Hekkmester

OMG, ez már tényleg mindennek a legalja. Jó, jó, mire a poszt végére érsz, nyilván azt fogod gondolni, hogy nyilván a Szíriuszról érkezett transzgender gyíkember ügynök, meg nem tudom, hogy mi vagyok. 

A külföldi lapok átscrollolása után ismét vetettem egy pillantást a magyar sajtóra és a 444-en Erdélyi Péternek sikerült ismét akkorát mennie, hogy az még az én ingerküszöbömet is megugrotta. 

A 444 bizonyos témákat jól dolgoz fel, viszont teljesen hülyék olyan téren, hogy mik azok a témák, amikhez nagyon nem szabadna nyúlniuk, ha nem is értenek hozzá, másrészt a téma természetéből adódóan elfogultak. Amikor Erdélyi Péter kijött a Yandex-kódos elmebetegséggel, először is azon gondolkoztam, hogy miért nem szólal meg senki az IT szakmában, olyan esetben, amikor totálisan rápörgött az ország egy olyan publira, ami nettó tárgyi tévedések mellett teljesen hibás logikai következtetéseket vont le. Aztán gondoltam, hogy oké, akkor megírom én, hogy miért istentelen hülyeség ez az egész, a Google-társalapító Sergey Brin meg akkor Erdélyi Péter logikája szerint nyilván csak kettős ügynök lehet, mivel a Szovjetunióban született, az oroszkrémtorta meg mérgező, mert benne van a nevében, hogy orosz. 

Aztán félúton meggondoltam magam, mivel az egészet szakszerűen levezetni terjedelmét tekintve egyszerűen túl hosszú, másrészt ez körülbelül olyan, mintha egy egyetemi geológia kurzus teljes tananyagát akarnám olyanok torkán lenyomni, akik szerint a Föld igenis lapos. Szóval az égvilágon semmi értelme nem lett volna, a billentyűzetet fölöslegesen koptatni meg minek. 

A yandexes szintet megugrani egyhamar alighanem az egykori Lipótmező' bentlakásos tagozatának tagjai sem fogják, viszont a mai poszt is eléggé erős lett: A "zsidógyűlölőkre" is lehet reklámot célozni a Facebookon, ami a cég szerint ugyan nem jó, de nem ők tehetnek róla, hanem az algoritmus. Szóval az egyébként helyesen, messze szólásszabadságpárti 444 egyik szerzője azt írja, hogy a Kék Patásördögnek még ez sem drága, végülis a Facebook alkalmas az implicit uszításra is, a felelősséget meg elhárítják magukról, holott őket terheli a felelősség. Aki ilyen istentelen baromságot leír, annak több fontos kapcsolódó kérdésről fogalma sincs. Például arról, hogy a közvetve zsidógyűlölőkre targetáló kampányok blokkolása konkrétan lehetetlen. Lehetetlen technikailag, így is több ezer moderátor dolgozik a világ 15-20 pontján, lehet sejteni, hogy milyen államokban, szóval jó, ha ezek a moderátorok alapszintű angoltudással rendelkeznek. Egy-egy bejelentés elbírálására, azaz, hogy sérti-e a Community Standards-t egy fotó vagy bármilyen más típusú tartalom, mindössze néhány másodperc áll rendelkezésre, ennyi idő alatt dönti el a moderátor, hogy a tartalom, amelyik egyébként már előre súlyozva van pl. az alapján, hogy mennyien és kik jelentették, sérti-e azt, ami szerintük közösségi norma. Ha nem, akkor marad, ha igen, akkor törlik, amihez hozzá tud rendelni valamilyen korlátozást az adott felhasználóra nézve, míg persze az is elő van írva, hogy mikor kell egy support levellel feljebb dobni a labdát, nyilván, ha notórius felhasználóról van szó vagy olyan durva dologról van szó, ami a jogilag laikus moderátornál is felveti a bűncselekmény gyanuját. 

