Roskomnadzor announced blocking of calls to Telegram and WhatsApp.
Calls will be restored if messengers "fulfill the requirements"
Roskomnadzor has officially announced the blocking of calls via Telegram and WhatsApp messengers.
The agency says that it made the decision due to “numerous requests from citizens”; calls will be restored if the messengers "comply with the requirements of the 'law'".
The Roskomnadzor statement says that Telegram and WhatsApp have become the main voice services used by fraudsters to deceive and extort money, as well as to involve in sabotage and terrorist activities.
This is the conclusion reached by law enforcement agencies, the department cited.
The restriction of calls in Telegram and WhatsApp will be partial.
Roskomnadzor did not specify what exactly the “partiality” of the restrictions is.
The agency does not plan any other restrictions on the functionality of messengers.
Users said that "partial" means that the official
DPI equipment is not
able to eavesdrop on all traffic so it may selectively drop/break connections
instead.
The Ministry of Digital Development promised that they would restore access to calls in Telegram and WhatsApp if the messengers met the requirements for compliance with Russian legislation.
The Association of Tour Operators of Russia advised tourists leaving the country to top up their phone accounts with extra money due to the ban on calls via instant messengers.
Facts disagree
According to the survey "Cyberfraud: Portrait of the Victim", conducted by the Central Bank in 2024,
messengers accounted for only 15.7% of fraudulent attacks.
However, the survey did not specify what part of these attacks were calls, and not phishing messages and other methods of deception.
In turn, fraudsters relied on phone calls or SMS in 45.6% of cases.
Úgy tűnik, bizonyos szóbeli dolgok eltűnnek a digitális világból,
és már csak az emberek emlékeiben élnek, amíg. Ez a mondóka például
érdekes módon nekem „közismert” kategória: rengeteget viccelődtünk vele,
mint a – már akkor is abszurdnak hangzó – reklámokkal gyakran.
Benne van a tiltakozás a reklámok nevetséges-szomorú világával szemben,
ahol egy lepukkant állami cég, a lepukkant emberekből élő zálogház
vagy a lepukkant emberek fémgyűjtő filléreit naponta tucatszor
népszerűsítő TV-spotok győzködték a sátán tudja, hogy kit.
Leírom hát ide, hogy az Internet megtalálja.
Hív a vasút! Vár a MÁV!
Tört aranyat vesz a BÁV!
Gyűjtsd a vasat és a fémet!
Csókold meg a bal herémet!
A magyar qrmány (doktorbán személyesen, hiszen mindent ő kézivezérel)
szétcseszte az ingyen elérhető, államilag biztosított digitális aláírást,
helyette visszaléphettünk a tizenkilencedik századba, és faxolhatunk,
postázhatunk vagy kifizethetjük zsebből ezt az állami alapfeladatot.
Ennek az élvezeti sportágnak az egyik része az EU által szabályozott
és az EU-n belül mindenütt kötelezően elfogadott
– így Magyarisztánban is – digitális
és elektronikus aláírások rendszerének és az erről szóló európai szintű
jogszabálynak, az
eIDAS rendeletnek
a megismerése és értelmezése.
Ebből én most az AdES (Advanced Electronic Signature), magyarul
fokozott biztonságú elektronikus aláírásról
szeretnék írni. Még mielőtt ezt megteszem, említeném a
QES-t, vagyis a minősített elektronikus
aláírást, ami a jog előtt megfelel a régi AVDH-nak, vagyis
teljes bizonyító erejű magánokiratként funkcionál; az ilyen
aláírások jellemzően nagyon drágák, gyakran szükséges hozzájuk további
drága hitelesítő eszköz vagy valamilyen mindenhez-is-hozzáférési-jogot-akaró
mobilos app, ami esetleg nem fut a telefonok 75%-án, mert csak. Szóval
ez lenne az ideális aláírási szint, de a legtöbb hazánkfiának és
hazánkleányának nem életszerű. (És még nem is szólottam az elektronikus
pöcsétről, az eSeal-ről amivel a cégek szívathatják magukat.)
Az AdES egy könnyebben megvalósítható megoldás, jelentősen olcsóbb
is. Az, hogy mi felel meg neki leírja az, aki adja, én most nem
részletezném azon túl, hogy ez egy „normál”, biztonságos, elektronikus
aláírás.
