GDPR az információszabadság ellen: hogyan könnyíti a bűnözők dolgát és nehezíti a nyomozókét és kutatókét?

Kezdjünk egy beugrószintű OSINT-kérdéssel: miért lehetetlen titokban tartani ma egy mobilszámot?

imagesMég sok-sok évvel ezelőtt a személyes mobilszám, ha úgy tetszik, kimondottan érzékeny adat volt, amit igen kevesen tettek ki akár az életrajzi oldalukra, vagy adtak meg olyannak, akit nem ismertek valamennyire személyesen. Mi több, egy személyhez tartozó privát mobilszámot akár kimondottan nehéz is lehetett megtudni.

Emlékezetes az az eset, amikor egy válófélben lévő fiatal hölgy a büntetett előéletű férjétől szabályosan menekült, megpróbálta titokban tartani a hollétét és az elérhetőségét, de ahányszor lecserélte a mobilszámát, a férj annyiszor néhány napon belül megszerezte az új számot anélkül, hogy egyáltalán számítógép elé kellett volna ülnie. Pedig a hívószám nem szerepelt tudakozóban, telefonkönyvben, nem volt felregisztrálva semmilyen VoIP-alkalmazáshoz és közösségi webes felületen sem.

Ilyenkor a laikusok rendszerint valamilyen bennfentes szolgáltatói kapcsolatra gondolnak, ám már réges régen, ha egy mobilszolgáltató alkalmazottja vagy annak valamelyik partnere, például egy viszonteladói pont alkalmazottja lekérdezi egy ügyfél adatait (már ha egyáltalán tudja csak személyes adatok alapján), egyrészt naplózásra kerül, másrészt ha kiderült, az alkalmazottat jó eséllyel ki is rúgják.

Röviden szólva régen sem volt, és most sem életszerű egy olyan scenario, hogy “le tudom kérdezni bárkinek a mobilszámát, mert van ismerősöm a szolgáltatónál”. Viszont ekkor az előbb emlegetett büntetett előéletű, igencsak ragaszkodó férj, aki böngészőt is alig látott, hogyan jutott hozzá mégis a mobilszámhoz néhány nappal az után, hogy használatba vette a feleség?

Megfelelő mindsettel nem volt annyira nehéz rájönni: a pasas valamilyen kamu ürüggyel felhívta a feleség válóperes ügyvédjét, esetleg a saját ügyvédje hívta fel a feleség ügyvédjét, majd egyszerűen elkérte a mobilszámot, mint a kapcsolattartáshoz elengedhetetlenül szükséges információt (természetesen nem elengedhetetlenül szükséges). Az ügyvéd pedig szépen mindig kiadta az új számot.

A módszert igazából nem nevezhetjük social engineeringnek, ahogy utaltunk rá, az elkövető alighanem böngészőt sem nagyon látott életében. Nem mennénk el olyan irányba, hogy az ilyen típusú trükközés amellett, hogy ijesztően hatékony, annak ellenére, hogy bűncselekmény, utána lehet nézni, hogy milyen nevetségesen kis súllyal bünteti a törvény.

És akkor a jelen…

Annak a valós életben való kockázata, hogy egy eltökélt, gátlástalan bűnöző a lehetséges következményekkel egyáltalán nem foglalkozva vagy azokat nem is ismerve szerezze meg más számát ilyen módon, meglehetősen kicsi, de ez csak azért van így, mert tényleg gátlástalan bűnözőből kevés van.

Természetesen nem akarunk tippeket adni, de ha valaki nagyon szeretné megszerezni más új mobilszámát, ezért például valamilyen alibivel, felkészülten rátelefonál egy közös ismerősükre vagy az érintett kollégájára és a social engineeringben jól ismert pszichológiai triggerekre rájátszva elkéri a mobilszámot, akit kérdez, szinte biztos, hogy ki is fogja adni a számot. Viszont ekkor alighanem a Tiltott adatszerzés és az információs rendszer elleni bűncselekmények valamelyike megvalósul. Azt korábban már fejtegettük, hogy miért ne nagyon játsszon senki nyomozósdit, mert ha tényleges jogkövetkezménye nem is lesz, morálisan nyilván elfogadhatatlan, már eleve azért is, mert valakit súlyosan meg kell téveszteni.

Most mi nem stalkerekkel foglalkozunk, hanem a továbbiakban szorítkozzunk a felvezetésben említett témára, olyan módon pontosítva, hogy hogyan szerezhető meg egy mobilszám bármiféle manipuláció nélkül, azaz teljes egészében a passive reconnaissance módszereire támaszkodva. Itt fontos megjegyezni, hogy nyílt forrású információszerzésen keresztül más mobilszámához eljutni vagy épp egy mobilszámon keresztül azonosítani annak használóját, nem sért törvényt, viszont azt felhasználni már nagyon könnyen az lehet.

Némi magyarázó értelmezéssel: attól, hogy van egy mobilszámod, ami nincs kint valamilyen nyilvános, triviálisan kereshető felületen, még nem hívhatod fel például üzleti céllal, egyszerűen mert nem a tulajdonosa adta meg.

A NetAcademia beugró szintű nyílt forrású információszerzés kurzusán be szoktunk mutatni néhány ún. reverse lookup szolgáltatás, azaz olyat, ami a számhoz tartozó nevet adja vissza. Ezek közül mindössze kettőnél, amit ki szoktunk emelni, ha magyar mobilszámra keresünk, durván 10 keresésből 8 esetben ad vissza valid találatot, olyan számokra, amik nem szerepelnek a tudakozóban, sem a weben, sem máshol. Ráadásul ingyenes keresőeszközökről van szó. Könnyen belátható, hogy ha mindössze kettő mögött ennyi adat van, akkor több forrást használva gyakorlatilag az összes mobilszám kereshető (esetleg nehezebben).

Mégis hogyan fordulhat elő ilyesmi olyan személyek esetén is, akik esetleg kimondottan szemérmesek a mobilszámukkal kapcsolatban? El is érkeztünk a lényeghez, hogy miért nem lehet, és nem is érdemes senkinek törnie rajta magát, hogy megtalálhatatlan legyen, de előtte szükségszerű egy rövid magyarázat.

Az USA-ban a telefonos spam már évek óta olyan komoly problémát jelentett, hogy egymással vetélkedtek a különböző szolgáltatók, hogyan járjanak az előfizetők kedvében az ilyen hívások számának leszorításában. Mobilalkalmazásokat adtak ki, amivel a felhasználó beállíthatta, hogy az automatizált hívásokat és a telemarketing megkereséseket szűrje ki az alkalmazás, emellett természetesen ne nagyon fordulhasson elő olyan, hogy egy legitim hívást is megfogjon az alkalmazás.

Mi kell ahhoz, hogy egy ilyen szolgáltatás megfelelő módon működjön, azaz jó spamfilterhez illő módon, ami kéretlen hívás, hatékonyan ismerje fel és szűrje ki, és ne fordulhasson elő falspozitív találat? Sok-sok adat, aminek az adattárházát valahogy költséghatékonyan fel kell építeni. Ez pedig a gyakorlatban mindnél szinte ugyanúgy működik.

Amikor a felhasználó telepít egy hívásszűrő alkalmazást, az alkalmazás ingyenes ugyan, de amikor a felhasználó elkezdi használni azt, az applikáció (jobban vagy kevésbé) felhívja a figyelmet, hogy a pontosság növeléséhez szükség van az alkalmazást telepítő felhasználó nevére és telefonszámára, ezen kívül a mobil telefonkönyvében lévő összes (!!) név és szám kiolvasására. Amit persze az app feltölt a szolgáltatás saját adattárházába. A felhasználó pedig miért ne kattintana, máshogy nem is tudná használni a szolgáltatást.

Aztán a júzer dönthet úgy, hogy fehérlistás megoldást választ és csak olyanok hívásait fogadja, akiknek a száma a telefonkönyvében el van mentve. Esetleg megengedőbb, ez már részletkérdés. Mindenesetre a hívásblokkolónak nyilván tudnia kell, hogy mik a biztosan fehérlistás és feketelistás számok annyi adatból, amennyi rendelkezésére áll. A szolgáltatás saját címtára pedig folyamatosan szinkronizál a telefon címtárával.

Vegyünk észre néhány igencsak fanyar sajátosságot!

Az egyik, hogy ha például én titokban akarom tartani a telefonszámomat, tehetetlen vagyok, mert nyilván vannak közelebbi és távolabbi ismerőseim, ügyfeleim, kollégáim,  akik közül mondjuk, hogy mindössze kettőszázan mentették el a számom. Közülük ha csak egyvalaki telepített valamilyen alkalmazást, ami ilyen hívásszűrő feladatot lát el, a felhasználó többi kontaktja mellett már repült is fel a nevem és a számom az adott szolgáltatás adatbázisába anélkül, hogy tudnék róla. Az átlagfelhasználónak ráadásul a kézileg beírt bejegyzésekből is jóval több, mint kettőszáz van.

Itt pedig jön az, ami a saját mobilszámukra szemérmes felhasználók rémálma: alapértelmezés szerint a Facebook, a sokkal személytelenebb LinkedIN és még sok-sok szolgáltatás felajánlja, hogy kedvesen szinkronizálja az ottani kontaktjainkat a telefonkönyv bejegyzéseivel, amit szinte mindenki meg is tesz. Olyan részletekbe pedig most ne is vesszünk bele, hogy a Facebookról máig akkor is kikerült az exportált adatok közé a hívószám, ha az nincs is láthatóra állítva, de az exportálhatósága nincs letiltva (ami ugyancsak alapértelmezés).

A másik fanyar sajátosság, amire a felhasználó nem gondol, hogy az alkalmazás miért lehet mégis ingyenes? Igen, éppen azért. Mert az általuk megszerzett adatokat bizarr módon pont ők elvben át is adhatják harmadik – például telemarketing tevékenységet végző – félnek. Ami a felhasználót akkor sem érdekelné, ha tudna róla, neki az a lényeg, hogy az alkalmazás működjön és kész. A bejegyzések persze maradnak az adattárházban azt követően is, ha a felhasználó egyébként az alkalmazást törölte.

Eddig világos, de hol szivárog ki az adat?

Az ilyen szolgáltatónak nincs is jobb reklám, mintha közvetlenül bizonyíthatja a hatékonyságát a felhasználó előtt. Aminek nyilván a legkézenfekvőbb módja, ha webes felületen megadva a számot szépen vissza is tudja adni, hogy az addig feltöltött adatai szerint a szám kihez tartozik. Valahogy így:

telefonszam-kereses-1

telefonszam-kereses-2

Külön parádés az egészben, hogy ezek a szolgáltatások a találatok pontosságának növelése érdekében kiolvassák a lekérdezést végző felhasználó Google- és Facebook-címtárát is azok API-jain keresztül (igaz, már rákérdeznek előtte), de miért ne kattintana a felhasználó ismét az engedélyezésre?

A fenti két példában csak keresztnevet adott vissza, egyszerűen mert ezen a néven voltam elmentve egy vagy több ismerősöm telefonkönyvében, aki használ ilyen appot. Természetesen mindegy, hogy valaki fehérlistán vagy tiltólistán van számon tartva, ugyanúgy tárolódik, lekérdezhető. A fenti módszerek pár hete még működtek, de ha az olvasó most rákeres a saját számára vagy a fenti mobilszámra, alighanem nem kap majd találatot.

Egész egyszerűen arról van szó, hogy ezeknek GDPR-compliant-eknek kell lenniük egy-két hete, ami a gyakorlatban annyit jelent, hogy ezek az adatbázisok hirtelen megcsappantak, és világos, hogy valamennyi időnek el kell telnie ahhoz, hogy újra felhízlalják őket maguk a felhasználók. Igaz, ebben az esetben én nem rendelkeztem róla, hogy a nevemhez tartozó szám valahova felkerülhet-e, ezt bármiféle tudtom – na meg a saját tudta nélkül – megtette helyettem egy ismerős, akinek benne vagyok a telefonkönyvében.

De ha még nem is működnének ilyen szolgáltatások, akkor is számos módja van annak, hogy egy számhoz megtaláljuk a hozzá tartozó személyt, legalább egy keresztnév szintjén. Szinte mindenki használ Vibert, Whatsappot, Signalt, Telegramot vagy Facebook Messengert. Ezeknél az egyszerű keresési lehetőségek szempontjából némi eltérés van ugyan, de a lényegen nem változtat: kereshetünk bennük telefonszám, email cím, nicknév vagy név szerint is, GDPR ide vagy oda. A keresési-kényelmi lehetőségek nélkül ezek a szolgáltatások konkrétan használhatatlanok lennének.

Az összes üzenetküldő átfésüli a telefonkönyvünket és ha valamilyen azonosító alapján egy bejegyzéshez tartozik az üzenetküldő rendszerben is létező felhasználó (bármelyik azonosításra alkalmas adat szerint), gyakran már meg is jelenik az adott üzenetküldő címjegyzékében.

Remek kérdés, hogy az összes felhasználó hány ezrelékének, esetleg tízezrelékének jut eszébe, hogy az instant üzenetküldő szolgáltatásokhoz sokszor néhány perc alatt létrehozható VoIP-számot hozzon létre és rendeljen hozzá, amivel nehezebben lesz megtalálható ugyan, csak kicsivel lesz nehezebb helyzetben az, aki tudja, hogy hogyan keressen. Ráadásul az okosmobilok IM-appjainak mindegyikében lehetőség van avatar-kép beállítására is, ami alapértelmezés szerint Facebook-profilkép, de lehet olyan profilkép is, ami még a keresőmotorok képkeresőivel is kereshető.

A GDPR nagyon csúnyán odaszúrt a reverese lookup szolgáltatásoknak, aminek ideig-óráig vesztesei a nyomozó hatóságok, amiknek a munkáját már jóideje hatalmas mértékben segíti a nyílt forrású információszerzés. A GDPR vesztesei a magánynyomozó-irodák és vesztese mindenki, aki OSINT-eszközöket használ. Márpedig például a fent bemutatott két szolgáltató annyira komolyan veszi a GDPR-t, hogy például ezen cikk szerzőjének +12024700790, azaz Egyesült Államok-beli számát sem adja már ki találatként, mert a hívószám amerikai ugyan, viszont a hozzá tartozó személy, konkrétan bardóczi ákos, csupa kisbetűvel, EU-s állampolgár, amit ugye ezeknek a szolgáltatóknak tudnia kellett.

Alighanem azok a szolgáltatók, amik nem kis üzletet építettek a hívószámok osztályozására, megtalálják a módját, hogy megmaradjanak, mint GDPR-megfelelőségnek eleget tevő szolgáltatók. Egyelőre nem tudható, hogy a GDPR mennyire csorbította a különböző OSINT-források használhatóságát.

A telefonszámokhoz tartozó nevek megtalálása egy igencsak szerteágazó téma, gyakran kaptuk azt a kérdést, hogy egy személyhez tartozó mobilszám hogyan szerezhető meg. Ennek ugyancsak számos módja van, viszont ha valaki nem elég felkészültséggel végzi, könnyen megsértheti a törvényt. Bizonyos esetekben passzív felderítési módszerrel nem is lehetséges célt érni. (Most technikai lehetőségeket tárgyalunk, és nem jogászkodunk, mivel ahhoz nem értünk.)

