2017. július 23., vasárnap

Demagógisztáni napló: kollektívan Tusványos árkaink

Orbán Viktor, és tapsoncai megtartották az esedékes öntömjénezést az ország keleti határától kicsit keletebbre. Az eseményt mégsem erről jegyezte meg számos médiafogyasztó, hanem egészen másról. Mert Borbáth Áron hatalmas tettet hajtott végre. A Harry Potterben olvashatók nyomán azt mondhatnánk, hogy tahó tettet, de akkor is hatalmasat.

Az eset, mint tudjuk akkor indult, amikor egy fiatal nő ki akarta fütyülni minden magyarok cárját. Ekkor a hajánál fogva tanította móresre a csíkszeredai magyar konzul sajtósának a férje, aki maga is fotózgat. Ezt követően szabadult el a kommunikációs pokol. Napokra lekötve a különböző internetes fórumokat a témával. Borbáth Áron tette ezen a ponton válik jelentőssé. Mert lehet, hogy őt magát pár hónapra parkoló-pályára kényszeríti az eset, de hatalmas szívességet tett Orbán Viktornak és a magyar kormányzó pártnak. Elvitte a show-t az olyan orbániádák elől, amelyek valószínűleg sokkal jelentősebbek, sokkal tartósabb hatásúak lesznek. Mert megszokhattuk már, hogy a tusványosi találkozó általában a jelmezes főpróbája azoknak a szemétségeknek, amelyek az elkövetkező időszakokban meghatározzák majd a magyarországi Fidesz-kommunikációt. Erre azért kezdenek lassan ráeszmélni azok, akik egy hajkoronánál messzebbre is látnak. Zárójelben: tudjuk kinek a haja bánta az esetet?

Ugyanakkor egy nem kevésbé édes gyümölcsöt feltálalt az eset. Nevezetesen az árokásás eszköztárának lepókhálózását. Ami azért is lehet zene Orbán füleinek, mert azt a fajta hatalomtechnikát, amit alkalmaz nem más tart életben, mint az, amikor lövész-árkok nyílnak az emberek, embercsoportok között. Márpedig a hajhúzás óta derekasan pengetik ezeket a húrokat. Kezdve attól, hogy az erdélyiek globálisan tahók, odáig, hogy a „túloldal”, a lány megverését helyeslő kommentekből is készült összeállítás.

Alkalmasint figyelmeztetve arra is, hogy korábban már jelezték: ha fütty lesz, pofon lesz. Mert a székelyek már csak ilyenek. A figyelmeztetés szerint figyelmeztetés nélkül ütnek. Amely két vonulat ezen a ponton összeér. Mert kollektivizálja az indulatokat. Holott korántsem hiszem, hogy az erdélyi lakosok körében nagyobb lenne a tahók, illetve és agresszív barmok előfordulási aránya, mint a határ innenső oldalán. Amit a legjobban a 2015. szeptemberi események mutattak. Amikor az ultrák mutattak példát abból a kultúrából, amit nagyjaink féltettek, és féltenek azóta is a menekültektől. Márpedig szinte biztos vagyok, hogy a most „székelyezők” vérig sértődnének, ha az ultrák viselkedése alapján tapló barmoknak tartanák, mind egy szálig, a magyarokat. Ami a hajhúzásos népnevelést egy percig sem teszi elfogadhatóbbá.

Ahogy azt sem, hogy a környékben állók nem a fotósnak osztották ki a „nagy szívlapát-díjat”. De még ennek alapján is óvatosan általánosítanék. Ha másért nem, mert sejthetjük: elég szelektált közönség az, aki jelen volt az eseményen. De azért is, mert tudjuk: az ember tömegben buta állat. A csoport-intelligencia korántsem a részt vevők átlaga. A csoport indulat sem. Az előbbi rendre alacsonyabb, míg az utóbbi rendre magasabb. Ezt az olyan tömeg-manipulátorok, mint annak idején Goebbels is, rendre ki is használják. Amihez hozzá járul az is, hogy kevés magányos hős szaladgál a világban. Az egyén sokszor marad csendben. Mert az, aki tevőlegesen fellép a zsidózás, cigányozás, buzizás ellen, az sokszor magára marad. Nem egy tömegrendezvényen, hanem még egy buszon is. Akkor is, ha az ott őt magára hagyók nagyon pontosan meg tudják mondani az interneten, hogy mit kellett volna csinálnia. Másnak. Nem nekik. Mert a fotelben ülve könnyebb okosnak, és bátornak lenni. Nem Erdélyben, hanem általában.

