Oddzwanianie

Zauważyłem nieodebrane połączenie na jednym z numerów telefonów. Zwykle nie oddzwaniam na nieznane numery, bo albo pomyłka, albo telemarketer, ale teraz miałem powód by przypuszczać, że kontakt był zasadny.

Rzut oka na numer – polska komórka, żadna zagranica. Szybkie sprawdzenie w sieci na portalach zajmujących się zbieraniem informacji o numerach – nienotowany, czyli prawdopodobnie nie telemarketer.

Dzwonię. Odbiera automat i informuje, że rozmowa jest nagrywana i że dane są przetwarzane zgodnie z zasadami opisanymi na stronie – tu adres, zawierający słowo RODO w domenie jednego z banków. Czyli wszystko w porządku! Albo… właśnie nie w porządku. Nie ma informacji, kto jest administratorem danych osobowych, nie ma informacji przez kogo jest przetwarzane, nie ma jednoznacznej informacji do kogo się dodzwoniłem. Zresztą, w przypadku oszustwa informacja o nagrywaniu rozmowy, dane dotyczące zawartości strony itp. będą zgodne z prawdą i służyć będą tylko wzbudzeniu zaufania.

Owszem, korzystam z usług tego banku. I mają w nim podany ten numer telefonu. Ale to jeszcze o niczym nie świadczy… Tego typu dane oszust może zdobyć z różnych miejsc w sieci albo… po prostu zgadywać numery i podawać się za któryś z popularnych banków. Jeśli bank ma powiedzmy 5% udziału w rynku, to mniej więcej dla takiego odsetka numerów będzie to wyglądało OK. Zapewne przytłaczająca większość błędnych adresatów po prostu zignoruje próbę kontaktu, uzna za pomyłkę, albo nie będzie wiedziała komu zgłosić taką „dziwną sytuację”[1].

Rozłączam, się. Wiem już, o który bank chodzi, znam numer telefonu. Szukam numeru na stronie banku i w wyszukiwarkach. Nie występuje. Nie wygląda to dobrze, więc zakładam roboczo próbę oszustwa i z takim nastawieniem dzwonię ponownie.

Odbiera osoba, która przedstawia się jako pracownik banku. Ja się nie przedstawiam, informuję tylko, że dzwonię, bo miałem nieodebrane połączenie. Moje pierwsze pytanie: jak mogę potwierdzić, że faktycznie jest pracownikiem banku i że to numer należący do banku. Jest nieco zaskoczona, ale podaje informacje, gdzie po zalogowaniu do banku znajdę jej dane i numer.

Proszę o chwilę cierpliwości. Loguję się do banku i sprawdzam w podanym miejscu. Faktycznie, dane się zgadzają. Dziękuję, przedstawiam się i kontynuujemy rozmowę.

Oczywiście dałem znać, czemu uznałem telefon/proces za podejrzany, ale nie bardzo wierzę w jego zmianę. Warto pamiętać, że jeśli sami nie nawiązujemy połączenia pod wybrany przez nas numer, np. wpisany ze strony internetowej instytucji, to nie mamy żadnej gwarancji, z kim rozmawiamy, więc uważajmy z podawaniem danych.

[1] Szczerze mówiąc, sam miałbym z tym problem – można próbować na infolinii instytucji, pod którą ktoś próbuje się podszyć, ale… różnie bywa ze zrozumieniem w czym problem.

Lecton, Wędrowycz i kompresja audio

Jakiś czas temu[1], jeśli dobrze pamiętam w okolicach marca, InPost zrobił promocję dotyczącą paczkomatów. Wygrać można było nawet samochód, udział nie wiązał się z przekazaniem dodatkowych danych, więc wziąłem udział. Samochodu oczywiście nie wygrałem, za to wygrałem – jak wszyscy inni znani mi uczestnicy loterii – parę kodów dających dostęp do programu Lecton, czyli aplikacji Audioteka s.a pozwalającej na dostęp do audiobooków.

Nieuchronnie będę porównywać z produktem Legimi, do którego dostęp uzyskałem wcześniej na podobnych zasadach. Są jednak różnice. Przede wszystkim Lecton rozlicza w postaci czasu dostępu do biblioteki, nie na sztuki. Także w promocji. Udało mi się w ten sposób poznać większą część cyklu o Jakubie Wędrowyczu.

