Megvolt: Hacktivity 2008

Megvolt a 2008. évi Hacktivity, ahol a hazai underground, ill. nem annyira underground összegyűlt. A rendezvény egyébként a kelenföldi Fonó Zeneházban volt.

Nem mentem oda a 9:15-ös megnyitóra, hanem addig is inkább kúráltam magam az alábbi kombóval: Coldrex tabletta, C-vitamin, Béres multivitamin, ill. – Mg+B6 tabletták. Az odajutás problémamentes, a bejutás kissé időigényes volt (> 30 perc), dacára annak, hogy már folytak az előadások. Az egyik látogató meg is jegyezte, hogy miért nem két sorban engedték a népet, ill. miért nem külön helyen írták meg benn a számlát, hogy így is gyorsabb legyen a bejutás?

Mindegy (utólag már), végül abszolváltam a bejutást, megkaptam az “ELŐADÓ” feliratú belépőmet, és egy fotós hölgy útbaigazított a nagyterem felé. Innen már csak a büféig mozdultam el, ahol kedvenc fogásom a tea volt (amiből 3 rundot is engedélyeztem magamnak), mert éreztem, hogy valami forróra is szükségem lesz, ha beszélni akarok.

Éppen egy információs hadviseléssel kapcsolatos előadás ment, amit kár, hogy nem az elejétől hallottam, mert érdekes téma. Aztán jött Buherátor, aki az SQL injection-ről tartott demoval is tarkított előadást. Apró legény létére azért is nagy volt a szememben, mert a vindózén valahogyan nagyítást csalt elő, hogy jobban látszódjon a böngésző címsora. Amúgy a téma és az előadás is jó volt, és olyan SQL script volt a végén, ami egy közelebbről meg nem nevezett amerikai fegyintézet “lakóinak” összes adatát megmutatta. Szerencsére védekezni is lehet a támadás ellen, de észnél kell lenni.

Szó volt aztán a hackelés jogi oldaláról. Az előadó elmondta, hogy az USA-ban nem büntetnek meg, ha nem tudják kétség nélkül rád verni a “balhét”, addig Magyarországon nem kell megdönthetetlen bizonyíték, hogy lesitteljenek, ugyanis nálunk a bírói meggyőződés az ítélkezés alapja. Olyan fogalmak is elhangzottak, mint pl. az internetes köz- ill. magánszféra. Megtudtuk azt is, hogy a jogalkotás kullog a technika mögött, de jó lesz a BTK-t is fellapozni, hogy mit tilt. Amit ugyanis nem, azt szabad. Az is érdekes volt, hogy mit használnak pl. az osztrákok, ha egy hackert le akarnak kapcsolni. Egy biztos: szabad hackelni, de jobb neked, ha nem léped át a törvényesség határát.

A következő előadás a PKI adathalászat elleni lehetőségeiről szólt. Érdekes volt hallani, hogy attól, hogy egy weboldalnak nincs tanúsítványa, az attól még lehet biztonságos, ill. attól még nem biztonságos egy web oldal, mert van certificate-je.

Azután valami spamszűrős fazon jött a statisztikai spamszűrőivel. A végén kaptam egy hacker/hacktivity 2008-as bort, amit elteszek emlékbe. A legendás borfogyasztásomat ismerve, kitart szerintem vagy 2050-ig is.

Aztán a szombat zárásaként egy kerekasztal beszélgetés volt a közönség bevonásával, amelyben a hazai hackerek, hackerség helyzetét boncolgatták a felszólalók. Elhangzott sok hacker-definíció, hogy van-e kicsi hazánkban hackertársadalom, ill. hogy egyáltalán hány hacker van. A hallgatóságból néhányan visszautasították a “biztonsági szakember” sértést. A zárszó pedig az volt, hogy a hazai hackerek jószándékú, segítőkész személyek, akik nem örülnek annak, hogy a média negatív stigmát társít hozzájuk.

