UberGeek

Da, este vorba de „serviciul” (and I use the term loosely) oferit de cei de la fax2mail.ro (mai nou și mail2fax.ro).

Eu știu de ei de ceva timp, de când au început cu fax2mail. Gratuit. Mi-am făcut un cont, dar cum am foarte rar nevoie de faxuri (și când am mă descurc cu multifuncționalul propriu ), nu l-am folosit niciodată.

Ei bine, acum vreo 5 zile am avut o problemă. Destul de neplăcută. Și trebuia neapărat să trimit 2 hârțoage prin fax. La Ploiești. Urgent. Da’ URGENT!

Cum nu aveam nici un fax prin zonă, și multifuncționalul meu intrase în grevă generală cu doar câteva săptămâni înainte, mă apuc să sap pe ‘Net. Și aflu (cu bucurie) că oamenii au introdus și serviciul de mail2fax. Adică trimiți documentul pe mail, și ei îl dau mai departe pe fax. Plătesc rapid 100 de pagini prin card, și mă bucur când văd că aproape imediat mi se încarcă și contul de la ei de pe site. Dau mail-ul cu documentele, și aștept.

Și aștept. Și aștept…. În mail, nimic. Nici confirmare, nici mesaj de eroare. În log-urile de pe site, nimic (nici măcar plata prin card nu apărea!)

După 30 de minute, sun la ei – „ce se întâmplă?”. Dau de tanti1, care părea destul de nervoasă. Nu obțin nici o informație utilă, doar un „vom trimite mesajul la departamentul tehnic, și vă contactăm în cel mai scurt timp”.

Mai stau 15 minute (aveam nevoie urgent de fax, da?). Și sun din nou. Aflu că încă nu există un răspuns, dar să revin în câteva minute.

Mai stau 15 minute. Se făcuse o oră de când așteptam. Mai trimit o dată mail-ul (era deja a treia oară când încercam) – nici un rezultat. Așa că sun din nou. Apuc să spun cine sunt, și sunt redirecționat la tanti1. Aia nervoasă. Care începe cu „e deja a treia oară când sunați! V-am spus că sesizarea a fost trimisă la tehnic, dar încă nu au apucat să se uite pe ea, că ați sunat prea repede!!” (am menționat că mi se spusese să „revin în câteva minute”? Textual!)

Deja începeam să mă enervez, dar continui să vorbesc politicos, și să le cer să mă contacteze când au mai multe informații.

Dupa 5 ore – sun din nou. Dau de o tanti mai puțin nervoasă, care măcar a reușit să pară interesată de problema mea. Mi-a luat numărul de telefon, și mi-a promis că voi fi contactat.

Am sunat în total de 5 ori. De fiecare dată am trecut prin „în ce rețea trimiteți? / Romtelecom”. Prin „vedeți că e în spam-ul de la yahoo / Nu folosesc yahoo”. Dar nici măcar o dată nu am primit vreun detaliu de genul „da, este o problemă, lucrăm la ea” (era suficient, că nu voiam detaliile tehnice. Really!), sau „nu a ajuns mail-ul cu faxul, retrimiteți-l vă rugăm”.

După 72 de ore – absolut nimic. Istoricul de pe site e în continuare gol, prin mail nu a venit nimic, de telefon nu mai vorbesc.

Nu e vorba de mulți bani – le-am dat vreo 36 RON cu totul. Dar chiar mă gândesc foarte serios să le cer banii înapoi, și dacă nu vor să-i dea să mă duc la ANPC. Pentru că până la urmă am dat bani pentru un serviciu care este absolut inexistent.

Dacă încă nu v-am convins să vă feriți de ei, aruncați un ochi pe forumul lor „oficial” (unde nu răspunde nimeni la problemele clienților), sau pe termenii și condițiile lor (în care scrie cam tot ce era de așteptat, de la „voi dați banii, noi nu promitem că vă oferim ceva în schimbul lor” până la „orice s-ar întâmpla, tot nu vedeți mai mult de 1 USD de la noi”).

