Informatikai Biztonság Napja (ITBN) rendezvény

Szeptember 28-29-én került megrendezésre az Informatikai Biztonság Napja (ITBN). Kialakult bennem pár gondolat a rendezvénnyel kapcsolatban, amit most beleszórok a bitfelhőbe.

Az alábbi témakörökben voltak előadások:

• Hálózatok, virtualizáció, cloud computing
• Compliance, naplóadatok elemzése
• Adatvédelem: DLP
• Azonosság, jogosultság, titkosítás
• Alkalmazások és a WEB 2 biztonsága
• Vírusok, spam-ek elleni védelem, mentés
• Hacking és új fenyegetettségek

Ezen szekciók közül engem az első kettő és az utolsó érdekelt leginkább.

A hacking kivételével sajnos igaz volt, hogy termékbemutatóról szólt az előadások 90%. Az egyik barátom szavaival élve: értem, csak nem értem meg. Értem, mert ezek a cégek támogatásával jött/jön létre ez a konferencia. Értem, mert a cégek el akarják adni a termékeiket. "Jó volt hallani", hogy 2-3 éve a biztonsági szakértők által felvetett problémákra már van megoldás, "jó volt látni", hogy minden cég terméke/megoldása a "legjobb" a világon. Igen ezekre is szükség van, de sokkal kevesebb időben.

Viszont nem értem meg, mert szerintem nem ez lenne az elsődleges feladata ennek a rendezvénynek. A Hacking szekció szólt leginkább arról, amiről a rendezvénynek szólnia kellene, igaz az első előadás ott is kicsit termékbemutatóra sikeredett. Szóval ebben a szekcióban valósult meg elsődlegesen az, hogy a mai informatikai és információ biztonsággal kapcsolatos problémákról volt szó. Nem véletlen, hogy ez az előadássorozat volt az egyik legnézettebb. Sajnos elkövették azt a hibát a rendezők, hogy viszonylag kis terembe rakták, így elég zsúfolt volt.

Ami tetszett a rendezvény szervezésében még a reggeli plenáris kerekasztal beszélgetések.

Mindkét nap voltak workshop szekciók, ahol egy-egy órában a gyakorlatban is meg lehetett nézni néhány termék/megoldás működését. Nem tudom eldönteni, hogy sajnos-e vagy sem, de ezek közül egyiket sem volt időm megnézni.

A Hacking szekció több szempontból is roppant érdekes volt számomra. Egyrészt az előadások érdekesek voltak, megtalálhatóak voltak bennük a mai informatika/információ biztonság problémája.  Másrészt minden szekció végén volt egy  20-30 perces "Szekció diskurzus", ahol az előadóknak kérdéseket lehetett feltenni. Ez volt az egyetlen hely, ahol viszonylagos parázs vita alakult ki az előadók között. Az egyik kedvencem a "hogyan hívjuk az Etikus Hackereket?" polemizálás volt. Volt aki inkább Legal Hackerek megnevezést szereti, volt aki az Etikus Hacker megnevezést. Mindkettőt szépen magyarázták is:

Legal Hacker: legálisan próbálom "feltörni" a megrendelő rendszerét, megtalálni a sérülékenységeket, ezt egy jelentésben leírom, útmutatást adok a hibák javítására.

Etikus Hacker: azért végzem el az etikus hack-et (a megbízáson túl), mert a rendszer biztonságát akarom javítani az eredményből adódó javítások, változtatások elvégzésével. Amennyiben ez azért történik, hogy adott személy eltávolítható legyen a pozíciójából, akkor nem vállalom a munkát el. Tehát etikusan járok el.

Az előadók között volt egy igazi hacker is. Ő nagyon csendben volt ekkor és értem is miért. Az előadásának egy mondatát hoznám fel. Beszélt arról is néhány mondatot, hogy nagyon felkapott lett az etikus hacking és fél év, egy év alatt Etikus Hacker vizsgát tett emberek rontják a valódi, 5-10 éves szakmai tapasztalattal rendelkező igazi hacker-ek renoméját, ugyanis azok az emberek valójában nem hacker-ek. Itt volt egy mondata, ami szerintem az ITBN legjobb mondata volt (nagyjából szó szerint): "Köpök egyet és három etikus hacker jön ki alóla".

