Amikor a Webbérlet körül megjelentek az első hírek az egyszeri blogger nehéz helyzetben volt. Bár volt olyan politikai csoportosulás, aki nagyon helyesen, a feljelentés pártján állt, az Együtt csak kérdezett, pár DKs politikus csak tesztelt. Ha pedig a blogger mutogatni kezd, hamar mehet a bíróságra. Azóta a BKK is mutogat, mondjuk a T-Systems irányába. Aki korábban azt gondolta, hogy valami átlagos hülyegyerek fejlesztette ezt a tákolmányt az meglepődik az egyik legnagyobb cég nevét hallva. A használt technológiák viszont nagyobb cégre, komolyabb fejlesztőcsapatra utalt. De hogyan kerülhet ki egy ilyen cég kezéből egy ilyen tákolmány.
Ugye te is ismered a megszokott reakciót? Az ellenzék és a kattintásban érdekelt sajtó már előre abban reménykedik, hogy valami rossz lesz. Bármibe bele lehet kötni. Abba is ami jó. És sokszor indul el úgy az útjára egy hír, hogy aki először megírja az amennyi torzítás belefér, annyival clickbaitebbre faragja, kell a botrány, abból van a kattintás és a pénz. A következő ember ezt használja forrásként, és ő is farag rajta. A végére pedig egész szép népmese kerekedik ki, amire a másik oldal hír- és álhírgyárai izomból reagálnak. Ha kell akkor akár hazugsággal. És persze politikai motiváció mentén ők is faragnak a maguk hírein. Sokszor ebből lesz a karaktergyilkosság.
Ismered a tanmesét a fiúról aki farkast kiáltott? Remek. Sejtheted, ezen az alapon igen nagy és tekintélyes hírportálok is megkapják az álhíroldal jelzőt. De a másik oldal is. A gond az, hogy olykor a döntéshozók nem tudják mikor van a baj, mikor jön egy olyan fiaskó, mint Internetadó ügyben, amikor nem lehet megnyerni a csatát, mert a kritika mögötti probléma túl nyilvánvaló ahhoz, hogy ki lehessen magyarázni. Hiszen egy álproblémát ugyanígy tálalnak.
Amikor az amúgy kitartó FIDESZ szavazó, FIDESZ mellett érvelő informatikusok sokasága harsogja a szakmai konszenzust: Ez a rendszer nem biztonságos. Nem lehet az a plaintext jelszó miatt. Pont. Sikerült azon kevés hiba egyikét elkövetni ami után nincs magyarázat. És ami kiprovokálja azt, hogy felmérjük a kockázatokat, felelőst keressünk. És ami bármilyen jelentéktelennek látszik pár webbérlet ügye, talán az utóbbi időszak egyik legfontosabb kérdése.
Politikai kérdés - Miért olyan, mint papír alapon?
Nagyon örültem az elektronikus jegyeknek, bérleteknek. És pontosan tudom, hogy a QR kód tökéletesen megy a MÁVnál is, és meg lehetett volna ezt jól csinálni a BKK szintjén. Sokan rámutatnak: Készül a chip kártyás rendszer az egész így pénzkidobás. Elnézést, de ez az álláspont butaság. Ha tetszik, ha nem, Magyarországon az idegenforgalom húzóágazat. A turistát hol taxi, hol transzfer viszi a szállásra, majd elindulna a városba és hirtelen kellene neki jegy van bérlet. Nem biztos, hogy a szállása közelében ezt meg tudja venni. Mert tök jó, ha a kártyát sok helyen lehet majd feltölteni online is de valahol meg is kell vásárolni. És nem biztos, hogy a kártya vásárlás, kártya legyártása, kezelése, stb. megéri akkor, ha keveset utazik (fapadossal jött pár napra).
És legyen szó turistáról, vagy a "csak olajcserére" a budapesti szervizbe érkező autóstól aki azzal szembesül, hogy több napos javítás jön, teljesen mindegy, hogy valaki papír alapú jegyet nem tud venni, vagy chipkártya alapút, a lényeg az, hogy nem tud jegyet venni. Ezt pedig az online megvehető jegy azonnal kompenzálja, és amennyire a chipkártyát le lehet olvasni, annyira a QR kódot is, a QR kódos jegy pedig a MÁVnál évek óta bizonyított bevált és jó megoldás. Pedig ott sem mindig kérnek hozzá igazolványt...
Lehet abból ügyet csinálni, hogy a "hamissal is átengedik az embert". A papír alapú jegyekre, bérletekre sem sokszor figyelnek. A biztonsági őrök, a járművezetők általi ellenőrzés kapcsán ezt számos video igazolta. Az igazság az, hogy a BKV számára egyforma bevételkiesés az, ha valaki jegy nélkül utazik és az, ha azért nem utazik mert nem tud jegyet vásárolni. Az utóbbi probléma kezelésére viszont az automaták telepítése csak félmegoldás.