Nu, nu exagerez. Hai să vedem câteva din cele mai importante știri din ultimele câteva luni:

1. Algoritmul de criptare folosit pentru protocolul GSM a fost spart. O dată. Și a doua oară. Complexitate – suficient de mică pentru a rula programul în 2 ore pe un singur PC.
2. Protocolul de comunicație folosit pentru comunicația cu un card cu chip (știți voi care – alea cu „e mai secure, că are chip!”) are o vulnerabilitate majoră – nu autentifică verificarea PIN-ului. Ca urmare, este foarte ușor de creat un device care să spună „PIN corect” la orice PIN introdus. Mai multe detalii aici (și dacă tot sunteți acolo, puteți citi încă o serie luuuungă de vulnerabilități ale cardurilor / terminalelor POS).
3. Protocolul de autentificare 3DSecure (sau MasterCard SecureCode, sau VerifiedByVisa…) are și el o serie de vulnerabilități importante.

Nu vi se pare prea grav? Hai să vedem ce pot însemna cele de mai sus:

1. Orice conversație GSM, ascultată de oricine, oricând. Costuri? Minime.
2. În cazul pierderii/furtului unui card, faptul că doar tu știi PIN-ul nu te mai protejează. Mai mult – ținând cont că log-urile tranzacției arată „PIN corect introdus”, ai toate șansele ca banca să nu îți dea nici un ban înapoi. Pe motiv că „nu ai ținut PIN-ul secret”.
3. Iei card cu 3DSecure, că „e mai sigur” (sigur ați văzut și voi diversele reclame…). Și de fapt constați că singurul „avantaj” al 3DSecure este… pentru bancă. De fapt, dacă vă uitați pe diversele vulnerabilități de pe site, veți constata un lucru foarte interesant (pe care îl menționam și eu acum ceva timp). Practic toate tehnologiile noi au introdus (și chiar au fost promovate prin) „liability shift”. În cazul unei tranzacții frauduloase, banca/procesatorul de plăți/vânzătorul aruncă pisica decedată în spinarea clientului. Și le iese din ce în ce mai bine!

Un „TED Talk” absolut fascinant… (toate sunt interesante, dar acesta mi-a atras atenția în mod deosebit )

După cum ziceam, am reușit să găsesc o alternativă la (acum defunctul) Thawte Web of Trust, și anume WoT-ul de la StartSSL. A venit timpul să detaliez un pic modalitatea de validare în sistemul respectiv.

Pasul 1 – cauți doi notari ( startssl.com / WoT / notary finder / Bucharest ).

Pasul 2 – ceri validare de la cei doi notari aleși. (request validation)

Pasul 3 – te întâlnești cu ei, și le arăți 2 documente de identitate (cu poză/semnătură). Nu ai nevoie de copii, doar de originale. De asemenea, semnezi și formularul de validare.

Pasul 4 – după 2 validări, ai un certificat digital (Class-1 validated), cu numele tău în el, valabil timp de 1 an.

Pasul 5 – după un an, sari din nou la pasul 1

Din păcate, la StartSSL este un pic mai dificil să devii notar. Pentru că trebuie să plătești o validare de identitate Class-2 (40 USD în momentul actual). Dar odată ce ai devenit notar, îți menții statusul pe termen nelimitat, cât timp ești validat periodic (la intervale de 1 an) de alt notar.

Anul acesta a început cu două surprize plăcute…

1. Prima dintre ele a venit de la ING – intrând pe pagina HomeBank, am fost întâmpinat de următorul mesaj:

„Cardul dvs. Visa a fost inregistrat gratuit la serviciul “Verified by Visa”, pentru a va proteja de utilizarea neautorizata pe Internet.”

Intru pe site-ul Romcard, activez „Verified by Visa”, și totul merge OK. În schimb, activarea MasterCard SecureCode încă eșuează, cu același mesaj de eroare descris în alt post.

La ce naiba mai am nevoie de WebCard-ul ăla??? Oh well… măcar e gratis

2. A doua surpriză plăcută a apărut când am deschis Picasa – în noua versiune au introdus suport pentru face-tagging automat. Și deși eram sceptic inițial, acum sunt de-a dreptul surprins de cât de corectă este recunoașterea persoanelor (după o perioadă de învățare, bineînțeles ).

Adăugați la asta faptul că rezultatele sunt sincronizate cu albumele online de pe picasaweb. Și că rezultatele locale sunt stocate în folderele cu pozele (nu într-o bază de date mare și centralizată, care să se poată pierde oricând ). Și vă veți da seama de ce sunt așa de entuziast.