Az AdES joghatása
Tök jó, hogy Advanced meg Electronic, de ilyen aláírásokkal már a
kilencvenes években is rendelkeztünk (habár nem volt szabványosítva).
De mindez csak akkor értelmezhető ha tudjuk, hogy mire jó, a jog mit
ismer el belőle, milyen célból, célra.
Nos, nem egyszerű kideríteni, mert az EU csak annyit mond, hogy
„Az elektronikus aláírás joghatása és bírósági eljárásokban bizonyítékként való
elfogadhatósága nem tagadható meg kizárólag amiatt, hogy az elektronikus
formátumú, illetve nem felel meg a minősített elektronikus aláírásra
vonatkozó követelményeknek.”
ami tök jó, nem tagadható meg csak amiatt, de megtagadható akármi más
miatt, akkor ezzel mennyire vagyunk előrébb?
A mindenféle jogászok mindenféle véleményének esszenciája az, hogy
az AdES a gyakorlatban egyenértékűnek tekinthető egy
egyszerű magánokirattal, vagyis egy egyszerű, önállóan
álló kézi aláírással.
Erről a jog azt mondja, hogy „Az egyszerű
magánokirat bizonyítékként való kezelésében az okiratban foglaltak
valóságának megítélése a bírói mérlegelés körébe tartozik.”
A gyakorlatban ez azt jelenti, hogy a hatóságoknak valósnak kell azt
feltételezniük, amíg fel nem merül, hogy nem az; viszont csak azon
esetekben használható, amikor jogszabály nem írja elő a
teljes bizonyító erejű magánokirat használatát.
Más szavakkal az én véleményem szerint ez azt jelenti,
hogy minden olyan esetben, amikor valamit alá lehet írni
simán, két tanú nélkül, akkor ott az AdES is megfelelő;
ha pedig eddig két tanú kellett, akkor vagy QES kell, vagy
a két tanúnak is alá kell írnia AdES-sel (de nagyon kíváncsi lennék
a jogászok fejére, amikor ezt olvassák, mert ez mérnökileg
tejesen logikus és egyértelmű, de a jogászok agya nem a logika
alapján üzemel).
Ennyit szerettem volna most elmondani, Tisztelt Bíróság!
Kérem felmentésemet! Köszönöm!
A fenti írás nem minősül jogi tanácsadásnak. Az ilyeneket pecsétes
ügyvédek adják tizenöt marék zsetonért. Azt kaptad, amiért fizettél.
A működése nem túl rejtélyes: az eddigi név+jelszó páros megmarad,
és mellé kell begépelni egy számot, amit egy program (jellemzően egy
mobiltelefonos applikáció) kiír.
A számot kiíró applikáció általában mobiltelefonon van, de
léteznek céleszközök illetve „desktop” számítógépes programok is,
amik ezt tudják. Nem kell neki
internet kapcsolat. Annyira van szüksége, hogy amikor beállítod az
ÜK+ -t akkor kapsz egy QR kódot (ami belül tartalmaz egy azonosítót) és
ezt az applikációval lepittyented. Az app ezt megjegyzi, ad neki
egy nevet (jellemzően az email címedet, amivel belépsz, de a legtöbb
app engedi, hogy nevet is adj neki, pl „Ügyfélkapu”), és ennyi.
Innentől kezdve amikor kinyitod az appot mindig ki fog neked írni
egy számot ami fél percenként frissül, és amikor épp be akarsz lépni,
akkor az épp látható számot beírod. (Nem kell kétségbe esni, ha
pont vált, még 20-30 másodpercig szokás a „régit” is elfogadni.)
Az két faktoros applikációk
Nagyon sok ilyen applikáció van. Vannak zárt forrásúak és vannak
nyíltak. Praktikusan a
nyílt forrást
javaslom, mert azt bárki tudja
ellenőrizni, hogy nem csinál semmi disznóságot a háttérben. Vannak
appok amik millió dolgot is csinálnak, és vannak, amik csak ezt az
egy funkciót, de azt jól. Van ami a hivatalos telefonos app shopból
letölthető és van, ami az alternatívakból.