Appka działała bez zarzutu. Być może kwestia niższych oczekiwań po kontakcie z Legimi, być może kwestia większej ilości miejsca na urządzeniu. W każdym razie słuchało się przyjemnie, intuicyjnie i bez walki z techologią. Oczywiście dostęp do książek jest tylko za pośrednictwem aplikacji, bez możliwości pobrania na urządzenia zewnętrzne, ale w modelu, gdzie płaci się za czas dostępu, nie za pozycje jest to zrozumiałe.

W ramach abonamentu korzystać można na jednym urządzeniu i jednym dodatkowym w trybie offline. Abonament to 20 zł/m-c (po prostu, bez promocji) Brak ebooków, tylko audiobooki, plus jakieś dodatki w stylu audycji cyklicznych itp. Mnie interesują tylko książki. Nadal – jest taniej, niż w przypadku Legimi, ale brak ebooków i mniejsza liczba urządzeń. Za Lecton ma prostsze warunki umowy – mniej wariantów i sumarycznie bardziej mi się podobał.

W Lecton drażni mnie tak naprawdę jedna rzecz – sposoby płatności. Nie ma klasycznego prepaid, trzeba podać albo kartę płatniczą, albo PayPala, żeby sobie pobierali opłatę abonament. Rozumiem, że subskrybcję można wyłączyć. Rozumiem, że tak jest prościej zaimplementować (i pewnie rozliczać), rozumiem, że tak jest korzystniej dla sklepu, bo klient nie może zapomnieć zapłacić, najwyżej zapomni wyłączyć subskrybcję. Wiem, że to coraz bardziej popularny model. Nadal drażni i finalnie doprowadziło do tego, że nie kupiłem abonamentu, wracając do książek tradycyjnych. Wiem, to nie jest dokładny odpowiednik, bo książki tradycyjnej nie posłucham w tramwaju.

Książki o Jakubie Wędrowyczu – wciągają. Znałem tylko pierwszy tom opowiadań, gdzie dominują krótkie utwory, w pozostałych tomach cyklu pojawiają się dłuższe. Jest niestety monotematycznie i z powtórzeniami, a żart opowiadany wielokrotnie przestaje bawić. Może kwestia dawki. Dodatkowo na przestrzeni cyklu pojawia się wiele niespójności, opowiadania są jakościowo różne. Niektóre naprawdę fajne koncepcyjnie, część to po prostu zgrabnie opowiedziane historyjki. IMO najsłabiej wypadają momenty, gdy zaczyna się politykowanie, często nachalne i znowu z powtórzeniami. Niemniej, warto. Całość jest ciekawa, zabawna, jako gawęda – zgrabna. Dodatkowo audiobooki są ładnie zaaranżowane i dobrze czytane. Chociaż tak w ogóle, po przeczytaniu opowiadań z 2586 kroków oraz Rzeźnika drzew mam wrażenie, że w utworach niewędrowyczowych Pilipiuk wypada lepiej.

Skoro przy audio jesteśmy – część techniczna, poniekąd będąca odpowiedzią na moje narzekania na zajmowane przez audiobooki miejsce. Audiobooki są duże, zapewne kompresowane do formatu MP3 lub zbliżonego. Tymczasem w przypadku mowy (audiobooki, podcasty itp.) nie potrzebujemy pełnego spektrum, więc można skorzystać z innych formatów, pozwalających na znacznie lepszą kompresję. Typowe MP3 to 128 kbps, tymczasem Speex pozwala na zejście do 4 kbps, lepiej wspierany na różnych playerach Opus na 7 kbps. Więcej opisane tutaj, a narzędzia są w repo. Prawdziwi hardcore’owcy mogą zejść nawet poniżej 1 kbps (dostępne sample).

[1] Kolejny wpis, który dość długo przeleżał w szkicach, a ostatecznie został opublikowany w niemal oryginalnej wersji.