Zice lumea pe ‘Net că ar mai crăpa din când în când Picasa de la face recognition. Dar asta nu e nimic ce să nu se poată rezolva în timp

Vă povesteam acum câteva zile de StartCom. Ei bine, nu am rezistat și am plătit un „identity validation” la ei. Mi-a plăcut că sistemul nu este numai electronic – trimit și o scrisoare recomandată cu un cod de validare (pentru o confirmare suplimentară a persoanei/adresei).

Astăzi am primit scrisoarea, și sunt oficial validat în sistemul lor. Cireașa de pe tort? Prin aceasta am devenit și notar în sistemul lor WoT. Vrea cineva validări?

Acum caut încă un om care să devină notar. Pentru că:

• oricine altcineva are nevoie de 2 validări de la 2 notari diferiți
• noi doi ne putem valida între noi pentru a ne menține validarea de identitate activă pe termen nelimitat.

Doritori?

Mă tot uit la reclamele cu „noul număr de telefon pentru informații”, și chiar nu îi înțeleg pe cei de la Romtelecom. Au luat un număr (relativ) ușor de reținut (931), și l-au transformat într-unul practic imposibil de ținut minte (118.932). După care au început să dea o poală de bani ca să îi facă reclamă noului număr.

Sincer, mi se pare că degeaba ai „cel mai bun serviciu de informații din Europa” (??? Cine a decis asta, și ce anume face serviciul respectiv „cel mai bun”?), dacă lumea nu poate ține minte numărul. Cât timp e rețeaua lor și dialplan-ul e stabilit de ei, chiar nu pot înțelege de ce nu au ales un număr mai uman. Care să aibă un sens, și să poată fi ținut minte. Ceva de genul „1-NR-TEL” ? Sau „INFORM”? Sau “11-INFO”? Sau „0800-NUMERE-DE-TELEFON” (oh, wait… serviciul de informații NU mai este gratis… >:) )

Noua „găselniță” a celor de la ING este „ING Webcard”. Practic un card MasterCard cât se poate de normal, destinat cumpărăturilor făcute prin Internet. Pe care ei îl laudă ca fiind cea mai secure chestie de la pâinea feliată (da, știu, în engleză suna mult mai bine ). Au mers până la a plăti niște bloggeri pentru a le lăuda produsul respectiv (pentru detalii vedeți site-ul ING, că nu am de gând să dau link-uri aici).

Bun, din toată nebunia de marketing mi-a atras atenția acel „3D Secure”. Ce înseamnă el? Think „varianta online a codului PIN” – în momentul realizării unei plăți online, înainte de acceptarea plății, ți se cere un cod. O parolă. Pe care o știi doar tu. Ca urmare, pierderea/furtul cardului de credit nu înseamnă neapărat și pierderea banilor de pe el.

Dacă mă întrebați pe mine, eu am două probleme cu mecanismul respectiv:

1. Mi se pare mult mai ușor de folosit în interesul băncii. Deși ei se laudă că ai „money back guarantee” în cazul unor tranzacții care nu au fost efectuate de tine, citiți cu atenție condițiile de utilizare 3D Secure. Și veți afla că „sunteți răspunzător direct de toate tranzacțiile efectuate folosind codul 3D Secure”. Adică nu mai puteți spune „n-am făcut eu tranzacția”, și ca urmare banca nu mai trebuie să se stresseze să vă dea vreun ban înapoi.
2. Eu folosesc de peste un an cardul Visa Electron de la ING pentru plăți online. Fără nici un fel de probleme. Și nu înțeleg de ce nu au activat mecanismul echivalent („Verified by VISA”) pentru cardul respectiv, și au ținut neapărat să lanseze „un nou produs”.

Buuuun… văd ofertă cu „cardul e pe gratis”, zic „hai să încerc”. Aplic online, și aștept să fiu contactat „în 5 zile lucrătoare”. În a 5-a zi vine PIN-ul prin poștă, dar… nu mă sună nimeni. Ca urmare, mă duc la bancă. Și încep cu ce mă rodea pe mine.

„Nu vă supărați, CE avantaje are cardul acesta față de cel pe care îl am deja (Visa Electron)?”
„3D Secure”
„Și nu există ceva similar și pentru VISA?”
„Nu” (??!!)
„Bun, și în afară de asta?”
„E embosat, și îl puteți folosi în mai multe locuri. De exemplu la rezervări de hotel”

Sunt chiar curios – a mai văzut cineva vreun reader care să necesite card embosat și/sau vreun site de plăți care să accepte Mastercard și să nu accepte Visa?

