Akár van egy országnak jó kis gazdasági válsága, akár nincs, a hagyományos tantermi IT-oktatásban minden oktatóközpont új kihívással szembesül Németországtól Japánig, Grönlandtól Ausztráliáig. Ezt pedig a következő: az informatika ezer ágra bomlott a korábbi féltucat ág helyett, és mind a régi, mind az új ágak további gallyacskákat hajtottak.

Példaként említhetjük a kétpólusú oprendszer-világot (Windows, Linux), ami legalább négypólusú lett (Android, MacOS, sőt, talán lesz Chrome OS is), és akkor még a virtualizációról nem is beszéltünk (VMWare, Hyper-V, KVM, hogy csak a komolyabbakat említsük). Vagy saját szakterületemről mondjuk az SQL Servert, amelyiknek annyi csápja nőtt az elmúlt évek alatt, hogy felsorolni is alig lehet. Fejlesztés területén pedig a Java és a .net fej-fej melletti párharca okoz kombinatorikai robbanást a megtanulandó témakörök területén. Hogy innen is vegyek egy konkrét példát, elég csak a .net adatelérési technológiáira gondolni: az ODBC-t felváltotta az ADO, ADO.NET, amit felváltott a LINQ to SQL, amit felváltott az Entity Framework, amit felváltott a Code First. Persze ha azt mondom, felváltotta, mindannyian tudjuk hogy ez a valóságban úgy jelentkezik, hogy mind az öt-hat párhuzamosan él, mindegyikről tudni kell, hogy mire való, hol teljesít jobban, mint a másik.

A kihívás most jön. Minden oktatóközpont azzal szenved, hogy a korábbi hallgatói létszám megvan ugyan, de eloszlik a rengeteg témakörön, így az átlagos csoportlétszámok a korábbi 7-8-9 főről egyes területeken messze a rentábilis létszám (4-5 fő) alá csökkentek. Ennek folyománya, hogy bizonyos képzések akár fél-egy évig sem indulnak el, mert várjuk, hogy még ketten jelentkezzenek a Microsoft SQL Server Data Mining tanfolyamra. Hát azt várhatjuk.
A megoldást valahogyan a tanyasi iskolák modellje jelenthetné, ahol is egy osztályban ül a 3-4 különböző évfolyam nebulója, és mindenki más tananyagot végez. Nem véletlenül találták ki eleink ezt a szuper megoldást. Igen ám, de hogyan lehet ezt megvalósítani a tantermi IT-oktatásban?

Ha azt mondom, videóval, gondolom sokan azt válaszolnák: az feleannyit sem ér, mint az élő oktatás. Meg egyáltalán: akkor minek a tanterem, adjátok ide a DVD-t oszt jóvan. Mielőtt erre a hirtelen reakcióra válaszolnék, menjünk vissza az időben úgy 100 évet.

A mozifilm gyermekkora

1920-ban vagyunk, a hangosfilm feltalálása előtt. Mindenki ismeri a manapság már megmosolyogtató próbálkozásokat, amelyek lényege nagyjából kimerült abban, hogy a korai filmgyártók megpróbáltak valami színdarabszerűséget celluloidra venni. Hisz akkoriban még senki sem tudta, hogy a film valójában milyen lehetőségeket rejteget magában. Az eredmény pedig egy szánalmas színházutánzat lett, két dimenzióban, fekete-fehéren, zongorakísérettel. A korabeli film minden összehasonlításban elmarad a színházi előadás élményétől.

És ma? Egészen más a helyzet! Az összehasonlítás már vagy 60 éve értelmetlenné vált, mivel a film teljesen más értékeket vonultat fel, mint egy színházi előadás. A filmtörténet elmúlt száz éve a folyamatos fejlődés, útkeresés, értékteremtés korszaka. Ma már a film és a színház két külön világ. Almát a körtével nem hasonlítunk össze, ugye? Informatikaiul: nincs két azonos properti, ami alapján össze lehetne hasonlítani egy filmet és egy színházi előadást.

Back to the video

A videós oktatás valami nagyon hasonló dolog. Ma még mindenki a tantermi élő oktatáshoz hasonlítja, és von le következtetéseket. Én azonban azt mondom, a videós oktatás is rendelkezik a saját fejlődési útjával, amit be fog járni, és idővel új, az élővel összehasonlíthatatlan kategóriát hoz létre. Már ma is van egypár olyan tulajdonsága, amivel az élő oktatás nem tud versenyre kelni, gondoljunk itt a gyorsított (pl. másfélszeres sebességgel történő) lejátszásra, az ismert témakörök átugrására, az egy csoportban tanulók eltérő tempójának tolerálására (mindenki ott tart, ahol akar), vagy a korlátlan számú ismétlés lehetőségére.
A legfőbb előny azonban egyelőre kiaknázatlan. Ez pedig az, hogy míg a videós oktatás „korlátlan” technikai lehetőségekkel rendelkezik, addig szegény csóringer oktató a tanteremben „csak” egy hús-vér ember, technikai trükkök tárháza nélkül. És mint tudjuk, a gép sok területen legyőzi az embert. Én azt jósolom (és mi a magunk szerény eszközeivel ezen dolgozunk), hogy egy csomó lehetőség rejtőzik a tanfolyamok „digitalizálásában”.

Az egyik megvalósult eredményünk például az azonnali adatküldés a hallgatónak a megosztott klipbord segítségével. Ezt most már a hamarosan debütáló videós oktatásunk is tudja, azaz a videó többet ad e tekintetben a hallgatónak, mint a csóringer oktató, aki „csak” a táblára tudja felírni a szükséges kódrészletet.

