Szerteszana²

grin agymenései

Ellenőrizd azt, hogy kivel beszélgetsz

2024-03-08 18:04 írta grin

Megint informatikáról és biztonságról szeretnék neked mesélni.

Az egész arról jutott eszembe, hogy jött egy hír, hogy az AI-hamisított (deep fake) videók miket mutogatnak, meg az AI hamisított képek, üzenetek, akármik. A probléma, hogy amikor egy híres ember kér tőled valamit egy vidóban, vagy hallod a hangját, akkor lehet, hogy az valójában nem is ő. Erről az egészről meg az ugrott be, hogy mesélnem kellene egy méltatlanul hanyagolt, sőt, gyakran legyintéssel elhessegetett biztonsági módszerről, méghozzá a másik fél azonosításáról.

Elöljáróban: azt talán tudod te is, hogy vannak azok a rendszerek, amik titkosítanak, vagyis megoldják azt, hogy az üzeneteidet (írásodat, képeidet, hangodat vagy videótartalmadat) idegenek ne tudják megnézni, megismerni. Ez a rész viszont nem segít abban, hogy mi van, ha a másik oldal mégsem az, akinek állítja magát?

A digitális aláírások ismerősek lehetnek. Ez a valóságban úgy működik, hogy annak, aki aláír van egy titkos számosorozata (ez lehet sok minden, nem lényeges, hogy épp egy jelszó vagy egy hosszú krixkrax-sorozat egy file-ban), a számítógép pedig fogja az aláírandó szöveget (hangot, videót, akármit), kiszámít belőle egy olyan mintát, ami csak arra a file-ra igaz (ha bárki megváltoztatja, a minta nem fog stimmelni), és utána ebből a mintából meg a titkos számsorozatból csinál egy olyan számsorozatot, amit csak a titkot ismerő ember képes előállítani és csak az adott file-ra igaz: ez a digitális aláírás. Egyrészt „nem lehet” (pongyolán fogalmazok, elnézést a kriptográfusoktól) hamisítani, mert nem ismeri senki más a titkos számokat, másrészt „nem lehet” észrevétlenül megváltoztatni sem a file-t, mert akkor nem fog stimmelni a minta, és a mintát sem lehet hamisítani mert ahhoz is a titkos számok kellenének. Ha még egy időpont is része a mintának, akkor azt sem lehet hamisítani, hogy mikor készült az aláírás.

Pár szó az end-to-end titkosításról, vagyis arról, amikor két pont között titkosítjuk a forgalmat és így az üzeneteket továbbító rendszerek sem képesek azt elolvasni/megismerni vagy megváltoztatni. Ez jelenleg a legnagyobb biztonságot adó hozzáállás, nem is szeretik az uralkodó politikusok és erőszak-szervezeteik. Azt fontos megjegyezni hogy ez csak arra vonatkozik, hogy a továbbítás közben az üzenetek nem megismerhetőek de semmit nem tud arról mondani, hogy a két végén megbízható rendszer van-e (vagyis jellemző módon nincs-e a mobiltelefonon állami kémprogram vagy illegális megfigyelés); ha az üzenetet már megismerik, mielőtt titkosítaná a program akkor… annyi volt, mindegy, milyen biztonságos az eljárás. Mivel ez ellen semmilyen továbbítási titkosítás nem véd, most ne erről beszélgessünk.

Azt már kevesebben tudják, hogy a legtöbb valódi titkosítást és biztonságot biztosító rendszer (tipikusan end-to-end titkosítással) a digitális aláírásokhoz hasonló ellenőrzési lehetőséget kínál. Ennek a lényege az, hogy amikor csatlakozol valakihez az első alkalommal akkor kapsz egy a partneredre jellemző titkos mintát, ami teljesen egyedi módon azonosítja őt. Ebből azt nem tudod, hogy ő kicsoda, de azt igen, hogy ha üzenetet kapsz a jövőben ezzel a mintával (ami vagy az üzenetet, vagy az üzenetet továbbító csatornát, csoportot, chatret azonosítja) akkor azt „ez az eszköz” vagy „ez az ember” küldte.

