírta, akkor a Facebook figyelmeztette, hogy helytelen, ezért adja meg újra, VISZONT nem korlátozta a próbálkozások számát! #facepalm!!! Tehát akár automatizáltan is bárki bárki másnak a fiókján végigpróbálgathatta a maximálisan 99999 lehetséges ismétléses permutációt - átlagosan ebből ugye tehát mindössze ötvenezer próbálkozás is elegendő volt, majd ha talált, beengedte a szolgáltatás a támadót. A módszer persze azóta már nem működik és a próbálkozások számán túl még nagyon sok mást is figyelnek a normális webszolgáltatások annak kiküszöbölése érdekében, hogy a jelszót valóban a fiók tulajdonosa tudja csak átírni, aztán ha támadást tapasztal, ahogy írtam, szépen szögre akasztja a támadót.

[2] Ami a szolgáltatások supportját illeti, nos, igen, kivétel minden alól van. Ortó nagy botrány volt belőle, amikor kiderült, hogy jelszóvisszaállításkor az Apple telefonos supportja az új jelszó beállításához csak a fióktulajdonos postai címét kérte el meg talán még egy adatot, amit bárki megtudhat, a gyakorlaton mégis csak akkor változtattak, amikor már jópár Apple-fiókot feltörtek. Másrészt bizonyos esetekben a Google csak akkor engedélyezi az új jelszó beállítását, ha a fiók tulajdonosa befizet 1-3 USD-t, ekkor egy alkalmazott is megnézi a felhasználó korábbi aktivitását, majd valamilyen belső policy alapján eldönti, hogy a kapcsolattartói email-címre küld-e átmeneti jelszót. Azt viszont már nem ellenőrzik, hogy a bankkártya, amivel ezt az összeget valaki fizeti, annak a nevén van-e, akinek a nevén regisztrálva van a fiók :)

A legdöbbenetesebb tapasztalatom konkrétan személyes és egy óriásszolgáltatóhoz tartozik, mivel nem tudom, hogy a módszer működik-e még, nem írom meg, hogy melyikről van szó. Történt, hogy egy szolgáltatásba még kiskoromban regisztráltam, nem használtam évekig, amikor pedig ismét léptem volna be, a jelszó nem stimmelt. Gondoltam, semmi probléma, ott az account recovery, igen ám, de a hozzá tartozó email cím már nem élt, már a domain sem, így oda nem tudtam jelszóhelyreállítót kérni. Ahogy az ott szépen le volt írva, felvettem a kapcsolatot a supporttal, megírtam nekik, hogy mi az ábra, viszont lévén, hogy ilyet bárki írhat, feltüntettem azokat az adatokat, amiket csak én tudhatok, nevezetesen, hogy évekkel korábban másodperc pontossággal mikor regisztráltam /*megvolt az ezzel kapcsolatos email a benne lévő aktiváló kóddal együtt*/, melyik netszolgáltatót használtam akkor. Olyan válasz érkezett, hogy azt hittem, nem hiszek a szememnek: a supportos tag ragaszkodott hozzá, hogy arról az email címről írjak nekik, amelyikkel regisztráltam, holott pont azért írtam nekik, mert a postafiók már nem létezett. Aztán küldtem nekik még néhány adatot, ami nyilván megvolt nekik is, rajtuk kívül csak én tudhatok róla, de a tag ragaszkodott a belső policyhoz, aztán ellevelezgettünk pár napig. Végén gondoltam, hogy ez már tuti bukó, nincs vesztenivalóm, aztán lezavartam neki a legcifrább kurvaanyázást, amit csak tudtam, ékes angolsággal viszont - itt jön a lényeg - az emailem fejlécét úgy változtattam meg, hogy annak a feladó mezőjében az általuk kért, a már nem létező címem szerepeljen, válaszcímként pedig olyan, ami létezik és azt is megírtam nekik, hogy egy több tízmilliós szolgáltatásban ez a gyakorlat nevetséges, hiszen ilyen alapon bárki lenyúlhatja más fiókját egyszerűen a supportnak küldött email fejlécének megmókolásával. Nem hiszitek el, hogy mi történt: a supportos azonnal küldött jelszót /*hiszen formálisan arról a címről írtam nekik, amelyikhez tartozott az account!*/ és visszakaptam a hozzáférést a szolgáltatáshoz.

képek: geekpause.com, hackpla.net, mikeyanderson.com

"Hülye ámerikaiak", mobiltarifák és gazdaságpszichológia. Mi bennük a közös?