Érdekes előadások voltak, megérte elmenni, és alig várom, hogy kívülről láthassam magam. Kiváncsi vagyok, milyen élményben volt része a közönségnek. Ha ott voltál, és meghallgattál, írd meg a véleményed. Az pedig külön megtiszteltetés volt számomra, hogy az itcafé-val rendezett játék egyik nyertese a könyvemet választotta ajándékként. Köszönöm neki, remélem, jól fog szórakozni a könyv olvasása során, legalább annyira, mint én a történetek összegyűjtésekor.

Mire jó a Google?

Az Indexen érdekes cikk jelent meg Óvakodj a Google-től! címmel. Amióta volt egy afférom a keresőóriással, azóta nem vagyok annyira oda értük. Az történ ugyanis, hogy egy szélsőjobbos idióta és/vagy spammer feldobta az egyik bejegyzésemet a Google-nál, akik anélkül tiltották le az AdSense account-omat, hogy legalább megnézték volna, hogy valóban jogos-e a panasz?

Nem is meglepő, hogy a cikkben szóba kerül az, hogy a Google manipulálja a felhasználók számára nyújtott tartalmat. Elég pl. arra gondolni, hogy Kínában a Tibet szó a vörös posztó szinonimája, és a Google elvtelenül belement abba, hogy ok, akkor a kínaiaknak csak egy szűrt – és ezért szükségszerűen torzított – Internetet mutatnak.

Ok, az persze egy diktatúra, de ilyen csak nem történhet meg a világ civilizáltabb felén?! Ha a jelenlegi amerikai alelnök lakóhelyét keresnéd légi felvételen, akkor azonban egy – az Index szóhasználatával élve – “pixelerdőt” kapsz.

Ok, ő mégis csak egy politikus. Na akkor keressünk rá a volt Novelles vezérre, aki ma a Google vezérigazgatója: Eric Schmidt. Róla is töröltek némi infot a keresőből.

Ezek alapján nem meglepő, ha némelyek adatvédelmi, sőt manipulációs aggályokat vetnek fel. Az Index cikke is megemlíti azt a gikszert, ami a United Airlines részvényeinek felfüggesztéséhez vezetett. Az történt, hogy pár napja a Google a Chicago Tribune egy 2002-es cikkét is bedobta a Google News-ba, amely a légitársaság – 2002-es – csődjéről szólt. És mondd már, hogy némelyek ezt nem vették észre. Persze a kereső és az újság egymásra mutogatnak, de a lényeg ebből az, hogy nem megbízható a Google News.

Szóval kellene valaki, aki egy korrekt alternatívát képes nyújtani a Google ellenében. Mert el kell ismernem, hogy a keresésben nem véletlenül a Google-é a keresési piac jó 2/3-a.

Az persze csak egy dolog, hogy egy cég számára élet-halál kérdése, hogy a Google keresőjében megfelelő helyen (értsd: az első két oldalon) szerepeljen, vagy egyáltalán az, hogy szerepeljen benne. Amikor a CNet egyik újságírója megírta, hogy mit talált Schmidt-ről, akkor büntiből a CNet-et 1 évre feketelistára tette a Google. Ez pedig rossz hír, mert ez azt jelenti, hogy akinek nem tetszik a fizimiskája, azt a Google gyakorlatilag kinyír(hat)ja, ha úgy akarja.

De ennél is van még rosszabb: a Google nagy halom alkalmazása, pl. Gmail, Blogger, Google Earth és Maps, vagy a legújabb gyeplő, a Chrome böngésző. Mindezekkel a Google annyi mindent megtudható rólad, és ezzel olyan szinten vissza lehet élni, hogy némelyek szerint a KGB, Stasi, stb. csak kiváncsi nyugdíjasoknak tűnnek emellett.

Aki ugyanis ezekből jó sokat használ, az gyakorlatilag az egész (online) életét kiteregeti a Google előtt, és ha egyáltalán megfordul a fejében egy kis security, meg adatbiztonság, akkor legfeljebb reménykedhet benne, hogy a Google nem fog ezzel visszaélni.