A másik, általam régóta vágyott, megvalósítás alatt álló fícsör a kereshetőség. Hogyan tudsz rákeresni egy élő oktatónál egy adott témakörre? Persze, megkérdezed. És mi van, ha a kérdésed utólag, netalán egy héttel később jut eszedbe? A kereshető videós oktatás ismét megadja a választ! Az intergalaktikus cset pedig tényleges kérdések feltevését teszi lehetővé téren is időn át.

És így tovább. A seregnyi emberlegyőző innovatív megoldás kitalálásának csak a képzelet, megvalósításának csak a pénztárca szab határt.

De minek ide a tanterem?

Ha mindenki a saját tempójában, a többiektől elkülönülve tanul, minek is kellene bejönnie egy oktatóközpontba? Csak mozizni?

Nos, azért, mert egyrészt egy informatikai tanfolyam nem mozizás, hanem kőkemény gyakorlat, amit egy jól felkészített tesztkörnyezetben el is lehet végezni – míg az otthoni laptopon nemigen. Másrészt alapigazság, hogy aki rászánja az időkeretet a tanulásra, lefoglalja a napjait erre a célra, kiszakítja magát a szokásos munkakörnyezetéből, az valóban tanul, míg aki csak a DVD-t szeretné megnézni, az sokszor még odáig sem jut el, hogy betegye a lemezt a meghajtóba. Az oktatóközpont által teremtett tanulási miliő az egy értékes valami.

Gondoljunk csak a sok-sok egyetemistára, aki ahelyett, hogy otthon olvasná a kötelező olvasmányt, napokra eltemeti magát egy közkönyvtárban. Hogy miért? Hát mert ott minden feltétel (a csend, a hely szelleme) az olvasást segíti, ami odahaza nincs meg.

Ki merem mondani, hogy a munka közben végzett videós tanulás eredményessége nulla. Ez csak egyetlen esetben működhet, ha azon a bizonyos munkahelyen valójában nincs munka, a telefon sem csörög, és Mancika sem nyit be óránként kétszer.

Akkor sokkal könnyebb koncentrálni.

Mentored Learning, vagy Business Class

Ezzel el is érkeztünk a „hogyan tartsunk meg tanfolyamot akár egy-egy főnek” dilemma feloldásáig. A rothadó kapitalizmusban csak mentored learningnek hívott megoldás lényege, hogy a hallgatók – egy tanyasi iskolához hasonlóan – különböző témaköröket tanulnak egy tanteremben. A „katedránál” pedig ott áll az oktató, avagy mentor, és segít annak, akinek erre igénye van.  Ez egy igazi win-win szituáció, hisz a hallgató hozzájut, mégpedig várakozás nélkül (!) a számára szükséges egzotikus képzéshez, a tanfolyam biztosan elindul akár egy fővel is, az oktató tapasztalatátadása mind a videós résszel, mind a helyszíni jelenléttel, mind az intergalaktikus csettel garantált, a tantermi létszám pedig optimális.

Ez az elv. A gyakorlat hamarosan jön, és ha ügyesek vagyunk, remélhetőleg ugyanolyan elfogadott lesz, mint az IT Factory.

Bár a Google épp most jelentette be a JavaScript "utódját", sok bitnek kell lefolynia az ADSL-en addig, amíg a trónfosztás megtörténik. Ha egyáltalán megtörténik.

A tudomány mai állása szerint a JavaScript mindenre jó. Ezt az a Fabrice Bellard bizonyította be, aki egyrészt a kváziszabvány videókonvertáló motor, az FFMpeg atyja, másrészt az a fickó, aki 2700 milliárd számjegyig kiszámította a PI értékét egy laptoppal. Nos, amikor hősünk új kihívást keresett magának 2011-ben, figyelme a világ leglehetetlenebb, leglassabb, leginkompatibilisebb nyelve, a JavaScript felé fordult, és mindjár készített is egy virtualizációs hostot, ami – legalábbis szakmai bravúrként – méltó testvére a VMWare-HyperV-KVM családnak. Ez nem mese. Bárki kipróbálhatja a teljesen működőképes, böngészőben futó Linux virtuális gépet a következő címen: http://bellard.org/jslinux/

Bravúr ide, bravúr oda, a JavaScript az a nyelv, amelyet talán a világon a legtöbben utálnak a Visual Basic után. Lassú (mert soronként fordul, magyarul interpretált), trehány (mert a változók kaméleon típusúak, úgy ütöm felül az intet egy stringgel, hogy észre sem veszem), nagyképű (C-ajkú, objektumorientált), és nincs belőle két egyforma. És mégis: a Microsoft, a .net keretrendszer, a C# nyelv és a SilverLight birtokában a Windows 8 felületének elsődleges programozási nyelvévé a JavaScriptet tette. Informatikatanári körökben nemrég felmerült, hogy a programozás oktatását talán a JavaScripttel kellene kezdeni holmi komolyabb nyelvek (C++, C#) helyett.

Ennyi remek példa után joggal kérdezhetnénk: mindenki megbolondult?

A válasz az, hogy igen, de. A JavaSrcriptnek ugyanis van egy hallatlan előnye az összes többi programozható rendszerhez képest, legyenek azok bármennyire is kifinomultak, platformfüggetlenek, villámgyorsak és típushelyesek. A JavaScript mindenütt ott van, ahol böngésző van, mindenfajta telepítgetés nélkül. Böngésző pedig ma már mindenütt van, a telefontól az objektumorientált kenyérpirítóig. Nem , nem Java van ott, hanem JavaScript.