Ma beszabadultam a könyvesboltba, ahol be is zsákoltam négy könyvet, alapvetően csak egy  gazdaságpszichológia és döntéselmélet kötetet szerettem volna venni, de csak az egyik volt elérhető ezért - hát nem is én lennék - választottam még három könyvet, amit amúgy eszembe sem volt megvenni odafelé menet.

Már majdnem a pénztárnál voltam, amikor eszembe jutott, hogy a vásárlások után az adott üzlet olyan kuponokat ad, amik 5000 HUF fölötti vásárlás esetén 500 HUF, 7000 HUF fölötti vásárlás esetén pedig 1000 HUF kedvezményt adnak. Hoppácska, drágább könyvek esetén nyilván költséghatékony megjátszani azt a stratégiát, hogy veszek valamilyen árban könyvet egy már meglévő kupon felhasználásával, ami után ugye kapok egy új kupont, majd külön veszem meg még azokat a könyveket, amiket olcsóbban kapok meg a frissen kapott kuponnal.

Hogy ne kelljen szegényeket A-nak, B-nek, C-nek meg D-nek csúfolnom, inkább nevén nevezem:

Gazdaságpszichológia - 3990 HUF

A Big Data ökoszisztémája - 3500 HUF

A magyar beszéd - 1000 HUF

Retorika - 4500 HUF

Tehát a kérdés, hogy milyen sorrendben érdemes összerakni az 1. és a 2. külön fizetett párost - esetkeg n-est - azért, hogy a legtöbbet spóroljak meg? Az eldöntési probléma pedig lebontható egy egyszerű matematikai feladatra, amit nem tudtam fejben kimatekozni!

Egyébként is siettem, a könyveket félretetettem, ezért inkább hazaballagtam, aztán persze sikerült összerakni a legnagyobb megtakarítást jelentő kombót, a feladaton pedig csavart még egyet az, hogy a törzskártyám után 10% kedvezményt kapok, a kupon pedig csak akkor érvényesíthető más kedvezménnyel összevonva, ha a törzskártyával fizetett ár még mindig 5000 HUF illetve 7000 HUF fölött lenne.

Vegyük észre, hogy a legmegfelelőbb vásárlási sorrend kiszámolása közel sem olyan triviális, mint amilyennek tűnik elsőre.

Nos, ha általánosan jellemző lenne a középiskolákra, hogy a tanár egy-egy ilyen feladattal szórakoztatja a lurkókat, na meg egyáltalán, a matematika sokkal inkább a mindennapi életben is használható gazdasági alkalmazásokra lenne kihegyezve, alighanem többen szeretnék és többen is értenék.

Aki ismer, tudja rólam, hogy mindig is utáltam, amikor azt hallottam, hogy az ámerikaiak milyen hülyék, igazából aki ilyet mond, előttem kiállította magáról a szegénységi bizonyítványt. Ugyanis azon túl, hogy pl. a legtöbb Nobel-díjast az USA adja a világnak, az elemi oktatás is a legfejlettebb, ugyanis lehet, hogy első blikkre gagyibb a tananyag a poroszos magyarhoz képest, mire valaki ott elvégzi az általános iskolát vagy leérettségizik, sokkal nagyobb eséllyel tudja is alkalmazni azt, amit megtanult, az már egy más kérdéskör, hogy ez az ottani fogyasztási szokásokra és árképzésre hogyan hat ki.
Az, hogy a magyar középiskolás korosztály nagy átlaga* sokkal hülyébb az amerikaitól, rendszeresen igazolódik a PISA-teszteken. 