Anyway, povestea continuă. Iau cardul, merg acasă și mă apuc să îl înscriu în 3D Secure. Primul lucru pe care îl constat e că „romcard.ro” nu merge (vrea neapărat „www.romcard.ro”). Minor annoyance – merg mai departe…

Încep înscrierea. Dau toate datele necesare, dar înainte de „submit” dau și eu click pe „termeni și condiții”. Normal, nu? Ei bine, la apăsarea butonului de revenire la formular, primesc un mesaj de eroare, și trebuie să o iau de la capăt cu introducerea datelor. Minor annoyance…

Termin înscrierea, și… mă lovesc de alt mesaj de eroare: „Respins datorita incercarilor repetate de autentificare. Pentru mai multe informatii va rugam sa ne contactati la telefon 021 xxxxxxxx sau pe email la xxxxxxxx@romcard.ro.”

Sun la telefon, și nu răspunde nimeni. Doar un fax uitat pe acolo. Este ora 16:20 într-o zi de luni, deci nu-mi fac iluzii că „poate răspunde cineva mai încolo”. Trimit un mail pe adresa de contact, și încerc să sun la ING.

Cât sună telefonul la ING, mai dau cu nasul pe site-ul băncii, și aflu că activarea 3D Secure se face la 2 zile de la emiterea cardului. OK, ăsta o fi motivul, dar…. ce naiba e cu mesajul ăla de eroare???

Sun la ING, și sunt trimis înapoi la același număr de telefon de la Romcard. No luck there…

Ora 20:30 – îmi vine mail de răspuns de la Romcard. Mail care conține doar atât – „contactați-ne la telefon”.

Ora 22:30 – ajung acasă, și sun din nou la Romcard. Aflu că nu au ajuns datele de la bancă la ei, și trebuie să sun la ING (again!!!!!). La întrebarea „și de ce naiba voi îmi spuneți că au fost prea multe încercări de autentificare??”, aflu că „este un mesaj de eroare standard”(!!)

Ora 23:55. Stau să scriu post pe blog. După o zi întreagă, 3D Secure tot nu e activat. Și eu am ajuns la concluzia că banii mei depind de:

• o bancă la care nu a știut nimeni să îmi dea un răspuns la întrebarea „de ce naiba nu merge??”
• un sistem informatic pentru care „prea multe încercări de autentificare” înseamnă de fapt „n-am primit datele de la bancă”
• un procesator de plăți la care răspunde cineva la telefon doar dacă ai noroc

Așa-i că pot să dorm liniștit?

Vă spuneam mai devreme că Thawte Web of Trust nu mai există. Ei bine, am găsit un posibil înlocuitor…

E vorba de StartSSL. Care până acum văd că oferă:

• Certificate SSL (recunoscute de ffox/IE). Gratuit!
• Certificate e-mail (gratuite pentru CN=„free user”, pe bani dacă se cere validarea persoanei)
• OpenID provider (de forma http://choose_your_username.startssl.com)

Îmi place mult și modelul de business – nu plătești pentru certificate, ci pentru validare. Adică plătești o dată pentru validarea domeniului, după care poți emite oricâte certificate pentru domeniul respectiv (sau subdomenii). La fel și pentru persoane – plătești validarea identității personale, după care poți emite oricâte certificate de mail.

Cireașa de pe tort? Mai nou există și un sistem de tip „Web of Trust”. Care este doar la început, dar… eu unul sper că va deveni o alternativă viabilă la (fostul) Thawte WoT.

Dacă sunteți curioși cum arată un astfel de certificat, ubergeek.ro folosește un certificat de la ei.

Tocmai am primit și eu dreptul de a invita pe alții la Google Wave. Ca să mai atenuez un pic din durerea provocată de un post precedent (see comments ), ofer 5 invitații gratuit. Pentru primii 5 oameni care postează și îmi dau un motiv serios/interesant pentru care vor să folosească Google Wave.

Ca o paranteză, cei care au ca motiv „este un tool colaborativ excepțional” vor avea o mare dezamăgire… (e încă foarte departe de stadiul respectiv ).