1. Főoldal
  2. Cikkek
  3. Blog
  4. Egyszerű pénzkeresés - De ki is nyer a végén?

Egyszerű pénzkeresés - De ki is nyer a végén?

Blog

Facebook-on már szinte megszokott, hogy olyan dolgok terjednek el pillanatok alatt, aminek semmilyen valóságalapja nincsen, viszont abból, hogy valaki szétosztja a pénzét, vagy egy szenzációs (nem is létező terméket) kisorsoló posztot sokan megosztottak, azon nem lehet pénzt veszíteni. Sajnos a legutóbbi őrület kicsit másmilyen: az utóbbi időben egy Kairos néven futó pénzszerzési játékban tényleges pénzekről van szó, és úgy tűnik, sikeres a pénzszerzési mód, mivel a Kairos hirdetései egyre gyakrabban jelennek meg a Facebook-on. Hogy mi is ez a cég? Elméletileg napi 10 órára bérbe adod a géped tárhelyének egy kis darabját, akkor fizetnek neked. Viszont neked kell először fizetned, nem is kis összeget. A cégről a kiszamolo.hu írt egy hosszabb, szinte mindenre kiterjedő cikket, illetve még érdemes lehet megtekinteni ezt a rövid blog-posztot. Mi most technológia megvalósítási lehetőségeknek szeretnénk utánajárni. Mivel a cég nehezen utolérhető, ellenben 1-1 negatív cikk alatt ők egyből ott vannak, így kénytelenek voltunk az általuk itt elszórt információkra támaszkodni. Kezdődjön is a tárhely-hasznosítás csodája! 

1. információ: Azért akarják sok darabban, földrajzilag is sok helyen tárolni az adatokat, hogy azok így maximális biztonságban legyenek. 

Nos, ez egy jó érvnek tűnik, de felmerülhet a kérdés: a világ számos pontján nem lehet akár 1000 szervert bérelni? Dehogynem. És hogyan is zajlik így az fájlok olvasása? Mivel minden fájl külön-külön sok kis darabban található, valahol tárolni kell, melyik fájldarab hol érhető el. Ez esetben ha ehhez a szerverhez valaki hozzáfér, akkor a darabolgatós technika semmit sem ért. A másik lehetősé, hogy nincs ilyen szerver, minden darabot ellenőrizni kell, hogy melyik fájlhoz tartozik: Ez esetben a fájl-olvasás nagyon lassú, körülményes és óriási rendszerigényű lenne. És mivel a Kairos átlag emberek átlagos gépét használja, így nem áll rendelkezésére ilyen kapacitás. Sőt, tulajdonképpen már 100 gép és 100 1 Gb-s fájl esetén is szinte lehetetlen lenne 1-1 fájlt helyreállítani az apró darabokból, feltételezve, hogy a kis darabok maximum pár Kb-s fájldarabokat jelentenek. 

2. információ: Ezeken kívül a 256bites kódolás ad maximális biztonságot. 

Nos, 256 bites titkosítást már nem túl sok helyen használnak, még a zsarolóvírusok többsége is 512 vagy 1024 bites titkosítást használ. De nézzünk inkább egy 2010-es cikket

3. információ: Ha egy fájl darabja megsérülne, akkor fájl tükrözés segítésével állítják helyre a fájlt. 

Ha a fájl tükrözés, mint helyreállítási módon túltettük magunkat, gondoljuk végi, mire is gondolhattak itt: Vegyünk például egy sima egyszerű szöveges fájlt. Ha a szövegből hiányzik akár csak pár byte (esetünkben karakter), akkor honnan találják ki, hogy mi volt ott? Elgondolkodtató, hogy ilyen rendszerre ki bízná a fájljait... 

Sajnos több információmorzsát nem találtam, ahol a technikai működésről lenne szó. Viszont ha belegondolunk abba, hogy ilyen ellentmondásokba ütközött a Kairos, belegondolhatunk abba is, mit tud(na) csinálni egy ilyen cég által kiadott program a gépünkkel: Amellett hogy még fizetnek is neki, egy olyan hálózatot készíthet a cég, aminek 1-1 tagja napi 10 órában szinte biztosan elérhető: Tökéletes DDoS támadások véghezviteléhez, spam küldöztetéshez, és közben akár még a felhasználó adatait is ellophatják. 