A GDPR más területen is olyan változásokt (károkat?) okozott, amiknek még nem látjuk a méretét. Ha eddig valaki bármilyen okból kíváncsi volt rá, hogy egy domain név kihez tartozik, bármikor végezhetett egy WHOIS-lekérdezést, ami olyan kulcsfontosságú adatokat tartalmazott, hogy kivel lehet felvenni a kapcsolatot, ha a domain alatt valamilyen szolgáltatás elérhetetlen, esetleg a domain neve már-már védjegybitorlás vagy súlyosan megtévesztő. Igaz, mióta létezik WHOIS, azóta létezik WHOIS masking is, azaz amikor a domaintulajdonos kérésének megfelelően a tulajdonos adatai helyett egy erre szakosodott szolgáltató adatait mutatta a WHOIS-rekord, viszont az, hogy valaki WHOIS-masking mögé bújt, itt nem részletezett módon ugyanúgy hasznos információ volt, illetve a WHOIS maskinget ki is lehetett játszani sokszor.

A .eu legfelső szintű domain neveket regisztrációja sokáig csak EU-s állampolgárok és szervezetek számára volt elérhető, ahogy egy időben még a regisztrátornak, azaz a regisztrációt végző cégnek is európainak kellett lennie. Ennek ellenére követhetetlen mennyiségű .eu-s domaint regisztráltak be a világ legkülönbözőbb részeiről, és éppen szabályos EU-s regisztrációból van a legkevesebb.

Korábban példának okáért, ha valaki olyan webhelybe botlott, ami nagyon durván törvénysértő tartalmat hordozott, a domainekhez tartozó WHOIS-adatokat az EUrID-ből lekérdezve el lehetett indulni, hogy kié lehet. Ha pedig maszkolva volt, akkor lehetett jelezni a domaint maszkoló szolgáltatónak, hogy baj van. Az persze nem várta meg, hogy elverjék rajta a port a hatóságok, hanem seperc alatt szerződést bontott a problémás ügyféllel, azaz rögtön látható váltak a kimaszkolt adatok.

Mára az .eu-s domainekkel kapcsolatban az EUrID csak annyit mond, hogy foglalt vagy sem és melyik cég a regisztrátor. Ezen kívül van egy hihetetlenül kretén protokoll arra az esetre, ha baj van. Ezen elvileg végig lehetett menni, ha például egy cégnek a nevéhez fűződő jogát megtévesztő módon sérteti egy domain név, hogy durvábbat ne is mondjunk.

Lehetne írni, hogy az Európai Unió domain-ügyben a Kókusz-szigetek (.cc) vagy éppen Palau (.pw) szintjére züllött le, a helyzet talán még annál is rosszabb. (A .cc és a .pw alá tartozó domainek a nehézkes visszakövethetősége miatt annyira a bűnözés, főként spam- és malware-ek terjesztésének melegágyai voltak, hogy a Google tízmilliószámra takarította ki a .cc és .pw végződésű domainekre mutató találatokat az indexéből.) Sajnos a GDPR a szervezett bűnözésnek kedvez azzal, hogy gyakorlatilag ellehetetlenítette egy-egy .eu alá tartozó domain tulajdonosával kapcsolatos információk korábbi rutinszerű elérését.

A végére hagytunk valamit, amit talán helyesebb lett volna az elején értelmezni. Mégpedig, hogy amikor haladó keresésről vagy OSINT-ről van szó, akkor a keresés alanyai a példáinkban miért éppen személyek, nem pedig helyek, események vagy folyamatok.

Egy didaktikai-nyelvtudományi megközelítésű válasz: miért láthatjuk nyelvtől függetlenül, hogy az összes kezdő nyelvkönyv már a legelején olyan példamondatokat tartalmaz, aminek van egy konkrét alanya, akinek a neve például Móricka, Alejandro, Maximilian, Anastasia és így tovább? De még ha nem is nem nyelvkönyvről, hanem kőkeményen nyelvészettudományi könyvről van szó, ott is megjelenik nagyon hasonló. Alberti Gábor és Medve Anna amolyan középhaladó Generatív grammatikai gyakorlókönyvében 640 oldalon keresztül Péterről és Mariról van szó.

A másik ok végül is ugyancsak didaktikai megközelítésű. A történelmi eseményeket emberek alakították, a politikában, az üzleti világban vagy éppen egy bűnügyben, de a mindennapokban is az egyik alapkérdés, ami nélkül egy-egy tény gyakran értelmezhetetlen, hogy kinek a személyéhez köthető.

Azaz nyugodtan kijelenthető, hogy minden olyan intézkedés, ami a személyhez kötődő adatok hozzáférhetőségét ésszerűtlenül korlátozza, a teljes információszabadságot korlátozza, amiben mi, magyarok, eddig is eléggé erősek voltunk: a NAIH egy nem is olyan régi állásfoglalása szerint a levéltárakba eleve anonimizáltan (!!!!!) kellene eljutniuk a dokumentumoknak, aminek az eszementségét nem kommentálnám, de azért képzeljünk el egy olyan történelemkönyvet, ahol az összes személynév fekete filccel van kihúzva.

Android vagy Apple? Zsebekben és nagyvállalati környezetben, hitkérdéseket félretéve

Android vagy Apple? Melyikkel járunk jobban ár-érték arányban személyes használat esetén és nagyvállalati környezetben? Milyen üzleti logika működteti az egyiket és a másikat?

iphone-vs-android-001-1024x576Ez olyan kérdés, amiről mindenkinek van saját tájékozottságán alapuló véleménye, meggyőződése, érvei, de sokkal ritkábban foglalkozik bárki is a témával a tudomány, közelebbről a gazdaságinformatika szigorával, még ha figyelembe is vesszük, hogy a cikk szerzőjének álláspontja nem éveken keresztül folytatott kutatásra alapul, de olyan összefüggésekre viszont igen, amire a végfelhasználók, sőt, sokszor még az egész ICT-szegmens tagjai sem gondolnak.

Az Apple mobileszközein futó iOS-ről és az Androidról próbálunk olyan elemző módon írni, hogy nem is akarjuk görcsösen kikerülni a két rendszerrel kapcsolatos, sokszor odabetonozott közhelyeket, mi több, sokszor inkább ezek hátterét vizsgáljuk meg részletesebben, olyan módon, mintha egy felhasználónak magyaráznánk az egyikkel és a másikkal kapcsolatos miérteket – a teljesség igénye nélkül.

Az Android-felhasználók oldaláról gyakori érvelés, hogy az Android-rendszer rendkívül rugalmas, szinte nincs olyan, amit ne lehetne testre szabni benne. Első blikkre az Android több beállítási lehetőséget enged meg a külcsín terén és under-the-hood, a rendszer mélyét érintően egyaránt, mint az iOS a végfelhasználó esetén. A végén visszatérünk rá, hogy a valóság azért sokkal árnyaltabb.

Jó, ha egy rendszer finomhangolható, testre szabható, sosem szabad megfeledkezni arról a lényegi kérdésről, hogy in real life mit érünk el vele? Világos, hogy aki Android-fejlesztő vagy éppenséggel tech-újságíró, mindig szereti kipróbálni az aktuálisan legújabb és leginkább trendinek mondott feature-t, beállítási lehetőséget. Ám az egyéni felhasználók és a vállalati felhasználók közt nem az Android-fejlesztők és a tech újságírók vannak többségben. Abban az esetben, ha valakit tényleg az újdonságok érdekelnek, éppenséggel telepíthetne Androidot egy Virtualboxba is, a felhasználói élmény nyilván abban tér el, hogy az utóbbit nem lehet zsebre tenni.

Nemcsak ezen cikk szerzőjének, hanem alighanem még nagyon sokaknak személyes véleménye, hogy egy bizonyos árkategóriában igencsak lutri, hogy milyen androidos mobilt kapunk. Ezzel mindenki szembesült már, aki hosszabb kihagyás után ismét elkezdett használni Androidot is. Példaként ha az üzletben veszünk egy Android 7.0-t futtató okosmobilt, akkor az a hallgatólagos elvárásunk, hogy egy meghatározott verziójú operációs rendszer az összes eszközön ugyanúgy fog viselkedni.

Ez olyannyira nincs így, hogy azonos verziójú Android rendszerek esetén gyártófüggő, hogy milyen billentyűkombinációval lehet screenshotot készíteni, a telefont visszaállítani a gyári alapbeállításokra vagy éppen előcsalni a Developer mode-ot a beállítások közt. Ennek fényében pedig belegondolni is rossz, hogy a bonyolultabb működések mennyire gyártófüggőek lehetnek.

Ami a Developer mode-ot illeti, irónia nélkül elmondható, hogy a legolcsóbb mobilok esetén a leghasznosabb lehetőség, mivel ott kapcsolható ki például a grafikus felület animálása, és érhető el több olyan beállítás, amin keresztül lehet takarékoskodni a rendszer erőforrásaival.

Ugyanakkor ez a gyártófüggő viselkedés a korszerű ICT-rendszerek legalapvetőbb elvárásával megy szembe, ami szerint ha egy szoftverterméket specifikáltak, elláttak egy névvel és verziószámmal, akkor az vagy minden támogatott környezetben ugyanúgy viselkedik vagy sehogy. Ha pedig részben, akkor pontosan tudható, hogy mi az, ami nem fog működni vagy máshogy fog működni. Ahogy előbb felvázoltuk, ezt az Android máig nem tudta megugrani.

Abból, hogy gyártófüggő egy rendszer két példányának viselkedése különböző eszközön, egyenesen adódik, hogy maguk az alkalmazások is máshogy fognak vagy tudnak viselkedni. Azaz logikusan azt várnánk, hogy ha van egy androidos mobilunk n-es verziószámmal, amin elfut például a Microsoft Power BI vagy éppen egy egyszerű Evernote, akkor az azonos Android-verziót futtató másik mobil esetén szintén el fog futni, különben miért telepítettek volna arra is ugyanolyan oprendszert. Ilyen szempontból a helyzet annyira sajátos, hogy a Google Play 100 leggyakrabban letöltött alkalmazása közül is, a még mindig gyártott, olcsóbb mobilok csak egy részét képesek használhatóan futtatni.

Igen, erre lehet mondani, hogy nem kötelező a legolcsóbb androidos mobilt megvenni, ha valaki mégis olcsót vett, ne csodálkozzon, ha lassú vagy instabil rendszert kap. Kapcsolódva az éppen nemrég megjelent posztunkhoz, ami szerint valamiféle minőségi minimumot meg kellene, hogy húzzanak a gyártók az IoT-eszközöknél, ismét a FMCG-pharma termékek köréből vennénk elő egy példát.

Több, árban jelentősen különböző, diclofenac hatóanyagú fájdalomcsillapító is van a piacon, amik közt a különbség a csomagoláson túl nyilván az, hogy az egyiket olyan technológiával készítették el, hogy a vivőanyag hatására a diclofenac hatékonyabban szívódjon fel. Az olcsóbb terméknél ez kevésbé működik, ezért hiába, ha ugyanúgy diclofenacot tartalmaz, ám az olcsó vivőanyaggal készülő fájdalomcsillapító hatóanyaga nem megfelelő módon hasznosul, azaz eltér az bioefficacy, más a termék hatása, viszont szó sincs róla, hogy teljesen más lenne.

Olcsóbb fájdalomcsillapító, ezt elfogadjuk. A hazai törvényi szabályozás szerint vény nélkül kapható készítménynél és táplálékkiegészítőnél nagyjából csak annyi a forgalomba hozatal feltétele, hogy ne okozhasson egészségkárosodást normális fogyasztás esetén. Olyan diclofenac tartalmú fájdalomcsillapítót viszont már senki sem szeretne, amiből gyakorlatilag nem szívódik fel mérhető mennyiségű hatóanyag vagy éppen a hatóanyag mellett olyan hozzáadott vegyületet tartalmaz, aminek már néhány adagja mérhető szervi károsodást okoz.

Azaz csak nagyon komoly megkötésekkel lehet azt mondani, hogy egy olcsó készüléken futó Androidtól ne várjunk többet, aztán ne csodálkozzunk, ha egy hét után annyi malware tenyészik rajta, hogy gyakorlatilag használhatatlan lesz az egész, esetleg elérhetetlenné téve több, felhőben tárolt fájlunkat.

Természetesen van azzal kapcsolatos megkötés a Google részéről, hogy milyen feltételeknek kell minimálisan megfelelniük azoknak az eszközöknek, amik adott főverziójú Androidot fognak futtatni. Egy ilyen korlátozás világszinten nyilván ellenőrizhetetlen és betartathatatlan. Ez röviden annyit jelent, hogy ha elmegyünk egy üzletbe, ahol megvesszük a legolcsóbb androidos mobilt, az valójában még annyit sem ér, mint amennyit fizetünk érte, pontosabban a valamihez mérhető valódi érték és az ár sokkal távolabb lesz egymástól, mint egy értékesebb Androidot futtató mobil, vagy a rendszeresen túlárazottnak gondolt Apple esetén.

Való igaz, hogy a különböző mobilok hardveres specifikációi mindenki számára elérhetőek, ahogy utána lehet nézni a különböző benchmarkoknak is. Teljesen világos, hogy a felhasználók tömege nem ezek alapján fog telefont választani, sőt, a benchmarkok sokszor még azok számára is megtévesztőek, akik otthonosabban mozognak mobil-témában.

Ha valakinek valami miatt nagyon nem tetszik az Android, akkor gyakori megoldás, hogy ilyen-olyan főzött firmware-t és OS-t tesz a mobiljára, aminek inkább csak az elvi lehetősége szép és jó. Az esetek többségében fölösleges, másrészt kicsit hasonló a helyzet, mint a saját fejlesztésű portálmotorok versus jól ismert portálmotorok esetén. Azaz valószínűtlen, hogy lelkes önkéntesek egy része által fejlesztett Android-klón jobb legyen, mint a hivatalos, amit sok-sok száz fejlesztő fejleszt főállásban.

android_architektura

Mint nagyon sok más esetben, itt is hajlamosak vagyunk azt hinni, hogy van ingyen ebéd, holott nincs. Ha van valami, ami alól nincs gazdaságtudományi kivétel, hogy az ár valamiféle arányban áll az értékkel, az pedig egy rendkívül messze mutató kérdés, hogy mit tekintünk egy összetett áru esetén értéknek.

A Tinder-felhasználók tudják, hogy maximálisan 160 km-es sugarú körben lehet más felhasználókkal ismerkedni. Ugyan van lehetőség arra, hogy átvarázsoljuk magunkat mondjuk Ausztráliába, ha ott szeretnénk új felhasználókat megismerni, de alapértelmezés szerint ezért az ismerkedős alkalmazásban fizetni kell, a helyünket pedig természetesen látja egy helymeghatározáson alapuló társkereső rendszer.

