Te is lehetsz igazságügyi informatikus?

igazsagugyi-informatikaMeglepő, de könnyen lehet, hogy igen, csak éppen nem tudsz róla. Ebben a posztban elmagyarázzuk, hogy bizonyos esetekben például egy büntetőeljárás folyamán a nyomozati szakaszban a rendőrség, az ügyészség, a vádemelést követően pedig a bíróság egy-egy szakkérdés megválaszolására nem olyan igazságügyi szakértőt kér fel, aki ezt a tevékenységet hivatásszerűen gyakorolja, hanem egy olyan civilt, aki esetleg az igazságszolgáltatás működéséről annyit tud, hogy a rendőrautón van villogó, a bíró talárban jár, az amerikai filmekben pedig kalapáccsal csapkod, amikor csendet kér a tárgyalóteremben. Hogyan adhat olyan szakvéleményt egy civil, ami esetleg nagyon komoly bizonyító erővel bír?

Először is érdemes átfutni, hogy ki járhat el szakértőként, és mikor alkalmazzák  őt egyáltalán? A törvény szerint:

eseti szakértő: olyan – az eljárásban megállapítandó vagy megítélendő jelentős tény vagy egyéb körülmény megállapításához vagy megítéléséhez – megfelelő szakértelemmel rendelkező természetes vagy jogi személy, aki nem igazságügyi szakértő; valamint olyan igazságügyi szakértő, aki az igazságügyi szakértői szakterületekről, valamint az azokhoz kapcsolódó képesítési és egyéb szakmai feltételekről szóló rendeletben meg nem határozott szakterületen ad szakvéleményt,

(4) Kivételesen az igazságügyi szakértői tevékenység ellátására megfelelő szakértelemmel rendelkező eseti szakértő is igénybe vehető, ha

a) az adott szakterületen nincs bejegyzett igazságügyi szakértő,

b) az adott szakterületen – időszakos hiány vagy egyéb szakmai ok miatti hiány okán – a bejegyzett igazságügyi szakértők egyike sem tud eleget tenni a kirendelésnek, vagy

c) az adott szakterület nem szerepel a miniszter rendeletében felsorolt szakterületek között.

Nagyon durván leegyszerűsítve abban az esetben, ha például a rendőrség, ügyészség vagy a bíróság egy szükséges tény megállapításához nem rendelkezik megfelelő szaktudással, olyan személyt kell bevonni az eljárásba, akinek ez a tudása megvan.

Magyarországon igazságügyi szakértői feladatot igazságügyi szakértőként, szakértőjelöltként, eseti szakértőként vagy szakkonzultánsként lehet végezni. A hivatásos igazságügyi szakértővé válásnak meglehetősen szigorú feltételei vannak, amivel most nem foglalkozunk hosszan.

Azt viszont érdemes megjegyezni, hogy a tevékenységük egészen elképesztően szerteágazó lehet. Igazságügyi orvosszakértőről már mindenki hallott, de gondoltad volna, hogy szükségessé válhat megállapítani, hogy a szemtanúk mennyire emlékezhettek pontosan egy eseményre? Vagy éppen egy angolul beszélő gyanúsítottnak, akiről nem tudni semmit, mi lehet az anyanyelve a beszéde alapján?

A hírekből tudni lehet, hogy egy nemrég történt robbantás elkövetője többször is átöltözött a robbantás előtt és után, szándéka szerint mindent megtett, hogy ne legyen felismerhető a kamerák által rögzített képen, azzal viszont alighanem nem számolt, hogy az ember járás közbeni testmozgása annyira egyedi, hogy az antropológus szakértők számára szinte mindig alkalmas az azonosításra.

Amit már ezen a blogon is érintettük, hogy az igazságügyi informatikus nemcsak a böngésző gyorsítótárát, de akár a gép memóriájának tartalmát is le tudja dumpolni, mivel megvan rá a megoldás, hogy hogyan foglalható le egy gép olyan módon, hogy ne kelljen kikapcsolni.

 

Ennek nem kicsi a jelentősége, ha belegondolunk, hogy alkalmazhat valaki bármilyen überszuper titkosítást, a titkosítás feloldásához használt kulcsoknak nyilván be kell töltődniük a memóriába. A NetAcademia egyik kurzusán is emlegettünk már igazságügyi nyelvészeket, akik például névtelen, persze nem kézzel írott levelekről a nyelvhasználat alapján valószínűsíteni tudják a szerző több pszichológiai sajátosságát, iskolázottságát, amivel nagyban szűkíthető a lehetséges elkövetők köre.

Azt gondolnánk, hogy nem lehet elképzelni annyira elborult, speciális kérdést, amire ne lenne igazságügyi szakértő. Mégis előfordulhat, hogy annyira speciális szakkérdést kell megválaszolni, amit a névjegyzékben lévő szakértőnél jobban ismer egy civil a tevékenysége folytán. Egy kevenc példával folytassuk, ha már korábban szó kerültek a honeypotok.

Gondoljunk csak bele, elképzelhető, hogy valaki csali szervereket, ún. honeypotokat bütyköl, esetleg köt hálózatba, majd azt figyeli, hogy a rajta futó rendszert milyen módszerekkel próbálják feltörni. Ez rögzíthető, így többek közt mintát lehet venni, hogy például adott tartalomkezelő rendszert vagy sokkal komolyabb, komplett ERP-rendszert feltörni próbálók hogyan próbálják elkövetni a behatolást.

Ebből gyakran lehet következtetést levonni a támadó felkészültségével, sőt, sokszor a motivációival kapcsolatban is. Ha valaki birtokában van egy kellően nagy betörési mintázat-gyűjteménynek, az igencsak hasznos lehet olyan esetben, amikor ténylegesen feltörnek egy ERP-szervert, levelezőszervert, routert, bármit, mivel a korábban rögzített betörési patterneket összehasonlítva azzal, ami a tényleges betörésről tudható, az elkövetés módja alapján ismét szűkíthető a lehetséges elkövetők köre.

A példában a honeypot-üzemeltető azért alkalmas eseti szakértőnek, mert rendelkezik a megfelelő tapasztalattal, és olyan tudás birtokában van, aminek az igazságügyi szakértő nem. Ez pedig a honeypotokon keresztül szerzett tapasztalata.

Elképzelhető olyan eset is, amikor a nyomozók már tudják, hogy egy nem túl eszes, ámde annál veszélyesebb figura kényelemből a kommunikációját jórészt a Facebookon folytatja. Ekkor indokoltnak tűnik, hogy titkos információgyűjtést és a titkos adatszerzést alkalmazzanak, azaz például a Facebook Law Enforcement Online Request formon keresztül adatkéréssel forduljanak a Facebookhoz, amelyik elbírálja a kérés indokoltságát, aztán akár megtagadja azt az adott ország hatósága előtt, akár teljesíti, az érintett felhasználót mindig értesítik (igaz, utólag), de eléggé világos, hogy sérti a nyomozás érdekeit, ha valaki tud róla, hogy rajta vannak.

Lehet benne valami, hogy a Facebook illetékes alkalmazottjainak az adatkérések teljesítésekor nem kell többet gondolkodniuk, mint a moderátoroknak moderáláskor, mivel az adatkérések tényleges indokoltságát nem tudják szakszerűen megállapítani.

Ami a statisztikát illeti, ezt ugyanúgy nem lehet megállapítani, mint azt, hogy ez az eljárás egyáltalán az összes adatkérésre vonatkozik-e vagy csak a mezei büntetőeljárásokra alkalmazzák, de nem tartalmazza a polgári- vagy katonai nemzetbiztonsági szervek adatkéréseit. A Magyarországgal kapcsolatos adatkérések a 2017-es évre vonatkozóan itt érhetők el.

Alapvetően az adatigénylés vagy eredményre vezet vagy nem, ráadásul a folyamat igencsak időigényes is lehet. Ugyanakkor a hatóság alkalmazhatja a blogon már emlegetett nyílt forrású információszerzés kevésbé ismert módszereit, vagy rábízhatja olyan civilre, aki ilyen területen magas szintű jártasságot szerzett. Természetesen nem arról van szó, hogy ekkor az eseti szakértőként eljáró civil átvenné a nyomozást, de olyan információkat szolgáltat, amik nagyban megkönnyíthetik a nyomozók dolgát számos olyan információ előbányászásával, amit ők maguk nem, vagy csak ésszerűtlenül sok ráfordítás mellett tudtak volna elvégezni.

Lényegében csak meglehetősen elborult esetek zárják ki azt, hogy valakit a megfelelő szaktudása ellenére mégse alkalmazhassanak eseti szakértőként, ha szükség lenne rá. Ilyen például, ha éppen olyan büntetőeljárás folyik ellene, aminél már megtörtént a vádemelés is, esetleg priuszos, vagy nem várható el tőle, hogy a feladatot kellően diszkréten végezze el.

A sok-sok évet tanult igazságügyi szakértő nem hülyébb vagy okosabb az eseti szakértőnél, hanem egyszerűen a tudásuk másra terjed ki. Ugyan aki járt már el eseti szakértőként, jó, ha gyorsan képbe kerül a büntető eljárásjog, büntetőjog, kriminalisztika alapjaival, ezen kívül tudja, hogy mik azok az formai hibák, amiket nem szabad elkövetni.

Hogy csak a legegyszerűbbet említsük, a terheltnek a vádemelést követően iratbetekintési joga lesz, azaz minden dokumentumot megismerhet, ami a nyomozati szakaszban keletkezett, aminek persze része a nevén nevezett eseti szakértő szakvéleménye is. Az eseti szakértő pedig vagy kérheti az adatai zárt kezelését vagy sem, viszont indokolt lehet, hogy a vádlott ne ismerje meg a személyazonosságát, ha éppen az eseti szakértő véleménye kulcsfontosságú volt a bizonyítás során. Az alapján is dönt majd úgy a bíró, hogy a vádlottat sittre vágja mondjuk 15 évre, aminek az elítélt annyira nem fog örülni.

Hasonlóan, az eseti szakértő akkor tud hatékonyan működni, ha az igazságügyi szakértővel értik egymás nyelvét, tisztában van a bizonyítástan alapjaival és így tovább.

etikus-hekkelesA végére hagytunk egy nagyon fontos részletet. Ha egyszer eseti szakértőként jársz el, még akkor se tedd ki a kirakatba, ha egyébként nagyon-nagyon jól mutatna a CV-ben, na meg a LinkedInen. Már nem a 90-es években vagyunk, amikor a szervezett bűnözésnek még volt lehetősége a fegyveres rendvédelmi szerveknél dolgozókra is nyomást gyakorolni, zsarolni őket, ilyentől egy állományban lévő zsarunak, igazságügyi szakértőnek nem kell tartania különösebben.

Inkább csak filmekben fordul elő, hogy a hűvösről kijön az elítélt, aztán  kellemetlenkedni próbál például egy nyomozóval, már csak azért sem, mert a bűncselekményeket a törvény tipikusan súlyosabban bünteti, ha azt hivatalos személy ellen követik el.

Az eseti szakértő nem hivatalos személy, de alapvetően nem kell tartania attól, hogy lófejet talál a párnáján egyik reggel. Ha pedig megpróbálnak borsot törni a korábbi eseti szakértő orra alá, szinte megállapíthatatlan, hogy a cél és motiváció egyáltalán összefügg-e azzal, hogy eseti szakértőként járt el valakinek az ügyében és olyan bizonyítóerővel rendelkező információt tett az ügyész vagy a bíró elé, amitől leszakadt az asztal – vagy teljesen másról van szó.