Én az Aegist
(GooglePlay,
FDroid)
szoktam Androidra ajánlani, mert szép, biztonságos, könnyen kezelhető
és nyílt forrású, de egy csomó ilyen létezik, ami jó
(pl. FreeOTP,
vagy Ente Auth iOS-re és Androidra is).
Lehet használni a Google Authenticatort is, amit a pártállam
ajánlgat, de az egy fapados dolog (működik, de pl. nem titkosítja
a kódokat és a jelenlegi verzió már zárt forráskódú).
A lényeg, hogy bármilyen szabványos
„TOTP”
(ami az „Időalapú Egyszer Használatos Jelszó” angol kifejezés rövidítése) program
megfelel a célnak, akárki is csinálta.
Jellemzően ezeknek a programoknak semmiféle jogosultságra
nincsen szükségük (ha a QR-kódot kamerával akarod leolvasni,
akkor ideiglenesen kell neki kamera-engedély),
így ha olyat találsz ami jogosultságokat kér,
akkor keress másikat! Amúgy meg használd azt, ami tetszik.
Gondolatok a DÁP applikációról
AZ ÜK+ alternatívája az
Orbán-kormány által,
R. Antal
felügyelete alatt készülő, telepíthető, zárt forrású applikáció,
mely „Digitális Állampolgár” néven érhető el. Nevezzük ezt
DÁP appnak!
Nem szeretném részletesen kifejteni, hogy miért hatalmas probléma az,
hogy az authentikációs applikáció nem nyílt forrású, és azt, hogy ez
miért nem lenne ekkora probléma egy „nyugati demokráciában”, mint
mAgyarországon. A zárt forrású program működése rejtett és sajnos
van egy csomó olyan jogosultság, amit nem lehet visszautasítani és
egy rosszindulatú fejlesztő visszaélhet vele. Természetesen senki
nem feltételezi a pártállamról és a titkosszolgálatokat is irányító,
az Amerikai Egyesült Államok által is kiemelkedően korrupt politikusok
listára feltett R. Antal még büntetlen előéletű budapesti lakosról,
hogy az állami applikáció lehallgatna
újságírókat, kémkedne politikai ellenfeleik vagy civil aktivisták
ellen. Egy jogállamban, mint mAgyarország ez egyszerűen nem történhet
meg.
A másik gond, hogy a fejlesztők túltolták: az applikációt lehetetlen
feltelepíteni rootolt telefonra (miközben láthatóan fogalmuk nincsen,
hogy ez mit jelent és mik a pro- és kontra érvek), sőt, nem lehetséges
olyan telefonra sem telepíteni ahonnan a gazdája kivágta a gyári kínai
kémprogramokat és lecserélte azokat biztonságos forrásból ékező
ROM-ra. Mert basszátok meg, azért. A kínaiak meg az ruszkik amúgyis
nagy barátai a Kis Vezérnek.
Szintén probléma, hogy az applikációhoz internet szükséges, de
ez a vita messzire vezetne, így nem mennék bele, mert nem ez a
legfőbb gond.
Gyakori kérdések, röviden
Tudom-e az ÜK+-t használni másnak a számítógépén? - Igen, tudod.
Ugyanúgy, mint eddig használtad, beírod az emailt, a jelszót, és utána
előveszed az appot (nem kell internet), és beírod a számot, amit
kiírt. Ennyi.
A könyvelőm eddig az én nevemben lépett be, most hogy fog? - A könyvelőd
eddig minimum 2-3 jogszabályt megsértett ezzel, így nem is baj, hogy
nem fog menni. Ismerkedjen meg a NAV-os
UJEGYKE
(Egységes képviseleti adatlap a NAV-nál intézhető ügyekben az állandó képviselet bejelentéséhez)
illetve az
RNY (Rendelkezési Nyilvántartás)
fogalmával, és lépjen be a saját belépésével.
Tudom-e mobiltelefon nélkül használni? - Elvileg tudod, de nem
szerencsés, mert a 2 faktoros azonosítás egyik lényege az, hogy
a jelszó mellett (amit valaki megtudhat vagy ha felírtad ellophat)
legyen egy attól független eszköz, aminek nálad kell lennie, így ha
a jelszavad ellopták is az eszközt IS el kell lopniuk, és oda külön
be kell tudniuk lépni.
