Etikus hackert elítélni olyan, mint az önkéntes orvost izomból fejbe rúgni
július 21, 2019 0

Elítélték a magyar etikus hackert, aki egy súlyos biztonsági résre figyelmeztette a Magyar Telekomot. Az ügyészség börtönt kért rá, de a bíróság végül csak pénzbüntetést ítélt meg első fokon. Ez a dolog nagyon szomorú. Azt mutatja, hogy rossz irányba rohamozunk. Az alábbi írásban annak a véleményemnek szeretnék hangot adni, hogy nem az etikus hackereket kellene meghurcolni, hanem a biztonsági réseket hanyagul kezelő cégeket. Na de kezdjük az elejéről!

A kiberbiztonság hiánya már régóta érezteti a hatását: egyre többen járnak pórul amiatt, hogy az internet beszivárgott a tárgyaikba, ajtót nyitva mindenki előtt. Kevesen tudják, de lassan már minden egy számítógép lesz. A telefon, a TV, a kocsi, a mosógép, meg persze a Telekom által beszerelt router is az, bizony! A világ megállíthatatlanul abba az irányba tart, hogy szinte mindent bekötünk az internetbe, mert hát ez a fejlődés iránya.

A 21. század arról szól, hogy egyre jobban összenövünk a technológiával, annak minden előnyével és hátrányával együtt. Ennek köszönhető, hogy az ember sokkal produktívabb lehet, hogy bármit, bármikor és bárhol megtanulhat. Hogy a szeretteit a világ minden pontján elérheti, és ez még közel sem minden. Az internet cápák rágta kábeleinek köszönhető, hogy az emberiség leküzdötte a távolságokat, a tudományos élet pedig korábban elképzelhetetlen módon fonódott össze, hogy látványos eredményeket szüljön.

Az internet virágzásának persze megvan a sötét oldala is. Vannak, akik a hálózatba kapcsolt világunk nyitva hagyott kapuit kegyetlenül kihasználják. A sérülékenységeket begyűjtik a fegyverarzenáljukba, hogy azt egy jó pillanatban kijátszva lecsapjanak, hasznot húzva mások figyelmetlenségéből. Őket nevezzük fekete kalapos hackereknek.

Az internet a tervezéséből adódóan egy sérülékeny világ, mert a kezdeti cél a hatékony kommunikáció elérése volt, nem pedig a biztonságos működés kialakítása (lásd például: Rosenzweig, 2013). Ez utóbbi ugyanis teljesen más megközelítést igényelne, amihez már túl késő lépni. Az internetes világ szereplői kénytelenek utólag felhúzni a bástyáikat, ha nem akarják, hogy rossz szándékú emberek tönkretegyék, amit építettek.

Pechükre, az interneten a támadás és a védekezés egy nagyon egyenlőtlen harc. A támadó bizony mindig előnyben van (lásd például: Schneier, 2015, 2018). Neki elég pusztán egy sérülékenységet megtalálni a hálózaton, míg a védekezőnek az összes lukat be kell tömnie. Neki elég csak egyszer bejutnia, és a zár feszegetésével bármikor, bármeddig próbálkozhat. Eközben a védekezőnek folyamatosan résen kell lennie, ha van vesztenivalója.

Ez egy igazságtalan helyzet, ami miatt a kiberbiztonságnak ki is alakult úgymond a maga közgazdaságtana. Ebben a kiinduló feltételezés a következő: nem az a kérdés, hogy betörnek-e, hanem hogy mikor, és mit visznek el. Az üzleti optimalizálás ezért úgy szól, hogy amennyiben a várható veszteség kisebb, mint amennyibe a védekezés kerül, akkor hagyjuk a fenébe az újabb tűzfalat. Csak akkor ruháznak be többet a védelembe, ha az megtérül (Schneier, 2018). Számukra egy-két incidens, néhány százezer ember adatainak az elvesztése pedig akár bele is férhet, ha nem büntetik meg durván a céget.

Ha valaki betör a Magyar Telekom rendszerébe és ellopja az ügyfelek kényes adatait, vagy netán még viccből le is állítja itt-ott a cég szolgáltatásait, akkor az egy kellemetlen ügy. De mit veszít vele a Telekom? Átmenetileg többet káromkodnak majd az ügyfélszolgálatosokkal, esetleg páran át is pártolnak egy másik szolgáltatóhoz. De igazán nagy veszteség nem lesz belőle, a részvényárfolyam pusztán emiatt nem megy majd lejjebb. Vagyis simán lehet, hogy a kiberbiztonsági csapat büdzséjét drágább lett volna annyira megemelni, hogy kivédjék ezt a csapást.

Amíg az állam nem bünteti meg őket a sérülékenység hanyag kezeléséért, addig bizony a fent részletezett üzleti optimalizálás megy majd. A nemzetközi tapasztalatok azt mutatják, hogy még a világot megbotránkoztató adatszivárgásokat követően sem történik igazán semmi. A befektetők magasról tesznek rá, ha ez nem veszélyezteti a jövőben várható cashflowt, ami alapján az árfolyamot számolgatják. Az emberek pedig sokszor nem is tudnak róla, hogy a személyes adataikat már a sötét weben árulják.