Nem emlékszem egészen pontosan, de emlékeim szerint a magyar 10-11. évfolyamosok egyik feladatában az volt a kérdés, hogy adott egy r(1) sugarú pizza x forintért valamint egy r(2) sugarú pizza x forintért, melyiket érdemesebb megvásárolni /*feltételezve, hogy rohadt éhesek vagyunk és biztosan meg is esszük*/. Nos, ebben a feladatban két laza körterületet kellett volna számolni, aztán meg felállítani egy aránypárt, amin a magyar diákok elképesztően nagy része elvérzett!

Nos, ha valaki nem járt az USA-ban semmilyen iskolába, de érdekli a téma, ajánlom, hogy hasonlítson össze két matek könyvet, lehet az akár középiskolás akár felsőbb matematika is. Egy-egy témakör általános didaktikai sémája a magyar könyvben: picit bevezet, tételt mond, bizonyít, aprólékosan még egy kicsit foglalkozik a részletekkel, aztán jó esetben van apróbetűs rész, amiből vagy kiderül vagy sem, hogy egyébként a megtanult összefüggést mire is lehet alkalmazni. Lehet, hogy van más típusú is, olyan ez, mint a termodinamikai főtételek: bizonyítani nem tudom, de kivételt még nem láttam alóla. A didaktikai felépítés azokban az amerikai felsőbb matematika könyvekben, amiket használtam: felvet egy konkrét problémát, amit körüljár olyan összefüggéseken keresztül, amit az olvasó akkorra már ismer, amikor pedig ez megvolt, az új összefüggés szinte adja magát, ekkor amolyan fináléként jön a tétel kimondása és a bizonyítás.

*úgy fogalmaztam, hogy "nagy átlaga"? Bocsánat, nem szeretnél olyan türhő lenni, mint amikor valamivel kapcsolatban olyan hírt lehet olvasni, hogy egy mérés az első mért tényezővel kapcsolatban átlagosan ennyi, a másik mért tényezővel kapcsolatban pedig annyi, pont azért, mert az átlag /*itt: számtani közép*/ a legtöbb esetben nem mond semmit, másrészt súlyosan félrevezető. Hogy a középiskolások matekos skilljeinél maradjunk, gyakran elhangzik az, hogy a magyar oktatás ilyen téren milyen piszok erős, ami igazából sosem volt igaz és ezt azzal próbálják alátámasztani, hogy Magyarország hány diákot küldött a matematika diákolimpiára és ott milyen szép helyezéseket értek el, ami viszont kétségtelenül igaz. Viszont nagyon fontos, hogy Magyarország ebben - mint nagyon sok más téren is - a szélsőségek hazája. Igaz, hogy a népesség számához képest tényleg sok a diákolimpikon, viszont tömegjelenség, hogy nagyon sok középiskolából gyakorlatilag full hülyén kerülnek ki a diákok, ezen a helyzeten pedig csak ront az az általánosan elfogadott mentalitás, hogy "hülye vagyok a matekhoz, de nem szégyenlem". Azt pedig nyilván nem várjuk, hogy amikor kijön egy-egy újabb PISA report, - aminek amúgy szerintem az újságírók jó részének még a végkövetkeztetését sem tudja értelmezni - a cikkekben az átlagok mellett megjelennek olyan finomságok, mint az értékek szórása, na meg mediánja amiből még mindig igen merész lenne bármiféle trendet is megállapítani, de legalább kevésbé lenne félrevezető.

Egyébként ami csúcsra járatva mutatja, hogy nagyon sokan mennyire ostobán döntenek matematikai szempontból, nem más, mint a magyar mobilcégek promócióinak hatása. Óriás betűvel tolják az ügyfél arcába, hogy mennyi a percdíj, ami mondjuk csak hálózaton belül, adott időszakban érvényes, ez a first impression hatás pedig már bőven elég ahhoz, hogy csórikám írja is alá a hűségszerződést ezer évre és még ő gondolja majd úgy, hogy jól járt.

