Ilyen PR mellett ellenségre sincs szükség

Már nem emlékszem, hogy pontosan milyen nap volt, de arra igen, hogy hétvégére esett, amikor a közösségi médiában megláttam valamelyik munkáltatóm PR képeit, amin egy jó hangulatú fejlesztői továbbképzés képei elevenedtek meg. A kedélyes képsorok között azonban több felvételen jól látható volt a kivetítő méretű TV-nken a fejlesztői környezetünk, rajta a felhasználónévvel és egyéb adatokkal.

Arra már nem emlékszem, hogy még aznap este, vagy csak hétfőn jeleztem a problémát, melynek nyomán lekerültek ezek a képek, és írtam is pár bekezdést arról a néhány releváns szabályzatunkba, hogy a jövőben nem publikálható semmilyen képernyőtartalom, illetve, általában: a fizikai biztonsági rendszereink, szerverkörnyezetünk egyetlen eleme sem.

Hogy túlreagáltam-e, azt nem tudom, mindenesetre a kockázatokkal arányos védelem oltárán számomra ez még elfogadható áldozatnak tűnik, de nem tagadom: a fenyegetések kapcsán mindig is nagyon kreatív volt a képzelőerőm, általában nem minden alap nélkül.

Ezt a kis gondolatot azért írtam le, mert megint csak ámuldozok, hogy például Magyarósi Csaba 4K-ban mutatta be nemrég a Budapesti Kutatóreaktor vezérlőtermét, informatikai rendszerelemeit, miközben a nyilvánvalóan sokkal jobban szem előtt levő épületét „biztonsági okból” viszont nem mutathatta meg, nagy sajnálatunkra.

Természetesen nagyon fontosnak tartom az ilyen jellegű PR anyagok elkészültét és biztosan rendkívül népszerűvé teszi a kutatóreaktort és annak finanszírozását, de elképzelni sem tudom, hogy egy ilyen anyag hogy megy át információbiztonsági szempontból az illetékeseken. Nade, még így sem ez a videó a „kedvencem” ebben a témában, hanem a „Látogatás a BME Oktatóreaktorában” c. remekmű.

Történik ugyanis, hogy a virtuális túrát vezető Dr. Kis Dániel Péter egytemi docens a videó elején (odatekertem) egy gyorsított felvételen odasétál a belépési ponthoz, majd a kamera előtt(!) bepötyögi a belépő kódját és így nyitja ki azt. Természtesen a gyorsított felvételt akár a Youtube vezérlőivel is le lehet lassítani, amiből kiderül, hogy valójában nem csak beírja a kódot, hanem a belépő kártyáját a bal kezével rutinosan előkapva (nyakamat rá, hogy mindig így csinálja) megtörténik egy 2. körös authentikáció is (normál sebességnél ez szinte nem is látszódik).

Forrás: Youtube

Hogy ez csak egy vicc volt, és már nyitva volt az ajtó, vagy tényleg csak ennyire sikerült az információvédelem, azt nem tudom, de abban biztos vagyok, hogy senkinek semmi köze ahhoz, hogy egy ilyen objektumba hogyan történik a belépés, ahhoz sincs semmi köze, hogy egyáltalán számkódos rendszer van, az hány karakterből áll (nyilván a videót elemezve rá lehet jönni a kódra, amit persze azóta el is válthatott, legalábbis nagyon remélem, mert már 1 év eltelt).

Meg persze ahhoz sincs semmi köze senkinek, hogy a nyilvánvalóan privilegizált jogosultságokkal rendelkező munkavállaló általában vélhetően a bal farzsebében, vagy bal zsebében hordja a belépőkártyáját (a kódot azt ugye már tudjuk), de a későbbi képsoroknál is szépen látszódnak az épületen belüli fizikai biztonsági elemek, kártyaleolvasók.

Forrás: Youtube

Egyéként egy másik vágóképnél szerintem épp a teljes beléptető zónát lehet látni belülről (soha nem voltam még az épület közelében sem, úgyhogy elnézést, ha tévedek), zsiliprácsostul, portaszolgálatostul, mindenestül. Félreértés ne essék, ezzel természetesen nem a belépést végző személyt akarom bántani, hiszen ő egyszerűen csak belépett az épületbe, ahogy mindig is szokott, hanem azon tűnődöm, hogy ezt miért kellett a végső anyagba beletenni. Na, erre mondom azt, hogy ilyen PR mellett ellenségre sincs szükség.