Ezt az alapszintű biztonságot nyújtja például a WhatsApp vagy a Signal azon értesítése, hogy „megváltozott a partnered azonosítója”. Ez azt jelenti, hogy bár a partner ugyanazon a néven látszik, de az üzenet nem arról az eszközről érkezett, amiről előtte! A biztonságtudatos ember ilyenkor egy másik csatornán (például élőben vagy telefonon) rákérdez, hogy „te cseréltél-e telefont, vagy nem”, és ha nem, akkor valaki hallgatózik.

Azonban ennél ezek a rendszerek sokkal többet is kínálnak! Vagyük példának a Signalt (ami jelenleg az egyik legbiztonságosabbnak tekintett, független kommunikációs platform). Itt például minden beszélgetésnél ha rábök az ember a beszélgetés fejlécére (vagy bemegy a PöttyPöttyPötty»Chat settings alá) van egy „View safety number” menü, ami mutat egy hosszú betű-szám sorozatot és egy QR kódot könnyítésnek. Ez a szám és kód azonosítja a beszélgetést, és a csatorna mindkét végén ugyanaz. Ha tehát odamész az ismerősödhöz és mindketten belementek a beszélgetésetekbe, akkor mindketten ugyanazt a számot kell, hogy lássátok (és ebben segít a program is a QR kóddal, amivel gyorsan lehet ellenőrizni). Ha nem ugyanazt látjátok akkor nem egymással beszéltek, hanem valaki mással, aki hallgatózik és közvetít köztetek! Ha pedig stimmel a kód, meg lehet jegyeztetni a programmal! Ez a legjobb módszer, mivel innentől bármikor megváltozik, a program azonnal nagyon hangosan tiltakozni fog, hogy sérült a kapcsolat biztonsága! És akkor is, ha semmi titkosat vagy szörnyűt nem beszélget az ember jobb, ha azzal beszél, akivel gondolja, hogy beszél, és nem valaki mással.

Ehhez hasonló rendszert használ a WhatsApp is, hasonló kódokkal (ugyanaz az alapja a rendszernek, mint a Signalnál). Egy másik, hasonló azonosítási módszer a Matrix hálózaté, ahol bárkire rábökve van egy „Verify” (ellenőrzés) menü, amit kiválasztva és az ellenőrzést elindítva mindkét oldal kap egy csomó emojit. Ez – mint az előző esetekben – mindkét oldalon egyezik, és így az ember például felhívja az ismerősét és beolvassa, hogy „kacsa, fagyi, mikulás, hal, államkasszával a zsebében offshore bank felé yachtozó lölö, kapa, kasza”, a másik pedig ha ugyanezt látja akkor mindenki örül, és leokézza. Innentől ezek az ismerősök kapnak egy zöld pipát, mindenki más meg vörös felkiáltójelet, ráadásul ez a rendszer képes kezelni azt, ha az illetőnek több eszköze is van, és egyenként is lehet őket ellenőrizni vagy éppen nem megbízhatónak jelölni és törölni az ellenőrzését.

Sok ember ezt nem veszi komolyan, hiszen semmi titkosról nem beszél az ismerősével, minek kellene őt ellenőriznie? Nos, például azért, hogy ne kerülj olyan helyzetbe, hogy az „ismerősöd” nagy bajban van és segítséget kér, hogy mondjuk utalj pénzt egy számlaszámra, és utána derül csak ki hogy ő nem tud az egészről semmit. Ebben a helyzetben jó az, ha a program figyelmeztet, hogy az üzenet ugyan látszólag az ismerőstől jön, de azt valójában nem ő küldte. Ugyanezt az ellenőrzést megkapjuk például a Signal esetében hang- és videohívásnál is.