Értem az álláspontját, mert az informatika és mérnök területen én is átéltem hasonlókat már. Ugyanúgy hívják, mégsem ugyanaz a tudás van mögötte. Az információ biztonságban (is) két irány létezik. Az egyik a valós szakmai tudással rendelkező, hacker-nek nevezhető ember, aki képes biztonsági rések megtalálására, azokat kihasználó teszt kódok előállítására és a megfelelő helyen a megfelelő szakmai színvonalon azokat bejelenteni, esetleg már a kód javítással együtt. Ezek az emberek nemcsak ismerik azokat a fogalmakat mint debug, gépi kód, assembler stb. hanem használni is tudják őket készség szinten. A másik faj, aki tudja, hogy milyen folyamatokat kell futtatni pl. egy etikus hack során, tisztában van az információ biztonság fogalmával, érti azt és használni is tudja, DE nem képes új sérülékenységeket felfedezni.

Szerintem mindkét típusra szükség van, csak az egyik hacker a másik meg biztonsági szakember. A biztonsággal kapcsolatos vizsgáknak is két halmaza van:

• tanulható és lerakható gyakorlati tudás nélkül, akár egy év alatt is: pl.: CISA, CISSP, CEH
• csak sok-sok gyakorlással és gyakorlati tapasztalattal rakható le: pl.: OSCP, OSCE

Ez természetesen nem azt jelenti, hogy az első halmazban található vizsgák mögött nincs tudás, inkább azt jelenti, hogy nincs feltétlenül gyakorlati tudás és tapasztalat mögötte.

Ezért gondolom azt, hogy mind az etikus hacker, mind a legal hecker kifejezés az esetek többségében nem helytálló és teljesen jogosan sérti az igazi hacker-ek önérzetét. Én inkább valami információ biztonsági auditáló-nak nevezném. Igaz ez nem hangzik marketing szempontból olyan jól, mint az etikus hacker :)

Összefoglalva látszik, hogy sok munka van a rendezvény mögött én szeretném, ha kevesebb marketing és több szakma lenne jelen.

Garanciális fallabdaütőm története

Szeretek sportolni főleg kosárlabdázni. 6 évvel ezelőtt kipróbáltam a fallabdát és nagyon megszerettem. Ráadásul két embernek könnyebb összejönni és mozogni, mint tíznek.

Tavaly nyáron vettem egy új fallabda ütőt, mert a régi eltört 5 év használat után. Az egyik sportboltban már több dolgot is vásároltam, az eladók minden esetben kedvesek, segítőkészek voltak. Úgy gondoltam náluk veszem meg az új ütőmet is. Ez a bolt volt a Vadon Sport.

4-5 hónap használat után eltört az ütőm. Hetente egyszer, egy órát járok fallabdázni, tehát max. 20-25 alkalommal használtam. Úgy gondoltam, hogy ez nem normális és a törés oka az ütő anyaghibája.

Novemberben vissza is vittem az ütőt, hogy eltört és szerintem ezt ki kell cserélni. A boltban azt mondták, hogy a nagyker (Hefa Sport Kft.) fogja megmondani, hogy a cserekérelem jogos vagy sem. Nagyjából 2-3 hét múlva került vissza az ütő hozzám, hogy a nagyker szerint ez nem garanciális hiba. Gondoltam, hogy ezt megbeszélem a nagykerrel is, nem akartam annyiban hagyni a dolgot. A Vadon Sport eladója készséggel megadta a nagyker telefonszámát.

December közepe volt ekkor, tehát karácsonyi előkészületek, év vége, majd januárban mentünk síelni, tehát nem volt vele időm foglalkozni nagyjából egy, másfél hónapot. Január vége felé felhívtam a nagykert, ahol azt mondták, hogy náluk nem volt ez az ütő, mert akkor lenne róla írásos szakvélemény, maximum telefonon egyeztették a garanciális dolgot. Azt mondta a nagyker alkalmazottja, hogy vigyem vissza a boltba az ütőt és kérjek írásos szakvéleményt.

