A BME-n ott ülnek a kibervédelem Hosszú Katinkái, sőt, több magyar cég is fizet azért, ha valaki hibát jelez neki.
A magyarok ott vannak a kiberbiztonság élvonalában – több csapatot és nemzetközi szinten jegyzett szakembert mutattunk be Forbes Next c. különszámunkban is (a magazin és a különszámok digitálisan a Forbes Magyarország appon keresztül érhetőek el, itt, a Forbes.hu-n ezeket nem publikáljuk, a Next még kint van a standokon is). Érdemes ezeket a sztorikat elolvasni – pláne az elmúlt napok történései után.
A Budapesti Közlekedési Központ (BKK) és a T-Systems Magyarország Zrt. a vizes vébére időzítve indította el online jegyértékesítési rendszerét nem sokkal a megnyitó előtt. Azóta kiderült, hogy a rendszer több sebből vérzik, egy 18 éves diák például 50 forintért tudott bérletet venni. A hobbi hacker etikusan járt el, a problémát azonnal jelezte a közlekedési társaságnak, majd miután újabb hibát talált, ismét levelet írt. A cég nem válaszolt, végül kiderült, a T-Systems feljelentést tett ismeretlen tettes ellen, a BKK szerint kibertámadás érte a rendszerüket. A két társaság azóta közös közleményt jelentetett meg, mint mondták, kötelességük volt feljelentést tenni, és azt ismeretlen tettes ellen tették. A közlemény oka, hogy a készenléti rendőrök éjjel az ágyából kirángatva vitték el a jóhiszemű 18 évest – tudta meg a 24.hu.
Egyáltalán nem példanélküli, hogy a nagyvállalatok díjazzák azt, aki feltöri a rendszerüket és ezt jelzi – több IT cég egyenesen versenyt hirdet, több tízezer dolláros jutalommal. Ez ugyanis még mindig olcsóbb egy cégnek, mintha tényleg támadás éri egy biztonsági rés miatt, és adatokat veszt, nem is beszélve a reputációról.
Nemcsak a nemzetközi nagy cégekre jellemző ez a gyakorlat.
A BME-ről indult IT-biztonsági cég, a magyar gyökerű Tresorit 2013 tavaszán hirdetett versenyt a hackereknek, 10 ezer dollárt (3 millió forint) ajánlottak annak, aki a titkosításukat fel tudja törni.
Egyenesen megnyitották a rendszerüket a próbálkozók előtt, vagyis a hackerek ugyanazt látták, mint a Tresorit fejlesztői (az alapítókat lásd fent, a borítón). A díjat azóta sem vitték el, viszont a cégről akkor még a CNN is beszámolt, vagyis marketingfogásnak sem volt utolsó húzás a dolog. A céggel amúgy nemrég megállapodást kötött az Apple, és csatlakozott hozzájuk Anka Márton, a LogMeIn alapítója is.
A másik magyar sikercég, a Prezi is hirdetett hasonló akciót. A hibákat kutató hackereknek a Prezi 200 és 1500 dollár közötti összeget fizet, sőt, egyenesen dicsőségfalat tart fenn a számukra. Pár évvel ezelőtt volt is belőle gondja, egy felhasználó ugyanis hozzáfért a forráskódhoz. Technikailag bonyolult leírni, mit is tett a hacker, a lényeg, hogy a Prezi először nem akart fizetni (itt van egy hosszabb leírás a teljes esetről), és ezt meg is tudta indokolni. Az ügyet azonban elég gyorsan megoldották, méghozzá úgy, hogy a cég társalapítója és technikai vezetője (Halácsy Péter) leírta az esetet, kijelentette, hogy nemcsak a meghirdetett programjukban szereplő hibákra fizetnek, és nyilvánosságra hozta a cég és a hacker teljes levelezését. Így jár el egy, a maga területén a világ élvonalához tartozó magyar cég. Halácsy amúgy épp a BKK-eset miatt Facebook-on osztotta meg, mi a Prezi gyakorlata az ilyen helyzetekre. Mint írja, a komplex rendszerek már csak olyanok, hogy nem lehet minden esehetőséget modellezni, hibák így előfordulnak, ez természetes. “(…) Ez az úgynevezett Bug Bounty Programunk, amelyen keresztül havonta 10-20 jelentést kapunk. Egyrészük persze általunk is ismert hiba, de
a közösség így óriási segítséget jelent. Olyannyira, hogy erre mi pénzt is költünk, évi több ezer dollárt. Mert tudjuk, hogy ettől végsősoron a Prezi lesz jobb és a hálánkat így is ki akarjuk fejezni a nekünk segítő közösségnek
– így Halácsy.
A Prezi és a Tresorit rendszerét tapasztalt hackerek támadják, kemény munka feltörni ezeket a rendszereket. Az úgynevezett bughunt (hibakereső) programokkal ugyanakkor mindkét fél nyer. Pár óra vagy nap megfeszített munkával 500-10 ezer dollárt is kereshet valaki, miközben ezek az összegek nem tételek sem a Tresoritnak, sem a Prezinek. Csak hogy lássuk a különbségeket, a 10 ezer dollár nagy pénz az átlag magyar fizetésekhez képest, de a Tresoritban eddig összesen 4,7 millió dollár van, amit a befektetők tettek bele az elmúlt években.
A BKK és a T-Systems esetében ugyanakkor arról van szó, hogy egy olyan felhasználó törte fel a rendszerüket, aki – állítása szerint – komolyabb IT-s képesítéssel nem is rendelkezik (18 éves), pénzt nem akart szerezni, jelentős kárt nem okozott a vállalatnak (az 50 forintért vett bérletet ugyanis jelentette, majd azt a közlekedési cég letiltotta), sőt, elég sok hasznot hajthatott volna. A Közlekedő Tömeg Egyesület azóta hamis bérletekkel is átjutott az ellenőrökön, az Index pedig egy még durvább hibát is talált, a BKK rendszere ugyanis képtelen kezelni azt, hogy bizonyos embereknek ugyanaz a neve. Ezek után felmerül a kérdés, vajon ha a 18 éves hobbi hacker nem jelenti, hogy a rendszer alapfunkciójában olyan hiba van, ami komoly üzleti károkat is okozhat a cégnek, a BKK-nak vajon feltűnt volna-e, hogy valaki kedvezményes áron vett magának bérletet?