Nem zárható ki azonban, hogy polgári perben az alperes, büntetőügyben a gyanúsított vagy vádlott egyszerűen a megfélemlítés, bosszú okán olyan helyzetbe hozza az eseti szakértőt, hogy az végül is megsértse a törvényt. Például azzal, hogy ízesen elküld valakit melegebb égtájra többek előtt, esetleg lecsavar a kellemetlenkedőnek egyet, ha pedig feljelentik, könnyen eleshet emiatt egy ideig attól, hogy szakértői tevékenységet végezhessen.

Ugyanakkor tanulni érdemes, tudni kell, alkotni jó, eredetit alkotni még jobb, közben pedig a legkülönbözőbb területeken tehet olyan szaktudásra szert valaki, amit kamatoztathat az igazságszolgáltatásban. Nagyon jó alapot jelenthet erre, ha valaki elkezd foglalkozni például az etikus hekkeléssel, aztán ha Justitia és Sevillai Szent Izidor is úgy akarja, akár rendszeresen felkért eseti szakértő is lehet, amivel ugyan nem keres vagyonokat, az igazságszolgáltatás világában olyan dolgokat tanulhat meg, olyan szemléletmódra tehet szert, amilyenre máshol nem lenne lehetősége.

Ha pedig valakit beszippantott az igazságszolgáltatás világa, sosem késő arra a pályára állni, még ha sok-sok olyan dolgot is kell megtanulni a szakértőjelöltnek a szakértővé váláshoz, ami az elején fölöslegesnek tűnik.

képek: Wikipedia, ec.europe.eu

 

Miért kerül nagyon sokba a világnak az olcsó router?

iot_hackelesFélmillió routert pattintott meg egy szervezett bűnözői csoport, más források szerint kormányzati eredetű támadásról van szó. Az érintett eszközök mindegyike olcsó, otthoni vagy kisvállalati felhasználásra szánt router volt, ezek fölött vették át gyakorlatilag teljes egészében az irányítást a támadók, ahogy azt tegnap közölte az Arstechnica.

Ami a hírt illeti, már meg sem lepődünk rajta. Ezúttal nem elsősorban a támadás technikai részleteivel fogunk foglalkozni, hanem teljesen más, társadalmi és jogi aspektusból szemléljük a jelenséget.

Tételezzük fel, hogy a támadók átveszik az irányítást egy pénzintézeti rendszerben használt router fölött, emiatt jelentős, komoly kár keletkezik. Esetleg olyan módon törik fel egy kórház routerét, ami a társadalombiztosító rendszerével kommunikál, hogy azon keresztül konkrétan betegadatok csoroghatnak ki és kerülhetnek a feketepiacra. Ha éppen egy közlekedésirányítási rendszer routereit éri a támadás, az nagyon súlyos fennakadásokat, de akár tömegszerencsétlenséget is okozhat.

Természetesen a példák lebutítottak, mivel ezeken a területeken többrétegű védelmet, különösen szegmentálást alkalmaznak. Ez annyit jelent, hogy a közel valósidejű repülésirányító rendszerek eszközeibe épített mikrokontrollerek vagy egy atomerőmű egy reaktorának deutériumhőmérsékletét mérő eszközei kritikus információkat továbbítanak ugyan egymás közt, de nincsenek közvetlen kapcsolatban a szintén agyonbiztosított hálózatokkal, ahol már nagyobb hibalehetőség, na meg emberi beavatkozás is elfogadható.

A belső és a külső, ember számára információkat biztosító, de szintén kritikus fontosságú hálózat csak egy rendkívül szűk keresztmetszeten keresztül, rendkívül szigorú szabályok alapján folytat bármilyen kommunikációt. A kevésbé érzékeny, külsőbb hálózatoknak pedig már lehet kapcsolata a net felé bérelt vonalon vagy virtuális magánhálózaton keresztül.

Azaz igencsak nehéz dolga lenne annak, aki otthonról próbálná meghekkelni egy atomerőmű reaktorát hűtő deutérium hőmérsékletét mérő hőmérőt.

Online Security Technology

Hogy érthetőbb legyen: a mai napig slágertéma, hogy “feltörték a NASA rendszerét”, ami ugye meg is történt néhányszor, csak éppenséggel az már az hírfogyasztók 1%-ához jut el, hogy valójában a támadók mindössze a NASA közvetlenül netre kilógatott webszerverét törték fel, ami kínosnak kínos ugyan, viszont nyilván semmilyen következménye nincs azon kívül, hogy bosszúságot okoz a webszerverek üzemeltetőinek. Ami a lényeg, hogy a támadók nem kritikus infrastruktúrához fértek hozzá. Persze ez sem lehetetlen, még 2008-ban az orosz-grúz konfliktus során az oroszok lekapcsolták Grúzia elektromos hálózatának egy részét. Ahogy a világ egyik legfejlettebb malware-je nem kis riadalmat keltett 2010-2011. körül, amit fordulópontnak nevezhetünk a hadviselés és az információbiztonság történetében:

Visszatérve az előző gondolatra, tételezzünk fel még egy olyan esetet, amikor egy, a biztonságosságáról jól ismert kocsi fedélzeti számítógépét fertőzik meg, ami elvben lehetővé teszi, hogy a kocsit mondjuk az árokba hajtsák. Ja, nem csak elvben, gyakorlatilag is, ahogy történt ez 2015-ben.

Mi a közös a felsorolt esetekben, azaz a pénzintézetnél, a forgalomirányításnál vagy éppen a kocsi fedélzeti számítógépénél? Az, hogy minél kritikusabb infrastruktúráról van szó, annál szigorúbb iparági szabányoknak kell megfelelni, amit több esetben a törvény is jogszabály vagy rendelet szintjén előír. Azaz egy bank esetében egy sikeres támadást követően a banknak a törvény előtt kell bizonyítania, hogy minden tőle telhetőt megtett a biztonságos működés érdekében, ha ezt nem tudja bizonyítani, annak nagyon komoly jogkövetkezményei lehetnek.

Na és mi a helyzet akkor, ha egy otthoni felhasználó routerét törik fel, majd azon keresztül követnek el valamilyen bűncselekményt? Ki a felelős? A felhasználó? A gyártó, amelyik kiengedett a piacra egy rendkívül silány minőségű routert? Ez már egy sokkal nehezebben átlátható kérdés.

Tételezzük fel, hogy egy felhasználó kényelemből egyszerűen nem teszi jelszófüggővé a wifi-hozzáférést, ezt követően pedig valaki erre a wifire csatlakozva névtelenül, zsaroló vagy közveszély okozásával fenyegető emaileket küldözget olyan helyre, ahova aztán tényleg nem kellene, mondjuk valamilyen rendvédelmi szervnek. Az egyszerűség kedvéért tételezzük fel, hogy olyan levelezőrendszert használ, ami a levelek fejlécéből nem takarja ki a feladó IP-címét. Ekkor alighanem az történik, hogy az illetékes hatóság esetleg seperc alatt lekérdezi az internetszolgáltatótól, hogy a levelek küldésének idejében az adott IP-címet melyik ügyfelük birtokolta, azaz nagyon gyorsan azonosíthatóvá válik, hogy kinek az internetkapcsolatát használták.

Nem, azért nem fogja fél napon belül a mit sem sejtő ügyfélre rárúgni az ajtót a TEK, nem véletlenül. A közhiedelemben az azonosításban Szent Grálnak tartott IP-cím önmagában messze nem bizonyító erejű, az igencsak barokkos büntetőeljárás jogi szabályok szerint azt is bizonyítani kellene, hogy az ügyfél valamelyik eszközéről küldték a fenyegető levelet, amihez nyilván mindent le kell foglalni, ami csak a lakásban van. Viszont még ha meg is találják a browser cache-ben vagy a kliensprogramban a levelet, az ügyfél védekezhet például azzal, hogy nem zárta le a gépét, így valaki odaült és úgy küldött levelet a nevében. Az más kérdés, hogy ezt már a nyomozati szakaszban és a bíróságon sem könnyű elhitetni. Nagyon röviden: ahhoz, hogy az ügyféllel kapcsolatban alapos gyanút állapítsanak meg, ilyen esetben azért sokkal több kell, mint egy IP-cím-időpont páros.

Azzal kapcsolatos szabályozás is van persze, hogy a felhasználó is – hasonlóan például egy atomerőmű CISO-jához – minden tőle elvárhatót meg kell, hogy tegyen ahhoz, hogy az informatikai eszközeit ne lehessen felhasználni visszaélésre. Ez a gyakorlatban annyit jelent, hogy az otthoni routereket eleve úgy szállítják le, hogy abban WPA2 jelszót, “wifi kódot” kelljen beállítani.

Ha ez megvan, az átlagos tájékozottságú felhasználó a tőle elvárható módon megvédte a netkapcsolatát, nem vonható felelősségre. Alighanem még akkor sem, ha a wifi-jelszavát elmonda másnak, aki aztán elmondta olyannak, akinek nem kellett volna, így a harmadik fél a wifi-hálózatra való csatlakozás után küldte a fenyegető leveleket. Miért? Mert az átlag felhasználótól nem várható el, hogy ilyen típusú kockázattal tisztában legyen.

Vagy éppen egy másik példa: az otthoni routerek firmware-jét, azaz mini operációs rendszerét is frissíteni kellene bizonyos rendszerességgel, a többség azt sem tudja, hogy mi az a firmware, ezért nem frissít, és jelszóval védett ugyan a wifije, de könnyen törhető egy sebezhetőségen keresztül, így elkövetési eszközévé válhat egy bűncselekménynek.

Most pedig ugorjunk egy szép nagyot technikai irányba. Tételezzük fel, hogy valaki ír egy egyszerű programot, ami semmi mást nem tud, csupán annyit, hogy bekér a felhasználótól két pozitív egész számot, azokat összeadja és kiírja a végeredményt. Egy ennyire egyszerű program nyilván nem hordozhat magában semmiféle biztonsági kockázatot, nem? A rossz hír, hogy elméletileg igen. Ugyanis semmi nem zárja ki azt, hogy a program egész számok helyett olyan bitsorozatot kapjon, ami valamilyen rosszindulatú kódfuttatást fog végezni, azaz az összeg kiírása helyett mondjuk kifagyasztja a gépet. Miért is? Azért, mert a program erre nem volt felkészítve, nevezzük jobb magyar megfelelő híján improper input validationnek.

Ez a biztonságcentrikus szoftverfejlesztés aka secure codingnek egy apró része.

Az már más kérdés, hogy ennyire primitív támadás a gyakorlatban esetleg a Windows 95-ön működne vagy azon sem, azaz az oprendszerek már rég megfékezik a legócskább trükköket.

A router, aminek egy saját, apró operációs rendszere van, ugyancsak számokkal dolgozik, működés közben, konkrétan a WPA2 jelszavas védelmét szolgáltató program van benne megvalósítva.

