Egy amerikai közepes méretű cég könyvelőjének késő este csörgött a
telefonja, az ügyvezető telefonszáma látszott.
Felvette, és az ügyvezető hívta, és azt mondta, hogy nagyon sürgős és
fontos utalást kellene azonnal elindítania, írja le az adatokat, és
intézze el. Lediktálta a számlaszámot, a nevet és hogy másfél millió
dollárról lenne szó, ami a cégnél ritka, de nem példa nélküli utalás
volt. A rövid beszélgetés végén (hiszen a könyvelő nem nagyon mert
kérdezgetni a Nagyfőnöktől) a könyvelő elintézte és elindította az
utalást.
Másnap délelőtt csörgött a telefonja. A könyvelés kérdezte, hogy mi ez
az utalás? A könyvelő mondta, hogy a Főnök kérése, de a részleteket ő
sem tudja. Nem tudja, hogy van-e számla, de biztos lesz.
Kicsit később csörgött ismét a telefonja, és a cégvezető titkársága
kérte, hogy menjen be hozzá.
Nagyon kínos beszélgetés következett. A cégvezető nem kérte semmire, a
könyvelő mutatta a hívást, a cégvezető pedig mutatta a telefonját,
hogy arról senkit nem hívott egész este. A könyvelő állította, hogy a
cégvezetővel beszélt, hiszen megismeri a hangját!
A pénzt egy offshore bank kapta meg, a címzett ismeretlen, a pénzt már
átutalták máshova. A rendőrség széttárta a kezét.
Csodálatos dolog az AI technológia! Nem csak a kisdiákok házi
feladatát lehet vele megcsinálni (hogy aztán a kisdiák semmit ne
tanuljon belőle) de olyat is tud, hogy rövid hangmintából előre megírt
szöveget kimondó az eredetitől nehezen megkülönböztethető hangot
állítson elő. Sőt, olyan technológia is létezik, ami ugyanezt
mozgóképpel kombinálja: elég egy pár kép az illető személytől, elég
pár hangminta, és készen áll a videó (akár videochat), amin látszólag
a személy azt mondja, amit a készítője a szájába adott. (Még ott nem
tartunk, hogy beszélgetni lehessen vele, így megfelelően kell a
szövegeket előállítani, hogy bármilyen reakcióra megfelelőek legyenek,
pl. „ne kérdezgessen annyit, szalad az idő” vagy „intézze el és holnap
odaadom a számlát hozzá, most el kell rohannom”).
A telefonszámok hamisíthatóságát az elmúlt fél évben sokan
„élvezhették”, amikor akár „ismerőseik számáról” kaptak adathalász
üzeneteket, sms-eket. Mindez együtt egy új, feltörekvő bűnözői
magatartást hozott létre: a megszemélyesítéssel segített csalásokét.
Mit lehet ellene tenni?
A hamisított telefonszám nem tud hívást fogadni, a hamisított email
nem tud emailt fogadni. A beszélgetés után hívjuk fel azt, akiről szó
van és ellenőrizzük, hogy tényleg ő volt-e az, aki például thai
szűzlányokat ajánlott fel megvételre SMS-ben, vagy kölcsönt kért a
beteg kutyája sürgős Ausztráliába szállításához.
Ha az ügyviteli út nem teszi lehetővé, hogy egy átvert személy
egyedül, akaratlanul kárt tudjon okozni, mert a folyamatokba be van
építve a kötelező ellenőrzés (akár 2 faktoros azonosítás, akár több
személy általi ellenőrzés) akkor az átverés nem tudja elérni a célját.
Kifejezetten fontos ez akkor, amikor a főnök-beosztott viszony miatt a
dolgozónak nincs sok lehetősége tiltakozni: ha többes az ellenőrzés,
akkor automatikusan és kötelezően megtörténik, és nem kell miatta
senkinek sem személyes konfliktust felvállalnia az Atyaúristennel.
A furcsa vagy szokatlan kéréseket mindig ellenőrizzük
más úton vagy módon, esetleg egy másik kolléga segítségével! Úgyis ritkák, belefér!