Természetesen cikkünkben található információk forrása nem egyértelműen beazonosítható, így előfordulhatnak, hogy egyes állítások nem a Kairos-tól származnak, illetve előfordulhat, hogy valamilyen eshetőségre nem gondoltunk - mint ahogy az is lehet, hogy egyszer talán majd tényleg szétosztja az egyik híresség a vagyonát a Facebook-on megosztók között. 

vmarci21 profilképe
Veszter Márton @vmarci21 +540 Weblap fejlesztő, az IntoMedia tagja. PHP, JavaScript és MySql témák mellett érdekli a Windows, Linux disztribúciók, Android fejlődése, az IT biztonság, és az újdonságokat felmutató IT termékek.
5 hozzászólás
Hozzászóláshoz jelentkezz be vagy Regisztrálj!
Sziasztok, engem is megtalált egy Kairos ügynök, akinek többek között ezt válaszoltam:


"Egy kis matek:

Az ukrán IT gurutok állítása szerint a rendszer alapvetése, hogy az adatokat kis szeletekben szétkenve rengeteg privát szerveren, kb. 100-szoros redundanciával tárolja. Nem megyek bele a részletekbe, hogy miért kell a 100-szoros redundancia, de ez amúgy technológiailag egy logikus, érvelhető, működőképes modell, akár még kis sávszélességek mellett is. A hangsúly itt a 100-szoros szorzón van. Ez azt jelenti, hogy a szerverek összkapacitásának 100-ad részét értékesítheti a cég a "meg-nem-nevezett" ügyfelei számára.

Tegyük fel, hogy 160000 beszervezett emberetek van, ahogy mondtad, vagyis 160000 szerver működik. Az egyszerűség kedvéért tegyük fel, hogy mindenki a legnagyobb csomagot vette, vagyis 320 GB-ot szolgáltat (kisebb csomagok esetén is ugyanez a matek). Ebben az esetben 160000 * 320 / 100 GB, azaz 512000 GB a "meg-nem-nevezett" ügyfelek felé értékesíthető tárhely. Vagyis kb. 500 TB (TeraByte). Mellesleg ez egy nevetségesen pici tárhely, ha a nagy world-wide szolgáltatókat veszem alapul, de ez a mostani matekunk szempontjából nem lényeges. Továbbszámolva s dolgot, a 160000 embernek jutalékképpen évente összesen 160000 * 6942, azaz kb. 1110 millió dollárt (több mint 1 milliárd!) kell kifizetnie a cégnek. Ha feltesszük, hogy ezt a piaci értékesítésekből finanszírozza a cég (ez az állítás), akkor ehhez legalább ennyi - és akkor semmilyen más költséggel nem számoltam - árbevételt kellene produkálnia a 512000 GB tárhely értékesítésével, azaz 2169 Dollár (kb 600 ezer forint!) / 1 GB (egy gigabyte!) / év áron kellene értékesíteni a tárhelyet. Ez több ezerszerese a mai piaci árnak. Nincs az a szuper titkosított tárhely vagy email fiók, amiért ennyit fizetne bárki is, nem is beszélve arról, hogy a titkosítást más módon is meg lehet oldani, ennek az árnak a töredékéért.

A számok makacs dolgok. Kérlek írd meg nekem, hogy hol hibás a matek! Vagy ne írd meg, csak gondold át a dolgot, hogy meddig asszisztálsz még nyugodt lelkiismerettel mások pénzének lenyúlásában."



Ennyi a matek.
Hátha ez segít valakinek elkerülni egy fatális befektetést.
2016.06.22 16:04
Kedves vmarci, kedves olvasók!


Pár technikai aspektusú nüansszal szeretném kiegészíteni a cikket:

"de felmerülhet a kérdés: a világ számos pontján nem lehet akár 1000 szervert bérelni? Dehogynem."
És van ilyennel foglalkozó cég: a nevük Certainsafe (https://certainsafe.com/). Ők az ügyfél által tárolni kívánt adatot szétdarabolják, titkosítják (a darabok neveit is), és a földrajzilag elkülönülő szervereiken tárolják. Így ha az egyik szervert megtámadják - a híres Eötvös Gábor (zenebohóc) szavaival élve - "van másik!", illetve a támadó fél nem tud mit kezdeni a titkosított, egymással összefüggésben nem álló, anonimizált állománydarabkákkal - az összes többi szervert is fel kell törni, megszerezni az egymással összefüggésben álló állománydarabokat; illetve meg kell szerezni a titkosításhoz szükséges kulcso(ka)t is. Szóval sok pluszmunka a támadó félnek.

"És mivel a Kairos átlag emberek átlagos gépét használja"
Kapaszkodjatok meg: ilyen technológia - átlagemberek gépein, elosztott hálózatban történő állománytárolás - már régóta (kb. a 2000-es évek vége óta) létezik: kooperatív tárolófelhőnek (cooperative storage cloud: https://en.wikipedia.org/wiki/Cooperative_storage_cloud ) hívják. Vállalati célokra az említett erőforrás-igény miatt nem alkalmazzák, nem is terjedt el.