A WPA2 jelen tudásunk szerint elméletileg ésszerű időn belül nem törhető. Viszont tételezzük fel, hogy az a szoftver, ami a jelszavas védelmet, titkosítást WPA2-n keresztül oldja meg, természetesen mi mással dolgozna, ha nem adatokkal, úgy lett megírva, mint az előző példában felvázolt apró program, ami csupán két egész számot ad össze, azaz nem ellenőrzi, hogy megfelelő adattípussal dolgozik-e. Azaz miközben a WPA2 algoritmusa, ami biztonságosra lett megtervezve, de rosszul kerül leprogramozásra, dolgozhat az adatokkal olyan módon, hogy a folyamat bármelyik pontján kaphat nem várt bemenetet, ahogyan a számológépes példában is.

A végeredmény ugyanaz: a szoftver teljesen más működést fog produkálni, még ha egy apró szolgáltatásként is fut a routerben az egész. Kezelhetetlen bemenet esetén az egy szinttel alatta lévő apró operációs rendszer működését is teljesen megváltoztathatja.

A routeres példában ugyan egy teljesen hipotetikus esetet szemléltettünk, ugyanis alighanem a világon nincs olyan router, ami semmilyen módon nem lenne védve a legegyszerűbb támadásokkal szemben sem.

Az olcsó routerek közt viszont tömeges jelenség, hogy a legprimitívebb támadások ellen védettek ugyan, viszont annyira irdatlan sok sebezhetőséget tartalmaz a firmware-jük, hogy azt simán fel tudja törni egy hobbiszinten programozni tudó hülyegyerek akkor is, ha alig tud valamit a wifikről, mivel a net rogyásig tele van konkrét leírásokkal. Sőt! Kimondottan wifi-törésre kihegyezett eszközökkel! Ezek a routereket természetesen nem csak a belső, otthoni hálózatról (wifin keresztül) lehet hekkelni, hanem az internet felől is. Erről számolt be az Arstechnica-cikk. Ez viszont már leírhatatlan kockázat.

Ugyanis több esetben nagyon komoly elosztott túlterheléses támadásokat úgy kiviteleztek, hogy tömegesen lefertőztek egy rakás olcsó routert, azokat botnet hálózatba kötötték, majd egy ún. Command and Control szerveren keresztül utasítottak például sok tízezer routert, hogy ugyanabban az időpontban küldjön égtelen mennyiségű adatcsomagot egy bizonyos szerver bizonyos portjaira, amitől a szerver meg is feküdt egy időre. Azaz olyan esetben, amikor valamilyen, ultravédett, nagyon komoly szervezetet megfektet ideig-óráig például az Anonymous, ne valamilyen bonyolult hadműveletre gondoljunk, hanem éppen ellenkezőleg, ilyen full egyszerű támadási formára. És ez persze a sok közül csak egy, igaz, leggyakoribb felhasználási területe a feltört routereknek a kiberbűnözés területén.

botnet_halozat

Ugorjunk ismét kicsit vissza: a felhasználó jelszóval védte a wifi-hozzáférést, a routerekben alapértelmezés szerint le van tiltva, hogy a net felől is be lehessen jelentkezni a beállítások közé és így tovább.

Abban az esetben, ha a hálózati eszköz kellően védett volt, végülis a felhasználó mindent megtett, ami az ő tudásszintjén elvárható, azaz aligha hibáztatható olyan esetben, ha mégis megpattintották az otthoni routerét wifin keresztül vagy a netkapcsolatán át, és látszólag a nevében követtek el valamit. Akkor mégis ki hibáztatható? Erre a laikus minden bizonnyal rávágja, hogy azok a szemét hekkerek, ki más, teljesen függetlenül attól, hogy a router védett volt, vagy egyáltalán nem. Jobban belegondolva viszont a láncolat végén mégis a csapnivaló minőségű terméket piacra dobó gyártó áll a szervezett bűnözés mellett.

Az, hogy egy szoftverrendszert biztonságosra fejlesszenek le, teszteléssel együtt nagyban megnöveli a gyártási költséget, a tranzisztor feltalálása óta a gyártók mindig a biztonságon spóroltak leginkább, nincs ez máshogy ma sem. Azzal kapcsolatban pedig csak nevetséges szabályozás van, hogy egy néhány ezer forintos routernek részeiben és egészében milyen feltételeknek kell megfelelnie. Olyan megfelelőségeknek kell eleget tenniük, mint az FCC bizonyos előírásai vagy a Conformité Européenne előírásai, amiknek a jelével mindenki találkozott már ezerszer (hacsak nem egy őserdőben él), de alighanem sosem érdekelt senkit, hogy mit jelent.

Ezek az előírások nem sokkal többet írnak elő, minthogy az eszköz nem fog olyan mértékig forrósodni, hogy ráolvadjon az asztalra, nem bocsát ki olyan sugárzást, ami interferálna mondjuk a egy mobilhálózat tornyának jeleivel és hasonló megmosolyogtató dolgok, ennél nem sokkal komolyabbak.

Gyakran kerül szóba, hogy amikor mesterségesen akarnak beleszólni a piac működésébe, ami valóban veszélyes műfaj minden területen, az úgysem fog eredményre vezetni. Nem tudni, hogy mennyi váráslót csapott meg az áram, mire bevezették az első, elektronikus eszközökkel kapcsolatos szabványokat sok-sok évtizeddel ezelőtt, azt sem, hogy mekkora közvetett károk keletkeztek, mielőtt az FCC-t vagy a CE-t kötelezővé tették volna még a gombelemre is, viszont világos, hogy az adott korban az ésszerű szabványok bevezetése és betartatása nem csak célszerű, hanem konkrétan kötelező!

A helyzet finoman fogalmazva is félelmetes az otthoni hálózati eszközök szabályozásával kapcsolatban.

1. Itt az IoT éra – az okoseszközök valamilyen módon a netre lesznek kötve, így elméletben előfordulhat, hogy a meghibásodásuk, ha súlyos sérülést vagy halált nem is okoz, nagyon komoly kárt igen. Például valakinek IoT az egész lakása, aztán elmegy síelni három hétre, valaki pedig vicceskedésből felveszi a fűtést 30 fokra egy szoftverhiba kihasználásával, a hőmérsékletszabályozó támadásán keresztül. Ezek olyan típusú károk, amik a végfelhasználót érintik.

2. A másik, hogy egyre több és több csapnivaló minőségű, a szervezett bűnözésben eszközként használható router, NAS, okoshűtő és ki tudja még mi kerül a piacra, amik hekkelésével aztán olyan célzott DDoS-támadásokat tudnak kivitelezni, ami egy-egy pénzintézetnek, kormányzati szervnek vagy klinikának akkora pénzben kifejezhető kárt, vagy éppen súlyos működésbeli fennakadást okoz, hogy végre leesik mindenkinek, hogy a helyzet tényleg súlyos. A NATO nem véletlenül mondta ki néhány évvel ezelőtt, hogy az infokommunikációs infrastruktúrára irányuló támadásokra úgy tekintenek, mint szárazföldi-, vízi- vagy légi hadműveletekre.

wifi-feltoresHa civilizációs léptékű dolgokról van szó, többen vannak azon a véleményen, hogy az emberiség bizonyos értelemben semmit sem tanult a történelem folyamán a hibáiból. Az első elektronikus eszközök piacra dobása után alighanem jópár vásárlót megcsapott az áram, jónéhány ház kigyulladt, mire a szabványügy elkezdett vele foglalkozni, a hatóságok és jogalkotók pedig kötelező érvényűvé tették bizonyos szabványoknak való megfelelést.

Ahogy megjelentek az atomerőművek, a légi irányítás, na meg a pénzintézetek, gyakorlatilag azonnal megjelentek az ágazatspecifikus szabályozások, amikkel érthetően a jogalkotók sem szöszmötöltek túl sokat.

A mostani magánfelhasználók otthoni eszközein keresztül véghezvitt bűnözés már okozott nagyon komoly károkat, de még nem érte el azt a szintet a döntéshozóknál, hogy nagyon sürgősen bizonyos szoftverek implementációjával kapcsolatos szabványokat kötelezőként előírjanak.

Azaz, hasonlóan ahhoz, hogy nem kerülhet forgalomba olyan tévé, amitől rendeltetésszerű használat mellett levakul a vásárló, vagy éppen nem kerülhet forgalomba olyan étrendkiegészítő, amitől normális fogyasztás mellett gallyra megy a mája, a routerek gyártóinak is a secure codingnek olyan szinten kellene megfelelniük, azaz törésbiztosnak lenniük, hogy azt ne lehessen annyira könnyen bekötni egy botnethálózatba, amivel aztán lebénítható a fél ország.

Ezt valahogy sokan még mindig túlzó riogatásnak tartják, holott világos, hogy évről évre egyre nagyobb kárt okoz egy-egy infokommunikációs rendszer kiesése, mivel egyre jobban támaszkodik rá minden.

A szabványok nemcsak hogy már léteznek, hanem a komolyabb és persze sokkal drágább hálózati eszközökben meg is vannak valósítva. Ezeket a drágább eszközöket aztán bizonyos szervezetek alkalmazzák best practice alapján, de a törvény nem írja elő számukra (bizonyos ágazatokban nyilván igen). Ennek a mintának az alapján az otthoni felhasználásra szánt routereket látszólag könnyűszerrel biztonságosabbra lehetne varázsolni.

Az FCC-nek és az EC-nek való megfelelést például simán kötelezővé tudták tenni gyakorlatilag nemzetközi szinten, pedig a gyártók sejthetően nem örültek neki, mivel minél több szabványnak megfelelően kell valamit az elejétől a végéig legyártani, annál drágább. Gondoltatok már arra, hogy gyakorlatilag mindennek, amit a konnektorba csatlakoztatunk, olyan kábellel kell rendelkeznie, ami legalább duplán szigetelt? Igaz, hogy így nyilván drágább legyártani, ez a biztonság ára.

Teljesen természetes, hogy például a kórházak intenzív osztályain használt lélegeztetőgépeknek annyira biztonságosnak kell lenniük, amennyire csak lehet, igen, akkor is, ha emiatt drágábbak. Itt megjegyezzük, hogy az USA-ban, Japánban és több európai országban folyamatosan váltják fel a hagyományos orvosdiagnosztikai eszközöket azok, amik végülis IoT eszközök, azaz kapcsolódnak a helyi hálózatra, közvetetten akár a netre, hiszen valahogy el is kell érni az általuk rögzített mérési adatokat az orvosoknak.

Azoknak a szabványoknak a nemzetközi vagy legalábbis regionális szinten kötelezővé tétele, amik előírnák, hogy minimálisan mennyire kell biztonságosra elkészíteni szoftveres szempontból egy hálózati eszközt, okoshűtőt, okoslégkondit végülis a szakhatóságok és a törvényhozók feladata lenne.

Az ok, ami miatt láthatóan nem kapkodják el a dolgot egyrészt ahogy írtuk, ha úgy tetszik, nem okozott még elég nagy kárt, a másik ok nyilván gazdasági természetű, ami megér egy bővebb kifejtést.

A Kínában gyártott föccsöntött routerekre a szoftvert nyilván nem Kínában írják, hanem ahol a gyártók beágyazott szoftverek fejlesztéséért felelős divízióik, kutatóközpontjaik vannak, az pedig tipikusan nem a Távol-keleti régió, na meg nem is Afrika, hanem a fejlett régiók országai. Nem meglepő, hogy plusz, biztonságos működést fokozó szabványoknak való kötelező megfeleltetés szükségszerűen a gyártási költség növekedését okozná. A fejlett országokban dolgozó programozókat tovább kellene képezni, a tesztelés mostani formája is változna, a piaci igényeket időben ki kellene szolgálni, holott informatikus így sincs elég.