Adja magát a helyzet, hogy a felhasználó vagy fizet a társkeresőben, vagy megpróbálja megoldani a dolgot okosba’, aminek a legegyszerűbb megoldása Android esetén, hogy engedélyezzük a rendszernek a Mock locationt, majd kézzel állítunk be egy bizonyos helyet az égtelen mennyiségű fake GPS alkalmazás valamelyikével, amelyik magának az oprendszernek fog kamu földrajzi adatokat megadni. Ilyen lehetőség az iOS-nél nincs, a Tindert már ki is cseleztük, és megspóroltuk az előfizetési díjat, viszont érdemes áttekinteni ennek az árát:

Eleve azzal, hogy a Developer mode, ezen belül is a Mock location könnyűszerrel bárki által bekapcsolható, már komoly kockázat. Ugyanis ha elhagyjuk a mobilunkat, esélytelen megtalálni a mobilt jól ismert módszerekkel, például a Google készülékkeresővel, hiszen az értelemszerűen fals GPS-adatokat lát. Mindegy, hogy nagyon olcsó fröccsöntött kínai mobilról vagy egy felsőkategóriás készülékről van szó, ilyenkor az eszköznek annyi, GLONASS, Galileo és a többi ide vagy oda, esély sincs megtalálni, mivel alapértelmezés szerint távolról a GPS-t fake-elő szolgáltatás nem lőhető ki.

Másrészt csak bízhatunk benne, hogy az az alkalmazás, amit letöltöttünk, valóban csak a GPS-koordinátákat fogja megmókolni, de mást nem csinál, mert normálisan, biztonságosra készítették el. Abban az esetben, ha nem, az egyébként teljesen legitim, tömegek által megbízhatónak gondolt alkalmazás is hordozhat magában olyan kockázatot, hogy az ingyenes használatért cserébe a felhasználó a fél veséjével fizet, mert az alkalmazás annyi információt csiripel ki róla harmadik félnek.

Elképzelhető az is, hogy maga az alkalmazás használata valóban díjmentes, de olyan típusú sebezhetőséget tartalmaz, ami megkönnyíti, hogy malware-ek jussanak a rendszerbe, ami pedig ezt követően történhet, sokkal súlyosabb annál, hogy teljesen gallyra megy a készülék: mivel rendszerint Google-accounthoz van kötve a mobil, a malware a jogosultságok kijátszásával felhasználói adatokat módosíthat, tehet elérhetetlenné és így tovább.

Az egyik leginkább legitimnek hitt alkalmazás, a CCleaner-es esetnél jobb példa nem is kell.

Tehát! A legrosszabb forgatókönyv bekövetkeztekor fel lehet tenni a kérdést, hogy tényleg megéri-e olcsó androidos mobilt használni, amiben elérhető a Mock location, amivel a Tindert kicseleztük ugyan, de oda lett minden adat, ami a Google Drive-on tárolódott például.

Igaz, a malware-es az elképzelhető legrosszabb forgatókönyvek egyike, de teljesen világos, hogy egy alkalmazás letölthetősége és használata nem véletlenül díjmentes, ingyenességről szó sincs, bármennyire is szeretnénk azt hinni.

Természetesen nem csak az alkalmazásoknál jelentkezik mindez, az Android üzleti modelljének a legalapvetőbb része, hogy azért tud olcsó lenni, mert amikor a felhasználó elkezd használni egy androidos mobilt, szépen bejelentkezik a Google Accountjával, ő maga egyezik bele, hogy a Google viheti a páros szerveit vagy ha azt nem is, de felmérhetetlenül sok, a végfelhasználó által generált adatot, ami természetesen tartalmazhat igencsak szenzitív adatokat is.

Rögtön meg kell, hogy jegyezzük, 2018-ban, ma, jobban belegondolva mindez nem feltétlenül ördögtől való, sokkal inkább előnnyel jár a felhasználók tömegei szempontjából.

Akárcsak a múltban… 2005-ben a Postini felvásárlása, majd Gmail-lé való átkeresztelése utána sokan köpködték a Google-t amiatt, hogy automatizáltan az összes levelet elemzi. Az eredményt pedig a végfelhasználó, aki Gmail-t vagy G Suite-ot használ levelezéshez, nap, mint nap tapasztalhatja: a világ egyik legpontosabb spamszűrő rendszerét alakították ki, azzal kapcsolatban pedig lehet konteókat gyártani, hogy mi minden másra használták még fel a levelekben lévő adatokat.

Közel másfél évtized után, ma, amint hozzájárulunk, hogy a Google az Androidon keresztül folyamatosan stalkolja, hogy merre járunk, mennyi ideig vagyunk bizonyos helyeken, lehetővé teszi, hogy a Google Maps még pontosabb legyen, már-már valós időben látható, ha egy közúton torlódás van vagy éppen meg tudjuk nézni, hogy egy-egy üzletben vagy szórakozóhelyen általában mikor mennyi időt töltenek mások.

A sok-sok adat olyan, bonyolultabbnak tűnő, valójában pedig jellegükben más felhasználása pedig külön posztot érdemel, például hogy a Firebase hogyan segíti hozzá a fejlesztőket, hogy jobb és jobb alkalmazásokat tudjanak készíteni azáltal, hogy a rendszer megkapja, hogy a rendszer egy része vagy egy alkalmazása mitől-hogyan viselkedett, hogyan használta a felhasználó, esetleg omlott össze.

Ide kívánkozik két nagyon fontos közbevetés.

Az első, hogy a végfelhasználói adatok továbbítása elvben beállítható a Google Accountban, viszont hasonlóan ahhoz, hogy már-már művészi ügyességgel van elrejtve az a beállítási lehetőség, hogy az aktivitásaink alapján ne profilozzon egyik szolgáltatás sem, az Andoidban is alaposan el vannak rejtve ezek a lehetőségek, sejthetően pedig az összes ki sem kapcsolható.

A második közbevetés, hogy az Apple-felhasználók féltudású idióta része gyakran érvel azzal, hogy az Android tényleg visz mindent, amit lát, míg az iOS tiszteletben tartja a felhasználót ilyen szempontból, holott ez szimplán nem igaz. Miközben iOS-rendszert használunk, alapértelmezés szerint az ugyanúgy továbbít információkat az Apple és az alkalmazásfejlesztők felé egyaránt, igaz, sokkal kevesebbet, hacsak ezt nem tiltottuk le kimondottan.

A hatalmas eltérés a kettő közt a transzparencia. Az átlagfelhasználónak esélye nincs felmérni annak a jelentőségét, hogy mit jelent, ha folyamatosan stalkolja a saját mobilja, de a Google egyrészt nem árul zsákbamacskát, másrészt a végfelhasználói adatok továbbítása jórészt nem egyszerűen, de kikapcsolható (egy részük teljes egészében nem).

Az iOS esetén elvben megoldható, hogy egyáltalán semmilyen végfelhasználói adatot ne dobjon vissza az Apple felé a rendszer a működéshez feltétlenül szükséges adatokon kívül, viszont az iOS is figyel, amíg nem tiltjuk meg neki. Példaként ott is alaposan el van rejtve a “Limit Ad Tracking”/”Reset advertising identifier” lehetőség, ami alighanem az a menüpont, amivel azok többsége sem találkozott, aki mindig is Apple-terméket használt.

Azaz az egyik erősen támaszkodik a végfelhasználói adatokra, míg a másik kevésbé, a különbség pedig sokkal nagyobb, mint amekkorának tűnik.

Ahogy utaltunk rá, az Android ördögien jól fel van arra készítve, hogy a felhasználóról a lehető legtöbb adatot nyerje ki, amivel tökéletesíthetők a szolgáltatások; az anomáliák azonosításával zárolhatják a fiókot, ha feltételezik, hogy ahhoz valaki megpróbál illetéktelenül hozzáférni és így tovább. A végcél viszont mégiscsak amilyen jól ismert, olyan gyakran feledkezünk meg róla: hogy a Google minél inkább személyre szabott hirdetéseket tudjon a felhasználó elé tolni, mi több, ezzel akár a fogyasztási szokásokat tömegesen befolyásolni is.

Cserébe pedig minden, ami ebbe az ökoszisztémába be van kötve, díjmentesen vagy rendkívül olcsón használható. Így visszaolvasva szépen leírtuk, amit eddig is mindenki tudott. Nagyon fontos, hogy ez a modell az egésznek a sarokköve, azaz máshogy nem is működhetne. Végfelhasználói adatok tömeges gyűjtése és személyre célzott hirdetésekből befolyó bevételek nélkül a Google és az Android működése elképzelhetetlen.

Az Apple esetén jóval kevesebb végfelhasználói információ csorog vissza az eszközről, még akkor is, ha nincs kimondottan korlátozva mindez, viszont az Apple bevételeinek csak egy töredék részét képzi az, hogy bizonyos alkalmazásokban célzott hirdetéseket jelenít meg, vagy olyan appokat ajánl, amik a korábbi letöltéseink alapján érdekesek lehetnek, de nem ingyenesek. Egyik mobilrendszer sem népjóléti intézmény.

Egy 10 éves gyereknek hogyan mondanánk el, hogy hogyan marad mégis piacon az Apple, ha kevesebb végfelhasználói adatot visz, másrészt sokkal kevesebbet használ fel? Pont úgy: a felhasználó az árat akkor fizeti meg, amikor megvásárolja a terméket, amik valóban magasabb árfekvésűek az androidos eszközökhöz képest. Az pedig már gyakorlati kérdés, hogy nem kell mindig a legújabbat megvenni, ezen kívül ha például iPhone-ról van szó, mivel a felhasználó relatíve ritkán vált mobilszolgáltatót, nem kell feltétlenül hálózatfüggetlennek lennie a mobilnak. Ha valaki a szolgáltatók valamelyikénél vásárolja kamatmentes törlesztőrészlettel, rögtön nem is annyira drága.

Nem várható el mindenkitől, hogy ismerje azt a fogalmat, amit a közgazdászok a pénz időértékének is szoktak nevezni, a lényege pedig abban áll, hogy matematikailag persze nem, gazdaságilag sokkal drágább egy összegben kifizetni például kétszázezer forintot, mint húsz hónapon keresztül 10-10 ezret.

Eddig a magánfelhasználók szempontjából néztük, hogy mi fán terem az Android és az Apple. Mi a helyzet a vállalati, különösen nagyvállalati vagy éppenséggel kormányzati szektorban?

Képzeljünk el egy szervezetet, ahol igencsak érzékeny adatokat kezelnek, a beszerzésnek pedig arról kell döntenie, hogy androidos vagy Apple mobilból vegyenek mondjuk 500 darabot. Az érzékeny adatokat kezelő szervezeteknél elvárás, hogy minél kifinomultabban legyen megoldva a Mobile Device Management, ugyanakkor ne legyen túl drága se. Ha egy alkalmazott elhagyja a telefonját, szükségessé válhat, hogy annak adattartalmát az IT-csoport távolról tudja törölni, esetleg arra is, hogy az eszközhasználati szokásokat figyeljék akár belső, akár külső informatikai fenyegetések kiszűrése céljából, ugyanakkor mindebből minél kevesebbet vegyen észre az alkalmazott.

Ahogy írtuk, gyakori androidos érvelés a testreszabhatóság, valamint az, hogy tényleg le lehet kotorni a rendszer lelkéig, és ott piszkálni a fogaskerekeket. Így logikusnak tűnik, hogy a beszerzés úgy döntsön, hogy a könnyen idomítható, darabra olcsóbb androidos mobilokból szerez be, azokat látja el valamilyen MDM szoftverrel. Az ár-érték arány ismét látszólagos. Van valami, ami csúnyán kimaradt a képletből: az egészet felügyelő devops csoport MDM-re fordított munkaideje, pénzben kifejezve.

Még ha fegyelmezetten is használja mindenki a céges mobilját, azt rendszeresen patchelni kell, figyelni arra is, hogy az MDM-ben meghatározott policy ne legyen megkerülhető és így tovább, ami finoman fogalmazva nem egyszerű feladat. Ha belegondolunk, hogy az Android történetében egymást érték a silány szoftveres implementációra visszavezethető botrányok azok minden következményével. A beszerzés dönthet az Android mellett, viszont alighanem lesznek az IT-seknek álmatlan éjszakáik. Eléggé világos, hogy például egy 3 évre vetített költség magasabb lesz, ha  többet kell MDM-mel és a mobilflottával szöszmötölnie az IT-seknek az elvárt biztonság és stabilitás biztosításához. Hiszen az IT-s ideje is pénz.

Különböző, kimondottan nagyvállalatok számára kínált MDM-megoldások leírásából is kiderül, hogy konkrétan tévhit, ami szerint az iOS rendszerek esetében under-the-hood kisebb a mozgástér, ha testreszabhatóságról van szó. Éppenhogy nagyobb, mivel az Apple-modellből nincs követhetetlenül sok, sőt, mindet előre felkészítették az enterprise környezetben való használatra is.

Informálisan is tudható, hogy ahol amellett döntenek, hogy iPhone-okkal látják el az alkalmazottakat, azokhoz licenszelik az MDM-csomagot, az Androidhoz képest kifinomultabb policyk állíthatók be olyan lehetőségekkel, amik a magánfelhasználók elől teljesen el vannak rejtve. Nehéz és csak konkrét esetben megválaszolható kérdés, hogy az iOS biztonságosabb rendszer-e. Itt azért nem úgy tenyészik a malware, mint a lepra, emellett az iOS zártsága miatt relatíve ritkábban találnak benne célzott támadásra ténylegesen kihasználható sebezhetőséget, amivel esetleg nagyobb kárt tud okozni egy felkészült támadó.

Az viszont biztos, hogy az Apple-eszközöket használó, azok MDM-jét felkonfiguráló IT-csoport kevésbé fog feszengeni, nem kevés munkaidejük szabadul fel azzal, hogy nem androidos eszközöket kell folyton állítgatni. Viszont ebben az esetben nyilván a termék darabára magasabb. Hasonló elvárások és hasonlóan 3 éves kifutás esetén könnyen lehet, hogy olcsóbban ússza meg a szervezet iPhone-okkal.

Azaz hasonló elvárásokért végül is hasonló árat kell fizetni, viszont a közvetett ráfordítás sokszor annyira áttételesen jelentkezik, hogy azt közel sem egyszerű megértetni.

Ember legyen a talpán, aki meg tudja mondani, hogy ilyen esetben melyik az ár-érték arányban kedvezőbb megoldás, pláne ha hozzászámítjuk az olyan közvetett, járulékos költségeket, mint amilyen az, ha 30 androidos eszközt teljesen gallyravág egy malware, vagy egyetlen iPhone-on keresztül történik egy súlyosabb adatlopás egy célzott támadás eredményeként.

A tantermi oktatási korszak vége

Az oktatás digitális áttérése megtörtént. Ez kész tény. Mivel bizonyítom? Egy kínai autóbemutatóval. Az idei pekingi autó show kiállításon 170 új elektromos autómodellt mutattak be. A benzines korszak véget ért, csak éppen ma még benzines autókat veszünk és gyártunk. Hasonlatos ez a jelenség ahhoz, amikor a filmes fényképezés ért véget, de még filmes fényképezőgépeket vásároltunk a boltban.

school-790216_960_720A tantermi oktatás megszűnt, csak még mindig tantermekben üldögélnek sokan, és nyomtatott könyvekből tanulnak. De akárhogy nézzük, egy korszak véget ért.

