Ez az e-mail cím a spamrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát.

Kimaxolt self-branding - minden idők legnagyobb álhekkere

2018. március 12., hétfő 13:19

Nem ritkán borzolja a kedélyeket, hogy sokan sokkal többet mutatnak magukból, mint amennyit érnek valójában, nincs ez máshogy az ITsec területén sem. Ismert jelenség, hogy ma már erős eufemizmussal élve, sokkal többen vallják magukat etikus hekkernek, kiberbiztonsági szakértőnek, ami önmagában óriási probléma, de jelen cikk tárgya most nem ez. A sztori nem friss, de tanulságos.

 



 
Ki volt az az ember, aki abszolút csúcsra járatta a műfajt, a világ legmeghatározóbb lapjait sikerült átvernie, gyakorlatilag a fél világot beetette azzal, hogy ő a Bitcoin atyja, ahhoz pedig a nem mellékesen saját maga által szerkesztett Wikipedia oldalán máig tartja magát, hogy neves számítástudós és üzletember. Craig Steven Wright, aki egyébként alighanem egyetlen kódsort nem írt életében, na de haladjunk szépen sorban! A Wikipedia szerkesztői persze nem teljesen hülyék, a lap létrehozásakor az azonnali törlést javasolták, nem véletlenül. 

https://en.wikipedia.org/wiki/Talk:Craig_Steven_Wright

Akadnak olyan Wikipedia oldalak, ahol valótlanságokat találhatunk, holott azok hivatkozott forrása és szekunder forrása megbízhatónak tűnik. Az viszont szinte példátlan, hogy egy Wikipedia szócikkben gyakorlatilag egy szó se legyen egészében igaz, a források, mi több, sokszor még azok forrásait is vagy meghamisították olyan módon, hogy a szócikk szerkesztője hozta létre azokat korábban mondjuk egy újságnak tett nyilatkozattal vagy igazak ugyan a források, de súlyosan megtévesztőek.
Nem tudom, hogy szórakoztató módon darabokra lehet-e szedni a világ egyik legfalsabb Wikipedia szócikkét, én azért próbálkozom vele. Előtte viszont írok arról egy kicsit, hogy mit lehetett tudni emberünkről, mielőtt berobbant volna a világsajtóba.
2012-től néhány éven keresztül internetes csalók viselkedését tanulmányoztam, valósággal beszippantott a téma. Olyan emberek, akik egyébként nem intelligensebbek az átlagnál, de a teljes agyuk arra van ráállva, hogy hogyan tévesszenek meg másokat, hogyan tudják egészen lenyűgöző módon másnak kiadni magukat. OPSEC okokból persze nem kevés, realisztikusra kialakított aktorral is dolgoztam. Körülbelül ez idő tájt, már nem tudom, hogy először melyik közösségi szolgáltatásban figyeltem fel egy Craig Wright nevű felhasználóra, aki ezzel a névvel fent volt gyakorlatilag mindenféle ufóklubban, sehol nem hagyta volna le a titulusait, ami viszont már eleve nagyon gyanús volt, hogy vice president, chief technical officer, tanácsadó, cyber security specialist, meg amit el tudtok képzelni egy rakás szépnevű cégben és szervezetben, amiknek igazából nem volt semmilyen önálló tevékenysége, egymáson kívül semmi sem hivatkozott rájuk, sok esetben Wright volt az egyetlen tagjuk. A szervezetekhez tartozó WHOIS rekordokban pedig vagy maga Wright volt megadva vagy egy olyan cég, amiről néhány plusz kattintással kiderült, hogy egy Wright által bejegyzett cég. Nagy kár, hogy annak idején nem csináltam ezekről minimum screenshotokat, ugyanis hol eltűntek, hol pedig ismét megjelentek domainnevestől, mindenestől. Továbbá bonyolította a dolgot, hogy a pasas hol Craig Wrightnak, hogy Stephen Wrightnak, hol Craig Stephen Wrightnak adta ki magát, ami eleve gyakori név.
