BKK-s csengőfrász: hol lesz a következő rés?

2017 július 23 8:25 de.9 comments

A Budapesti Közlekedési Központ (BKK) elektronikus jegyének ötelete érthetően foglalkoztatja a közvéleményt. Különösen most, hogy kiderült: a technikai problémákra figyelmet felhívó felhasználó ellen feljelentéssel éltek az illetékesek. Miközben a nekik szegezett kérdésekre nem igazán válaszolnak. Ez is érthető. De erről később. Mert előtte azért érdemes megemlíteni a csengőfrásznosztalgiában élő belügyi apparátus fellépését. Azt, hogy éjszaka állították elő azt a 18 éves fiatalembert, aki az említett problémákról szólni mert. Amely eljárással kapcsolatban Tarlós István főpolgármester a hallgatásával tüntet. Holott tudjuk: cinkos, aki néma.

Egyébként a jelenlegi akciónak nyilvánvalóan van egy emberi tanulsága. Van egy olyan pont, amin nem érdemes átlépni. Ilyen lehet az is, hogy nagy rendszerek sérülékenységét felfedve valóban nem a biztonsági rés széles nyilvánosság elé tárása a legjobb, legbiztosabb megoldás. Ugyanakkor az is nyilvánvaló: a zártkörű információmegosztás alapvetően bizalmat tételez fel. Legkevesebb azt a bizalmat, hogy ebben az esetben nem jelentik fel ugyanúgy biztonsági rést feltáró fiatalembert. Csak a vádpontokat esetleg megfejelik zsarolási kísérlettel is. S akkor ügyvéd legyen a talpán, aki kihozza az eljárásból az illetőt. Márpedig van az a pénz, és van az a rendszer, amikor a problémák feltárása nem feltétlenül érdeke a veruházónak. No meg a szállítónak sem. Különösen azért nem, mert okkal tételezhetnénk fel: egy ilyen rendszer az élesítés előtt igen komoly teszteléseken esik át. Márpedig, ha azokon a teszteken átsurrant egy biztonsági rés, akkor nyilvánvalóan nem csak az a hibás, aki ezt megtalálja. Így az első komoly kérdés az lehetne, hogy ki végezte, kik végezték a rendszer tesztelését, majd a biztonsági auditálását? Azt csak remélni lehet, hogy az erről a folyamatról készült jegyzőkönyvek, az azokat aláíró felelősök nevei ugyancsak felmerülnek majd a vádhatósági eljárások során.

Miközben azért azokba a morzsákba is érdemes belekotorni, amelyek az évek során potyogtak szerteszét. Az elektronikus jegy bevezetéséről már 2008-ban voltak ötletek. 2011-re már meg is ért a döntés. Amellyel kapcsolatban kicsit időhurokban is érezhetnénk magunkat. Mert a 2011-es hír záróakkordja még arról szól, hogy egy még korábbi ötlet is létezett. De az meghiusult a túl drága megvalósítási ajánlat miatt. Ám egy pillanatig sem vonom kétségbe, hogy az akkor lérdéses beszállító, és most feljelentő cég az akkori fiaskóból tanulva, alá ment az akkori ajánlatnak. Ugyanakkor az interneten elérhető egy dokumentum, ami a címe alapján egy, a BKK elektronikus jegyrendszerének megvalósítási tanulmányára utal tartalomként. Az óvatosság azért indokolt, mert a BKK honlapján jelenleg akadozottan elérhető, és így elsőre csak közvetett forrásból sikerült elolvasni a dokumentumot. Ha azonban ez az igazi, akkor érdemes figyelembe venni, hogy egy bizonyos chip-típus 2008 óta ismert sérülékenységét említik benne. Egyben javasolva más típusok használatát. Miközben egy másik forrás, 2012-ben, azt emeli ki, hogy a londoni Oyster Card a minta. Ami remélhetőleg csak elvi minta. Mert a Wired már 2008 júniusában arról írt, hogy az akkor használt rendszer törhető volt, és 2014 körül még vidáman elpolemizálgattak a hekkelését illetően a Reddit-en. Amellyel különben nincsenek egyedül. Amennyiben 2013-ban már az Androidos mobiltelefonnal törhető holland közlekedési rendszerről olvashattunk. S itt ismét találkozhatunk azzal a chip-típussal (Mifare Classic), amelynek problámás voltát a hazai dokumentum is emlegeti. De természetesen feltételezzük, hogy mindezekkel az ismeretekkel azok is rendelkeztek, akik végül elkészítették a BKK elektronikus megoldását. A 2016-os becslés szerint: aranyáron.