Vannak persze cégek, akik komolyan odafigyelnek a kiberbiztonságra, mert fontos számukra az ügyféladatok védelme, vagy a számlák sértetlensége. Ők sokszor piszok drága tanácsadó cégeket bérelnek fel, hogy a segítségükkel tovább fejlődhessen a biztonsági rendszerük. Ráadásul ezután sokszor még külön vagyonokat fizetnek azért, hogy egy cég próbáljon meg betörni hozzájuk, hátha maradt még rés a pajzson. Ezt hívják a szakmában penetration testingnek, vagy röviden csak pentesztnek.

Tulajdonképpen a Magyar Telekom által feljelentett – és a bíróság által első fokon elítélt – magyar fiatal is ezt csinálta. Csak ő ingyen. Sportból, hogy aztán fehér kalapos hackerhez méltóan szóljon is a cégnek, hogy: helló, bejutottam, talán be kéne tömni ezt a lyukat itt. Igen, a beszámolók szerint később újra megnézte, hogy be lehet-e még jutni, ami már felbőszítette a Telekomot. Pedig a nyilvánosságra került információk szerint nem okozott konkrétan semmilyen kárt.

Ennek a fiatalnak a feljelentése nemhogy értelmetlen lépés, hanem egyenesen butaság. Biztonsági szempontból az ég világon semmit nem nyer a cég azzal, ha meghurcolják szerencsétlent. Netán azt remélik, hogy ezzel letiltják a rendszereik biztonsági teszteléséről? Aki kicsit is ért az IT-hoz az tudja, hogy egy hacker, ha nem akarja, hogy megtalálják, akkor bizony könnyen láthatatlanná válhat. Sőt, ezt ma már a hétköznapi emberek is megtehetik a Tor böngészővel, vagy ha még óvatosabbak, akkor a Tails operációs rendszerrel (lásd például: Mitnick, 2017). Nem annyira nehéz elérni, hogy a Magyar Telekom ne tudhassa, hogy kik vagyunk és mit csinálunk, még akkor sem, ha pont rajta keresztül érjük el az internetet.

Ezért van, hogy a fekete kalapos hackereket csak nagyon ritkán sikerül megcsípni. De az is általában vagy a véletlen műve, vagy brutális energiaráfordítás eredménye. A valóságban a nyomozások legtöbbje legfeljebb addig képes visszafejteni a szálakat, hogy melyik országból jöhetett egy-egy támadás. Vagyis ezt a fiatalt csak azért cibálhatták bíróság elé, mert maga jelentkezett a Telekomnál segítő szándékkal.

Az már tényleg csak mellékes, hogy PR szempontból is kész öngyilkosság volt ez a feljelentés. Eleve nincs jó renoméja a Telekomnak ezen a téren, hiszen emlékezzünk csak vissza a BKK-s e-jegyrendszerre, hogy ott is mi történt. Aztán most meg itt van ez az újabb eset. A közvéleménynek mindez még akkor is úgy jönne le, hogy itt a Telekom a gonosz, ha ez a fiatal tényleg súlyosan átlépte volna az etikus hackelés határait. A cég egyébként ezt állítja.

Nyilván vannak esetek, amikor már nem annyira egyértelmű a helyzet. Érdemes például megismerni a legextrémebb példát: Kevin Mitnick pályafutását (lásd: Mitnick, 2011). Ő a saját elmondása szerint csak sportból hackelt meg egy halom céget, illetve lopta el a féltve őrzött kincseiket. Állítólag soha nem okozott nekik direktben kárt, és nem élt vissza a megszerzett anyagokkal. Mivel ezt nyilván lehetetlen teljesen kivizsgálni, ezért még ő maga is elfogadta, hogy túllépett egy határt. De ilyenről ebben a magyar esetben egyáltalán nincs szó.

A sajtóban megjelent információk szerint itt egy jószándékú, noha kissé túlbuzgó, etikus hackert hurcoltak meg. Ezt nem kellett volna, hiszen ennek hatására mások majd nem mernek szólni, amikor látják, hogy kilóg a gatyából a Magyar Telekom feneke. Aztán jönnek majd a fekete kalaposok, akik szépen vissza is élnek a helyzettel. Ekkor majd valóban csak ismeretlen tettes ellen tehetnek feljelentést.
Ezzel az ítélettel mindnyájan veszítünk: a Magyar Telekom is, a bíróságok is, és a magyar emberek is. Csak úgy tűnik, hogy közülük ezt nem mindenki érti.

Jelen cikk a szerző magánvéleményét tükrözi.

Hivatkozott források:

  • Bruce Schneier (2015): Data and Goliath
  • Bruce Schneier (2018): Click Here to Kill Everybody
  • Kevin Mitnick (2011): Ghost in the Wires
  • Kevin Mitnick (2017): The Art of Invisibility
  • Paul Rosenzweig (2013): Thinking about Cybersecurity: From Cyber Crime to Cyber Warfare

Portfolio Prof

Tudomány, technológia, és társadalom – minden, ami a modern műveltséghez kell.
Hozzászólnál a témához?
Legyél a közösségünk része és kövesd a Portfolio Prof Facebook oldalát!

Címlapkép forrása: Shutterstock