Mire érthette?

Security-all

http://index.hu/belfold/budapest/2017/07/27/tarlos_metro_bkk/

"A főpolgármester arról is beszélt, hogy túlterheléses támadásnak (harmincszoros terhelésnek) tették ki az online értékesítési rendszert.

Ennek a támadásnak Tarlós szerint egymillió euró az értéke, azaz 300 millió forint kellett hozzá. Gyerekek ennyi pénzt nem tudnak erre fordítani, ezért nem zárható ki, hogy valami koncepcionális dologról van szó, tette hozzá. Közölte: ez biztosan nem segítő szándékkal történt."

1 millió EUR, WUT?

  • 3228 megtekintés

( nxu | 2017. 07. 27., cs – 18:12 )

Találós kérdés: milyen hosszan, mekkora sávszélességű DDoS-t lehet venni egy millió euróból?

( s_balazs | 2017. 07. 27., cs – 18:14 )

Hvg.hu-ról, szintén Tarlós szájából: "Mintha 1 órán belül 40 millió ember érdeklődött volna az oldal iránt."

Ezt összevetve a fentivel, ezek szerint óránként 1,3 millió felhasználóra méretezték. Ahhha... :)
Meg aztán én nem vagyok képben a botnetek óradíjában, de 10.000req/sec 3 napig 1M EUR-ba kerülne? Na nemár...

Szerintem az elmúlt napok folyton változó információi mellett az sem elképzelhetetlen (sőt), hogy egyszerűen csak a sajtóvisszhang miatti nagyobb érdeklődést nem bírta el a vas.

T: "szervezett támadások, 87 különböző IP címről 9450 kártékony, automatizált kérés érkezett, és ezek már magasabb szakértelmet igényeltek" (http://index.hu/tech/2017/07/27/oszre_uj_platformra_kerul_az_e-jegyrend…)

Az már odab*sz! Hát mégse bírna el másfél millió user-t? Legalább egyszer ülnének össze kimatekozni hogy ugyanazt hazudják már...

Igen, én is sokat gondolkodtam ezen, mert ez akkora fasság, hogy már a kürt/té/fidesz triumvirátustól is gyenge.

Egyrészt 87 ip-t egy szorgos rendszergazda akár kézzel is kitiltogat, már ha nincsenek olyan olyan "medzsik" kategóriás autoamata eszközök, mint pl. a fail2ban.

Másrészt meg a <10k kérés mögött nem szerepel az, hogy mennyi idő alatt esett be ennyi, szóval feltételezhető, hogy összesen. (Van egy vps-em, amin van web csak használva nagyon nincs, hirdetve pláne nem, de páróránként csak betalálja egy bot.)

De tfh 1 óra alatt, az másodpercenként <3 request. Ettől nem kellene leomlania egy havi 5 dolláros vps-nek sem.
Ha meg másodpercenként, hát 87 IP-ről ezt azért nehogy ne tudják már kivédeni.

Elképzeltem, hogy jön Augusztus elseje, reggel, és hirtelen pár százezer budapesti nekiáll havibérletet venni a neten, mert nem akar a baromi hosszú sorokban ácsorogni a papír bérletért.

A webshop meg ott helyben harakirit követ el, aztán valaki kiáll nyilatkozni, hogy ma egy 100 millió eurós támadás érte a BKK-t, a nemzetközi helyzet fokozódik elvtársak.

Tarlós helyébe én ezt mondtam volna:

"A szakértőim megmagyarázták és most nekem ezt kéne elmondon, de kurvára nem értek hozzá és attól félek, hogy beégek vele , mert lehet hogy csak valaki rátett egy sörösüveget a server billentyűzetére és azért volt hogy karakterek jelentek meg a képernyön - hagyjuk az egészesz a faszba, majd valaki leírja adja hozzá a nevét - majd őt kérdezzék..."

Na ez nem semmi ám, de "csak" 13 milka, a TVM gondolom Ticket Vending Machine:
"- A „TVM rendszer bővítése” című feladatnak mi a pontos tartalma, a 10 db automata vásárlásán túl (ezen belül a feladaton belül mekkora a költségvetése a 10 db automatának és mekkora a költségvetése a további feladatoknak)?
- 10 db TVM beszerzése, az ehhez kapcsolódó szoftverfejlesztés, valamint az automaták tömítésvédelme tartozik a feladat pontos műszaki tartalmába. Ebből a 10 db automata beszerzésének összege: 130.000.000 Ft, a szoftverfejlesztés 50.000.000 Ft, az eltömítésvédelem 30.000.000 Ft, így jön ki a 210.000.000 Ft."