Sőt, ez az a nyelv, amire biztosan számíthatunk, hogy rendelkezésre áll, ha dinamikus weboldalt szeretnénk létrehozni. Az Apple gépen nincs Flash, a Microsoft gépein nincs JAVA, a Linuxon nincs friss SilverLight, az Amazon tabletjén pedig semmi nincs az előzőek közül.

Persze ha valaki szerveroldali webprogramozóként tengeti mindennapjait (php vagy asp.net), megpróbálhat mindent szerveroldalon elintézni, de úgysem fog sikerülni neki. Amikor pedig jön a feladat, hogy a weboldal újratöltődés nélkül hozzon fel új adatokat, már menthetetlenül a böngészőben vagyunk. Előbb-utóbb mindenki a JavaScript szürkének egyáltalán nem mondható világában kóvályog minden támpont nélkül. Pedig van támpont, sőt, segítség.

2009-ben egy csapat webfejlesztő fejébe vette, hogy megreformálja a böngészőoldali programozást, kiiktatva a legnagyobb problémát, a teljesen kaotikus, gyártóról gyártóra változó objektummodellt a rendszerből. Mivel a JavaScript mindenre jó, nem volt túl nehéz dolguk, amikor JavaScriptben lértehoztak egy új „nyelvet”, a JQueryt, amely elfedi előlünk a katyvaszt, és egységessé teszi az össes böngésző összes beépített és beépítetlen lehetőségének használatát. A háttérben persze vadul megy az IF-elgetés, hiszen valakinek le kell kezelni az olykor tréfás különbségeket, de a JQuery konzorcium pont ezt vállalta fel helyettünk.

Szlogenjünk (write less, do more) hűen kifejezi az elképzelés lényegét: mi csak a JQueryt hívogatjuk, ő minden elintéz a Safarival, IE-vel, Chrome-mal, Firefoxszal, Operával. Sőt, egy csomó dolgot pluszban is megvalósítottak, gondoljunk csak az animációkra. Egy beúszó menüt nulláról leprogramozni, a <div>-et pixelenként léptetni - emberhalál. Egy menünek azt mondani, hogy ússz be, lényegesen egyszerűbb. Ami nekünk maradt, az 1 dollár, vagyis egy dollárjelet leírva lépünk be a JQuery varázslatos világába, ahol például közvetlen lehetőségünk van a html-elemek CSS-stílusainak manipulálására, valahogy így:

$(„Akarmi”).addClass(„piros”);

A dollár mögött azonban egy egész világ áll. AJAX-hívások, CSS-szelektorok, manipulálható attribútumok, események, animációs függvényhívások stb. Ezeket sajnos hagyományos módon meg kell tanulni ahhoz, hogy a „write less, do more” valóban érvényesüljön. Ehhez jön kapóra az IT Factory legújabb, online is végezhető tanfolyama, a JQuery és AJAX, mely október 22-től, szombati napokon kerül megrendezésre. A tanfolyam különlegessége, hogy az előadásokról videófelvétel készül, melyet a hallgatók megkapnak, így bármikor vissza tudnak térni egy-egy rész átismétléséhez. További infó a tanfolyamról itt: http://itfactory.hu/Info/JQuery

Végül egy kis érdekesség. Külön figyelmet érdemel a JQuery egyik leágazása, a JQuery UI névre hallgató gyűjtemény, amivel egy hívásra egyszerűsödik egy párbeszédpanel, egy csúszka vagy egy naptár megjelenítése. Hogyan akasszunk előugró naptárat egy dátumbeviteli mezőre? Így:

$(„#Datummezo”).datepicker();

A http://jqueryui.com oldalon bárki eljátszadozhat a csúszkákkal, panelekkel, sőt, saját dizájnt is varázsolhat magának, amit szabadon felhasználhat a projektjeiben.

Roppant érdekes időket élünk! Miközben Apple üti-vágja a Samsungot (valójában a Google Androidot), a Microsoft szokás szerint lemaradásból próbál meg győzni az Apple és a Google ellen a Windows Mobile 7-tel, a Google pedig mind az Apple, mind pedig a Microsoft bevételforrásának lenullázásán ügyködik az oprendszer ingyenessé tételével, e három gigászt oldalról kicselezi egy könyvvigéc.

Az Amazonra miért nem figyelt oda senki? Nekünk, laikusoknak nem feladatunk, hogy a piaci helyzetet átlássuk, de az hogy lehet, hogy ennyi sok okostojás sem vette észre, hogy mire készülődik Jeff Bezos? Hogy lehet, hogy az Amazon, aki felépítette a klódját, és saját operációs rendszerrel rukkolt elő a Kindle olvasógéppel, nem tűnt fel a trió egyik tagának sem, amint épp elveszi előlük az éltető piacot? Miért nem vette észre senki, hogy az Amazon megrendelt ötmillió (!) darab 7 inches taccsos kijelzőt? Egy antikvárius?! Döbbenet.

Márpedig ez történt, történik. Valahogy az Amazont mindeki leírta, mert hát szegényke könyvolvasót gyárt, tudjátok, olyanokat, mint a Barnes & Noble meg a kínaiak, e-papírral, amiből nincsen taccsos kivitel, úgymarad, ahogy vót, majd mindenki szépen iPad-on olvas könyvet a XXIII. században. Erre kijön az Amazon egy 200 dolláros, taccsos, könyvolvasós, megúgyegyébkéntmindenreképes tablettel. És ami nem sikerült semelyik táblakoppintónak a Samsungtól a HP-ig, a könyvmolynak sikerül: úgy odavág az Apple-nek, hogy az csak úgy nyekken. Hogy miért? A döbbenetes tartalomszolgáltatás miatt. Az Amazon egy iTunes, csak több.