Érdemes megemlíteni a webes tanúsítványokat is, ha már digitális aláírásokkal kezdtem: a weblapok (és internetes szolgáltatások) gyakran használnak olyan digitális aláírásokat, amit egy tanúsító szervezet valamilyen módon ellenőrzött. Ez akkor fontos, ha nem tudjuk ellenőrizni az adott helyet üzemeltetőt egyenként, de cserébe (valamennyire) megbízunk a szervezetben, aki ezt az ellenőrzést helyettünk elvégezte. Ez lehet simán annyi, hogy ellenőrizték, hogy az üzemeltető valóban hozzáfér az adott weblaphoz vagy géphez, de lehet teljes ellenőrzés is, ahol bekérték a cégpapírokat, beszéltek a vezetőkkel és kértek egy hivatalosan aláírt szerződést (ezek a kiterjesztett biztonságú [Extended Verification; EV] tanúsítványok, amiket a böngészők általában teljes zöld háttérrel mutatnak). Ezekre is fontos odafigyelni, illetve meg is lehet általában a böngészőkben nézni (kis lakat vagy pajzs ikonra kattintva) hogy kinek a nevére adták ki pontosan a tanúsítványt. Törött/piros/kinyitott lakattal rendelkező oldalnak még a napszaknak megfelelő köszönést is csak előzetes meggondolás után küldjük el, amit mond, az meg annyira megbízható mint a kormány ígéretei amit az utcán egy rosszarcú ismeretlen állít.

Szóval, összefoglalásképp azt akartam mondani, hogy ha lehet, használj olyan kommunikációs csatornákat amik biztonságosak; ellenőrizd az ismerőseidet akkor, amikot felveszed őket először és hogy érdemes azokat, akik fontosak (közeli ismerősök) leellenőrizni akár csak egy sima telefonhívással és a kód egyeztetésével. Mert számíthat. Ha ezt mindenki megtenné, kicsit jobb lenne a világ.

Reagan, Brezsnyev és Kádár utaznak a repülőn

2024-03-05 10:01 írta grin

Reagan, Brezsnyev és Kádár utaznak világ körüli úton a repülőn, mikor egyszer csak Reagan gondol egyet, kinyitja a kis ablakot és kidugja a kezét. A többiek döbbenten nézik, ő meg vigyorogva azt mondja:

– Na, itt repülünk épp Amerika felett!

– Na mondd már, honnan tudod?

– Hát, a kezembe nyomtak egy mikrochipet!

A másik kettő hosszú arccal magába néz. Nem telik bele pár perc, Brezsnyev elvtárs is odagurul az ablakhoz, és kezét kidugva közli:

– Most pedig pont itt vagyunk a Szovjetunió felett!

A másik kettő hangosan tiltakozik:

– Honnan gondolod, hogy épp ott lennénk?

– Hát onnan, hogy egy üveg vodkát nyomtak a markomba!

Csend. Kádár elvtárs gondolkozik, gondolkozik, majd felragyog az arca, odamegy ő is, és kidugja a kezét.

– Na de most pedig itt repülünk szép hazám, Magyarország felett.

Na erre már kitör a botrány:

– Honnan tudnád, János bátyám, hát a te országod olyan piciny, miből gondolod, hogy pont ott lennénk?

– Honnan, honnan... hát nyilvánvaló, mert ellopták a karórám.

Az elmélet és a gyakorlat közötti különbségek

2024-02-28 11:23 írta grin

Á… nem a politikusokról jutott eszembe.

Kisfiú megkérdezi az apukát:

– Apa, mi a különbség az „elmélet” és a „gyakorlat” között?

Az apa elgondolkozik, majd azt mondja neki:

– Menj oda a nővéredhez és kérdezd meg, hogy lefeküdne-e egy ismeretlennel százmillió forintért.

A kissrác csodálkozik, de elmegy és megkérdezi. A nővére majdnem felpofozza:

– Hogy képzeled?! – majd elgondolkodik.

– Százmillió forintból meg tudnánk venni a lakást, összeköltözhetnénk Bélával… és mehetnénk utazni kettesben… hát, számillió forintért igen.