Csakhogy az egész probléma ott kezdődött el, hogy a teljes webbérlet konstrukció során a könnyebb ellenállás felé indultak el. A papír alapú termékeket másolták, és mivel "nem tudunk jegyet kezelni" ezért napijegytől felfelé vált elérhetővé a kínálat. A papír alapú jegyek ilyen követése mellett ott szólt az érv: Nehéz más jegyek árában, konstrukciójában megegyezni és ez csökkentheti az árbevételt, ha az utas optimalizál. Tükrözze minden megoldás a papír alapot, abból a politikus szerint baj nem lehet. Pedig de. Például a hamisítás kapcsán.
Valójában a BKK árbevételére a hamisítás is hatással van. Nomeg az is, hogy a rossz díjstruktúra sokakat bliccelésre biztat. A rendszer annak ellenére lett egy ideiglenes tákolmány, hogy az online vásárlás, és a mobilon bemutatható bérlet a jövő évben megjelenő elektronikus jegyrendszer mellett is fontos kiegészítés.
Jogi problémák
Ha az ember jogászt kérdez éppen arra a jogi problémára mutat rá, mint amire az informatikus. is: Az ÁSZF csak az online értékesítésre vonatkozik. Az utazási szerződés kapcsán a BKK Üzletszabályzata az irányadó, amibe nem kerültek bele az online jegyértékesítéssel kapcsolatos pontok. Például a jegyvásárlás részre sem. E szerződés viszont nem igazán rendezi a webbérlet rendszer leállása, működésképtelenné válása, problémák miatti leállítása esetén teendőket. Például: Büntet-e az ellenőr, ha a rendszer leállása, problémák miatti leállítása miatt nem tudunk aznap frissített bérletet felmutatni? Hiszen az utazási feltételek, az üzletszabályzat, az utazási szerződés nem jelzi ezt vis maiornak, és ettől függetlenül elvárja az érvényes jegy felmutatását. Ezzel szemben a webbérlet rendszer saját feltételei szerint a rendszer kiesése vis maior. Ez viszont nem a T-Systems sara.
Ezen a ponton számos dolgot nem tudott sem a T-Systems, sem más úgy megtervezni, hogy esély legyen a rendszer hatékony működésére. Hiszen nem lehetett eltérni a papír alapú használat feltételeitől. Ez például igazolványszámok esetén gond. Míg a MÁV esetén elegendő a név és az életkor, bárhol elegendő lehetne a név, fénykép, életkor addig itt maradt az igazolványszám kérdése.
És itt jött elő még egy gond: "vonaljegy típusú jegyet" vagy más hasonlót ilyen formán nem tudnak árulni, hiszen azt a hatósági jóváhagyás nélkül nem módosítható üzletszabályzat szerint a járművön kell érvényesíteni, az ott lévő eszközzel. A bérletről viszont nem írja le a szabály azt, hogy papíron kell lenni. Így maradtak azok az adatok amiket eddig is használni lehetett. Még akkor is, ha az adatok ilyen köre kockázatos volt.
A név és a születési idő többnyire bárkiről kideríthető, fotó is van. Ezek személyiséglopás szempontjából máshonnan is kideríthető adatok. Az igazolványok száma ami sok helyen azonosításra szolgál viszont különösen érzékeny adat lehet mind személyiséglopás, mind pedig későbbi social engineering támadások szempontjából. Akinek a feladata volt a rendszert átgondolni annak feladata ezt tudni is. És mégis úgy döntött, hogy egy támadás esetén ilyen adataim is veszélybe kerülnek. Behívta a hackereket a házamba, a munkahelyemre, bárhova.
Tervezési hiányosságok
Ideális esetben egy hasonló rendszer tervezése során viszonylag hamar felmérnék mit is akar a rendszerrel kezdeni a majdani fogyasztó, hogyan lehet ezt hatékonyan és jól kiszolgálni. Jól látható egy probléma: Leginkább azoknak kell mobillal vásárolt jegy akik ritkán utaznak, és az utazási igényük meglepetésként éri őket. Jól látszik, hogy ebben az esetben nem a bérlet, de többnyire nem is a napijegy a keresett termék. A webbérlet persze jó lenne azoknak akik panaszkodnak "tegnapig volt jó a bérletem és nem vettem rögtön újat". És akkor már arra is panaszkodni kell, ami egyébként jó lenne a BKKnál. A gond csak az, hogy nem véletlenül van az előző mondatban benne a lenne szó.
Ugyanis a bérletet akár napokkal vagy hetekkel előre is meg lehet váltani. Sokan elfelejtik a lejárat dátumát amíg nem szólnak nekik. Mások a szokásaik rabjai. És persze készpénzzel fizetnének. Vagy csak aki a bérlet vásárlást veszi lazán, az az e-bérlet frissítésénél, a telefon feltöltésénél és ki tudja hány más helyen is hibázhat. A célközönség jelentős része számára a Webbérlet nem jó. És persze lehet arról beszélni, hogy hiányzik a német nyelvű felhasználói felület, pedig fontos lenne, hogy nem mindenhol használható a rendszer fordítóprogramokkal így az idegenforgalom szempontjából sem jó a felület. Azaz nem volt sem megrendelői sem fejlesztői oldalról átgondolva a rendszer használata.
És piszok sok lehetőség kimaradt.
Hiszen a papírt kellett másolni, hiszen egy önálló rendszer kapcsán az üzletszabályzat nem lett volna meg időre. Pedig hosszú távon kellene jó webbérlet.