Mire jut a trióból az egyetlen, akinek csak szoftvere van, a Microsoft? Well, a Windows 8 várható megjelenési ideje 2012 szeptembere. Nulla tartalomkínálattal, mert olyanja a Microsoftnak egyáltalán nincsen. (Na jó, van a Zune MP3 bolt.) Ez lesz a Microsoft első valóban tabletes operációs rendszere, kiváló. Na de mikorra is várható? Kettőezer tizenkettő szeptembere. Ja. Hát, akinek addigra nem lesz 200 dolláros Amazonos tabletje, irtózatosan erős tartalomkínálati háttérrel - az nem én leszek! Éljen a Kindle Fire!

Bár... a Microsoft mindig is erős volt abban, hogy későn ébredve, utolsóból első legyen. Excel a Lotus123 ellen. IE a Netcápa ellen. Windows NT a Novell ellen. IIS az Apache ellen. .net a Java ellen. XBox a PS2 ellen. Mondjuk az is igaz, hogy soha még a történelemben nem kellett egyszerre vagy öt vesztes csatát megnyernie, úgymint: Bing, Windows Phone, Hyper-V (a VMWare ellen), Windows Azure (önmaga és sokak ellen), Office 365 (önmaga és a Google Apps ellen). Ez tengersok pénz!

Az is igaz, hogy a Windows-hegemónia elleni támadásokat is mindig visszaverte, és ez is "csak" egy ilyen kihívás, volt már ilyen nyóc. Ki emlékszik ma már a DrDosra? Az OS2-re? Az Oracle-féle thin kliensgépekre? A Linux-hívők ugyan sosem látják be, de a Linuxot is visszaverte, erre legjobb bizonyíték, hogy a cégen belül megszüntették a Linux elleni hadműveletet. Az már rossz jel. Amikor ugyanis megszüntették a Novell elleni harcot, mindenki úgy gondolta, korai lesz az még. De nem.

És mégis: ezt a csatát olyan harcmezőn játsszák, ahol a Microsoftnak ezer próbálkozása, de csak egy sikere van: a konzumerpiacon (a siker az XBox). Az operációs rendszer megszűnt vállalati termék lenni, ez ellen nincs mit tenni. Vagy van mit?

Rendszerhiba az IT-biztonságban

A hekkerek 2011-ben elloptak mindent, ami nem volt lebetonozva. Vitték az RSA SecurID-tokenek kritikus kódját, a SONY ügyféladatbázisát, a PHP forráskódját, a McAfee reputációját, az Xbox market kuponalgoritmusát és még sorolhatnánk. Pedig már kezdtük azt hinni, a biztonsági rések lassan befoltozásra kerülnek mindenhol – de nem. A kérdés az, hogy miért nem, és meddig nem?

Milyen jövő elé néz a hekkerszakma? És meddig lesz ez így?

A szoftvertényező

Laikus szoftverfejlesztőként gyakran szembesülök azzal a problémával, hogy akárhogy is próbálom végiggondolni és letesztelni a kezem alól kikerülő szoftverek felhasználási eseteit, ez gyakorlatilag sohasem sikerül. Bevallom, az általam kibocsátott kód garantáltan bugos. Ha úgy gondolja a kedves olvasó, hogy ez csupán az én képességeimet minősíti, és egyébként irreleváns információ, téved. Manapság már senki nem tud hibátlan szoftvert fejleszteni, egész egyszerűen azért, mert senki nem látja át a szoftvereket a maga teljességében. Nincs olyan ember, nincs olyan team, és nincs olyan gépezet sem, ami kívülről és felülről a maga teljességében meg tudná vizsgálni mondjuk egy böngészőprogram kódját, értve, értelmezve annak minden ágát és bogát, kiszűrve ezzel az összes hibalehetőséget. Merthogy nincs erre módszer.

A módszeres hibátlanság helyett módszeres próbálgatással próbálunk úrrá lenni a káoszon, ezt hívjuk tesztelésnek: alfa teszt, béta teszt, penetration testing és fuzzing és egyebek. Nincs mégegy olyan iparág, ahol trial-and-fail „módszertan” szerint alakítanák ki a termékek végső formáját. Az autóipari törésteszt hasonló eljárásnak tűnik, de ott a teszt nem arra való, hogy kiderítsék, a termék működőképes-e egyáltalán. A szoftveriparban azonban a teszt a minden. Ami nincs letesztelve, az sokszor nem is működik. Egyfelől ez egy jó dolog, mert rendkívül sok embernek ad munkát, másfelől a módszertalanság miatt eleve biztos, hogy minden szoftver bugos marad.

Most tételezzük fel, hogy egy végletekig becsületes gyártó 100%-os hibamentességig teszteli egyik alkalmazása következő verzióját. Sajnos azonban ezzel a pepecseléssel lemaradt az éppen zajló, immár sokadik paradigmaváltásról, a konkurencia gyorsabban dobja piacra a maga újdonságát, így a 100%-osan hibamentes alkalmazás gyártója csődbemegy.

Van egy bizonyos határ, ameddig a selejtmentesítésben gazdaságosan el lehet jutni. Minden további lépés egyre növekvő anyagi- és időráfordítást igényel. A függvény exponenciális, tehát hibátlan szoftver nem létezik.

Itt két dolgot érdemes megfigyelni. Egy: versengő piaci szereplők esetén senkinek sincs lehetősége tökéletesre csiszolt, agyontesztelt alkalmazást készíteni. Kettő: a piaci környezet lehetetlenné teszi, hogy egy gyártó abbahagyja a folyamatos kódolást és fejlesztést, tehát a bugok gyártása folyamatos.

