Halott ember vagy :-)

Rendkívül érdekes amit a posztoló ír! Nos én azért nem fizetek semmit csoportos beszedési megbízással, vagy inkasszót engedve bármilyen szolgáltatónak mert nem bízom bennük. Lehet, hogy a csekkes fizetés miatt valamivel többe kerül nekem, de megvan a lehetőségem, hogy addig ne fizessem ki a számlát ha vita van amíg azt jogosnak el nem ismerem.
Szerintem ilyen és hasonló jellegű szolgáltatásokat kizárólag úgy lenne szabad engedélyezni, hogy mindkét félnek lehessenek egyenrangú ellenőrzési jogosítványai a kapcsolatukról, legyen az villanyszámla, gázszámla (külön misét érne meg a szolgáltatott gáz fűtőértéke, ha akarom elhiszem ha akarom nem hiszem de jelenleg nincs választási lehetőségem, a szolgáltató annyival számol amennyivel akar mert nem tudom mérni a fűtőértéket), vagy mobilszámla. Pl. ebben az esetben az általam használt mobiltelefonban legyen egy rögzítő egység amely a megadott számlázási időszak adatait pontosan rögzíti hitelesítetten. Most is van ilyen lehetősége a mobilnak csak azt nem fogadják olyan bizonyító erejűnek mint a szolgáltató rendszerét. Ez is lehetne olyan hitelesített mint a szolgáltatók minősített tanúsítvánnyal ellátott rendszere.

@Gróf Úr: :D
meg aki elolvassa az is :)

"• csak hívás (SMS, internethasználat, stb.) keletkezik hívásrekord. A hívásrekord a nem informatikai képzettségűek kedvéért: a forgalom elszámolását naplózó adatbázisban egy adatsor, amely a hívás lényeges adatait tartalmazza.
"

Ezt nem tudom elképzelni, hogyan működhet. Valaki esetleg tudja? Mert az, hogy nem lehet módosítani még csak-csak, de hogy a szolgáltató ne tudjon kamu hívásokat rögzíteni a rendszerbe, az nehezen hihető.

A technikai megvalositas rem egyszeru a rendszerhez megbuheralasa nelkul. Kell egy script ami ket dolgot csinal:
1) SQL insert vagy update (uj hivas vagy hivas adatainak megvaltoztatasa)
2) A log file-t parse-olja (magyarul is lehet mondani szepen biztos) es atirja ami benne van. Ha a log adatbazisban van akkor meg SQL update. Az egesz attol fugg, hogy a jogosultsagok hogyan vannak beallitva. Technikailag minden megvalosithato, donteshozatali szinten dol el.
A masik erdekes dolog amit barataim akik ilyesmi cegeknek dolgoztak, hogy a csucsido/kedvezmenyes idoszak kezdetevel/vegevel lehet meg csalni, mert ugy mashogy jarhat az ora es az 5 perccel elobb kezdodo/kesobb vegzodo nem tunik fel.

@qwertzu: Mindent át lehet elvileg és gyakorlatilag írni, de a tanúsításnak TALÁN (nem tudom) az is feltétele, hogy az érintett rendszer kellő zártságát is vizsgálja és szabályozza, hogy ki, kinek az engedélyével, hogyan dokumentálva módosíthat abban, mert erre szükség lehet, egy hibás telefon is érdekes dolgokat művelhet. Annó az egyik gyártó mobilja, ha éppen olyan kedve volt, 1 sms-t vagy 30-szor elküldött. A szolgáltató meg jóváírta a különbözetet.

"De ha ez igaz lenne, akkor csalás lenne, amelyre a különös kegyetlenségen kívül gyakorlatilag minden minősítő körülmény ráaggatható lenne, különösen nagy kárt okozó, folytatólagosan, bűnszervezetben elkövetve… van még valami?"
Még annyi van, hogy a szolgáltatónak egy masszívan és stabilan nyereséges üzletet miért állna érdekében így kockáztatni?
Elég lenne egy beavatott embernek köpnie és bukik az egész rendszer.

"A munkám során találkoztam pár érdekes esettel ezzel kapcsolatban. Az egyik szolgáltatónál az ügyféllel kapcsolatos behajtási eljárás során több alkalommal kiküldték ugyanazon időszakra a számlát, összesen három alkalommal (ügyfél nem találta), és mindhárom számla más összegű volt."
Ha nem találta, akkor hogy bizonyította, hogy más összegűek voltak? Vajon melyik szolgáltató lehetett ilyen béna?

@PiBá: Nem kell atirni. Eleg ha egy laptopot vagy egy 10x10x10 cm-es idustrial pc-t bedugsz a vedett halon belul, meg ethernet port sem kell ha van wifi, ha azt letiltjak akkor meg egy cat5 csatlakozo es kesz. Ha fizikailag is el akarod rejteni akkor beteszed egy lukba az almennyezet fole es ugy konfiguralod, hogy valamikor (amikor tuti nincs ellenorzes, mondjuk ejjel negykor) ssh (vagy windows backdoor, attol fugg milyen szervered van), be a rendszerbe root/admin jogokkal (SQL is) aztan megcsinalja a dolgot. A rendszer meg zart, csak az van benne ami odavalo... Haha. Ami digitalis az rem egyszeruen hamisithato. Szakmabelikent csak annyit tudok mondani, hogy minden a rendszer zartsagat tanusito papir ertektelen. Lasd pl. stuxnet, meg az atomreaktorokat is meg lehet hackelni kivulrol, hat meg belulrol, ha a tulajdonos akarja is.

@NaP: Hehe. Eleg hozza egy ember aki bizalmi statuszban van, ezt felugyeli, kap 3-4M havi fizut es dolgozik mondjuk heti 10 orat. Soha senkinek nem fog rola beszelni. Szerinted ez ugy mukodik, hogy az osszes dolgozot beavatjak? Vagy inkabb csak a vezetoseg 1-2 tagja tud rola? Melyik, mit gondolsz?

@qwertzu: Egyszeruen ugy mukodik, hogy (postpaid szamlas ugyfelnel) a switch (kozpont) minden hivasnal keszit egy bejegyzest, amiben leirja milyen szam, milyen szamot hivott stb, ill a hivas veget is rogziti hasonloan. Ezt utana atviszik a szamlazorendszerbe, ami felszorozza az ugyfel csomagdijaval es keszit(nyomtat) egy szamlat. A hivaslog keszitesebe a szolgaltato nem folyhat bele mert azt a halozati berendezes keszito ceg felugyeli. A szamlazorendszerbe szinten nem nyulkalhatnk bele csak ugy. Ha a ketto kozt akarjak atfirkalni valami hazi rendszeren a logokat akkor van 2-5 dolgozo akik gyakorlatilag barmennyi penzt kerhetnek a hallgatasert.
Prepaidnl meg bonyolultabb, mert ott folyamatosan vonogatjak le a penzeket tehat meg honap vegeig sem tudnak varni hogy manipulaljak a szamlat. Szvsz inkabb hibak, slendriansag, hozza nem ertes (mint pl a telenor idoalapunal) ami osszehoza ezeket a plusz szamlazast. Egyebkent vszeg jot tenne ha egy szolgaltato megbukna 'zart rendszer' tanusitvannyal mert sokkal komolyabban venne utana mindegyik hogy valoban korrektul mukodjon a szamlazas.

@NaP:
Megtalálta.

@Sanyi: Szakmabeliként szerintem sosem voltál egy ilyen rendszer közelében ... a legtöbb általad elmondott dolog egyáltalán nem életképes.

@KevinMulder: De igen. Es voltam. Es Magyarorszagon. Igaz, 8 eve. Azota mi valtozott, ha olyan jol tudod akkor vilagosits fel. :)

@Sanyi: Azért megnézem, ahogy besétált a T-isztelt mobiltársaság szerverszobájába, és rádugsz úgy egy swintchre, hogy az senkinek sem tűnikfel. Azonkívül meg az, hogy csak úgy "bessh"-unk talán a mátrixban Trinity, de a valóságban nem így megy ám! :-D
De minden esetre tényleg csak jogosultság kérdése, és egy belső ember simán megcsinálja, ha nem is így.
De idegenként... nem hiszem.

A parkolótársulatok is nagy bőszen hivatkoztak a "zárt rendszerükre" oszt mégis buktak vele, hogy mégse olyan zárt az a rendszer... :))

@Sanyi: Sok minden. De tudod, hogy ilyen nyilvános fórumon nem lehet az azóta megtett és a jelenleg érvényes intézkedésekről beszélni.

Hihetetlen, ez nekem is feltünt, már évekkel ezelőtt. Mármint az a jelenség, hogy hiába telefonálok kevesebbet, a számlám szinte mindig ugyanolyan sok. De mondjuk nemrég csomagot váltottam, és most beállt egy normális szintre.

@Mityu: Ilyenkor még azt is ki lehet kérni, hogy "zárt rendszert" minősítő cégnek van-e jogosultsága minősíteni ilyen rendszert, illetve ezen "zárt rendszert" üzemeltetőknek megvan-e a certificate-juk ezen rendszer üzemeltetésére.
(példád esetén a félrészeg ellenőr a kínai digitális fényképezővel) :-D

@newtehen:
Teljesen normális védelmi rendszerkről lehet beszélni:

-ha rádug bármilyen eszközt, akkor a hálózatmanagement rögtön értesíti a rendszert. Ha nincs benne az adatbázisban az eszköz, vagy nem megfelelő helyre van dugva, akkor azonnal indítják a biztonsági őröket és a portot az adott switch le is zárja. Tehát mielőtt még egy SSH kapcsolat felépülne, már meg is szakadt a vonal.