Semmit nem csinálunk ellenőrzés nélkül, akkor sem, ha azt egy „fontos
ember” kéri. Mindenki tévedhet (jelen sorok írója is): segítsük a
vezetőket is abban, hogy minden rendben menjen. A dupla ellenőrzés
életet menthet.
És mindig gyanakodjunk a világra, mert sajnos veszélyes üzem.
This is a geeky English entry. Kind of making notes for everyone.
Problem space
The original problem is that Google Drive in Firefox (almost irrelevant which version
but this one's Nightly) cannot load "Details" and "Activity" sidebar content, instead I
get "Couldn't load details. Try again." instead of the content.
The problem seems deterministic usually, so it does not load whether you sacrifice a
black rooster on full moon, dancing naked in the middle of the enchanted forest or not;
however it may happen that it just loads, once, or a few times, then it's gone again.
When I have tried to connect it to addons it resulted nothing: yes, it is related
to the fact that my Firefox is packed with antispam extensions but no, it is not
caused by "any" of those, at least I can open a new session, activate all extensions
and the side panel would work just fine.
Now that I'm closer to the secret I should probably start removing them in reverse order
to actually pinpoint it to one or a few but… the real problem seems to be something else.
Looking for hints
I'll not detail you my search, but the result was that the problem is not present
in anonymouse mode
without extensions
in other browser (namely chromium, but it uses a different class of extensions anyway)
in a completely new browser session with the same set of extensions!
The last made it very confusing. So I started looking around and found that maybe
it is related to the NS_ERROR_INTERCEPTION_FAILED error in the Firefox console.
This is a very useful error message if the purpose is to maximise confusion and minimise
any chance to fix any problems, since the error message means that there was an unspecified
problem with an unspecified part of an unspecified extension (or maybe even Firefox core)
when it have tried to intercept (hook) the page loading. Awfully helpful (awhelpful? helpawful?).
So I started to google it (look, ma, it's a verb now!), and found almost nothing. But one page
was kind of suspicious, namely
an error report for the venerated
NoScript from 2022, which described a pretty convoluted problem they have fixed there:
Fetch requests initiated by service workers (such as those used by Spotify to cache album covers locally)
were not reported in the UI: it's something quite tricky, because service workers have no associated tab,
hence NoScript would need to keep track of all the tab containing documents which may be using the
service worker and report back to all of them.
Therefore you could not notice that scdn.com (set to DEFAULT because you use the full address
UI listing and surgically enabled only https://open.scdn.co) was the destination of fetch requests to
retrieve images, which were blocked because you unchecked the "fetch" capability from the DEFAULT preset.
So, hmm. Giorgio Maone (PBUH)
said that they had a problem with service workers not being able to follow
stuff scattered throughout plenty of tabs? So, let me see, what happens if I simply create a clean
session in the same configured firefox
(I am using Conex so I can create
session groups) and open Drive from there?
Yep, damn, it worked. It seems to work.
Solution or workaround
While I don't have time to research this now further I can say that the fix is simple:
do not open multiple tabs for the same site (Google Drive) in the same session (where the service
workers are shared, I presume), and it will work, no "Couldn't load details. Try again." anymore.
Probably this could be caused and fixed by fiddling with the specific settings of various spam
blocker extensions (my guess would be uMatrix and uBlock Origin but there are other strong contenders),
but right now I'm okay with opening a separate session for Drive and let it rest. And how I wish
the error message would be more specific, at least point to the extension (or hook) which fails, or even
better tell me about the specific error how what is failing.
Hope it helps. Someone. Index this, Google, thxbye.
Megint informatikáról és biztonságról szeretnék neked mesélni.
Az egész arról jutott eszembe, hogy jött egy hír, hogy az AI-hamisított (deep fake)
videók miket mutogatnak, meg az AI hamisított képek, üzenetek, akármik.
A probléma, hogy amikor egy híres ember kér tőled valamit egy vidóban,
vagy hallod a hangját, akkor lehet, hogy az valójában nem is ő.