Praktikus tanácsa azoknak, akik tarifacsomagot választanak: ha nincs meg több hónapra visszamenőleg az, hogy korábban milyen hálózatok irányába hány percet telefonáltál /*így az nem tölthető pl. Excelbe*/, egyszerűen vegyük alapul a különböző mobilszolgálgatók piaci részesedését, ami nagyon nagyjából mutatja, hogy valószínűleg milyen gyakorisággal fogod hívni a vérgőzösen vörös, a bugyirózsaszín, na meg a bilikék mobilhálózat ügyfeleit.

Ehhez hozzárendelhetők súlyok, most egyszerűsítve nem az ügyfelek száma, hanem a piaci részesedés alapján, azaz
Bugyirózsaszín: 46,6%-ból adódóan 0,466
Vörös: 22,5%, ebből adódóan 0,225
Bilikék: 30,9, ebből adódóan 0,309

Figyelmen kívül kell hagyni azt, hogy reggel 8 előtt és este 8 után mennyi a percdíj, mivel 20:00-tól 8:00-ig nem nagyon telefonálunk, szóval marad a 12 órás intervallum, de az egyszerűség kedvéért képzeljünk el egy olyan tarifacsomagot, amiben a percdíj független a hívás idejétől.

Ugyan már a magyar mobilszolgáltatók árképzése olyan irányba tart, ami próbálja konszolidálni azt, hogy milyen irányba telefonálunk, a Bugyirózsaszín szolgáltató sokáig csúcstartó volt abban, hogy hálózaton belül kedvező volt a percdíj, hálózaton kívül telefonálni pedig olyan méregdrága, mint egy adag nyílméregbéka-turmix ciánkálival.

Tegyük fel, hogy a Hülyevagyokmatekból díjcsomag hálózaton belül 15 HUF-os percdíjat kínál, hálózaton kívül pedig 30 forintosat. A piaci részesedésre alapozott adatok alapján tehát a hívásaink 46,6%-a fog 15 forintos percdíjjal számlázódni, míg a fennmaradó 100-46,6=53,3%-a viszont piszok magas, 30 forintos percdíjjal! Ez mondjuk havi 200 perc beszélgetéssel számolva (200x0.466x15)+(200x0.533x30)=1398+3198=4596 forintos telefonszámlát jelent majd átlagosan. Ezt eljátsszuk mondjuk a többi tarifacsomaggal is, aztán kiderül, hogy milyen telefonszámla várható végülis nem percdíjat fizetünk majd, hanem telefonszámlát.

Az egyszerűsített példában feltételeztem, hogy nem akkor és olyan irányba telefonálunk, amikor olcsó, hanem, amikor tényleg telefonálni szeretnénk [ez ugye nappal nagyjából véletlenszerű] illetve jó tudni minél több időre visszamenőleg, hogy addig tipikusan hány percet telefonáltunk havonta és milyen irányokba. Ha egy tarifacsomagnál számít a hívás ideje is, ahogy emlegettem, az életszerű 12 órát vesszük figyelembe, ez hasonló logika mentén kialakított szorzó lesz, mint a hívás irányából számított érték. Ezen kívül a szolgáltatók imádnak trükközni már kábé mindennel, amit észben kell tartani, hogy a telefonálási szokásaink nem változnak attól jelentősen, mert a telefonálás össz-díja más, hacsak nem vagyunk irdatlanul zsugoriak.

Nemrég írtam, hogy Melissa McCarthy gyakorlatilag megcsinálta minden idők legjobb hekkerfilmjét, amit ráadásul nem is hekkerfilmnek szántak eredetileg, hanem vígjátéknak, de mindkettőnek kitűnő. Erre kijön minden idők legjobb kémfilmjével!

