T-Systems: vállaljuk a BKK értékesítési rendszerét
"Örömmel vesszük a hibajelentéseket" - mondta Takács József, a BKK új online értékesítési rendszerét fejlesztő T-Systems Magyarország IT-biztonsági igazgatója, majd néhány mondattal később közölte, hogy személyesen tett büntetőfeljelentést az egyik súlyos hibát kimutató és azt bejelentő felhasználó ellen.
Sajtótájékoztatón ismertette a budapesti közlekedést szervező BKK az online bérletvásárlást és -bemutatást lehetővé tévő rendszerrel elmúlt néhány napban szerzett tapasztalatokat. A rendszert fejlesztő T-Systems Magyarország, a Magyar Telekom leányvállalata is képviseltette magát az eseményen, így a sajtó kérdéseit közvetlenül a döntéshozóknak, a BKK vezérigazgatójának, Dabóczi Kálmánnak, a fejlesztést vezetőknek és a városfejlesztéssel foglalkozó főpolgármester-helyettesének, Szeneczey Balázsnak tudták feltenni - értékelendő transzparencia.
Adatok: biztonságban.
Kezdjük az igazán fontos információval: a főváros, a BKK és a T-Systems egybevágó közlése szerint a rendszerből támadóknak nem sikerült adatot kinyerniük, a felhasználók személyes adatai biztonságban voltak és biztonságban is vannak. Ez egyértelműen a legeslegfontosabb kérdés az ügyben, így komoly megkönnyebbülés mindenkinek, hogy az adatok nem kerültek veszélybe.
A kérdésben az BKK-hoz (felhasználóként és magánszemélyként) az Infotörvény szerinti adatvédelmi incidensre vonatkozó tájékoztatást is kértünk, erre a szervezet egyelőre nem válaszolt - erre egyébként 25 napja van, igaz, a törvény a lehető leggyorsabb válaszadást írja elő a szervezetnek.
Botrányos megoldások
Szakmai körökben általános megbotránkozást keltett a T-Systems által fejlesztett rendszer által képviselt műszaki színvonal, ezt a HWSW-nek név nélkül nyilatkozók szerint részben sietség, részben inkompetencia okozhatta. A felmerült hibák között olyan amatőr bakik fordultak elő, mint a sima szövegként tárolt jelszavak (és azok megküldése kérésre a jelszót elfelejtő felhasználónak), vagy a mód, ahogyan a rendszer átadja a banki megbízást a fizetőkapuként használt OTP banki rendszerének - utóbbi ugyanis triviálisan, a kérés átírásával megváltoztatható, egy átgondolt rendszerben erre egészen egyszerűen nem lenne lehetőség. Az említett hibák létezését egyébként a BKK és a T-Systems maga is elismerte.
A fenti hibák szerencsére nem adtak lehetőséget a rendszerben tárolt személyes adatok kiolvasására (legjobb tudomásunk szerint), a BKK-vezér szerint pedig visszaélésre sem került sor. A vállalat álláspontja szerint a beépített visszaélés-figyelő rendszer kijelzett, a próbaképp vásárolt bérletet pedig gyors ütemben érvénytelenítette, így igazából nem lehetett 50 forintért 10 ezer forintos bérletet váltani - más álláspont szerint viszont szó sem volt érvénytelenítésről míg a sajtóban meg nem jelent az eset. Az eset nyomán egyébként a T-Systems a rendszert ért visszaélés miatt büntetőfeljelentést tett, mivel azt rosszindulatú támadásnak tartja.
Hihetetlen: az internet nem jóhiszemű haverok közössége!
A BKK-vezér Dabóczi egyébként kikelt a rendszert próbálgatók ellen, hitetlenkedve mesélte, hogy 150 felhasználót kellett törölni a rendszerből, mert azonosítóként vulgáris vagy gyalázkodó szavakat és kifejezéseket használtak. Emellett kijelentette, hogy a cég csak a megbízással rendelkező, szerződéses viszonyban álló etikus hackerek tevékenységét tűri el, mindenki más, aki hibát keres a megoldásban, a törvény szigorával találja szembe magát.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
Érdemes megjegyezni, hogy ezen a gondolkodásmódon az informatika hosszú ideje átlépett, elegendő csak a nagy cégek (Google, Facebook) bug bounty programjaira gondolni: a cégek invitálnak mindenkit az aktív hibakeresésre (bizonyos korlátok között), a hibát bejelentőket pedig busásan meg is jutalmazzák. Hasonló programot a hazai startupok (és poszt-startupok) is üzemeltetnek, a LogMeIn, a Prezi vagy épp a Tresorit is bátorítja a próbálkozókat. Ezekkel a helyzet azért is érdekes, mert a T-Systems álláspontja így szembemegy a cég kimondott toborzási céljaival.