"Nyúl Zoltán BKK: Köszönöm szépen, így a fejlesztési megállapodás szintjén ezek olyan keretszámok, amík a korábban megkötött szerződések kalkuláció, illetve az elvégzendő feladatok alapján becsült szoftver fejlesztési igények alapján születtek. A tömítés-védelem TVM automaták egyik gócpontja amiről beszélek, egy komplett iparág akadályozza meg az automaták rendeltetésszerű használatát. Nem egy egyszeri mechanikus beavatkozások van szó, hanem egy komplex fizikai és szoftver fejlesztési csomagról. Minden egyes szoftver fejlesztési csomagnál fontos tudni, hogy ezeknek a jóváhagyása, elfogadása nem vakon történik, hanem ténylegesen dokumentáció van mögötte. Ez alapján meg kell tudnánk ítélni azt, hogy ezek reális vagy nem reális összeget. Itt most amiről beszélünk a fejlesztési megállapodás a kereteket adja meg. Ezen belül ezeknek a fejlesztések meg az irányszámai az adott forrásból, milyen módon alakulnak. Ezeknek a belső szerkezete vagy a konkrét részajánlatok kapcsán arra fogunk törekedni, hogy a lehető legtöbbet hozzuk ki azonos összegből, vagy pedig kevesebb összegből végezzük el ugyanazt a feladatot.

Tálos Lőrinc: Eleve van körülbelül 300 automata amihez kell venni 10-et. A meglévő szoftver ezt nem tudja kezelni? Miért kell ehhez a tízhez újból szoftvert fejleszteni?

Nyúl Zoltán: Nem a tízhez kell szoftvert fejleszteni, hanem az automaták működéséhez kell szoftvert fejleszteni. Amit a régi és az új automatáknál is tudunk megfelelően használni. Amit a tömítés-védelem kapcsán mondott annak az üzenete nem a 10 automatához kapcsolódik, hanem a teljes automata állományhoz. A legkritikusabb időszakban rengeteg probléma volt, nagyon magas volt az üzemen kívüli hányada ezeknek az automatáknak. Tehát kell szoftver és fizikai megoldást is tenni, a 10 db automatához már nincs köze. Arról beszélünk, hogy egy időben költ a főváros általános szoftverfejlesztésre és a darabszámot növel.”

Az irasos keresben 10 automatara kert penzt a BKK? Igen.
210 milla + AFA-t kertek? Igen.

Akkor 21 milla + AFA-t kert egy automatara a BKK.

Ezt mondom, annyira megszoktak ezeket az orbitalis szamokat, hogy mar igy araznak be mindent es fel sem tunik nekik, hogy ez kivulrol nezve milyen milyen abszurd.

"- Szia Bela! Megirtam a hivatalos kerelmet, amit tegnap mondtal. A 210 milliohoz. Megnezned? Az jon ki, hogy 21 milla automatankent. Ne irjunk be inkabb meg valamit?
- Aaaa kuldjed csak at igy, nem olyan nagy osszeg."

vagy

"A beszerzesi osztalyon:
- A fopolg. irodabol kerdezik, hogy kb. mibe kerul egy szamitogepes tamadas, ilyen mittomen... jegyrendszer lefagyasztas.
- Szamitogepes? Komoly dolognak hangzik.
- Multkor ket uj menupont egy 50-es volt a BKK-s automatakhoz, ugyhogy ez biztos sokkal tobb.
- Varjatok, racsorgok X-ekre, mennyiert szallitanak egy ilyesmit. [...] Na azt mondta kb 150.
- Oke, akkor annyit irok.
Valahol a fopolg. irodaban:
- 150 milliot mondtak, de ugy erzem nem ertik. Annyiert vettunk butorokat tegnap, ez meg egy komplex dolog. Egy igazi hekkertamadas.
- Akkor 1 millio euro-t mondok a firkaszoknak.
"

( m.informatikus | 2017. 07. 27., cs – 21:00 )

"Minden rendszer feltörhető, még a Pentagon rendszere is, szögezte le a főpolgármester.

A főpolgármester arról is beszélt, hogy túlterheléses támadásnak (harmincszoros terhelésnek) tették ki az online értékesítési rendszert.

Ennek a támadásnak Tarlós szerint egymillió euró az értéke, azaz 300 millió forint kellett hozzá. Gyerekek ennyi pénzt nem tudnak erre fordítani, ezért nem zárható ki, hogy valami koncepcionális dologról van szó, tette hozzá. Közölte: ez biztosan nem segítő szándékkal történt.

A folyamatban levő vizsgálat szerint az adatszivárgás is személyes kiszivárogtatás lehetett, a T-Systems vagy a BKK személyi állományából követhették el."

-->> ezt le kellett menteni mielőtt megpróbálják módosítani a cikket. frgégfét onmqzrt.

"az adatszivárgás is személyes kiszivárogtatás lehetett, a T-Systems vagy a BKK személyi állományából követhették el."

Erről majd jó lenne hallani pár szót ha lezárult a vizsgálat. Ha jól értem ezzel az "adatszivárgás" tényét megerősítették már neki, amiből talán következik hogy a sajtónak eljuttatott anyagokból nem csak a személyes adatok, hanem a logok is valósak. Mégis hányan férhetnek ezekhez hozzá? Miért kell mindkét cégtől erre ember?

