
Megpróbálom elképzelni, hogy amikor a TOTP.APP használatának széleskörű ajánlásának kiberbiztonsági vetületeinek kockázatelemzése történt, akkor vajon mi lehetett a vezérfonal? Mi történt? Milyen kritériumok alapján gondolták/gondolják megbízhatónak?
Biztos megnézték az alkalmazás forráskódját githubra feltöltő személy profiloldalát, és azt mondták, rendben van, ez tetszik, ez egy megbízható szolgáltató, érdemes ajánlani az állampolgároknak.
Remek a logóválasztás, de nyilván nem szabad a megbízhatóság patyomkin díszleteinek bedőlni, érdemes rendesen utánanézni a fejlesztőnek, nehogy valami furfangos APT ármánykodás, lopakodó üzemmódú beszivárgás legyen a háttérben. Szerencse, hogy a fejlesztő saját maga tette közzé az weboldalát, így a forenzikus részletességű vizsgálatnak nincs akadálya.
Szerencsére a fentiek alapján egyértelműen beigazolódott, hogy a weboldal működésének és tulajdonosi hátterének minden apró szegmense megvizsgálható és feltárható volt, így teljesen megalapozatlan minden további kétely a szolgáltatással kapcsolatban.
Természetesen a fenti gondolat nemcsak a józan paraszti ésszel, hanem az ép ésszel is teljesen ellentétes. Megnyugtató, hogy a kiajánlás ideje alatt egyetlen ártó folyamat sem merült fel a szolgáltatással kapcsolatban, az is lehet, hogy valóban megvizsgálták technikailag, sőt, azt is el lehet fogadni, hogy technológiailag kizárt az adatvédelmi incidens esélye.
Sőt, az is lehet, hogy ez a Github oldal nem is az, aminek látszik, lehet, hogy feltörték, lehet, hogy semmi köze az oldalhoz, lehet, hogy most egy idétlen fej van a korábbi logó helyén. Lehet, hogy az egész már csak egy hecc. Lehet, hogy Európa legkiválóbb kibervédelmi szakembere van mögötte, csak én nem tudok róla.
Mindez teljesen mindegy, mert a TOTP.APP nevű weboldal nulla azaz NULLA lépést tett annak érdekében (most, és akárhány évvel ezelőtt is), hogy az üzemeltetésével kapcsolatos transzparenciát biztosítsa. Mi alapján gondolja azt bárki, hogy ez az oldal holnap el fog indulni?
Értem, hogy akkor át lehet menni máshova, de ez a szolgáltatás már eleve azoknak fenntartott opció volt, akik nem rendelkeznek okostelefonnal, tehát vélhetően megfelelő informatikai ismeretekkel sem. Ők pedig ebben az esetben napokig, hetekig kimaradhatnak majd a digitális Magyarországból, amíg segítséget nem kapnak az átállásra.
Honnan tudták, tudja bárki, hogy ez az oldal holnap nem fog-e szándékosan vagy üzemeltetési/védelmi hibából ártó kódot tartalmazni (eleve olyan személyeket célozva, akiknek jelentős része digitális analfabéta)?
Nyilván ezek elkerülését soha, senki nem tudja teljes biztonsággal garantálni, de a bizalomépítésnek vannak fokozatai, márpedig ez a weboldal a legkevésbé sem kívánt ezen a területen bármit is bizonyítani, annál inkább elrejteni.
Az egyetlen kérdés csak az számomra, hogy vajon mi lett volna, ha még megbízhatónak is álcázta volna magát a szolgáltatás? Nívódíjat kap, amit a fejlesztőnek bitcoinban utalnak?
A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről: