Bayer Zsolt: BKK-ügy: Minden hazugság 2. rész

Bayer Zsolt: BKK-ügy: Minden hazugság 2. rész

Kezdjük a második részt a „jó szándékú” hekker további leveleinek bemutatásával.

A következő említésre méltó levelében, amelyet másnap, azaz július 15-én, szombaton 10 óra 43 perckor küld el, azt kifogásolja, hogy bár jelezte a hibát, a BKK nem reagált semmit, és a telefonján még mindig megjelenik a vásárolt bérlet. Ez utóbbival kapcsolatban az az igazság, hogy a rendszer beállítása miatt 24 óráig valóban látható a visszaigazolás, de utazásra nem jogosít (előtte levő nap 15.55-kor a bérletet felfüggesztették). Az elektronikus ellenőrzés során tehát fennakadt volna. Vagyis az Index előző napi cikkének címe, miszerint Bármen­nyiért lehet jegyet venni, egyszerűen hazugság.

A következő igen érdekes levél vasárnap, tehát 16-án este 19 óra 22 perckor érkezik a BKK-hoz. Ebben a „jó szándékú” hekkerünk tájékoztatást kér, hogy miért tett feljelentést a BKK ellene, és ezzel kapcsolatban részletesen kifejti az álláspontját. Talán mondanunk sem kell, hogy ezzel egy időben be­járja a hekkerhez hasonlóan „etikus” és „jó szándékú” sajtót a feljelentés híre, kiegészülve azzal a már-már horrorisztikus elemmel, miszerint a szegény ártatlan 18 éves fiúra éjszaka „törtek rá” a rendőrök.

Ezzel szemben a helyzet a következő.

A BKK nem tett jogi lépést, így feljelentést sem ellene. Valójában 2017. július 14-én az esti órákban a T-Systems Magyarország tett büntetőfeljelentést az ügy kapcsán ismeretlen tettes ellen. Jó lenne tudni, vajon miért állította a sajtó „etikus” és „jó szándékú” része ennek ellenkezőjét. Továbbá az az igazság, hogy a rendőrök reggel hét óra után csöngettek be az érintett lakásába, szó sem volt éjszakai rajtaütésről, de hát a sztorit muszáj volt tovább habosítani, hiszen már hangolni kellett az „ártatlan gyerek” melletti tüntetésre.

Ezt követően a hekker még egy levelet ír a BKK-nak, 17-én, hétfőn 0 óra 53 perckor. Ebben a levélben majdnem könyörgőre fogva megpróbál kiegyezni valahogy a BKK-val. Ebben a levélben már nyoma sincs az első levelek fölényeskedő, cinikus hangvételének.

Összefoglalva tehát a levelek történetét és időrendjét, a következőket állapíthatjuk meg:
Az ügyfél első – központi e-mail címre küldött – levele után 22 perccel (!) már az Index újságírója kereste meg a BKK-t teljes tartalmi kérdéssorral, amelyet egyértelműen az ügyféltől kapott meg, mivel hivatkozik is rá. A portál a hekker legelső, kommunikációra nem használt e-mail címre küldött levelére hivatkozik. A folyamatban lévő nyomozásnak kellene kiderítenie, hogy a „hírportál” felbujtója vagy tettestársa volt-e a hekkernek.

A bejelentő saját maga vall be további bűncselekményre utaló cselekedeteket (MÁV-rendszerfeltörés, Szerencsejáték Zrt. feltörése). A szolgáltató (T-Systems Magyarország) a BKK-nak jelezte, hogy maga is észlelte az incidenst, és megtette a szükséges intézkedéseket a saját, belső protokolljai alapján.
Ennek eredményeként a T-Systems Magyarország csökkentette a rendszer sérülékenységét, és a szükséges jogi lépéseket (büntetőfeljelentés ismeretlen tettes ellen) saját hatáskörben megtette. A sajtó ezzel szemben a BKK-t jelöli meg feljelentőként, és a rendőrségi intézkedésről is teljes hazugságokat tesz közzé. Fontos kiemelni, hogy a biztonsági rést nem lehet rendeltetésszerű használat révén feltárni, ahhoz mindenképpen jogellenes cselekedetre volt szükség.

Nézzük a további hazugságokat, amelyek terjesztésébe az első pillanattól kezdve beszállt az Index mellett a politikacsináló propagandasajtó többi része is, a 444-től kezdve a HVG-n át egészen a 24.hu-ig.

A BKK a közbeszerzési eljárás megkerülésével bízta meg a T-Systemset az új rendszer elkészítésével. Hazugság! A BKK-nak nem kellett közbeszerzést kiírnia erre a feladatra, ugyanis egy már meglévő, „dobozban lévő” rendszert vásárolt meg, ráadásul egy olyan cégtől, amellyel már eleve szerződésben állt.

A BKK nem tesztelte a rendszert, és így bűnös mulasztást elkövetve engedte rendszerbe állni. Hazugság! A BKK szakemberei, informatikusai négy héten át tesztelték a rendszert, amelynek során 450 (!) hibajelentést jeleztek a T-Systemsnek. A június 16-án regisztrált első hibajegy után indult a tömeges tesztelés, igazoltan erre a rendszerre közel 300 hibajegy került, ezenfelül még további leveleket is küldött a BKK. A rendszer július 13-án délután indult el. A jelzett hibák között szerepelt az is, amelyet az indulás után a „jó szándékú” hekker állítólag „megtalált”.

Hírdetés

A T-Systems egy BKK-val közösen jegyzett, Lakatos András által aláírt jegyzőkönyvben elismeri a regisztrált hibajegyzék átvételét, továbbá azt, hogy a hibákat kijavította, a rendszer működéséért teljes felelősséget vállal, és a rendszer július 13-án, 16 óra 15 perckor elindítható. Ezen jegyzőkönyv ismeretében (s amely jegyzőkönyv a sajtó hekkerhez hasonlóan „etikus” és „jó szándékú” részénél is megvan!) teljesen érthetetlen, miért akarják mindenáron a BKK nyakába varrni az egész balhét. Illetve tökéletesen érthető. És az a rosszabb…

A következő „botrány” kirobbantásáig nem kellett sokat várni. Ugyanis néhány nappal később (miközben az Index, a 444 és a többi propagandalap gyakorlatilag nem is foglalkozott mással, mint a BKK-val) megérkezett a „hír”: több mint 3000 – valójában majdnem 4000 regisztrált felhasználó személyes adatai „szivárogtak ki” a BKK rendszerén keresztül, s ezen adatokat valaki, vagyis az adatokat megszerző hekker (egy másik hekker?) eljuttatta a 24.hu szerkesztőségének.

Nos, az egész eseménysor egyik legellentmondásosabb, leginkább kérdéses részéhez érkeztünk.

Amit erről eddig tudni lehet: minden valószínűség szerint a közel 4000 felhasználó adatát nem külső támadás során, nem hekker vagy hekkerek szerezték meg. A felhasználók adatait belülről adta ki valaki! S mivel a BKK vezérigazgatója minden dolgozó, tehát a saját maga hozzáférését is letiltotta már ezen botrány kirobbanását megelő­zően, így a mai tudásunk szerinti lehetséges hely, ahonnét az adatokat valaki kiadhatta, a ­T-Systems Magyarország!
S végezetül néhány dolog, amit még tudni kell.

A Budapesti Közlekedési Központ 2017. július 13-án bevezette a közösségi közlekedés igénybevételéhez szükséges bérletek internetes értékesítését. A webes értékesítési rendszer egy szolgáltatás, amelyért a BKK havidíjat fizet az üzemeltető T-Systems Magyarország Zrt.-nek. A szolgáltatás elindítása óta nagy mennyiségű, sokrétű és egy részében feltételezhetően szervezett támadássorozat érte és jelenleg is éri a T-Systems Magyarország által üzemeltetett rendszert. Naponta több alkalommal, célzott, szándékos túlterheléses és sérülékenységekre irányuló támadás (túlterheléses DDoS támadás) érte a BKK által üzemeltetett infra­struktúrán keresztül a szolgáltatást, ennek hatására előfordulhatott, hogy a felhasználók nem tudták elérni a rendszert. Nagyon fontosnak tartjuk megjegyezni, hogy a két céget felváltva terhelik, így az összehangoltság és a szervezettség feltételezhető.

Az adott terhelésekről és támadásokról a pontos adatgyűjtés még folyamatban van, de nagyon árulkodó, hogy a másodpercenként keletkező naplóbejegyzések száma az átlagos 300-400-ról 13 000 fölé ugrott másodpercenként. (Ez azt jelenti, hogy van olyan periódus, amikor óránként 50 millió támadás éri a rendszert!) A támadások összehangoltak, és reagálnak a biztonsági beállításokra. Egy ilyen sávszélességet és számítási kapacitást igénylő támadássorozat komoly anyagi és humán ráfordítást igényel, célzottsága és szervezettsége miatt gyakorlatilag kizárható, hogy ilyen rövid idő alatt különálló, elszigetelt támadási forrásból érkezik. Külön szeretném kiemelni, hogy a támadás erőssége a T-Systems Magyarország Zrt. weboldalait is elérhetetlenné tette több alkalommal az elmúlt 72 órában. Több szakértő egybehangzó véleménye, hogy ilyen mértékű, technológiai felkészültségű (speciális DDoS) és célzott támadásra az elmúlt években tudomásuk szerint nem volt példa Magyarországon.

Ez a BKK szakértőinek, informatikusainak hivatalos összegzése.

Tehát jelen pillanatban a BKK rendszerét esetenként akár óránként 50 millió (!) támadás érheti, egy rendkívül jól szervezett és nagyon sok pénzbe kerülő akció révén. A cél, hogy megbénítsák a rendszert és a T-Sys­tems egyéb honlapjait.

Mindez bizonyos orgánumok tudtával, segítségével és asszisztálásával zajlik, amely sajtótermékek konkrét bűncselekmények részesei. Így válik érthetővé az a teljes zagyvaság, amit a minap Simicska lapja tett közzé, miszerint a kormány arra készül, hogy újságírókat járasson le. Ez a „hír” légből kapott, nem hír, csak elővágás, ugyanis nyilván az érintettek is tudomást szereztek a rendőrségi nyomozásról.

S hogy mi lehet a cél? Esetünkben leginkább az, hogy a rendkívül sikeres vizes vb alatt megpróbálják megbénítani a főváros közlekedését, és botrányba fullasszák a vb-t. Jó, ha felkészülünk arra, hogy az előttünk álló kampányban ilyen eszközökhöz fognak nyúlni, és immáron konkrét bűncselekmények elkövetésétől sem riadnak majd vissza.

(Utóirat: Ezen információk birtokában érdemes végiggondolni a minapi esetet, amikor kiderült, hogy valaki[k] szándékosan egy fakockát tett[ek] a felújított metrószerelvény egyik kocsijának ajtórésébe, hogy ezzel ismét hibát generáljanak, és a járatot ki kelljen vonni a forgalomból. Mindezek ismeretében már azt sem tartom elképzelhetetlennek, hogy a metró első meghibásodásai sem történtek véletlenül.)

Bayer Zsolt – <![CDATA[]]>www.magyaridok.hu<![CDATA[]]>

Köszönettel és barátsággal!

www.flagmagazin.hu


Forrás:flagmagazin.hu
Tovább a cikkre »