Kisfiú visszamegy, elmondja. Az apja bólint majd megkéri, hogy ugyanezt kérdezze meg az anyjától is. A kissrác megkérdezi, és az anyja is kiakad:

– Micsoda szemtelenség, ilyet nem mondhatsz! Meg különben is… – elréved, elképzeli, majd elgondolkodva mondja:

– Százmillió? Abból fizethetnénk mindkettőtök iskoláját, megvehetnénk végre az autót, meg a házat is fel tudnánk újítani, és végre lenne időnk apáddal egymásra… hát… annyiért, talán, igen.

Kissrác visszamegy, ezt is elmondja. Az apja megint bólint, majd azt mondja:

– Látod, kisfiam, elméletben van kétszázmillió forintunk! A gyakorlatban pedig van két kurva a háznál.


(Gyerekkoromban egymillió forinttal meséltük.)

Alkotmányos költség

2024-01-29 13:20 írta grin

Az „alkotmányos költség” a mai magyarban élő fogalom: a kormányzati korrupciós pénzek azon fajtáját jelenti, amit szemrebbenés nélkül követelnek az orbánista maffiatagok.

A kifejezést Voldemort nagyúr, vagyis Mengyi Roland fideszes képviselő, bűnöző ügye kapcsán kezdte el használni a köznyelv, mivel Voldemort már eleve úgy adta ki a pályázatokhoz kapcsolatos korrupciós szolgáltatásait hogy előre szerepelt egy „alkotmányos költség” megnevezésű, általában több milliós fizetési tétel a kifizetendő „számlán”. Ez a nyelvművelő tevékenység 4 év letöltendő börtönt ért, ami jutányos ár.

Azonban maga a kifejezés igen régóta egyértelműen a kormányzati, illetve szélesebb körben a politikai korrupcióhoz köthető. A kifejezés már az 1860-as években használatos volt arra a jelenségre, hogy a politikusok pénzért vettek szavazatokat: etették-itatták a leendő rájuk szavazókat, gyakrolatilag leplezetlenül; sőt, a pénz nagy része nem is a szavazókra ment el, hanem a mindenféle közvetítőkre. A kifejezést megtaláljuk például Mikszáth: A káosz című, A Tisztelt Ház-nak címzett karcolatában is.

De a kifejezés nem halt ki: újjászületését a 60-as–70-es években élte, amikor a szocialista Magyar Köztársaság eljutott oda, hogy miniszteri utasítás szabályozta az országok közötti kenőpénzek áramlását, ami a KGST-n kívüli kereskedelem alapvető támogatója volt; ezeket az „alkotmányos költségeket” maga a Magyar Nemzeti Bank folyósította a külföldi cégek, vállalatok számára. Maguk a kereskedelmi kenőpénzek titkosak voltak, így egész biztos jövedelemforrás volt ezek megcsapolása, vagy egy részük visszacsorgatása.

Látható, hogy Doktorb Viktor nem csak az ő néptulajdonát vezeti előre (a lenini úton), hanem igen komoly nyelvművelő tevékenységet is végez. Ez már régebben is megmutatkozott számos szó esetén, melyek teljesen ellentétes jelentést kaptak (nemzeti, liberális, baloldal, stb.), de az „alkotmányos költség” egy gyakrolatilag minden nap használható, szép, igazi magyar nemzeti kifejezés.

Lezárták a Wise/Revolut számlámat‽

2023-10-25 14:09 írta grin

Lezárták a Wise/Revolut számlámat‽

Nagyon röviden szeretnék írni a másik oldalról, avagy hogy mi az oka annak, hogy egy fintech egyszer csak zárolja a számládat, és mindenféle papírokat kér, akár olyat is amit esetleg egyszer már régebben elkért.

Nagyon sokszor elhangzik, hogy „a pénzmosás megelőzése”, de most láttam egy egészen friss és részletes beszámolót egy konkrét esetből, ami talán segít jobban megérteni, mi történik és miért.