Hamisíthatóság és a hűtlen kezelés kérdése
A jelenleg látott animáció egy vicc, a QR kódot viszont nem ellenőrzik, mert túl sok időt vesz igénybe. Ha sok embernél lenne ilyen bérlet akkor még több időt venne igénybe. A rendszer borzalmas, hiszen míg a papír alapú bérlet ellenőrzése során az utas egyetlen helyről veszi elő a bérletet és az igazolványt, egyetlen mozdulat a kettőt egyszerre mutatni, és nincs szükség további lépésre, addig a webbérlet mellett szükséges igazolványt máshonnan kell elővenni. Az ellenőrzés során a telefonon tovább kell navigálni, a QR kódot kell leolvasni. Ez a forgalmat feltartja és közben mások is próbálnának elhaladni az ellenőrzést végző mellett. Ezt elvárni minden utasnál hatalmas butaság.
A hamisítás elleni védelem kapcsán nem a tökéletesség a legfőbb cél, hanem a gyors ellenőrzés lehetősége ami mellett nehezen csúszik át a hamisítvány és immár a vásárlási lehetőségek szélesítésére kell költeni. El kell fogadni, hogy sem a papír bérlet, sem a webbérlet nem önmagában jelent utazási jogosultságot, pusztán csak igazolást jelentenek arról, hogy ki és milyen feltételekkel szerzett utazási jogosultságot, és ilyen igazolás mindaddig több példányban is létezhet, amíg az egyértelműen azonosítja kinek milyen utazási jogosultságához kötődik.
A sok lépcsős lassú ellenőrzés megspórolható a következő esetekben:
- A bérletről készülhet papír változat amivel pont olyan egyszerű ellenőrizni, mint a nem weben vett bérletet.
- A képernyőn egy a weblapon előre regisztrált út kapcsán egyszerre látható:
- A felhasználó fényképe.
- A leolvasható QR kód (alternatív biztonsági elem).
- Egy az adott időszakban, adott vonalra érvényes 3-4 számjegyű kód. Ez esetleg más adattól is függhet.
- Az utas neve, életkora.
- A képernyőn, a futó appnak és az online kapcsolatnak köszönhetően egyszerre látható
- A felhasználó fényképe.
- A leolvasható QR kód.
- Egy adott területen az adott percben érvényes kód (Az app megnyitásakor, stb. percenként lekéri a serverről, GPS pozíció szerint)
- Az utas neve, életkora.
- Idővel: NFC kapcsolaton keresztül (később kártya is használhatja) az app kommunikálhat egy telepített (fokozatosan telepíthető) rendszerrel és az ellenőrzést végző képernyőjén azonnal megjelenik a profil a fényképpel, a jogosultság és a felhasználó adataival.
A bárhol megvásárolhatóság, a platformfüggetlen weblapból való elérhetőség is megmaradna előnynek. Viszont sok más esetben biztosítaná a gyorsaságot. Ha az utas nem tudja hol van NFCs azonosítás, mikor megy olyan busz, akkor a pontos ellenőrzés növekvő esélye miatt a hamisítás gyakorlatilag kizárható lenne. A mostani hosszadalmas ellenőrzés pedig, ha a QR kód és a fénykép mindig látható gyorsabb lenne. Hiszen a kód leolvasása után az ellenőr is látná a fényképet, adatokat. Igazolvány ellenőrzésére igen ritkán lenne szükség.
A jelenlegi rendszer viszont borzalmas, és ezért a veszteségért, és a személyiséglopás miatti esetleges perek során keletkezőért valakinek vállalnia kellene a felelősséget.
Megvalósítás nehézségei?
Vannak hibák amikre nincs mentség. Ilyen a plaintext jelszó. Nem csak profi szinten nem fér ez bele, de nem néznék el ezt egy iskolai házi feladatnál sem. A legegyszerűbb junior webprogramozónak is elmondjuk: Ilyen hibára nincs mentség. De arra sincs sok mentség, hogy az önmegvalósítást a megrendelő, a felhasználók érdeke fölé helyezve, az elérhető jó megoldás helyett saját rossz megoldást válassz. És a legtöbb elérhető megoldás olyan, ha patcheled, szakszerűen használod, megvannak az elvárt biztonsági rétegek, akkor biztonságosak. Függetlenül attól, hogy a "kedvenc" ilyen eszközeimről beszélünk, vagy sok idegen tákolmányról. Pont azért biztonságosak, mert egy nagy közösség, sok felhasználó, sok hacker tesz meg mindent azért, hogy a hibát felismerjék és befoltozzák.
Lehet a kód "folt hátán folt", kaotikus átláthatatlan patchwork, vagy lehet a tervezés során bele került felesleges vagy annak látszó lehetőségek miatt kevésbé hatékony, de sokszor még mindig olcsóbb az utóbbi esetben a plusz költség, mint egy az egyedi fejlesztés során hosszú távon jelentkező költségek. Amikor más venné át a projektet. Amikor kiderült, hogy az "egyediségben" bízó fejlesztő mellett ólajtó méretű biztonsági rések tátonganak a kódon. Minden közgazdász tanult a volumenhatékonyságról, és minden valamire való informatikai képzésen elmondják: Az egyediség, az ismeretlenség önmagában még nem biztonság. Viszont azt jelenti: Te sem tudod milyen támadási vektorokra kell felkészülni, az IDS, a tűzfal, stb. nem tud sok gyanús dolgot kiszűrni.