Amellett indulatosnak lenni is kisebb kockázat. Akár a szavazások kapcsán is. Amelyekkel kapcsolatban ismét leporolásra került a határon túliak szavazásának kérdése. Most éppen egy „bezzeg az erdélyiek” felhanggal. Felhánytorgatva azt is, hogy szinte számolatlanul költ a kormány a határon túli szervezetek, címzetes állampolgárok megtámogatására. Amiben természetesen van valami. A magam részéről nem értek egyet azzal, hogy békeidőben, a magyar adóforintokból, külföldre áramoljanak milliárdok. Annak reményében különösen nem, hogy az abból részesülők majd erre-vagy arra szavaznak. Mert, szerintem, mindenki maga menjen be gatya nélkül a csalánosba. Ne a másikéval próbálja kiegyelni a szúrós leveleket. De ez független attól, hogy hány olyan tuskó él a határok különböző oldalain, akik szerint a nő verve jó. Miközben az utóbbin polemizálva rendre előkerül az erdélyiek szavazása, a legújabban kilátásba helyezett matriarchális pénzosztás, és sok más olyan tényező, amin szintén egyszerűbb otthonról polemizálni, mint egy tényszerű konfliktust vállalva.

Mert azért tudjuk, hogy a sok észosztás és kollektív beszólás dacára sincsenek százezres tömegtüntetések ezekre tematizáltan. Az ellenzék által szervezve sem. Holott lehetne. Nem felülve annak, amikor borbátháronosítják a kommunikációt.

Andrew_s
Comments on Facebook

2017. július 22., szombat

Nyílt kérdések a BKK-kapcsán

Megjelent a T-Systems, szinte már sajnálkozó közleménye a BKK rendszerének feltörhetőségével kapcsolatban. De a közlemény, mintha hiányos lenne. Leginkább a felelősség megállapítása terén. Ezért is gondoltam, hogy egy nyílt kérdéssel talán segíthetek előrébb jutni ezen a téren.


Nagyon kedves T-Systems!

Egy on-line kereskedelmi rendszert beüzemelés előtt le kell tesztelni. Nem szoktak, nem elvárható, hanem kötelezettség. Egy böngésző alapú alkalmazást a gyakori operációs rendszerek, gyakori böngészőivel, és a még telepíthető verziókkal meg kell nézni. Nem jófejségből, hanem a szakma írott, illetve íratlan szabályai alapján.

Ezekről a tesztekről, azok körülményeiről tesztelési jegyzőkönyveket kell felvenni. Olyanokat, amely a funkiconális és nem-funkcionális tesztek elvégzését kellően igazolja. Olyan esetben, amelyben a felhasználó adatai is „utaznak” a rendszerben, biztonsági teszteket is el kell végezni. Ezekről egy, a biztonsági auditok alapját képező jegyzőkönyvet szintén fel kell venni. Az élesítést megelőzően, ahogy egy liftet is átvesznek műszakilag, egy biztonsági és funkcionális audit elvárható. Referenciaként megtekinthetők az ISTQB és ITIL tanfolyamok tankönyvei is. 

Ezt követően azok lennének a kérdések, hogy:


  • Ki, illetve kik végezték a teszteket?
  • Ki, illetve kik írták alá a tesztelési jegyzőkönyveket?
  • Ki, pontosabban melyik ismert auditor végezte el az auditálást?
  • Ki írta alá az auditálás jegyzőkönyvét?
  • Milyen hiányosságokat állapítottak meg a tesztek, illetve az auditálás során?
  • Milyen intézkedési terv született az esetleges problémák megoldására?
  • Az intézkedési tervet ki ellenőrizte, és végrehajtását ki hagyta jóvá?
  • Az UAT-tesztet ki végezte, arról milyen jegyzőkönyv készült, és azt ki írta alá?
  • Mindezek alapján a rendszert ki vette át, és az élesítéséről ki döntött?

Mert az elképzelhető, hogy a fiú hibát követett el, amikor nem fülbe-gyónta a saját tesztjeinek az eredményét. De az elképzelhetetlen, hogy a fejlesztést és beüzemelést végzők részéről ne lehetne megállapítható a szakmai felelősség. Így az lenne az elvárható, ha a következő közleményükben a fenti kérdésekre is megadnák a választ. Azok névsorával, akik aláírói voltak azoknak a dokumentumoknak, amelyek nélkül egy on-line személyes adatokat is forgalmazó, fizetés-érzékeny rendszert nem illik, nem szoktak, és nem is igen lehet megvalósítani.

S ez a felelősi kör nem a takarítónő, és nem is csak sokadik beosztott szoftvertesztelő, hanem a döntéshozatali lánc egyes tagjai.

Andrew_s
Comments on Facebook

BKK-s csengőfrász: hol lesz a következő rés?