"Mivel minden fájl külön-külön sok kis darabban található, valahol tárolni kell, melyik fájldarab hol érhető el."
Erre is lehet megoldást találni - központi szerver nélkül. Például az én egyszeri elképzelésem:
1. Szétdaraboljuk az állományt X (ahol X egy 0-tól nagyobb, pozitív, egész szám), fix méretű darabra.
2. Ezen darabok tartalmát titkosítjuk.
3. Mindegyik darabról készítünk egy ellenőrzőösszeget.
4. Az eredeti állomány nevét, az első darab ellenőrzőösszeget eltároljuk a felhasználónál.
5. Minden N. (N <= X) darab titkosított adatszelethez hozzácsapjuk az N+1. darab ellenőrzőösszegét. Az X. darabnál valamilyen végjelet adunk hozzá.
6. Az állománydarabok neveit kicseréljük véletlenszerű nevekre és mindegyiket áthelyezzük egy-egy tároló hosztra.

Ahhoz hogy letöltse az állományt a felhasználó kliense:
1. Az első állománydarab ellenkörzőösszegének birtokában végigkérdi az állománydarabokat tároló hosztokat, melyiken található az meg.
2. Ha megvan, letölti, megnézi a fájl végén levő következő ellenőrzőösszeget.
3. Az újabb ellenkörzőösszeg birtokában megkérdi az állománydarabokat tároló hosztokat hol található meg.
4. Amíg végjelhez nem ér, addig vissza a 2. lépéshez.
5. Ha mindegyik megvan, a kulcs(ok) birtokában kikódoljuk a darabokat, és az eredeti állománynév birtokában visszaállítjuk az állományt.

"Nos, 256 bites titkosítást már nem túl sok helyen használnak"
Dehogynem. Ott az AES-256 (https://hu.wikipedia.org/wiki/Advanced_Encryption_Standard ) titkosítás.

"még a zsarolóvírusok többsége is 512 vagy 1024 bites titkosítást használ"
Azok többségében kétkulcsos (RSA) titkosítást használnak: van egy kulcs amivel csak titkosítani tudnak, a másikkal meg csak kikódolni. A Cryptolocker (https://en.wikipedia.org/wiki/CryptoLocker ) például 2048 biteset

"Ha a fájl tükrözés, mint helyreállítási módon túltettük magunkat,"
A tükrözés növeli a redundanciát, ami az egyik tárterület sérülése estén van esély arra, hogy a másik épen marad. Lásd: RAID-kötetek.

"Ha a szövegből hiányzik akár csak pár byte (esetünkben karakter), akkor honnan találják ki, hogy mi volt ott?"
Egyik megoldás az, hogy az állományról ellenőrzőösszeget készítünk és az külön tároljuk. Az állomány sérülése esetén az állomány ellenőrzőösszege nem fog megegyezni az eltárolt értékkel így megtudhatjuk, hogy az állomány sérült.
Másik lehetőség a hibajavító kód használata ilyesmit használnak a szervermemóriákban, a CD-nél/DVD-nél/BlueRay-nél (Reed-Solomon), a RAID-kötetekben, illetve a merevlemezekben is van eleve ilyesmi.

"Sajnos több információmorzsát nem találtam, ahol a technikai működésről lenne szó."
Én tudok némivel szolgálni - és be sem kellett szállnom.
1. A beszervezett partnerek által letöltendő kliensprogram telepítője elérhető innen:
http://data.hu/get/9468641/KairosPlanet_1.0.18.651.exe
Ugyanaz, ami letölthető tőlük, ugyanis az ellenőrzőösszege:
https://www.virustotal.com/hu/file/e8a905850c4c07e3d652c854b4649782419af1d0be25d1544c782143b1b8ebb7/analysis/1458133831/
megegyezik a hivatalos oldalon található brosúrában
https://kairosplanet.com/files/promo/kairosplanet-application-en.pdf
találhatóval.

Ennek a programnak a visszafejtésével - ami az alábbi programokkal elvégezhető:
http://ilspy.net/
https://www.jetbrains.com/decompiler/
(de egyébként a visszafejtett C#-forráskód elérhető innen:
https://ghostbin.com/paste/vbzgm
), meg lehet tudni, hogy mit is csinál valójában a program.

* bejelentkezik - a partner által megadott felhasználónévvel és jelszóval - a https://cabinet.kairosplanet.com/ "webirodába"
* "ellenőrzi" a webiroda elérhetőségét (lényegében ezzel ellenőrzi, hogy megvan-e a napi 10 óra) és mindezt naplózza
* lekéri a megvásárolható csomagokat, illetve hogy ezek közül melyikeket vetted meg
* ha vásároltál csomagot, akkor lekéri a statisztikát arról, hogy a bekapcsolt kliensed mikor tudta elérni a webirodát (szóval a napi 10 órák statisztikáját)
* lekéri az alkalmazás legfrissebb verziójának adatait