A korszerű biztonság alapja a defense in depth koncepció arról is szó, hogy ha az egyik réteg védelem átjárható egy biztonsági rés miatt, akkor még mindig van előtte / mögötte több másik ami akár az új fenyegetettségre is reagálhat. Egy weboldal kapcsán az ügyfél nem akar az updateért fizetni? Még mindig ott lesz az adott CMS hibáira figyelő mod_security szabály, mint 0. órás virtuális patch. Még mindig lehet fenn több más biztonsági csomag, IDS, virtualizáció, és ki tudja mi minden.
A rendszer lehető legnagyobb részének kell olyan kész kódra épülnie amit biztonsági szempontból sokan és sokszor átnéztek.
Nem árulok el nagy titkot: Bérletet minden olyan rendszer kezel ahol profilhoz előfizetést lehet kapcsolni és az előfizetést is mutató profil oldal testreszabható, arra az adott oldal URLje is oda kerülhet QR kód formában. És nem lenne nehéz e mellé "megjegyzésként" más rendszerből útvonalat is rögzíteni. A fejlesztő persze könnyen gondolkodik el, hogy egy komolyabb framework, egy komplett rendszer ágyúval verébre. De azért itt lehetnek útmutatók, cikkek, a web bérlet mellett nem árt, ha a többi online megrendelhető terméket is elhelyezik így a webáruházi funkció sem lenne gond.
A rendszer jelenlegi szinte nem sok egyedi fejlesztést igényel. Természetesen az ideális rendszer esetében az automaták felé szükséges integráció (készüljön papír bérlet), az általam megjeleníteni javasolt biztonsági kódok megjelenése számos funkció integrálását jelenti más rendszerekhez. Itt a használt keretrendszert és / vagy egyéb rendszereket alaposan ismerő webfejlesztő felelne sok rendszer integrációjáért egyedi funkciók megvalósításáért.
Az egyedi fejlesztések során viszont a biztonság szempontjából kritikus funkciók sincsenek kész, és nem azért fizetnek, többnyire nem azon múlik, hogy átveszik-e a weblapot. Ha a projekt a tervekhez képest csúszik a legkönnyebb pont a biztonság szempontjából fontos funkciók jelentős részét feladni. A plusz ellenőrzéseket, sok más funkciót. A tervek szerint a fejlesztők jelentős része tudja, hogy kellene hash, sok más dolgot ki kellene találni, hogy hogyan lesz biztonságos. A jelszóemléketető kérésnél sokan csak tokent küldenek amivel meg lehet változtatni a jelszót, mások az új jelszót, megint mások pedig egy egyszer használatos jelszót amit a következő belépésnél cserélni kell.
Az utóbbi értelme, hogy a felhasználó nem tud maradni a régi, esetleg már nem biztonságos jelszavánál változtatni kell... És az új jelszó nem lehet benne az előző x darab jelszóban. Szóval lehet gondolkodni, tervezni, és elképzelni, hogy majd jön az authenticator, mint második azonosítási faktor. Csak éppen a megcsúszott fejlesztésnél eljutnak oda, hogy a rendszer nagyjából működik. Nem volt komoly tesztelés (unit testing sem), sok dolog nincs matematikailag átnézve, számos biztonsági funkció sincs benne, de a megrendelő által látott dolgok kb. megfelelnek az elvárásainak és itt a határidő, úgy ahogy össze kell rakni.
Kész alapokra építkezve a biztonság szempontjából kritikus dolgok jelentős része adott, és sok biztonsági software ismeri a potenciális támadási vektorokat és ki is védik a támadások jelentős részét. És a jó fejlesztő akkor is tud szólni, ha azért kellene egyedi megoldás, mert a megrendelő marhaságot kér. Mondjuk direktben elküldött jelszót. A kerék újra-feltalálását is megrendelni akkor, ha erre nincs szükség felvetheti a hűtlen kezelés gyanúját, kiváltképp akkor, ha a fenti hiányosságok miatt az ilyen fejlesztés súlyosabb károkat okoz.
Az egyedi vagy nem egyedi megoldás kapcsán eszembe jut az, hogy a több helyen használt megoldásba könnyebben kerül be, hogy ne csak jelszóval tudjon beléptetni, hanem úgy is, hogy a server által küldött szöveget a hiteles digitális aláírásunkkal aláírjuk. De a sok helyen felhasznált rendszer idővel bővülhet olyan authentikációs megoldások támogatásával amik a mobil eszközön létező eszközöket (TPM modul, biometrikus azonosítás, stb) is kihasználják.
Ok-e a kivándorlás
Általános válasz az, hogy a kód azért ilyen, mert a jó informatikus nincs az országban. Azon túl, hogy ez azért sok itthon dolgozó jó informatikust súlyosan lenéz, azokat is, akik nemzetközi versenyben állják meg a helyüket, és esetleg nem csak alkalmazottak, van egy súlyos probléma: senki sem írta elő, hogy ezt akkor is Magyarországon kell fejleszteni, ha az ilyen károkat okoz. A gond csak az, hogy a jó megoldáshoz nem kell különösebben jó szakember, mondjuk a hazai webes fejlesztésekkel foglalkozó cégek jelentős része ennél jobb eredményt tudna felmutatni.