A fintech szolgáltatók (Wise, Revolut meg a többiek) ügyfelei nagyrészt online regisztrálnak, nincs személyes kapcsolat, és így regisztrációkor alaposan ellenőrzik, hogy a kérelmező nem bűnöző-e, már amennyire ezt meg tudják oldani. Ezután mindenki biztonsággal használja a számláját.

Sajnos a világ ennél sötétebb: a bűnözőknek (és most gondoljunk mindenféle bűnözőre, a pitiáner kissráctól, aki online rulettezni akar egészen a durva maffiózókig, mint például egy kormánypárti politikus) szükségük van megbízható, bejáratott pénzmosási lehetőségekre, és mi lenne ennél jobb, mint egy már létező, ellenőrzött cég? Így a már létező fintech accountoknak van egy feketepiaci ára, és emiatt egy csomó olyan account van, amit eredetileg tisztán regisztráltak majd eladtak nagyon sok pénzért – bűnözőknek.

A fintech-eknek nyilván nem csak kötelességük, de érdekük is ezeket kiszűrni. Az, hogy ezt hogyan teszik mindenkinek a saját ötletein múlik de belátható, hogy vannak esetek, amikor egy teljesen legális számla forgalma is gyanússá válik. Amikor ez történik velünk, akkor fontos, hogy tudjuk, hogy erről van szó, és a fintechnek arról kell meggyőződnie, hogy a cég még mindig ugyanúgy valid, és nem adta el valaki pénzmosodának. Minden kérdésük gyakorlatilag erre irányul, és ezt próbálják minden módszerrel ellenőrizni.

Az is feltételezhető, hogy tízmillió ügyfél több milliárd tranzakcióját feldolgozva elég sok ilyen gyanús eset pottyan ki, és mivel ezeket egyenként és kézzel kell ellenőrizni ezért ez tényleg rengeteg erőforrást igényel és emiatt tart hosszabb ideig.

A tapasztalat azt mutatja, hogy neked – az ügyfélnek – meg kell találnod az egyensúlyt a türelem és az asszertivitás között. Ha azt mondják, hogy 2-5 napot várj, akkor 2 napig legyél türelmes, de utána ne. Nem biztos hogy udvarias, de elég hatékony naponta-kétnaponta rákérdezni addig, míg a saját határidejük le nem telt, és ha letelt, akkor elfelejteni a türelmet, és minden nap rákérdezni. Udvariasan, konstruktívan de határozottan kell kérni, hogy történjen valami, ahogy ők írták. Néha részletesen le kell újra írni, hogy mi a helyzet, hogy nekik kell lépni, mert te minden kérésüket teljesítetted, vagy épp nem tudtad, és hogy miért.

A tapasztalat azt is mutatja, hogy ha ezt teszed, és a lezárásnak nem volt alapja, akkor általában 1 héten belül lezárul a folyamat, és visszaengedik a számlát. Ha sokszorosan túllépik a határidőt és nem történik semmi, akkor lehet eszkalálni a panaszt (Wise vagy Revolut esetében), ami egy hosszabb, de általában hatékony eljárás. Én még nem hallottam olyanról, hogy valós cég esetében ezek egyike sem vezetett eredményre, de ha mégsem, akkor akár az ombudsman (szintén a fenti linkeken említett Ombudsfin), az EU felügyelet vagy a bankfelügyelet tudja végleg rendezni a helyzetet. A lényeg, hogy nem szabad feladni, mert alapvetően a fintechnek nem érdeke az, hogy bárkivel kicsesszen.

A legfontosabb, hogy ne ess pánikba, és értsd meg, hogy milyen folyamat indult el, és miért. Ezt megelőzni nehéz, ha váratlan, új pénzügyi forgalmaid jelenhetnek meg, de nem szokott gyakran megismétlődni, így ha egyen túl vagy, akkor esélyed van rá, hogy egy ideig békében élhetsz. :-)

(A részletes beszámlóért köszönet B-nek!)

Szerteszana²

Szerteszana²

grin agymenései