Szóval még azzal kapcsolatban sem lehet normális konszenzust alkotni, többek közt a kultúrák közti eltérések miatt, hogy mi maradhat és mit kell leszedni, állandóan kapja is az ívet emiatt a Facebook, na nem mintha meg kellene védenem őket. Pedig itt azért baromira egyszerű esetekről van szó: egy fotó tartalmaz faszt vagy pinát? Van benne lefejezés vagy sincs? Néhány hónappal ezelőtt egy ismerős átküldött egy ál-dzsihádista videót, amin az látszott, hogy egy Jihadi Johnra hasonlító pofa mintha vágná el valakinek a torkát, kijjebb zoomolva meg az látszott, hogy valójában csak egy másik csávó fogát mossa fogkefével. Ami persze lekerült, amihez persze annyi bőven elég volt, hogy sértse jópár ember érzékenységét, gondolom jórészt olyanokét, akik több ufót láttak, mint szélsőséges iszlamistát. 

Na most akkor képzeljük el, hogy ha az ennél sokkal bonyolultabb online marketinges kampányokat kellene elbírálni olyan szempontból, hogy akkor az most kicsit, nagyon, nyíltan vagy burkoltan gyűlöletkeltő, mi lenne? Egyrészt ha nem is menne rá a Facebook főrészvényeseinek gatyája is, de több tízezer magasan kvalifikált, ilyen eseteket nyomozó alkalmazottat kellene felvenni, azaz teljesen nonszensz, lehetetlen, nem utolsó sorban pedig végtelenül ostoba egy ilyen elvárás. 

Hogy a Google és a Facebook kétpofára felzabálta a hirdetési piacot, persze, hogy senkinek sem jó rajtuk kívül. Viszont meg kellene már érteni, hogy az az érvelésük, ami szerint ők nem médiavállalat vagy valamilyen tartalomszolgáltató, hanem alapvetően tech cégek, sok esetben jogos, akár tetszik, akár nem. Suta hasonlattal kicsit olyan ez, mintha Vint Cerfen, a web szülőatyján próbálnák lepofozni, hogy miért van olyan sok pornó a neten. 

Most pedig jön egy kis saját vélemény. A report és block funkciókat totálisan félreértette a nép. Ezeket eredetileg arra találták ki, hogy ha találnak a felhasználók valami tényleg nagyon durvát, akkor tehermentesítsék a moderátorokat, segítsék a munkájukban és akkor nyomjanak fel tartalmat vagy felhasználót. Ma már az van, hogy minden barom zéró jogi, morális, na meg józan ésszel egybefüggő kompetencia hiányában is úgy házmesterkedhet, ahogy akar, kvázi népi authorityként járhat el, élhet vele vissza, amivel nagyon sok probléma van. Képzeljünk el egy olyan világot, ahol mindenki kapásból rendőrt hív, ha olyan plakátot, kiskertet, óvodáscsoportot lát, ami őt zavarja, erre majd még visszatérek. 

Leginkább az a probléma, hogy totálisan szembemegy azzal az elvvel, hogy mondani, irkálni mindent szabad akkor is, ha az mást sért, és persze ahogy szoktam mondani, meg kell határozni azt a legszűkebb halmazt, amibe beledobáljuk azokat a dolgokat, amiket valami miatt mégsem, a tiltásuk közérdek. Ilyen lehet a nyílt uszítás, gyerekporesz és hasonlók. A webet pont az tette olyanná, amilyen, minden jó, na meg szar tulajdonságával együtt, hogy nincs egy központi authority, amelyik belepofázhatna abba, hogy mit lehet csinálni, na meg irkálni és mit nem, de még azt sem, hogy névvel vállalva vagy névtelenül. Ez mondjuk 30 évvel ezelőtt még a legharcosabb szólásszabadság-pártiaknak is erős lett volna, de mint láttuk, bevált, a neten nem szabadult el a pokol, persze, vannak neten elkövetett bűncselekmények, amiket üldözni is kell, viszont azt is vegyük észre, hogy ha nem lenne net, attól még ugyanazok a bűnözők léteznének. 