A tavalyelőtt megjelent Személyiségtolvaj egy olyan nőről szól, aki önmagát másnak kiadva más bankkártyáját használja mindenre, amikor pedig már teljesen kisemmmizte az áldozatot, ellopja valaki más személyiségét és így éli életét, egészen addig amíg... A sztorit persze nem spoilerezem le, viszont ami ebből a szempontból fontos, hogy nagyon jól megmutatja, hogy a professzionális csalók hogyan manipulálják a környezetüket, ha pedig ötletességről van szó, a bűvészkedés vagy a social engineering gyakorlatilag ugyanezeket a módszereket alkalmazza, természetesen a cél más.
Alighanem a film készítői közül senki nem tud róla, hogy véletlenül sikerült egy annyira realisztikus filmet készíteniük - leszámítva persze a vígjátékhoz szükséges fordulatokat - hogy a kívülálló azért röhög rajta, mert úgy gondolja, hogy ilyen egyszerűen nincs. Nos, ellentétben mondjuk azokkal az idióta "hekkerfilmekkel", amik vagy megtörtént eseten alapultak vagy akciófilmként nézettséget akartak generálni,  a film alapján az információbiztonság és a netes bűnözés világáról egy totálisan torz kép alakul ki a nézők fejében, ahogy erre utaltam is a múltkori cikkem elején.

Amúgy nem nagyon néztem ilyen-olyan hekkerfilmeket, meg kémfilmeket sem, mert egyszerűen blődségnek tartom mindet, az más kérdés, hogy az egyik látványos, a másik pedig kevésbé, függően attól, hogy mennyit robbantanak, lőnek, zuhannak benne, az pedig már-már kötelező elem, hogy a főhős mindig levarrja a legjobb bulát körülbelül a film felénél, aki általában nem sokkal később meghal.

Teljesen mindegy, hogy a James Bond- vagy Mission Impossible-franchise melyik konzerv darabjáról van szó, lehet, hogy látványosak ugyan, viszont ha olyan nézi, akinek már volt a kezébe biztonságpolitika vagy kriminalisztika könyv, esetleg mindkettő, alighanem végig fogja szánakozni az egészet: ugyanis a kémfilmekkel nem az a baj, hogy totál életszerűtlen elemekkel vannak tele - és itt most nem csak a repülőgépszárnyon ugrálásra gondolok - hanem maga a sztori is blőd, gyermekded, ami még mindig nem lenne baj, a baj már az, hogy ezek a filmek komolyan veszik magukat olyan téren is, ahol nagyon nem szabadna. Ez az, ami rém szánalmassá teszi mindet annak a nézőnek a szemében, aki akár csak egy kis ismerettel is rendelkezik például a nemzetközi terrorizmus természetéről. Szánalmas, de még egyszer: attól látványos, így valamelyest szórakoztató még lehet!

Idén mozikba került A kém, egész egyszerűen zseniális, életem öt legjobb filmjének egyike. Pont azért, mert összeszedi az összes megunhatatlan kémfilmbe illő elemet, maga a sztori semmivel sem bugyutább, mint bármelyik kémfilm sztorija, sok idő után látok már olyan vígjátékot, amelyik nem csak a hányás-fingás-böfögés háromszöggel tudja hozni a humorból adódó szórakoztatóértéket, hanem a a jobbnál jobb szóviccekkel is, ami sajnos egyre ritkább és ami a legfontosabb: a film nem is akarja komolyan venni magát.

Azt tudnám írni, hogy az én értelmezésem szerint A kém a legjobb kémfilm, amit valaha is láttam, mivel az én értelmezésemben görbe tükröt állít a többi kémfilm elé, ugyan nem szándékosan.