Azt sem veszítve szem elől, hogy a csengőfrász jelenlegi elszenvedője, a pillanatnyi információk szerint, az on-line vásárlási rendszer réseire bukkant rá. Ahogy azt sem, hogy az emíltett megvalósíthatósági dokumentum is kiemeli az ismerten labilistól eltérő, biztonságosabb chip-készletek használatát egy kártyás megoldás esetén. Így reméljük: a következő társfeljelentő nem a BKK bankkártya-elfogadó rendszerének kiépítését elnyerő OTP lesz.

maxresdefault (1)

***

Megjelent a T-Systems, szinte már sajnálkozó közleménye a BKK rendszerének feltörhetőségével kapcsolatban. De a közlemény, mintha hiányos lenne. Leginkább a felelősség megállapítása terén. Ezért is gondoltam, hogy egy nyílt kérdéssel talán segíthetek előrébb jutni ezen a téren.

Nagyon kedves T-Systems!
Egy on-line kereskedelmi rendszert beüzemelés előtt le kell tesztelni. Nem szoktak, nem elvárható, hanem kötelezettség. Egy böngésző alapú alkalmazást a gyakori operációs rendszerek, gyakori böngészőivel, és a még telepíthető verziókkal meg kell nézni. Nem jófejségből, hanem a szakma írott, illetve íratlan szabályai alapján.

Ezekről a tesztekről, azok körülményeiről tesztelési jegyzőkönyveket kell felvenni. Olyanokat, amely a funkiconális és nem-funkcionális tesztek elvégzését kellően igazolja. Olyan esetben, amelyben a felhasználó adatai is „utaznak” a rendszerben, biztonsági teszteket is el kell végezni. Ezekről egy, a biztonsági auditok alapját képező jegyzőkönyvet szintén fel kell venni. Az élesítést megelőzően, ahogy egy liftet is átvesznek műszakilag, egy biztonsági és funkcionális audit elvárható. Referenciaként megtekinthetők az ISTQB és ITIL tanfolyamok tankönyvei is.
Ezt követően azok lennének a kérdések, hogy:
  • Ki, illetve kik végezték a teszteket?
  • Ki, illetve kik írták alá a tesztelési jegyzőkönyveket?
  • Ki, pontosabban melyik ismert auditor végezte el az auditálást?
  • Ki írta alá az auditálás jegyzőkönyvét?
  • Milyen hiányosságokat állapítottak meg a tesztek, illetve az auditálás során?
  • Milyen intézkedési terv született az esetleges problémák megoldására?
  • Az intézkedési tervet ki ellenőrizte, és végrehajtását ki hagyta jóvá?
  • Az UAT-tesztet ki végezte, arról milyen jegyzőkönyv készült, és azt ki írta alá?
  • Mindezek alapján a rendszert ki vette át, és az élesítéséről ki döntött?
Mert az elképzelhető, hogy a fiú hibát követett el, amikor nem fülbe-gyónta a saját tesztjeinek az eredményét. De az elképzelhetetlen, hogy a fejlesztést és beüzemelést végzők részéről ne lehetne megállapítható a szakmai felelősség. Így az lenne az elvárható, ha a következő közleményükben a fenti kérdésekre is megadnák a választ. Azok névsorával, akik aláírói voltak azoknak a dokumentumoknak, amelyek nélkül egy on-line személyes adatokat is forgalmazó, fizetés-érzékeny rendszert nem illik, nem szoktak, és nem is igen lehet megvalósítani.
S ez a felelősi kör nem a takarítónő, és nem is csak sokadik beosztott szoftvertesztelő, hanem a döntéshozatali lánc egyes tagjai.

9 Comments

  • engem az ilyen macskajancsik nem érdekelnek (mármint a puhatestű megverem mert kiderített) ki9zárólag az foglalkoztat, miszerint -majdnem- halálos bűnnek kívánják bemutatni azt a tényt, hogy meg lehetett hekkelni a rendszert…és ha igen, akkor persze meg is tette valaki mert sokan próbálkoznak…most úgyis divat lett a szájbertérben kutakodókat halálos bűnnel vádolni, pedig olyan jó kipróbálni élőben azt a tudást amit kemény munkával mexerzett a “delikvens” ez egy örök kihívás marad akár yahoo akár BKK akár akármi és fiatalok játszani akarnak…nincs feltörhetetlen kód, vagy ha van, akkor az annyiba kerül, amennyiért nem érdemes megcsinálni

    a többi rablómese és üzlet

  • Uborkaszezon van, ma még dög meleg. Simay ur felvezette Magyarország jelenlegi legérdekfeszitőbb eseményét, mint képzett informatikus és auditor. (A másik a tusványosi fütyülős lány lett volna, de a hölgy tul idétlenül adta elő szerepét…)

  • rodeo36
    2017 július 23
    9:09 de.