A BKK elektronikus jegyének ötelete érthetően foglalkoztatja a közvéleményt. Különösen most, hogy kiderült: a technikai problémákra figyelmet felhívó felhasználó ellen feljelentéssel éltek az illetékesek. Miközben a nekik szegezett kérdésekre nem igazán válaszolnak. Ez is érthető. De erről később. Mert előtte azért érdemes megemlíteni a csengőfrásznosztalgiában élő belügyi apparátus fellépését. Azt, hogy éjszaka állították elő azt a 18 éves fiatalembert, aki az említett problémákról szólni mert. Amely eljárással kapcsolatban Tarlós István főpolgármester a hallgatásával tüntet. Holott tudjuk: cinkos, aki néma.

Egyébként a jelenlegi akciónak nyilvánvalóan van egy emberi tanulsága. Van egy olyan pont, amin nem érdemes átlépni. Ilyen lehet az is, hogy nagy rendszerek sérülékenységét felfedve valóban nem a biztonsági rés széles nyilvánosság elé tárása a legjobb, legbiztosabb megoldás. Ugyanakkor az is nyilvánvaló: a zártkörű információmegosztás alapvetően bizalmat tételez fel. Legkevesebb azt a bizalmat, hogy ebben az esetben nem jelentik fel ugyanúgy biztonsági rést feltáró fiatalembert. Csak a vádpontokat esetleg megfejelik zsarolási kísérlettel is. S akkor ügyvéd legyen a talpán, aki kihozza az eljárásból az illetőt. Márpedig van az a pénz, és van az a rendszer, amikor a problémák feltárása nem feltétlenül érdeke a veruházónak. No meg a szállítónak sem. Különösen azért nem, mert okkal tételezhetnénk fel: egy ilyen rendszer az élesítés előtt igen komoly teszteléseken esik át. Márpedig, ha azokon a teszteken átsurrant egy biztonsági rés, akkor nyilvánvalóan nem csak az a hibás, aki ezt megtalálja. Így az első komoly kérdés az lehetne, hogy ki végezte, kik végezték a rendszer tesztelését, majd a biztonsági auditálását? Azt csak remélni lehet, hogy az erről a folyamatról készült jegyzőkönyvek, az azokat aláíró felelősök nevei ugyancsak felmerülnek majd a vádhatósági eljárások során.

Miközben azért azokba a morzsákba is érdemes belekotorni, amelyek az évek során potyogtak szerteszét. Az elektronikus jegy bevezetéséről már 2008-ban voltak ötletek. 2011-re már meg is ért a döntés. Amellyel kapcsolatban kicsit időhurokban is érezhetnénk magunkat. Mert a 2011-es hír záróakkordja még arról szól, hogy egy még korábbi ötlet is létezett. De az meghiusult a túl drága megvalósítási ajánlat miatt. Ám egy pillanatig sem vonom kétségbe, hogy az akkor lérdéses beszállító, és most feljelentő cég az akkori fiaskóból tanulva, alá ment az akkori ajánlatnak. Ugyanakkor az interneten elérhető egy dokumentum, ami a címe alapján egy, a BKK elektronikus jegyrendszerének megvalósítási tanulmányára utal tartalomként. Az óvatosság azért indokolt, mert a BKK honlapján jelenleg akadozottan elérhető, és így elsőre csak közvetett forrásból sikerült elolvasni a dokumentumot. Ha azonban ez az igazi, akkor érdemes figyelembe venni, hogy egy bizonyos chip-típus 2008 óta ismert sérülékenységét említik benne. Egyben javasolva más típusok használatát. Miközben egy másik forrás, 2012-ben, azt emeli ki, hogy a londoni Oyster Card a minta. Ami remélhetőleg csak elvi minta. Mert a Wired már 2008 júniusában arról írt, hogy az akkor használt rendszer törhető volt, és 2014 körül még vidáman elpolemizálgattak a hekkelését illetően a Reddit-en. Amellyel különben nincsenek egyedül. Amennyiben 2013-ban már az Androidos mobiltelefonnal törhető holland közlekedési rendszerről olvashattunk. S itt ismét találkozhatunk azzal a chip-típussal (Mifare Classic), amelynek problámás voltát a hazai dokumentum is emlegeti. De természetesen feltételezzük, hogy mindezekkel az ismeretekkel azok is rendelkeztek, akik végül elkészítették a BKK elektronikus megoldását. A 2016-os becslés szerint: aranyáron.

Azt sem veszítve szem elől, hogy a csengőfrász jelenlegi elszenvedője, a pillanatnyi információk szerint, az on-line vásárlási rendszer réseire bukkant rá. Ahogy azt sem, hogy az emíltett megvalósíthatósági dokumentum is kiemeli az ismerten labilistól eltérő, biztonságosabb chip-készletek használatát egy kártyás megoldás esetén. Így reméljük: a következő társfeljelentő nem a BKK bankkártya-elfogadó rendszerének kiépítését elnyerő OTP lesz.

Andrew_s
Comments on Facebook