Február elején vagy közepén bevittem az ütőt a boltba és elmondtam, hogy mit kért a nagyker. A Vadon Sport átvette az ütőt és mondta, hogy szólnak amint megvan a szakvélemény.

Türelmes ember vagyok, gondoltam nem zaklatom a boltot állandóan, hogy mi újság az ütőmmel. Március közepe felé elfogyott a türelmem és bementem megkérdezni, mi újság. Ők felhívták a nagykert, majd az egyik eladó vagy tulajdonos beszélgetett a nagykerrel. Nekem azt mondta, hogy a nagyker már nekem egyszer megmondta, hogy nem garanciális. Én mondtam, hogy Ők  mondták, hogy kérjek írásos szakvéleményt. Azt ígérték, hogy szakvéleménnyel együtt fogják visszaküldeni a fallabda ütőt.

Ezután gondoltam sínen van a dolog, hamarosan kapok egy rendes szakvéleményt, viszont nagy valószínűséggel nem fogják kicserélni az ütőt. A hamarosan újabb 1 hónap volt, számomra nem derült ki, hogy a nagyker vagy a bolt miatt. Mondjuk ez nem is nagyon érdekelt.

Viszont kezdem elveszteni türelmemet, és amikor megláttam a szakvéleményt, akkor teljesen elborult az agyam. Mondtam is, hogy amit kaptam nem szakvélemény, hanem valami lerázós papír és ezt már végig fogom csinálni, amíg nem járok a végére.

Van egy barátom, akinek a barátnője eléggé otthonosan mozog az ilyen garanciális problémákban, ráadásul az elejétől tudott a problémáról, hiszen vele fallabdázom. Felajánlotta, hogy kikérdezi a barátnőjét és segítenek a probléma megoldásában. Ennek meg is lett az eredménye. Megtudtam, hogy a bolt köteles saját költségén KERMI vizsgálat alá vetetni az ütőt, ha én azt kérem és erre még egy formanyomtatvány is van.

Ezzel a formanyomtatvánnyal vittem vissza az ütőmet. Persze tudták miről van szó a boltban, de még bepróbálkoztak azzal, hogy fél éven túl nem kötelességük. Mondtam nekik, hogy ez a történet már korábban kezdődött és nincs ilyen szabály. Az ütőt elvették és mondták értesítenek, ha megvan az eredmény.

Egy hónap múlva még nem volt eredmény ezért bementem érdeklődni. Annyi bibi volt a dologban, hogy közben megszűnt az a boltjuk, ami útba esett és teljesen máshova kellett menni. Az ottani alkalmazott nem tudott semmit, természetesen a tulajdonost nem érte el. Elkérte a telefonszámom és megígérte, hogy felhív amint megkapja az információkat.

Két hét várakozás után megint bementem érdeklődni, mert természetesen nem hívtak vissza. A tulajt megint nem tudta elérni, ezért elkértem a telefonszámát és mondtam, ha két hétig nem kapok választ, akkor a Fogyasztóvédelemhez fogok fordulni, mert már minden türelmem elfogyott.

Két hét elteltével nem kaptam továbbra sem információt az ütőmről, ezért gondoltam utolsó esélyként megpróbálok beszélni a tulajjal. Megpróbáltam kétszer felhívni, de nem vette fel. Írtam neki egy e-mailt, amiben három lehetőséget vázoltam fel:

• kicserélik az ütőmet
• visszakapom a KERMI vizsgálat eredményével a régi ütőmet
• Fogyasztóvédelemhez fordulok

Rövid határidőt adtam neki, 2-3 napot. A harmadik napon kaptam egy válaszlevelet, amiben az állt, hogy kicserélik az ütőmet. Itt megint volt egy-két marketing szöveg: szerinte továbbra sem jogos a garanciális csere, de a bolt jó híre miatt megteszi.