- védett hálózatnak nem szokás wifi-s lábat adni.

- az auditációs log és a szerver adatbázis el van szeparálva. Ha adminként szórakozol az adatokkal, akkor még ha darabszámra egyezik is, az auditációs logokban (amihez ugye nincs hozzáférésed) gyönyörűen látszik, hogy ki, mikor és mit változtatott meg. Onnan kezdve pedig egyenes az út a börtönbe.

Mellesleg ha valamelyik telkomm cég ilyet csinálna, akkor az nagyon gyorsan elveszítené az ügyfeleit. Ezt pedig egyik sem szeretné megkockáztatni.

Ami inkább lehetséges, hogy egyes kommunikációs adatok belső hiba miatt csak később kerülnek összefésülésre. Ettől még a rendszer zárt marad, hiszen a 3 különböző számlakiállítás időpontjában mindig az általa ismert adatok alapján generálja a számlát. Az, hogy a 2 számla közötti időszakban esetlegesen a zárt rendszeren belül történhet adatmigráció vagy adattisztítás, teljesen elképzelhető és életszerű mozzanat.

Zárt rendszer nem létezik.
Nem létezhet.

@Pilotax: Érdekességként mondom, hogy bizonyos országokban a szolgáltatók kizárólag csoportos beszedési megbízásos szerződéseket kötnek (Pl. No), viszont a bankod azonnal jóváírja az összeget a számládon és stornózza tranzakciót, ha ezt kéred tőle. Utána már nem hajthatja be automatikusan ugyan azt a számlát mégegyszer a szolgáltató, felszólításokat küldhet és intézhet bírósági fizetési meghagyást.

@szaGértő:
Megtalálta.
Hát ha csak úgy nem! :)

@newtehen: Szo sem volt arrol, hogy valaki besetal.

@Sanyi: A teljesen normális biztonsági eljárás az, hogy nem a besétáló emberek ellen védi magát a cég elsődlegesen. Így kereshetsz akármennyi belsős embert, nem tudod megvalósítani az adatok ilyen szintű, teljesen láthatatlan manipulálását.

@Sanyi: maradjunk annyiban, hogy wifi marhára nincs a számlázó, pontosabban az adatgyűjtő rendszerek környékén - akkor ugyanis nem lenne biztosítható a "zárt" kitétel. A vezetékes hálózat meg megint érdekes - ha a switchben le van csapva az összes port, amiben nem lóg a rendszernek eleme, akkor... szóval dughatod.
Adatbázis-oldalon meg illik a DML-műveleteket, de legalább a törlést/módosítást (update/delete) egy instead of triggerrel elcsapni, és megtartani/naplózni a változást, azt, hogy mi volt, és mi lett, nomeg hogy mikor. A CDR-ek (hívásrekordok) összeszedésekor meg kell egy időbélyegzés+digit aláírás az összegyűlt adatokat tartalmazó nyers állományra, és máris vizsgálható, hogy a számlázórendszerben és a nyers cdr-ben ugyanazok szerepelnek-e?

@KevinMulder:
"-ha rádug bármilyen eszközt, akkor a hálózatmanagement rögtön értesíti a rendszert. Ha nincs benne az adatbázisban az eszköz, vagy nem megfelelő helyre van dugva, akkor azonnal indítják a biztonsági őröket és a portot az adott switch le is zárja. Tehát mielőtt még egy SSH kapcsolat felépülne, már meg is szakadt a vonal."
> Gondolom MAC address alapjan. Most negy kulonbozo chip van az asztalomon amiben tudom irni a MAC addresst (1 euro darabja, embedded szir-szar, alaplapi halozati csip). Ket gepnek nyugodtan lehet ugyanaz a MAC-je, mondjuk mint a nagyfonok laptopjae aki ejjel nem dolgozik. Onnantol pedig az logolja aki akarja, azt is felul lehet irni az adatbazisban. Vagy tudsz mas azonositast ami mukodik? TLS/SSL? Az sem, copy secret file es kesz.

"- védett hálózatnak nem szokás wifi-s lábat adni."
> Egyetertunk. Marad a kabel.

"- az auditációs log és a szerver adatbázis el van szeparálva. Ha adminként szórakozol az adatokkal, akkor még ha darabszámra egyezik is, az auditációs logokban (amihez ugye nincs hozzáférésed) gyönyörűen látszik, hogy ki, mikor és mit változtatott meg. Onnan kezdve pedig egyenes az út a börtönbe."
> Gipsz Jakab vezerigazgatoi bizalmi kap egy-egy accountot mindkettohoz. Problema megoldva. Itt magas szintu konspiraciorol beszelunk nem rendszeradmin szamurajokrol. Ha kiderult akkor tenyleg, de meg nem gyoztel meg, hogy lehetetlen ugy megcsinalni, hogy ne deruljon ki.

"Mellesleg ha valamelyik telkomm cég ilyet csinálna, akkor az nagyon gyorsan elveszítené az ügyfeleit. Ezt pedig egyik sem szeretné megkockáztatni."
> Es ha mind a harom ezt csinalja, persze csak arbevetel 1-3%-at nyeri ebbol akkor megis, mi a valasztasod? Nem mobiltelefonalsz? Naiv vagy. :)

Na, megyek gyurni, reszemrol vege a diskurzusnak.

@sokadszorra: Sokadszorra mondom, hogy ami ditialis az hamisithato, csak byte. Akarat kerdese. Olyan szep parsert irok az osszes allomanyodra (vagy barlemyik masodikos infos egyetemista is), hogy minden szepen rendben lesz mintha mindig is ugy lett volna. Ismet, sokadszorra, ha megvan az akarat akkor a technologia megcsinalja. Ha nem benazzak el akkor nem lehet eszrevenni. Csokolom, gyurok, ti meg bizonygassatok tovabb, hogy a bitek az bizony nem masolhatoak nyomtalanul. Ez egy vicc, nincs ertelme tovabb vitatkozni.

Évekkel ezelőtt, vezetékes szolgáltatóval jártam úgy, hogy a híváslista szerint több nap is naponta nyolcszor 55 percen keresztül hívtam a szomszéd faluban élő anyósomat.
A valóságban hetente kétszer beszéltem vele nem egész öt percet.

@Sanyi: alapeset, hogy a nem használt switchport le vagyon csapva, ergo hiába dugtál bármit, bárhova. Gipsz Jakab meg lehet, hogy kap accot, de elég gurunak kell lennie, hogy a múltban rögzített, digitálisan aláírt és időbélyeggel ellátott logokat is "utánahúzza" a számlázórendszerben lévő adatoknak. Én legalábbis az adatok keletkezésének a helyén vagy a közvetlen közelében mindenképp elektronikus aláírással és időbélyegzéssel látnám el a hívásrekordokat.

@Sanyi:

MAC: s mit szeretnél klónozni? A fix telepítésű gépeknél a MAC cím az adott porta (fizikai helyre) szól. Ha azt klónozod, akkor vagy azon a helyen lépsz be, ahol a fizikai gép van (azt lehúzva), mert máshol nem tudsz vele, lévén más porton engedélyezni kell az adott MAC-ot. Az is mókás, ha két MAC van ugyanazon a hálón. Ezeket mind gyönyörűen le lehet vadászni.

De tegyük fel, MAC-cal belépsz. Még mindig nem látsz semmit, mert a router addig nem engedélyezi a belső VLAN-hoz csatlakozást, amíg a géped nem authentikál megfelelően. Úgyhogy a következő lépés, hogy valamilyen azonosító szerverrel beszélj. Az azonosító szerver - beállítástól függően - kérhet egyéb azonosításokat. chipkártya, meg amit akarsz.

Azt vajmi kevéssé hiszem, hogy az általad sokat hivatkozott főnök ott hagyja a chipkártyáját az asztalon. De a legcsóróbb helyen sem elegendő a csipkártya az azonosításhoz, hanem a chipkártya és percenként változó kódú RSA token kell a belépéshez.

Itt már ott tartunk, hogy a sima MAC címmel semmire sem mész.

Ugyancsak mutatja, hogy semmi közöd a témához, hogy 2x is állítod, hogy a vezérigazgatónak van jelszava a központi adatbázishoz. Jelzem: nem szokás neki adni.

Menjél gyúrni, mert így tudod elkerülni a nagyon nagy arcvesztést.

@Sanyi: Igen, a digitális dolgok átírhatóak. De egy jól megtervezett rendszernél nyomot hagy minden manőver.
lásd még szerencsejáték rt: kiírják DVD-re a fogadásokat, ellenőrző összeggel.

Ha minden cég ezt csinálja, akkor lesznek más cégek, akik a helyükre lépnek.

Akit érdekel a téma:

RSA token: www.rsa.com/node.aspx?id=1156

Billentyűzet integrált chipkártya leolvasóval (ha a felhasználó kihúzza a kártyát a gépből, a rendszer automatikusan kijelentkezik ... Sanyi ilyet sem látott még élőben)

www.cherry.de/english/products/smart_card_keyboards.htm

@KevinMulder: + komolyabb helyeken 4 eyes - ket operator beloggolva es egymast ellenorizve.
Halozati elemen viszont lehet elkeverni dolgokat hogy par vicces szamla suljon ki belole (na meg sok anyazas).