A kitalált cyber-csúcsszerveket leginkább a LinkedInen és a Facebookon keresztül promotálta én pedig csak néztem, hogy hogy lehet valaki ennyire beteg. Mindezt sikerült olyan nagyban tolni, hogy egy-egy ilyen csoportnak több tízezer tagja is volt. Mint amilyen a szerényen csak IT Security-nek nevezett máig létező csoport, amit annak idején Wright hozott létre és volt egyedüli  adminisztrátora. Valószínűleg még mindig ő, amikor legutóbb néztem, három kamu Facebook felhasználó bőrébe bújva. Egyik-másik, nagyon komolynak tűnő csoportokban az égvilágon semmi saját tartalom nem jelent meg. Érdekes módon mindig Wright linkelt be valamit a mainstream sajtó hírei közül, majd pinnelte rövid időre, néhány sejtelmes, alapvetően semmit mondó megjegyzés kíséretében, de alighanem a szakcikkek egy részét ő sem értette. Az egyik felhasználómmal persze teljesen tapintatosan rákérdeztem, hogy az „adjunktus úr” Github-repója, bármilyen kódgyűjteménye és az (állítólagosan) általa írt tananyagai milyen címen érhető el. Válaszként a felhasználómat azonnal bannolta a csoportból, egy másik bennmaradt felhasználón keresztül pedig láttam, hogy azzal a lendülettel természetesen a kérdést is törölte. Márpedig ha valakiről nagyságrendileg 10, 20, 30 látszólag egymástól független webhelyen azt írják, hogy ő a hekkerpápa, aki egyetemen tanít és a második doktori fokozatán dolgozik, annak kell, hogy legyen valamilyen szakmai szemmel kézzel fogható nyoma. De nem volt. Később aztán gondoskodott róla, hogy legyen, nem is akárhogy. Prof. Faustus Facebook profilja a Bitcoin-hype kirobbanása előtt még közel sem volt olyan visszafogott, mint most, több ezer ismerőssel, naponta frissülő posztokkal, több tucat csoporttal. Amiről pedig már azt hinnénk, hogy az agyrém teteje, hogy azokon a fórumokon, ahol a vele kapcsolatos ellenvéleményeket nem tudta törölni, általa létrehozott zoknibábokkal reagálta a kétkedőknek azzal, hogy Craig S. Wright tényleg egy géniusz Csak a fake-felhasználókkal írt kommentekben legalább arra ügyelt volna, hogy ne legyen gyakorlatilag minden szövegnyelvészeti aspektusból olyan, ami alapján világos, hogy egyazon személytől származik. Szóval bejegyzett információbiztonsági cégek, szervezetek, blogok jelentek meg, de valami olyan mennyiségben, hogy Wright alighanem mással nem is foglalkozott, mint a nemlétező mesevilágával. Az első gondolat az lehetne, hogy van itt egy nagyon beteg ember, nagyon sok szabad idővel, viszont valószínűbb, hogy áttételesen mégiscsak a saját imázsából élt meg. Amikor kapott bármilyen felületen egy szakmai irányú kérdést, amit nem tudott törölni, természetesen soha nem válaszolt normálisan, csak nagy általánosságban, amivel a kérdezőt állította be hülyének, ami pedig valószínűsíthető, hogy amikor egy mit sem sejtő ügyfél információbiztonsági melóval kereste meg a fantomcégeket, Wright valódi biztonsági szakértőkhöz irányította át az ügyfeleket vagy elvégeztette a feladatot indiai tesztelőkkel, aztán okosba’ osztoztak a bevételen. Még egyszer: ez ugyan nem bizonyítható közvetlenül, a legkézenfekvőbb így lehetett fenntartani egy teljes álomvilágot, ami viszont nagyon is létező pénzt termelt.
Korábban emlegettem, hogy a Wikipedia jelöl olyan forrásokat is, amik valósak ugyan, de súlyosan félrevezetőek. Ilyen például az a könyv, aminek szerényen csak The IT Regulatory and Standards Compliance Handbook: How to Survive Information Systems Audit and Assessments címet adta. Akinek minimális rálátása van a témára, tudja, hogy mekkora területről van szó, egyetlen kötetben maximum belekapni lehet a témákba. A kötet egyébként máig elérhető az Amazonon:

https://www.amazon.com/Regulatory-Standards-Compliance-Handbook-Information/dp/1597492663/