Ennek ellenére használhatod pl. a totp.app
vagy hasonló weblapokat, de mivel ezek jellemzően szintén titkosítatlanul
tárolják a kódot így ha valaki betör a gépedre akkor viszi a jelszót is
meg a második faktort is, így adtál egy pofont a szaramatáknak. Inkább ne.
A jelszótárolóm tud TOTP-t, az jó? - Nem ideális jelszókezelőben
(mint amilyen pl. a KeepassXC pw manager) tárolni a második faktort,
mert ha bármilyen okból valaki ki tudja nyerni a jelszót (pl. keyloggerrel
kinyerte a mesterjelszót) akkor viszi a második faktort is.
Ha összetöröm/elveszítem a telefonom, hogy tudok belépni? - általában
a pártállami rendszer is biztosít lehetőséget a pótlásra, jellemzően be
kell hozzá menni az ocsmányirodába.
Ha ezt meg akarod előzni, akkor ha van egy másik telefonod, akkor azzal
is lepittyented a QR kódot, és akkor van „2 tokened”.
Ha nincsen, de van nyomtatód, akkor ki tudod nyomtatni a QR-kódot papírra,
az is egészen biztonságos, mert nem fogják tudni letölteni a polcról a
gonosz hakkerök. Ha nincs más, akkor fogsz egy filctollat meg egy papírt és
a QR-kódot lerajzo… nnnna jó, vicceltem. De a lényeg, hogy ha a QR-kódot
elteszed azt ne tárold internetre kötött eszközön, és különösen ne küldd
fel másvalakinek a gépére (népszerű álnevén „felhő”, mint a google drive,
dropbox, akármi). Ha titkosítva tárolod, esetleg, de nem ideális.
Még van kérdésem, jöhet? - Ha nem végtelenül egyedi, akkor jöhet és
ideírom. Kereshetsz a ketfaktor kukac drop pont grin pont hu email címen,
vagy ha ismered más elérhetőségeimet, akkor ott. :-)
Utálni kell az ÜK+-t?
Nem. Információbiztonsági szempontból a 2-faktoros azonosítás jó dolog,
és az ÜK+ (vagyis a TOTP azonosítás) biztonságos és univerzális.
Mivel iparági szabványokat használ, nyílt forrású és a módszer
egyszerű és jól átlátható, ez az egyik legfájdalommentesebb de mégis
kellően biztonságos módja a második faktornak. Sokkal jobb, mint az
email (az email jelszót lopják, mint autópálya-építésnél a sódert)
vagy az SMS (SMS-t eltéríteni a bűnözői tanfolyamok első hetében
tanítják meg a delikvenseket), nem kell hozzá semmi (internet
vagy extrém jogosultságok, maximum egy engedély a kamerához, ha a QR kódot
lepittyentve akarod) és egyszerűbb, mint a biztonságosabb
módszerek.
Még nem tudjuk, hogy mi nem fog működni az ÜK+ -szal,
hiszen az összetákolt törvény és a rohamtempóban átnyomott app
jelenleg mankóval sem tud megállni a lábán. Ha álmodozunk, akkor
minden ami ment eddig Ügyfélkapu belépéssel, ezután is menni fog.
Ha realisták vagyunk, akkor a szolgáltatások nagy része menni fog,
más részük semennyire és visszaugrunk egy évtizeddel és papíron
kell intézni, és egy része hol megy hol nem és órákat kell elcseszni
ahhoz, hogy működésre bírjuk, vagy szakemberek segítségét kell
kérni. Mint most is, ugye.
Utálni kell a DÁP-ot?
Nem mondom, hogy nem, mert egy
jó koncepció esztelen, szakmaiatlan,
korlátolt szemléletű törvénybe húzása, elfogadhatatlan határidőkkel
és általában az állampolgárok teljes mértékű leszarásával.
Ideális esetben egy ilyen jogszabályt megelőz egy fél éves szakmai
konzultáció jogászokkal, informatikusokkal, biztonsági szakértőkkel,
majd készül egy megoldás, amit a legszélesebb körben lehet használni,
tisztán a szükséges funkcionalitással és átláthatóan (ez a jelenlegi
szovjet irányítású, a lakosság minden bizalmát évek óta elveszített
kormány esetében sajnos alapvető feltétel lett volna).