@telkoe: Ebben igazad van, nem is vitatkozom. Végtelenségig lehet növelni a paranoiát a cégen belül, akár annak egész működtethetetlenségéig.

Azt sem állítottam, hogy a telkó cégek nem hibáztak ebben vagy abban. Nagy rendszerek ezek, hiba mindig előfordul. Mint minden szakmában.

Itt azonban az a lényeg, hogy ezekben a rendszerekben nem lehet ezt a csalást véghezvinni, mert ez akkora technikai és emberi hátteret kíván, amit egyszerűen lehetetlen egyben és csendben tartani és baromi nehéz kivitelezni.

@Sanyi:
"Gondolom MAC address alapjan. Most negy kulonbozo chip van az asztalomon amiben tudom irni a MAC addresst (1 euro darabja, embedded szir-szar, alaplapi halozati csip). "

hehe, az nem baj, hogy a hálózati kártyából kiolvasható mac max csak a kártyadrivernek kell (iránymutatásnak)?
Az már szoftveres móka, hogy a hálózaton milyen mac címed van.. Nagy hardware cracker lehetsz ;)

Egyébként biztos, hogy vannak lazaságok a telecom cégeknél, meg semmi sem lehetetlen, de nyom nélkül adatokat változtatgatni jól üzemeltetett komoly rendszeren elég esélytelen.

Nem szakemberként csak annyit fűznék a poszthoz: mindhárom szolgáltatónál van előfizetéses telefonom. A harmadik /a legfiatalabb szolgáltató az országban/ minden évben, nyaralás végén meglep az igazi mellé még egy plusz számlával évek óta. Idő és kedv hiányában sosem mentem utána, de lehet, hogy ezután...
De jól jönne annyi pénz is hirtelen, amennyit pl. a 0660-nak a Karinthy F. u-i épületébe betoltam, ha csak téglában kivenném belőle, romba is dőlne az egész kóceráj. Amikor még rá lehetett csatlakozni /nem tudom technikailag hogyan/ a telefonjaikra kívülről, volt olyan, hogy 140 ezres számlát küldtek, amikor a havi 6.000.- nagyon soknak számított.
Mellesleg évek óta /mindhárom szolgáltatónál indulásuk óta van előfizetésem/ mindegyik cégnél valóban szinte koppra annyi a számlám mindig...
A többi a konteo blog dolga:-)
De meggyőződésem szerint van alapja a bejegyzésnek, minden szolgálató megteszi a magáét - hiszen erőfölényével visszaélve megteheti, kit nem zavarnak el az ügyvédei?

Az egyedüli garancia az lenne ha egy harmadik fél tárolná az adatokat, akit az ügyfél pénzéből fizetnek (nem a szolgáltató pénzéből) - és aki jogilag (és gazdaságilag) ellenérdekelt lenne a szolgáltatóval.

Mint pl. bank tranzakciók esetén van egy ilyen harmadik fél nemzetközi tranzakciókra: a SWIFT rendszer és a különböző clearing bankok és jegybankok. Ez a fajta kereszt-ellenőrzés és függetlenség tudja csak garantálni hogy pénz nem veszhet el nyomtalanul.

Mobilszolgáltatóknál nincs ilyen rendszer, nincs ilyen garancia és nincs ilyen kötelezettség.

Ez különösen fontos most hogy a mobilfizetési lehetőségek kezdenek elterjedni - a mobiltelefon kezd pénzforgalmi eszközzé válni.

Minden ingatlan, eszköz, hardver és szoftver a mobilcég tulajdonában van. Minden bit az övé, az elsőtől az utolsóig.

Így minden egyes adat megmódosítható a tulajdonos által. Az első bittől az utolsóig - és úgy hogy annak nincs nyoma ha a tulajdonos úgy akarja - ez a digitális adattárolás lényege.

Tehát ahogy az egyik kommentelő említette, ez csak akarat kérdése: akar a mobilszolgáltató trükközni vagy nem?

Ha akar trükközni, ha gazdaságilag megéri, akkor azt csinál amit akar - az övé a rendszer.

Kizárólag a mobilszolgáltató becsületességén múlik hogy alkalmaz-e könnyen letagadható ("számlázási szoftver hibája!"), alacsony rizikójú szoftvermegoldásokat a jövedelem maximalizálására.

Nincs olyan passzív certifikáció ami ki tudja zárni az adatok tulajdonos általi manipulációját - és igazából vicc hogy vitás esetben a magyar bíróságok elfogadják a szolgáltató tulajdonában lévő adatrögzítő rendszereket
"zártnak".

Csak egy kérdés: a tisztelt bíró rábízná egy ilyen rendszerre a teljes vagyonát?

Na ugye ...

@Critical Thinking: pontosan

@telkoe: azért egy switchen/routeren nem fogod az ssl-be csomagolt stream-et matatni :) Persze van olyan doboz, ami képes ezt átcsomagolni...

@KevinMulder: En is azt mondom, hogy szandekossag nem valoszinu, mert egyreszt a beszallitok nem adnak a nevuket a dologhoz, ha helyben fejlesztgetnenek ilyet akkor meg a dolgozo gyakorlatilag barmikor ratehetne a kest a ceg nyakara egy ilyen eset megszelloztetesevel. Viszont slendriansaggal, hibaval, atgondolatlansaggal siman lehet hasonlo tulszamlazast okozni, a cegek meg a hibak kijavitasa helyett elbujnak a 'zart rendszer' moge es elhajtjak az ugyfelet.

@telkoe: Ebben abszolute egyetertunk.

@sokadszorra: gondolj csak egy TAP file-ra - az pl tipikusan tobbet utazik mint egy switch. Prepaidnel is definialhatsz egy 'billing mutyi' SCP-t ami minden hivashoz hozzaad 2 mp-t :)

@Critical Thinking: "Így minden egyes adat megmódosítható a tulajdonos által. Az első bittől az utolsóig - és úgy hogy annak nincs nyoma ha a tulajdonos úgy akarja - ez a digitális adattárolás lényege."

Ez nem így van. Ha az adott adatot/információt a keletkezésekor egy harmadik fél által elektronikus időbélyeggel, illetve digitális aláírással látnak el, akkor azt utólag már nem lehet észrevétlenül módosítani.
Az időbélyegzés azt bizonyítja, hogy az adott adathalmaz az időbélyegzés pillanatában létezett.
Ha melléteszik azt a szabályozást, hogy a számlarekordnak és a rá rakott időbélyegzésnek az időeltérése nem lehet nagyobb, mint x perc, és csak aláírt/időbélyegzéssel ellátott rekordok dolgozhatóak bele a számlázórendszerbe, akkor azért elég jól meg lehet fogni a mani utólagos pulálását.
Ha a telkós hálózati eszközök nyers naplói mennek harmadik félhez - ő remélhetőleg nem tudja az egyes hívsárekordokat előfizetőhöz kötni - már meg is van a 4eyes móka.

@Critical Thinking: "Így minden egyes adat megmódosítható a tulajdonos által. Az első bittől az utolsóig - és úgy hogy annak nincs nyoma ha a tulajdonos úgy akarja - ez a digitális adattárolás lényege."

Ez nem így van. Ha az adott adatot/információt a keletkezésekor egy harmadik fél által elektronikus időbélyeggel, illetve digitális aláírással látnak el, akkor azt utólag már nem lehet észrevétlenül módosítani.
Az időbélyegzés azt bizonyítja, hogy az adott adathalmaz az időbélyegzés pillanatában létezett.
Ha melléteszik azt a szabályozást, hogy a számlarekordnak és a rá rakott időbélyegzésnek az időeltérése nem lehet nagyobb, mint x perc, és csak aláírt/időbélyegzéssel ellátott rekordok dolgozhatóak bele a számlázórendszerbe, akkor azért elég jól meg lehet fogni a mani utólagos pulálását.
Ha a telkós hálózati eszközök nyers naplói mennek harmadik félhez - ő remélhetőleg nem tudja az egyes hívsárekordokat előfizetőhöz kötni - már meg is van a 4eyes móka.

@telkoe: A cdr-t tessen a keletkezés helyén időbélyegezni/aláírni (az eszköz kulcsával). Rögtön meg van lőve az átvitel során a "mutyi scp billing" móka.

@Critical Thinking: A halozati elemek szoftvere NEM az ove, nem fejtheti vissza es nem valtoztathatja, csak hasznalhatja. Vannak beszallitok ahol meg rendszerszinten be sem lephet az eszkozbe.

@sokadszorra: 1-2 mp-t meg ugy is el lehet kenni az atfutasokra hivatkozassal. A CDR-t es a pp logot ugysem nagyon hasonlitgatjak ossze.

És mi van akkor, ha nem az elszámolási rendszerbe meg a log fájlokba nyúl bele, hanem valamilyen módon eléri, hogy az input oldalon be is menjen a zárt rendszerbe a dolog. Preparált kamu inputtal, generált hívással, stb.
Adatforgalomnál méginkább. Gondolom van arra lehetőség, hogy kiszóljon a telefonnak, hogy küldjön be adatot. Hamár az Apple meg a Google is tud ilyet a szifonnal meg a droiddal

@magas les: Ugyanaz a problema ezzel is - ki kesziti el azt a rendszert aki belenyulkal a telefonba vagy kamu hivast general? Ki kockaztatja az allasat / bortont ha ez kiderul?

Hajaj gyerekek, gyanitom hogy a kommentelők egy része túl sok filmet néz, a másik fele meg sosem dolgozott ilyen helyen.

