... mert választani kell

A BKK ügy nagy tanulsága

2017/08/03. - írta: Válasszunk

Ha arról írnák, hogy a MÁV, a T-Systems és az Origo érintettségével jelszavak szivárogtak ki, és a biztonsági rés annak ellenére nyitva van, hogy hosszú ideje mindenki tud a veszélyről, biztosan lenne jó pár ember aki anyázna. Kiváltképp akkor, ha elmondom a T-Systems egyik kiemelt referenciáját jelentő rendszer érintett. Vagy éppen a BKK webbérlet botrány kapcsán említett egyik különösen súlyos biztonsági kockázatot sikerül így lemásolni. És borzasztó sok felhasználó adata lehet veszélyben mióta ez így van. És persze az adott kiemelt referencia működése is akadozik. Az adatszivárgáshoz pedig olyan hiba is kell amit egy valamire való kisvállalkozás sem mer elkövetni, mert azon a szinten is ciki. Mindez igaz lenne. A beszámoló valóban botrányos hibáról szólna. Csak van pár gond:

  • Az érintett T-Systems referencia a vonatokon lévő ingyen WiFi
  • A hasonló ingyen WiFik esetében a lehallgatás lehetősége, mint sebezhetőség, általános. Ebben a T-Systems nem hibázott. 
  • Az akadozás annak köszönhető, hogy nincs mindenhol megfelelő mobilnet lefedettség
  • A Google már "bünteti" azokat az oldalakat ahol nincs TLS.
  • Biztonságos TLS hiányában az átvitt adatok (jelszó, profil adatok, privát üzenetek, stb) lehallgathatók ez jelentős biztonsági kockázat.
  • A BKK Webbérlet kapcsán a DROWN sebezhetőség is azt jelentette: Nem volt biztonságos TLS. De ott legalább valamilyen TLS volt.
  • Ahol jelszót, bejelentkezést is kezelni kell és nincs TLS az valóban ciki, durva hiba, Ilyen például a Reblog.hu az Origo blog platformja
  • De éppen ilyen mondjuk a blog.hu, vagy éppen a Magyar Idők oldala. 
    • Ellenpont és érvényes TLSlel rendelkező oldalak pl. a 444.hu és a 888.hu
    • A hvg.hu a CDNt, load balancinget is nyújtó Cloudflare rendszer miatt kapna SSL tanúsítványt, de így a Cloudflare rendszer nem éri el a HVG servereit, a TLS nem működik,
  • A TLS fontossága a BKK ügy tárgyalása kapcsán is felmerült.

Nos akkor a botrány csak a Reblog.hu-ról szól? A blog.hu-t használom, itt blogolok és jó érvek szólnak e mellett a platform mellett. El tudom mondani ezeket az érveket, ezek között hangsúlyos az, hogy sok ember már regisztrált így könnyebben lehet kommentelni. Éppen így fontos az Index címlap. Hogy nem miattam fogsz regisztrálni és nem miattam adod meg ilyen felületen a jelszavadat. Ez nem üzleti dolog. És persze ahol egy honlapért én felelek ott természetesen van TLS.

De a szempontjaim nem mentik az üzemeltetőt. Ha a TLS (https://) hiánya felmerül akkor vajon mennyire hisszük el az Index vagy a HVG bármely olyan cikkét ami olyan jellegű és mértékű hibák súlyosságáról szól amit a lapok mögött álló csoportok is elkövetnek? Ha súlyos akkor miért nem tesznek rendet a saját házuk táján? Ha ott nem kell rendet tenni akkor miért botrány ugyanez akkor, ha más csinálja? Sokkal hitelesebb lenne sok cikk akkor, ha közben a percek alatt beszerezhető és viszonylag olcsó tanúsítvány és megfelelő TLS védené a blog.hu és az index kommentelőinek biztonságát. 

Ugye sejtjük, hogy amikor a "hír szent, a vélemény szabad" alapon belül is ennyi a mozgástér, de sokan kockáztatnak egy kis helyreigazítást ezt tovább tágítva, akkor a média nehezen fog valakit meggyőzni. Ha az utóbbi időszak súlyosnak mondott eseteit nézzük: A CEU ügy keveseket érint közvetlenül. Ha két jobbos történész panaszkodik, hogy a "szemét CEU" miatt a tényszerűség helyett a PC az elvárás, és ez a tudomány szabadságát sérti, le kell törni a CEU szarvát, akkor az ő panaszukkal szemben mi fog állni? Sok olyan lap aminek a fentiek miatt nincs okod hinni. Ellenzékiek akik akkor is ugyanígy viselkednek,ha a kormánynak igaza van, akkor is, ha nincs. Így a legnagyobb botrány sem fogja a szavazatokat befolyásolni.

Miért volt más az Internetadó? Mert mindannyiunkat érintett és nem lehetett mellé annyi érvet se letenni, mint mondjuk a vasárnapi boltzár mellé. De a rezsicsökkentés, a béremelések és számos más dolog közvetlenül érinti a választókat vagy olyan embereken keresztül akikkel könnyen tudnak azonosulni.

A BKK Webbérlet ügye azért csúnya, mert számos szolgáltató, minden embernek felhívja a figyelmét akár a jelszó kezelés biztonságára, akár a biztonságos SSLre, akár a személyes adatok védelmének a fontosságára. Olyan helyekről jön ez az információ, mint az ember bankja, a kedvenc online játékainak a fejlesztője. Ez a mérce és az ezzel ellentétes tapasztalat egyértelműbben tud átmenni. 

Ez ezért tud fontos lenni. Az, hogy "mekkora botrány, hogy nem lehet sem a PC, sem a feminizmus nevében emberi jogokat meggyalázni" és sír az ellenzék nem fog átmenni. Még akkor sem, ha a DK szerint az a fontos, az az alapvetés, anélkül mekkora a baj. 

És amikor a BKK lakásról, ottani betörésről beszél, kilóg a lóláb: A lakás ugyanis nem a másik értékeivel van tele. Itt pedig a felhasználók személyes adatai, az ő biztonságuk a tét, és a BKK és a T-Systems ezt biztosan durván veszélyeztette. Innen pedig sok hacker már nem "betörő" szerepbe került, hanem "tolvajkergető" lett. 

komment

A bejegyzés trackback címe:

https://valasszunk.blog.hu/api/trackback/id/tr3212716124

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

süti beállítások módosítása