Ha ezt így elfogadjuk, igazán könnyedén válaszolhatunk a bevezetőben feltett kérdésre: milyen jövő elé néz a hekkerszakma? Szép jövő elé. És meddig lesz ez így? Amíg a világ világ.

Most nézzük meg az érem másik oldalát.

Az emberi tényező

Persze nem csak  buffer overflowra épülő exploit segítségével lehet adatokat lopni, van ennél egyszerűbb módszer is: a kényes információt egész egyszerűen el kell kérni annak jogos tulajdonosától. Megy ez, mint a WikiLeaks! Vagy oda kell neki küldeni emailben egy csábos vírust. Lefuttatja? Nem kétséges!

Az átejtéses csalások, hivatalos nevükön Social Engineering támadások a hekkelés egy másik vetületét tárják elénk: ez az az eset, amikor nem a számítógép, hanem a homo sapiens szoftverét hekkelik meg. E támadástípusnál az az érdekes, hogy az emberek 100%-a, még a becstelen zsiványok is becsületesnek tartják önmagukat, nem beszélve Mari Néniről, aki annyira becsületes, hogy ha talál egy teli pénztárcát egy sötét sikátorban, akkor sem vesz ki belőle egy árva garast sem, ha éppen az éhenhalás szélén áll. És mégis, gigabájtszámra juttat titkos adatokat illetéktelen kezekbe. Mi történik itt?

Nem meglepő módon ez is egy rendszerhiba. Vegyük azokat az eseteket, amikor az „adatgazda” szánt szándékkal lopja el az adatokat, mert ha öntudatlanul teszi, az egy teljesen másik kérdéskör. A jelenség magyarázata egyszerű: a becsületesség egy adott kontextuson belül érvényes. A zöldségesnél nem dugunk a zsebünkbe egy marék meggyet, míg az utcán járva ismeretlenek megyyfájáról – hmmm- hmmm – mégiscsak-jaj- hát igen. És ráadásul lelkiismeretfurdalás nélkül!

A Social Engineering lényege, hogy olyan a támadó olyan kontextusba helyezi az áldozatot, amelyben az adott cselekedet elfogadottá, böcsületessé válik. Ez az egyik leggyakoribb alapminta. (Vannak más esetek, például  zsarolás stb., amelyekkel most nem foglalkozunk.) Náhány példa: hogyan vegyünk rá egy minden létező kiképzésen átesett, kőkemény, hazájához és az elveihez hű tengerészgyalogost, hogy tagadja meg a parancsot? Hitessük el vele, hogy a felettese áruló. Szegény pára ezt követően olyan szépen tagadja meg a parancsot, hogy „öröm” nézni.

Hogyan vegyük rá Mari Nénit, hogy adja ki a támadó által igényelt hipertitkos adatot? Változtassuk meg a környezeti feltételeket oly módon, hogy ő ezt önként és dalolva, segítségnyújtásképpen adja oda. Ennek tipikus példája, amikor az informatikus „bajban van” akár ki is rúghatják, a Mari Néni jelszava azonban kimentheti őt a slamasztikából.

Se szeri se száma a különböző átejtéseknek, és az ebben a szomorú, hogy ezek valamelyike működni fog a kiszemelt áldozat ellen. A szoftverekhez hasonlóan a felhasználókon is végezhetünk minőségi javításokat, ezt oktatásnak nevezzük. A zéró selejt azonban ezen a területen sem érhető el.

Tehát milyen jövő elé néz a hekkerszakma? Szép jövő elé. És meddig lesz ez így? Amíg a világ világ.

Elindultunk a világba az angol nyelvű ethical hacking képzéssel. Ez itt egy egyszerű wifi alaphekk, de jön a folytatás. Domi szpíkel.

Nevet le nem írva, beszámolnék egy magyar felhővállalkozással szerzett tapasztalattal. Mivel ilyenből már jó sokkal kapcsolatban vagyunk a "lebukás" esélye kicsi, meg egyébként is, általános jelenségről beszélhetünk.

Az igénybevett szolgáltatás pöpecül működik, minden klaffol, ahogy mondani szokták, használjuk ezerrel - mígnem egyszercsak behal. Miaf', megyek a weblapjára, hát ki van írva bejelentkezés után, hogy Ön ennyivel és ennyivel tartozik, de legalább már jó rég. Hámondom, ez szép. És nem kellett volna kiértesíteni, hogy tartozásunk gyűlt fel? Izibe írtam a supportnak, hogy ez így ebben a formában nem vevőbarát. Mire a válasz: az a funkció, hogy kiértesítsenek, még nincs kész.

Visszakérdeztem, hogy mikor lesz ilyen, azt írták, másnap. És lett is. Visszakérdezek, hogy ez itt egy éles bétateszt akkor netalán? Mire azt a választ kaptam "felsőbb körökből", hogy igen. Becsülöm az őszinteségüket. Na és ezzel el is jutottunk az általános jelenséghez. A magyar, de megkockáztatom, az összeurópai szoftverfejlesztő cégek jelentős része élesben bétáztat. Nincs alfa, béta, gamma változat, nincs tesztelés, nincs visszacsatolás, hanem csak úgy durr, kész az új funkció. Bevallom, mi is ezt tesszük, előfordult olyan eset, hogy a délután fél 5-kor induló online tanfolyamra 15:50-kor buildeltük a kódot. Ment ki élesben, naná!