Bennem csak az a kérdés fogalmazódik meg, hogy ha a Vadon Sport teljesen biztos volt benne, hogy nem anyaghiba miatt tört el az ütőm, akkor neki miért nem érte meg a KERMI vizsgálatot megcsináltatni 6-7ezer forintért? Az ütőm 23ezer forintba került. Csak egy magyarázat van rá: úgy gondolták, hogy megpróbálnak lepattintani, mert az a legolcsóbb. Különben még abba is belementem volna, ha azt mondják már novemberben, csináltatnak KERMI vizsgálatot, ha anyaghibás volt az ütő, akkor kicserélik, ha nem akkor fizessem ki a vizsgálat díját.

Másnap elmentem a boltba egy új ütőért. Persze megérdemelték volna, hogy a csere ütő és a törött ütőm közötti különbözetet nem fizetem ki, de nem lenyúlni akartam Őket, hanem jogos követelésemet érvényesíteni.

Szóval 10 hónap után tudtam érvényesíteni jogomat. Nekem nem az volt az elsődleges akaratom, hogy az ütőt minden áron kicseréljem, hanem a valóság megismerése: az ütő azért tört el, mert anyaghibás vagy azért mert ilyen gyenge minőségű ütőt csinál a gyártó.

Egy dolgot elért ezzel a bolt: soha többet nem vásárlok náluk és minden fórumon elmondom, ahol csak tudom. Sikerült az üzletük jó hírét lerontani.

Magyar - Szlovák szja adózás

Miután 2010. január 1-vel változtak Magyarországon az adósávok és adó mértékek gondoltam utána nézek, hogy állunk most Szlovákiához képest. Miért tettem mindezt? Leginkább, mert pár éve állandóan Szlovákiával példálóztak a médiában és most nagy a csend. Szerencsére van egy szlovákiai magyar ismerősöm, aki mellesleg könyvelő, így azokat az adatokat is egyszerűbben össze tudtam szedni.

Alapvetően igaz, hogy Szlovákiában a személyi jövedelemadóból több marad a munkavállalónál, mint Magyarországon. Szlovákiában a munkavállalónál a bruttó bére 59%-a, Magyarországon az 54%-a marad. Ha egy családban két gyerek van, akkor családi pótlékkal együtt több marad havi 100ezer bruttó mellett a magyar családnál. 150ezer-nél már szlovák munkavállalónál marad több (kb3ezer Ft-tal). Ha nincs gyerek, akkor minden esetben igaz, hogy Szlovákiában több marad a munkavállalónál, sőt a bér emelkedésével egyre nagyobb a különbség. Ha figyelembe vesszük az adójóváírásokat, akkor lehetnek olyan esetek, amikor Magyarországon kevesebb adót kell fizetni, mint Szlovákiában és persze fordítva is igaz ez.

Az költségeknek van egy másik oldala is a munkaadó összes költsége. A munkaadónak kb7%-kal kevesebb adót/járulékot kell befizetnie Magyarországon (28,5%) mint Szlovákiában (35,2%). Ez azt jelenti, hogy a munkavállaló szempontjából olcsóbb ugyanannyi bruttó bérért foglalkoztatnia Magyarországon, mint Szlovákiában.

Csináltam egy-két táblázatot összehasonlítésképpen, amelyek az alábbi linken megtekinthetőek: https://spreadsheets.google.com/ccc?key=0AitOr3P6Yj-idEtIcXVtVUpycVRKSHJhQ1BjWHlOelE&hl=en&authkey=CJ-huaUM

Mondd, Te kit választanál: Invitel vs T-Home

Hihetetlen, hogy van választás és mégsincs. Invitel területen lakok így akár lehetne jó ADSL + IPTV-m is. Viszont az árak és sávszélességek nem teljesen piac és felhasználó barátak. Több helyen, több Inviteles ismerősömnek és kereskedőnek is jeleztem. Azt is mondtam nekik, hogy az Invitel területen a T-Home-nak van kábelTV szolgáltatása, sőt már internet és telefon is. Először is eléggé meglepődtek, majd azt kérdezték, hogy mióta. Mondtam nekik, hogy minimum 6 éve.

Arról már írtam egy-két bejegyzést, hogy a T-Home-nak mennyi idő alatt nem sikerült a HD TV-t bekötnie itt, itt és itt.

