2017. július 22., szombat

Nyílt kérdések a BKK-kapcsán

Megjelent a T-Systems, szinte már sajnálkozó közleménye a BKK rendszerének feltörhetőségével kapcsolatban. De a közlemény, mintha hiányos lenne. Leginkább a felelősség megállapítása terén. Ezért is gondoltam, hogy egy nyílt kérdéssel talán segíthetek előrébb jutni ezen a téren.


Nagyon kedves T-Systems!

Egy on-line kereskedelmi rendszert beüzemelés előtt le kell tesztelni. Nem szoktak, nem elvárható, hanem kötelezettség. Egy böngésző alapú alkalmazást a gyakori operációs rendszerek, gyakori böngészőivel, és a még telepíthető verziókkal meg kell nézni. Nem jófejségből, hanem a szakma írott, illetve íratlan szabályai alapján.

Ezekről a tesztekről, azok körülményeiről tesztelési jegyzőkönyveket kell felvenni. Olyanokat, amely a funkiconális és nem-funkcionális tesztek elvégzését kellően igazolja. Olyan esetben, amelyben a felhasználó adatai is „utaznak” a rendszerben, biztonsági teszteket is el kell végezni. Ezekről egy, a biztonsági auditok alapját képező jegyzőkönyvet szintén fel kell venni. Az élesítést megelőzően, ahogy egy liftet is átvesznek műszakilag, egy biztonsági és funkcionális audit elvárható. Referenciaként megtekinthetők az ISTQB és ITIL tanfolyamok tankönyvei is. 

Ezt követően azok lennének a kérdések, hogy:


  • Ki, illetve kik végezték a teszteket?
  • Ki, illetve kik írták alá a tesztelési jegyzőkönyveket?
  • Ki, pontosabban melyik ismert auditor végezte el az auditálást?
  • Ki írta alá az auditálás jegyzőkönyvét?
  • Milyen hiányosságokat állapítottak meg a tesztek, illetve az auditálás során?
  • Milyen intézkedési terv született az esetleges problémák megoldására?
  • Az intézkedési tervet ki ellenőrizte, és végrehajtását ki hagyta jóvá?
  • Az UAT-tesztet ki végezte, arról milyen jegyzőkönyv készült, és azt ki írta alá?
  • Mindezek alapján a rendszert ki vette át, és az élesítéséről ki döntött?

Mert az elképzelhető, hogy a fiú hibát követett el, amikor nem fülbe-gyónta a saját tesztjeinek az eredményét. De az elképzelhetetlen, hogy a fejlesztést és beüzemelést végzők részéről ne lehetne megállapítható a szakmai felelősség. Így az lenne az elvárható, ha a következő közleményükben a fenti kérdésekre is megadnák a választ. Azok névsorával, akik aláírói voltak azoknak a dokumentumoknak, amelyek nélkül egy on-line személyes adatokat is forgalmazó, fizetés-érzékeny rendszert nem illik, nem szoktak, és nem is igen lehet megvalósítani.

S ez a felelősi kör nem a takarítónő, és nem is csak sokadik beosztott szoftvertesztelő, hanem a döntéshozatali lánc egyes tagjai.

Andrew_s
Comments on Facebook

BKK-s csengőfrász: hol lesz a következő rés?

A BKK elektronikus jegyének ötelete érthetően foglalkoztatja a közvéleményt. Különösen most, hogy kiderült: a technikai problémákra figyelmet felhívó felhasználó ellen feljelentéssel éltek az illetékesek. Miközben a nekik szegezett kérdésekre nem igazán válaszolnak. Ez is érthető. De erről később. Mert előtte azért érdemes megemlíteni a csengőfrásznosztalgiában élő belügyi apparátus fellépését. Azt, hogy éjszaka állították elő azt a 18 éves fiatalembert, aki az említett problémákról szólni mert. Amely eljárással kapcsolatban Tarlós István főpolgármester a hallgatásával tüntet. Holott tudjuk: cinkos, aki néma.

Egyébként a jelenlegi akciónak nyilvánvalóan van egy emberi tanulsága. Van egy olyan pont, amin nem érdemes átlépni. Ilyen lehet az is, hogy nagy rendszerek sérülékenységét felfedve valóban nem a biztonsági rés széles nyilvánosság elé tárása a legjobb, legbiztosabb megoldás. Ugyanakkor az is nyilvánvaló: a zártkörű információmegosztás alapvetően bizalmat tételez fel. Legkevesebb azt a bizalmat, hogy ebben az esetben nem jelentik fel ugyanúgy biztonsági rést feltáró fiatalembert. Csak a vádpontokat esetleg megfejelik zsarolási kísérlettel is. S akkor ügyvéd legyen a talpán, aki kihozza az eljárásból az illetőt. Márpedig van az a pénz, és van az a rendszer, amikor a problémák feltárása nem feltétlenül érdeke a veruházónak. No meg a szállítónak sem. Különösen azért nem, mert okkal tételezhetnénk fel: egy ilyen rendszer az élesítés előtt igen komoly teszteléseken esik át. Márpedig, ha azokon a teszteken átsurrant egy biztonsági rés, akkor nyilvánvalóan nem csak az a hibás, aki ezt megtalálja. Így az első komoly kérdés az lehetne, hogy ki végezte, kik végezték a rendszer tesztelését, majd a biztonsági auditálását? Azt csak remélni lehet, hogy az erről a folyamatról készült jegyzőkönyvek, az azokat aláíró felelősök nevei ugyancsak felmerülnek majd a vádhatósági eljárások során.

Miközben azért azokba a morzsákba is érdemes belekotorni, amelyek az évek során potyogtak szerteszét. Az elektronikus jegy bevezetéséről már 2008-ban voltak ötletek. 2011-re már meg is ért a döntés. Amellyel kapcsolatban kicsit időhurokban is érezhetnénk magunkat. Mert a 2011-es hír záróakkordja még arról szól, hogy egy még korábbi ötlet is létezett. De az meghiusult a túl drága megvalósítási ajánlat miatt. Ám egy pillanatig sem vonom kétségbe, hogy az akkor lérdéses beszállító, és most feljelentő cég az akkori fiaskóból tanulva, alá ment az akkori ajánlatnak. Ugyanakkor az interneten elérhető egy dokumentum, ami a címe alapján egy, a BKK elektronikus jegyrendszerének megvalósítási tanulmányára utal tartalomként. Az óvatosság azért indokolt, mert a BKK honlapján jelenleg akadozottan elérhető, és így elsőre csak közvetett forrásból sikerült elolvasni a dokumentumot. Ha azonban ez az igazi, akkor érdemes figyelembe venni, hogy egy bizonyos chip-típus 2008 óta ismert sérülékenységét említik benne. Egyben javasolva más típusok használatát. Miközben egy másik forrás, 2012-ben, azt emeli ki, hogy a londoni Oyster Card a minta. Ami remélhetőleg csak elvi minta. Mert a Wired már 2008 júniusában arról írt, hogy az akkor használt rendszer törhető volt, és 2014 körül még vidáman elpolemizálgattak a hekkelését illetően a Reddit-en. Amellyel különben nincsenek egyedül. Amennyiben 2013-ban már az Androidos mobiltelefonnal törhető holland közlekedési rendszerről olvashattunk. S itt ismét találkozhatunk azzal a chip-típussal (Mifare Classic), amelynek problámás voltát a hazai dokumentum is emlegeti. De természetesen feltételezzük, hogy mindezekkel az ismeretekkel azok is rendelkeztek, akik végül elkészítették a BKK elektronikus megoldását. A 2016-os becslés szerint: aranyáron.

Azt sem veszítve szem elől, hogy a csengőfrász jelenlegi elszenvedője, a pillanatnyi információk szerint, az on-line vásárlási rendszer réseire bukkant rá. Ahogy azt sem, hogy az emíltett megvalósíthatósági dokumentum is kiemeli az ismerten labilistól eltérő, biztonságosabb chip-készletek használatát egy kártyás megoldás esetén. Így reméljük: a következő társfeljelentő nem a BKK bankkártya-elfogadó rendszerének kiépítését elnyerő OTP lesz.

Andrew_s
Comments on Facebook

2017. július 21., péntek

Nagy ellenzéki ellenfelek: a naptár és az ellenzék

Sokan, sokszor hivatkoznak arra a pártok képviselői, hívei közül, hogy a „fanyalgók” csak nem akarják látni a remekbe szabott, pompás programokat. Az ilyen szemrehányásokból rendszeresen ki szokott maradni a hivatkozás arra, hogy hol is olvasható el ez a csodálatra méltó szellemi lelemény. Ahogy az is, hogy mennyiben tekinthető az egyes honlapokon olvasható szöveg programnak. Ezért, gyors összefoglalásként közreadnék néhány gondolatot. Az MSZP talán méltatlanul került kiemelésre eközben, de példának azért is lehet releváns, mert önmagát a legjelentősebb ellenzéki erőnek definiálva példának is tekinthetjük.