Zmiana przeglądarki używanej do chrome custom tabs w Android 7 i 8

Niedawno dowiedziałem się, że istnieje coś takiego jak mechanizm chrome custom tabs. Wszystko za sprawą appki mobilnej Allegro. Do tej pory kliknięcie zewnętrznego URLa, np. link do trackingu przesyłki, kończyło się pytaniem, w jakiej przeglądarce otworzyć (i czy zapamiętać wybór). Zwykle, a może i zawsze(?) wybierałem Firefox Focus o którym kiedyś wspomniałem i który zdecydowanie przypadł mi do gustu. Ostatnio jednak pozmieniało się i URLe otwierały się w czymś innym, podobnym do Chrome. Niezbyt mi się to spodobało.

Zasięgnąłem języka i okazało się, że chodzi o chrome custom tabs. Sama idea zmiany mi się nawet podoba tylko… wolałbym, żeby te linki otwierały się w Firefox Focus. Okazało się, że da się to zrobić, wystarczy ustawić Firefox Focus jako domyślną przeglądarkę w systemie.

W Android 7.0 Można to zrobić na dwa sposoby. Jeden opisuje Mozilla, a drugi, bardziej uniwersalny, bo działający dla wszystkich przeglądarek to wybranie:
Settings -> Apps -> kółko zębate -> Browser app, a tam Firefox Focus.

W przypadku Android 8.0 jest to (tym razem po polsku):
Ustawienia -> Aplikacje -> Domyślne aplikacje -> Aplikacja przeglądarki

Przyznaję, że jak dla mnie, to trochę zbyt mocno schowane.

Skutki wycieku danych z Morele.net

Jakiś czas temu ze sklepu internetowego Morele.net wyciekły dane. W sieci zaroiło się od reakcji, dość skrajnych. Od psioczenia na słabe zabezpieczenia i „jak tak można było” i „pójdę z tym do sądu” po „nie stało się nic„.

Wyciekły maile, imiona, nazwiska, numery telefonów dla 2,2 mln kont. Oraz prawdopodobnie, dodatkowo, jak twierdzi włamywacz, a czemu zaprzeczyły Morele.net, numery PESEL oraz skany dowodów osobistych dla kilkudziesięciu tysięcy kont, a włamywacz ujawniał kolejne szczegóły na Wykopie (konto już usunięte).

Moim zdaniem prawda leży, jak to często bywa, gdzieś pośrodku. Na pewno wyciek jest ważny ze względu na skalę – 2,2 mln rekordów w skali Polski to bardzo dużo[1], w dowolnym aspekcie – czy to do wysyłki spamu, czy do ataków phishingowych przy pomocy SMSów, czy wreszcie jako baza haseł, zarówno do próby bezpośredniego wykorzystania ich w innych serwisach, jak i do analizy i budowy słowników w kolejnych atakach.

W informacjach o wycieku poruszony był aspekt niezłego hashowania haseł. Niestety te niezłe hashe w praktyce niewiele wnoszą – być może nie uda się złamać, w sensownym czasie i sensownym kosztem, najtrudniejszych haseł, ale najsłabsze ok. 20% można złamać na CPU na pojedynczym komputerze w ciągu pojedynczych godzin.

Jeśli informacja o wycieku skanów dowodów jest prawdziwa, to jest to dla ofiar spory problem – możliwości do nadużcia spore, PESEL w zasadzie niezmienialny, a wymiana dowodu kłopotliwa. Przypuszczam, że chodzi tu tylko o kupujących na raty.

Pozostałe 2,2 mln niespecjalnie ma powody do zmartwień, jeśli tylko nie stosuje schematycznych haseł oraz ma osobne hasła do różnych serwisów. W tym miejscu gorąco polecam programy do przechowywania haseł w stylu Keepass.

Jeśli hasła są różne w różnych serwisach to nawet ich siła nie ma specjalnego znaczenia, o ile w serwisie są tylko dane z bazy, nie można zrobić zakupu itp. OK, atakujący dostanie się do konta w sklepie internetowym. Co zobaczy, czego jeszcze nie wie? Historię zakupów? Ironizuję, ale zakładam, że nie jest w stanie robić zamówień itp. bez dodatkowego potwierdzenia. Mógł za to usunąć konto, jednym kliknięciem, bez potwierdzania. Cóż, to strata głównie dla sklepu – jeśli ktoś potrzebuje to założy nowe konto…

Jeśli chodzi o maile, to jest spora szansa, że już wcześniej trafiły do baz spamerów i marketerów. Chyba, że ktoś stosuje oddzielne aliasy do serwisów, ale wtedy zupełnie nie ma problemu – wystarczy usunąć alias. Podobnie z numerami telefonów. A jeśli ktoś chce mieć święty spokój, to przypominam, że usługi GSM tanieją i numer telefonu płatny w formie prepaid można mieć już za 5 zł rocznie i używać go w różnych mniej istotnych miejscach. Oczywiście można to zrobić w nowocześniejszy sposób.