A kivándorlás kapcsán viszont fontos megjegyezni: Az adórendszerre lehet azt mondani, hogy igazságtalan. De többek között az a célja, hogy a nemzetközi szinten is versenyképes informatikus, stb. kevésbé legyen abban motivált, hogy a durva adóterhek ellen meneküljön. Sok dolog itthon olcsóbb, akkor is, ha az adott informatikus nemzetközi piacra (is) dolgozik. És nem mindegy, hogy melyik réteg kivándorlásával foglalkozunk. Mert a képzetlen munkaerőt, a McDonaldsban való munkára termett bölcsész nem fejlesztenem jobb rendszert, de a keveset keresők megadóztatása elől menekül.
Informatikus-hiány
Amennyire nem lehet az esetet ráfogni a kivándorlásra sem, annyira az informatikushiányra sem. Ugyanis a problémák jelentős részét laikus is észrevette. Több browserben kipróbálni, régi gépen is, nem igényel túl sok informatikai ismeretet. A projekt irányításában résztvevő vezetők vezetői kompetenciáit kérdőjelezi meg, hogy a T-Systems ilyen kódot adott ki a kezéből, és ezzel kapcsolatban számos alapvető hibára is rá lehet világítani.
Amennyire egy jó rendszer jó referencia is, annyira igaz az is, hogy egy ilyen fiaskó után sokan teszik fel a kérdést: Ezt a minőséget lehet elvárni a T-Systemstől? Ez belefér a Telekom csoportnál? Hamar előkerül sok kisebb-nagyobb probléma és ez szerencsére sok potenciális vásárlót tart vissza attól, hogy a cégben, a brandben megbízzanak. És itt a T-Systems egy nemzetközi brand. És vezetői kompetencia az is, ha esetleg a megrendelő plaintextben tárolt és kiküldött jelszót akarna, akkor elmondani ez miért kockázatos, ilyen szakmai hiba a cég hírneve szempontjából akkora károkat okozna, hogy ezt nagyon erős és nagyon publikus indoklás nélkül sajnos nem tudják megoldani.
A hiba elég nagy, és a vizes VB, az F1 kapcsán külföldieket is érinthetnek a problémák. Vajon, ha egy német adatait lopják el, és a felelőtlenség mértékéről a német sajtó is értesül mennyire árt az a Telekom csoportnak? Vezetői kompetencia lett volna felismerni, hogy ebben a projektben nagyon rosszul mennek a dolgok, és megfelelő válságkezeléssel megoldani a problémákat.
Kit veszel fel?
Tény az, hogy az ütőképes csapat kapcsán a kezdőket a végzettségük és pár tesztfeladat alapján tudod felvenni. Az előbbi sokszor nem mond semmit, mert olyanok is diplomát kaptak akiknek egy értettségire sincs elegendő tudásuk. Az utóbbi pedig vagy helyben megoldható és ezért egyszerű, a kapkodás is érthető, csak működjön... Így persze nem derül ki belőle, hogy ki fog ilyen tákolmányokat gyártani. Vagy második lehetőségként nem helyben kell megoldani és más csinálja meg olykor helyette. Barát, valamilyen csoportban, oldalon kért segítség lesz a megoldás.
Ugyanakkor a HRnek egy szempontból igaza van. Nem itt kellene kiderülni, hogy a munkavállaló alap dolgokat nem tud. Ezeknek az oktatás során kell kiderülni, és aki nem felel meg az alapvető követelményeknek azoknak nem lenne szabad, hogy diplomája legyen. A probléma gyökere az alkalmatlan emberekkel teli munkaerőpiac. Ilyen tákolmányt valamire való szakember nem ad ki a kezéből. És a T-Systems biztonsági igazgatója, a mögötte álló szakmai stáb mindenki szemében nevetségessé vált azzal, hogy a titkosítatlan jelszóval együtt biztonságosnak nevezte a rendszerüket.
Az ember sok dologról feltételes módban és óvatosan fogalmaz. Bicskanyitogató választ kaptál te is a jelzett hibákra, fenyegetőztek, és összecseng ez a sajtónyilatkozattal ahol szinte minden hiba észlelést bűncselekménynek akarta beállítani pár paprikajancsi? Mégsem biztos, hogy a cégtől jött a válasz. Sok helyen van vendég wifi, a saját hálózatukból lehet úgy levelet küldeni, a feladó átállítható... Sőt az "x megbízásából dolgozó" ügyvéd levele az ő rendszerükből még megtoldható egy kamu honlappal is, kamu Facebook oldallal, telefonra, válaszlevélre is reagál, az "ügyvédi irodánál" a DKIM is stimmel.