Erről az egészről meg az ugrott be, hogy mesélnem kellene egy méltatlanul
hanyagolt, sőt, gyakran legyintéssel elhessegetett biztonsági módszerről,
méghozzá a másik fél azonosításáról.
Elöljáróban: azt talán tudod te is, hogy vannak azok a rendszerek, amik
titkosítanak, vagyis megoldják azt, hogy az üzeneteidet (írásodat,
képeidet, hangodat vagy videótartalmadat) idegenek ne tudják megnézni, megismerni.
Ez a rész viszont nem segít abban, hogy mi van, ha a másik oldal mégsem
az, akinek állítja magát?
A digitális aláírások ismerősek lehetnek. Ez a valóságban úgy működik,
hogy annak, aki aláír van egy titkos számosorozata (ez lehet sok minden, nem lényeges,
hogy épp egy jelszó vagy egy hosszú krixkrax-sorozat egy file-ban), a számítógép
pedig fogja az aláírandó szöveget (hangot, videót, akármit),
kiszámít belőle egy olyan mintát, ami csak
arra a file-ra igaz (ha bárki megváltoztatja, a minta nem fog stimmelni), és
utána ebből a mintából meg a titkos számsorozatból csinál egy olyan számsorozatot,
amit csak a titkot ismerő ember képes előállítani és csak az adott
file-ra igaz: ez a digitális aláírás. Egyrészt „nem lehet”
(pongyolán fogalmazok, elnézést a kriptográfusoktól) hamisítani, mert nem ismeri
senki más a titkos számokat, másrészt „nem lehet” észrevétlenül megváltoztatni sem a file-t,
mert akkor nem fog stimmelni a minta, és a mintát sem lehet hamisítani mert ahhoz
is a titkos számok kellenének. Ha még egy időpont is része a mintának, akkor azt
sem lehet hamisítani, hogy mikor készült az aláírás.
Pár szó az end-to-end titkosításról,
vagyis arról, amikor két pont között
titkosítjuk a forgalmat és így az üzeneteket továbbító rendszerek sem képesek azt
elolvasni/megismerni vagy megváltoztatni. Ez jelenleg a legnagyobb biztonságot adó
hozzáállás, nem is szeretik az uralkodó politikusok és erőszak-szervezeteik.
Azt fontos megjegyezni hogy ez csak arra vonatkozik, hogy a továbbítás közben
az üzenetek nem megismerhetőek de semmit nem tud arról mondani, hogy a két végén
megbízható rendszer van-e (vagyis jellemző módon nincs-e a mobiltelefonon állami
kémprogram vagy illegális megfigyelés); ha az üzenetet már megismerik, mielőtt titkosítaná
a program akkor… annyi volt, mindegy, milyen biztonságos az eljárás. Mivel ez ellen
semmilyen továbbítási titkosítás nem véd, most ne erről beszélgessünk.
Azt már kevesebben tudják, hogy a legtöbb valódi titkosítást és biztonságot biztosító
rendszer (tipikusan end-to-end titkosítással) a digitális aláírásokhoz hasonló
ellenőrzési lehetőséget kínál. Ennek a lényege az, hogy amikor csatlakozol valakihez
az első alkalommal akkor kapsz egy a partneredre jellemző titkos mintát, ami teljesen
egyedi módon azonosítja őt. Ebből azt nem tudod, hogy ő kicsoda, de azt igen, hogy
ha üzenetet kapsz a jövőben ezzel a mintával (ami vagy az üzenetet, vagy az
üzenetet továbbító csatornát, csoportot, chatret azonosítja) akkor azt „ez az eszköz” vagy „ez az ember”
küldte.
Ezt az alapszintű biztonságot nyújtja például a WhatsApp vagy a Signal azon értesítése, hogy
„megváltozott a partnered azonosítója”. Ez azt jelenti, hogy bár a partner ugyanazon a néven
látszik, de az üzenet nem arról az eszközről érkezett, amiről előtte!