Egyébként a látszat ellenére a közoktatásban is véget ért a régi módszer, mégpedig azért, mert szakadék tátong a fiatalok információfogyasztási szokásai, és a XIX. századi oktatási módszertan között, és ezt a fiatalok már alig tűrik. A fiatalok a munkájukhoz és életükhöz szükséges dolgokat egyáltalán nem az iskolában tanulják meg, hanem vagy egymástól, vagy online, vagy az élet pofonai által. Az iskolában marad a napi magolás és a napi elfelejtés. A csiga testrészei? Ma bemagolom, holnap doga, holnaputánra elfelejtem. Arany János? Dettó. Szögfüggvények? Dettó.

Milyen tudás kell az életben, hogy a társadalom hasznos tagja légy? Csak néhány kiragadott példa:

Mi az az áfa, hogyan számolom, és hová kerül ez az összeg? Honnan jön az áram? Mi a magántulajdon, és hogy termelődik érték? Mi a különbség a napelem és a napkollektor között? Mi az az ezotéria, és miért esnek bele emberek? Hogyan működik a webböngésző? És a felhő? Mekkora Magyarország, de úgy ténylegesen, világviszonylatban, félretéve a Nagy Magyar Baromságot? Hogyan tároljam az ezer darab jelszavamat? Mi a társadalom? Ki hozta létre? Ki változtathatja meg? Megváltoztatható?

És még sorolhatnám azokat “tételeket”, amiket minden gyermek az élettől “húz ki”, aztán valahogy – többnyire úgy, hogy az adott tételről még soha nem hallott – vizsgázik.

És persze a csiga testrészeire sem emlékszik, meg a Toldira sem…

Miért fontos tudatosítanunk, hogy a tantermi oktatás korszaka véget ért?

Azért, mert az új világban a régi módszerek nem működnek. Konkrétan: a passzív módszerek nem működnek. Nem maradt a földkerekségen olyan ember, akik 20-40-100 órán keresztül képes passzívan ülni egy digitális oktatási rendszerben. Az online oktatás legnagyobb kihívása, hogy ottartsuk a résztvevőket a képzésen. Ha nincsenek a tanteremnek falai, és az oktatás unalmas, a résztvevők megszöknek.

A japán módszer

A japán módszer rávilágít arra, hogy a hagyományos oktatásban használt módszerek valójában sohasem működtek, de a zárt tantermi környezetben ez nem került napvilágra.

Tegyük fel, hogy van egy dárga és roppant bonyolult fényképezőgéped, amit az ismerősöd, aki nem tudja használni a gépet, kölcsönkér, mert Japánba utazik. Mindkettőtök közös érdeke, hogy ő csodálatos fotókat készítsen vele. Te vagy a tanár, a Te feladatod, hogy felkészítsd őt a a bonyolult gép helyes használatára. Három módszer közül választhatsz:

A.) Csinálsz egy PPT-t a fényképezőgép használatáról, majd leülteted egy székbe az ismerősödet, levetíted neki, közben magyarázol

B.) Megkeresed a neten a gép használati utasítását, ami egy 198 oldalas PDF, ezt elküldöd az ismerősödnek, jó utat kívánva neki.

C.) Fogod a barátodat, lenyomod egy székbe, kezébeadod a fényképezőgépet, és megmutogatod a mélységélesség, fehéregyensúly, expozíciókorrekció és hasonló beállítások hatását egy-egy kép elkattintásával.

Normális emberek nem választják sem az A.), sem a B.) megoldást. Nem feltétlenül tudják megindokolni, hogy miért, pedig a válasz egyszerű: mert az első két oktatási módszer egész egyszerűen nem működik. Soha nem is működött. 

Mégis mindig ezt látjuk egyetemeken, iskolákban, sőt már lassan az oviban is.

Egy marék PPT-vel felfegyverkezve nem lehet, sőt, nem is szabad nekifutni az online oktatásnak. A kudarc garantált. De ne tegyünk úgy, mintha nem tudnánk, miért.

Nincs olyan, hogy oktatás

Ha egy picit leszállunk a magas lóról, és kellő alázattal szemléljük az oktatást, olyasmit veszünk észre, ami elsőre nagyon megrendítő. Azt, hogy nincs olyan, hogy oktatás. Csak önkéntes tanulás van, amit mi, oktatók elősegíthetünk, valamint elfojthatunk. Senkibe nem lehet akarata ellenére tudást csöpögtetni, vagyis nincs olyan, hogy oktatás. 

Ha elfogadjuk, hogy nincs olyan, hogy oktatás, nagyot léptünk előre, mert egy csomó felesleges dolgot nem kell többé erőltetnünk, mivel úgysem működik. Például nem kell nagyelőadóban szónoklatokat tartani, mert belefutunk egy másik alaptézisbe, ami…

A szakértő tévedése

Valójában a hagyományos rendszerben sem működik az az oktatási forma, amikor a prof. kiáll, és nyomja a sódert. Honnan tudjuk, hogy nem működik? Hát az ilyen képzések eredménytelenségéből, amit persze a prof. is elismer, de hát a mai fiatalok, na szóval hígul a társaság, vagyis ezek hülyék mind.

Érdekes azonban, hogy a prof. hogy siklott teljesen tévútra. Ő bizonyára eszméletlen sokat tud a saját területéről, de ebből semennyit sem tanult úgy, hogy órákig ült, valaki más pedig órákig dumált neki. Nem, ő a tudását vagy a gyakorlatban szerezte meg, vagy sokat olvasott. 

A szakértő tévedése az a jelenség, amikor a szakértő úgy gondolja, hogy dumálással át tudja adni a tudását másoknak, noha ő sem így szerezte a saját tudását. 

A szakértő tévedése még egy felesleges és időrabló tevékenységtől megszabadít minket, vagyis az elméleti témakörök dumálós oktatásától. Az elméletről adjunk egy könyvet, vagy mossuk bele a gyakorlatba – de sose süketeljünk róla órákat.

Ha a duma nem megy, mit lehetne tenni helyette?

Vizsgáljuk meg, milyen digitális izék előtt képesek az emberek órákat eltölteni, és miért.

Digitális izék

Még mindig előkelő helyen van a tévé és a mozi, órákig elücsörgünk egy-egy filmsorozaton. A filmnézés teljesen passzív tevékenység, mégis ott ülünk, ha a történet leköti a figyelmünket és még autós üldözés is van benne.

Tehát ha az oktatás története lekötné a résztvevőket, és lenne benne autós üldözés, kutyus meg gyilkosság, minden oktatási videó megnézhető lenne. De ez sajnos nemcsak hogy nincs így, de szinte lehetetlen megvalósítani is.

Egy másik digitális eszköz, ami előtt órákig, sőt napokig ül az emberiség, a számítógép. A filmnézéssel ellentétben ez ritkán passzív tevékenység, sokkal inkább munka, szosöl izé, vagy játék (pl. zombigyilkolás), de mindenképpen olyasvalami, ami az “áldozat” aktív részvételét igényli.

Ha az autós üldözés nem kivitelezhető, akkor próbáljuk meg ezt a második utat, az aktivitást és bevonást. És bingó! Ha cselekvésre tudod késztetni, és munkában tudod tartani az online oktatás résztvevőit, 100-200 óra után sem szöknek meg! Na de hogyan?

Céltalan mütyür feladatokkal és tesztekkel csak ideig-óráig lehet fenntartani a figyelmet, ezért mondják sokan, hogy az e-learning halott. Amikor valaki akár 6-8 órában egyvégtében számítógépezik, akkor bizony ALKOT. A feladatunk tehát az, hogy az online oktatásba vigyük be az alkotás folyamatát.

Alkossunk!

Az online oktatás kulcsa, hogy a tanár és a résztvevők közösen alkossanak valamit. Mindegy, hogy mit, a lényeg a mester és a margariták közös munkája, és annak gyümölcse. Ha ez matekpélda, akkor az. Oldjuk meg együtt azt a nyomorult szöveges feladatot! Segítek!

A NetAcademia oktatói minden lehetséges esetben közös alkotásra buzdítják a hallgatókat. Ez a sikerünk titka. Bátran lehet koppintani.

Te is lehetsz igazságügyi informatikus?

igazsagugyi-informatikaMeglepő, de könnyen lehet, hogy igen, csak éppen nem tudsz róla. Ebben a posztban elmagyarázzuk, hogy bizonyos esetekben például egy büntetőeljárás folyamán a nyomozati szakaszban a rendőrség, az ügyészség, a vádemelést követően pedig a bíróság egy-egy szakkérdés megválaszolására nem olyan igazságügyi szakértőt kér fel, aki ezt a tevékenységet hivatásszerűen gyakorolja, hanem egy olyan civilt, aki esetleg az igazságszolgáltatás működéséről annyit tud, hogy a rendőrautón van villogó, a bíró talárban jár, az amerikai filmekben pedig kalapáccsal csapkod, amikor csendet kér a tárgyalóteremben. Hogyan adhat olyan szakvéleményt egy civil, ami esetleg nagyon komoly bizonyító erővel bír?

Először is érdemes átfutni, hogy ki járhat el szakértőként, és mikor alkalmazzák  őt egyáltalán? A törvény szerint:

eseti szakértő: olyan – az eljárásban megállapítandó vagy megítélendő jelentős tény vagy egyéb körülmény megállapításához vagy megítéléséhez – megfelelő szakértelemmel rendelkező természetes vagy jogi személy, aki nem igazságügyi szakértő; valamint olyan igazságügyi szakértő, aki az igazságügyi szakértői szakterületekről, valamint az azokhoz kapcsolódó képesítési és egyéb szakmai feltételekről szóló rendeletben meg nem határozott szakterületen ad szakvéleményt,

(4) Kivételesen az igazságügyi szakértői tevékenység ellátására megfelelő szakértelemmel rendelkező eseti szakértő is igénybe vehető, ha

a) az adott szakterületen nincs bejegyzett igazságügyi szakértő,

b) az adott szakterületen – időszakos hiány vagy egyéb szakmai ok miatti hiány okán – a bejegyzett igazságügyi szakértők egyike sem tud eleget tenni a kirendelésnek, vagy

c) az adott szakterület nem szerepel a miniszter rendeletében felsorolt szakterületek között.

Nagyon durván leegyszerűsítve abban az esetben, ha például a rendőrség, ügyészség vagy a bíróság egy szükséges tény megállapításához nem rendelkezik megfelelő szaktudással, olyan személyt kell bevonni az eljárásba, akinek ez a tudása megvan.

Magyarországon igazságügyi szakértői feladatot igazságügyi szakértőként, szakértőjelöltként, eseti szakértőként vagy szakkonzultánsként lehet végezni. A hivatásos igazságügyi szakértővé válásnak meglehetősen szigorú feltételei vannak, amivel most nem foglalkozunk hosszan.

Azt viszont érdemes megjegyezni, hogy a tevékenységük egészen elképesztően szerteágazó lehet. Igazságügyi orvosszakértőről már mindenki hallott, de gondoltad volna, hogy szükségessé válhat megállapítani, hogy a szemtanúk mennyire emlékezhettek pontosan egy eseményre? Vagy éppen egy angolul beszélő gyanúsítottnak, akiről nem tudni semmit, mi lehet az anyanyelve a beszéde alapján?

A hírekből tudni lehet, hogy egy nemrég történt robbantás elkövetője többször is átöltözött a robbantás előtt és után, szándéka szerint mindent megtett, hogy ne legyen felismerhető a kamerák által rögzített képen, azzal viszont alighanem nem számolt, hogy az ember járás közbeni testmozgása annyira egyedi, hogy az antropológus szakértők számára szinte mindig alkalmas az azonosításra.

Amit már ezen a blogon is érintettük, hogy az igazságügyi informatikus nemcsak a böngésző gyorsítótárát, de akár a gép memóriájának tartalmát is le tudja dumpolni, mivel megvan rá a megoldás, hogy hogyan foglalható le egy gép olyan módon, hogy ne kelljen kikapcsolni.

 

Ennek nem kicsi a jelentősége, ha belegondolunk, hogy alkalmazhat valaki bármilyen überszuper titkosítást, a titkosítás feloldásához használt kulcsoknak nyilván be kell töltődniük a memóriába. A NetAcademia egyik kurzusán is emlegettünk már igazságügyi nyelvészeket, akik például névtelen, persze nem kézzel írott levelekről a nyelvhasználat alapján valószínűsíteni tudják a szerző több pszichológiai sajátosságát, iskolázottságát, amivel nagyban szűkíthető a lehetséges elkövetők köre.

Azt gondolnánk, hogy nem lehet elképzelni annyira elborult, speciális kérdést, amire ne lenne igazságügyi szakértő. Mégis előfordulhat, hogy annyira speciális szakkérdést kell megválaszolni, amit a névjegyzékben lévő szakértőnél jobban ismer egy civil a tevékenysége folytán. Egy kevenc példával folytassuk, ha már korábban szó kerültek a honeypotok.

Gondoljunk csak bele, elképzelhető, hogy valaki csali szervereket, ún. honeypotokat bütyköl, esetleg köt hálózatba, majd azt figyeli, hogy a rajta futó rendszert milyen módszerekkel próbálják feltörni. Ez rögzíthető, így többek közt mintát lehet venni, hogy például adott tartalomkezelő rendszert vagy sokkal komolyabb, komplett ERP-rendszert feltörni próbálók hogyan próbálják elkövetni a behatolást.

Ebből gyakran lehet következtetést levonni a támadó felkészültségével, sőt, sokszor a motivációival kapcsolatban is. Ha valaki birtokában van egy kellően nagy betörési mintázat-gyűjteménynek, az igencsak hasznos lehet olyan esetben, amikor ténylegesen feltörnek egy ERP-szervert, levelezőszervert, routert, bármit, mivel a korábban rögzített betörési patterneket összehasonlítva azzal, ami a tényleges betörésről tudható, az elkövetés módja alapján ismét szűkíthető a lehetséges elkövetők köre.

A példában a honeypot-üzemeltető azért alkalmas eseti szakértőnek, mert rendelkezik a megfelelő tapasztalattal, és olyan tudás birtokában van, aminek az igazságügyi szakértő nem. Ez pedig a honeypotokon keresztül szerzett tapasztalata.

Elképzelhető olyan eset is, amikor a nyomozók már tudják, hogy egy nem túl eszes, ámde annál veszélyesebb figura kényelemből a kommunikációját jórészt a Facebookon folytatja. Ekkor indokoltnak tűnik, hogy titkos információgyűjtést és a titkos adatszerzést alkalmazzanak, azaz például a Facebook Law Enforcement Online Request formon keresztül adatkéréssel forduljanak a Facebookhoz, amelyik elbírálja a kérés indokoltságát, aztán akár megtagadja azt az adott ország hatósága előtt, akár teljesíti, az érintett felhasználót mindig értesítik (igaz, utólag), de eléggé világos, hogy sérti a nyomozás érdekeit, ha valaki tud róla, hogy rajta vannak.

Lehet benne valami, hogy a Facebook illetékes alkalmazottjainak az adatkérések teljesítésekor nem kell többet gondolkodniuk, mint a moderátoroknak moderáláskor, mivel az adatkérések tényleges indokoltságát nem tudják szakszerűen megállapítani.