Ámerikában ez nem fordulhatna elő. Ott szisztem van. Ott egy szoftverfejlesztő vállalkozás eleve 50 fős, melyben biztosan van legalább 3-4 tesztelő (ha nem több), meg tesztlabor, meg quality meg izé. De ki tud ilyesmit megfizetni itthon? Ha bevallom, hogy a mi rendszereinket ketten csináljuk, padlót fogtok? Pedig igen. De semmi esély rá (sőt, megmondom, nem is hiányzik ennek a menedzselése), hogy egy "normális" fejlesztőcsapat dolgozzon a NetAcademia projektjein. Így hát kis magyar leleménnyel oldjuk meg a dolgokat, és hozunk el olyan nemzetközi díjakat, amiért "máshol" ötszáz fős csapat dolgozik.

Ja, merthogy megírtuk ketten a Live Meetinget. De erről már írtam korábban.

Lassan egy éve, hogy megkaptuk a Windows Azure Platform Partner of the Year címet Washingtonban az online oktatási keretrendszer-kezdeményezésünkért. Gondoltam, leírom, meddig jutottunk az elmúlt egy évben – és milyen áron.

A dream

Az álom úgy fogalmazódott meg, hogy tartottunk mi már online oktatást mindenféle eszközzel: Live Meetinggel, WiZiQ-val, ingyombingyommal, de ezek egyike sem oktatásra lett kitalálva (vagy legalábbis gyakorló oktatót nem engedtek a fejlesztők közelébe), mert mindegyikből hiányoznak olyan alapvető funkciók, mint:

• Közös vágólap a hallgatókkal. A tanár kikopizza (CTRL+C), a diák bepasztázza (CTRL+V). Ez nálunk olyannyira alapvető, hogy én nem is értem, a világ más tájain ez ez igény hogyhogy még csak fel sem merült?
• Instant fájlmegosztás ízi módon. Nem úgy, hogy én föleftépézem, te le, vagy szerencsétlenkedsz valami dánlód menedzserben, és letöltöd, hanem én rábökök az én oldalamon, nálad felbukkan a te oldaladon
• Lényegkövető képernyőátvitel. Ha eltér a tanár és a diák képernyőfelbontása, óhatatlanul felmerül az a kérdés, hogy most akkor mi legyen. Kilógjon? Vagy kicsinyítsük le? Nos, mindkét megoldás értelmetlen, mert ha pont az a része lóg ki a képernyőképnek a hallgatónál, ahol a „cselekmény” történik, lemarad róla. Esetleg kézzel odagörget, ha egyáltalán észreveszi, hogy a képernyő szélén túl zajlik épp az élet. A kicsinyítés is marhaság: egyből olvashatatlanná válik a kép. Miért nincs intelligens görgetés egyik termékben sem? Hisz még ha 5000 x 3400-ban adom is az adás, a képernyőnek csak egy elenyésző kis részén van változás: ott, ahol dolgozom. A többit le lehet(ne)cropponi.
• Tanfolyamkövetés tetszőleges eszközön (pl. a hűtőgép ajtaján, vagy a porszívó LCD-kijelzőjén). Ha épp a vonaton ülsz, amikor a tanfolyam van, kapcsolódj be 3G-n a telefonoddal! A lényegkövető képernyőátvitel szépen begörgeti a pici képernyőre 100%-os méretben, amit látni kell. Kicsinyítés nélkül.
• Intergalaktikus cset: ha egy kérdésre nincs azonnal válasz, válaszolódjon meg akár az óra után
• Kereskető videó. Felveszünk egy egész hetes tanfolyamot. Abból – meglepő módon – 40 órányi videó keletkezik. Kinek van arra ideje, hogy ebben bogarásszon? Miért nem lehet rákeresni a tartalomra? Hiszen minden adat rendelkezésre áll, minden begépelt karakter megvan.

Nagyjából ezek a funkciók hiányoznak minden kereskedelmi és ingyenes termékből. Van viszont bennük általában rajzolómű (kérdem én: minek? kivetítem a képernyőképet, azon a Paint.EXE-t és rajzolok), feliratozási lehetőség (kérdem én: minek? elindítok egy VI editort…), meg natív PPT-vetítési lehetőség, amit mi alapból nem használunk. De ha használnánk, akkor is kérdem én, minek, hisz a PowerPoint szépen vetít magában is, én meg a képernyőképet továbbítom, ugye.

Na ezen álmok közül tavaly nyárra formát öltött a közös klipbord, a kereshető videó és az instant fáljmegosztás, mindez Windows Azure-on, úgyhogy elhoztuk a pálmát. Az IT Factory hallgatói találkoztak is ezekkel szolgáltatásokkal a TrainerTool-StudentTool párosnál. De nem jutottunk semmire az egyik legnagyobb dobással, a lényegkövető képernyőátvitellel, pedig ez lenne a kulcsa a tanfolyam mobilizálásának telefonra, iPad-ra.

Ki vetít és mivel?

A lényegkövető képátvitel megvalósítását több tényező együttesen akadályozza. Elsőként talán az, hogy míg van a világnak egy olyanja, hogy YouTube, amivel konzerv videókat lehet továbbítani, nemigen van ugyanez élő adásra. Illetve van, de mindig-mindig TV-re „optimalizálva”, TV-t utánozva. Ja, és mindig Flash, amihez - .net fejlesztőként – egyáltalán nem értünk, és már nem is akarunk érteni arra a rövid időre, ami még a Flash-videók életéből hátravan. Viva HTML5!