Tehát adott két remek cég: Invitel és T-Home. Az egyiknek jó a szolgáltatása de 3 hónapja nem tudok semmi választ kicsikarni belőlük, hogy adott áron adott sávszélességet kapjak. Még azt sem, hogy nem adunk ennyiért. Adott a T-Home, amely ugyanazt a szolgáltatást (internet) kábelen olcsóbban adja max. sávszélesség/Ft arányaiban, viszont mindenki tudja, hogy néha eléggé nehézkesek.

Harmadik lehetőség nagyon nincs, vagyis van a 3G mobil internet. Jelenleg is használok 3G Mobil internetet, de azért még mindig nem az igazi. Aki csak internetezik, annak teljesen jó, de nekem a munkámhoz is kell az internet kapcsolat, és vannak alkalmazások, melyek az UMTS-HSDPA váltásokra eléggé rosszul reagálnak.

Más szolgáltatótól is vehetnék ADSL-t, de az Invitelnél is drágábban adják. Mivel technikai és ügyfélkezelési szempontból nem tudtam döntést hozni, ezért pénzügyileg döntöttem: Invitelt le fogom mondani, mihelyt a T-Home bekötötte és működik rendesen az internet kapcsolatom.

Az Invitelnek látszólag nem számít, hogy 6 éve folyamatosan és rendesen fizetem elő a szolgáltatást, nem érdekli, hogy elveszít egy ügyfelet, nem érdekli, hogy óriási előnnyel indul a T-Home-mal szemben, akkor engem sem fog érdekelni. T-Home kap egy évet most biztosan, ha a szolgáltatása rossz lesz, akkor ott is jön a "büntetés" és előfizetek egy 3G-s mobil internetre.

Manapság mindenki programokat közöl

Mindenki programokat(?) közöl, hála a választásoknak. Úgy döntöttem én is nyilvánossá teszem egyik gondolat folyamomat. Programnak nem nevezném, de iránymutatásnak jó. Miről szól? Informatika és az állam. Kistérségi program alapozó, arról, hogy Én hogy képzelem el az Informatikát állami/önkormányzati szinten.

Egy blog bejegyzésem már van, hogy mit gondolok az állam és az informatika együttéléséről. Itt olvashatod. A mostani írás nemcsak kérdéseket vet fel, hanem megpróbálok válaszokat, ötletmorzsákat adni hozzá. Itt olvashatod a Térségi informatikáról szóló jegyzetemet.

Mitől mérnök a Mérnök?

Amikor befejeztem tanulmányaimat és Mérnök Informatikus lettem, nem igazán tudtam, hogy ez mit is jelent mérnöknek lenni. A papíron kívül nem érzetem, hogy kaptam volna mást. Persze kaptam tudást is, de ezt akárki megtanulhatja az Internet segítségével. Évek múltán, hála a munkahelyeimnek, munkatársaimnak és magamnak megtanultam azt amit az iskolában kellett volna megtanítani: mitől mérnök a Mérnök?

Mit értek ezen. Ma az informatikában kb 3-5 év alatt nullázódik a tudás, tehát 5 évvel ezelőtti technológiai ismereteimmel eladhatatlan vagyok a piacon. Ez odáig fajult az informatikában, hogy senkit nem érdekel ma a diploma. Az csak egy szűrő. Minden nagyobb cég (Cisco, IBM, Oracle stb.) saját vizsgákkal/minősítésekkel rendelkezik, mely alapján be tudják határolni a tudás nagyságát. Ráadásul ezek a minősítéseket 3 évente meg kell újítani (újra le kell rakni), ahhoz, hogy megmaradjon. Tehát a felsőoktatás elsődleges feladata nem az kellene legyen, hogy megtanítson különböző technológiákat, hiszen nagyon gyorsan elavulnak (persze ezeket is kell tanítani). Sokkal több értelme lenne a mérnöki gondolkodásmód tanítására (persze még egyéb más dolgokkal egyetemben). Sajnos 1-2 felsőoktatási intézményen kívül nem sokan teszik meg.

Mit értek mérnöki gondolkodásmódon? Munkám során, baráti beszélgetések alkalmával és persze hírek olvasása/nézése közben nagyon sokszor találkozom tervezés, dokumentálás nélküli munkákkal. Nagyon sok esetben a probléma megoldása, rendszer fejlesztése átgondolás és tervek nélkül készül el. A helyzetet súlyosbítja, hogy ad-hoc kiépült rendszerről még dokumentáció sem készül, így nehezítve a hibakeresést, üzemeltetést és bővítést.

A válaszom a címben feltett kérdésre: akkor Mérnök valaki, ha a munkájában az alábbi lépések szerint halad:

1. tervezés
   
2. terv dokumentáció
   
3. kiviteli terv dokumentáció
   
4. kivitelezés
5. megvalósítási dokumentáció

Ezen lépések nem minden esetben gigászi méretű adathalmazok gépelését, hónapokig tartó tervezést jelent feltétlen. Az a munka nagyságától függ. Lehet, hogy az 5 pont végrehajtása összesen 1 órát vesz igénybe és lehet, hogy 1-2 évet.

Barátom garanciális problémája: Sasad Resort lakópark

A házakat pedig nem kell rendesen megépíteni, ugye? A garanciális javításokat nem kell rendesen megcsinálni, ugye?

Barátom rövid története:

"Sziasztok,

Felháborodtam, most ide leírom, és közben próbálom magam nyugtatni, de nem megy. Személyes sértésnek veszem a ma történteket.

Persze a garanciális hibajavításról van szó. Tavaly március óta eltelt pár hónap, és az átvételkor leadott hibalista fele javítatlan még mindig. Azóta adtunk le új listát is: jöttek is felmérték és eltűntek. Nem történt semmi. Senkitől semmilyen papírt nem kaptam. Telefonon elérhetetlenek. (Szerintem olyan munkatársuk, hogy N. Tamás nem is létezik, az ő számát adják meg a központba, mert Ő foglalkozik az SR-es garanciális ügyekkel, de több héten keresztül nem sikerült felvennie) És azt sem tudom kiket engedtem be a lakásomba, amikor jönnek nézelődni. De nem veszekedtem senkivel, gondoltam, majd én is sorra kerülök, és úgyis megcsinálnak mindent.

Bemutatnám az Ő hozzáállásukat:

Múlthét csütörtökön felhív Ú. Csaba (Gropius), és értesít afelől, hogy hétfőn jönnének megcsinálni a burkolók a WC-met, majd több hibáról is esett szó, de azokat nem részletezném. A WC és a tartály között a gipszkarton megrepedt, az azon levő csempékkel egyetembe, a fuga meg hullik kifele. Szóval otthon tudunk-e lenni? Feleségem a három és fél hónap kislányunkkal otthon van, ezért szóltam sógoromnak is, hogyha tud jöjjön át, és segítse a munka lebonyolítását, mert csak úgy nem engedek be senkit, a feleségem meg nem tud odafigyelni egyszerre a gyerekre is. Na, hétfőn nem jöttek. Telefonon hívogattuk Ú. Csabát aki vagy kinyomja, vagy nem veszi fel, majd délután visszahív, hogy bocs, holnap reggel 8-ra jönnek.

Ma reggel 7:10-kor megjött a vízszerelő, felébresztette a családom, leszerelte a WC-t, és közölte velünk, hogy majd 8-kor jönnek a burkolók, de azok persze nem jöttek. Majd múlik az idő Ú. Csaba vagy kinyomja, vagy nem veszi fel, aztán nekem el kellett jönnöm 11-kor dolgozni, a feleségem és a három és fél hónapos kislányom egymást nyugtatgatja a szar szagban.

Ú. Csabával lett megbeszélve az időpont, tudta a telefonszámomat, tudta hol lakom, tudta hogy a feleségem csecsemővel van otthon, de ő nem telefonált, hogy nem tudnak jönni, de még fel sem vette, csak ideküldte a vízvezeték szerelőt a megbeszélt időpont előtt, vele levetette a WC-t a falról, és szennyvíz szaga beragyogta a lakásom. Lassan délután 3-óra, gondolom így kívánják nekünk mára hagyni. Kezdem azt gondolni, hogy ez direkt van így, és így zajlik az ügyfélkezelés és a garanciális javítás Gropius Kft. -nél, Magyar Országon 2010-ben."