Netidők Blogtársaság

Az elmúlt hetek híradásaiban többször felbukkant az Anonymus csoport neve, többek között azért, mert magyarországi szárnyuk is felhívta magára a figyelmet néhány, nagy visszhangot kiváltó akcióval. De valóban nagy volt a visszhang? Eljutottak-e ezek a hírek a hazai internetezőkhöz, és egyáltalán hallottak-e már az Anonymusról? Mit gondolnak a csoport tevékenységéről: szimpatizálnak-e velük, vagy épp ellenkezőleg? Ezekre a kérdésekre kereste a választ – a Petőfi Rádió Netidők c. műsorának felkérésére – az NRC április végén végzett felmérése, amelyből az is kiderült, a hazai netpolgárok fantáziájában hogy néz ki a tipikus hacker. A kutatási összefoglaló után az eredményeket kommentálja Keleti Arthur az Informatikai Biztonság Napja rendezvény főszervezője, a Netidők rádióműsor IT biztonsági szakértője.

A „hacker” azon szakkifejezések közé tartozik, amelyet a közbeszéd meglehetősen leegyszerűsítve, használ – a mindennapi nyelvben és a sajtóban is leginkább negatív kontextusban jelenik meg. A kifejezéssel egyébként szinte minden hazai internetező találkozott már, és nagy többségük (a netpolgárok 87 százaléka) úgy véli, tisztában is van a jelentésével. Jellemzően a számítógépes hálózatok, adatbázisok és internetes oldalak feltörését kapcsolják hozzájuk.

A legismertebb – és a közelmúlt híreiben gyakran szereplő – Anonymus csoportosulásról ugyanakkor csak a magyar internethasználók 55 százaléka hallott, és közülük is csak minden második tudja (vagy véli úgy, hogy tudja), hogy mi a tevékenységük lényege, célja. A netpolgárok kétharmada tehát vagy egyáltalán nem találkozott az Anonymus nevével, vagy ha találkozott is, nem igazán tudja mihez kötni őket. Érdekes ugyanakkor, hogy a hackerek hazai akcióinak híre több embert ért el, mint a csoporté. Az Alaptörvény átírásáról és a Jobbik honlapjának elérhetetlenné tételéről egyaránt a netezők egyharmada (a két akció legalább egyikéről pedig közel fele) hallott – köztük olyanok is, akiknek amúgy az Anonymus neve nem sokat mond.

A csoport tevékenysége némiképp megosztja a magyar internethasználókat. Bár csak 7 százalékuk szimpatizál velük, csupán minden ötödik netező ellenzi teljes mértékben a tevékenységüket. A többség tehát vagy felemásan ítéli meg a csoport működését (40% egyes akcióikat szimpatikusnak találja, másokat viszont nem), vagy egyáltalán nem tud ítéletet alkotni róla (a netezők harmadának nincs véleménye). A férfiak és a fiatalabbak egyrészt tájékozottabbak is az Anonymus tevékenységét illetően, mint a nők vagy az idősebb internetezők; másrészt előbbiek között a szimpatizánsok is nagyobb arányban fordulnak elő, mint az utóbbiak körében. Ezzel összhangban van az a – kissé talán meglepő – adat, miszerint az Anonymus-ügyben leginkább tájékozottak között több a szimpatizáns, mint az elutasító – igaz, a nagy többség ebben a körben sem csak feketén vagy fehéren látja a csoport működését.

Huszonéves egyedülálló férfi
De vajon milyen emberek tartoznak az Anonymushoz? Milyen lehet egy tipikus hacker? Bár jópár hollywoodi produkció alakíthatja a hackerekről kialakult képet, azért mindenképp izgalmas megnézni, egy átlagos internetező milyennek képzeli el őket.