"A forrásunktól kapott képernyőmentések tanúsága szerint maguk a logok megfelelő jogosultság nélkül is hozzáférhetőek voltak, a naplófájlokban szerepelt, hogy ki, mikor jelentkezett be. A screenshoton látható: az e-mail címek és a jelszavak is kiolvashatóak, azokat sima szövegként tárolták."

"A forrástól kapott képernyőképek szerint az adatbázisokat is publikusan hozzáférhető könyvtárba mentették. Bár ezeket azóta törölték, a naplófájlokban a screenshotok tanúsága szerint szerepelt, hogy mikor készül adatbázismentés és annak a közvetlen elérhetősége is, ennek alapján azt kívülről bárki letölthette."

Link

Persze nem állítom hogy így volt, de simán hihetőnek tartom. Ha egy ilyen állapotú rendszert élesbe tettek, akkor én ezekről mindent el tudok képzelni - kivéve a hozzáértést, az odafigyelést, az igényes munkát, a biztonságot, a jó ár-érték arányt, stb...

És más, jól sejtettem: a 22-25 milla havi bérleti díj nettóban értendő, és úgy, hogy idén 22.250.000 + ÁFA / hó, januártól 25.250.000 + ÁFA / hó.

( mraacz | 2017. 07. 28., p – 08:18 )

Apró, lényegtelennek tűnő kiegészítés:

"Tarlós István kijelentette, a BKK se nem előállítója, se nem finanszírozója a szóban forgó rendszernek, csupán egy szolgáltatást rendelt meg, amiért egyelőre egyetlen forintot sem fizetett ki."

http://www.blikk.hu/aktualis/belfold/tarlos-nem-finomkodott-a-t-systems…

Szóval itt a "MIBE KERÜLT" ügyében talán azon lehet rugózni, hogy akár mibe kerülhetett is volna.

Egyelőre. Ennek valószínüleg az egyetlen oka, hogy 13-án vette át a BKK a rendszert és a számlának van fizetési határideje. Amúgy havi díjas konstrukcióban történik a fizetés, két év alatt ~600 millió forintba kerül.

Apró, lényegtelennek tűnő kiegészítés: a BKK két évig nem jogosult lemondani a szolgáltatást :)

( STP | 2017. 07. 28., p – 08:39 )

OK, hogy nem kell értenie az informatikához,
de ha a többi területen is ilyen szakértői vannak, akik segítségével véleményt formál, és idióta kijelentéseket tesz,
akkor egyéb területeken vajon milyen szarkupacokat építgetnek?

Két eshetőség van:

- nem ért hozzá, és hülyeségeket beszél - bár amit mond azt mutatja, hogy valakivel beszélt, aki ért hozzá

- nem ért hozzá, és előre megírt szöveget mond - ami propaganda eszközöket használ - óriás tömeg támadt, ismeretlen gazdag hadúr a háttérben, az egész nem a mi hibánk, csillagok együttállása, rossz irányból fújt a szél, ...

Utóbbi esetben az igazság nem hogy nem lényeges, de még káros is, mese kell, amit Mari bácsi és Peti néni is megért, ez az 1 millió ez, 30 millió az, a "támadás" szó, és a gazdag hadúr képe.

Az igazság közben meg az, hogy egy taliga fost raktak oda, annyi pénzből, amiből akár el is készíthették volna rendesen, és még akkor is mindenki vehetne magának egy új autót.

( wachag | 2017. 07. 28., p – 09:36 )

Előjött már Soros? Addig nem izgi.

( bartaszili | 2017. 07. 28., p – 10:12 )

Ilyenkor jösz rá kik fogják a gyeplőt. Hallgatni arany. Szokták mondani.

( norbertkiss | 2017. 07. 28., p – 22:36 )

Kicsit elgondolkodtam, hogy Tarlós (tanácsadója) honnan veszi ezeket a számokat!? 1 millió euróért akkora ddost lehet venni, hogy egész Közép-Európát ki lehetne lőni, nemhogy a BKK-t! Arra elég pár ezer dollár is!
Esetleg Tarlósék igénybe vettek valamikor ilyen szolgáltatást és a meghirdetett közbeszerzésen Mészáros Mindehez Is Értünk Lőrinc cége 1 millió eurót számlázott ki egy 2 ezer dolláros ddos-t, és így ezt vették alapnak!? :-)

( freeoli v | 2017. 07. 29., szo – 00:46 )

Sajnos a mostani politikai vezetok mentalis allapota is erosen megkerdojelezheto. Nem akarom tudni mire gondolt.

( seferbt v | 2017. 07. 29., szo – 14:40 )

Nem értette semmire. Csak megint jól szemléltették, hogy a mai politikai "elit" mennyire nem érti ezt a számítógépes izét, amit internetnek hívnak. De azért nyilatkoznak a témában. Onnantól meg, hogy azzal az indokkal nem rúgja ki a tömegközlekedési vállalat vezetőjét egy főpolgármester egy ekkora botrány után, mert akkor gyengének látszana, nekem hiteltelen és komolytalan.
Normális helyen ettől kevesebbért is fejek hullanak.