Ha megvásároltál tőlük egy csomagot, akkor a klienssel letölthető és aktiválható egy modul:
http://data.hu/get/9468656/rentmodule.zip
ami ugyancsak visszafejthető:
https://ghostbin.com/paste/kzsq7
ez a modul az alábbiakkal egészíti ki a kliens "tudását":
* Létrehoz egy - a megvásárolt csomagnak megfelelő méretű - _disc nevű - csupa 0-s byte-ot tartalmazó - állományt a - kliensben meghatározott - meghajtó _winApp könyvtárában (hogy elhitesse a beszervezett "partnerrel", hogy tényleg tárolnak nála adatot).
* Viszont ebbe az állományba nem tárol semmit, mivel - állításaikkal ellentétben - más kliensekkel nem alkot P2P hálózatot, illetve a szervereikről sem tölt le titkosított adatdarabokat.

2. A marketingigazgatójuk - Kasynets Otokár - állítása (https://www.youtube.com/watch?v=O5g8UduxMF8 ) szerint egy GB kódolt tárhely piaci ára 15 $, ők ezt 11 $-ért adják.

Ha megnézzük a konkurenciát - mint például az Amazont
https://aws.amazon.com/s3/pricing/
a Google Cloud Platformot:
https://cloud.google.com/storage/
a Microsoft Azure-t:
https://azure.microsoft.com/hu-hu/pricing/
akkor tisztán látható, hogy a piaci ár 0,03 $/GB/hó körül van, ami jóval az emlegetett 11$/GB alatt van - még ha ez éves szintre vetítjük le, akkor is.

3. A marketingigazgatójuk állítja azt is, hogy az átlag szerverek azért "sebezhetőek", mert egy IP-cím tartozik hozzájuk. Viszont miközben nekik egy - a partnereiknek a csomag mellé adott - "szolgáltatáshoz" tartozik egy szerver (ami az ő értelmezésük szerint sebezhető) - egyébként itt érhető el a szervereik listája:
https://ghostbin.com/paste/kcj2o
addig a konkurencia egy szolgáltatáshoz több IP-címet, több szervert - akár földrajzilag elkülönülő helyeken - vesz igénybe.

4. Se a cégről, se a technológiájukról, se a fő fejlesztőről - Alex Kocherevről - nem lehet olvasni semelyik komolyabb szaklapban, nincsen szabadalmuk, tudományos publikációjuk.

És mindezek csak a technikai aspektusú morzsák.
2016.03.17 22:34
Köszi a kiegészítést, jó volt olvasni. ;) Nem tudom hogy találtad meg ezeket a programokat, de érdekes látni őket.
Viszont lenne néhány észrevételem a hozzászólással kapcsolatban:
Például a központi szerver nélküli fájldarabolás és visszaállítással kapcsolatban:
Igen, ez elméletben jól néz ki, de ne felejtsük el, hogy átlagos PC-kről, és elméletben csomó nagy ügyfélről beszélünk, így feltételezhető az, hogy egyszerre többen is hozzá akarnak jutni a fájljaikhoz. Ez esetben a 10-20 megás internetkapcsolat és Pentium 4-es gépek amiken az adatdarabokat elméletileg tárolják nagyon hamar használhatatlanná válnának, így ez a lehetőség nem állja meg a helyét ebben a formában.


Fájl-tükrözést is ismerem, de ha láttad a Kairos videóját, akkor tudhatod hogy ott fájl-helyreállítási módszerként hivatkoznak rá, ami nyilvánvalóan nem igaz, mert hogy máshonnan kérjük le a fájl-darabot az nem helyreállítás, hiszen nincs is elveszett adatdarab, csak egy eltűnt másolat.
Fájl-helyreállítást ellenőrző-összegek létében tényleg lehet végezni, viszont erre vonatkozó információt én nem találtam.
2016.03.18 15:27
"csomó nagy ügyfélről beszélünk, így feltételezhető az, hogy egyszerre többen is hozzá akarnak jutni a fájljaikhoz."
Ezért mondtam, hogy a kooperatív felhőtárhely technológiát (a torrenthez hasonlóan) "vállalati célokra az említett erőforrás-igény miatt nem alkalmazzák, nem is terjedt el".

"Fájl-helyreállítást ellenőrző-összegek létében tényleg lehet végezni, viszont erre vonatkozó információt én nem találtam. "
Ellenőrzőösszeggel csak ellenőrizni lehet a fájl integritását. Hibajavító kóddal javítani is.
2016.03.18 16:52
Hölgyeim és uraim, úgy látszik elkezdődött az elkerülhetetlen vég: Fehéroroszországban 30 Kairos-szervezőt tartóztattak le, koboztak el telefonokat, számítógépeket, luxusautókat: http://kairos-figyelo.blog.hu/2016/09/30/elkezdodtek_a_letartoztatasok
2016.09.30 22:25