Nos, abban gyakorlatilag az összes hazai netpolgár egyetért, hogy a tipikus hacker férfi, aki jellemzően a húszas, esetleg a harmincas éveiben jár, és egyedülálló. A nagy többség művelt, ugyanakkor saját tudásával kérkedő embernek képzeli, aki inkább liberális, mint tekintélyelvű, emellett viszont a felelőtlen címkét is többen ragasztják rá, mint a felelősségteljest. Abban már erőteljesebben megoszlik az internetezők véleménye, hogy a hackerek jellemzően sikeresek vagy inkább sikertelenek-e az életben, mint ahogy abban is, hogy közömbösek vagy nyitottak-e mások problémáira.

Az ellentmondásos megítélés abból is fakadhat, hogy a hackerek tevékenységének célja nagyon különböző lehet, és ezek társadalmi megítélése is jelentősen eltér egymástól. A számítógépes hálózatok haszonszerzés céljából történő feltörését, az adathalászatot szinte mindenki elítéli, ráadásul a jelenség a biztonságérzetünket is csökkenti: az internetezők kétharmada tart attól, hogy személyes hátránya, kára származhat egy hacker-támadásból.

Ugyanakkor ha más motívumok vannak a hekkelés mögött, az internetezők egy része sokkal elfogadóbb. Komoly biztonsági rendszerek öncélú feltörését (ami tulajdonképpen a hacker képességének egyfajta demonstrálása) a hazai netpolgárok egynegyede tartja valamennyire elfogadhatónak, míg azt, ha egy akció célja felhívni a figyelmet valamilyen vélt vagy valós társadalmi problémára (például a kifogásolt tartalom blokkolásával), már az internetezők közel fele képes tolerálni, sőt 20 százalék teljes mértékben el tudja fogadni az ilyen céllal történő hekkelést.

Kurucz Imre

A felmérést az NRC 2012. április 24-28. között végezte 1000 internet-használó online megkérdezésével. Az adatbázist az Millward Brown – TNS Hoffmann NOK kutatásának offline adataival súlyoztuk, így az a legfontosabb demográfiai ismérvek tekintetében reprezentatív a legalább hetente internetező 18-69 éves magyar lakosságra nézve.


Az IT biztonsági szakértő kommentárja
„Az emberek nem ok nélkül félnek a hackerektől.” – mondja a kutatással kapcsolatban Keleti Arthur, az Informatikai Biztonság Napja rendezvény főszervezője, a Netidők rádióműsor „biztonsági őre”.

„Az elmúlt pár év alaposan átrendezte a hacker közösségeket, az egyéni motivációkkal rendelkező, gyakran súlytalan és egyedül tevékenykedő hackerek után megjelentek a politikai vagy „közcélokat” szolgáló hacktivista csoportok (mint pl. az Anonymous), de a világ országai által „államilag finanszírozott” titkos hackercsoportok is. Ezek a szervezett csoportok több olyan adatlopásért, vállalati vagy állami rendszer leállításáért felelősek, amelyek közvetlenül hatnak az internetezőkre és az állampolgárokra ezért a biztonsági szakértők körében egyre többen gondolják úgy, hogy a hidegháború mintájára a világban ma aktív kiberháború zajlik, az önállóan vagy megbízásra tevékenykedő hacker csoportok és az informatikai védelemért felelős szervezetek között.”

Keleti úgy véli: „A kutatás visszaigazolja, hogy a felhasználók érzékelik az elmúlt évek növekvő hacker aktivitást mutató trendjét és ezt a vállalatok és az állami szervezetek ugyanígy a saját bőrükön tapasztalják. Ugyanakkor látható, hogy az internetezők tévesen ítélik meg az átlag hacker életkorát, amely a valóságban sokkal inkább 14-35 év között mozog és kérdés, hogy vajon milyennek gondolnák a hackerek valódi motivációit, amely sokszor adatok eltulajdonítása, az azzal való feketepiaci kereskedés vagy ipari- esetleg állami kémkedés vagy szabotázs.”

A biztonsági szakértő hozzáteszi: „Természetesen az IT Biztonsági szakma használja a hackerek tudását is, amikor a védelem megszervezését végzi. A védekezésben 5-10% szerep mindig jut az úgynevezett etikus hackereknek, akik ismerik a gépek és az internet használók titkait, de azokat szabályozott keretek között, jó célra használják fel.”

A periférfia közismert, görög eredetű jövevényszó a magyar nyelvben. Eredeti jelentése 'valaminek a külső része, széle; külterület', a műszaki szaknyelvben 'külső berendezés, a számítógépnek a központi egységén kívüli, adatbevitelre, -kivitelre vagy tárolásra szolgáló része'. A perifériák közé tartozik a RAM, a merevlemez, de akár a billentyűzet is. A külső berendezés elnevezés tehát félrevezető lehet, mert nem minden periféria helyezkedik el a gép dobozán kívül. Szabatosan körülírja az eszköz funkcióját az adatkommunikációs egység kifejezés, csak kicsit hosszú. Ezzel viszont az a baj – ami a számítástechnikai szaknyelvi magyarításra jellemző –, hogy hiába találunk frappáns megfelelőt, ha az eredeti már közhasználatban van. Ezért leggyakrabban továbbra is a periféria kifejezést célszerű használni. Az otthoni számítástechnika hőskorában, az 1980-as évek elején-közepén a korabeli gépeken tipikus periféria volt például a kazettás magnó, amely háttértárolóként szolgált, manapság, a 21. század elején már olyan integrált számítógépeink vannak amelyekkel kapcsolatban minden adatkommunikációs funkciót kézenfekvőnek veszünk, így a perifériák sem tűnnek fel, azokat sem véljük kiegészítő eszköznek, Ezzel együtt a periféria kifejezés is kezd kiveszni a közhasználatból.

Bódi Zoltán

| Még több lehetőség

Imádom a statisztikákat – szakmai ártalom. Az infograrikákat, rangsorokat, adatsorokat, grafikonokat és a többit. A számok sokat elárulnak a világról, amiben élünk, feltéve, hogy tudjuk mit jelentenek és mik az összefüggések köztük. Ugyanakkor a bizonyos időszakokra, jellemzően hónapokra, negyedévekre, évekre és évtizedekre vonatkozó statisztikákból sokszor nem érzékelhető számunkra, hogy a számok mögött folyamatok vannak, folyamatos változás. Viszont a közismert számokat, mint a világ népessége, a világon található internet felhasználók száma vagy az eladott mobiltelefonok száma meg lehet jeleníteni folyamatként is – ezek a valós idejű számlálók, amik azt mutatják, hogy a pillanat múlásával számszerűsítve hogyan változik a világ. Erre vállalkozik a Worldometer nevű, magyarul is „beszélő” oldal, ahol számlálókon követhejük nyomon a minket körülvevő változásokat.

A minket érdeklő, információs társadalomhoz köthető számlálók közül legőrültebben a ma elküldött e-maileké pörög, de ott vannak szorosan a nyomábana twitter bejegyzések vagy a blogposztok – mint amilyen ez is. De megnézhetjük, hogy mennyi internet felhasználó van jelenleg a világon vagy hány számítógépet adtak el idén.

Worldometer: Az emberiség egy perce – csak tudományos fantasztikus gondolatkísérlet helyett valódi számokkal.

Pintér Robesz

A twitter is helyet követel magának a piackutatási piacon, elkezdték árulni a felhasználók csiripelését cégeknek. Aki képes a kb. havi 200 ezer forintos szolgáltatási díjat kifizetni az a Datasift - a twitter partnerének - rendszerén keresztül juthat az adatokhoz. Az adatvédők szokás szerint fanyalognak a legnagyobb cégek sorban állnak, hogy kipróbálhassák a megoldást.