A másik, hogy nincs kicsi, értelmes cucc arra, hogy saját programból kéernyőképet vegyünk fel és még streameljünk is. Nincs ilyen DLL, nincs ilyen API. A Camtasianak nincs API-ja, a Microsoft Expression Encodernek ugyan van, de a licencelése annyira kiborítóan vacak, hogy gyakorlatilag nem lehet vele dolgozni. A DirectX-et meg hívogassa a hóhér.

A harmadik, hogy nincs a világon olyan technológia, amivel két videósztrímet (képernyőkép és kamera) össze lehetne szinkronizálni. Nincs. Az egyetlen ismert szinkronizált adatfolyam a Smooth Streaming a Microsofttól, de az nem tud olyat, hogy teljesen különböző képfolyamokat tartson szinkronban, csakis egy műsor különböző bitrátás streamjeit kezeli. Ezen a területen mindenki gányol, legyen az a Microsoft a Live Meetinggel, vagy a Citrix vagy a Cisco, vagy a WiZQ és/vagy bármi.

Ezekkel a videós küzdelmekkel lassan eltelt egy egész év anélkül, hogy egy millimétert is haladtunk volna előre.

Mindeközben folyamatosan nyomtuk az oktatásokat a WiZiQ segítsgével, mígnem tavaly ősszel egy drámai „fejleszést” hajtottak végre, amitől számunkra meghalt a cucc: ha képernyőt vetítesz, többé nem látszik az oktató, és nincs cset sem. Természetesen ezeket az istenverte „fejlesztéseket” egyik napról a másikra vezették be, minden értesítés nélkül, így volt fejetlen kapkodás, hogy most aztán mit csináljunk.

Megváltásként érkezett tavaly ősszel a magyar fejlesztésű join.me, amivel a képernyőmegosztási problémánkat hirtelen meg tudtuk oldani, viszont odalett a kép és a hang, mert a join.me ezeket nem tudja. Mellesleg Flash a szentem. És hopp, még egy magyar cég a láthatáron, a Ustream.com, velük lehet kameraképet és hangot közvetíteni. Szintén Flash. És még ott a TrainerTool, ami a csodaklipbordot adja a képlethez. SilverLight. Januárra elkészült egy működőképes mashup ebből a három komponensből, amivel mostanában az oktatásokat tartjuk.
Kicsit zavaró, hogy a join.me-nek is van egy csetje, meg nekünk is, és a társaság fele ide gépel, a másik oda, meg az sem elegáns, hogy a képernyőkép és a kamera között semmiféle szinkronizációra nincs lehetőség, így egy nap alatt simán összejön 12-20 másodpercnyi elcsúszás, ami már öléggé problémás. De legalább a fenti dreamlistából jó párat teljesít a hákolmány.

Csapjunk bele a lecsóba!

Mivel egy év várakozás után a világ még mindig nem tart ott, ahol nekünk hasznos lenne, egy hirtelen döntéssel elhatároztuk, hogy hát akkor most már mégiscsak megyünk tovább. A két stream szinkronozálására egy nagyon fapados ötlet ad lehetőséget: egyszerűen a képernyőkép mellé PIPeljük (Picture in Picture) a kameraképet ugyanabban a streamben bele a fekete semmibe. Tehát nem PIP, hanem POP (Picture Outside of Picture area). A közös streamből kliensoldalon kivágjuk a képernyőképet és a fejet, és úgy teszünk, mintha két különböző képforrás lenne, pedig dehogy. Ha valaki nem a mi lejáccónkkal nézi az adást, „a képernyő bal szélén vastag fekete csík látható”.

Ezzel megvolnánk. Most jön a nemzetközi streamelési infrastruktúra, nem Flash-alapon. Na az nincs. Vagy rosszul használom a Googlet, vagy nincs. Én ez utóbbira gyanaxom.

Persze, tudom, itt van a MyShowRoom.TV, de ők teljesen Hungary-központúak, néhány csáppal Csehországba meg talán Romániába. Kívánom nekik, hogy hódítsák meg a világot, mert akkor megyünk utánuk szélárnyékban. De addig? Addig az ember felhúz Amerikában egy virtuális gépet mondjuk az Amazonnál, feltesz rá egy médiaszervert, és kész. Ez most hasból írtam, nem tartunk itt, de ott sem, hogy egyáltalán tudnám, egy ilyen Amazonos médiaszerver vajon rentábilisan üzemeltethető-e, vagy félszemű rabló.

Ahol tartunk, az egy saját médiaszerver, ami egyidejűleg ezer hazai nézőt tud kiszolgálni – meg néhány külföldit, amíg a nemzetközi sávszélesség el nem dugul. Tesztüzemmódban. Hamarosan ismét technológiát váltunk, megy a levesbe a flash-mash, és jön a saját fejlesztésű kliens. Meg új bugok is persze. A komplexitás nem adja fel könnyen, mindig beleugat.

Nehéz dolog meghódítani a világot!

Érdekes márciusunk volt. Csak úgy dőltek megfele a biztosnak hitt intézmények. Mármint hekkerszempontból. Elsőnek itt az RSA. Ellopták tőlük a SecurID "forráskódját" - már ha beszélhetünk ilyesmiről egy hardver esetén. Aztán a PHP. Egy kis kínai úgy meghekkelte a PHP.net szájtot, hogy saját verziót tudott feltoni a PHP-ből. Új "alfaj" alakult ki . Ha ez még nem lett volna elég, bedőlt a McAfee, az a cég, aki nemrégiben még plecsniket osztogatott más weblapoknak, hogy "nesze, te széf vagy". Ő mga meg nem az . És mi a helyzet a sárkánygyíkokkal? Comodo. Az bizony. A tanúsítványkiadó. Iráni hekkerek ellopták vagy 3 root CA magánkulcsát, és hamis, de mésgi valódi tanúsítványt generáltak többek között a login.live.com, mail.google.com és login.skype.com nevére. Egy másik kispajtás meg olyan XSS-hibát talált az Android Market kódjában, amellyel a világ összes Android-telefonja flett átvehette volna az uralmat. Az már csak hab a tortán, hogy az XBox Live is bedőlt, valakik ugyanis képesek voltak ingyen kreditet előállítani játékostársaik nagy örömére.ű

Nem semmi egy hónap alatt.