Viszont olyan politikát kialakítani egy dög nagy szolgáltatáson belül, ami burkoltan, de lehetőséget enged tartalmak eltávolítására értékítélet alapon, az előttünk lejátszódó rémálom, elvi szempontból minimum. 

Két fő ok, ami miatt a Facebook a moderációs gyakorlatát úgy alakította ki, hogy inkább becsicskul, nem kockáztat, hanem akár ártatlan felhasználók több éves fiókját is bezárja, ha kellően sokan jelentik be, mint veszélyes bűnözőt, úgy biztos, ami biztos, hátha nem trollhadsereg jelentette fel az áldozatot, hanem a mindig jól informált és ártatlan nép. 

1. Az első, hogy családbarátnak kell lennie az egésznek, a szolgáltatást 13 éves kortól lehet használni, ennek megfelelni különböző államokban annyira nem is egyszerű, másrészt pedig garantálni kell, hogy még a segghülye vagy troll felhasználók se ábránduljanak ki a rendszerből, lévén, hogy ők is lehetséges vásárlóerőt jelentenek, aztán így lehet minél több hirdetőt bevonzani. 

2. Csak a második maga a törvényi megfelelés. Közismert, hogy az USA mennyire kényes a szólásszabadság védelmével kapcsolatban. Ahogy az is, hogy Németországban történeti okokból igenis van helye törvénybe foglalni, hogy ne lehessen a holokausztot tagadni büntetlenül, míg más országokban ugyanez roppant veszélyes hülyeség még akkor is, ha a sülthülye Demcsák Zsuzsa ez sehogy sem érti.  

Egy nemzetközi jogban jártas figura szinte a végtelenségig tudná sorolni, hogy milyen törvények vannak különböző államokban, amik ott helyesek és betöltik a törvényalkotó szándékának megfelelően a feladatukat, viszont ugyanaz más államban már roppant veszélyes baromság lenne. 

A Facebook az USA-beli felhasználók esetén Kalifornia állam törvényei szerint jár el elvben, európai felhasználók esetén írország törvényei az irányadóak elvben és így tovább, gyakorlatilag meg nem válogathat, olyan szabályokat kell alkalmaznia, amelyik az összes állam törvényeinek megfelel, amelyikben szolgáltat és még így sincs egyszerű helyzetben. 

A dolog ugyan nem új, de eddig még nem is írtam róla, aztán gondoltam, hogy most megér pár sort. Röviden: hogyan juthat be valaki más Facebook-fiókjába, ha eléggé pofátlan ahhoz, hogy az áldozatot rávegye arra, hogy ő maga futtasson le egy kódrészletet a böngészőjében?

Nem szoktam nézegetni a Facebook kliensoldali forráskódját, azaz amit a böngésződ megkap a szervertől és a böngésző az alapján fogja megjeleníteni és dinamikusan működtetni a lapot.  A Facebook kliensoldali kódja egyébként is gusztustalanul nagy méretű és nehezen áttekinthető, hanem azért, hogy keressenek benne hibát a fanatikusok.

Többek számára alighanem ismerős, hogy a Chrome-ban és a Firefoxban egyaránt már alapértelmezés szerint elérhetők a fejlesztőeszközök, amik segítenek a webfejlesztőknek különböző hibák felderítésében és lévén, hogy ezekkel az eszközökkel nem csak megjeleníthető, hanem módosítható is, hogy a kliens milyen adatokat küldözgessen a szervernek. így természetesen arra is alkalmas, hogy egy sérülékeny webhelyet pont ezen keresztül törjön fel valaki, ha az nincs felkészítve a legordasabb támadásokra, amik az ügyféloldali kód manipulációján keresztül lehet kivitelezni. A tudatlan felhasználó viszont jobb, ha vakon nem babrál vele.