Hogy mennyire kiszámítható módon okozna drágulást, és milyen hatással lenne a gazdaságra? Totálisan kiszámíthatatlan. Ugyanis míg a már hálózatra kötött Röntgen-gép, a pozitron-emissziós tomográf, a fMRI-masina, az orvosi ultrahang vagy az intenzív osztályon használt EKG nem tömegtermék, az otthoni hálózati eszközök és okoseszközök kőkeményen tömegtermékek meredeken növekvő piaccal, így teljesen más gazdasági szabályszerűségek érvényesek rájuk.

Tehát a bizonytalanság, amit nem lehetne kiszámítani, egyrészt, hogy a szabványok kötelezővé tételével a termék mennyivel kerülne többe, másrészt ennek milyen és mekkora lenne a piacra kifejtett hatása, harmadrészt, hogy a drágulás hogyan változtatná meg azt, hogy összességében a mindent mozgató információt mennyire gyorsan éri el a végfelhasználók tömege.

Az utolsó némi egyértelműsítést igényel. Tételezzük fel, hogy csak az otthoni, persze wifis routerek ára hirtelen az ötszörösére emelkedik. So what? Legalább tartósabb, lehetne mondani. De gondoljuk át még egyszer. Nem csak arról van szó, hogy a végfelhasználó ötször annyiért tudja megvenni a routert otthonra, hanem a különböző akadémiai kutatóintézetekben, ahol jó sokra van szükség, a mostanitól több forrást kellene elkülöníteni. A legkülönbözőbb helyeken döntenének úgy, hogy inkább nem fedik le wifivel azt, amit nem feltétlenül kell.

A netszolgáltatók által biztosított kábelmodemek, amik wifi routerek is egyben, megdrágulnának, nekik is komolyan feladná a leckét, hogy miből gazdálkodják ki a különbséget. És a végére hagytuk a legrosszabbat: éppen a legszegényebb társadalmi rétegek szembesülnének vele, hogy volt net, nincs net. Szegényebb régiókban az internet penetrációja sok-sok évvel ezelőtti szintre esne vissza akár.

Ugye-ugye, “csak” egyetlen tömegtermék darabára változott, amitől az összes wifivel működő eszköz működése függ, éppen ezért tömegekre lenne hatással.

Iszonyú komplex kérdés, hogy melyik a komolyabb kockázat: ha továbbra sem kötelezőek a secure codinget előíró szabványok, így viszont maradva az elosztott túlterheléses támadás példájánál, botnetbe kötve komoly kártokat tud rendszeresen okozni a szervezett bűnözés.

Vagy az a komolyabb kockázat, ha szabványok kötelezővé válásával a tömegtermékek ára emelkedik, ami olyan mechanizmusokat indukál, aminek eredménye végülis az, hogy az információs társadalomban az információk elérése sokkal drágább lesz. Mondjuk jövedelemarányosan annyira drága, mint amennyibe a 90-es években került egy ADSL-előfizetés.

A kiberbűnözés elleni fellépésnek hatékony eszköze lenne, ha nem használhatnák támadási eszközként maholnap már az okoskávéfőzőt, mint neten lógó eszközt is, mivel az megfelel az új, kötelező működésbeli biztonságosságot előíró szabványoknak.

Amíg kötelezően előírt szabályozás nincs, minél felkészültebb, az aktuális büdzséből minél biztonságosabb hálózatok kialakítására képes szakértőkre van szükség. Kapcsolódó tanfolyamok pedig rendszeresen indulnak a Netacademiánál is.

képek: Wikipedia, CSOOnline

Mikor válik a kultúra részévé az online tanulás?

online-tanfolyamok-1

Egyre többen mondják, hogy ha tanulnak valamit, a hagyományos, papíralapú könyvekre már szinte sosincs szükségük, mert minden szükséges információ megvan valamilyen tutorialban vagy annál interaktívabb formátumban a neten. Az a logikus álláspont nem új, hogy ha valaki minél hatékonyabb szeretne lenni a saját területén, nem feltétlenül többet kell olvasnia, hanem nagyon jól kell tudnia megfogalmazni, hogy mire keres válasz, azaz jobban kell keresnie a leginkább related és az ő tudásszintjén értelmezhető források megtalálásához.

Nem mennénk el olyan irányba, hogy “sokat akarsz tudni? ahhoz jól kel kérdezni? jól szeretnél kérdezni? ahhoz sokat kell tudni”. Pedig itt is hasonló a helyzet. A jövő nyertesei, először még a tudásintenzív területeken, azaz a kutatásban, később pedig az élet más területein is azok lesznek, akik hatékonyabbak a keresésben, ez az olló pedig idővel csak nyílni fog.

Az előző posztnál abba mélyedtünk el, hogy miért rendkívül fontos a megfelelő cloud-szolgáltatás kiválasztása, legyen szó akár csapatmunkáról, akár online tanulásról, gyakorlásról. Ha pedig valaki önállóan szeretné naprakészen tartani a tudását, van valami, amiről sokan rendszeresen megfeledkeznek, nem új, de nagyon hatékony eszköz: a feedek, mint amilyen az RSS.

Például abban az esetben, ha valaki egy keretrendszer újdonságaival kapcsolatos hírekről szeretne gyakorlatilag azonnal értesülni, csak a megfelelő webhelyeken fel kell irakoznia a feed-re, majd amikor új tartalom jelenik meg, megjelenik annak egy kivonata a feed-olvasóban, amit egy kattintás után már lehet is olvasni. A csavarosan gondolkozó olvasó feltételezheti, hogy hasonlóan hatékony megoldás lehet a Google Alerts beállítása megfelelő keresőkifejezésekkel, azonban a Google messze nem az összes dokumentum linkjét fogja megküldeni, amire rápasszolnak a keresőkifejezések.

A feed-olvasókkal valamelyest rokon eszközök az intelligens híraggregátorok, amik a felhasználó tartalomfogyasztási szokásai alapján egyre több különböző hírforrásból ajánlanak cikkeket, amik a felhasználó számára érdekesek és természetesen alkalmasak a folyamatos önképzésre is.

A legismertebbek egyike a Flipboard, amiknek az elsődleges felhasználási területe ugyan nem az, hogy egy adott, specifikus témával kapcsolatban mindig hírbe hozza az olvasót, de elvben beállítható a működése úgy is. Mindenképp említést érdemel a már bezárt, a többitől akkor még eltérő, alapvetően gépi tanulást követően megfelelő tartalmakat kiválogató Prismatic.

Nem világos, hogy miért, de sokszor még a kutatók körében sem általános, hogy megfelelő tartalmat a megfelelő eszközzel keressenek. Az élettudományi kutatásokban  erős beidegződés az NCBI kereső használata, ami sokáig a tudomány google-je volt ugyan, de gyakorlatilag csak akkor van értelme használni, ha egy rakás adatbázis-előfizetése is van a felhasználónak, mivel a cikkek letöltése már sokszor pénzbe kerül. Ha nincs adatbázis-előfizetés, ott a Sci-Hub 🙂 Mintha ezen kívül nem is létezne más, holott ma már a Google Scholar vagy éppen a Researchgate már-már kitalálja, hogy milyen információra lenne szüksége a kutatónak vagy hallgatónak. Természetesen nem csak a kutatóknak, hanem mindenkinek, aki online szeretne tanulni. Nemrég lehetett róla olvasni, hogy azon cikkek idézettsége határozottan nagyobb, amit az Academia.EDU-ra feltöltöttek, mint amiket nem, aminek nagyon sok magyarázata lehet. Ami viszont biztos, hogy az Academia.EDU és a ResearchGate a kutatásban és tanulásban behoz valamit, amit a klasszikus eszközök egyáltalán nem: a közösségi élményt!

online-tanfolyamok-2

Ha már közösségi élményről van szó, általános gyakorlattá vált Magyarországon, hogy különböző egyetemek a Facebookon hoznak létre csoportokat, nyilván az egyszerű kezelhetősége miatt, és persze azért, mert így szükségtelen plusz egy szolgáltatásba belépnie a hallgatóknak. Bőven vannak olyan szervezetek is, amik normális collaborative szoftverek helyett, amiből már követhetetlenül sok van, a Facebookot használják, nem számolva annak kockázataival. A Facebook felismerve ezt, 2016. októberében indította el a Facebook for Workplace szolgáltatását, aminek freemium változata ugyancsak lehet az online tanulás terepe is, a felhasználót nem zavarják meg a privát kommunikációval kapcsolatos facebookos értesítések. Nem teljesen világos, hogy a szolgáltatással a Facebook kiket akart megcélozni, mivel a normálisabb cégek nyilván nem a Facebookon fogják végezni a csoportmunkát. Azokban az ágazatokban, ahol még nincs kultúrája a legmegfelelőbb online eszközök használatának, miért is térnének át a Facebookról a Facebookra?

A hozzáállásbeli és egyáltalán, használati szokásokat illető különbség már-már fájdalmas felhasználói csoportok közt. Több, az X, Z, Y, kappa, delta, ilyen-olyan generáció “kutatói” teljesen tévesen állítják, hogy a mai fiatalabb generáció otthonosabban mozog az online világban, jobban ért a “számítógépes dolgokhoz”, ez az álláspont pedig valamiféle rögeszmévé vált. Ugyanis ez empirikus információk alapján is nettó ostobaság, kvantitatív adatokkal pedig nem támasztották alá komolyan vehető helyen, ha értelmes használatról van szó. A fiatal generáció az aktuálisan trendi mobilapp használatába gyorsabban tanul bele ugyan, viszont ami a legfontosabb, kiemelendő, hogy nem tudja az online eszközöket célirányosan, értelmes módon használni. Legalábbis a döntő többség nem. Olyannyira nem, hogy alighanem ma is bőven találnánk olyan egyetemi évfolyamot, ahol az évfolyam egy közös email-címet használ, aminek tudják a jelszavát olyan százan, ebbe a postafiókba küldik az oktatók a tananyagokat, ami a jelszómegosztás miatt már a 90-es évek derekán is vérciki lett volna, de van, akinek a Google Groups is túl bonyolult, nem mellékesen pedig közel sem olyan interaktív, mint amilyen a webináriumos megoldások vagy éppen a csoportmunka egyszerűen a Slack-ben.

Azaz van, aki tudja célirányosan használni az online megoldásokban rejlő lehetőségeket folyamatos önképzéshez (csoportban vagy egyedül), megint más pedig nem. Azzal kapcsolatban pedig nincs kikezdhetetlen konszenzus, hogy kinek a feladata lenne a digitális írásbeliség és a célnak megfelelő legalkalmasabb online eszközök munkába állítására való nevelés. Lehet mondani, hogy a közoktatásé és a családé vagy a felsőoktatásé, ez még azokon a helyeken sem működik tökéletesen, ahol van a tanárok képzésére fedezet bőven, ugyanis, mint sok vívmányba, ebbe is bele kell szocializálódnia a közösségnek.

Kíméletlenül le fognak maradni azok, akik nem használják a sok esetben ingyenesen vagy bagóért elérhető eszközöket, példaként mint amilyen az idegen nyelv tudást hatékonyan átadni és mérni is képes Duolingo.