Magyar Hírlap...

És akkor itt a NASA. Egy biztonsági felmérés feltárta, hogy lyukas a hálózatuk, mint a szita. Ez a címe a szakértői tanulmánynak:

INADEQUATE SECURITY PRACTICES EXPOSE KEY NASA NETWORK TO CYBER ATTACK

Hö?

Meni tenksz tu Buherátor, akitől egy csomó linket csak úgy elloptam.

Update

Elfogták a legveszélyesebb örmény hekkert!

Update2

Buherátor a szememre vetette az alábbi tényeket:

- Csak a betörők tudják mit vittek el az RSA-tól, a SecureID seedeket egyáltalán nem biztos hogy érintették (bár a gyanú egyre nő az idővel, amíg a cég kussol)
- A Comodonál nem fértek hozzá privát kulcsokhoz, csak egy API-t láttak, amivel tetszőleges tanúsítványt tudtak generálni a Comodo (egyik resellerének) aláírásával.

Van itt ez a setnye ország, ahol a széleskörű, átfogó butaság automatikusan állami elismeréssel, sőt pozícióval jár. Az ország, amely krumpli- és kokárdatermelésből és a belső fogyasztás felpörgetéséből akar venni agydiagnosztikai készülélket, harci repülőgépeket, no meg minden állampógárnak Androidos telefont, mert ami jár, az jár.Nemrégiben megtudtam, egy tolna megyei általános iskola negyven digitális táblát nyert eus pályázaton, noha csak négy tantermük van. Illetve most már csak három, mert az egyikben a digitális táblák tömkelegét tárolják bontatlanul, befóliázva.

De úgy tűnik, ez csak a csacsogó felszín, a mélyben más folyamatok zajlanak. Nevezetesen aki teheti, kibújik a mindent átszövő hülyeség hatalma alól. Ennek biztos jele, hogy már megint abba futottam bele, hogy egy Naaaaagy ÁÁÁÁmerikai webes szolgáltató - magyar. Ők (is) azok, akik itthon vannak, itt élnek, itt dolgoznak, de az erőteljes agymunkával előállt terméküket még csak meg sem kísérlik a hülyéknek eladni, mert kár vele fáradozni. Egyből irány az amerikai IT-piac, mert az egy létező piac, létező igényekkel.

Tegnap találkoztam ismét egy ilyen céggel. A TEDx-en voltam az Uránia moziban (erről is érdemes lenne írni, meglátjuk, belém fér-e), és ott beszélgetésbe elegyedtem régi ismerősömmel, aki az informatikai háttér megvalósításán dolgozott. Azt mondja, UStreammel közvetítenek. No, ez még idáig nem csoda, mert mi is ezzel a cuccal csináljuk mostanában az online oktatások kameraképének közvetítését. (Meg Charlie Sheen is ezen keresztül közvetítette negyvenmillió nézőnek, hogy ő egy mekkora barom. Az egy főre eső hülyék száma ott is magas, de a nagy számok törvénye értelmében vannak értelmes emberek is sokan.) De azt is mondja a srác, hogy nekik ingyen leszedték a reklámokat, nem kellett fizetni. No, mondom, ez érdekes, utoljára Barack Obamának ugráltak így.

De még hozzáteszi, hogy küldtek neki videodigitalizáló kártyát is. Ekkor eszembe jutott a népmese, ahol a király annak adja a lyányát és fele királyságát, aki olyat tud mondani, amit őfelsége nem hisz el. Mert hogy levették neki a reklámot, hát nehezen, de "Elhiszem, fiam!". De hogy neki, a kis magyar ismeretlennek kölcsönadtak digitalizálókártyát egyenesen a szilíciumvölgyből, nos, azt már nem hiszem el. Mire azt mondja az ismerősöm: "Miért ne? Nincs olyan messze a Graphisoft park!"

Öööö. Jé.

Magyar.

Mondjuk ezt a webisztán már tavaly megírta, de nekem új volt.

No és itt jutunk el egy jelenség felfedezéséhez. Hány ilyen rejtőzködő cég lehet vajon? Én kapásból kettőt tudok még, a LogMeInt és a Doclert. Gyorsan elnézést is kérek, hogy a kettőt egy sorba írtam, abszolúte más piacon dolgoznak, a LogMeIn a távfelügyelet, míg a Docler a pornó témakörében alkotott nagyot. A LogMeIn talán már nem annyira rejtőzködő, tekintve hogy szép lassan minden programozóismerősöm ott dolgozik, a Docler azonban talán még nem annyira ismert, pedig állítólag az ő forgalmuk adja Magyarország internetes forgalmának 75%-át. Impozáns, vadonatúj, uszodás, focipályás irodaházuk az Albertirsai úton található. Milyen kár, hogy rájuk kissé nehezebb büszkének lenni...

Jöhetnek a kommentek az általatok ismert rejtőzködő, azaz külföldön jelentős, itthon ismeretlen magyar cégekről. Ide ni, Charlie Sheen alá: