BKK-s csengőfrász: hol lesz a következő rés?

A BKK elektronikus jegyének ötelete érthetően foglalkoztatja a közvéleményt. Különösen most, hogy kiderült: a technikai problémákra figyelmet felhívó felhasználó ellen feljelentéssel éltek az illetékesek. Miközben a nekik szegezett kérdésekre nem igazán válaszolnak. Ez is érthető. De erről később. Mert előtte azért érdemes megemlíteni a csengőfrásznosztalgiában élő belügyi apparátus fellépését. Azt, hogy éjszaka állították elő azt a 18 éves fiatalembert, aki az említett problémákról szólni mert. Amely eljárással kapcsolatban Tarlós István főpolgármester a hallgatásával tüntet. Holott tudjuk: cinkos, aki néma.

Egyébként a jelenlegi akciónak nyilvánvalóan van egy emberi tanulsága. Van egy olyan pont, amin nem érdemes átlépni. Ilyen lehet az is, hogy nagy rendszerek sérülékenységét felfedve valóban nem a biztonsági rés széles nyilvánosság elé tárása a legjobb, legbiztosabb megoldás. Ugyanakkor az is nyilvánvaló: a zártkörű információmegosztás alapvetően bizalmat tételez fel. Legkevesebb azt a bizalmat, hogy ebben az esetben nem jelentik fel ugyanúgy biztonsági rést feltáró fiatalembert. Csak a vádpontokat esetleg megfejelik zsarolási kísérlettel is. S akkor ügyvéd legyen a talpán, aki kihozza az eljárásból az illetőt. Márpedig van az a pénz, és van az a rendszer, amikor a problémák feltárása nem feltétlenül érdeke a veruházónak. No meg a szállítónak sem. Különösen azért nem, mert okkal tételezhetnénk fel: egy ilyen rendszer az élesítés előtt igen komoly teszteléseken esik át. Márpedig, ha azokon a teszteken átsurrant egy biztonsági rés, akkor nyilvánvalóan nem csak az a hibás, aki ezt megtalálja. Így az első komoly kérdés az lehetne, hogy ki végezte, kik végezték a rendszer tesztelését, majd a biztonsági auditálását? Azt csak remélni lehet, hogy az erről a folyamatról készült jegyzőkönyvek, az azokat aláíró felelősök nevei ugyancsak felmerülnek majd a vádhatósági eljárások során.

Miközben azért azokba a morzsákba is érdemes belekotorni, amelyek az évek során potyogtak szerteszét. Az elektronikus jegy bevezetéséről már 2008-ban voltak ötletek. 2011-re már meg is ért a döntés. Amellyel kapcsolatban kicsit időhurokban is érezhetnénk magunkat. Mert a 2011-es hír záróakkordja még arról szól, hogy egy még korábbi ötlet is létezett. De az meghiusult a túl drága megvalósítási ajánlat miatt. Ám egy pillanatig sem vonom kétségbe, hogy az akkor lérdéses beszállító, és most feljelentő cég az akkori fiaskóból tanulva, alá ment az akkori ajánlatnak. Ugyanakkor az interneten elérhető egy dokumentum, ami a címe alapján egy, a BKK elektronikus jegyrendszerének megvalósítási tanulmányára utal tartalomként. Az óvatosság azért indokolt, mert a BKK honlapján jelenleg akadozottan elérhető, és így elsőre csak közvetett forrásból sikerült elolvasni a dokumentumot. Ha azonban ez az igazi, akkor érdemes figyelembe venni, hogy egy bizonyos chip-típus 2008 óta ismert sérülékenységét említik benne. Egyben javasolva más típusok használatát. Miközben egy másik forrás, 2012-ben, azt emeli ki, hogy a londoni Oyster Card a minta. Ami remélhetőleg csak elvi minta. Mert a Wired már 2008 júniusában arról írt, hogy az akkor használt rendszer törhető volt, és 2014 körül még vidáman elpolemizálgattak a hekkelését illetően a Reddit-en. Amellyel különben nincsenek egyedül. Amennyiben 2013-ban már az Androidos mobiltelefonnal törhető holland közlekedési rendszerről olvashattunk. S itt ismét találkozhatunk azzal a chip-típussal (Mifare Classic), amelynek problámás voltát a hazai dokumentum is emlegeti. De természetesen feltételezzük, hogy mindezekkel az ismeretekkel azok is rendelkeztek, akik végül elkészítették a BKK elektronikus megoldását. A 2016-os becslés szerint: aranyáron.

Azt sem veszítve szem elől, hogy a csengőfrász jelenlegi elszenvedője, a pillanatnyi információk szerint, az on-line vásárlási rendszer réseire bukkant rá. Ahogy azt sem, hogy az emíltett megvalósíthatósági dokumentum is kiemeli az ismerten labilistól eltérő, biztonságosabb chip-készletek használatát egy kártyás megoldás esetén. Így reméljük: a következő társfeljelentő nem a BKK bankkártya-elfogadó rendszerének kiépítését elnyerő OTP lesz.

Andrew_s