Az online oktatás területén igencsak komoly tapasztalattal rendelkező előadókkal személyesen is találkozhattok a Netacademia online oktatás konferenciáján, jelentkezni erre lehet.

kép: Wikipedia

Nyílt-forrású információszerzés – kémek, kurvák, gengszterek, OSINT

Tényleg titkosak a rendvédelmi- és honvédelmi szervek, nyomozati jogkörrel rendelkező hatóságok tagjainak módszerei? Bárki beletanulhat a nyomozás és hírszerzés módszertanába? Általánosságban mit lehet elmondani arról, hogy az OSINT-módszerek alkalmazása mikor legális és etikus, még akkor is, ha definícióból adódóan csak olyan adatforrást használunk fel, ami elvben bárki számára elérhető, azaz szó sincs róla, hogy valahova valakinek be kellene hekkelnie magát bárhova is. Az OSINT mindig passive reconnaissance, de ebből nem következik, hogy ne okozhatna szakszerűtlenül használva esetlegesen olyan érdeksérelmet, mint a törvényben foglaltaknak megfelelő, Tiltott adatszerzés és az információs rendszer elleni bűncselekmények közé sorolt bűncselekmények valamelyike ír le.
Két gyakran idézett, mégis időtálló zseniális mondás ide passzol:
The real intelligence hero is Sherlock Holmes, not James Bond.
You’re only anonymous on the Internet because nobody’s tried very hard to figure out who you are.
Tapasztalat, hogy amikor valaki elkezd érdeklődni a nyílt-forrású információszerzéssel  kapcsolatban, halomra merülnek fel benne a kérdések, aztán egy-egy jobb kurzus vagy könyv után a kérdésekből még több, rendszerint csak még hosszabban megválaszolható kérdések lesznek. Próbálunk olyan áttekintést adni madártávlatból a OSINT-tel kapcsolatban, ahol most éppen technikai részletekkel foglalkozunk kevésbé, nagyobb hangsúlyt helyezünk az elvi szempontokra. Sőt megnézzük a dolgot egy kicsit államelméleti szempontból is, ami sokkal izgalmasabb, mint amilyennek elsőre tűnik.
Mindenek előtt nézzük meg az alábbi videót:
A bűvész a kislányát lazán kettévágja, ráadásul két mesekönyvvel, mi pedig csak nézünk ki a fejünkből bután és nem értjük, hogy hogyan. Az egyetlen, amiben biztosak vagyunk, hogy a bűvész olyan, elsajátítható tudás birtokában van, amivel csak nagyon kevesen rendelkeznek, ennek megfelelően a bűvészek munkáját egyfajta misztikus köd lengi körül, mióta egyáltalán létezik a hivatás. Már amennyire tudjuk, a bűvészkedés kultúrtörténetének egyik alappillére, hogy hallgatólagos, de nagyon szigorú szabályok szerint adhatja csak át a bűvész egy-egy trükk mesterfogásait a tanoncnak.
Igazából lehetne még sorolni azokat a hivatásokat, amikről a közvélekedés azt tartja, hogy a módszereik kívülállók számára megismerhetetlenek, misztikus köd borítja az egészet számos tévhit mellett, ugyanakkor a kívülállók érdeklődése kortól függetlenül töretlen, gondoljunk csak Agatha Christie regényeire, Arthur Conan Doyle által megteremtett Sherlock Holmesra vagy éppen az idióta és kevésbé idióta James Bond-, és Mission Impossible filmekre, a helyszínelős sorozatokról nem is beszélve.
Bűvészek, hírszerzők, bűnügyi helyszínelők – sokan mindről úgy gondolják, hogy elérhetetlen tudással rendelkeznek, holott erről szó sincs. A nyílt-forrású információszerzéssel mélyen foglalkozók akár néhány perc alatt megtalálják, hogy egy mobilszámnak ki az aktuális használója, anélkül, hogy bármilyen törvényt megsértenének vagy éppen felgöngyölítik, hogy egy álhír honnan indult ki, megjelenítik egy személy kapcsolati hálóját, akár súlyozva, mondjuk a Facebookon olyan esetben is, amikor a felhasználó kimondottan letiltotta az ismerősei megtekintését, holott egyikben sincs feketemágia, az OSINT néhány, számunkra is sokáig rejtélyes sajátosságával viszont érdemes megismerkedni, mielőtt valaki beleugrana.
Jelen cikk szerzője az OSINT definíciójával sosem törte magát, az OSINT olyan eszközök, technikák, módszerek és ezeket keretbe foglaló tudás összessége, amivel olyan nyíltan elérhető információkat érhetünk el, amik a laikus keresési módszerekkel láthatatlanok. Ahogy abba részletesebben belemegyünk, azért érdemes megismerkedni a kriminalisztikával – amit sokan kevernek a kriminológiával – mivel az OSINT legősibb alkalmazója, természetesen még abból a korból, amikor egyik tudományt sem hívták így, ugyanakkor kihívást jelent, hogy felhívjuk a figyelmet azokra az esetleges hibákra, amiket nem szabad elkövetni az OSINT-re támaszkodó kutatások során.
Mi különbözteti meg a tudományos igényességű OSINT-et a stalkolástól, ha az OSINT-tel elvben szinte mindent láthatóvá tehető, hogyhogy mégsem terjedtek el a módszerei, ha ennyire hatékonyak? Miért szerencsétlen, de elkerülhetetlen dolog összehasonlítani a hivatásos állományú nyomozók, magánnyomozók és tényfeltáró újságírók munkájával az OSINT-szakértőét valamint miért legalább olyan fontos része az OSINT-nek a kriminalisztika elméletinek tűnő részének ismerete, mint maguk a technikák?
Mi az OSINT és mi biztosan nem? Három, a kimondottan nyomozási folyamatoknál jól ismert feltételnek mindenképpen teljesülnie kell. A konkrét kutatás legyen (1) szükséges, (2) célhoz kötött és (3) arányos. Mogyoróhéjban ez annyit jelent, hogy döntünk róla, hogy az információra egyáltalán szükség van-e, ne fusson semmi vaktában, hanem csak a kutatás alanya, érintettje, amin-akin keresztül valamilyen részeredmény várható, ezen kívül ne lőjünk ágyúval verébre. Mindhárom feltétel imádott visszatérő téma a kontinentális és tengeren túli jogtudományban egyaránt, mivel a hírszerzésnek és a bűnüldözésnek is ezen hármas szerint kellene eljárnia.
Ha a fenti hármas szabályt kutatás közben betartjuk, mindegy, hogy szociológusként, nyelvészként, piackutatóként alkalmazva, hasonlóan ahogy egy hivatásos nyomozó jár el egy bűnügyben, némi rutinnal sokkal kevesebbet kell agyalni-dilemmázni azon, hogy amit csinálunk, mennyire etikus. Ez után nem is szorul magyarázatra, hogy az OSINT-et alkalmazó kutató tökéletes inverze a stalker, amelyik az exe, pasija, csaja, főnöke, után “kutatni” próbál.
A következő kérdéskör, hogy abban az esetben, ha az OSINT, haladó keresési technikák, becézzük, ahogy szeretnénk, már-már szinte mindenható, miért nem tanultak bele sokkal többen ráadásul éppen ebben a korban? Legvalószínűbb magyarázat ismét csak a misztikus köd: ha valakit esetleg még érdekel is, könnyen gondolhatja úgy, hogy sosem kerülhet elég tudás birtokába vagy nem férhet hozzá a megfelelő eszközökhöz, aztán bele sem kezd.
Milyen forrásokból érdemes tájékozódni mégis? Általános válasz természetesen nincs, ahogy kezdtük, éppen azon van a lényeg, hogy a módszerek kevéssé ismertek. Viszont a teljesen kezdők számára még a magyar nyelven rendelkezésre álló irodalom is kitűnő ugródeszka. Másrészt számtalan forrás elérhető közkönyvtárakon, szakkönyvtárakon, levéltárakon keresztül, ha offline segédletről van szó.
Ha valakinek van közelebbi-távolabbi ismerőse rendvédelmi szerveknél, katonai- vagy polgári nemzetbiztonságnál dolgozó szakértők vagy tisztek közt, akikkel rendszeresen összefuthat például szakkonferenciákon,   kábé mindenről lehet velük beszélni, csak a melójukról nem. Miért is?
Azzal kapcsolatban eléggé világos a helyzet, hogy folyamatban lévő ügyről nem mondhatnak semmit, mivel az minősített adat, ezzel kapcsolatban eléggé világosan fogalmaz a törvény. Még annak is érthető az oka, ha egy-egy nyomozó miért nem beszél úgymond kifelé olyan ügyről, amivel kapcsolatban már megtörtént egy különösen juicy büntetőper teljesen nyílt tárgyalása, jogerős ítélettel pedig az érintetteket lecsukták olyan ezer évre. Igaz, a bíróság előtt bemutatott bizonyítási eszközök nem pontosan egyeznek azzal, amiket a nyomozati szakaszban használtak, de elvben nem lenne akadálya egy-egy ilyen bizonyítás valamint az egész folyamat szinte teljes megismerésének. Az a kockázat rendszerint lóg a levegőben, hogy a civil például újságíróként megírja a sztorit, de már kicicomázva, ami nem vetne jó fényt a hatóságokra. Például beleírná, hogy a terhelttel kapcsolatban mennyi ideig végeztek titkos információgyűjtést vagy titkos adatszerzést, de nem írna ennek elengedhetetlen voltáról a konkrét ügyben.
Ahogy azzal sem sértené meg senki a törvényt, ha elmagyarázná másnak, hogy hogyan is történik például az ujjlenyomatok felvétele és kezelése vagy a biológiai anyagmaradványok kezelése. Nagyon naivan lehetne azt mondani, hogy ekkor az, aki tud róla vagy akinek elmondja, nehezebben lenne azonosítható, ha ilyen-olyan kriminalisztikai ismeretek birtokában követne el bűncselekményt, ügyelve rá, hogy milyen nyomokat ne hagyjon maga után. Ugyanis ekkor éppen a modus operandii buktatná le, azaz az alapján tudnák a nyomozók szűkíteni a kört, hogy kik lehetnek azok, akik különösen figyeltek arra, hogy bizonyos típusú nyomokat ne hagyjanak maguk után. A kriminalisztika, konkrétabban pedig nyomtan és krimináltaktika egyik sarokköve, hogy azért nincs tökéletes, megfejthetetlen bűntett, mert annyi eszköz áll rendelkezésre, hogy még a legfelkészültebb elkövetőnek is képtelenség mindenre figyelnie. Többen olvashattak már olyan városi legendába illő sztorikat, hogy egy rutinos igazságügyi orvos eltette az asszonyt láb alól, majd próbált minden nyomot eltüntetni vagy éppenséggel egy nyomozó olyan ügyben nyomozott, ahol ő volt az elkövető. Mindegy is, hogy ezek városi legendák vagy tényleg történt ilyen, éppen azért buktak el, mert az elkövetés módja annyira eltért a tipikustól.
Amire sokáig nem találtunk normális magyarázatot, hogy általánosságban miért nem mond szinte semmit a hírszerző, hírszerzésnél dolgozó szakértő, rendőr vagy katona ismerős, hiszen egyrészt általában nincs ezzel kapcsolatban nincs törvényi korlátozás, a kriminalisztikai módszerek mellett a büntetőeljárás joganyagai, az Rtv, a titkosszolgálatok működéséről rendelkező törvények is nyíltan elérhetőek. Azaz ha valakit érdekel, úgyis megtalálja irodalmazás során a megfelelő helyen akár egy-egy konkrét módszer mikéntjét, csak éppen sokkal több időt vesz igénybe. Aztán sok-sok év után megkaptuk a választ, a magyarázat ugyan nem lesz rövid.
Már az ókorban megtörtént a hatalmi ágak elválasztása. Érdekesség, hogy a mai napig olyan államokban, ahol deklaráltan nincsenek elválasztva a hatalmi ágak, például Szaud-Arábiában olyannyira nem, hogy a Korán jelenti a de facto alkotmányt, be vannak építve olyan kontrollok, garanciák, amik miatt a király sem tehet meg bármit.
Gyakran nem gondolunk rá, hogy Európában nem is olyan nagyon régen alakult ki, hogy bizonyos feladatkörök, tevékenységek, mint például a pénzkiadás vagy éppen az igazságszolgáltatás, az állam monopóliuma. Eléggé világos, hogy miért nem nyomtathat senki pénzt a sufniban, az már kevésbé világos, hogy  miért létezik az a hallgatólagos álláspont, hogy a civil ne nyomozgasson, még akkor sem, kutatásnak nevezi, mégpedig azért, mert könnyen előfordulhat, hogy olyan eszközt használ információszerzéshez – hangsúlyozzuk, legálisan! – amit olyan területen szoktak alkalmazni, ami állami monopólium, azaz az igazságszolgáltatás területe.
Világos, hogy bizonyos esetekben még meg is lenne a célhoz kötöttség, arányosság és szükségesség, nem alkalmazhatsz egy eszközt egész egyszerűen azért, mert a törvény tiltja. Azaz nem kötelezheted a szomszéd nyugdíjast, hogy minden kérdésre maradéktalanul válaszoljon őszintén tanú szerepben, ez az egyszerűbb eset.
Azaz az állam, egyébként nagyon helyesen, nem is akarja kiengedni a kezéből az igazságszolgáltatás  monopóliumát, ugyanis abból komoly kavar lehet. Ha például kitenné a kirakatba a nemzetbiztonsági szervek egyike, hogy milyen módszereket alkalmaznak, amik még az OSINT körébe tartoznak, azaz passive reconnaissance eszközök, nos, azt a módszert olyan is elkezdené használni, aki erre nincs képesítve és szakszerűtlen irányba menne el egy civil magánakciója, másrészt rá, mint civilre, nem is vonatkoznak azok a szabályok, amik a nyomozókra igen.
Egyrészt előfordulhatna, hogy legálisan, mondjuk puhatolással jutna valaki olyan információhoz, amivel törvényt ugyan nem sértene, mégis komoly érdeksérelmet okozhatna ezzel másnak, főleg, ha közzéteszi.
Másrészt előfordulhat, hogy valaki civilként nincs tisztában azokkal az etikai és jogi ismeretekkel, amik szükségesen annak eldöntéséhez, hogy valamit meg szabad-e tenni vagy sem. Példaként tekintsük a következő, szakállas Google dorkot. Vajon szabad rákeresni arra, hogy