(DÁP: Nemzethy Digitális Állampolgárság Magyar Kormány Módra.)
Bár már múltkor a Wise Business-es
postban írtam a BinX-ről de páran megkértek, hogy külön is szedjem ki,
meg ugye szokás szerint írjam már oda, hogy „akkor most ez jó?” vagy nem.
Ez már azért is vicces, mert nálam azért igen nagy mennyiségben vannak
a pénzügyekhez sokkal jobban értő emberek, bár tény, hogy nálam
tudatlanabbak is léteznek, legalábbis ezt írja az újság.
Ez a post részletekben tehát tartalmazni fogja a már egyszer leírtakat
is, picit frissítve.
Mi a BinX?
A saját oldalukon részletesen leírják, hogy
hogyan definiálják önmagukat, én ugyanezt pongyola módon tenném meg.
Egyrészt ez egy valódi, magyar pénzügyi szolgáltató; megfelel a magyar
törvényeknek (bizonyos tekintetben meghackelve azokat), illetve az ide
vonatkozó EU szabályoknak (amikkel meghackeli a korrupt és sorvadó
magyar rendszert); megfelel a pénzügyi cégekre vonatkozó pénzügyi
biztonsági és stabilitási feltételeknek (tőke és ügymenet). Másrészt
tele van modern megoldásokkal, és tényleg energiát fektet abba, hogy
ügyfélközpontú legyen, már amennyire ez üzletileg megéri neki. :-)
A cég ötlete azon alapul, hogy a magyar kormány gazdaságellenes
megszorító intézkedései miatt fojtogatja a bankrendszer(en át a lakosságo)t,
és ezt próbálják kikerülni azzal, hogy nem bankot csináltak, hanem
az EU digitálispénz-direktíva
alá eső szolgáltatót. Így bizonyos
megszorítások alá nem esnek be, és van esélyük versenyezni a nagy
bankokkal is.
Nézzük röviden az előnyöket:
megfelel a magyar jogszabályoknak, így például ad magyar bankszámlaszámot,
a cégbíróság elfogadja pénzforgalmi számlának, be is jegyzi automatikusan,
illetve a NAV sem panaszkodik,
megbízható céges (és emberi) háttér van mögötte,
21. századi technológiával dolgoznak nem csak a kirakatban (app), hanem
a cégen belül is (lentebb írok róla),
kedvezményes költségstruktúra (legalábbis 2024-ben ami ismert),
mélyen integrált a szamlazz.hu rendszerével, és képes egy csomó
mindent automatizálni (de ehhez a legmagasabb díjcsomagú
számlázzhu előfizetés szükséges, anélkül csak alapszintű bankkapcsolatot nyújt),
ad bankkártyát is, ha kéred,
leírják, hogy a könyvelő
hogy könyvelje, milyen szabályok szerint,
nem orbán (vagy kiskutyája pénztáros lölö) a tulajdonos.
Mit nem tud, milyen plusz dolgokról érdemes tudni?
Tegyük hozzá, hogy az itt mindig kérdés, hogy szükséged
van-e ezek bármelyikére, mert ha nem, akkor ez csak érdekesség.
csak céges ügyfeleknek elérhető, pontosabban:
egyéni vállalkozók,
egyéni cégek,
betéti társaságok,
közkereseti társaságok,
kft-k, és
részvénytársaságok.
(Ennek az oka, hogy csak ezeket a nyilvántartásokat tudják automatizáltan
elérni.)
a szamlazz.hu alapszintű bankkapcsolaton túli integrációt csak a
legmagasabb díjú csomagjukkal tudja,
nincs hitel vagy betét,
nincs devizaszámla, váltás vagy utalás,
a bankkártya fenntartás drága, nincs (ingyenes) digitális bankkártya,
nincs fizetési kérelem (de lesz),
ha a könyvelőd nem nagyon modern, nem túl nyitott és nem annyira
szeret dolgozni, akkor magyarázni kell neki, hogy miért ilyen fura
ez a kivonat, hogy mindent kétszer tartalmaz mindent kétszer
tartalmaz (azért, mert mindig történik egy „elektronikus pénz
átváltás” és egy „banki művelet”).