Ami a statisztikát illeti, ezt ugyanúgy nem lehet megállapítani, mint azt, hogy ez az eljárás egyáltalán az összes adatkérésre vonatkozik-e vagy csak a mezei büntetőeljárásokra alkalmazzák, de nem tartalmazza a polgári- vagy katonai nemzetbiztonsági szervek adatkéréseit. A Magyarországgal kapcsolatos adatkérések a 2017-es évre vonatkozóan itt érhetők el.

Alapvetően az adatigénylés vagy eredményre vezet vagy nem, ráadásul a folyamat igencsak időigényes is lehet. Ugyanakkor a hatóság alkalmazhatja a blogon már emlegetett nyílt forrású információszerzés kevésbé ismert módszereit, vagy rábízhatja olyan civilre, aki ilyen területen magas szintű jártasságot szerzett. Természetesen nem arról van szó, hogy ekkor az eseti szakértőként eljáró civil átvenné a nyomozást, de olyan információkat szolgáltat, amik nagyban megkönnyíthetik a nyomozók dolgát számos olyan információ előbányászásával, amit ők maguk nem, vagy csak ésszerűtlenül sok ráfordítás mellett tudtak volna elvégezni.

Lényegében csak meglehetősen elborult esetek zárják ki azt, hogy valakit a megfelelő szaktudása ellenére mégse alkalmazhassanak eseti szakértőként, ha szükség lenne rá. Ilyen például, ha éppen olyan büntetőeljárás folyik ellene, aminél már megtörtént a vádemelés is, esetleg priuszos, vagy nem várható el tőle, hogy a feladatot kellően diszkréten végezze el.

A sok-sok évet tanult igazságügyi szakértő nem hülyébb vagy okosabb az eseti szakértőnél, hanem egyszerűen a tudásuk másra terjed ki. Ugyan aki járt már el eseti szakértőként, jó, ha gyorsan képbe kerül a büntető eljárásjog, büntetőjog, kriminalisztika alapjaival, ezen kívül tudja, hogy mik azok az formai hibák, amiket nem szabad elkövetni.

Hogy csak a legegyszerűbbet említsük, a terheltnek a vádemelést követően iratbetekintési joga lesz, azaz minden dokumentumot megismerhet, ami a nyomozati szakaszban keletkezett, aminek persze része a nevén nevezett eseti szakértő szakvéleménye is. Az eseti szakértő pedig vagy kérheti az adatai zárt kezelését vagy sem, viszont indokolt lehet, hogy a vádlott ne ismerje meg a személyazonosságát, ha éppen az eseti szakértő véleménye kulcsfontosságú volt a bizonyítás során. Az alapján is dönt majd úgy a bíró, hogy a vádlottat sittre vágja mondjuk 15 évre, aminek az elítélt annyira nem fog örülni.

Hasonlóan, az eseti szakértő akkor tud hatékonyan működni, ha az igazságügyi szakértővel értik egymás nyelvét, tisztában van a bizonyítástan alapjaival és így tovább.

etikus-hekkelesA végére hagytunk egy nagyon fontos részletet. Ha egyszer eseti szakértőként jársz el, még akkor se tedd ki a kirakatba, ha egyébként nagyon-nagyon jól mutatna a CV-ben, na meg a LinkedInen. Már nem a 90-es években vagyunk, amikor a szervezett bűnözésnek még volt lehetősége a fegyveres rendvédelmi szerveknél dolgozókra is nyomást gyakorolni, zsarolni őket, ilyentől egy állományban lévő zsarunak, igazságügyi szakértőnek nem kell tartania különösebben.

Inkább csak filmekben fordul elő, hogy a hűvösről kijön az elítélt, aztán  kellemetlenkedni próbál például egy nyomozóval, már csak azért sem, mert a bűncselekményeket a törvény tipikusan súlyosabban bünteti, ha azt hivatalos személy ellen követik el.

Az eseti szakértő nem hivatalos személy, de alapvetően nem kell tartania attól, hogy lófejet talál a párnáján egyik reggel. Ha pedig megpróbálnak borsot törni a korábbi eseti szakértő orra alá, szinte megállapíthatatlan, hogy a cél és motiváció egyáltalán összefügg-e azzal, hogy eseti szakértőként járt el valakinek az ügyében és olyan bizonyítóerővel rendelkező információt tett az ügyész vagy a bíró elé, amitől leszakadt az asztal – vagy teljesen másról van szó.

Nem zárható ki azonban, hogy polgári perben az alperes, büntetőügyben a gyanúsított vagy vádlott egyszerűen a megfélemlítés, bosszú okán olyan helyzetbe hozza az eseti szakértőt, hogy az végül is megsértse a törvényt. Például azzal, hogy ízesen elküld valakit melegebb égtájra többek előtt, esetleg lecsavar a kellemetlenkedőnek egyet, ha pedig feljelentik, könnyen eleshet emiatt egy ideig attól, hogy szakértői tevékenységet végezhessen.

Ugyanakkor tanulni érdemes, tudni kell, alkotni jó, eredetit alkotni még jobb, közben pedig a legkülönbözőbb területeken tehet olyan szaktudásra szert valaki, amit kamatoztathat az igazságszolgáltatásban. Nagyon jó alapot jelenthet erre, ha valaki elkezd foglalkozni például az etikus hekkeléssel, aztán ha Justitia és Sevillai Szent Izidor is úgy akarja, akár rendszeresen felkért eseti szakértő is lehet, amivel ugyan nem keres vagyonokat, az igazságszolgáltatás világában olyan dolgokat tanulhat meg, olyan szemléletmódra tehet szert, amilyenre máshol nem lenne lehetősége.

Ha pedig valakit beszippantott az igazságszolgáltatás világa, sosem késő arra a pályára állni, még ha sok-sok olyan dolgot is kell megtanulni a szakértőjelöltnek a szakértővé váláshoz, ami az elején fölöslegesnek tűnik.

képek: Wikipedia, ec.europe.eu

 

Miért kerül nagyon sokba a világnak az olcsó router?

iot_hackelesFélmillió routert pattintott meg egy szervezett bűnözői csoport, más források szerint kormányzati eredetű támadásról van szó. Az érintett eszközök mindegyike olcsó, otthoni vagy kisvállalati felhasználásra szánt router volt, ezek fölött vették át gyakorlatilag teljes egészében az irányítást a támadók, ahogy azt tegnap közölte az Arstechnica.

Ami a hírt illeti, már meg sem lepődünk rajta. Ezúttal nem elsősorban a támadás technikai részleteivel fogunk foglalkozni, hanem teljesen más, társadalmi és jogi aspektusból szemléljük a jelenséget.

Tételezzük fel, hogy a támadók átveszik az irányítást egy pénzintézeti rendszerben használt router fölött, emiatt jelentős, komoly kár keletkezik. Esetleg olyan módon törik fel egy kórház routerét, ami a társadalombiztosító rendszerével kommunikál, hogy azon keresztül konkrétan betegadatok csoroghatnak ki és kerülhetnek a feketepiacra. Ha éppen egy közlekedésirányítási rendszer routereit éri a támadás, az nagyon súlyos fennakadásokat, de akár tömegszerencsétlenséget is okozhat.

Természetesen a példák lebutítottak, mivel ezeken a területeken többrétegű védelmet, különösen szegmentálást alkalmaznak. Ez annyit jelent, hogy a közel valósidejű repülésirányító rendszerek eszközeibe épített mikrokontrollerek vagy egy atomerőmű egy reaktorának deutériumhőmérsékletét mérő eszközei kritikus információkat továbbítanak ugyan egymás közt, de nincsenek közvetlen kapcsolatban a szintén agyonbiztosított hálózatokkal, ahol már nagyobb hibalehetőség, na meg emberi beavatkozás is elfogadható.

A belső és a külső, ember számára információkat biztosító, de szintén kritikus fontosságú hálózat csak egy rendkívül szűk keresztmetszeten keresztül, rendkívül szigorú szabályok alapján folytat bármilyen kommunikációt. A kevésbé érzékeny, külsőbb hálózatoknak pedig már lehet kapcsolata a net felé bérelt vonalon vagy virtuális magánhálózaton keresztül.

Azaz igencsak nehéz dolga lenne annak, aki otthonról próbálná meghekkelni egy atomerőmű reaktorát hűtő deutérium hőmérsékletét mérő hőmérőt.

Online Security Technology

Hogy érthetőbb legyen: a mai napig slágertéma, hogy “feltörték a NASA rendszerét”, ami ugye meg is történt néhányszor, csak éppenséggel az már az hírfogyasztók 1%-ához jut el, hogy valójában a támadók mindössze a NASA közvetlenül netre kilógatott webszerverét törték fel, ami kínosnak kínos ugyan, viszont nyilván semmilyen következménye nincs azon kívül, hogy bosszúságot okoz a webszerverek üzemeltetőinek. Ami a lényeg, hogy a támadók nem kritikus infrastruktúrához fértek hozzá. Persze ez sem lehetetlen, még 2008-ban az orosz-grúz konfliktus során az oroszok lekapcsolták Grúzia elektromos hálózatának egy részét. Ahogy a világ egyik legfejlettebb malware-je nem kis riadalmat keltett 2010-2011. körül, amit fordulópontnak nevezhetünk a hadviselés és az információbiztonság történetében:

Visszatérve az előző gondolatra, tételezzünk fel még egy olyan esetet, amikor egy, a biztonságosságáról jól ismert kocsi fedélzeti számítógépét fertőzik meg, ami elvben lehetővé teszi, hogy a kocsit mondjuk az árokba hajtsák. Ja, nem csak elvben, gyakorlatilag is, ahogy történt ez 2015-ben.

Mi a közös a felsorolt esetekben, azaz a pénzintézetnél, a forgalomirányításnál vagy éppen a kocsi fedélzeti számítógépénél? Az, hogy minél kritikusabb infrastruktúráról van szó, annál szigorúbb iparági szabányoknak kell megfelelni, amit több esetben a törvény is jogszabály vagy rendelet szintjén előír. Azaz egy bank esetében egy sikeres támadást követően a banknak a törvény előtt kell bizonyítania, hogy minden tőle telhetőt megtett a biztonságos működés érdekében, ha ezt nem tudja bizonyítani, annak nagyon komoly jogkövetkezményei lehetnek.

Na és mi a helyzet akkor, ha egy otthoni felhasználó routerét törik fel, majd azon keresztül követnek el valamilyen bűncselekményt? Ki a felelős? A felhasználó? A gyártó, amelyik kiengedett a piacra egy rendkívül silány minőségű routert? Ez már egy sokkal nehezebben átlátható kérdés.

Tételezzük fel, hogy egy felhasználó kényelemből egyszerűen nem teszi jelszófüggővé a wifi-hozzáférést, ezt követően pedig valaki erre a wifire csatlakozva névtelenül, zsaroló vagy közveszély okozásával fenyegető emaileket küldözget olyan helyre, ahova aztán tényleg nem kellene, mondjuk valamilyen rendvédelmi szervnek. Az egyszerűség kedvéért tételezzük fel, hogy olyan levelezőrendszert használ, ami a levelek fejlécéből nem takarja ki a feladó IP-címét. Ekkor alighanem az történik, hogy az illetékes hatóság esetleg seperc alatt lekérdezi az internetszolgáltatótól, hogy a levelek küldésének idejében az adott IP-címet melyik ügyfelük birtokolta, azaz nagyon gyorsan azonosíthatóvá válik, hogy kinek az internetkapcsolatát használták.

Nem, azért nem fogja fél napon belül a mit sem sejtő ügyfélre rárúgni az ajtót a TEK, nem véletlenül. A közhiedelemben az azonosításban Szent Grálnak tartott IP-cím önmagában messze nem bizonyító erejű, az igencsak barokkos büntetőeljárás jogi szabályok szerint azt is bizonyítani kellene, hogy az ügyfél valamelyik eszközéről küldték a fenyegető levelet, amihez nyilván mindent le kell foglalni, ami csak a lakásban van. Viszont még ha meg is találják a browser cache-ben vagy a kliensprogramban a levelet, az ügyfél védekezhet például azzal, hogy nem zárta le a gépét, így valaki odaült és úgy küldött levelet a nevében. Az más kérdés, hogy ezt már a nyomozati szakaszban és a bíróságon sem könnyű elhitetni. Nagyon röviden: ahhoz, hogy az ügyféllel kapcsolatban alapos gyanút állapítsanak meg, ilyen esetben azért sokkal több kell, mint egy IP-cím-időpont páros.

Azzal kapcsolatos szabályozás is van persze, hogy a felhasználó is – hasonlóan például egy atomerőmű CISO-jához – minden tőle elvárhatót meg kell, hogy tegyen ahhoz, hogy az informatikai eszközeit ne lehessen felhasználni visszaélésre. Ez a gyakorlatban annyit jelent, hogy az otthoni routereket eleve úgy szállítják le, hogy abban WPA2 jelszót, “wifi kódot” kelljen beállítani.

Ha ez megvan, az átlagos tájékozottságú felhasználó a tőle elvárható módon megvédte a netkapcsolatát, nem vonható felelősségre. Alighanem még akkor sem, ha a wifi-jelszavát elmonda másnak, aki aztán elmondta olyannak, akinek nem kellett volna, így a harmadik fél a wifi-hálózatra való csatlakozás után küldte a fenyegető leveleket. Miért? Mert az átlag felhasználótól nem várható el, hogy ilyen típusú kockázattal tisztában legyen.

Vagy éppen egy másik példa: az otthoni routerek firmware-jét, azaz mini operációs rendszerét is frissíteni kellene bizonyos rendszerességgel, a többség azt sem tudja, hogy mi az a firmware, ezért nem frissít, és jelszóval védett ugyan a wifije, de könnyen törhető egy sebezhetőségen keresztül, így elkövetési eszközévé válhat egy bűncselekménynek.

Most pedig ugorjunk egy szép nagyot technikai irányba. Tételezzük fel, hogy valaki ír egy egyszerű programot, ami semmi mást nem tud, csupán annyit, hogy bekér a felhasználótól két pozitív egész számot, azokat összeadja és kiírja a végeredményt. Egy ennyire egyszerű program nyilván nem hordozhat magában semmiféle biztonsági kockázatot, nem? A rossz hír, hogy elméletileg igen. Ugyanis semmi nem zárja ki azt, hogy a program egész számok helyett olyan bitsorozatot kapjon, ami valamilyen rosszindulatú kódfuttatást fog végezni, azaz az összeg kiírása helyett mondjuk kifagyasztja a gépet. Miért is? Azért, mert a program erre nem volt felkészítve, nevezzük jobb magyar megfelelő híján improper input validationnek.

Ez a biztonságcentrikus szoftverfejlesztés aka secure codingnek egy apró része.

Az már más kérdés, hogy ennyire primitív támadás a gyakorlatban esetleg a Windows 95-ön működne vagy azon sem, azaz az oprendszerek már rég megfékezik a legócskább trükköket.

A router, aminek egy saját, apró operációs rendszere van, ugyancsak számokkal dolgozik, működés közben, konkrétan a WPA2 jelszavas védelmét szolgáltató program van benne megvalósítva.