Tu dochodzimy do sedna: czy do zakupu w każdym sklepie internetowym faktycznie potrzebne jest zakładanie konta? Niektóre sklepy wymuszają założenie konta, ale staram się takich unikać, a z paru zakupów zdarzyło mi się zrezygnować z tego powodu. Jeśli już zakładamy konto, to dobrze by było, żeby wymagane było podawanie jak najmniejszej ilości danych. Zupełnie dobrze by było, gdyby serwisy pozwalały na ustawienie po jakim czasie nieaktywności usunąć konto lub chociaż cyklicznie przypominać mailem o takiej możliwości.

[1] Kolejny duży polski wyciek, który kojarzę to ~700 tys. z Filmweb. Oczywiście polskie konta występują też na wyciekach światowych i będą to porównywalne ilości.

UPDATE: Wpis nieco przeleżał jako szkic i został ostatecznie opublikowany w formie nieco pociętej. Mimo tematu, który pozostał z wersji oryginalnej, celowo pominąłem m. in. spekulacje nt. skutków dla Morele.net i chciałbym, aby tak pozostało, również w komentarzach.

UPDATE2: Jak donosi Zaufana Trzecia Strona, baza sklepu Morele.net została ujawniona przez włamywaczy. Jakieś pięć miesięcy po ataku.

Waze jako nawigacja

Jakiś czas temu wyrzuciłem Yanosika z telefonu, z powodu fatalnej nawigacji. Zgodnie z zapowiedziami szansę dostało Waze.

Podobnie jak Google Maps, nawigacja Waze należy do Google, jednak jest rozwijana odrębnie i ma zupełnie inną filozofię. O ile Google Maps to sucha, dość sprawna nawigacja, o tyle Waze bardziej przypomina ficzerami Yanosika – personalizacja i gamifikacja jak najbardziej obecne. Jest możliwość zgłaszania przez użytkowników utrudnień na drodze, czy to patroli policyjnych, czy radarów, czy zamkniętych ulic, czy zwykłych prac drogowych. Jest też zbieranie punktów za aktywność.

Logo WazeŹródło: https://www.waze.com/about/press_resources

Pierwszą recenzję Yanosika pisałem po przejechaniu raptem 300 km, czyli – jak patrzę z perspektywy – o wiele za wcześnie. W przypadku Waze testowałem nieco dłużej – przejechałem ok. 1000 km na zalogowanym koncie, głównie w mieście. Nadal mało jak na pełny test, ale od czegoś trzeba zacząć. Tak naprawdę z Waze przejechałem ze dwa albo trzy razy tyle – dość długo korzystałem bez założonego konta i logowania. Można i tak, bez specjalnego uszczerbku dla funkcjonalności. Oczywiście gamifikacja leży wtedy, nie działa też zapamiętywanie ustawień, przynajmniej między upgrade/reinstalacją. W każdym razie z kontem jest lepiej i na tej wersji się skupię.

Pierwsza rzecz, która rzuca się w oczy po uruchomieniu Waze, to ekspozycja funkcji związanych z nawigacją i ukrycie całej reszty. Zaleta jest taka, że nawigacja jest na wierzchu, wada zaś taka, że dobrnięcie do jakichś bardziej zaawansowanych ustawień chwilę mi zajęło. Części rzeczy w ogóle w aplikacji nie ma (albo nie umiem ich znaleźć), przykładem może być ilość przejechanych kilometrów, którą sprawdzam przez WWW. Trudno mi jednoznacznie orzec, czy to zaleta, czy wada. Ustawienia domyślne są bardzo dobre.