A loggyüjtés és feldolgozás jelenleg még nagyon gyerekcipőben jár, legyen szó bankokról vagy akár telkó cégről. Ha tudnátok hogy sokszor mik folynak ott loggyüjtés cimén, fejvesztve menekülnétek.

És hát az üzemeltető háttér is hagy némi kivánnivalót maga után. Szóval amikor a rendszergazda egy elszállt alkalmazásról mobiltelefonnal készít "screenshotot" és azt küldi el hibabejelentés kapcsán...

Ha valaki csalni akarna a mobilhivásokkal, tényleg elég ha a fejesek benne vannak meg egy-két fő rendszergazda, a többiek meg úgysem jönnének rá hogy sz@r van a palacsintában.

Ugyanakkor nem valószinü hogy szándékosan csalnának, mert nálunk fejletebb történelmi fejlődésű országokban ha ez kiderül, kicsit komolyabb büntetést kapnának mint itthon (értsd: nem 3 év háziörizet meg 200 ezer forintos birság)

@telkoe:

Miért ne lehetne szándékos a túlszámlázás?

Az is teljesen szándékos hogy minimál (csak telefonálós) mobil számlacsomagnál is csak egy téves gombnyomásnyira van a méregdrága WAP, rendesen bekonfigurálva, amelyik 10 KB-onként 10-20 Ft-ot számláz a nagymamának ...

Pl. ez az oldal a Zugügyvéd blogon, csak kommenteket számolva, 150 KB.

Ez 150-300 Ft letöltésenként ...

És mit csinál a magyar mobilszolgáltató?

Gyakorlatilag kartellként mind a három ugyanezt csinálja, és mind a három 50e Ft-ban maximalizálja az ilyen havi "véletlen" internetezés költségét, mielőtt letiltaná az internetet.

Miért 50e Ft? Ez nem eléggé nagy ahhoz hogy pereljenek az emberek. Ez nem elég nagy ahhoz hogy "milliós mobilszámla" horror-sztorikat lehessen olvasni a napilapokban. De pont elég ahhoz hogy havonta egy nagyon jelentős bevételt biztosítson.

Az USA-ban is ezt csinálják: pont két hete bukott le a Verizon ilyen fantom számlákkal és fizetett több millió dolláros büntetést. Évek óta csinálta (!) és eközben az USA jogkörnyezete jóval rizikósabb ilyen szempontból.

(Szemben az USA-val Magyarországon nincs is olyan állami szervezet amely kommunikációs cégeket ilyen szinten effektíven vizsgálhatna.)

Annak esélye hogy kis hazánkban nem csinálnak ilyet a mobilszolgáltatók kb. annyi mint hogy az összes orvos rendesen adózik a hálapénz után:

Megéri csinálni, könnyű csinálni, nagy tételben lehet csinálni (mindenkitől csak egy kicsit lopnak), kevesen panaszkodnak (és ha panaszkodnak akkor jóváírják ...), minimális a lebukás veszélye, ezért csinálják.

Ilyen egyszerű.

Arról nem is beszélve hogy az egész "mobil számlacsomag" rendszer is egy nagy lenyúlás: vagy túlfizet az ügyfél és nem használja ki az 1000 db SMS-t, vagy túlhasznál ...

És persze milyen természetes is ez a "csomag" rendszer: minden ember ugye olyan hogy precízen egyfajta módon használja a mobilját: mindig pontosan havonta 1000 SMSt ír és 240 percig telefonál. Sosem megy szabadságra, sosem beteg, sosem ingadozik a használata.

Miközben technikailag triviális lenne sávosan/progresszíven számlázni: minél többet használ, annál olcsóbb.

De persze úgy nem lehetne alacsony árakat reklámozni, miközben valójában az emberek gyakorlatilag mindig vagy túlfizetnek vagy túlhasználnak ...

Informatikusként, de a nagyvállalati/biztonsági rendeszerekhez kevésbé értve azt mondanám, hogy túl könnyű belenyúlni ezekbe az adatbázisokba ahhoz, hogy ne csinálják meg. És túl sok pénzt ér. Persze ettől még lehet, hogy nem csinálják, csak a gyakorlat nem ezt mutatja.

Túl kockázatos? Kiderülne? Senki nem kockáztatná a reklámbevételeit, hogy ilyesmit megszellőztessen.

@Critical Thinking: Erosen kevered a dolgokat. Az hogy a telefon konfiguracioja vagy a csomag kialakitasra nem ugyfelbarat, nem jelenti azt hogy a szamlazasi rendszer csal.

A mobilszolgaltatok (szupermarketek, autogyartok, masszazs-szolgaltatok stb) ugy fejik az ugyfelet ahogy csak tudjak, de valoszerutlen,hogy egy olyan szandekos csalassal dolgoznak aminek csunya vege van ha lebuknak. Pont az altalad irtak legalis marketingmodszerek a pluszpenzek beszedesere. Ezeket a kiskapukat csak az NHH csukhatna be, de ha lattad milyen cirkusz volt a legutobbi EUs szabalyozas korul akkor nem valoszinu hogy az NHH hozza mer nyulni.

@KevinMulder: Jó a szöveg, még pár alapinformatikust is megvezet, de nem igaz.
Általában azt számlázzák ki, amit használt a user, de ha valami miatt szükség van rá, hát bármilyen számlát tudnak generálni, CD rekorddal egyetemben.
Tudnék még mesélni, de....

@porthosz:

Pont két hete a Verizon bukott le fantom számlákkal. Gugli: "Verizon phantom charges".

Büntetés: 50 millió dollár.

Namost a Verizon az USA legnagyobb mobilszolgáltatója, közel százmilló előfizetővel ...

Konzervatív becslések szerint még így is megérte nekik ügyfelenként átlagosan 1 dollárt lenyúlni, havonta, éveken keresztül.

És nincs itt semmiféle büntetőjogi felelősség sem, háziőrizet, miegymás. Gazdasági bűncselekmény a cég érdekében (nem saját zsebre - nyilván a bónusz azért megvan negyedévente) és még a legroszabb esetben is max a cég bukja a nyeresége egy részét és a "számlázási szoftver hibáját" pedig "kijavítják".

@telkoe: Az NHH elnöke korábban a matávnál dolgozott.
Tippelj, hogy mi a reakció az NHH részről a T vel kapcsolatos kötbérigényre...

@sokadszorra: DE kell vele mutyizni, mert a számlázási rendszer nem eszi egy az egybe.

@telkoe:

A számlázási csomaggal nem kívántam keverni a számlázasi csalást - csupán arra kívántam rávilágítani hogy a mobilszolgáltatóktól nem áll messze az ügyfelek előre megfontolt szándékkal, nyereségvágyból, aljas indokkal és különös kegyetlenséggel elkövetett átverése.

@spooler daemon: Hat igen. T-nel a legjobban megterulo befektetes az a penz amit jogaszokra es lobbira koltenek. Viviane Reding par merettel nagyobb mint az NHHs garda es meg is ot is megprobaltak hulyere venni.

@KevinMulder: Nem a hálózati biztonsággal van a gond, és nem a loginok maradnak nyitva. Csak a szolgáltató éhes, és ha valami kavart sejt, akkor úgy módosít, hogy neki legyen jó.
Nekem is cseréltek már számlát, úgy, hogy ugyanaz a számlaszám, ugyanaz az időszak, ugyanazok a hívások, csak egy másik PDF fájl, és a végösszeg volt más...
Ha egy toronyba nagyon becsap a villám, és emiatt beszorulnak a hívásadatok, akkor azok nem lesznek kiszámlázva szerinted? .... Dehogynem lesznek...

@Critical Thinking: Ne csinald mar a dramat, minden nagyobb ceg hasonloan dolgozik. De ha logikusan gondolkodsz, akkor tobb ertelme van percalapu szamlazassal levenni az ugyfelet ami legalis, mint csinalni egy illegalis tulszamlazo megoldast amivel bujkalhatsz az ugyfelek, dolgozok es a beszallitok elol is, es barmelyik az elozo 3 kozul buktathat.

@Critical Thinking: Szerintem igazad van. @KevinMulder: Jól mondja, hogy nem lehet meghekkelni a rendzsert. Kívülről. De mi van a - kizárólag elméletileg feltételezett - vezetőség által engedélyezett/előírt hekkelésekkel? Na ebben jó a kommented.

@telkoe:

Akkor hogy magyarázod azt hogy a Verizon mégis illegálisan túlszámlázott, éveken keresztül, jelentős tételben?

A te logikád szerint nem volt értelme a Verizonnak ezt csinálni és ezért nem is csinálta.

Mégis csinálta és fantom tételeket számlázott az ügyfelek kárára.

Akkor ez most hogy is van?

A dokumentált esetek szerint megéri ezt csinálni, mert a rizikó alacsony, az egyes tételek arányában kicsik, a profit magas (és az egyéb módon elért profithoz hozzáadódik - nem annak kárára képződik - a csoportos utalás előnye), és az esetleges büntetés kizárólag pénzügyi jellegű és csak a céget sújtja.

@Critical Thinking: Nem latok bele a Verizon dolgaiba, ezert nem tudom mennyire volt hanyagsag, nemtorodomseg (hogy kijavitsanak egy hibat) vagy elore eltervezett csalas. Valoszinubbnek tartom hogy van valami hiba, de inkabb vallaljak a karteritesi koltseget minthogy kijavitsak, de senki nem adott explicit utasitast hogy xyz rendszer hibasan dolgozzon.