A WPA2 jelen tudásunk szerint elméletileg ésszerű időn belül nem törhető. Viszont tételezzük fel, hogy az a szoftver, ami a jelszavas védelmet, titkosítást WPA2-n keresztül oldja meg, természetesen mi mással dolgozna, ha nem adatokkal, úgy lett megírva, mint az előző példában felvázolt apró program, ami csupán két egész számot ad össze, azaz nem ellenőrzi, hogy megfelelő adattípussal dolgozik-e. Azaz miközben a WPA2 algoritmusa, ami biztonságosra lett megtervezve, de rosszul kerül leprogramozásra, dolgozhat az adatokkal olyan módon, hogy a folyamat bármelyik pontján kaphat nem várt bemenetet, ahogyan a számológépes példában is.

A végeredmény ugyanaz: a szoftver teljesen más működést fog produkálni, még ha egy apró szolgáltatásként is fut a routerben az egész. Kezelhetetlen bemenet esetén az egy szinttel alatta lévő apró operációs rendszer működését is teljesen megváltoztathatja.

A routeres példában ugyan egy teljesen hipotetikus esetet szemléltettünk, ugyanis alighanem a világon nincs olyan router, ami semmilyen módon nem lenne védve a legegyszerűbb támadásokkal szemben sem.

Az olcsó routerek közt viszont tömeges jelenség, hogy a legprimitívebb támadások ellen védettek ugyan, viszont annyira irdatlan sok sebezhetőséget tartalmaz a firmware-jük, hogy azt simán fel tudja törni egy hobbiszinten programozni tudó hülyegyerek akkor is, ha alig tud valamit a wifikről, mivel a net rogyásig tele van konkrét leírásokkal. Sőt! Kimondottan wifi-törésre kihegyezett eszközökkel! Ezek a routereket természetesen nem csak a belső, otthoni hálózatról (wifin keresztül) lehet hekkelni, hanem az internet felől is. Erről számolt be az Arstechnica-cikk. Ez viszont már leírhatatlan kockázat.

Ugyanis több esetben nagyon komoly elosztott túlterheléses támadásokat úgy kiviteleztek, hogy tömegesen lefertőztek egy rakás olcsó routert, azokat botnet hálózatba kötötték, majd egy ún. Command and Control szerveren keresztül utasítottak például sok tízezer routert, hogy ugyanabban az időpontban küldjön égtelen mennyiségű adatcsomagot egy bizonyos szerver bizonyos portjaira, amitől a szerver meg is feküdt egy időre. Azaz olyan esetben, amikor valamilyen, ultravédett, nagyon komoly szervezetet megfektet ideig-óráig például az Anonymous, ne valamilyen bonyolult hadműveletre gondoljunk, hanem éppen ellenkezőleg, ilyen full egyszerű támadási formára. És ez persze a sok közül csak egy, igaz, leggyakoribb felhasználási területe a feltört routereknek a kiberbűnözés területén.

botnet_halozat

Ugorjunk ismét kicsit vissza: a felhasználó jelszóval védte a wifi-hozzáférést, a routerekben alapértelmezés szerint le van tiltva, hogy a net felől is be lehessen jelentkezni a beállítások közé és így tovább.

Abban az esetben, ha a hálózati eszköz kellően védett volt, végülis a felhasználó mindent megtett, ami az ő tudásszintjén elvárható, azaz aligha hibáztatható olyan esetben, ha mégis megpattintották az otthoni routerét wifin keresztül vagy a netkapcsolatán át, és látszólag a nevében követtek el valamit. Akkor mégis ki hibáztatható? Erre a laikus minden bizonnyal rávágja, hogy azok a szemét hekkerek, ki más, teljesen függetlenül attól, hogy a router védett volt, vagy egyáltalán nem. Jobban belegondolva viszont a láncolat végén mégis a csapnivaló minőségű terméket piacra dobó gyártó áll a szervezett bűnözés mellett.

Az, hogy egy szoftverrendszert biztonságosra fejlesszenek le, teszteléssel együtt nagyban megnöveli a gyártási költséget, a tranzisztor feltalálása óta a gyártók mindig a biztonságon spóroltak leginkább, nincs ez máshogy ma sem. Azzal kapcsolatban pedig csak nevetséges szabályozás van, hogy egy néhány ezer forintos routernek részeiben és egészében milyen feltételeknek kell megfelelnie. Olyan megfelelőségeknek kell eleget tenniük, mint az FCC bizonyos előírásai vagy a Conformité Européenne előírásai, amiknek a jelével mindenki találkozott már ezerszer (hacsak nem egy őserdőben él), de alighanem sosem érdekelt senkit, hogy mit jelent.

Ezek az előírások nem sokkal többet írnak elő, minthogy az eszköz nem fog olyan mértékig forrósodni, hogy ráolvadjon az asztalra, nem bocsát ki olyan sugárzást, ami interferálna mondjuk a egy mobilhálózat tornyának jeleivel és hasonló megmosolyogtató dolgok, ennél nem sokkal komolyabbak.

Gyakran kerül szóba, hogy amikor mesterségesen akarnak beleszólni a piac működésébe, ami valóban veszélyes műfaj minden területen, az úgysem fog eredményre vezetni. Nem tudni, hogy mennyi váráslót csapott meg az áram, mire bevezették az első, elektronikus eszközökkel kapcsolatos szabványokat sok-sok évtizeddel ezelőtt, azt sem, hogy mekkora közvetett károk keletkeztek, mielőtt az FCC-t vagy a CE-t kötelezővé tették volna még a gombelemre is, viszont világos, hogy az adott korban az ésszerű szabványok bevezetése és betartatása nem csak célszerű, hanem konkrétan kötelező!

A helyzet finoman fogalmazva is félelmetes az otthoni hálózati eszközök szabályozásával kapcsolatban.

1. Itt az IoT éra – az okoseszközök valamilyen módon a netre lesznek kötve, így elméletben előfordulhat, hogy a meghibásodásuk, ha súlyos sérülést vagy halált nem is okoz, nagyon komoly kárt igen. Például valakinek IoT az egész lakása, aztán elmegy síelni három hétre, valaki pedig vicceskedésből felveszi a fűtést 30 fokra egy szoftverhiba kihasználásával, a hőmérsékletszabályozó támadásán keresztül. Ezek olyan típusú károk, amik a végfelhasználót érintik.

2. A másik, hogy egyre több és több csapnivaló minőségű, a szervezett bűnözésben eszközként használható router, NAS, okoshűtő és ki tudja még mi kerül a piacra, amik hekkelésével aztán olyan célzott DDoS-támadásokat tudnak kivitelezni, ami egy-egy pénzintézetnek, kormányzati szervnek vagy klinikának akkora pénzben kifejezhető kárt, vagy éppen súlyos működésbeli fennakadást okoz, hogy végre leesik mindenkinek, hogy a helyzet tényleg súlyos. A NATO nem véletlenül mondta ki néhány évvel ezelőtt, hogy az infokommunikációs infrastruktúrára irányuló támadásokra úgy tekintenek, mint szárazföldi-, vízi- vagy légi hadműveletekre.

wifi-feltoresHa civilizációs léptékű dolgokról van szó, többen vannak azon a véleményen, hogy az emberiség bizonyos értelemben semmit sem tanult a történelem folyamán a hibáiból. Az első elektronikus eszközök piacra dobása után alighanem jópár vásárlót megcsapott az áram, jónéhány ház kigyulladt, mire a szabványügy elkezdett vele foglalkozni, a hatóságok és jogalkotók pedig kötelező érvényűvé tették bizonyos szabványoknak való megfelelést.

Ahogy megjelentek az atomerőművek, a légi irányítás, na meg a pénzintézetek, gyakorlatilag azonnal megjelentek az ágazatspecifikus szabályozások, amikkel érthetően a jogalkotók sem szöszmötöltek túl sokat.

A mostani magánfelhasználók otthoni eszközein keresztül véghezvitt bűnözés már okozott nagyon komoly károkat, de még nem érte el azt a szintet a döntéshozóknál, hogy nagyon sürgősen bizonyos szoftverek implementációjával kapcsolatos szabványokat kötelezőként előírjanak.

Azaz, hasonlóan ahhoz, hogy nem kerülhet forgalomba olyan tévé, amitől rendeltetésszerű használat mellett levakul a vásárló, vagy éppen nem kerülhet forgalomba olyan étrendkiegészítő, amitől normális fogyasztás mellett gallyra megy a mája, a routerek gyártóinak is a secure codingnek olyan szinten kellene megfelelniük, azaz törésbiztosnak lenniük, hogy azt ne lehessen annyira könnyen bekötni egy botnethálózatba, amivel aztán lebénítható a fél ország.

Ezt valahogy sokan még mindig túlzó riogatásnak tartják, holott világos, hogy évről évre egyre nagyobb kárt okoz egy-egy infokommunikációs rendszer kiesése, mivel egyre jobban támaszkodik rá minden.

A szabványok nemcsak hogy már léteznek, hanem a komolyabb és persze sokkal drágább hálózati eszközökben meg is vannak valósítva. Ezeket a drágább eszközöket aztán bizonyos szervezetek alkalmazzák best practice alapján, de a törvény nem írja elő számukra (bizonyos ágazatokban nyilván igen). Ennek a mintának az alapján az otthoni felhasználásra szánt routereket látszólag könnyűszerrel biztonságosabbra lehetne varázsolni.

Az FCC-nek és az EC-nek való megfelelést például simán kötelezővé tudták tenni gyakorlatilag nemzetközi szinten, pedig a gyártók sejthetően nem örültek neki, mivel minél több szabványnak megfelelően kell valamit az elejétől a végéig legyártani, annál drágább. Gondoltatok már arra, hogy gyakorlatilag mindennek, amit a konnektorba csatlakoztatunk, olyan kábellel kell rendelkeznie, ami legalább duplán szigetelt? Igaz, hogy így nyilván drágább legyártani, ez a biztonság ára.

Teljesen természetes, hogy például a kórházak intenzív osztályain használt lélegeztetőgépeknek annyira biztonságosnak kell lenniük, amennyire csak lehet, igen, akkor is, ha emiatt drágábbak. Itt megjegyezzük, hogy az USA-ban, Japánban és több európai országban folyamatosan váltják fel a hagyományos orvosdiagnosztikai eszközöket azok, amik végülis IoT eszközök, azaz kapcsolódnak a helyi hálózatra, közvetetten akár a netre, hiszen valahogy el is kell érni az általuk rögzített mérési adatokat az orvosoknak.

Azoknak a szabványoknak a nemzetközi vagy legalábbis regionális szinten kötelezővé tétele, amik előírnák, hogy minimálisan mennyire kell biztonságosra elkészíteni szoftveres szempontból egy hálózati eszközt, okoshűtőt, okoslégkondit végülis a szakhatóságok és a törvényhozók feladata lenne.

Az ok, ami miatt láthatóan nem kapkodják el a dolgot egyrészt ahogy írtuk, ha úgy tetszik, nem okozott még elég nagy kárt, a másik ok nyilván gazdasági természetű, ami megér egy bővebb kifejtést.

A Kínában gyártott föccsöntött routerekre a szoftvert nyilván nem Kínában írják, hanem ahol a gyártók beágyazott szoftverek fejlesztéséért felelős divízióik, kutatóközpontjaik vannak, az pedig tipikusan nem a Távol-keleti régió, na meg nem is Afrika, hanem a fejlett régiók országai. Nem meglepő, hogy plusz, biztonságos működést fokozó szabványoknak való kötelező megfeleltetés szükségszerűen a gyártási költség növekedését okozná. A fejlett országokban dolgozó programozókat tovább kellene képezni, a tesztelés mostani formája is változna, a piaci igényeket időben ki kellene szolgálni, holott informatikus így sincs elég.

Hogy mennyire kiszámítható módon okozna drágulást, és milyen hatással lenne a gazdaságra? Totálisan kiszámíthatatlan. Ugyanis míg a már hálózatra kötött Röntgen-gép, a pozitron-emissziós tomográf, a fMRI-masina, az orvosi ultrahang vagy az intenzív osztályon használt EKG nem tömegtermék, az otthoni hálózati eszközök és okoseszközök kőkeményen tömegtermékek meredeken növekvő piaccal, így teljesen más gazdasági szabályszerűségek érvényesek rájuk.

Tehát a bizonytalanság, amit nem lehetne kiszámítani, egyrészt, hogy a szabványok kötelezővé tételével a termék mennyivel kerülne többe, másrészt ennek milyen és mekkora lenne a piacra kifejtett hatása, harmadrészt, hogy a drágulás hogyan változtatná meg azt, hogy összességében a mindent mozgató információt mennyire gyorsan éri el a végfelhasználók tömege.

Az utolsó némi egyértelműsítést igényel. Tételezzük fel, hogy csak az otthoni, persze wifis routerek ára hirtelen az ötszörösére emelkedik. So what? Legalább tartósabb, lehetne mondani. De gondoljuk át még egyszer. Nem csak arról van szó, hogy a végfelhasználó ötször annyiért tudja megvenni a routert otthonra, hanem a különböző akadémiai kutatóintézetekben, ahol jó sokra van szükség, a mostanitól több forrást kellene elkülöníteni. A legkülönbözőbb helyeken döntenének úgy, hogy inkább nem fedik le wifivel azt, amit nem feltétlenül kell.

A netszolgáltatók által biztosított kábelmodemek, amik wifi routerek is egyben, megdrágulnának, nekik is komolyan feladná a leckét, hogy miből gazdálkodják ki a különbséget. És a végére hagytuk a legrosszabbat: éppen a legszegényebb társadalmi rétegek szembesülnének vele, hogy volt net, nincs net. Szegényebb régiókban az internet penetrációja sok-sok évvel ezelőtti szintre esne vissza akár.

Ugye-ugye, “csak” egyetlen tömegtermék darabára változott, amitől az összes wifivel működő eszköz működése függ, éppen ezért tömegekre lenne hatással.

Iszonyú komplex kérdés, hogy melyik a komolyabb kockázat: ha továbbra sem kötelezőek a secure codinget előíró szabványok, így viszont maradva az elosztott túlterheléses támadás példájánál, botnetbe kötve komoly kártokat tud rendszeresen okozni a szervezett bűnözés.

Vagy az a komolyabb kockázat, ha szabványok kötelezővé válásával a tömegtermékek ára emelkedik, ami olyan mechanizmusokat indukál, aminek eredménye végülis az, hogy az információs társadalomban az információk elérése sokkal drágább lesz. Mondjuk jövedelemarányosan annyira drága, mint amennyibe a 90-es években került egy ADSL-előfizetés.

A kiberbűnözés elleni fellépésnek hatékony eszköze lenne, ha nem használhatnák támadási eszközként maholnap már az okoskávéfőzőt, mint neten lógó eszközt is, mivel az megfelel az új, kötelező működésbeli biztonságosságot előíró szabványoknak.

Amíg kötelezően előírt szabályozás nincs, minél felkészültebb, az aktuális büdzséből minél biztonságosabb hálózatok kialakítására képes szakértőkre van szükség. Kapcsolódó tanfolyamok pedig rendszeresen indulnak a Netacademiánál is.

képek: Wikipedia, CSOOnline

Mikor válik a kultúra részévé az online tanulás?

online-tanfolyamok-1

Egyre többen mondják, hogy ha tanulnak valamit, a hagyományos, papíralapú könyvekre már szinte sosincs szükségük, mert minden szükséges információ megvan valamilyen tutorialban vagy annál interaktívabb formátumban a neten. Az a logikus álláspont nem új, hogy ha valaki minél hatékonyabb szeretne lenni a saját területén, nem feltétlenül többet kell olvasnia, hanem nagyon jól kell tudnia megfogalmazni, hogy mire keres válasz, azaz jobban kell keresnie a leginkább related és az ő tudásszintjén értelmezhető források megtalálásához.