A biztonságtudatos ember ilyenkor egy másik csatornán (például élőben
vagy telefonon) rákérdez, hogy „te cseréltél-e telefont, vagy nem”, és ha nem, akkor
valaki
hallgatózik.
Azonban ennél ezek a rendszerek sokkal többet is kínálnak! Vagyük példának a
Signalt (ami jelenleg az egyik legbiztonságosabbnak tekintett,
független kommunikációs platform). Itt például minden beszélgetésnél ha rábök az ember
a beszélgetés fejlécére (vagy bemegy a PöttyPöttyPötty»Chat settings alá) van egy
„View safety number” menü, ami mutat egy hosszú betű-szám sorozatot és egy QR kódot könnyítésnek.
Ez a szám és kód azonosítja a beszélgetést, és a csatorna mindkét végén ugyanaz.
Ha tehát odamész az ismerősödhöz és mindketten belementek a beszélgetésetekbe, akkor mindketten
ugyanazt a számot kell, hogy lássátok (és ebben segít a program is a QR kóddal, amivel gyorsan
lehet ellenőrizni).
Ha nem ugyanazt látjátok akkor nem egymással beszéltek, hanem
valaki mással, aki hallgatózik és
közvetít köztetek! Ha pedig stimmel a kód, meg lehet jegyeztetni a programmal! Ez a legjobb
módszer, mivel innentől bármikor megváltozik, a program azonnal nagyon hangosan tiltakozni fog,
hogy sérült a kapcsolat biztonsága! És akkor is, ha semmi titkosat vagy szörnyűt nem beszélget
az ember jobb, ha azzal beszél, akivel gondolja, hogy beszél, és nem
valaki mással.
Ehhez hasonló rendszert használ a WhatsApp is, hasonló kódokkal (ugyanaz az alapja a rendszernek,
mint a Signalnál). Egy másik, hasonló azonosítási módszer a Matrix hálózaté,
ahol bárkire rábökve van egy „Verify” (ellenőrzés) menü, amit kiválasztva és az ellenőrzést
elindítva mindkét oldal kap egy csomó emojit. Ez – mint az előző esetekben – mindkét oldalon
egyezik, és így az ember például felhívja az ismerősét és beolvassa, hogy „kacsa, fagyi,
mikulás, hal, államkasszával a zsebében offshore bank felé yachtozó lölö, kapa, kasza”,
a másik pedig ha ugyanezt látja akkor mindenki örül, és leokézza. Innentől ezek az ismerősök
kapnak egy zöld pipát, mindenki más meg vörös felkiáltójelet, ráadásul ez a rendszer képes kezelni
azt, ha az illetőnek több eszköze is van, és egyenként is lehet őket ellenőrizni vagy éppen
nem megbízhatónak jelölni és törölni az ellenőrzését.
Sok ember ezt nem veszi komolyan, hiszen semmi titkosról nem beszél az ismerősével, minek kellene
őt ellenőriznie? Nos, például azért, hogy ne kerülj olyan helyzetbe, hogy az „ismerősöd”
nagy bajban van és segítséget kér, hogy mondjuk utalj pénzt egy számlaszámra, és utána
derül csak ki hogy ő nem tud az egészről semmit. Ebben a helyzetben jó az, ha a program
figyelmeztet, hogy az üzenet ugyan látszólag az ismerőstől jön, de azt valójában nem ő
küldte. Ugyanezt az ellenőrzést megkapjuk például a Signal esetében hang- és videohívásnál
is.
Érdemes megemlíteni a webes tanúsítványokat is, ha már digitális aláírásokkal kezdtem:
a weblapok (és internetes szolgáltatások) gyakran használnak olyan digitális aláírásokat,
amit egy tanúsító szervezetvalamilyen módon ellenőrzött.