Aplikacja potrzebuje dłuższego czasu od włączenia do gotowości do działania. Nie wiem, czy jest to kwestia słabszego telefonu, czy tak jest ogólnie ale… tak jest i jest to wada. Dodam, że podobnie ma Strava. Za to po włączeniu jest już bardzo przyjemnie. Nawigacja jest pewna (sorry, Yanosik), komunikaty przekazywane z sensownym wyprzedzeniem (sorry, Yanosik), adaptacja do zmian trasy szybka (sorry, Yanosik, „zawróć. zawróć. zawróć.”). Bardzo ładnie mówi po polsku (jest wybór lektora) i posiada rewelacyjną IMO funkcjonalność podawania nazw ulic, w które należy skręcić – podaje nie tylko kierunek skrętu, ale też nazwę.

Trasy wybiera sensownie (sorry Yanosik), orientacyjne czasy dojazdu bardzo zbliżone do rzeczywistych. Potrafi też pokazywać informacje o natężeniu ruchu na sąsiednich ulicach czy zaproponować alternatywne trasy do właśnie wybranej. Taki powiew Google Maps. Akurat średnio korzystam, ale ktoś ze znajomych szukał nawigacji pokazującej natężenie ruchu.

Największą wadą nawigacji, którą zauważyłem, jest dość częste gubienie się na skrzyżowaniach po zatrzymaniu. Potrafi stwierdzić, że jesteśmy na ulicy prostopadłej i kazać skręcać. Chwilę po ruszeniu i chwilę przed dojazdem do skrzyżowania jest OK. Nie wiem, czy kwestia aplikacji, czy telefonu i… nie jest to tak upierdliwe na jakie wygląda z opisu – informacja o skręcie jest podawana za późno, by wykonać manewr.

Zgłaszanie zdarzeń na drogach jest znacznie bardziej szczegółowe niż w Yanosiku, ale przez to bardziej skomplikowane. Nie jest to jedno kliknięcie, tylko kolejne wybory (polecam lekturę opisu w FAQ). Być może kwestia przyzwyczajenia, na pewno większa bariera wejścia i trudniejsze, wymagające więcej uwagi zgłaszanie zdarzeń. Liczę jako wadę, pewnie dobrą sprawą byłby wybór wersji pełnej i uproszczonej.

Kolejny ficzer Waze to wyszukiwanie stacji benzynowych i porównywanie cen. W przeciwieństwie do Yanosika, Waze nie współpracuje z jednym koncernem, więc jest wybór. I jakiś pożytek dla tych, którzy raczej omijają rządowe stacje. Samo porównywanie jest oparte o aktualizacje cen przez użytkowników, więc traktować należy raczej orientacyjnie, bo stacje dość często zmieniają ceny. Na szczęście przy wyszukiwaniu jest podawany czas ostatniej aktualizacji.

Inny miły ficzer to proponowanie miejsc docelowych. Czyli uruchamiamy nawigację i dostajemy – na podstawie czasu (i miejsca?) – propozycję, żeby ustawić jako miejsce docelowe pracę, bez konieczności wyboru ręcznie. Dość przyjemne, działa nieźle. Oczywiście gdyby ktoś czuł się śledzony, to można tę opcję wyłączyć. Raczej ku poprawie samopoczucia, bo śledzi nas każda nawigacja. 😉 Wyłączyć można też widoczność naszego pojazdu na mapach.

Jeszcze inne usprawnienia to zapamiętywanie miejsca pozostawienia pojazdu (można też zrobić zdjęcie, przydatne, jeśli z auta korzysta kilka osób) czy przesłanie orientacyjnego czasu dojazdu.

Pominąłem inne ficzery Waze, niezwiązane z samą aplikacją, typu live map czy carpooling. Raz, ze wykraczają poza badane zagadnienie, dwa, że nie używam. Podsumowując, uważam, że aplikacja jest zdecydowanie godna uwagi i warto dać jej szansę. W mieście jako nawigacja sprawdza się bardzo dobrze, kiedyś pewnie uzupełnię wpis o wrażenia z trasy.

UPDATE Przejechałem 2300 km, parę razy poza miastem (choć na znanej drodze) – nadal OK, stacjonarne radary zgłasza, na nic innego nie było okazji. Nadal nie mam powodu do narzekania.