Nem mennénk el olyan irányba, hogy “sokat akarsz tudni? ahhoz jól kel kérdezni? jól szeretnél kérdezni? ahhoz sokat kell tudni”. Pedig itt is hasonló a helyzet. A jövő nyertesei, először még a tudásintenzív területeken, azaz a kutatásban, később pedig az élet más területein is azok lesznek, akik hatékonyabbak a keresésben, ez az olló pedig idővel csak nyílni fog.

Az előző posztnál abba mélyedtünk el, hogy miért rendkívül fontos a megfelelő cloud-szolgáltatás kiválasztása, legyen szó akár csapatmunkáról, akár online tanulásról, gyakorlásról. Ha pedig valaki önállóan szeretné naprakészen tartani a tudását, van valami, amiről sokan rendszeresen megfeledkeznek, nem új, de nagyon hatékony eszköz: a feedek, mint amilyen az RSS.

Például abban az esetben, ha valaki egy keretrendszer újdonságaival kapcsolatos hírekről szeretne gyakorlatilag azonnal értesülni, csak a megfelelő webhelyeken fel kell irakoznia a feed-re, majd amikor új tartalom jelenik meg, megjelenik annak egy kivonata a feed-olvasóban, amit egy kattintás után már lehet is olvasni. A csavarosan gondolkozó olvasó feltételezheti, hogy hasonlóan hatékony megoldás lehet a Google Alerts beállítása megfelelő keresőkifejezésekkel, azonban a Google messze nem az összes dokumentum linkjét fogja megküldeni, amire rápasszolnak a keresőkifejezések.

A feed-olvasókkal valamelyest rokon eszközök az intelligens híraggregátorok, amik a felhasználó tartalomfogyasztási szokásai alapján egyre több különböző hírforrásból ajánlanak cikkeket, amik a felhasználó számára érdekesek és természetesen alkalmasak a folyamatos önképzésre is.

A legismertebbek egyike a Flipboard, amiknek az elsődleges felhasználási területe ugyan nem az, hogy egy adott, specifikus témával kapcsolatban mindig hírbe hozza az olvasót, de elvben beállítható a működése úgy is. Mindenképp említést érdemel a már bezárt, a többitől akkor még eltérő, alapvetően gépi tanulást követően megfelelő tartalmakat kiválogató Prismatic.

Nem világos, hogy miért, de sokszor még a kutatók körében sem általános, hogy megfelelő tartalmat a megfelelő eszközzel keressenek. Az élettudományi kutatásokban  erős beidegződés az NCBI kereső használata, ami sokáig a tudomány google-je volt ugyan, de gyakorlatilag csak akkor van értelme használni, ha egy rakás adatbázis-előfizetése is van a felhasználónak, mivel a cikkek letöltése már sokszor pénzbe kerül. Ha nincs adatbázis-előfizetés, ott a Sci-Hub 🙂 Mintha ezen kívül nem is létezne más, holott ma már a Google Scholar vagy éppen a Researchgate már-már kitalálja, hogy milyen információra lenne szüksége a kutatónak vagy hallgatónak. Természetesen nem csak a kutatóknak, hanem mindenkinek, aki online szeretne tanulni. Nemrég lehetett róla olvasni, hogy azon cikkek idézettsége határozottan nagyobb, amit az Academia.EDU-ra feltöltöttek, mint amiket nem, aminek nagyon sok magyarázata lehet. Ami viszont biztos, hogy az Academia.EDU és a ResearchGate a kutatásban és tanulásban behoz valamit, amit a klasszikus eszközök egyáltalán nem: a közösségi élményt!

online-tanfolyamok-2

Ha már közösségi élményről van szó, általános gyakorlattá vált Magyarországon, hogy különböző egyetemek a Facebookon hoznak létre csoportokat, nyilván az egyszerű kezelhetősége miatt, és persze azért, mert így szükségtelen plusz egy szolgáltatásba belépnie a hallgatóknak. Bőven vannak olyan szervezetek is, amik normális collaborative szoftverek helyett, amiből már követhetetlenül sok van, a Facebookot használják, nem számolva annak kockázataival. A Facebook felismerve ezt, 2016. októberében indította el a Facebook for Workplace szolgáltatását, aminek freemium változata ugyancsak lehet az online tanulás terepe is, a felhasználót nem zavarják meg a privát kommunikációval kapcsolatos facebookos értesítések. Nem teljesen világos, hogy a szolgáltatással a Facebook kiket akart megcélozni, mivel a normálisabb cégek nyilván nem a Facebookon fogják végezni a csoportmunkát. Azokban az ágazatokban, ahol még nincs kultúrája a legmegfelelőbb online eszközök használatának, miért is térnének át a Facebookról a Facebookra?

A hozzáállásbeli és egyáltalán, használati szokásokat illető különbség már-már fájdalmas felhasználói csoportok közt. Több, az X, Z, Y, kappa, delta, ilyen-olyan generáció “kutatói” teljesen tévesen állítják, hogy a mai fiatalabb generáció otthonosabban mozog az online világban, jobban ért a “számítógépes dolgokhoz”, ez az álláspont pedig valamiféle rögeszmévé vált. Ugyanis ez empirikus információk alapján is nettó ostobaság, kvantitatív adatokkal pedig nem támasztották alá komolyan vehető helyen, ha értelmes használatról van szó. A fiatal generáció az aktuálisan trendi mobilapp használatába gyorsabban tanul bele ugyan, viszont ami a legfontosabb, kiemelendő, hogy nem tudja az online eszközöket célirányosan, értelmes módon használni. Legalábbis a döntő többség nem. Olyannyira nem, hogy alighanem ma is bőven találnánk olyan egyetemi évfolyamot, ahol az évfolyam egy közös email-címet használ, aminek tudják a jelszavát olyan százan, ebbe a postafiókba küldik az oktatók a tananyagokat, ami a jelszómegosztás miatt már a 90-es évek derekán is vérciki lett volna, de van, akinek a Google Groups is túl bonyolult, nem mellékesen pedig közel sem olyan interaktív, mint amilyen a webináriumos megoldások vagy éppen a csoportmunka egyszerűen a Slack-ben.

Azaz van, aki tudja célirányosan használni az online megoldásokban rejlő lehetőségeket folyamatos önképzéshez (csoportban vagy egyedül), megint más pedig nem. Azzal kapcsolatban pedig nincs kikezdhetetlen konszenzus, hogy kinek a feladata lenne a digitális írásbeliség és a célnak megfelelő legalkalmasabb online eszközök munkába állítására való nevelés. Lehet mondani, hogy a közoktatásé és a családé vagy a felsőoktatásé, ez még azokon a helyeken sem működik tökéletesen, ahol van a tanárok képzésére fedezet bőven, ugyanis, mint sok vívmányba, ebbe is bele kell szocializálódnia a közösségnek.

Kíméletlenül le fognak maradni azok, akik nem használják a sok esetben ingyenesen vagy bagóért elérhető eszközöket, példaként mint amilyen az idegen nyelv tudást hatékonyan átadni és mérni is képes Duolingo.

Az online oktatás területén igencsak komoly tapasztalattal rendelkező előadókkal személyesen is találkozhattok a Netacademia online oktatás konferenciáján, jelentkezni erre lehet.

kép: Wikipedia

Nyílt-forrású információszerzés – kémek, kurvák, gengszterek, OSINT

Tényleg titkosak a rendvédelmi- és honvédelmi szervek, nyomozati jogkörrel rendelkező hatóságok tagjainak módszerei? Bárki beletanulhat a nyomozás és hírszerzés módszertanába? Általánosságban mit lehet elmondani arról, hogy az OSINT-módszerek alkalmazása mikor legális és etikus, még akkor is, ha definícióból adódóan csak olyan adatforrást használunk fel, ami elvben bárki számára elérhető, azaz szó sincs róla, hogy valahova valakinek be kellene hekkelnie magát bárhova is. Az OSINT mindig passive reconnaissance, de ebből nem következik, hogy ne okozhatna szakszerűtlenül használva esetlegesen olyan érdeksérelmet, mint a törvényben foglaltaknak megfelelő, Tiltott adatszerzés és az információs rendszer elleni bűncselekmények közé sorolt bűncselekmények valamelyike ír le.
Két gyakran idézett, mégis időtálló zseniális mondás ide passzol:
The real intelligence hero is Sherlock Holmes, not James Bond.
You’re only anonymous on the Internet because nobody’s tried very hard to figure out who you are.
Tapasztalat, hogy amikor valaki elkezd érdeklődni a nyílt-forrású információszerzéssel  kapcsolatban, halomra merülnek fel benne a kérdések, aztán egy-egy jobb kurzus vagy könyv után a kérdésekből még több, rendszerint csak még hosszabban megválaszolható kérdések lesznek. Próbálunk olyan áttekintést adni madártávlatból a OSINT-tel kapcsolatban, ahol most éppen technikai részletekkel foglalkozunk kevésbé, nagyobb hangsúlyt helyezünk az elvi szempontokra. Sőt megnézzük a dolgot egy kicsit államelméleti szempontból is, ami sokkal izgalmasabb, mint amilyennek elsőre tűnik.
Mindenek előtt nézzük meg az alábbi videót:
A bűvész a kislányát lazán kettévágja, ráadásul két mesekönyvvel, mi pedig csak nézünk ki a fejünkből bután és nem értjük, hogy hogyan. Az egyetlen, amiben biztosak vagyunk, hogy a bűvész olyan, elsajátítható tudás birtokában van, amivel csak nagyon kevesen rendelkeznek, ennek megfelelően a bűvészek munkáját egyfajta misztikus köd lengi körül, mióta egyáltalán létezik a hivatás. Már amennyire tudjuk, a bűvészkedés kultúrtörténetének egyik alappillére, hogy hallgatólagos, de nagyon szigorú szabályok szerint adhatja csak át a bűvész egy-egy trükk mesterfogásait a tanoncnak.
Igazából lehetne még sorolni azokat a hivatásokat, amikről a közvélekedés azt tartja, hogy a módszereik kívülállók számára megismerhetetlenek, misztikus köd borítja az egészet számos tévhit mellett, ugyanakkor a kívülállók érdeklődése kortól függetlenül töretlen, gondoljunk csak Agatha Christie regényeire, Arthur Conan Doyle által megteremtett Sherlock Holmesra vagy éppen az idióta és kevésbé idióta James Bond-, és Mission Impossible filmekre, a helyszínelős sorozatokról nem is beszélve.
Bűvészek, hírszerzők, bűnügyi helyszínelők – sokan mindről úgy gondolják, hogy elérhetetlen tudással rendelkeznek, holott erről szó sincs. A nyílt-forrású információszerzéssel mélyen foglalkozók akár néhány perc alatt megtalálják, hogy egy mobilszámnak ki az aktuális használója, anélkül, hogy bármilyen törvényt megsértenének vagy éppen felgöngyölítik, hogy egy álhír honnan indult ki, megjelenítik egy személy kapcsolati hálóját, akár súlyozva, mondjuk a Facebookon olyan esetben is, amikor a felhasználó kimondottan letiltotta az ismerősei megtekintését, holott egyikben sincs feketemágia, az OSINT néhány, számunkra is sokáig rejtélyes sajátosságával viszont érdemes megismerkedni, mielőtt valaki beleugrana.
Jelen cikk szerzője az OSINT definíciójával sosem törte magát, az OSINT olyan eszközök, technikák, módszerek és ezeket keretbe foglaló tudás összessége, amivel olyan nyíltan elérhető információkat érhetünk el, amik a laikus keresési módszerekkel láthatatlanok. Ahogy abba részletesebben belemegyünk, azért érdemes megismerkedni a kriminalisztikával – amit sokan kevernek a kriminológiával – mivel az OSINT legősibb alkalmazója, természetesen még abból a korból, amikor egyik tudományt sem hívták így, ugyanakkor kihívást jelent, hogy felhívjuk a figyelmet azokra az esetleges hibákra, amiket nem szabad elkövetni az OSINT-re támaszkodó kutatások során.
Mi különbözteti meg a tudományos igényességű OSINT-et a stalkolástól, ha az OSINT-tel elvben szinte mindent láthatóvá tehető, hogyhogy mégsem terjedtek el a módszerei, ha ennyire hatékonyak? Miért szerencsétlen, de elkerülhetetlen dolog összehasonlítani a hivatásos állományú nyomozók, magánnyomozók és tényfeltáró újságírók munkájával az OSINT-szakértőét valamint miért legalább olyan fontos része az OSINT-nek a kriminalisztika elméletinek tűnő részének ismerete, mint maguk a technikák?
Mi az OSINT és mi biztosan nem? Három, a kimondottan nyomozási folyamatoknál jól ismert feltételnek mindenképpen teljesülnie kell. A konkrét kutatás legyen (1) szükséges, (2) célhoz kötött és (3) arányos. Mogyoróhéjban ez annyit jelent, hogy döntünk róla, hogy az információra egyáltalán szükség van-e, ne fusson semmi vaktában, hanem csak a kutatás alanya, érintettje, amin-akin keresztül valamilyen részeredmény várható, ezen kívül ne lőjünk ágyúval verébre. Mindhárom feltétel imádott visszatérő téma a kontinentális és tengeren túli jogtudományban egyaránt, mivel a hírszerzésnek és a bűnüldözésnek is ezen hármas szerint kellene eljárnia.
Ha a fenti hármas szabályt kutatás közben betartjuk, mindegy, hogy szociológusként, nyelvészként, piackutatóként alkalmazva, hasonlóan ahogy egy hivatásos nyomozó jár el egy bűnügyben, némi rutinnal sokkal kevesebbet kell agyalni-dilemmázni azon, hogy amit csinálunk, mennyire etikus. Ez után nem is szorul magyarázatra, hogy az OSINT-et alkalmazó kutató tökéletes inverze a stalker, amelyik az exe, pasija, csaja, főnöke, után “kutatni” próbál.
A következő kérdéskör, hogy abban az esetben, ha az OSINT, haladó keresési technikák, becézzük, ahogy szeretnénk, már-már szinte mindenható, miért nem tanultak bele sokkal többen ráadásul éppen ebben a korban? Legvalószínűbb magyarázat ismét csak a misztikus köd: ha valakit esetleg még érdekel is, könnyen gondolhatja úgy, hogy sosem kerülhet elég tudás birtokába vagy nem férhet hozzá a megfelelő eszközökhöz, aztán bele sem kezd.
Milyen forrásokból érdemes tájékozódni mégis? Általános válasz természetesen nincs, ahogy kezdtük, éppen azon van a lényeg, hogy a módszerek kevéssé ismertek. Viszont a teljesen kezdők számára még a magyar nyelven rendelkezésre álló irodalom is kitűnő ugródeszka. Másrészt számtalan forrás elérhető közkönyvtárakon, szakkönyvtárakon, levéltárakon keresztül, ha offline segédletről van szó.
Ha valakinek van közelebbi-távolabbi ismerőse rendvédelmi szerveknél, katonai- vagy polgári nemzetbiztonságnál dolgozó szakértők vagy tisztek közt, akikkel rendszeresen összefuthat például szakkonferenciákon,   kábé mindenről lehet velük beszélni, csak a melójukról nem. Miért is?
Azzal kapcsolatban eléggé világos a helyzet, hogy folyamatban lévő ügyről nem mondhatnak semmit, mivel az minősített adat, ezzel kapcsolatban eléggé világosan fogalmaz a törvény. Még annak is érthető az oka, ha egy-egy nyomozó miért nem beszél úgymond kifelé olyan ügyről, amivel kapcsolatban már megtörtént egy különösen juicy büntetőper teljesen nyílt tárgyalása, jogerős ítélettel pedig az érintetteket lecsukták olyan ezer évre. Igaz, a bíróság előtt bemutatott bizonyítási eszközök nem pontosan egyeznek azzal, amiket a nyomozati szakaszban használtak, de elvben nem lenne akadálya egy-egy ilyen bizonyítás valamint az egész folyamat szinte teljes megismerésének. Az a kockázat rendszerint lóg a levegőben, hogy a civil például újságíróként megírja a sztorit, de már kicicomázva, ami nem vetne jó fényt a hatóságokra. Például beleírná, hogy a terhelttel kapcsolatban mennyi ideig végeztek titkos információgyűjtést vagy titkos adatszerzést, de nem írna ennek elengedhetetlen voltáról a konkrét ügyben.
Ahogy azzal sem sértené meg senki a törvényt, ha elmagyarázná másnak, hogy hogyan is történik például az ujjlenyomatok felvétele és kezelése vagy a biológiai anyagmaradványok kezelése. Nagyon naivan lehetne azt mondani, hogy ekkor az, aki tud róla vagy akinek elmondja, nehezebben lenne azonosítható, ha ilyen-olyan kriminalisztikai ismeretek birtokában követne el bűncselekményt, ügyelve rá, hogy milyen nyomokat ne hagyjon maga után. Ugyanis ekkor éppen a modus operandii buktatná le, azaz az alapján tudnák a nyomozók szűkíteni a kört, hogy kik lehetnek azok, akik különösen figyeltek arra, hogy bizonyos típusú nyomokat ne hagyjanak maguk után. A kriminalisztika, konkrétabban pedig nyomtan és krimináltaktika egyik sarokköve, hogy azért nincs tökéletes, megfejthetetlen bűntett, mert annyi eszköz áll rendelkezésre, hogy még a legfelkészültebb elkövetőnek is képtelenség mindenre figyelnie. Többen olvashattak már olyan városi legendába illő sztorikat, hogy egy rutinos igazságügyi orvos eltette az asszonyt láb alól, majd próbált minden nyomot eltüntetni vagy éppenséggel egy nyomozó olyan ügyben nyomozott, ahol ő volt az elkövető. Mindegy is, hogy ezek városi legendák vagy tényleg történt ilyen, éppen azért buktak el, mert az elkövetés módja annyira eltért a tipikustól.
Amire sokáig nem találtunk normális magyarázatot, hogy általánosságban miért nem mond szinte semmit a hírszerző, hírszerzésnél dolgozó szakértő, rendőr vagy katona ismerős, hiszen egyrészt általában nincs ezzel kapcsolatban nincs törvényi korlátozás, a kriminalisztikai módszerek mellett a büntetőeljárás joganyagai, az Rtv, a titkosszolgálatok működéséről rendelkező törvények is nyíltan elérhetőek. Azaz ha valakit érdekel, úgyis megtalálja irodalmazás során a megfelelő helyen akár egy-egy konkrét módszer mikéntjét, csak éppen sokkal több időt vesz igénybe. Aztán sok-sok év után megkaptuk a választ, a magyarázat ugyan nem lesz rövid.
Már az ókorban megtörtént a hatalmi ágak elválasztása. Érdekesség, hogy a mai napig olyan államokban, ahol deklaráltan nincsenek elválasztva a hatalmi ágak, például Szaud-Arábiában olyannyira nem, hogy a Korán jelenti a de facto alkotmányt, be vannak építve olyan kontrollok, garanciák, amik miatt a király sem tehet meg bármit.
Gyakran nem gondolunk rá, hogy Európában nem is olyan nagyon régen alakult ki, hogy bizonyos feladatkörök, tevékenységek, mint például a pénzkiadás vagy éppen az igazságszolgáltatás, az állam monopóliuma. Eléggé világos, hogy miért nem nyomtathat senki pénzt a sufniban, az már kevésbé világos, hogy  miért létezik az a hallgatólagos álláspont, hogy a civil ne nyomozgasson, még akkor sem, kutatásnak nevezi, mégpedig azért, mert könnyen előfordulhat, hogy olyan eszközt használ információszerzéshez – hangsúlyozzuk, legálisan! – amit olyan területen szoktak alkalmazni, ami állami monopólium, azaz az igazságszolgáltatás területe.
Világos, hogy bizonyos esetekben még meg is lenne a célhoz kötöttség, arányosság és szükségesség, nem alkalmazhatsz egy eszközt egész egyszerűen azért, mert a törvény tiltja. Azaz nem kötelezheted a szomszéd nyugdíjast, hogy minden kérdésre maradéktalanul válaszoljon őszintén tanú szerepben, ez az egyszerűbb eset.
Azaz az állam, egyébként nagyon helyesen, nem is akarja kiengedni a kezéből az igazságszolgáltatás  monopóliumát, ugyanis abból komoly kavar lehet. Ha például kitenné a kirakatba a nemzetbiztonsági szervek egyike, hogy milyen módszereket alkalmaznak, amik még az OSINT körébe tartoznak, azaz passive reconnaissance eszközök, nos, azt a módszert olyan is elkezdené használni, aki erre nincs képesítve és szakszerűtlen irányba menne el egy civil magánakciója, másrészt rá, mint civilre, nem is vonatkoznak azok a szabályok, amik a nyomozókra igen.
Egyrészt előfordulhatna, hogy legálisan, mondjuk puhatolással jutna valaki olyan információhoz, amivel törvényt ugyan nem sértene, mégis komoly érdeksérelmet okozhatna ezzel másnak, főleg, ha közzéteszi.
Másrészt előfordulhat, hogy valaki civilként nincs tisztában azokkal az etikai és jogi ismeretekkel, amik szükségesen annak eldöntéséhez, hogy valamit meg szabad-e tenni vagy sem. Példaként tekintsük a következő, szakállas Google dorkot. Vajon szabad rákeresni arra, hogy