intitle:index of /maildir/new
A válasz, hogy igen. Egy rakás levelezőrendszert látunk, amit elszúrt beállítás miatt indexelt a keresőmotor. Ez eddig nem sért törvényt. Viszont aki ilyenre rákeres, annak tisztában kell vele lennie, hogy ami megjelenik előtte találatként, valakiknek a levelezése, amihez semmi köze nincs. Azaz ha egyetlen ilyenbe is belekattint valaki, sanszos, hogy már meg is sértette a törvényt.
Harmadrészt nem zárható ki olyan eset sem, amikor valaki még tisztában is van azzal, hogy egy bizonyos pont után már törvényt sért, de mégis megteszi. Azaz ha valaki egy paste-siteon talál egy rakás, felhasználói név-jelszó párost, majd nem is gondolkozik rajta különösebben sokat, máris megkeresi az ex-barátnőjének belépési adatait és lép is be vele valamilyen szolgáltatásba stalkolni, néhány perccel később pedig már könyékig vájna olyan érzékeny információkban, amihez semmi köze nincs.
Ezzel kapcsolatban a legelképesztőbb példa, amit nemrég lehetett olvasni, hogy egy nagyobb adatszivárgást követően az egyik legnagyobb hírportál hülye újságírója úgy validálta az adatok helyességét, hogy fogta az egyik felhasználói név-jelszó páros, belépett vele, mindezt pedig még meg is írta…
Azaz! Számos olyan módszer létezik, ami önmagában nem sért törvényt, viszont erősen prediszponálja, hogy valaki törvénysértést kövessen el vele akár szándékosan, akár a tudatlansága okán. Na ezért nem fog egy civilt  kiokosítani például egy NBSZ-es ismerős az alkalmazott módszereikkel kapcsolatban. Ami másik oldalról számomunkra megmosolyogtató, mert a módszerek szinte mindegyike elérhető több vagy kevesebb irodalmazással, kereséssel.
Ugyanakkor a kriminalisztika nem csak, hogy fontos, sokszor konkrétan kihagyhatatlan. Tételezzük fel, hogy valaki az IT területén betörési minták kutatásához honeypotokat állít be, akár egy teljes szenzorhálózattá kialakítva azt, nem kell újra feltalálnia a kereket, ha tisztában van vele, hogy milyen az ideális kriminalisztikai csapda.
Amit még nagyon fontos tisztázni, egy szerencsétlen nyelvi jelenségből ered. Ki a kém, hírszerző, fegyveres rendvédelmi szerv tagja, terrorelhárító, tiszt, magánnyomozó? Ugyanis ezeket a közbeszéd egy lapon tartja számon, de most nem azzal foglalkozunk, hogy egy konyhanyelvi megnevezés melyiknek felel meg ténylegesen, csak egyet emelünk ki, amit a legtöbben rosszul tudnak.
A magánnyomozó nem nyomozó, attól, mert komolyan hangzik. Magyarországon a magánnyomozó ugyanolyan civil, mint bárki más, bármiféle hatósági jogkör nélkül. Igaz, hogy a magánnyomozó nagyon sok esetben korábbi tapasztalt rendőr, abban a pillanatban, amikor esetlegesen egy volt kollégáján keresztül ér el olyan információt, ami hatósági engedélyhez kötött, például a Magyarországon alkalmazott Robotzsaru Neo rendszerén keresztül ér el adatokat, mindkét fél vastagon törvényt sért. Sőt, ennél sokkal kevesebb is elég hozzá, például ha egy magánnyomozó hivatalos személynek adja ki magát és annak megfelelően tesz valamit, ha feljelentik, magyarázkodhat bőven.
Természetesen, ha valaki beszélgetés közben olyan kommunikációs műfogást alkalmaz, amit a fedett nyomozók szoktak és sikerrel is jár, azaz a másik elmond olyat, amit egyébként nem mondana el, ha konkrétan belekérdezne valaki, önmagában ez nem ütközik semmilyen törvénybe. De ez már HUMINT.
Gyakori, hogy egy kívülálló nem tudja hova tenni azt, aki a munkája során OSINT-eszközöket alkalmaz, aki tervezi, számíthat rá, hogy a következőkkel fogják összemosni:
– nettó stalkerek
– magánnyomozók – ők erőből mennek, pofátlanul drágán, de legalább ezer éves módszerekkel
– tényfeltáró újságírók – ők szöszmötöléssel dolgoznak és az a becsípődésük, hogy a kapcsolati tőkével minden információ elérhető
– hivatásos, nyomozati jogkörrel rendelkezők – a törvény erejével, felhatalmazásával valamint az eszükkel dolgoznak
Egy összefoglaló jellegű mű mélyebb betekintést enged a témába, a Bócz Endre szerkesztésével megjelent Kriminalisztika I-II, amiről épp egy korábbi posztban már írtunk is. Fontos, hogy a könyv sosem jelent meg könyvkereskedelmi forgalomban, viszont egyrészt minden nagyobb könyvtárban van helyben használható példánya, másrészt alighanem ugyanúgy megvásárolható, személyesen a Belügyminisztériumtól, mint korábban. Mivel kézikönyvről van szó, nem végigolvasásra szánták, eléggé világos, hogy a lőfegyverek okozta elváltozásokat és hasonlókat tárgyaló részre nincs szükség, viszont a nyomtani, bizonyítástani részekre már igen. Ezen kívül a kapcsolódó részek átolvasása után az ember nem néz hülyén, ha eseti szakértőnek kérik fel vagy meg kellene találni a közös hangot olyannal, akinek a munkájához tarozik.

Michael Bazzell – Open-Source Intelligence Techniques
– az OSINT alapműve, aminek a legújabb kiadása pár hónapja jelent meg. Közvetlenül alkalmazható technikákat mutat be és magyaráz el annyira jól, hogy nem túlzás azt állítani, hogy sok-sok hasonló című könyv ebből lett összelopkodva. A valóban hatékony tanulás közben persze nem csak a konzerv megoldások lesznek az olvasó kisujjába, hanem elsajátítja azt a készséget, hogy ő maga találjon újabb és újabb technikákat.
Matthew Russel Mining the Social Web könyve az egyik legparáztatóbb könyv, amivel életünkban találkozhatunk. Ugyan ez már bizonyos szintű programozási tudást feltételez, egészen elképesztő dolgokat lehet a benne leírtakat követve varázsolni, olyan rejtett összefüggéseket előásni, amikre egyébként esélytelen más úton rájönni. Azért fontos, hogy a második vagy újabb kiadást szerezzük be, mert a hibajavítások és bővítések mellett az első kiadásban még egyáltalán nem vagy csak érintőlegesen tárgyalt témákat hoz be, mint amilyen a LinkedIn, Google+ vagy a GitHub bányászata. Fontos, hogy ez nem jobb vagy rosszabb, mint az előző, hanem teljesen más!
Több ajánlott irodalmat csak azért sem írunk, érdemes erre a háromra összpontosítani. Ha valakinek nincs rutinja a Python-programozásban, egy okkal több, hogy megtanuljon, emellett világossá válik az az általában érthetetlennek tűnő, közbevetés, hogy a téma elválaszthatatlan a nyelvtudománytól és a matematikától, de egyik sem harap.
Korábban peddzegettük, hogy az OSINT-et egy bizonyos szint fölött csak ágazatspecifikus módon lehet művelni, ahogy a tudomány fejlődésével más területeken is jellemző a tagolódás. Az elején még nem kell vele foglalkozni, viszont később világos lesz, hogy aki etikus hekkerként céges hálózatokról gyűjtene információt, annak megfelelően kell a korábban szerzett szaktudását ebben a keretbe beágyaznia. Míg ha valakit az érdekel, hogy bizonyos rétegek nyelvezetére jellemző kifejezések, nyelvi jelenségek, az ország mely részein dominálnak, fordulnak elő együttesen, a nyelvtechnológiához és szociolingvisztikához kell értenie. Ha valaki megpróbál kábszihálózatokat felgöngyölíteni vagy éppenséggel egy-egy, polgárháború sújtotta országban a további zavargásokat elemezni és előrejelezni, célzottan annak megfelelő tudásra lesz szüksége. Szerintem ezzel sikerült szemléltetni, hogy az OSINT általános célú, líraian úgy is fogalmazhatnék, az információszerzés lingua franca-ja, amiben ugyanúgy kérdéseket fogalmazunk meg, csak éppenséggel teljesen más módon. Mindezt a közösségi média korában.
képek: Amazon, Computerweekly, Expertsystem, International Institute for Counter-Terrorism

“Nyílt-forrású információszerzés – kémek, kurvák, gengszterek, OSINT” bővebben

Home office – elmélet, gyakorlat, másképp

Amikor arról van szó, hogy home office teljesen meg fogja változtatni a munkavégzéssel kapcsolatos mai fogalomrendszerünket és át fogja szabni a munka világát, sokakban egész egyszerűen életszerűtlen jóslatok  is megfogalmazódnak. Több szervezet hatékonyan átállt szinte 100%-ig az otthoni munkavégzésre, míg többé-kevésbé világos, hogy mik azok a területek, ahol ez még a mai ICT megoldások ellenére sem tűnik kivitelezhetően, legalábbis komoly kockázatvállalás nélkül biztosan nem.

