Elítélték a magyar etikus hackert, aki egy súlyos biztonsági résre figyelmeztette a Magyar Telekomot. Az ügyészség börtönt kért rá, de a bíróság végül csak pénzbüntetést ítélt meg első fokon. Ez a dolog nagyon szomorú. Azt mutatja, hogy rossz irányba rohamozunk. Az alábbi írásban annak a véleményemnek szeretnék hangot adni, hogy nem az etikus hackereket kellene meghurcolni, hanem a biztonsági réseket hanyagul kezelő cégeket. Na de kezdjük az elejéről!

A kiberbiztonság hiánya már régóta érezteti a hatását: egyre többen járnak pórul amiatt, hogy az internet beszivárgott a tárgyaikba, ajtót nyitva mindenki előtt. Kevesen tudják, de lassan már minden egy számítógép lesz. A telefon, a TV, a kocsi, a mosógép, meg persze a Telekom által beszerelt router is az, bizony! A világ megállíthatatlanul abba az irányba tart, hogy szinte mindent bekötünk az internetbe, mert hát ez a fejlődés iránya.

A 21. század arról szól, hogy egyre jobban összenövünk a technológiával, annak minden előnyével és hátrányával együtt. Ennek köszönhető, hogy az ember sokkal produktívabb lehet, hogy bármit, bármikor és bárhol megtanulhat. Hogy a szeretteit a világ minden pontján elérheti, és ez még közel sem minden. Az internet cápák rágta kábeleinek köszönhető, hogy az emberiség leküzdötte a távolságokat, a tudományos élet pedig korábban elképzelhetetlen módon fonódott össze, hogy látványos eredményeket szüljön.

Az internet virágzásának persze megvan a sötét oldala is. Vannak, akik a hálózatba kapcsolt világunk nyitva hagyott kapuit kegyetlenül kihasználják. A sérülékenységeket begyűjtik a fegyverarzenáljukba, hogy azt egy jó pillanatban kijátszva lecsapjanak, hasznot húzva mások figyelmetlenségéből. Őket nevezzük fekete kalapos hackereknek.

Az internet a tervezéséből adódóan egy sérülékeny világ, mert a kezdeti cél a hatékony kommunikáció elérése volt, nem pedig a biztonságos működés kialakítása (lásd például: Rosenzweig, 2013). Ez utóbbi ugyanis teljesen más megközelítést igényelne, amihez már túl késő lépni. Az internetes világ szereplői kénytelenek utólag felhúzni a bástyáikat, ha nem akarják, hogy rossz szándékú emberek tönkretegyék, amit építettek.

Pechükre, az interneten a támadás és a védekezés egy nagyon egyenlőtlen harc. A támadó bizony mindig előnyben van (lásd például: Schneier, 2015, 2018). Neki elég pusztán egy sérülékenységet megtalálni a hálózaton, míg a védekezőnek az összes lukat be kell tömnie. Neki elég csak egyszer bejutnia, és a zár feszegetésével bármikor, bármeddig próbálkozhat. Eközben a védekezőnek folyamatosan résen kell lennie, ha van vesztenivalója.

Ez egy igazságtalan helyzet, ami miatt a kiberbiztonságnak ki is alakult úgymond a maga közgazdaságtana. Ebben a kiinduló feltételezés a következő: nem az a kérdés, hogy betörnek-e, hanem hogy mikor, és mit visznek el. Az üzleti optimalizálás ezért úgy szól, hogy amennyiben a várható veszteség kisebb, mint amennyibe a védekezés kerül, akkor hagyjuk a fenébe az újabb tűzfalat. Csak akkor ruháznak be többet a védelembe, ha az megtérül (Schneier, 2018). Számukra egy-két incidens, néhány százezer ember adatainak az elvesztése pedig akár bele is férhet, ha nem büntetik meg durván a céget.