intitle:index of /maildir/new
A válasz, hogy igen. Egy rakás levelezőrendszert látunk, amit elszúrt beállítás miatt indexelt a keresőmotor. Ez eddig nem sért törvényt. Viszont aki ilyenre rákeres, annak tisztában kell vele lennie, hogy ami megjelenik előtte találatként, valakiknek a levelezése, amihez semmi köze nincs. Azaz ha egyetlen ilyenbe is belekattint valaki, sanszos, hogy már meg is sértette a törvényt.
Harmadrészt nem zárható ki olyan eset sem, amikor valaki még tisztában is van azzal, hogy egy bizonyos pont után már törvényt sért, de mégis megteszi. Azaz ha valaki egy paste-siteon talál egy rakás, felhasználói név-jelszó párost, majd nem is gondolkozik rajta különösebben sokat, máris megkeresi az ex-barátnőjének belépési adatait és lép is be vele valamilyen szolgáltatásba stalkolni, néhány perccel később pedig már könyékig vájna olyan érzékeny információkban, amihez semmi köze nincs.
Ezzel kapcsolatban a legelképesztőbb példa, amit nemrég lehetett olvasni, hogy egy nagyobb adatszivárgást követően az egyik legnagyobb hírportál hülye újságírója úgy validálta az adatok helyességét, hogy fogta az egyik felhasználói név-jelszó páros, belépett vele, mindezt pedig még meg is írta…
Azaz! Számos olyan módszer létezik, ami önmagában nem sért törvényt, viszont erősen prediszponálja, hogy valaki törvénysértést kövessen el vele akár szándékosan, akár a tudatlansága okán. Na ezért nem fog egy civilt  kiokosítani például egy NBSZ-es ismerős az alkalmazott módszereikkel kapcsolatban. Ami másik oldalról számomunkra megmosolyogtató, mert a módszerek szinte mindegyike elérhető több vagy kevesebb irodalmazással, kereséssel.
Ugyanakkor a kriminalisztika nem csak, hogy fontos, sokszor konkrétan kihagyhatatlan. Tételezzük fel, hogy valaki az IT területén betörési minták kutatásához honeypotokat állít be, akár egy teljes szenzorhálózattá kialakítva azt, nem kell újra feltalálnia a kereket, ha tisztában van vele, hogy milyen az ideális kriminalisztikai csapda.
Amit még nagyon fontos tisztázni, egy szerencsétlen nyelvi jelenségből ered. Ki a kém, hírszerző, fegyveres rendvédelmi szerv tagja, terrorelhárító, tiszt, magánnyomozó? Ugyanis ezeket a közbeszéd egy lapon tartja számon, de most nem azzal foglalkozunk, hogy egy konyhanyelvi megnevezés melyiknek felel meg ténylegesen, csak egyet emelünk ki, amit a legtöbben rosszul tudnak.
A magánnyomozó nem nyomozó, attól, mert komolyan hangzik. Magyarországon a magánnyomozó ugyanolyan civil, mint bárki más, bármiféle hatósági jogkör nélkül. Igaz, hogy a magánnyomozó nagyon sok esetben korábbi tapasztalt rendőr, abban a pillanatban, amikor esetlegesen egy volt kollégáján keresztül ér el olyan információt, ami hatósági engedélyhez kötött, például a Magyarországon alkalmazott Robotzsaru Neo rendszerén keresztül ér el adatokat, mindkét fél vastagon törvényt sért. Sőt, ennél sokkal kevesebb is elég hozzá, például ha egy magánnyomozó hivatalos személynek adja ki magát és annak megfelelően tesz valamit, ha feljelentik, magyarázkodhat bőven.
Természetesen, ha valaki beszélgetés közben olyan kommunikációs műfogást alkalmaz, amit a fedett nyomozók szoktak és sikerrel is jár, azaz a másik elmond olyat, amit egyébként nem mondana el, ha konkrétan belekérdezne valaki, önmagában ez nem ütközik semmilyen törvénybe. De ez már HUMINT.
Gyakori, hogy egy kívülálló nem tudja hova tenni azt, aki a munkája során OSINT-eszközöket alkalmaz, aki tervezi, számíthat rá, hogy a következőkkel fogják összemosni:
– nettó stalkerek
– magánnyomozók – ők erőből mennek, pofátlanul drágán, de legalább ezer éves módszerekkel
– tényfeltáró újságírók – ők szöszmötöléssel dolgoznak és az a becsípődésük, hogy a kapcsolati tőkével minden információ elérhető
– hivatásos, nyomozati jogkörrel rendelkezők – a törvény erejével, felhatalmazásával valamint az eszükkel dolgoznak
Egy összefoglaló jellegű mű mélyebb betekintést enged a témába, a Bócz Endre szerkesztésével megjelent Kriminalisztika I-II, amiről épp egy korábbi posztban már írtunk is. Fontos, hogy a könyv sosem jelent meg könyvkereskedelmi forgalomban, viszont egyrészt minden nagyobb könyvtárban van helyben használható példánya, másrészt alighanem ugyanúgy megvásárolható, személyesen a Belügyminisztériumtól, mint korábban. Mivel kézikönyvről van szó, nem végigolvasásra szánták, eléggé világos, hogy a lőfegyverek okozta elváltozásokat és hasonlókat tárgyaló részre nincs szükség, viszont a nyomtani, bizonyítástani részekre már igen. Ezen kívül a kapcsolódó részek átolvasása után az ember nem néz hülyén, ha eseti szakértőnek kérik fel vagy meg kellene találni a közös hangot olyannal, akinek a munkájához tarozik.

Michael Bazzell – Open-Source Intelligence Techniques
– az OSINT alapműve, aminek a legújabb kiadása pár hónapja jelent meg. Közvetlenül alkalmazható technikákat mutat be és magyaráz el annyira jól, hogy nem túlzás azt állítani, hogy sok-sok hasonló című könyv ebből lett összelopkodva. A valóban hatékony tanulás közben persze nem csak a konzerv megoldások lesznek az olvasó kisujjába, hanem elsajátítja azt a készséget, hogy ő maga találjon újabb és újabb technikákat.
Matthew Russel Mining the Social Web könyve az egyik legparáztatóbb könyv, amivel életünkban találkozhatunk. Ugyan ez már bizonyos szintű programozási tudást feltételez, egészen elképesztő dolgokat lehet a benne leírtakat követve varázsolni, olyan rejtett összefüggéseket előásni, amikre egyébként esélytelen más úton rájönni. Azért fontos, hogy a második vagy újabb kiadást szerezzük be, mert a hibajavítások és bővítések mellett az első kiadásban még egyáltalán nem vagy csak érintőlegesen tárgyalt témákat hoz be, mint amilyen a LinkedIn, Google+ vagy a GitHub bányászata. Fontos, hogy ez nem jobb vagy rosszabb, mint az előző, hanem teljesen más!
Több ajánlott irodalmat csak azért sem írunk, érdemes erre a háromra összpontosítani. Ha valakinek nincs rutinja a Python-programozásban, egy okkal több, hogy megtanuljon, emellett világossá válik az az általában érthetetlennek tűnő, közbevetés, hogy a téma elválaszthatatlan a nyelvtudománytól és a matematikától, de egyik sem harap.
Korábban peddzegettük, hogy az OSINT-et egy bizonyos szint fölött csak ágazatspecifikus módon lehet művelni, ahogy a tudomány fejlődésével más területeken is jellemző a tagolódás. Az elején még nem kell vele foglalkozni, viszont később világos lesz, hogy aki etikus hekkerként céges hálózatokról gyűjtene információt, annak megfelelően kell a korábban szerzett szaktudását ebben a keretbe beágyaznia. Míg ha valakit az érdekel, hogy bizonyos rétegek nyelvezetére jellemző kifejezések, nyelvi jelenségek, az ország mely részein dominálnak, fordulnak elő együttesen, a nyelvtechnológiához és szociolingvisztikához kell értenie. Ha valaki megpróbál kábszihálózatokat felgöngyölíteni vagy éppenséggel egy-egy, polgárháború sújtotta országban a további zavargásokat elemezni és előrejelezni, célzottan annak megfelelő tudásra lesz szüksége. Szerintem ezzel sikerült szemléltetni, hogy az OSINT általános célú, líraian úgy is fogalmazhatnék, az információszerzés lingua franca-ja, amiben ugyanúgy kérdéseket fogalmazunk meg, csak éppenséggel teljesen más módon. Mindezt a közösségi média korában.
képek: Amazon, Computerweekly, Expertsystem, International Institute for Counter-Terrorism

“Nyílt-forrású információszerzés – kémek, kurvák, gengszterek, OSINT” olvasásának folytatása