Előre bocsátva, hogy a magam olvasatában a program akkor ér valamit, ha:

- van célja;

- van módszertana;

- vannak a fentiek alapján leírt lépései;

- vannak a lépésekhez rendelt határidők;

- vannak a lépéseknek, határidőknek felelősei;

Ezzel szemben az MSZP honlapján a „Program” cimke az MSZP honlapján az első találat „Tegyünk igazságot! Botka László miniszterelnök-jelölti programja”. Ahonnan valójában a miniszterelnök jelölti pályázata tölthető csak le. Ami jobbára egy lózunggyüjtemény. Már akkor, ha az előzőekben felsorolt pontokat szeretném beazonosítani. Alkalmasint, ha ez egy önálló program lenne, akkor is könnyen eljutnék oda: teszek rá, hogy van a magát ellenzéknek állító katyvasz 6-8 pártjának 8-10 tézisgyűjteménye. Akkor, ha nincs kompromisszumos, közösen képviselt, stb. programja. A fenti ismérvekkel. Mert eleddig az ellenzék egy „szavazzatok ránk, oszt majd jó lesz” mozgalom. „n+1”, és szaporodó fejjel. Köztük az említett Botkával, akinek még az MSZP-t is villámsebesen sikerült megosztania. Az ellenzékről nem is beszélve.

Egyébként, ha az interneten elérhető is egy program, akkor még mindig kérdéses, hogy miként jut el a potenciális választókhoz. Mert mégis, hogy fogja akkor Józsi-bácsi elolvasni a kukutyinbütykürüki krimóból hazatérve? Vagy ő tényleg nem célközönsége az ellenzékeknek? Akkor meg miért kell megsértődni, hogy a Jobbik térnyerésben van?

Írják sokszor, hogy a sok kicsi ellenzék ezt azt közzétesz. Annak érdekében, hogy majd aztán úgy nekiállnak egyeztetni, hogy csak úgy dübörög. Majd. Egyszer. Ennek mikor is kellett volna nekiállni? Szerintem akár 2014-ben. Ugyanis, ha nem tudnák ezek a nagyon bölcsek, a választások 2018-ban lesznek. S jelenleg 2017 nyara van. Az olyan sarrkallatos kérdésben, mint például az oktatáspolitikában ez azt jelenti, hogy augusztusig a fű sem nő. De a pártokban sem. Augusztusban majd szépen mindenki elkezd visszaszivárogni a való világocskáikba. Remélem, addigra Szárszón ismét előadja az ellenzéki értelmiség a maga zártkörű vállveregetését. Ez a két hatás, a nyári szünet, illetve a retorikai önimádat, 2013-ban közel novemberig megbénított minden egyeztetést. Ha idén, kicsit rövidebb az egymás köldökébe vájkálás, akkor talán már októberben nekiállnak egyeztetni.

Ennek fényében mikor lesz, mikorra lehet egy kompromisszumokban érlelt program-tervezet? Talán már december elejére. Akkor, talán még Karácsony előtt, előterjesztik a tagságuknak. Akkor jól megköpködik, és talán ott lesz a karácsonyfa alatt. Ebben az esetben január közepére talán ki is józanodnak azok, akik első sértődöttségükben mindennek keresztbe fekszenek a pártokon belül. Páran kilépnek, majd visszalépnek. Átlépnek és mellélépnek. Akkor neki lehet állni egy, olyan kommunikálható verzió legyártásának, amihez nem kell magyar szakos tanárnak lenni. Ha sietnek, akkor február elején-közepén meg is lehet. Na, ekkor kellene nekiállni annak, hogy meggyőzzék egymás szimpatizánsait. S nem csak a fővárosban, hanem a falvakban is. Nem leugatni, és leuralni, hanem meggyőzni. Valós vitákban, olykor ellenséges hangulatban, de az ilyen hangulatot is kiálló érvrendszerrel.

Erre emberileg hány embert is lehet mozgósítani? Aki “ott lent” is elég hiteles! 20-50-100? Legyen 200. Nem pártonként, hanem összesen. Holott minden pártnak a saját szimpatizánsait kellene kellene meggyőzni, hogy hajlandó legyen a másik, a közös jelöltre szavazni. Hány helyre is kellene fórumot szervezni? Van több, mint háromszáz (346) város. Beleértve Budapestet is, a maga közégnyi kerületeivel. és közel háromezer (2809) község. A falvakról már nem is szólva. Ezt mármint akkor, ha a pártoknak sikerül valóban közös fórumokat szervezni, és valóban komolyan vehető közös programmal országot járni, és minden elsőre sikerül, akkor jövő augusztusig még össze is jönne.

Jah, hogy a választások valamikor áprilisban lesznek? Pech.

Na ezért szívás, hogy Botka még mindig Gyurcsányt, a Momentum mindenkit, és nem Orbánt akarja leváltani. Miközben Tusványoson már felfűtötték a Fidesz gőzekéit. Mert minden egymás köldökébe turkálással bukott nap hetekre odázhatja el közös kompromisszumokat. S akkor a jövő augusztus 2050 decembere lesz.

Andrew_s
Comments on Facebook