Az otthoni munkavégzés és a távmunka gondolata nem új, olyannyira nem, hogy már Max Weber is felvetette, mint a munkavégzés egy lehetséges általánosan elterjedt formáját.
Csak nagyságrendileg lehetne megmondani, hogy mennyi olyan, 5 évesnél nem régebbi publikációt olvastam, ami kísértetiesen hasonló következtetésekre jutott. A legkomolyabb kihívások közt kiemelhető, hogy az alkalmazottak attól tartanak, hogy elvesztik a kontrollt a munkavégzés és időbeosztás fölött, ezen kívül a megkérdezett, valamilyen vezetői pozícióban lévő alkalmazottak egy harmada nyilatkozott úgy, hogy csak akkor hiszi el, hogy valaki dolgozik, ha látja.
Praktikus szempontok alapján sorra veszem, hogy mik a legkomolyabb érvek a home office mellett és mik a legkomolyabb aggályok, amiket a jövőben fel kell oldani, mit mond ezzel kapcsolatban ma a szervezetpszichológia. A kapcsolódó tudományos publik többsége – sok esetben nagyon helyesen – megmarad a mérhető adatok közlésénél, következtetések levonásánál, de nem mondd semmit azzal kapcsolatban, hogy változtatni hogyan lehetne, de nem csak azért, mert a kutatásnak ez nem feladata, azért sem, mert még nem gyűlt össze elegendő tapasztalat különböző kultúrákra nézve.
A home office ma elfogadott koncepciója egybevág a tudományossal, ami szerint aki szivesen végzi a munkáját, az mindegy, hogy munkahelyen vagy más helyen dolgozik, persze még ezt is bőven lehetne mivel kiegészíteni, de világos, hogy a home office bizonyos területeken annak ellenére sem vezethető be, ha az alkalmazottak egyébként szeretik a munkájukat. Ennek egyik oka lehet, hogy az alkalmazott karaktere olyan, aki jó munkaerő ugyan, viszont kevésbé tudja értelmesen szervezni a rendelkezésre álló időt. Jópár szoftverfejlesztőt én is meg tudnék nevezni, akik tehetségesek ugyan, de a kozmetikázatlan igazság az, hogy alighanem részfeladatok esetén is mondani kell nekik, hogy mit is kellene csinálni.
Viszont az is világos, hogy tömegesen vannak, akik alkalmasak rá, a továbbiakban az ő szempontjukból szemlélem a home office-t.
Számtalan helyen írnak róla, hogy az otthoni munkavégzéshez mi legyen előkészítve és mik azok az esetlegesen zavaró tényezők, amiket ki kell küszöbölni. Gyakorlati szempontból ez annyit jelent, főleg, ha valaki először dolgozik home office környezetben, amikor a munkára kell összpontosítani, akkor ki kell kapcsolni vagy szimplán meg kell tanulni tanuljuk ignorálni a privát, nem munkához kapcsolódó kommunikációt, különben sokkal kevésbé lehet egy-egy részfeladatra figyelni.
Ha a neten valaki hatékony munkavégzéssel vagy hatékony tanulással kapcsolatos információkat keres, azt tapasztalhatja, hogy a csapból is az folyik, hogy a hatékony időmenedzsment a lelke mindennek, ami csak olyan speciális esetekben igaz, amikor valakinek egy lélekölően monoton feladatot kell végeznie. Persze, az időmenedzsment is fontos, viszont igazán hatékony az lehet, aki az energiájával tud jól gazdálkodni. Ami a todo-listákat, prioritások beállítását illeti, fontosak a mérföldkövek kijelölése, hogy követhető legyen az, hogy egy nagyobb feladat megoldásában hol kellene állnunk éppen, erre már jobb megoldás például a Gantt-chart.
Európában a home office-t elsősorban tudásintenzív cégek alkalmazzák, ebből adódóan, ha ott értéket szeretne teremteni valaki, elengedhetetlen, hogy gyakran utánanézzen valaminek feladatspecifikusan, az újonnan szerzett tudást beépítse a már meglévő ismeretei közé, majd úgy fusson neki a feladatnak a maximális hatékonyság érdekében. Példaként írom, hogy tegnap kigondoltam, hogy a home office téma kellően érdekes téma ahhoz, hogy írjak róla, viszont ha önmagam számára túl korai deadline-t jelöltem volna ki, ez az írás az életbe sem készülne el. Nem, még akkor sem, ha egyébként a szükséges háttérismeretek jókora részben már rendelkezésre állnak – azokat elő is kell varázsolni.
Ha valaki ilyen helyzetbe kerül, akkor másnap már kevésbé kell feszengenie bármiféle határidőtől, gördülékenyen megy. Ez olyannyira igaz, hogy az időmenedzsment helyett praktikusabb lenne az energiamenedzsmentet előtérbe helyezni, hiszen az utóbbi sokkal inkább igazítható a szellemi teljesítőképességhez, más kérdés, hogy mérni már sokkal nehezebb lenne.
Többen tapasztalati alapon tervezik az idejüket olyan módon, hogy másfélszeres szorzót alkalmaznak az adott feladat becsült időigényével kapcsolatban, ilyenkor lényegében tudattalanul pedig az energiagazdálkodásukat szervezik át.
Tág értelembe véve informatikai és kreatív területen nagyon sokaknak nem jelent problémát a munka ütemzése, ha pedig valakinek mégis, bőven vannak olyan források – például a Mind Tools, https://www.mindtools.com/ – amik különböző szinten segítséget nyújtanak benne, ezen a ponton hívnám fel a figyelmet egy érdekes összefüggésre. Többen azt vallják, hogy a diploma nem számít, ugyanakkor az, hogy valaki diplomát szerzett vagy jópár évet lehúzott egy erősebb helyen, amit biztosan megmutat, hogy elsajátította azokat a tanulási drilleket, ütemzési stratégiákat, amikre a munka világában is szükség van. A megszokások szerepe pedig órási, jobb példa a szemléltetésre nincs is, mint az, hogy ma már a korábban szinte kezelhetetlennek hitt ADHD-val élő gyerekeknél és felnőtteknél módszeresen kialakíthatók olyan megszokások, amik miatt legalább olyan jó, sőt, esetenként jobban teljesítenek, mint a többség.
Világos, hogy a könyvesboltban halomra állnak azok a könyvek, amik nem kevesebbet ígérnek, mint azt, hogy hogyan legyen az olvasó egy hét alatt eszelősen sikeres, gazdag, hatékony, jó szemmel ki lehet választani az olyan forrásokat, amik a képességeink fejlesztésében tényleg komolyan vehető információt adnak, ugyanakkor figyelembe kell venni az egyéni változatosságokat is, ami óriásiak lehet. Azaz egy leírt technika vagy gyakorlat valakinél hatékony, megint másnál nem.
Ősrégi megfigyelés, hogy a többségnek nagyon komoly problémát okoz, ha saját magának kell értelmesen beosztania az idejét, mert a munkában teljesen máshoz szokott hozzá. Alighanem többen ismerünk olyat, aki az egyetemen teljesített, amennyire kellett, de tehetség ide vagy oda, a szabad idejének nagyobb részét elképesztően értelmetlenül töltötte, majd az egyetemet követően bekerült egy olyan közegbe, ahol nyilván szabályozottan kellett megoldani a feladatokat, ott ki tudta bontakoztatni a tehetségét, ami a szabad idejében teljesen biztos, hogy nem ment volna. Ide vagy oda azzal, amennyit eddig tanultam az emberi viselkedésről, máig rá tudok csodálkozni, hogy sokan mikre lennének képesek, mégsem teszik.
Több kutatás kiemelte a home office kapcsán a face-to-face kommunikáció hiányából adódó hatásokat. Többször hallani, hogy a testbeszéd és a gesztikuláció, mint metakommunikációs elemek, mekkora részét teszik ki a kommunikáció egészének. Alighanem nem lehet meghatározni ilyen arányt vagy nincs túl sok értelme. Ami viszont tény, hogy nyelvtől és kultúrától függetlenül a másik féllel folytatott metakommunikáció szerepet játszik a másik megértésében. Ha úgy tetszik szó szerint, mivel egyértelműbbé teszi a másik kommunikációját, a nyelvhasználat esetlegességeiből adódó lehetséges félreértéseket csökkenti. Ha úgy tetszik ez az emberi kommunikáció beépített hibajavító funkcióinak egyike.
Igaz, nagy utat járt be az egész ICT, ha a csapatmunka támogatásáról vagy elengedhetetlen platformjáról van szó, egyre jobban közelítenek a gyártók ahhoz, hogy az egyre újabb és újabb kommunikációs megoldások egyre jobban le tudják képezni a természetesen személyes kommunikációt. Annak ellenére, hogy valamiféle cset minden ilyen suite-ban bekapcsolható, elengedhetetlen részt képez például a videókonferencia-hívás funkció, amik persze nem egymás kiváltására, hanem egymás kiegészítéseként vannak a szolgáltatásba építve és annak megfelelően is kell használni, de rendkívül nehéz lenne meghatározni szabályszerűségeket azzal kapcsolatban, hogy mikor szerencsésebb a videóhívás és mikor a cset.
Sokan, akik home office-ban dolgoznak, valamiért mégis annyira igénylik, hogy a munkahelyhez hasonló közeg vegye körbe őket, hogy  főleg az USA-ban telework centerekbe, lényegében bérelhető irodába mennek be dolgozni, de gyakori megoldás az is, hogy valaki a munkahelyétől eltérő fix pontot jelöl ki magának, ahol dolgozik és oda jár be. A témában megkerülhetetlen az utóbbi pár évben kitermelt egyik legrémesebb buzzword: digitális nomádok. Nem feszülnék neki pontos meghatározásnak, gyakorlatilag nem térnek el a néhány évtizeddel ezelőtti juppie-któl, csak éppen a juppie-k nem netre kötött kütyükkel utazgattak munka közben.
Tömegesen találni olyan kutatásokat, amik arra a következtetésre jutottak, hogy home office, persze az alkalmazott karakterétől függően, de növelheti a burnout, a depresszió és az izolációval járó nem kívánt pszichés hatások kockázatát.
Az ember társas lény, már az emberelődöknél nyilván nem opcionális volt, hogy csoportban élnek vagy sem, hiszen csak úgy volt esélyük a túlélésre. A történelem előtti időkben a legszigorúbb, közösség által kiszabott szankció a kiközösítés volt, ami egyet jelentett a fajtárs halálra ítélésével. A közösségben való létezés az élet minden területén annyira szerves része a viselkedésünknek, hogy egyszerűen nem hagyható figyelmen kívül. Mindezt nagyon észben kell tartani a munka világában is, ami nem azt jelenti, hogy tartani kellene a home office-tól, azt viszont mindenképp, hogy az alkalmazott számára és a szervezet produktivitása szempontjából sem előnyös, ha az izolációs hatás túlzottá válik.