Én indulása óta használom, bár kicsi forgalommal, de eddig kifejezetten
jók a tapasztalataim, és merem őket ajánlani.
Mi a bankokkal szemben az…?
Előnyük: Az alacsony díjak, az online jelenlét, a 19. századi helyett 21. századi
technológia, a bottal piszkálás helyett érdemben reagáló ügyfélszolgálat,
és kellemesen kinéző színösszeállítás. :-)
Hátrányuk: szűkebb ügyfélkör, csak alapszolgáltatások,
nincs deviza,
nehezebb reagálniuk arra, amikor véres narancssárga lófejjel ébrednek, ha
sikeres lenne az üzlet.
Mi a Revolut/Wise-zal szemben az…?
Előnyük: magyar cég, a magyar szabályozási környezetbe integráltak,
értenek a magyar jogszabályokhoz és pénzügyi folyamatokhoz, nem esnek
banki szabályozások alá így egy csomó megszorítást az
ügyfeleik megúszhatnak (ejtsd: tranzakciós adó, extraprofit adó).
Hátrányuk: mint a bankok esetében, a lófejet kivéve, mert az
magyar sajátosság.
Ez a 21. századi dolog ilyen nehezen megfogható, írok egy pár konkrét,
első kézből származó példát.
A regisztráció teljesen online, cégekről beszélünk.
Nem kell „befáradni”, és bevinni „30 napnál nem régebbi cég- és
nemibeteggondozó kivonatot”, „ügyvédileg 15 napon belül ellenjegyzett
műzli minőségi tanúsítványt” meg a Sátán tudja még mit.
Konkrétan az azonosítás az új személyi NFC azonosításával történik
NFC mobiltelefonnal, az adatokat pedig online lekérik és ellenőrzik.
Az ügyfelet ezen túl (Know Your Customer; KYC) videós azonosítással
is ellenőrzik.
Az ügyfélszolgálat preventív. A kérdésekre is válaszolnak
és gyorsan, de amikor regisztráltam, bénáztam az NFC-vel (ugye a mobilon
a kínai ROM helyett LineageOS van, emiatt picit oda kell figyelni, hogy
mit engedélyezek), és a második–harmadik próbálkozásomnál csörgött a
teló, hogy látják, hogy bénázok, és tudnak-e segíteni. Ez nagyon
megható volt, mert 1) figyeli valaki, 2) van rá ügymenet, hogy
mit reagáljon, 3) fontos nekik, hogy az ügyfelük legyek. Minden
ügyfeles kérdés után kaptam visszaellenőrzést, hogy mennyire sikerült
hatékonyan kiszolgálniuk.
Természetesen online megkapom a számlákat, kivonatokat, mindent.
Azt hiszed, hogy ez az alapeset? Hagyományos bankszámlád van-e? ;-)
Alkalmazza a legfrisebb jogi és üzleti lehetőségeket, nyilván a
saját üzleti érdekében is, de az ügyfeleket igencsak segítve.
Fontos közlemény: nem vagyok velük semmilyen üzleti kapcsolatban, és
nem kértek meg, hogy ezt megírjam. Pontosabban, mivel régi kedves
ismerős az egyik alapító még régebben megkért, de mondtam, hogy én csak
saját tapasznyalat alapján tudok írni, emiatt nem is írtam róla. De azóta
összejött a tapasztalat.
A másik ok az, hogy 2025-től – nagy valószínűséggel – megszűnik a
bevezető ár, és árat fognak emelni, de a 2024-ben szerződő ügyfelek
elvileg 2025 végéig még élvezhetnek 2024-es díjakkal. Részemről ez
közszolgálat.
Ha új kötésnél jelzitek, hogy nálam olvastatok róla, akkor… pont
semmi nem fog történni. Minden általam küldött új ügyfél után jóváírnak nekem
kezdetben nulla forintot, ami ügyfelenként 1%-al növekszik.
Na de tréfát félretéve: jó, és a számlavezetés ingyenes, és tippelem,
az is fog maradni, mert ez ilyen alapnak tűnik ebben az esetben. De
nem vagyok jó. S.