A technikai megvalósítás nem érdekes, százféleképpen lehet csinálni.

A hívásokat meg azonnal archiválni kell, csekszummát készíteni, és azokat független helyen tárolni vagy publikálni. Onnantól nem lehet belenyúlni visszamenőlegesen.

Ne haragudjatok, hogy beleugatok az összeesküvés elméletekbe, de:
- a hívásrekordok jó pár transzformáción átesnek, melőtt számlázott rekord lesz belőlük
- egy hívásrekordnak több nyoma van különböző rendszerekben (több nagy különböző adatbázis, és sokkal több kisebb szatelit rendszer)
- ahhoz hogy hívásrekordot hamisíts, vagy a legelején csinálod (még a hálózatban, mondjuk SIM duplikálással) vagy konspirálnod kell vagy ezer emberrel, hogy az inkonzisztenciák ne bukjanak ki sehol
- és akkor van még a másik ezer ember, akiknek az a dolga, hogy a hívásokból mindenféle riportokat készítsenek, amikből általában szintén kiderülnek a turpisságok.

Szóval aki azt gondolja, hogy egy akármilyen mobil szolgáltató számlázási rendszerében adatot hamisítani "informatikailag könnyen megvalósítható", az minden csak nem szakértő. :)

Pláne milyen lehet az a tutira ugyanarról szóló 3 különböző összegű számla, amit az "ügyfél nem talált"?
Vagy egy roaming működési sajátosságba belekötni?
Vagy az a vizíó a havi 1000 forint túlszámlázásról, amikor az ügyfelek java része előre fizető Dominó vagy Praktikum vagy Vitamax, aki árgus szemekkel figyeli az egyenlegének alakulását? :)

Egyébként mint minden emberek által készített és működtetett bonyolult rendszer, így ezek sem mentesek a hibáktól. A hibák előfordulnak a szolgáltatók kárára vagy előnyére, és azon is vagy x ember dolgozik, hogy ezeket a hibákat mindkét esetben minél hamarabb korrigálja.

Sok olyan dolog van a telekom cégek működésében, ami szúrhatja az emberek szemét, de ezek általában szerepelnek az ASZF-ekben. Ha attól eltérő működést tapasztal a zugügyvéd, akkor viszont pereljen azon nyomban!

Mielőtt nagyon elsülne a kezetek, azért hozzátenném, hogy nem vagyok telekom cég alkalmazottja.

@blogr75: Ja, és 2010.11.18 óta vagy tag, és írtál EGY bejegyzést. Csak nem ezért jöttél? :)

@blogr75: És most konkrétan:
"a hívásrekordok jó pár transzformáción átesnek, melőtt számlázott rekord lesz belőlük"
De nem változhat, és nem sérülhet ezen transzformációk közben. Nekem viszon van olyan, mobilszolgáltató által kiadott dokumentum a birtokomban, amely azt bizonyítja, hogy a hívásrekord módosult.

"egy hívásrekordnak több nyoma van különböző rendszerekben (több nagy különböző adatbázis, és sokkal több kisebb szatelit rendszer)"
Amely nyomok valahogyan előállnak. Miből áll azt előállítani ugyanazon szoftverrel? Nem kell hozzá emberi beavatkozás, ha úgy van megírva.

"és akkor van még a másik ezer ember, akiknek az a dolga, hogy a hívásokból mindenféle riportokat készítsenek, amikből általában szintén kiderülnek a turpisságok. "
Ha az össze szükséges adat elő van állítva, hogyan is derülne ki?

" az ügyfelek java része előre fizető Dominó vagy Praktikum vagy Vitamax, aki árgus szemekkel figyeli az egyenlegének alakulását"
És megdöbbenve tapasztalja, hogy nem használta a telefont, mégis leugrott róla pár ezer forint. Erre jó pár tanút lehetne hozni fél órán belül. Személyesen beszéltem tíznél több emberrel, akivel rendszeresen előfordul. Konkrétan láttam olyan rendőrségi ügyet, ahol emiatt a user feljelentést is tett, és a szolgáltató embere nem annyira tudta megmagyarázni a jelenséget.

"Ha attól eltérő működést tapasztal a zugügyvéd, akkor viszont pereljen azon nyomban!"
Csakhogy a bizonyítékokat tartalmazó informatikai rendszerek a szolgáltató kezében vannak. És nem perelni kéne, hanem büntetőfeljelentést tenni.

"Mielőtt nagyon elsülne a kezetek, azért hozzátenném, hogy nem vagyok telekom cég alkalmazottja."
Már vagy még? :D

Sok mindent nem mondhatok, mert dolgoztam telekomban. Azok a megjegyzések, ahol tippeket ad valaki, hogy hogyan lehetne meghekkelni a rendszert minden egyes ilyen tippre azonnal bukik. Sok, különböző, egymással ellentétes érdekű embernek kellene együtt dolgoznia a csalásban, több cégben, olyanoknak akik közül néhányan legszívesebben megfojtanák egymást. Szerinted?

@heliox: Nem hekkelésről szól az eredeti írás, hanem belső munkáról, szervezetten.

@szaGértő: Hekkelésről néhány kommentelő írt, konkrét tanácsokat adva. Nem a cikk. Na azok maximum a CSI színvonalát és szakmai szintjét érik el.

A cikkről nem írok semmit, nem vagy fagylalt.

@szaGértő: "belső munkáról, szervezetten"

Nem tudom, mennyire szervezett.

Régen a matávos dolgozók az én telefonszámlám és mások terhére beszéltek külfölddel. Mindig az a válasz jött, hogy zárt a rendszer, panasznak helye nincs. Egy fenéket volt zárt! Akkor még drága volt a tengerentúli hívás. Ugyanúgy el tudom képzelni, hogy a mobil szolgáltatóknál a legalsó szinten dolgozók saját, vagy mások számára használják az ügyfelek számláit.

A középvezetőknél el tudom képzelni, hogy az üzleti terv rájuk eső részének teljesítéskényszere hatására turbózzák fel a számlákat. Erre a vállalatvezetés nem ad utasítást, legfeljebb megtűri, és nyitva hagyja a kiskapukat.

Azt nem tudom elképzelni, hogy vállalati szinten menjen a csalás, egyszerűen túl nagy a lebukás veszélye.

@heliox: :D

@heliox: A CSI színvonalán mások is vannak. Egyszer egy nyomozó adott egy videót, hogy szedjem ki belőle az azon látható autó rendszámát, ami éppen csak egy pötty volt. Mondtam neki, ez nem CSI vazze. :D

az számít, hogy okostelefonom van, és mióta megvan, azóta őrzi a tételes híváslistámat?
Egyébként egyezik a számlával...

Igen, csak ezért regisztráltam.

Nem akarom a bonyolultságot ismét fejtegetni, de az általad említett "ugyanazon szoftver" kismillió - különböző cégek által fejlesztett - együttműködő programot takar(hat).

Ha te a magyarországi 10 millió emberből kb. 10-et ismersz, akinél hibák fordultak elő, akkor vagy kevés az ismerősöd, vagy a szolgáltatók számlázási rendszere sokkal biztosabb mint te gondolod.

Mindegy, látom hogy az összeesküvésbe vetett hit nagyon erős. :)
Bocs a zavarásért, és sok szerencsét a feljelentéshez!

Ahogy nézegetem a kommenteket, itt éppen azon megy a vita, hogy hogyan lehet védekezni ezek ellen, és megcsinálni, hogy ne lehessen félreszámlázni, viszont a másik kérdés az az, hogy vajon a szolgáltatónak érdeke-e hogy ne számlázzon félre?

Ha meg igen, akkor miért nem?

Véleményem szerint akiknek van megfelelő hozzáférésük, azok tudják megfelelően hekkelni a dolgokat, úgyse akarja senki se megnézni, aki nem oda tartozik.
Sajnos.

Üdv!

"KevinMulder" és "sokadszorra" urak vs. Sanyi vitában az előbbi két úrnak adnék igazat.

Amit laikusként is meg lehet érteni: egy ilyen rendszerben MINDEN adat-módosítást naplóznak, mégpedig olyan módon, hogy a módosításokról valós időben "hardcopy" készül.

Azaz egy olyan másolat, ami utólag nem módosítható. Hogy megint csak egyszerű legyek: fognak egy bazinagy teljesítményű nyomtatót, és az ontja magából papírra nyomtatva az összes újonnan bevitt rekordot illetve módosítást, törlést...

Azaz gyakorlatilag a log-okat nem a számítástechnikai rendszerben ill,. nem csak abban tárolod - ez az utólag nem módosítható külső másolat, ennek megléte eléggé alapvető fontosságú egy auditát rendszernél ... enélkül nem lesz belőle az.

Teht eltárolják "papíron" hogy
- milyen adat módosult, került bevitelre vagy törlésre
- mikor történt ez
- és hogy ki (felhasználónév) módosította ezt az adatrekordot

Na most lehet valaki akármilyen ügyes hekker vagy magas szintű hozzáféréssel rendelkező belső ember ... de ha egyszer kinyomtatták papírra, azt már igen nehezen fogja módosítani.

OK, el lehet tüntetni, meg lehet semisíteni a papírt/hardcopy-t, de akkor meg annak a hiánya lesz a feltűnő...