A twitter évek óta keresi azt az üzleti modellt, amivel bevételre tehetne szert, leegyszerűsítve pénzzé tehetné a felhasználói által létrehozott tartalmat. Pár éve még egy versenyt is kiírtak, hogy a tömegek bölcsességét felhasználva jussanak működőképes ötletekhez. A nyertes akkor (is) a piackutatás lett - vagyis, hogy trendek, fogyasztói párbeszédek stb. kutatására, esetleg rövid gyors felmérésekre használják a twittert és ebből csináljanak pénzt. A mostani megvalósult szolgáltatás annyiban más a nyertes javaslathoz képest, hogy nem interaktív, tehát nem kérdezik a felhasználókat, hanem egyszerűen megfigyelik az általuk közzétett tartalmat.

Az adatvédők azért kritizálják a szolgáltatást, mert az eddigi 7 napos korláttal szemben ennek segítségével a cégek 2 évre visszamenőleg nézhetnek bele a felhasználók twitjeibe. Persze a twitter soha nem árult zsákbamacskát, hogy szolgáltatása teljesen nyilvános, tehát bárki megnézheti másvalakinek a csiripelését, de azt nem tette lehetővé, hogy hosszabb időre visszatekintve elemzéseket végezhessen (ennek persze kevésbé adatvédelmi okai voltak, sokkal inkább az, hogy az adatbázisok mérete korlátozza a lehetőségeket).

Azt gondolom a mostani megoldás csupán egy teszt, ha jól sül el, akkor sokkal cizelláltabb megoldásokkal fogunk találkozni a jövőben a twittertől. Ez egyelőre egy nagyon korlátozott szolgáltatás, csak egy partnercégen keresztül, megadott havidíj fejében vehető igénybe és csak a korábbi csiripelést elemezhetjük. Ha kedvező fogadtatásra talál a szolgáltatás, akkor érzésem szerint akár közvetlen hozzáférést is kaphatnak a cégek és a felhasználás függvényében alakulhat az előfizetési díj.

A siker azonban egyáltalán nem garantált, kérdés ugyanis, hogy mennyire hasznos a cégeknek csupán a múltbéli adatokat elemezni a közösségi média mindössze egyetlen szolgáltatásában, ahelyett, hogy egy integrált, folyamatos jelen idejű képet kapjanak számos közösségi média szolgáltatás alapján. Ráadásul nehogy azt higyjük, hogy ez csupán a jövő, már ma is cégek tucatjai kínálnak ún. social media listening szolgáltatásokat (például az Ipsos is, ahol jómagam dolgozok), ahol nem csak a twitterből kapnak adatokat a cégek. Sőt, már Magyarországon is elérhetőek ilyen szolgáltatások. A twitter tehát egy igen pezsgő piacra lépne be, ahol erős a verseny...

Pintér Robesz

Már sok éve tudjuk, hogy az informatikai rendszerek leggyengébb láncszeme maga az ember, vagyis a felhasználó. Csak hát itt nem lehet hazaküldeni a gyengén szereplő játékost, mint egy tévés vetélkedőből – hanem a rendszerre továbbra is fenyegetést jelent az emberi jelenlét. A Netidők „biztonsági őre” kéjes örömmel figyeli azokat a melléfogásokat és elbaltázásokat, amelyekből lehet tanulni. Szemezgetés következik az elmúlt évek biztonsági történeteiből Keleti Arthurtól.

Mi a szakmában mindig abban reménykedünk, hogy egyszer majd találunk egy olyan informatikai rendszert, amiben nincsenek felhasználók. Mert ugye onnantól kezdve a dolog egészen jól működik.