T-Systems: vállaljuk
Az informatikai megoldást a BKK számára a T-Systems és a Kürt szállítja, utóbbi alvállalkozóként lát el valamilyen ismeretlen feladatot. Érdekesség, hogy a rendszert a közlekedési vállalat SaaS-formában, tehát előfizetéses szolgáltatásként, havidíjas alapon veszi igénybe, ez bizonyos kondíciók mentén mintegy 22-25 millió forintba kerül havonta, évente tehát nagyjából negyedmilliárd forintos kiadást jelent.
A sajtótájékoztatón a T-Systemset két vezetője is képviselte, Lakatos András a közszféráért felelős üzletág igazgató és Takács József, a cég informatikai biztonságért felelős igazgatója. Ők tömören azt ismételték el, amit Dabóczi Kálmán BKK-vezér: a rendszer működik, a felhasználók adatai biztonságban vannak. Lakatos ugyanakkor elismerte, hogy a rajt óta eltelt néhány napban a cég mérnökei beavatkoztak és "emelték a biztonságot".
A HWSW kérdésére Takács elismerte, hogy a rendszert a T-Systems fejlesztette, annak műszaki színvonalát pedig vállalja - arra már nem válaszolt, hogy a rendszer műszaki színvonalát jellemzőnek tartja-e a T-Systems által fejlesztett egyéb megoldásokra is. Takács igyekezett a megoldás implementációjának műszaki színvonalát és biztonságát relativizálni, közölte, hogy "abszolút biztonságos informatikai rendszer nem létezik", a támadások pedig általánosak a cég által fejlesztett-üzemeltetett rendszerek ellen.
A T-Systems képviselői szerint a csütörtök délután elrajtolt rendszer biztonsági szintje nagyjából megfelelt egy átlagos hazai webshop szintjének, a hétvégi közbelépéssel pedig már e szint fölé került. Ez az állítás egészében értelmezhetetlen, egy tömegközlekedési appal szemben nyilván lényegesen komolyabb biztonsági elvárásnak kellene megfogalmazódnia, mint egy "átlagos hazai webshoppal" szemben - elegendő csak megnézni, hogy a Google a New York-i MTA eTix esetében mivel egészítené ki a kifejezést: "hack".
Mindenki számára nyilvánvalónak kellett volna lennie, hogy a BKK értékesítési rendszere, amelyet ráadásul a T-Systems fejleszt és üzemeltet, célpont lesz - jó szándékú hobbi-hackerek és rosszindulatú, visszaélésre játszó támadók számára egyaránt. Ennek ellenére Dabóczihoz hasonlóan Takács is meglepetését fejezte ki, hogy a megoldás ellen "rosszindulatú támadások" indultak szinte azonnal, és sok száz próbálkozást számoltak a cég mérnökei az indulás óta.
Ez egyébként a sajtótájékoztató visszatérő motívuma volt, mind a BKK, mind a fejlesztők konzisztensen rosszindulatú támadásokról beszéltek (amibe amúgy a sajtó is bekerült), azt a benyomást keltve, hogy a vezetők a webre egy jóindulatú, vagy legalábbis semleges közegként tekintenének, nem pedig egy alapvetően ellenségesnek. Egészen szürreális belegondolni, hogy a legnagyobb hazai rendszerintegrátor az internetet nem potenciális támadási felületként kezeli és váratlanul éri, hogy ott esetleg rosszindulatú szereplőkkel érdemes számolni.
Nem az ötlettel van gond
Az ötletet és a működési logikát viszont érdemes elválasztani annak megvalósításától - mert utóbbival kapcsolatban azért vannak problémák, ahogy fentebb is vázoltuk.