Én mindenestre igyekszem magam távol tartani a Google-től. Fél órája még a blogomról is leszedtem az “urchin.js”-t – azaz a Google Analitics nevű szoftverét, mert bár látványos volt egy térképen látni, honnan is nézik a látogatók a blogomat, de miért is osztanám meg ezt az intim adatot egy harmadik féllel? Teljesen jól működhet egy naplóelemző szoftver erre a célra.

Van emellett egy Gmail account-om is, amit regisztrációk céljára hoztam létre, nem is tervezem, hogy oda érdemi levelet csak egyet is fogadnék. A Blogger is biztos hasznos lenne, mert akkor nem kellene a saját gépemen blogot futtatnom, de inkább a saját gépemen végzek minden privát dolgot, legyen az levelezés, blog, stb. mintsem attól kelljen félnem, mi lesz, ha egyszer valaki felnyom valamiért a Google-nél, és az ész nélkül törli mondjuk a blogomat, vagy az üzleti web oldalam?

Egy előnye azért van a Google alkalmazásoknak: (egyelőre) ingyenesek, ezért nagy vonzerőt jelentenek a költségérzékeny magánszemélyek és vállalkozások számára. Az ár azonban ennél sem nulla, csak itt nem pénzt kell kicsengetni, hanem a magánszféránkat odadobni prédára. Idővel pedig ez is pénzbe kerülhet.

Meghagyom a Google-t annak, ami: egy jó keresőnek, az egyéb szolgáltatásaitól pedig távol tartom magam, amivel belekukucskálhatna a magánéletembe.

Végül még egy szó a Gmail-ről. Valaki dicsérte, hogy milyen jó spamszűrője van. Ezt nem is vonom kétségbe, de azt igen, hogy üzleti célra is alkalmazható-e. Nem úgy értem, hogy nyomtathat-e valaki @gmail.com-os email címet a névjegyére, hanem hogy megéri-e minden üzleti adatunkat a Google-ra bízni? Az én válaszom erre határozott nem. Szerencsére spamszűrésben tudok alternatívát ajánlani a Google megoldása helyett.

Magyar netre magyar spamet

A HWSW-n megjelent egy cikk Magyar netre magyar spamet címmel, amelyben a szerző néhány hazai ISP spamkezelési gyakorlatát szedte össze + a Spamwiki véleményét. Néhány gondolatom nekem is támadt a cikk, ill. a hazai probléma kapcsán.

“évek óta kívánatos lenne, hogy az asztalra csapjanak [a hazai szolgáltatók] és kikényszerítenének a felettes hatóságtól valamilyen értelmes megoldást. A felhasználók komfortérzetét ezzel úgy tetszik, nem kívánják növelni — elégedjen meg mindenki a megabitjeivel.”

Hmm… az jutott eszembe, mi lenne, ha az asztalra csapnék, hogy kevesebb adót kelljen fizetni. Nem kell nagy fantázia az eredményhez: a feleségem szólna, hogy ne hupákoljak, mert elaludt a gyerek. Szóval ez nem egészen úgy megy, hogy xy piaci / társadalmi szereplő veri az asztalt, majd (kvázi) törvényeket hoz, ill. módosít. Megkockáztatom, nem is ez a megfelelő megoldás a magyar eredetű spamre.

Olyan világot is el tudok képzelni, ahol az X ISP szerződési feltételeiben az is benne van, hogy ha spammelsz, vagy ha pártolod a spammelést (mondjuk egy spammer web oldalt vagy domaint hosztolsz), akkor – mérlegelés után – azonnal fel lehessen mondani veled a szerződést. A felhasználók így olyan ISP-t választhatnának, amelyiknek a hálózata (majdnem) tiszta. Mert lássuk be: bármelyik nagyobb szolgáltató hálózatán potenciálisan megjelenhet akár egy amatőr-, akár egy profi spammer. A kérdés csak az, hogy az adott szolgáltató mit tesz, ha lebukik egy spammer a hálózatán?