Minél inkább meghatározó egy webes szolgáltatás aktuálisan, minél több információ koncentrálódik benne, annál nagyobb az igény rá, hogy valami balfácán zéró technikai tudással fel akarja törni. Amikor az iWiW volt a menő, hűvös halomra kaptam a leveleket, azzal kapcsolatban mindenféle szerencsétlentől, hogy segítsek már neki bejelentkezni az exe/exfőnöke/neje/kutyája iWiW fiókjába, mert csak. Ezeknek a leveleknek egyébként közös vonása volt, hogy megpróbálták racionalizálni a dolog jogosságát, gyakorlatilag az általános morál fölé helyezve önmagukat. Például arra hivatkoztak, hogy lehet, hogy félrekúr az asszony vagy a férj, állítólag egyébként a magándetektív cégek megrendeléseinek még mindig egy igen nagy részét a megcsalás-felderítésnek elkeresztelt baromság teszi ki, a fontos különbség viszont, hogy a magándetektív cég nem alkalmaz törvénytelen eszközöket, kizárólag megfigyelhet. A levelek másik közös vonása volt, hogy fingjuk sem volt róla, hogy egy webalkalmazás tesztelő, etikus hekker mennyiért dolgozik, még nagyságrendileg sem, például bedobták, hogy tudnak érte adni 20 ezer forintot, mondanom sem kell, hogy a sok hatökör alighanem sosem gondolt bele, hogy egy etikus hekkernek nem lehet annyit fizetni, amennyiért valamilyen törvénytelen vagy törvényes, de etikátlan dolgot követne el, hiszen egy életre elvesztené az ügyfeleit, akik megbíznak benne és éppen azért fizetik, hogy minél kevésbé legyen törhető az a webszolgáltatás, amit működtetnek, aminek pedig alapköve, hogy a tudását tisztességes módon használja fel. Ahogy szoktam mondani, komoly zavar van és alighanem még lesz is jóideig a fejekben, hiszen röviden szólva ez olyan dolog, mintha egy gyógyszerészt arra kérnének, hogy kotyvasszon már valamilyen mérget, mert valakit el kellene tenni láb alól. A gyógyszerész tudna működne méregkeverőként? Persze, hogy tudna. Fog? Dehogy.

Aztán általánosan elterjedt lett a Gmail, majd beköszöntött a Facebook-éra, de sokan ugyanolyan hülyék maradtak. Néhányszor cikkeztem arról, hogy a Facebook-fiókot hogyan érdemes hardeningelni, mire érdemes figyelni, ami persze a keresők felől bevonzotta a sok idiótát, akik Facebook-hakkolással kapcsolatban kerestek információt, majd levelet írtak nekem.

Mókás, de az ilyen jóemberek általában pont azzal nyerik el méltó büntetésüket, hogy rábukkannak olyan oldalakra is, amik pénzért vagy ingyen, ilyen olyan, természetesen a felhasználó számára kártékony alkalmazás letöltéséért cserébe azt ígérik, hogy bármilyen Facebook-fiókot megszerezhet vele majd az illető.

Ennek a világnak megvan az a bizarrba hajló szépsége, hogy a netes csalók annyira kifinomultak lettek, hogy éppen azt az igényt kihasználva a kellően türhő felhasználónak 100%-os feltörést ígérnek és az illető talán csak az utolsó pillanatban veszi észre, hogy a saját fiókját törte fel. A Facebook esetén az egyik forgatókönyv a következő: a csalók ráveszik az áldozatot, hogy indítsák el a böngésző előbb emlegetett fejlesztőeszközét, majd illesszenek be egy kódrészletet a megfelelő helyre, ezzel hozzáférhetnek más fiókjához. És igen, kitaláltad, az emberek annyira hülyék, hogy nem is akarják érteni, hogy az adott kódrészlet mit csinálhat ténylegesen, már bökik is be a kódot, aminek eredményeként a scammer a balfácán Facebook-fiókját fogja megszerezni és azt használni például spamküldésre, esetleg olyan adatot állít be, amivel aztán új jelszót adhat meg és az exploitált balfácánok listáját eladja a feketepiacon.