Nagyon sok vezető rendkívül büszke arra, hogy ő milyen ügyes és mennyire jól tud titkot tartani. Egyszer komoly önuralomra volt szükségem, amikor tárgyaltam egy informatikai vezetővel, ugyanis végig nem volt hajlandó elárulni, hogy miképpen néz ki az informatikai hálózata. Ez egy nagyon vicces beszélgetés általában a biztonsági szakember és az informatikus között, mert ugye én nem azért vagyok ott, hogy a titkait kilessem, hanem azért, mert segíteni akarok, de ő rajtam akarja demonstrálni, hogy ő mennyire biztonságtudatos. Mindenre kitérő válaszokat adott, amikor megkérdeztem, hogy:

- X technológia?
- Nem!
- Y technológia?
- Nem!
- Akkor Z technológia?
- Nem! Egyik sem.
Mondom: „Akkor melyik, hát csak ez a három technológia van!” Tehát egyszerűen nem sikerült sehogy sem közelebb jutni a valósághoz.
Na most azért volt komoly önuralomra szükségem, mert miközben erről beszélgettünk, a vezető háta mögött a teljes informatikai rendszer rajza ott volt a falon! Az ábrán pedig az összes információ, amit nem akart elárulni…

***
Aztán volt egy nagyon kellemetlen eset, amikor az egyik cég azt kérte, hogy nézegessék már meg neki a biztonsági szakemberek, hogy mégis mi az a nagyon nagy mennyiségű letöltött információ, amit a kollégák letöltenek? Ráadásul mindez egy közintézményben volt. Elkészült a jelentés és hát… ööö… ránéztem erre a jelentésre és azt mondtam, hogy ebben nem vagyok biztos, hogy ezt így tényleg el kell mondanom. De hát muszáj volt, nagyon tipródva odaadtuk a megfelelő vezetőnek, aki először elfehéredett, majd elzöldült, majd megkérdezte, hogy „Teljesen biztos, hogy a legtöbbet letöltött alkalmazás a JATEK-A-CICIKKEL.EXE fájl?”

***

Volt egy olyan történet is, hogy egy tesztet kellett végrehajtani egy szervezetnél és meg kellett vizsgálni, hogy az információk mennyire szivárognak. Ennek vannak fokozatai. Ha az ember adatszivárgást vizsgál, akkor – gondolom, úgy, mint a vízszerelésnél is, hogy egyszerre nem teszi rá az egész nyomást a vízre, először csak kicsit, aztán nagyobbat és meg fogja nézni, hogy hol fog szivárogni. Na most itt is ez történt, először történt egy vizsgálat, melynek keretében egy hagyományos levelet küldtek ki a kollégáknak, melyben konkrétan az szerepelt, hogy „Ez a levél szigorúan titkos információkat tartalmaz. Ne küldd ki!” Egy kétezer fős szervezetben húsz embernek sikerült kiküldenie ezt a levelet, mégpedig azonnal! Ezek közül az egyik egyébként egy informatikus volt, aki ráadásul nem is kifejezetten alsó beosztásban dolgozott.

***
Az egyik teszt során egy hacker kolléga észrevette, hogy az adott alkalmazás, ami egyébként egy VoIP dobozban futott, sérülékeny. Ha ugyanis a felhasználónevet az ember feltöltötte több mint 2000 karakterrel, akkor az egy olyan sérülékenységhez vezetett, amellyel root, adminisztrátori jogokhoz lehtett jutni pillanatok alatt. Úgyhogy ezzel a feldezéssel fel
is hívta a gyártó által üzemeltetett ügyfélszolgálatot, ahol egy kedves indiai kolléga fogadta a hívást. A tesztelő hacker akkor már érezte, hogy ez komoly harc lesz. Ilyenkor mindig érzi az ember, hogy körülbelül hány szinttel jár a helyi ranglétra gyémánt szintje alatt, ahol el kell kezdeni a küzdelmet, hogy megértsék az embert. És hát neki is kezdett, majd 10 perc után kénytelen volt letenni a telefont, amikor a helpdeskes kolléga nem értette, hogy mi ezzel a probléma, ez nem is hiba. Mert "ki az a hülye, aki kétezer karakter hosszú usernevet ad meg??"