Ha készpénznek veszed, hogy a válaszhoz közük van és le is mered írni akkor feljelenthetnek a jó hírnevük megsértése kapcsán és ők most ilyen feljelentős fajták. Akar a fene ilyen kérdésekkel foglalkozni. Lehet, hogy igazad van, de ki tudja hogy ítél a bíróság. Más jó hírnevére nyilvánosság előtt vigyázni kell. Mégis leírtam: "Ilyen tákolmányt valamire való szakember nem ad ki a kezéből. És a T-Systems biztonsági igazgatója, a mögötte álló szakmai stáb mindenki szemében nevetségessé vált azzal, hogy a titkosítatlan jelszóval együtt biztonságosnak nevezte a rendszerüket."
A titkosítatlan jelszót használó rendszert biztonságosnak nevezni olyan mértékű fiaskó ami mind az adott biztonsági igazgató, mind az adott cég hitelét megkérdőjelezi. És azét az oktatási rendszerét is ahol az ilyenért felelős embereknek felsőfokú szakirányú végzettsége lehet.
Hülyeképző Egyetem
Hiányzó szakképzés
Érdemes megnézni hányan szereznek valamilyen informatikai területen diplomát, és hányan szereznek informatikai témájú középfokú végzettséget. Mondjuk szakgimnáziumban. Kezdjük érteni a problémát? Akik ezt a problémát létrehozták képtelenek voltak a biztonság kérdésére, számos szakmai kérdésre, stb. odafigyelni. De arra, hogy egy nagyobb csapatban beosztottként egy-egy view amin dolgoznak működjön és elfogadhatóan nézzen ki alkalmasak.
És még inkább azok lettek volna, ha azt tanulják meg jobban amire megvannak az adottságaik. Mert akkor azt jobban megtanulják. És ehhez szakma kellene, és nem egyetemi végzettség. Ha viszont az egyetemektől azt várjuk el, hogy az informatikushiány miatt ezeknek az embereknek adjon diplomát, akkor a végigszenvedett képzés ellenére sem lesznek jók matematikából, összetettebb rendszerek tervezéséből, stb. de legalább az alapfokú- vagy középfokú tudás is hiányos lesz, mert mást tanultak meg belőle, és a "számukra érdektelen" tananyag mennyiség laza számonkéréssel párosult.
Amikor informatikai karokon mind a gyakorlat vezetők, mind az előadók kapcsán rendszeresen merülnek fel problémák, de ha ennyi embert kell oktatni, ahhoz ennyi előadó, ennyi gyakorlatvezető kell, és "nem jut ennyi megfelelő ember az egyetemeknek" akkor a probléma érthető is. Ha akik számára valóban egy informatikai jellegű szakma lenne a megfelelő azok szakképzésben maradnának, akkor lényegesen kevésbé lenne baj az, hogy "kevés a jó gyakvez az analízis tanszéken".
Leváltott professzor
Megdöbbenve hallottam, hogy az ELTE úgy döntött, Simon Péter professzor úr elvárásai miatt túl sokan buknak meg, hát ne rajta múljanak az elvárások. Mert ugye szegény gyerek nem tehet róla, hogy hülye, hogy nem elég felnőtt még és ezért lusta, de ő akkor is fontos rendszereket akar tervezni, és nehogy már elvágja őt ettől az, hogy sokadszor is megbukik analízisből. Annyi esze nincs a gyereknek, hogy az előadás nyilvános, lehet sok helyről tanulni, a web is segít és akkor próbálkozzon amikor már megvan rá az esélye. De bízzuk rá olyan rendszerek tervezését amin esetleg életek múlnak, mert szegény nem tehet róla, hogy... és hát mégis ez az álma.
A jaj szegény gyerek sírás tökéletes a heves érzelmek keltéséhez, a demagógiához, a hülyeség promotálásához. És mivel érzelmek és botrány és minden bármit tele lehet vele sírni. És végig lehet nézni azt, hogy hány helyen panaszkodnak hallgatók a tárgy hasznossága kapcsán. Mert szerintük nem kell ennyi matematika. Ahhoz, hogy a bár tesztelt biztonságos dolgokat használni tudd nem árt visszavezetni a problémát már megoldott feladatok sorára. Nem árt tudni milyen más megoldás lehet egyenértékű a te megoldásoddal. Hogy hogyan lehet sok ismétlődő lépést egyetlen lépéssel megoldani. Hogy például milyen matematikai módszerekkel próbálhatják megkerülni a biztonsági intézkedéseidet.
A BKK Webbérlet szintű munkákhoz valóban nem kell matematikai tudás, gondolkodásmód, készségek. Csak éppen, ha azt mondjuk, hogyha a tanár el meri várni, hogy ilyen dolgokat a diák megismerjen akkor őt le lehet váltani, akkor a diák azt hiszi, mindaz amit a tanár elmondott felesleges. Meg amit erre visszamutogatva hallott a biztonságról az is. Meg az, hogy azért mit hogyan kellene tesztelni, bizonyítani visszavezetni... És ha mindez felesleges nem csoda, ha nem veszi észre, hogy az amit csinál milyen tákolmány lesz. Nos így születik a webbérlet.