A cikkben megszólaló Sipos Zoltán joggal háborog a Vodafone hozzáállásán, hiszen a szolgáltató AUP-ja szerinte lehetőséget ad a hálózatukon lévő spammerek eltávolítására, és mégsem tesz hathatós lépéseket. El kell ismerni, hogy XY lakossági bejelentőtől sem kapna meg a szolgáltató kevesebb adatot, mint az NHH-tól, ami alapján könnyen azonosítani lehet a spammert. Két probléma áll csak ennek a szép világnak az útjába.

Az egyik az, hogy az ISP-k működési költségét minden bizonnyal alaposan megdobná az, ha közvetlenül fogadnák a spam miatti bejelentéseket. Arról nem is beszélve, hogy ehhez nyilván szükség van a teljes levélre, és a szolgáltatónak ez alapján kell eldöntenie (ugyanis nem minden magyar spam \/iag@rát reklámoz), hogy ez most spam vagy sem, ill. egyáltalán adott-e a címzett engedélyt a levélküldésre a “spammernek”? Ehhez nyilván meg kell kérdezni a küldőt, és lehetőséget kell neki adni arra, hogy megcáfolja a vádakat. Ez nyilván időbe telik, mert miért ugrana bárki is a szolgáltató faggatózására. És szolgáltató legyen a talpán, aki akkor is okos tud lenni, ha az egyik fél állít, a másik meg tagad.

A másik ok pedig még profánabb: a mobil hálózaton forgalomfüggő csomagok (is) vannak, így közvetve a szolgáltatónak is jó, ha valaki – fogalmazzunk úgy – “sokat levelez”. Egyik oldalról tehát jó, mert bevételt generál (legalábbis, ha forgalomfüggő a szolgáltatás), másfelől viszont rossz, mert rossz kritikákat kap a szolgáltató, ami elrettentheti a jövőbeni potenciális ügyfeleket. Megfordítva viszont rossz az, ha kidobjuk a spammereinket, mert akkor kevesebb a bevétel, viszont ha elterjed a híre, hogy mi egy – relatíve – spammentes ISP vagyunk, akkor a jövőbeni potenciális ügyfelek minket választanak.

A gyakorlat persze egy kicsit árnyaltabb ennél: a magyar fogyasztó ugyanis meglehetősen árérzékeny, és 5 forintért átmegy a másik boltba. Régi történet, de nem felejtem el, mert annyira mókás volt. Szóval a sztori kb. 10 éve történt, amikor egy vidéki nagyvárosban egy lokális isp, nevezzük T****netnek, 5000 Ft-ért adta az X dial-up Internet csomagot – ne feledjük, hogy 10 évet visszamentünk az időben. Egy szintén regionális távközlési cég is beszállt az Internet bizniszbe, és bedobott egy – hmm… eléggé nyomott – 2500 Ft-os havi díjat. Mit csinált erre a T****net? Kitalálta a 2400 Ft-os csomagot, hogy továbbra is elmondhassa, ő a legolcsóbb helyi szolgáltató. Nyilván abban a reményben tették, hogy az egyszeri ember összeveti a 2 számot: 2500 az egyik, 2400 a másik, ok, akkor nyilván “az olcsóbbat” fogom választani. Azt meg miért kellene bárkinek is kitalálnia, hogy az olcsóbb isp 2Mbps upstream-jén (hasamra ütök) 5x annyian osztoznak, mint a “drágább” telco szintén 2Mbps upstream-jén?! Ha az ember sokat gondolkodik, úgyis csak a feje fog megfájdulni. A döntés különben is külön tudomány, de legalább művészet.

