Tegnap (február 10-én) megjelent a kormányzat informatikai biztonsági felügyelőjének, Dr. Dedinszky Ferencnek a jelentése az Ügyfélkapu összeomlásáról, letölthető innen. Gondoltuk, hogy a jelentés el fog készülni, de hogy publikussá is teszik...
Elolvastuk, vannak megjegyzéseink. Kockásak.
Azt írja a felügyelő, hogy "A hiba nem minden bejelentkező felhasználó esetében jelentkezett, de annak megállapítása, hogy pontosan hány felhasználót érintett – utólag már nem határozható meg, mivel az adatvédelmi követelmények szerint az azonosításhoz kapcsolódó információk nem tárolhatók."
Erre csak azt tudjuk mondani, olyan nincs, hogy a böngészési, bejelentkezési, még inkább az adóbevallási tevékenységnek nincs nyoma, hogy az IP címeket, a tranzakciókat nem logolják. A tűzfal(ak), a webszerver(ek) alapból tárolják ezeket az adatokat. De ha ezek nem, akkor a hivatkozott Aktív Védelmi Rendszer (AVR) csak tud valamit, nem? Vagy ha ezt nem tudja, akkor mit tud? DOS-t elhárítani? Pornót szűrni? Furcsa lenne...
A dokumentum a későbbi konkrét számaival egyébként önmagát cáfolja meg ebben a kérdésben. Valahonnan valahogyan valakik mégiscsak kiolvasták, hogy 21,353 felhasználó jelentkezett be, ketten elmentek a vámosokhoz, az ONYF-hez 79-en léptek át, 259 adófolyószámlát kértek le, és 18 Ügyfélkapu azonosítót töröltek is. Mit is nem tudnak akkor rólunk?
A jelentés egy halvány, őszinte félmosolyt is tudott csalni borús arcunkra. A Kormányzati Portált "mohu portál" néven említi. Először fennakadtunk rajta, de aztán rájöttünk: mo.hu. Ez legalább kreatív, még ha nem is hivatalos. Annál szomorúbb viszont, hogy eddig csak sejtéseink voltak arról, a portált nem PHP-ban írták, a jelentés azonban többször is nevén nevezi a használt technológiát. Ajándék labda a biztonsági résekkel operálóknak. Nade majd az AVR jól lenyomja őket.
A nagyságrendekkel is van bajunk. Mégpedig a többes számmal. A jelentés az üzemeltetők állítását citálja, miszerint "nagyságrendekkel nőhetett" a teljesítmény. Tehát legalább kettővel. Ez két dolgot jelenthet. A teljesítmény eddig kritikán aluli volt, és onnan javult fel, vagy mégsem volt kritikán aluli, akkor viszont óriási szabad kapacitásokkal nőtt meg a rendszer terhelésfelvevő képessége. Úgy láttuk, kritikán aluli mégsem lehetett az eddigi teljesítmény, mert úgy-ahogy, de az adóbevallások azért csak becsorogtak a portálon, van a szoftvernek napi üzeme is, és általában elfogadható válaszidőkkel kijönnek belőle a weboldalak. Emiatt a kritikán aluliságot elvetettük. Marad a (legalább) két nagyságrenddel jobb teljesítmény. Mire vonatkozhat ez? Sima válaszidőre? Párhuzamos kapcsolatok maximális számára? Tranzakciók számára? A két nagyságrend az százszoros szorzó. Ha a korábbi állítás szerint 300e emberre volt tervezett az architektúra, akkor most 30millió ember viselt dolgait is el fogja bírni? Vagy mondjuk 1-2millió bevallást tudott felvenni a portál havonta, akkor most 100-200milliót is felvesz? Valaki mondja már meg, mit értsünk itt!
Csendben újabb összeomlás volt
A botrányt követő hétköznap (február 9-én) nem volt adóbevallási határidő. A felhasználók tehát nem küldtek be adatokat, nem kaptak válaszokat, a rendszer nem nagyon volt ilyen szempontból terhelt. Olyannyira nem, hogy mégiscsak összeomlott, csak a média nem hitte el, hogy ez ilyen rövid idő alatt ismét bekövetkezik, és meg sem említette. Szép csendben megint lejátszódott a január 20-i forgatókönyv, a portál üzemeltetési tájékoztatója meg is emlékezik erről, tessék csak megnézni. A Netdiag méréséből is jól látszik, hogy ismét jelentős szolgáltatáskiesés volt, még ha nem 100%-os is, és ezúttal a legfontosabb szolgáltatások üzemképesek maradtak. Az üzemzavar időtartama azonban még a januáritól is jelentősebb volt.
Nos, álljunk csak meg egy pillanatra, kérem! Most akkor mi is történt? Bementek a felhasználók a munkahelyükre, látták az összeomlásról szóló cikkeket, gondolták, csak belépnek, és ellenőrzik, hogy minden rendben van. Egy biztos: hirtelen felindultságból elektronikus adóbevallást nem követtek el, kvázi a portál a normál üzemben is bedőlt. Konklúzió: a nagyságrendekről tett állítás vagy nem állja meg a helyét, vagy ha igen, akkor nem tudjuk, hogy mire vonatkozik.
A Magyarország.hu grafikonok mellé célszerű megnézni az Index.hu és az Origo.hu grafikonjait. Ezek ugyanis tudhatóan (Medián Webaudit - az Index.hu adatai a CEMP mappában) nagyon nagy látogatottsággal rendelkeznek.
Érdemes górcső alá venni a Kormányzati Portál keddi (február 10-i) válaszidőit is. A görbe alakja visszamenőleg 3 hónapra nem volt ilyen munkanapon. De ahogy elnéztük, mindegy, hogy munkanap, vagy hétköznap van, a válaszidők állandóan 300ms körüliek voltak. A grafikonban 3 sec körüli értékek is előfordulnak, azaz itt ténylég van nagyságrendbeli eltérés! Vegyük észre, hogy a grafikon skálája nem lienáris. Azt kell tehát sejtenünk, hogy ismét pengeélen táncolt a portál.
A keddi sajtótájékoztatón Baja Ferenc arra bíztatta az Ügyfélkapu felhasználóit, lépjenek be, és ellenőrizzék, megvannak-e az adataik. Kíváncsiak leszünk a szerdai történésekre.
És van egy félmosoly a végére is, de ez inkább kínos. Baja Ferenc szerint 5 Mrd Ft-ot költöttek az Ügyfélkapura, és ez meg is érte, hiszen a 770e felhasználónak eddig már 50millió emailt küldtek ki. WTF.
***
UPDATE: Szerda van, 10:30, a Magyarország.hu ismét csökkentett üzemmódban dolgozik.
*A bejegyzés korábban megjelent a Kockablog-ban.
Utolsó kommentek