    Valóban nincs feltörhetetlen kód és rendszer. Ahogy nincs tökéletes program sem, csak olyan, amit nem teszteltek eleget.

    Azonban egy felhasználói adatokkal gazdálkodó programnak meg van a maga tesztelési protokollja. A böngészős programoknak is.

    Egy on-line értékesítési rendszernek nem szabadna úgy törhetőnek lennie, hogy IE 11 helyett mondjuk 38.x verziójú FireFox-on használják. Windows helyett Linuxon, vagy androidon, stb.

    Ahogy védettnek kell lennie a hálózati csapdázás, xscripting és hasonlók ellen is.

    Ha ilyen, ma már nyolcadikosoktól “elvárható” trükkökkel törhető, akkor a fenti kérdések nagyon is relevánsak.

  • Nem kell túlkomplikálni a témát : a T-Systems magyar leánycége alsókategóriás szoftveresekkel íratta és állíttatta fel ezt a rendszert. Hozzáértők szerint alapvető hibákat vétettek. Ezt külön tesztelés nélkül lehetett tudni előre is. Miért nem alkalmaztak jobb képességű szoftverfejlesztőket? Jó kérdés.

    Amit művelt a T-Systems a jó-szándékú 18 éves fiatallal, az példanélküli. Más országokban pénzdíjat kínálnak azoknak, akik forgalomba hozatal előtti informatikai rendszereket feltörnek. Nálunk nagy mellényt viselnek ezeknek a magyar cégeknek az ostoba vezetői.

    Utólag nyökögött valamit a T-Systems, feltételezésem szerint a német anyacég léphetett a magyar pökhendi vezetés tyúkszemére. Meg nem erősített hírek szerint a BKK-t meg Tarlós István rakta helyre.

    Már csak a magyar rendőrség van hátra, hogy valamiféle mindenki számára megnyugtató módon zárja le a rabosítási eljárás alá vont fiatal közérdekből elkövetett hekkelését. A történethez tartozik, hogy reggel 7 órakor kereste lakásán négy(!) nyomozó, és vitte be rabosításra és kihallgatásra mintegy megelőlegezve egy számítógépes bűncselekmény elkövetést.

  • A mi országunk egyszemélyes diktatúra, ahol MINDENT Orbán Viktor határoz meg. Következésképp nem lehet benne hiba. A szoftverekben sem. Aki ilyesmit állít, az hazaáruló, és megérdemli a sorsát. Punktum.

  • ISTVAN Nagy

    Mivan pajti? Találtál egy klaviatúrát?

  • A mai baloldal “erődemonstrációja” napjainkban:
    http://index.hu/video/2017/07/24/tuntetes_bkk_bkv_hacker_hekker/
    ………
    Mondanivaló: nulla
    Tettrekészség: nulla
    Szervezettség: nulla

  • Tudják mi a csenőfrász? Nem hinném.
    T.i. akkor nem ezt a hülye címet adják a cikknek, és még a főszerkesztő engedélyezte is!
    Hogy a cikk írója tudja, szintén, az akkori “szép” időkben volt divat, mikor a nácik és a komcsik hatalmon voltak.
    Sajnos, mind kettőt átéltem.
    Jó, hogy az a 18 éves ” ártatlan szenvedő”, NEM abban a korban élt!

  • A legújabb fejlemény: a biztonsági réshibákat akarni kellett belerakni. Ha egy fejlesztő a tíz legveszélyesebb biztonsági hibából hatot belepakol egy alkalmazásba, az megmagyarázhatatlan – nyilatkozta Krasznay Csaba, a Nemzeti Közszolgálati Egyetem kiberbiztonsági akadémiájának igazgatója.

    Az igazgató azzal a 24.hu birtokába jutott több mint 3000 ember – köztük külföldiek – személyes adatait tartalmazó adatbázisával kapcsolatban mondta, ami a forrás állítása szerint a BKK rendszeréből származik.

Leave a Reply


Trackbacks

This site is protected by Comment SPAM Wiper.