Ezt a kis kitérőt csak azért tettem, hogy illusztráljam, vajon mégis mekkora lenne a becsületes, anti-spam bajnok isp befektetéseinek megtérülése. Mondjuk ki együtt az eredményt: kb. nulla. Ha pedig ezt a számítást már mások is elvégezték előttem, és hasonló következtetésre jutottak (amit a jelenlegi helyzet közvetett bizonyítékaként is tekinthetünk), akkor belátható, hogy az ISP-k miért “best effort” jelleggel kezelik a spam problémát.

A Vodafone-ra visszatérve, helyesen mondják azt, hogy “Magyarországon bárki jogosult ugyanis elektronikus hirdetéseket küldeni annak, akinek az adatait a küldő jogszerű eljárásban ismerte meg.” Mivel egy ISP nem hatóság, így meglehetősen aggályos lenne, ha erősködne, hogy “mutass bizonyítékokat, hogy xy engedélyt adott arra, hogy levelet küldj neki”.

Ígí tehát marad az NHH-hoz fordulás, és a hatóságnak nyilván korlátozott erőforrása van a probléma kezelésére, mivel nem csak a spam bejelentésekkel foglalkoznak. Ez abból a szempontból mindenképpen jó az ISP-knek, hogy nem hozzájuk érkezik a spam bejelentés áradat, így mégsem kell extra erőforrásokat a spam bejelentések kezelésére állítani, ami meg hozzájuk is eljut az NHH-tól, azt meg bizonyára elbírják.

Érdekes a cikkben az egyik megszólaló megjegyzése, miszerint “követendő példa lehet a hálózatban dedikált SMTP relay szerver létrehozása, ami kezeli a kimenő leveleket,”. Egy adsl felhasználónak bizonyára, de aki komoly (volumenű) legális levelezést folytat, az aligha fog ezzel kiegyezni. Az én üzletinek mondható levelezésem aligha éri el egy isp küszöbét, de már én is a saját gépemen keresztül akarom elküldeni a leveleimet, és én akarom kézben tartani az SMTP kapcsolatot.

A cikk kissé borúsan végződik, hogy “a fogyasztók kénytelenek elviselni a spamszűrők által többnyire átengedett magyar reklámleveleket, legyen az virágüzletet vagy warez FTP-t népszerűsítő anyag.”. A jó hír az, hogy van azért olyan spamszűrő, ami a virág/warez spamet is képes megtanulni, ill. felismerni. Egy jó minőségű spamszűrővel a spam probléma múlt idő lehet. Nekem már az. Hamarosan pedig neked is az lehet.

Megváltozott a hazai spamtörvény

Az NHH weboldala szerint tegnaptól lépett érvénybe a 2008. évi XLVII. törvény, amely érdemi változásokat vezet be az elektronikus hirdetésekre vonatkozó törvényi szabályozásban.

“Lényeges változás, hogy a fogyasztók védelme érdekében ezután más megítélés alá esik, ha a címzett természetes személy, illetve, ha nem az. Szeptember elsejétől a kifejezett és előzetes hozzájárulással küldhető reklámokra vonatkozó korlátozások akkor alkalmazhatóak, ha a címzett természetes személy.”

Más szavakkal a spammerek szabadon megszórhatják a céges email címeket. Bánatomra már, nekem is olvasnom kell – a munkám miatt – egy olyan email címet, amely “nem természetes személy”. Eddig szépen ment a feljelentés, ha egy lúzer spammer szemetet küldött rá. Ezután azonban be kell érnem a szűrőm tanításával, ami nem rossz, csak valahogy úgy érzem magam, mint az a boxoló, akinek csak védekezni szabad, de vissza nem üthet, mert nincs karja, vagy az a katona, akit egy szem pajzzsal küldtek a csatába, de kard, lézerpisztoly és atombomba (vagy más hasonló) nélkül.

Az FN vonatkozó cikke szerint “egyértelműen magáncímnek számít valamennyi olyan cím, amit magánemberként regisztrál valaki, de azok a céges címek is, melyek a dolgozók számára kiadott személyes címek (ezek általában a vezeteknev.keresztnev@cegnev.hu címformátumú hírek).”