Ma persze már nem papíron tárolnak, és a CD-re, DVD-re kiíárs is idejétmúlt - ma az van, hogy a komoly hardware-gyártók árulnak olyan háttértárakat, amikre adatok csak írhatók (és olvashatók) de ki nem törölhetők ...

Critical Thinking 2010.11.18. 17:55:00
> Az egyedüli garancia az lenne ha egy harmadik fél tárolná az
> adatokat, akit az ügyfél pénzéből fizetnek

De pontosan ez a helyzet: az ilyen kényes adatokat egyrészt egy olyan gyártó által gyártott "vason" tárolják, akinek kurvára nem érdeke az, hogy bárki is fel tudja törni a tárolóját .... másrészt rendszerint két, egymástól fizikailag is jó távol levő helyen tárolják ...

/ Különösen mióta 9.11 elvitte a SUN fejlesztőcsapatát, irodáit és folyamatatban levő projetjeik minden adatát (merthogy az ikertornyokban tanyáztak... egynémely hasonlóan járt pénzügyi céggel egyetmeben... ) ez eléggé érthető.
:-) /

És persze ezeket a "hardcopy" adatokat külső, adat-tárolásra szakosodott cégek tárolják. És egy ilyen cég... ugyan nem a "felhasználók" fizetik, hanem az adat-tárolást megrendelő cég ( OTP, Telenor stb.) viszont ... az adat-tárolásra szakosodott cég lehúzhatná a rolót, ha a nála tárolt adatokat illetéktelen törölni, módosítani vagy akárcsak meglesni is tudná... Ez elég nagy garanciát jelent a rendszer auditálásához.

***

Ja meg még mint az többen írták: van aki adótornyot gyárt, van aki műhodat, van aki telefont, van aki szervert, van aki operációs rendszert, van aki számlázószoftvert, van aki adat-temetőt üzemeltet, van aki auditálja mindezt ...

Nem igazán tűnik okos ötletnek trükközn - különösen mikor legálisan annyit kér amennyit nem szégyel ... és hát egy mobilszolgáltató multi nem az a szégyellős fajta :(

bye
Sics

@Sics68: Igen korrekt az összefoglaló, és szakmailag is az, de két dolgot nem magyaráz meg:

1. Hogyan keletkezett az a - mobilszolgáltató által kibocsátott - részletes számla, ami ellentmond az általad írtaknak?

2. Hogyan lehetséges az, hogy rengeteg ember úgy látja, hogy nem csak akkor fogy az egyenlege (prepaid), amikor telefonál, illetve (számlás esetén) hiába veszi vissza a telefonálást, nem csökken a számla.Visszautalva itt @blogr75: kommentjére, ha tíz emberből tíztől ezt hallottam, az lehet, hogy az összes user igen csekély százaléka, de az általa monitorozott létszámnak a 100%-a

A fő gond az, hogy ha egy számlával probléma van, azt a szolgáltatók erőből oldják meg, közlik, hogy ez egy tanúsított rendszer, és pont. Holott vannak arra adatok, hogy - egyes időpontokban - ez a rendszer minimum hibásan működik, aminek logikailag olyan következménye kellene, hogy legyen, hogy a hiba előfordulásáak időpontjától a következő tanúsításig nem tekinthető a cucc tanúsított rendszernek.

Ráadásul a tanúsítási szempontokat sem ismerjük, néhány - a szolgáltató által is előzetesen ismert - számról indított pár hívást például én nem tekintenék teljeskörű vizsgálatnak.

És mi van a két tanúsítás közben végzett szoftvermódosításokkal? Csak érdekelne...

>szolgáltatók erőből oldják meg, közlik,
>hogy ez egy tanúsított rendszer, és pont

Egyrészt mert az. De facto. Ezt lehet mondani, bármit jelentsen is.

Másrészt a panaszok 99,99999%-a ügyfélhülyeség. Én is panaszkodtam többször és kiderült, hogy nekik van igazuk. Nehéz elfogadni, hogy valaki saját maga a hülye, és a kognitív disszonancia miatt ilyenkor az emberek tovább vitatkoznak. Ez az ügyfélszolgálaton másodpercenként pénz, csorog ki a szolgáltató zsebéből. Ő nem akar lélekápoló lenni. Ezért választja a rövidebb utat.

Aki meg eléggé erősködik, az átjut a szűrőn, és ha elég sokat fizetsz havonta, akkor simán jóváírják a tévedést különösebb huzavona nélkül.

Bennem még egy alkalommal sem merült fel, hogy bármelyik konkrét eset ne tévedés lett volna, hanem szándékos.

@Verhás Péter: Én viszont láttam olyan esetet. Leginkább indirekt módon (=nem javítják azt a hibát, ami a zsebükre dolgozik).

Milyen sok informatikai szakember van itt:)
Szerintem itt nem az a kérdés, hogy valakinek érdeke-e, vagy nem érdeke. (Például én sose értem, hogyha valaki összelopott több milliárd forintot, akkor miért lopja el a milliárd+1 forinot is, amivel lebukhat) Megtudja-e csinálni vagy nem tudja megcsinálni. (Gondolom itt nincsenek hackerek, tehát lövésünk se lehet, hogy mit lehet megcsinálni és mit nem).
Az a kérdés, hogy egy bizonyítottan nem hibátlan rendszer adatait, hogy fogadhat el bizonyítékként egy független bíróság. Illetve, az,hogyha egy rendszer bizonyítottan nem hibátlan, akkor hogy bizonyítható az, hogy az hiba szándékos vagy "véletlen".

@gergo1000: És az a tény, hogy a hibás rendszerre vonatkozó dokumentumok bemutatása nem azt vonta maga után, hogy bizonyítják a rendszer működésének helyességét, hanem azt, hogy légből kapott, az ügyhöz nem vagy csak lazán kapcsolódó indokok alapján mindeféle eljárásokat kíséreltek meg indítani, valahogy azt a képzetet kelti, hogy nem is tudnák bizonyítani a rendszer hibátlan működését.

Pár évig egy külföldi mobilszolgáltató rendszerét programoztam. Általánosságokat osztanék meg veletek.
a) ezek zárt rendszerek, és alapvetően egy generikus kódra épülnek. Azaz egy cég készített a hálózati elemekkel müködő alapszoftvert és a szolgáltatók ezt szabják folyamatosan saját magukra.
b) ezek a rendszerek sokszor igen idősek, 15 - 20 év. Ezalatt úgy kell őket karbantartani, hogy bármelyik változatás ne befolyásolja az eddigi müködést. Na most mivel az emberek az évek alatt folyamatosan cserélődnek, ez nem egyszerű feladat. Ebből adódhatnak pl hibák - nincs ember aki átlássa egy ilyen redszer egészének a működését.
c) komoly tesztelés előz meg minden új változtatás átadását, több szinten, több emberrel, akik még csak nem is ismerik egymást. Ezek a tesztelések jegyzőkönyvezve vannak.
d) A törvény alapján 99.9997%-ban kell jó számlát kiállítani, különben auditnál nagy bünti ( a százalékra nem emlékszem pontosan, de nagyon kevés esetben lehet 'hibázni'.
e) szofterszinten több lépcsőben utóellenőrzés van. HIbás, kétséges CDR (hívásadat) azonnal félredobásra kerül, mint amikor kiveszik a bőröndödet a sorból és külön megvizsgálják, amíg nincs rendben, nem megy tovább - emiatt lehet hogy pl későbbi számlában jelenik meg!)
e) a hozzáférések igen erősen korlátozottak, ez igy van ahogy többen leírják fent. Az, aki igazán tudna változtatni és ért hozzá (pl programozó)
ritkán fér hozzá az élő rendszerhez - pl soha.

A szigorúságról annyit, hogy anno az újságban is volt, hogy az egyik hazai mobilszolgáltatónál letiltották a prepaid kártyák aktiválását az egész országban kb. egy napra. Az oka annyi volt, hogy egy tucatnyi prepaid (még csak nem is 'élő' vagy élesített - azaz nem használható feltöltőkód eltünt valahol..mert ez se úgy megy hogy ha ellopod használod...először aktiválják a kereskedőhöz való kiszállitás után, stb)...

Konkluzió: nem csak a cégeket védendő, de sokszor inkább akaratlan emberi hiba fordul ilyeneknél elő a dolgok nagy komplexitása miatt.

@Sanyi: a digitális aláírás (min. védett) még nem hamisítható.
Szerintem minimum az audit logon, de inkább a hívásrekordokon minősített digi aláírás kell, hogy kinek a jogosultságaival történt a rekord beírása.

Arról is gondoskodni kell, hogy ember ne férjen hozzá a rendszer jogosultságaihoz, vagy ha mégis, akkor az eltüntethetetlenül naplózva legyen. Elég nehéz megoldani.

@szaGértő: Ket tanusitas kozti szoftvermodositast nem tanusitanak azt te is tudod. Sot, a tanusitas is csak a tanusitaskor futo es aktiv SWre vonatkozik, azaz ha meghibasodas / karbantartas soran masik SW resz valik aktivva, az viselkedhet maskent is.
Kis elkepzelt pelda: Egy bizonyos kedvezmenyt megado rendszer SW frissiteni kell. Frissites betervezve 0200-0300, szolgaltato tudomasul veszi hogy ebben az idoszakban nincs kedvezmeny megadva az ugyfelnek, tartalek rendszer a frissites idejere nincs, de majd jovairjak ha panaszkodik. Frissites elhuzodik 0700-ig. 0800 eszlelik hogy nem sikerult. Analizis, regi rendszer visszall 1400. Ezido alatt X ugyfel nem kapta meg a neki jaro kedvezmenyt, ennyivel jobban jart a szolgaltato. De ez meg mindig csak muszaki problema / hanyagsag kategoria, nem pedig szandekos lenyulas.