Adja magát a kérdés: ha meglehetősen biztonságos technikai szempontból a Facebook vagy a Google, hogyhogy ez ellen a technika ellen nem tudnak védekezni? Éppen azért, mert a beillesztett kódrészlet a felhasználó nevében, a saját munkamenetével, a saját fiókjának működését manipulálva fog lefutni. Hasonlóan ahhoz, hogy például saját nevünkben tudunk oldalt lájkolni, csoportokba belépni, biztonsági kérdést megváltoztatni a saját fiókunkra vonatkozóan, de másét nyilván nem, a szerver pedig nem képes ellenőrizni, hogy egy-egy műveletet szabályos használat mellett hajtunk végre vagy éppenséggel azzal, hogy megpatkoljuk a böngészőnk által küldött adatokat. Azaz elméleti lehetőség sincs arra, hogy a felhasználót önmagától védjék meg.

Amire a böngészőeszköz futtatása közben a Facebook felhívja a figyelmet, a jó öreg cross-site scripting technika, aminek a lényege, hogy a webhely olyan bemenetet kap, amilyet normális esetben sosem kapna és a webhelyet valamilyen rendellenes működésre bírja rá ezzel.

A XSS egyik durva típusában az egykori iWiW is érintett volt: az iWiW nem ellenőrizte, hogy a „Munkahely weboldala: ” mezőben a felhasználó adatlapján tényleg csak szöveg, azaz egy webcím adható-e meg és más biztosan nem, azaz nem volt megfelelő parserelés, bemenetszűrés. Rövid ideig az iWiW-en ez a szövegmező szinte bármit elfogadott, ami jó esetben csak egy apró Javascript kód volt, ami feldobott a látogató számára egy üdvözlő ablakot, de volt olyan matyómintás perzisztens XSS is, ami a felhasználó adatlapját átrajzolva jelenítette meg, szerencsére több kárt nem csinált.

A Facebookon ilyen az én tudásom szerint pillanatnyilag nincs – viszont a felhasználó által indított rosszindulatű kisalkalmazások, ún. Facebook-vírusok képeseket lehetnek rá! – viszont ugyancsak az XSS-re támaszkodva kaphat olyan bemenetet a Facebook a böngészőtől, aminek hatására például eltérítődik a felhasználó munkamenete, éppen azért, mert a sajátja, az őt azonosító sütiket is megmérgezi, így végső soron ezzel hozzáférést enged a támadó felhasználónak a saját fiókjához a saját hülyesége miatt.

Részletesebb technikai magyarázatba nem megyek bele, de ez teljesen hasonló ahhoz, mintha valakinek a lakásába be akarnánk menni illegálisan, ezért keresnénk egy betörőt, hogy segítsen, majd a betörő "segítőkészen" elkérné a saját lakásunk kulcsát, hiszen az biztosan nálunk van.

Úgy általában egy webalkalmazásba bejutni valamilyen trükkel egy etikus hekker számára a megrendelő kifejezett kérésére nemes dolog, mielőtt más tenné meg, mi több, művészet. Ami pedig a Facebookot illeti, természetesen nem tökéletes rendszer, de eléggé erős, ha a szolgáltatás saját maga hívja fel rá a figyelmet, hogy a felhasználó ne legyen hülye.

Hupsz, még valami, az előző posztomban az egyik kép duplán volt embeddelve, amiért bocs mindenkitől. Aki esetleg nagyon ráér, pls. írjon már egy tweaket, amit beilleszthetek a reblog-posztba, így a posztba illesztett képek akkor is fix mérettel jelennek meg és nem széthúzva, ha az eredeti sablont felüldefiniálja az, ami fölött megjelennek a Reblog Sprintben részt vevő posztok, hátha nincs rá felkészítve a blogmotor, trollolo.