Ez akkor fontos, ha nem tudjuk ellenőrizni az adott helyet üzemeltetőt egyenként, de
cserébe (valamennyire) megbízunk a szervezetben, aki ezt az ellenőrzést helyettünk
elvégezte. Ez lehet simán annyi, hogy ellenőrizték, hogy az üzemeltető valóban hozzáfér
az adott weblaphoz vagy géphez, de lehet teljes ellenőrzés is, ahol bekérték a cégpapírokat,
beszéltek a vezetőkkel és kértek egy hivatalosan aláírt szerződést (ezek a kiterjesztett
biztonságú [Extended Verification; EV] tanúsítványok, amiket a böngészők általában teljes zöld
háttérrel mutatnak). Ezekre is fontos odafigyelni, illetve meg is lehet általában a
böngészőkben nézni (kis lakat vagy pajzs ikonra kattintva) hogy kinek a nevére adták ki
pontosan a tanúsítványt. Törött/piros/kinyitott lakattal rendelkező oldalnak még a
napszaknak megfelelő köszönést is csak előzetes meggondolás után küldjük el, amit mond,
az meg annyira megbízható mint a kormány ígéretei amit az utcán egy rosszarcú ismeretlen
állít.
Szóval, összefoglalásképp azt akartam mondani, hogy ha lehet, használj olyan kommunikációs
csatornákat amik biztonságosak; ellenőrizd az ismerőseidet akkor, amikot felveszed őket
először és hogy érdemes azokat, akik fontosak (közeli ismerősök) leellenőrizni akár
csak egy sima telefonhívással és a kód egyeztetésével. Mert számíthat.
Ha ezt mindenki megtenné, kicsit jobb lenne a világ.
Reagan, Brezsnyev és Kádár utaznak világ körüli úton a repülőn, mikor egyszer csak Reagan gondol egyet, kinyitja a kis ablakot és kidugja a kezét. A többiek döbbenten nézik, ő meg vigyorogva azt mondja:
– Na, itt repülünk épp Amerika felett!
– Na mondd már, honnan tudod?
– Hát, a kezembe nyomtak egy mikrochipet!
A másik kettő hosszú arccal magába néz. Nem telik bele pár perc, Brezsnyev elvtárs is odagurul az ablakhoz, és kezét kidugva közli:
– Most pedig pont itt vagyunk a Szovjetunió felett!
A másik kettő hangosan tiltakozik:
– Honnan gondolod, hogy épp ott lennénk?
– Hát onnan, hogy egy üveg vodkát nyomtak a markomba!
Csend. Kádár elvtárs gondolkozik, gondolkozik, majd felragyog az arca, odamegy ő is, és kidugja a kezét.
– Na de most pedig itt repülünk szép hazám, Magyarország felett.
Na erre már kitör a botrány:
– Honnan tudnád, János bátyám, hát a te országod olyan piciny, miből gondolod, hogy pont ott lennénk?
– Honnan, honnan... hát nyilvánvaló, mert ellopták a karórám.
– Apa, mi a különbség az „elmélet” és a „gyakorlat” között?
Az apa elgondolkozik, majd azt mondja neki:
– Menj oda a nővéredhez és kérdezd meg, hogy lefeküdne-e egy ismeretlennel százmillió forintért.
A kissrác csodálkozik, de elmegy és megkérdezi. A nővére majdnem felpofozza:
– Hogy képzeled?! – majd elgondolkodik.
– Százmillió forintból
meg tudnánk venni a lakást, összeköltözhetnénk Bélával… és mehetnénk utazni
kettesben… hát, számillió forintért igen.
Kisfiú visszamegy, elmondja. Az apja bólint majd megkéri, hogy ugyanezt
kérdezze meg az anyjától is. A kissrác megkérdezi, és az anyja is kiakad:
– Micsoda szemtelenség, ilyet nem mondhatsz! Meg különben is… – elréved, elképzeli,
majd elgondolkodva mondja:
– Százmillió? Abból fizethetnénk mindkettőtök iskoláját, megvehetnénk végre
az autót, meg a házat is fel tudnánk újítani, és végre lenne időnk apáddal
egymásra… hát… annyiért, talán, igen.
Kissrác visszamegy, ezt is elmondja. Az apja megint bólint, majd azt mondja:
– Látod, kisfiam, elméletben van kétszázmillió forintunk! A
gyakorlatban pedig van két kurva a háznál.