Az izmozás szánalmas
"Dabóczi a hekkelésekkel kapcsolatban kijelentette: az etikus hekker megrendelői megbízás alapján, szerződéssel teszteli a rendszert. Minden egyéb jó vagy rossz szándékú hekkelés bűncselekménynek minősül, 3 évig terjedő büntetéssel sújtható." Dabóczi úr téved. Az etikus hekker ezen felül elég sok mást is megtesz. Például a rendszer normális használata során észlelt hibákat, biztonsági hiányosságokat jelzi. Például mielőtt valamit használna a jogosultságai túllépése nélkül, a szabályokat betartva értékeli a kockázatokat. Például ezen felül a látható kockázatok jelentős részét felismeri és erről szól.
Elárulok valamit: A böngésző által jelzett hibák pl. mixed content kapcsán a diagnosztika természetes és nem ellenük hackelési kísérlet. De az mixed content miatti kockázat említése, jelzése sem. Sőt az sem, ha diagnosztika kapcsán ránézünk diagnosztikai eszközzel (ami alkalmatlan a rendszer feltörésére) arra, hogy rendben van-e náluk az SSL. De a régi böngészővel mások által talált hiba sem ilyen.
Feljelentések oda-vissza
Fent említettem számos olyan dolgot ami megtörtént, és ami bemutatja a rendszer hibáit. Ezek egyike sem bűncselekmény, ellenben a hasonló biztonsági réseket észlelő emberek mindegyikével kapcsolatban feljelentést említett Dabóczi úr. Van viszont más ami viszont bűncselekmény.
Személyes adattal visszaélés
219. § (1) Aki a személyes adatok védelméről vagy kezeléséről szóló törvényi rendelkezések megszegésével haszonszerzési célból vagy jelentős érdeksérelmet okozva
a) jogosulatlanul vagy a céltól eltérően személyes adatot kezel, vagy
b) az adatok biztonságát szolgáló intézkedést elmulasztja,
vétség miatt egy évig terjedő szabadságvesztéssel büntetendő.
A fent kiemelt részlet megvalósítása viszont bűncselekmény. És bár e kérdésben dönteni csak a bíróságnak van joga, az a rendszer ami a régi böngészők mellett kiadta másoknak a többi felhasználó adatát nem felel meg a célnak. Nem leállítani a rendszert ez után egyértelműen az intézkedés elmulasztása, és Dabóczi úr itt csak a saját súlyos rosszhiszeműségére nyújt bizonyítékot, amir a hibák bejelentőivel szemben cselekszik.
Onnantól kezdve viszont, hogy a BKK rendszerének ilyen működése a felhasználókkal szemben bűncselekmény érdekes helyzet áll elő. A legtöbb etikus hacker cselekvése kapcsán általánosan is igaz, hogy az nem veszélyes a társadalomra és így nem is bűncselekmény. A másik probléma persze az, hogy a bűncselekmények áldozatai védekezhetnek, sőt mások is megvédhetik őket az eredeti cselekménnyel arányos és szükséges mértékig.
A T-Systems és a Telekom családhoz tartozik, de mondjuk a GTS Datanet felvásárlásával megszerzett server hotel is. A serverekhez való távoli hozzáférés kapcsán az azonosítás olyan okmányok sorszámával zajlik, amit a webbérlet rendszer is tárol. Azzal, hogy ez a személyes adat a rendszer elégtelen védelme és a szándékosan meg nem tett intézkedések miatt kijuthat az borzalmasan nagy károkat okozhat.
Onnantól kezdve, hogy a régi böngészőkkel mások profiljának elérése több helyről megerősített hibaként megjelent, a BKK nem tesz érdemi intézkedéseket az adatok megvédésére, viszont a hibák felderítését, a kockázat felmérését alaptalan feljelentgetéssel is nehezíti, ezzel súlyosan rosszhiszemű magatartást tanúsít azt hiszem a másik oldalról a jogos védelmi helyzet is eléggé tág határokat teremt.
Persze, ha nincs érdemi ellenőrzés akkor a jogos védelem a közérdeket is védi. A hibákkal mit sem törődő céget a jog és a nyilvánosság szorítja rá a hibák javítására. Mi az a mértékű hackelés ami arányos és jogos védelem az ellenőrzés hiánya, mint hűtlen kezelés leleplezése, megállítása, megakadályozása kapcsán.
Tovább megyek: Egy későbbi jogvitában könnyen lehet majd azt mondani, hogy aki a BKK viselkedését jogsértőnek látja az miért nem tett feljelentést, ha már védekezni kellett. Innen pedig sok embernek nincs más választása, mint részben az adatkezelést felügyelő hatósághoz fordulni, részben ismeretlen tettes ellen büntetőfeljelentést tenni.
Szakértőként, tanúként, "mi is láttuk a hibát", "mi is tudjuk, hogy ez életveszélyes így" alapon pedig az informatikai szakma jelentős része, nemzetközi szaktekintélyek és sok más áll az egyik oldalon. És ez egy olyan ügy amiben az etikus hackereknek, a rendszer felhasználóinak, az informatikai szakmának akár nemzetközi szintű bíróságig is érdeke elmennie. Mert ez a trend nem honosodhat meg, és ez a viselkedés, ez a minőség a fejlesztés során az egész szakma becsületére rányomja a bélyegét.