Ami láthatóan azért nem egy bombasiker, mivel összesen 4 értékelést kapott sok-sok év alatt, a két valódi vásárló közül, aki ténylegesen megvette a könyvet, az egyik egy csillagosra értékelte, a másik két csillagot adott neki, a review-k pedig magukért beszélnek. Két zoknibáb, konkrétan „Linux guru” és „Dale Liu” – aki a könyv társszerzőjeként van feltüntetve - viszont az egekbe magasztalta a könyvet, amire profi szélhámosunk nem figyelt, hogy a két zoknibáb szóhasználata teljesen rá vall, ennek megállapításához nem kell igazságügyi nyelvésznek lenni, az biztos. De a még amatőrebb hiba, hogy a két zoknibáb neve mellett nincs ott a „Verified Purchase” felirat, más kommentjük pedig nincs is a teljes Amazon rendszerében! 
Ami a könyvet illeti, szinte minden rész szabadon felhasználható leírásokból lett összeollózva, szóval ilyet írni tényleg bárki egy hétvége alatt tud. Nem tudom, hogy mennyire általánosan jellemző az USA-beli és ausztrál könyvkiadásra, hogy akár egy patinásabb kiadó is bármilyen baromsághoz adja a nevét, mint a könyvet megjelentető Syngress. A két társszerzőként feltüntetett figurának, Dale Liunak és Brian Freedmannek nem néztem utána nagyon, de úgy fest, hogy ugyancsak zoknibábok, kisebb valószínűséggel két létező személy, létező szakmai certikkel, akiket alaposan megtévesztett Wright, esetleg megvette őket jópénzért.
Ami Wright állítólagos egyetemi oktatói tevékenységét, a két doktoriját illeti, ugyancsak egy vicc. Eleve egy kutató rendelkezik normális publikációs listával vagy ha azzal nem, akkor bármilyen, mások által is hivatkozott forrással. Igen, kitaláltad, Wright önmagát hivatkozgatta, az pedig, hogy egy egyetem webhelye alatt volt hosztolva az egyik webhelye, semmit sem jelent. Azt hinnénk, hogy eléggé necc, ha valaki egyetemi oktatónak állítja be magát úgy, hogy valójában nem az, emberünk még emiatt sem zavartatta magát. Simán előfordulhat, hogy visszaél valaki egy létező egyetem nevével olyan módon, hogy például magánórák tartásához az adott egyetemen bérel termet, aztán lehet operálni tovább hasonló trükkökkel a végtelenségig.
Az eleve érdekes, ha valaki meg tudja vezetni a fél világot, a leghitelesebb szakmai lapokat is átverte, esetleg vett egy adag PR-cikket okosba’, végeredményben még a Wikipediát is átverte. Ami viszont már mindennek a netovábbja, hogy ezt még csak nem is egy különösebben éles eszű tagnak sikerült végigvinnie, hanem egy teljesen átlagos és valószínűleg totál kattant formának.
Mit tanulhatunk a jelenség egészéből? Már azon túl, hogy mennyire megvezethető a fél világ, sokszor valakinek a kompetenciája messze nem olyan egyértelműek, mint amilyennek tűnik?  Többek közt azt, hogy óvatosabban kellene bánni ezzel a manapság egyre divatosabb self-brandinggel, ideális esetben énmárka építésre semmi szükség nincs, mert nem egy művileg kialakított imázs, hanem a valódi tudás alapján keresik meg a valóban jó szakértőket. A valóban jó szakértők közt viszont vannak nem kevesen, akik gyakorlatilag sosem látszódnak, aminek számos oka lehet. Ami világos, hogy az alapján sem lehet valakit kutyaütőnek billogozni, mert kevésbé van nyoma a szakmai tevékenységének. Többen vannak, akik egyáltalán nem foglalkoznak vele, hogy kitegyék-e a kirakatba azt, amivel foglalkoznak, megint mások az alig mérhető tudásukat is hatalmasnak tudják bemutatni.
Az objektív kompetenciamérés külön tudomány. A fac checking szintén. Ami az utóbbit illeti, nagyon úgy fest, hogy ez utóbbiban sincsenek a helyzet magaslatán azon a nemzetközi lapok, amik a hitelességükből élnek, igaz, többen a Bitcoin önjelölt atyjáról szóló cikket jókora késéssel frissítették annyival, hogy több minden arra mutat, hogy mégsem az a Bitcoin atyja, aki annak mondja magát, de ekkorra már mindegy volt.

Kép: Arstechnica

 

 

 

 

Megjelent: 264 alkalommal
Értékelés:
(0 szavazat)
A hozzászóláshoz be kell jelentkezned