Ez ok, de mi van az én monogram formátumú címemmel (sj@eleg.spamet.kap.igy.is)? Vagy vegyük xy cég HR-osztályát, amelynek teljesen jogosan hr@akármi a címe, de rímel rá a Hogyan Róbert, vagy pl. a sales@aaa.fu címet, ha az az “Ales Sándor” nevű dolgozó címe. Mi van
ezekkel?

“Ezért az NHH Hivatala az elektronikus hirdetéssel kapcsolatos felügyeleti eljárást természetes személy részére küldött elektronikus hirdetések esetében, a természetes személyek által benyújtott kérelmek alapján folytatja le.”

Azaz egy ISP nem jelentheti fel a spammert akkor sem, ha ömlik tőle a spam. Korábban arról volt szó, hogy az NHH akár maga is kezdeményezhet eljárást, de nyilván ennek is vége.

“Az NHH Hivatala természetesen ezután is fogadja a nem természetes személyek részére küldött kéretlen elektronikus hirdetések esetén is a beadványokat, ezek alapján ugyanakkor eljárási kötelezettsége nincs, azonban mérlegelési jogkörében eljárva dönt arról, indít-e eljárást.”

Olvasd: nyugodtan küldjétek a céges címekre érkező spamekkel kapcsolatos panaszokat, ha lesz kedvem, akkor eljárok ellenük is.

“A mérlegelésnél a Hivatal figyelembe veszi többek között, hogy az adott hirdetővel szemben hány bejelentés érkezik, illetve, hogy korábban már zajlott-e eljárás ellene kéretlen elektronikus hirdetés miatt – így a fontos és hangsúlyos feladat marad a jogi személyektől érkező beadványok vizsgálata is.”

Azért kiváncsi vagyok, hány konkrétan hány panasz kell az eljáráshoz. Ez a mérlegelés dolog meg elég szubjektív, nagyon nyúlós lehet adott esetben.

“Az elektronikus hirdetések küldésére vonatkozó általános követelmények (előzetes hozzájárulás, leiratkozás biztosítása, nyilvántartás vezetése, stb.) és az NHH Hivatala által alkalmazható eszközök, szankciók lényegében nem változtak.”

Hát, mit is mondjak? Tavasszal még azt írtam a spam könyvbe, hogy a magyar törvények a jobban sikerültek közé tartoznak. De ez már múltidő. Az sem éppen vigasztaló, hogy az NHH mostanság elég lassan válaszol (értsd: az utóbbi ügyek már 30 napon túl húzódnak). Valószínűnek tartom, hogy ez a törvénymódosítás is arra reakció, hogy bejelentések özönét kapták, amit el is hiszem, hogy fárasztó kezelni.

Az is elég kézenfekvő, hogy miért éppen a céges címekre öntött spameket pattintja le a hivatal. A vállalatoknál jellemzően dedikált informatikusok kezelik a levelezés központi részét, tőlük elvárható a hatékony spam-védelem, és nyilván ők továbbították a feljelentések nagyobb részét – legalábbis szerintem. Az egyszeri otthoni felhasználó pedig legfeljebb káromkodik egyet, amikor ki kell törölni 30 spamet, de kevéssé valószínű, hogy feljelentést tesz az NHH-nál.

Szóval nem lennék meglepve, ha egyszerű szavakkal fogalmazva az történt volna, hogy szólt az NHH: kéne egy kis plusz pénz, -ember meg -infrastruktúra, mert a nép annyi spam feljelentést tesz, hogy majd belefulladunk. Az akármilyen minisztérium azt válaszolta, hogy az nincsen, de van helyette nadrágszíjszorítás. Erre az NHH meg azt mondta, hogy ok, de akkor csak a jelenlegi igények 20%-át tudjuk kiszolgálni, a többit le kell pattintani. Válasz: ok, ezt majd törvénybe is foglaljuk. Mondom, ez csak feltételezés, de hajlandó lennék rá némi pénzzel is fogadni.