Politikai következmények
A politikai kérdésekben hajlamosak vagyunk úgy gondolni, hogy x pártra szavazunk, de nem mi vagyunk a pártért, a politikusért, hanem az van értünk. De lehetséges azt mondani x párt országos politikája a szimpatikus, y párt támogatja a szimpatikusabb egyéni jelöltet, míg az önkormányzatot inkább z párt kezében látnánk. Amikor a FIDESZt tekintem a kisebbik rossznak, sokszor adott emberi jogi érvek szólnak a baloldal ellen. De a törvény egyenlő védelmét gender alapú diszkriminációval felforgatni legfeljebb országos szinten lehet. Éppen így a Jobbik radikális, szélsőséges politikája is országos szinten jelent érdemi kockázatát, és van olyan Jobbik kötődésű önkormányzat ami jól működik.
A budapesti közösségi közlekedés körül rendszeres a konfliktus Tarlós és kormány között is. Ha Tarlós is lesz a FIDESZ jelöltje a következő ciklusra egyáltalán nem biztos, hogy jobb érdekérvényesítő képességgel rendelkezne egy ellenzéki főpolgármesternél. Amikor pedig a BKKt a saját embereivel töltötte fel, akkor vállalta a politikai felelősséget az ilyen hibákért. És azért is, hogyha ezek után az emberei a BKK vezetésében a helyükön maradhatnak. A korábban jól haladó projektek azóta való csúszásáért és számos problémáért is. A mostani ügy sok szempontból példátlan, vállalhatatlan és kellően súlyos.
Mert sokszor mondtam el: Lehet most is mutyi, de most elvárjuk, hogy aki egy megoldást szállít garantálja a biztonságot. És ebben jobb, mint pl. az Alstom ügy. Ha ezzel szemben az a rendszer lesz, hogy aki szólni mert a veszélyről, kivizsgálja a többiek biztonsága érdekében a problémát azt jelentik fel az igen veszélyes precedenst jelent, mert amikor kis ügyben is le lehet nyelni a veszélyes terméket, akkor ahol több pénz és nagyobb érdekérvényesítő képesség kerül elő, ott sem lehetünk biztosak a biztonságban. És ez az a pont, ahol az a politikus akinek ilyenhez köze van lesz a legnagyobb rossz a csoportban. Ez az érv, és a mostani rendszer veszélyes volta mögötti konszenzus hatalmas támadási felületet teremt.
A rendszerről sokan, az Origo újságírói is, azt hazudták, hogy biztonságos. Hazudták, mert tisztában kellett lenniük, hogy nem az. Aki hitt nekik azok adatait rosszhiszeműen tették ki veszélyeknek. Amikor e sorokat írom rendszer épp áll. Sem a tervezett üzemszünetre előírt tájékoztatás, sem a várható időtartamot is jelző, üzemzavar idején kötelező tájékoztatás nincs kint az oldalon. Helyette egy egyszerű üzenet.
"Tájékoztatjuk ügyfeleinket, hogy a webshop szolgáltatás átmenetileg szünetel!"
Nem tudjuk meddig. Tájékoztatást az okról sem kaptunk. A BKK Facebook oldala is néma az ügyben. De gyanítom az után, hogy a T-Systems nemzetközi oldalán, az ottani vezetők elérhetőségein és sok más helyen is sikerült jelezni a hibát a karbantartás végére már nem küldik vissza az embernek a jelszót e-mailben, sőt a profil szerkesztésénél sem lesz kitöltve kétszer a jelszó mező. És gyanítom az Index által talált új hibajelenség is a rendszer drasztikus átírásából származik.
A kérdés az, ha nem látunk hibát, akkor elhisszük-e a BKK és a T-Systems arrogáns válasza után? Kérdés az, hogy lesz-e aki kiáll és elnézést kér, mert felismerve azt, hogy mennyi hiba volt durva vállalnia kell a felelősséget. Lesz-e aki elmondja amikor a felhasználók adatait ennyire veszélyeztetik és arrogánsan viselkednek a veszélyek felmérése azért, hogy a többi felhasználót, a potenciális áldozatokat figyelmeztesse éppen úgy közérdek, mint az, hogy akkor is szóljon valaki, ha a rendszer átverhető és a változatlan működtetése a hűtlen kezeléssel lenne határos.
Lesz-e aki a 600 szisztematikus támadás jó részét és a jelzéseket megköszöni?
És ha a BKK vezetése valamennyire politikai jellegű pozíció akkor ez utána a történet után és a cégvezetés eddigi viselkedése után lesz-e akinek ez az állásba kerül, vagy majd a következő választásnál kerülnek elő a tanulságok.
A bejegyzés trackback címe:
Kommentek:
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben és az adatvédelmi tájékoztatóban.
Lutriboy 2017.07.20. 13:43:50
Tomanovics Gergely · http://tomanovicsgergely.blog.hu 2017.07.20. 16:42:00
Ezt például Lisszabonban jól megoldották: van papírból készült, de NFC-chipet tartalmazó kártya, valami 50 eurocentbe kerül, és metróállomáson automatából lehet venni, aztán feltölteni annyi napra, amennyit ott akarsz tölteni. Tavaly voltam ott (fapadossal pár napra) és teljesen egyértelmű volt a rendszer használata.
András Horkay 2017.07.24. 14:45:28