Egyébként a klasszikus hekkeres, kémes, helyszínelős, nyomozós filmek töretlen népszerűségét egyszerűen az adja, hogy a nagyközönség számára az információbiztonsággal foglalkozók, titkosügynökök [normális magyar terminussal: fedett tisztek vagy fedett nyomozók], na meg a kriminalisztikával foglalkozók tevékenysége a legködösebb, ami meg ugye olyan titokzatos, akár csak témájában, az alapvetően vonzó. Ennek oka többek közt, hogy egy-egy biztonságpolitikai esemény vagy hekkertámadás, konkrét leírása gyakorlatilag sosem kerül a sajtóba, mivel az olvasók egyrészt nem értenék, másrészt a többséget nyilván nem érdekelné olyan mélységben. Az ember fia pedig általában nem Wikileaksen scrollol órákig, hanem inkább mondjuk a 9GAG-en, személyes tapasztalatom szerint aki egy rakás Wikileaks dokumentumot átnyálazott, nagyon gyakran egészen egyszerűen félreértelmezi, ráadásul meg lesz róla győződve, hogy ő aztán már ért hozzá, mégpedig a legjobban és ember legyen a talpán, aki meggyőzi róla, hogy téved. Itt most nem az átlag konteós arcokra gondolok, hanem arra a jelenségre, amiben sajnos néhány tényfeltáró újságíró is belefut.

Ha pedig az ilyen misztikusnak tartott témáról valaki konkrétan dokumentumfilmet szeretne készíteni, abból rendszerint valami nagy rakás szar jön ki - többek közt pont azért, mert túlságosan utána kellene kutatni, ami elmarad. Ahogy szintén nemrég írtam róla, a Snowdent középpontba állító, önmagát halálosan komolyan vevő Citizenfour dokumentumfilm amellett, hogy védhetetlenül pocsék, még káros is, mivel tovább torzítja az emberek fejében élő képet a titkosszolgálatok működéséről, a terrorelhárításról /*pontosabban arról nem, mivel egy büdös szó nincs róla az egész filmben, pedig enélkül az egész értelmetlen, hiszen az USA tömeges megfigyelési gyakorlatához a terrorfenyegetés adta a jogalapot*/. Igazából annyira rossz film, hogy komolyan, még az NSA is rendezhette volna /*a film utómunkáin keresztül, a filmes staffba beépült fedett ügynökökön keresztül*/ azért, hogy még ködösebb legyen a kép az emberek fejében, ugyanakkor kevésbé baszkurálják őket a civilek. Ez viszont eléggé valószínűtlen, valószínűbb a Citizenfour készítői tényleg ennyire idióták és elfogultak és az én szememben leplezve, de csúcsra járatták a bulvárfaktort, súlyosbítva az atomnagy komolykodással.

Igazából ha valaki tényleg szeretne valami normális képet kapni arról, hogy hogyan is dolgoznak azokban a szakmákban, amik a legkevésbé vannak az orrunk előtt, elsődlegesen a Schneier a biztonságról című, magyar nyelven is megjelent könyvet ajánlanám, na meg persze magát a Schneier on Security blogot Ha könyvekről van szó, több, egészen jó biztonságpolitikával foglalkozó kötet is kapható a magyar könyvpiacon, ami pedig kellő mélységben foglalkozik kriminalisztikával*, nincs ugyan piaci forgalomban, viszont nem beszerezhetetlen.

*nagyon gyakran keverik a kriminalisztika és a kriminológia fogalmát. A kriminológia egyszerűsítve a bűnözés szociológiájával foglalkozik, a kriminalisztika pedig, mondjuk úgy maga a nyomozástan.

Végül egy videó, amit ma délelőtt loptam ki a Szakszolgálat Bég utcai épületéből, ahova úgy jutottam be, hogy a portás bácsik pont nem figyeltek, mivel elbújtak rágyújtani  :)

Ha traumatiológus vagy, feltétlenül dobj egy egymondatos véleményt a Vészhelyzetről, nyomozóként a CSI-ről, igaz, egyikből sem láttam soha egy teljes részt sem, de komolyan rejtély számomra, hogy melyik lehet a bárgyúbb, még ha nem is éri el az X-Akták szintet!