A webfejlesztés művészete – egyedi vagy CMS?

Gyakran felmerülő kérdés, hogy egy tervezett vagy éppen átköltöztetésre érett webhelyet, legyen az bármilyen formátumú is, milyen módon érdemes megvalósítani. Valóban egyedi megvalósításokra már ritkábban van szükség, mégsincs konszenzus azzal kapcsolatban, hogy melyik a legideálisabb megoldás a legfontosabb szempontok, azaz a könnyű kezelhetőség, a stabilitás, a biztonság és a költséghatékonyság szempontjából. A korszerűbbnél korszerűbb freemium dobozos megoldások mellett a webfejlesztés olyan művészet, ami közben megértjük a web lelki világát. Ezért is érdemes webfejlesztést tanulni, de most inkább a webhelyeknek otthont adó infrastruktúráról lesz szó.

Ha webhelyről van szó, rég természetesnek vesszük, hogy dinamikus webhelyről beszélünk, az pedig teljesen feladatfüggő, hogy mennyire fontos a reszponzív jelleg, már-már művészi kialakítás a megjelenítés szempontjából.

10-15 évvel ezelőtt az első, nagy teljesítményű, de bármi számára könnyen telepíthető tartalomkezelő rendszerek (CMS) elterjedésével teljesen megváltozott a világ. Igaz, többen vannak, akik saját blogmotort írnak. Még ha egészen profi fejlesztésről is van szó, könnyen lehet, hogy előbb vagy utóbb, de sokkal több időt kell majd fordítani rá, mint egy nagyon alaposan dokumentált, széles community supporttal vagy dedikált supporttal rendelkező rendszer esetén, ahogy azt sem nehéz belátni, hogy alighanem senki sem tud egyedül a leglényegesebb szempontok tekintetében jobb blogmotort fejleszteni, mint egy több száz fejlesztőből álló fejlesztőcsapat, amelyik főállásban fejleszti valamelyik jól ismert CMS-t, ami több millió, legkülönfélébb webhely lelkét jelenti.

Ha tartalomkezelő rendszerről van szó, nagyon sokaknak a WordPress jut eszébe, ami egyáltalán nem biztos, hogy olyan remek választás. Főleg, ha valaki saját helyen szeretné telepíteni és üzemeltetni.

A csupasz WP önmagában egy biztonságos CMS, viszont a felhasználó előbb vagy utóbb, de úgyis a több tízezer, mások által írt plugin közül telepít majd néhányat, valamilyen kényelmi funkció miatt. Ezek pedig  egyrészt hatalmasra növelhetik az oldal feltörésének kockázatát, mivel a WP core ugyan rendszeresen frissíti önmagát, a plugin a CMS alapjától független életet él, esetleg évekig nem adnak ki hozzá frissítést. A CMS-ek feltörésének szinte mindegyike egy hülyén megírt pluginen keresztül történik, ami a többi CMS-sel kapcsolatban is elmondható. A másik, amivel számolni kell, hogy a pluginek az egész portál erőforrásigényét egészen elképesztően megnövelhetik.

A shared hoszting szolgáltatók 5-15 USD-ért kínálnak olyan LAMP-környezetet, amire több tartalomkezelő rendszer is telepíthető, viszont éppen azért, mert több száz, esetleg több ezer ügyfél osztozik egy szerver – ami jó esetben nem virtuális gép – erőforrásain, előfordulhat, hogy valakinek a megkergült vagy feltört webhelye miatt az összes többi, azonos szervert használó ügyfél oldalai akadoznak vagy konkrétan elérhetetlenek lesznek. De az is előfordulhat, hogy a hoszting szolgáltató figyelmezteti az ügyfelet, hogy túl sok rendszer erőforrást használ, ezért vagy váltson egy drágább platformra, esetleg szó nélkül jegelik a webhelyét. A keresőmotorok számára is messze nem mindegy, hogy egy oldal milyen sebességgel tölt be, milyen a rendelkezésre állása, ha pedig van valami, amit sosem szabad figyelmen kívül hagyni, hogy a weben egy tartalom akkor létezik, ha könnyen megtalálható.

A webhoszting review-oknak sose higgyünk, az a forrás, ami talán a legteljesebb áttekintést ad a webhoszting piac gazdaságtani és IT részéről is, a Strategies for Web Hosting and Managed Services kötet (Doug Kaye), ha a cloud előtti időket nézzük, amit 2001-ben adtak ki ugyan, beszédes, hogy máig a legjobbra értékelt könyvek közt van.

A jelenséggel kapcsolatban eléggé sokat mond, hogy a shared hoszting szolgáltatók közül többen kimondottan WordPress-hosztolásra optimalizált csomagot kínálnak, persze jóval drágábban, holott technikailag, elvben mindkettőnek ugyanazt kellene teljesítenie.

Mindegy is, hogy WordPressről vagy más elterjedt CMS-ről van szó, egyre ritkábban képzelhető el olyan, amikor valóban indokolt saját tárhelyen futtatni a tartalomkezelőt.

VPS? Jó ötletnek tűnik. WP-t VPS-en üzemeltetve kitűnően látható, hogy hogyan zabálja az oldal az erőforrásokat még akkor is, ha csak néhány látogatója van egyidejűleg. És persze ott folyamatosan ott a kockázata annak, hogy mikor töri fel egy bot vagy egy unatkozó hülyegyerek az egészet vagy akár mikor törik fel az egész VPS-t, azt pedig értelemszerűen nem fogja elárulni a szolgáltató, hogy a VPS-ek üzemeltetésénél az elvárható best practice-eket mennyire tartja be, már ha egyáltalán.

Hogyan néz ki mindez számokban? Egy unmanaged VPS havi 8 és 20 USD közé tehető, a managed VPS esetén pedig ugyanolyan teljesítményű virtuális gépért már ennek az árnak a 4-5-szörösét kell fizetni. Itt érdemes megtorpanni egy pillanatra: egy teljes egészében általunk menedzselt virtuális gép operációs rendszerét, oprendszeri szolgáltatásit, adatbázismotorjait és úgy egyáltalán mindent, ami a webszerver működéséhez szükséges, annak összes moduljával együtt magunknak kell rendszeresen frissíteni, ellenőrizni, ami azért nem automatizálható 100%-ig. Ha pedig valaki cPanel, Plesk, Webuzzo vagy hasonló mellett dönt, hogy webes felületen végezhesse el a leggyakoribb feladatokat, azért szintén fizethet havi díjat, arról nem is beszélve, hogy ezek ugyancsak eszik a rendszererőforrásokat amellett, hogy éppen ezeknek az adminisztrációs felületeknek a szoftveres hibái könnyítik meg egy-egy támadó dolgát.

Összefoglalva, hacsak valaki nem feketeöves guruja a webszerverek üzemeltetésének, havi 15-20 USD-nál nem jön ki olcsóbban és még így sincs rá semmi garancia, hogy ne omoljon össze esetleg az egész egy előre nem látható hiba miatt vagy ne váljon más okból elérhetetlenné.

Ezek után érdemes megnézni, hogy mennyibe fáj, ha a WordPress-oldalt maga a WordPress.com hosztolja: https://wordpress.com/pricing/ Lám-lám, szinte ugyanannyiba kerül, esetleg még olcsóbb is, mintha mindent saját magunknak kellene beállítanunk egy webszerveren a nulláról, a WordPress.com-on viszont a biztonságtól kezdve a rendelkezésre álláson át mindenért a WordPress staffja felel.

Azaz persze, mindig lehet próbálkozni olcsóbb megoldással, emellett a behavioral economics nagy kérdése, hogy hogyan lehet piacon még 2018-ban is olyan szolgáltató, amelyik a tipikusan összehasonlíthatalanul gyengébb teljesítményű és rendelkezésre állású hoszting csomagot el tudja adni drágábban is, mint amennyibe az egy USA-beli szolgáltatónál kerül. Az olcsóság nagyon sokba fog kerülni, ami ráadásul nem derül ki azonnal, de még a pénzvisszafizetési garancia időtartalma alatt sem. Nemrég azzal érveltünk, hogy olyan szervezeteknek, mint Vatikán állam, a Spotify vagy éppen a Facebook, zsebpénz lenne lefejleszteni vagy házon belül hosztolni egy saját blogmotort, mégis egy az egyben a WordPressre bízzák, nem véletlenül.

Amit még érdemes figyelembe venni, hogy akár saját magunk által hosztolt CMS-ről, akár felhőben hosztolt megoldásról van szó, maga a megjelenés olyan mértékben testre szabható, hogy például az erdetileg mikroblogként használt Tumblr minden további nélkül átírható úgy, hogy az egy komoly hírportálként jelenjen meg. Vagy éppen a Blogspot.com-on létrehozott blog sablonja átírható olyan layouttal, hogy az egy életrajzi oldal legyen és így tovább. Persze amivel számolni kell, hogy a Tumblr vagy a Blogspot esetén csak a CSS definíciója több ezer kódsor lehet, mivel minden lehetséges funkcióhoz definiálni kell a megjelenést, ráadásul a mobileszközökre külön! A WordPress.com-on hosztolt oldal esetén viszont nem vagy csak nagyon korlátozottan nyúlhatunk bele a kódba, a theme-be viszont általában igen. Hogy bonyolultabb legyen, a Tumblr nem világos okból, de még egy saját leírónyelvet is bevezetett.

A Blogspot és a Tumblr teljesen ingyenes, költeni akkor kell rá, ha valakinek egy egyedi, profi dizájner által varrt skint szeretne használni, egyébként a cég dizájnerének kell egyedivé varázsolni az eredetileg sokszor egyenesen szörnyszülőtt sablonokat.

Persze végtelen érv hozható fel pro és kontra, ha CMS-ről van szó, mi több, a használt technológiáktól függően lehet, hogy valakinek mégis az a megoldás fog jobban tetszeni, hogy ha nem is a nulláról, de végülis csupasz keretrendszerekben dolgozva készíti el a saját webhelyét, ez viszont feltételezi, hogy a fejlesztő egyszerűen elhivatott a webprogramozással kapcsolatban, ezért fejleszt unikális rendszert, ami viszont már alighanem csak ütős időbeli és anyagi ráfordítás mellett lehetne átírható olyan CMS-sé, amit mondjuk egy óriási cég több száz alkalmazottjának kell használnia alkalomadtán.

Némileg ellent mondva annak, amivel indult a poszt, egyéni és mikrovállalati környezetben van és jóideig lesz is helyük az egyedi fejlesztésű rendszereknek, mi több, kitűnő ugródeszka egy teljesen saját megírása annak, aki behatóan szeretne foglalkozni később a nagy, elterjedt CMS-ekkel vagy azok moduljaival.

Nincs kikezdhetetlen válasz arra, hogy melyik megoldás a legjobb, még akkor sem, ha eléggé világosan meghatározott, hogy milyen, mekkora szervezet mire szeretné használni a portálmotorját.

Stay tuned, a Microsoft webes szolgáltatásokra kihegyezett és az Amazon AWS cloudjára hamarosan visszatérünk, addig is nosztalgiázzunk el ezen a kedves kis semmiségen a temetetlen múltból.