Üdv!
@szaGértő 2010.11.19. 08:25:38

> 1. Hogyan keletkezett az a - mobilszolgáltató által kibocsátott
> - részletes számla, ami ellentmond az általad írtaknak?

Nem tudom.

Nem mondom hogy fogalmam sincs (tippjeim vannak) de nem tudom.

Az adott eset nyilván komolyabb vizsgálódást érdemelne, felegyület, hatóság ilyesmi részéről - csak éppen egy ilyen vizsgálat szakértői költségeire gyanítom elmenne az illetéke hivatalok éves költségvetésének úgy egynegyede...

> 2. Hogyan lehetséges az, hogy rengeteg ember úgy látja,
> hogy nem csak akkor fogy az egyenlege (prepaid), amikor
> telefonál, illetve (számlás esetén) hiába veszi vissza a
> telefonálást, nem csökken a számla.

Hm, erre azt tudom mondani, hogy írogassa magának az ember, és nézze össze a szolgáltató által kiküldöttel. Az "úgy érzi" nem túl jó érv egy számítástechnikai rendszerrel szemben.

Aztán meg SzaGértő maestró: a különösen viselkedő számláknak szerintem több oka van, felsorolom őket:

1. Az emberek hülyék. Gyakran, illetve nagyon.
2. Vannak a mobilozáshoz kapcsolódó igen genyó szolgáltatások ill. cégek
3. Vannak szándékos csalások

Vegyük ezt most részletesebben végig.

1.
Az emberek hülyék. Gyakran, illetve nagyon.

Gondoljunk csak a Darwin-díjasokra és jelöltekre, mint az egyszeri tűzoltóra aki becsengetett, hogy "tessék mondani, innen jelentettek gázszivárgást"? ... De felemlegethetnénk a mikróban szárított macska esetét is.

Lényeg hogy sokan abszolút nem tudják mit tesznek és az milyen következményekkel jár...

Legyek őszinte: én magam se tudom miért annyi a a telefonszámlám. 10-15 ezer közt szokott lenni, asszem MédiaMánia M díjcsomag ... de hogy mennyi a percdíjam (valahol 20-30 Ft közt gondolom), vagy mennyi a megrendelt Te+Én kedvezmény havidíja, azt max. akkor tudom amikor épp megnézem a számlán.

Én ennyit tudok róla.

Viszont sokan nem csak azt nem tudják pontosan hogy mi mennyibe kerül, de még azt se, hogy amit megrendeltek, az pénzbe kerül... sőt néha azt sem tudják, hogy amit épp tesznek, azzal épp megrendelnek valamit.

Mondok pár példát.

Csinálok/beállítok egy feltételes átirányítást - és elfelejtem... Aztán ha akkor hívnak amikor alszom vagy "kussoljon" módban van a telefonom, akkor az átirányítás megy a másik számra... ami egy rég elfelejtett prepaid kártya... isten tudja milyen SMS-ek és szöveges üzenetek csücsülnek rajta... egyszer le kéne hallgatnom. Persze az átirányított hívásokért fizetek ... csak épp nem emlékszem rá, hogy egyáltalán beállítottam azt a fránya átirányítást.

Vagy megrendelek egy olyan szolgáltatást, ami pénzbe kerül, havonta... prepaid telefonról is megrendelhető. Mondjuk hogy egy bizonyos időszakban vagy egy bizonyos számra indított hívás legyen kedvezményes, és persze ez egy havonta megújuló szolgáltatás... Azaz havonta levonják a számlámról. És hülye userként nem értem, miért tűnik el a prepaid kártyámról 30 naponként egy fix 500 Ft körüli összeg - azért, hogy az exemmel olcsóbban beszélhessek... miközben nem hogy arra nem emlékszem hogy én valaha is megrendeltem ezt a szolgáltatást, de már azt is elfelejtettem hogy nézett ki a csaj akinek a számára annak idején megrendeltem ...

És akkor még csak a felhasználó volt gügye.

Egy időbe jöttek SMS-ek hogy játsszak valami telefonos kvízjátékban, SMS-ben ... persze 90-es számra. Ha valaki válaszol ezekre az SMS-ekre ... és ugye nem kell telefonszámot begépelni, elég az hogy "válasz"-t nyom ... akkor megy az SMS az emeltdíjas számra.

Ha valaki nem tudja hogy a 06-90- előtag mit jelent, akkor megszívta... részben a saját hülyeségét részben meg az adott mobilszolgáltató vagy külső cég geciségét.

2.
Most nézzük akkor ezeket a genyó szolgáltatásokat.

Ezeket általában NEM maguk a mobilszolgáltatók nyújtják ( persze ők is... csak ők kicsit visszafogottabban) hanem külső cégek.

Van mondjuk az idióta "havonta küldünk Önnek két új csengőhangot" szolgáltatás.

Ezt nyugisan megrendelheti valaki egy olyan mobilról is, ami a gyárilag fixen beépített csengőhangokon kívül nem tud mást eltárolni. Aztán az adott csengőhang-küldözgető cég elküldi havonta a mobil tulajdonosának a megrendelt két új csengőhangot, aminek persze az adott telefonon semmi jele.

Természetesen a csengőhang-küldözgető cég a mobil szolgáltató felé be fogja nyújtani a számlát, hogy a xxx-xxx--xx szám tulajdonosa megrendelt tőlük havi 500 Ft-ért két db csengőhangot... A mobilszolgáltató pedig átutalja nekik a pénzt, és persze ráterheli a havi számlára vagy levonja a pre-paid egyenlegből (amiben az a vicces, hogy ugye ki se nagyon derül hogy mire ment el pénz, miért tűnt el pénz a kártyáról) .

Aztán a hülyeuser telesírja a fórumokat meg elpanaszolja az összes barátjának, hgy "eltűnik a pénz a kártyájáról".

De lehet időjárás-jelentést, vagy útinformációt vagy napi valahány db viccet is megrendelni SMS-ben... esetleg úgy, hogy a megrendelő nem is figyel fel rá, hogy ez fizetős szolgáltatás.

Vagy egy darabig ingyenes, és egy-két hónap után válik fizetőssé.

Vagy meghirdetik ingyenesnek, aztán egyszer csak fizetőssé nyilvánítják.

Ilyeneket persze a netről is meg lehet rendelni ...

3.
Sőt: van amikor tényleg nem is tudatják a mobil tulajdonosával, hogy amit most ő megrendel, azért majd fizetnie kell.

A legdurvább, amikor csinálnak egy internetes oldalt, lehetőleg valami olyan országban ahol a törvényesség nem áll a helyzet magaslatán, és ezen a weblapon valamilyen okkal elkérik a telefonszámodat. Arról egy kurva szó sincs, hogy megrendelnél valamit - hanem a telefonszámoddal tudnak azonosítani, akármi... tetszőleges hülye szöveg, hogy miért kéne megadd.

Aztán kiszámláznak a magyarországi (vagy akárhol levő) mobilszolgáltató felé valami díjat. Mondjuk 1-5 euró/hó körüli összeget.

Ez szerencsés (számukra, a csalók számára szerencsés...) esetben sokáig fel se tűnik a szám gazdájának... hogy ennyivel hosszabb a telefonszámlája ... vagy hogy ennyi tűnt el a pre-paid kártyájáról.

A dolog különösen vicces verziója, ha a gyermeked "rendel meg" valamit így a neten, tudtán és akaratán kívül ( különben is jogilag cselekvőképtelen...) - a Te telefonszámlád rovására.

És ekkor még olyanokról nem is beszéltünk mint klónozott telefonok ... ő beszél rajta, Te fizeted helyette ...

***

> A fő gond az, hogy ha egy számlával probléma van,
> azt a szolgáltatók erőből oldják meg,

Ez tényleg gond.

> közlik, hogy ez egy tanúsított rendszer, és pont. Holott
> vannak arra adatok, hogy - egyes időpontokban - ez a
> rendszer minimum hibásan működik, aminek logikailag
> olyan következménye kellene, hogy legyen, hogy a hiba
> előfordulásáak időpontjától a következő tanúsításig nem
> tekinthető a cucc tanúsított rendszernek.

Egen, ez egy jó felvetés...

> Ráadásul a tanúsítási szempontokat sem ismerjük,
>
> És mi van a két tanúsítás közben végzett szoftvermódosításokkal? Csak érdekelne...

Ez is egy érdekes kérdés, elismerem!

bye
Sics

Annyit azért tegyünk hozzá, hogy ugyanezen - a számlázásban is felhasznált - eseményrekordok alapján a bíróságok nem csak számlavitákban döntenek, hanem adott esetben büntetőügyekben is; egy-egy hívás vagy cellainfó hosszú éveket érhet.

Ha jól értem, akkor azt is állítjátok, hogy minden ilyen adatra épülő bizonyíték eleve megdőlt - hiszen manipulált lehet - beleértve pl. a romagyilkosságokat (itt ui. a vád cellainfókkal igazolja a tettesek jelenlétét?

@SzZ: Nem minden, de ki tudja... Azért azt bizonyítani, hogy egy adott időpontban nyilvánvalóan hibás volt a rendszer, elég necces dolog. Nekem két esetben sikerült, de ez inkább fordítva megy, van egy adat, amiből ez következik, és nemúgy hogy van egy időpontom, amihez keresni kellene adatot.

Már csak az általad írtak miatt is baromira fontos, hogy a hívásadatok minden szempontból korrektek és megkérdőjelezhetetlenek legyenek. Így az állam alapvető érdeke is az, hogy kétség se merüljön fel ezzel kapcsolatban.

@telkoe:
Hogyne lenne lenyúlás? A hiba nem szándékosan generált, de szándékosan nem lesz javítva a számla. Ez pedig így már lenyúlás.

@gergo1000: Lehet sokaig vitatkozni rola hogy hol a hatar a lenyulas es a muszaki / emberi hiba kozt. Mindenesetre a leirt elmeleti esetben olyan sokba kerulne utolag jovairni a hiba miatt kiesett kedvezmenyeket hogy nem is foglalkoznak vele. Csak ugy iranyszamkent olyan 800 - 1000 EUR/ora egy ilyen beavatkozas koltsege es nem 1 oras munka. Akkor inkabb jovairnak 10 EUR-t annak az ugyfelnek aki panaszkodik. Mindenesetre nem generaljak ezt a hibat aktivan a plusz bevetel remenyeben,az teny.

@telkoe:
Ez akkor lenne korrekt és nem lenyúlás, ha minden ügyfélnek jóváínának 10 EUR-t és nem csak annak aki reklamál.

@szaGértő: Letezik olyan megoldas, amivel nem fogadott CDR-t lehet generalni barmely VLRban barmely IMSInek. A szolgaltato viszont ebben az esetben tudja hogy csak generalt jelenseg volt, a helyi eszkoz viszont nem.

@telkoe:
Ja és azért eleég vicces lenne, ha valaki "véletlenül" elvinné a pénztárcád, de mivel túl drága lenne visszaküldenie, ezért inkább megtartja. Ha érte mész, akkor hajlandó visszaadni.
Szerintem ez lopás.

@gergo1000: Melyik minden ugyfelnek? Az osszenek aki elofizeto (par millio ugyfel), vagy az osszes aki potencialisan hasznalhatta - itt megint penzbe kerul kideriteni hogy ki hivott....?

@telkoe:
Végülis úgy látom eljutottunk az alfáig. Tulajdonképpen az ilyen hozzáállás miatt tehetnek meg mindent a szolgáltatók. Te ezt el tudod fogadni, én nem. A bíróság is el tudja fogadni, így az olyanoknak akik, úgy gondolkoznak, mint én, azoknak marad a dühöngés. Meg a reménykedés, hogy egyszer eljön egy olyan világ, ahol az általad felsorakoztatott indokok már nem lesznek elfogadhatóak. (Persze én is tudom, hogy ilyen sose lesz, de már akkor boldog lennék, ha nem lennének olyan emberek akik ezt erkölcsileg normálisnak tartják)

@telkoe: Ha a szolgáltató elkúrta, az nehogy már az ügyfélnek kerüljön pénzébe. Ha a szolgáltatónak sokba kerül jóváírni, akkor majd vagy ráveri arra, aki elkúrta, vagy benyeli, és vigyáz, hogy legközelebb ne kúrja el. Szerintem ez lenne a korrekt eljárás. Az, hogy elkúrtam, de sokba kerül jóvátenni, nem egészen korrekt, és szerintem kurvára nem jogszerű.

@gergo1000: Tulajdonkeppen ha nem az igazsag martirja cimre palyaznal akkor lassan derengeni kellene hogy ugyanugy ahogy 1kg liszt nem pont 1kg, 1l tej nem pont 1 liter es a villanykorte nem tart 1000 uzemorat a telefonszamlaban is van hibalehetoseg. Sot, a szolgaltatok a sajat karukra is tevednek idonkent, szal a tevedes nem mindig uzlet.
Annyira ne vard hogy minden hulyesegert mindenkinek szorjak a karteritest, mert a karteritesek is az elofizetesekbol jonnek es kiderulne hogy draga dolog az a nagy boldogsag.

@szaGértő: ... es a szolgaltato megemeli az arakat, hogy az emelt minosegu szolgaltatast kifizesse a beszallitoknak.

A masik lehetoseg hogy megveszi a kinai technologiat, indiai konzultanst es 1 forinttal alaiger a masik szolgaltatonak. Erre atjon 100.000 elofizeto, ebbol 200 megszivja vmi hiba miatt, es 5 eleg sokat veri az asztalt hogy kapjon valami jovairast.

@telkoe:
Értem én amit mondasz, csak nem értek vele egyet. Nem hiszem, hogy ettől az igazság mártirja lennék, de engem zavarnak ezek a dolgok. És ugyanúgy nem elfogadható számomra, hogy az 1 kg liszt nem 1 kiló, mint ahogy az összes többi, amit felsoroltál.

@gergo1000: Ki is fizetned a masfel-ketszeres felarat azert hogy ne igy legyen?

@telkoe: Igen, kifizetném.

@telkoe: 'a telefonszamlaban is van hibalehetoseg'

Nem tudom figyelted-e a cikket ami elindította a vitát, vagy csak a vitát magát?

A cikkben pont arról van szó hogy a tisztelt cikkíró azt állította (és bizonyította) bíróság előtt amit most már te is állítasz insiderként: hogy a telefonszámlában igenis benne van a hiba lehetősége.

De a mobilszolgáltató a bíróság előtt ezt a véleményt nem vállalta be, nem kívánta bizonyítani a konkrét esetben hogy nem hibázott - hanem ehelyett azt állítja hogy a rendszer "zárt" és így a hibalehetőség eleve ki van zárva.

A mobilszolgáltató bevállalta a rendőr, ügyész és esküdtszék szerepét és kérte a bíróságot a döntés plecsnizésére.

Így már tisztábban érthető a mobiltársaság érvelésének abszurditása?

Archvalni mindenki azt archival amit akar, akar DVD-n, akar mason. Egy bitfolyamot. Minden alairokulcsot lehet masolni, minden digitalis alairashoz csak a file megszerzese kell. Nem egy bonyolult dolog. Par DVD-t meg egyeb modon tartolt file-t lecserelni sem egy nagy kunszt. Ismetlen, technikailag minden megvalosithato, vezetoi akarat kerdese. Amugy, ha tenyleg mukodne rendesen a rendszer akkor a birosag miert ne tekinthetne bele? Miert nem tudhatja a user hogyan mukodik ha ugyis zart? Na ugye.

Javaslom a szamitogepes rendszerekben, logoloasban, stb. hivoknek a Running Man cimu 1987-es film megtekinteset Arnold Schwarzaneggerrel. Ott is hisznek a nepek... Az a technologia pedig 20 even belul itt van. Szerintem.
(Akinek nincs kedve megnezni: a fohost videofelvetel alapjan itelik el. Van egy program amivel ki lehet valasztani, hogy ki hol milyen buncselekmenyt kovet el, az meg legyartja a megfelelo terfigyelo kamera felvetelet amit a birosag hitelesnek fogad el.)
Na csa.

@Critical Thinking: Az egyetlen amiben nem ertek egyet a cikkiroval hogy ez kifejezetten tervezett, szandekos manipulalasa az adatoknak a nyereseg novelesere. Az osszes tobbiben nem latom hogy barmirol meg kellene gyoznod.

Ideznem amit tegnap irtam:
telkoe 2010.11.18. 18:02:09
@KevinMulder: En is azt mondom, hogy szandekossag nem valoszinu, mert egyreszt a beszallitok nem adnak a nevuket a dologhoz, ha helyben fejlesztgetnenek ilyet akkor meg a dolgozo gyakorlatilag barmikor ratehetne a kest a ceg nyakara egy ilyen eset megszelloztetesevel. Viszont slendriansaggal, hibaval, atgondolatlansaggal siman lehet hasonlo tulszamlazast okozni, a cegek meg a hibak kijavitasa helyett elbujnak a 'zart rendszer' moge es elhajtjak az ugyfelet.

@telkoe: Azt a kérdést, hogy hibás működés vagy tervezett manipuláció történik, az egyes cégenke kellene kezelnie, legalább kommunikácói szinten, de nem ártana egy olyan technológiai megoldás (akár a tényét publikálva is), amit itt jó páran felvázoltak.

Sokat dobna a megítélésen, mint ahogy az ettől való elzárkózás sokat ront, mert mindenki a rosszabb konteót fogja feltételezni.

Az itt felvazolt log/timestamp stb megoldasok jol hangzanak atlagos irodai kornyezetben, de telko kornyezetben kivihetetlen / eletkeptelen vagy pillanatok alatt olyan 1M koruli projekt lesz belole ami meglehetosen irrealis 0 ROIval.
Tobb eselyt latok arra hogy a szolgaltatok osszessegeben akarjak kezelni a problemat (ui nem csak az ugyf karara, de hasznara is teved idonkent a rendszer) es ezert vezetnek be celzottan analitikai rendszert. Eddig egy ilyennek lattam a reszletes leirasat, de nem tudok rola hogy vhol valoban bevezettek volna.
Ami a kommunikaciot illeti, az nekem sem tetszik ha jogi / ufsz / marketing osztaly a magas lorol kommunikal, de ezt nem lehet rendbe tenni egy uj rendszer bevezetesevel. A konteoelmeleteknel itt is bevalt, hogy minel kevesebb fogalma van a valosagrol (muszaki - uzleti - jogi hatter) annal vadabb elmeleteket tud gyartani.