Amíg az állam nem bünteti meg őket a sérülékenység hanyag kezeléséért, addig bizony a fent részletezett üzleti optimalizálás megy majd. A nemzetközi tapasztalatok azt mutatják, hogy még a világot megbotránkoztató adatszivárgásokat követően sem történik igazán semmi. A befektetők magasról tesznek rá, ha ez nem veszélyezteti a jövőben várható cashflowt, ami alapján az árfolyamot számolgatják. Az emberek pedig sokszor nem is tudnak róla, hogy a személyes adataikat már a sötét weben árulják.

Vannak persze cégek, akik komolyan odafigyelnek a kiberbiztonságra, mert fontos számukra az ügyféladatok védelme, vagy a számlák sértetlensége. Ők sokszor piszok drága tanácsadó cégeket bérelnek fel, hogy a segítségükkel tovább fejlődhessen a biztonsági rendszerük. Ráadásul ezután sokszor még külön vagyonokat fizetnek azért, hogy egy cég próbáljon meg betörni hozzájuk, hátha maradt még rés a pajzson. Ezt hívják a szakmában penetration testingnek, vagy röviden csak pentesztnek.

Tulajdonképpen a Magyar Telekom által feljelentett – és a bíróság által első fokon elítélt – magyar fiatal is ezt csinálta. Csak ő ingyen. Sportból, hogy aztán fehér kalapos hackerhez méltóan szóljon is a cégnek, hogy: helló, bejutottam, talán be kéne tömni ezt a lyukat itt. Igen, a beszámolók szerint később újra megnézte, hogy be lehet-e még jutni, ami már felbőszítette a Telekomot. Pedig a nyilvánosságra került információk szerint nem okozott konkrétan semmilyen kárt.

Ennek a fiatalnak a feljelentése nemhogy értelmetlen lépés, hanem egyenesen butaság. Biztonsági szempontból az ég világon semmit nem nyer a cég azzal, ha meghurcolják szerencsétlent. Netán azt remélik, hogy ezzel letiltják a rendszereik biztonsági teszteléséről? Aki kicsit is ért az IT-hoz az tudja, hogy egy hacker, ha nem akarja, hogy megtalálják, akkor bizony könnyen láthatatlanná válhat. Sőt, ezt ma már a hétköznapi emberek is megtehetik a Tor böngészővel, vagy ha még óvatosabbak, akkor a Tails operációs rendszerrel (lásd például: Mitnick, 2017). Nem annyira nehéz elérni, hogy a Magyar Telekom ne tudhassa, hogy kik vagyunk és mit csinálunk, még akkor sem, ha pont rajta keresztül érjük el az internetet.

Az már tényleg csak mellékes, hogy PR szempontból is kész öngyilkosság volt ez a feljelentés. Eleve nincs jó renoméja a Telekomnak ezen a téren, hiszen emlékezzünk csak vissza a BKK-s e-jegyrendszerre, hogy ott is mi történt. Aztán most meg itt van ez az újabb eset. A közvéleménynek mindez még akkor is úgy jönne le, hogy itt a Telekom a gonosz, ha ez a fiatal tényleg súlyosan átlépte volna az etikus hackelés határait. A cég egyébként ezt állítja.

Nyilván vannak esetek, amikor már nem annyira egyértelmű a helyzet. Érdemes például megismerni a legextrémebb példát: Kevin Mitnick pályafutását (lásd: Mitnick, 2011). Ő a saját elmondása szerint csak sportból hackelt meg egy halom céget, illetve lopta el a féltve őrzött kincseiket. Állítólag soha nem okozott nekik direktben kárt, és nem élt vissza a megszerzett anyagokkal. Mivel ezt nyilván lehetetlen teljesen kivizsgálni, ezért még ő maga is elfogadta, hogy túllépett egy határt. De ilyenről ebben a magyar esetben egyáltalán nincs szó.

Jelen cikk a szerző magánvéleményét tükrözi.

Hivatkozott források:

• Bruce Schneier (2015): Data and Goliath
• Bruce Schneier (2018): Click Here to Kill Everybody
• Kevin Mitnick (2011): Ghost in the Wires
• Kevin Mitnick (2017): The Art of Invisibility
• Paul Rosenzweig (2013): Thinking about Cybersecurity: From Cyber Crime to Cyber Warfare

Címlapkép forrása: Shutterstock