Terjed a hír, hogy újra „feltörték a KRÉTA-t”, de itt másról van szó

Mióta november elején megírtuk, hogy meghekkelték a közoktatás minden intézményében kötelezően használt állami adminisztrációs rendszer, a KRÉTA fejlesztőjét, amit a cég megpróbált elhallgatni, a KRÉTA-t használó szülők részéről tapasztalható némi bizalmatlanság a rendszerrel kapcsolatban. Ez abban is tetten érhető volt, hogy többen is – érthető módon – aggódva jelezték, amikor néhány nappal a novemberi cikkeink után egy este nem tudtak belépni a rendszerbe, holott ennek csak egy rendszerfrissítés volt az oka.

Csütörtök reggel pedig egy szülő azt írta a Telexnek, hogy újra illetéktelenek férhettek hozzá a KRÉTA-hoz, mert valaki magát hekkernek nevezve 1-eseket írt be az e-naplóba a gyereke iskolájában.

Ebben az esetben azonban egy jóval kisebb és egyszerűbb, csak az adott iskolát érintő ügyről lehet szó, amelyben személyes adatok valószínűleg egyáltalán nem érintettek.

„Éjjel valószínűleg ismét feltörték a KRÉTA rendszert, mert a Sashegyi Arany egyik osztálya diákjainak rajzból fejenként valaki több egyest is beírt. Ráadásul Bendzsi a hecker megnevezéssel” – írta az olvasónk, aki egyben a Sashegyi Arany János Általános Iskola és Gimnázium egyik diákjának a szülője. A történtekről egy képernyőképet is csatolt:

Mindehhez érdemes tudni, hogy a KRÉTA-hoz az egyes iskolákban különböző jogosultságokkal férhetnek hozzá az illetékesek, és a helyi adminisztrátorok is csak az adott iskola adataira láthatnak rá, a tanárok hozzáférése pedig ennél is szűkebb. Itt tehát nem „a KRÉTA feltöréséről” lehet szó, hanem a konkrét iskola egy tanárának a jelszavát szerezhette meg egy diák.

A KRÉTA fejlesztőcége, az eKRÉTA Informatikai Zrt. sajnos még egyszer sem válaszolt semmilyen megkeresésünkre, ezért a rendszer korábbi fejlesztőit kérdeztük meg arról, az elérhető információk alapján mit lehet tudni az ügyről. Egyiküket sikerült is elérnünk, ő azt mondta, hogy mivel a kép alapján egy tanári profillal léphetett be valaki a rendszerbe, ezért valószínűleg csak az általa tanított diákok hozzá tartozó jegyeihez, intőihez férhetett hozzá. A kép alapján úgy tűnik, hogy a „Bendzsi a hecker” sem a tanár neveként van megadva – amihez magasabb szintű hozzáférésre lenne szükség –, hanem a dolgozat témájaként.

Az ilyen esetek kis túlzással mindennaposak, nagyságrendileg havi egy ilyen történt már korábban is – mondta az egykori KRÉTA-fejlesztő a Telexnek.

Nem tudni, hogy ebben a konkrét esetben pontosan mi történt, de jellemzően a gondatlan jelszókezelés lehet az oka annak, hogy egy tanár hozzáférését megszerzi valaki. „A KRÉTA és elődjei esetében ez a social engineering nagyon kritikus probléma, sajnos ez ellen nem lehet szoftveresen védekezni” – mondta. A kéttényezős hitelesítés (például egy sms-ben küldött vagy telefonnal generált kód kérése) lenne a kézenfekvő megoldás, hogy még egy megszerzett jelszóval se léphessenek be illetéktelenek a rendszerbe, aminek a beállítása technológiai szempontból egyszerű, csak a tanároktól nem feltétlenül várható el, hogy használni tudják. „Korábban is mindig elmondtuk, hogy egyedi és olyan jelszót használjanak, amit nem kell felírni, mert a rendszereket általában úgy hekkelik meg, hogy elhagynak jelszavakat” – tette hozzá az egykori fejlesztő.

Az iskolai KRÉTA-adminisztrátor egyébként könnyen meg tudja nézni a rendszerben, hogy az adott változtatást melyik felhasználó végezte el, tehát kinek a nevében léptek be illetéktelenül. Maga a probléma sem súlyos: „Néhány perc megoldani, még akkor is percre pontosan vissza lehet állni egy iskola adatbázisával egy korábbi állapotra, ha például valaki minden jegyet kitörölne.”

Egy fokkal rosszabb lenne a helyzet, ha nem tanári hozzáférést szerzett volna az illető, hanem adminisztrátorit, például egy igazgató jelszavának a megszerzésével. Ebben az esetben már valóban hozzáadhatná magát tanárként a rendszerhez, illetve az iskola legtöbb adatához hozzáférhetne, például akár más diákok bizonyos adataihoz is. Ha ilyen helyzet állna elő, akkor a KRÉTA központi ügyfélszolgálatának a segítségét is kérhetné a helyi adminisztrátor, hogy állítsa vissza a rendszert egy korábbi állapotra. A jelek szerint azonban itt nincs szó ilyesmiről.

Kerestük az iskolát is, hogy tudnak-e már a történtekről, illetve ki és hogyan férhetett hozzá a rendszerhez, és milyen lépéseket tettek vagy terveznek az ügyben. Cikkünk megjelenéséig nem reagáltak, ha válaszolnak, beszámolunk róla.

Egyébként a novemberben nyilvánosságra került ügyben érintett hekkerek később közzétették a KRÉTA forráskódját is, akkor szakértőkkel vettük végig, mi olvasható ki belőle, és mi nem. December közepén aztán a rendőrség közölte, hogy már megtalálták a tetteseket, a tettesek azonban ezzel nem értettek egyet.