Etikus hackert elítélni olyan, mint az önkéntes orvost izomból fejbe rúgni
Prof

Etikus hackert elítélni olyan, mint az önkéntes orvost izomból fejbe rúgni

Elítélték a magyar etikus hackert, aki egy súlyos biztonsági résre figyelmeztette a Magyar Telekomot. Az ügyészség börtönt kért rá, de a bíróság végül csak pénzbüntetést ítélt meg első fokon. Ez a dolog nagyon szomorú. Azt mutatja, hogy rossz irányba rohamozunk. Az alábbi írásban annak a véleményemnek szeretnék hangot adni, hogy nem az etikus hackereket kellene meghurcolni, hanem a biztonsági réseket hanyagul kezelő cégeket. Na de kezdjük az elejéről!
A kiberbiztonság hiánya már régóta érezteti a hatását: egyre többen járnak pórul amiatt, hogy az internet beszivárgott a tárgyaikba, ajtót nyitva mindenki előtt. Kevesen tudják, de lassan már minden egy számítógép lesz. A telefon, a TV, a kocsi, a mosógép, meg persze a Telekom által beszerelt router is az, bizony! A világ megállíthatatlanul abba az irányba tart, hogy szinte mindent bekötünk az internetbe, mert hát ez a fejlődés iránya.A 21. század arról szól, hogy egyre jobban összenövünk a technológiával, annak minden előnyével és hátrányával együtt. Ennek köszönhető, hogy az ember sokkal produktívabb lehet, hogy bármit, bármikor és bárhol megtanulhat. Hogy a szeretteit a világ minden pontján elérheti, és ez még közel sem minden. Az internet cápák rágta kábeleinek köszönhető, hogy az emberiség leküzdötte a távolságokat, a tudományos élet pedig korábban elképzelhetetlen módon fonódott össze, hogy látványos eredményeket szüljön.

Az internet virágzásának persze megvan a sötét oldala is. Vannak, akik a hálózatba kapcsolt világunk nyitva hagyott kapuit kegyetlenül kihasználják. A sérülékenységeket begyűjtik a fegyverarzenáljukba, hogy azt egy jó pillanatban kijátszva lecsapjanak, hasznot húzva mások figyelmetlenségéből. Őket nevezzük fekete kalapos hackereknek.

Az internet a tervezéséből adódóan egy sérülékeny világ, mert a kezdeti cél a hatékony kommunikáció elérése volt, nem pedig a biztonságos működés kialakítása (lásd például: Rosenzweig, 2013). Ez utóbbi ugyanis teljesen más megközelítést igényelne, amihez már túl késő lépni. Az internetes világ szereplői kénytelenek utólag felhúzni a bástyáikat, ha nem akarják, hogy rossz szándékú emberek tönkretegyék, amit építettek.

Pechükre, az interneten a támadás és a védekezés egy nagyon egyenlőtlen harc. A támadó bizony mindig előnyben van (lásd például: Schneier, 2015, 2018). Neki elég pusztán egy sérülékenységet megtalálni a hálózaton, míg a védekezőnek az összes lukat be kell tömnie. Neki elég csak egyszer bejutnia, és a zár feszegetésével bármikor, bármeddig próbálkozhat. Eközben a védekezőnek folyamatosan résen kell lennie, ha van vesztenivalója.

Ez egy igazságtalan helyzet, ami miatt a kiberbiztonságnak ki is alakult úgymond a maga közgazdaságtana. Ebben a kiinduló feltételezés a következő: nem az a kérdés, hogy betörnek-e, hanem hogy mikor, és mit visznek el. Az üzleti optimalizálás ezért úgy szól, hogy amennyiben a várható veszteség kisebb, mint amennyibe a védekezés kerül, akkor hagyjuk a fenébe az újabb tűzfalat. Csak akkor ruháznak be többet a védelembe, ha az megtérül (Schneier, 2018). Számukra egy-két incidens, néhány százezer ember adatainak az elvesztése pedig akár bele is férhet, ha nem büntetik meg durván a céget.

Ha valaki betör a Magyar Telekom rendszerébe és ellopja az ügyfelek kényes adatait, vagy netán még viccből le is állítja itt-ott a cég szolgáltatásait, akkor az egy kellemetlen ügy. De mit veszít vele a Telekom? Átmenetileg többet káromkodnak majd az ügyfélszolgálatosokkal, esetleg páran át is pártolnak egy másik szolgáltatóhoz. De igazán nagy veszteség nem lesz belőle, a részvényárfolyam pusztán emiatt nem megy majd lejjebb. Vagyis simán lehet, hogy a kiberbiztonsági csapat büdzséjét drágább lett volna annyira megemelni, hogy kivédjék ezt a csapást.

Amíg az állam nem bünteti meg őket a sérülékenység hanyag kezeléséért, addig bizony a fent részletezett üzleti optimalizálás megy majd. A nemzetközi tapasztalatok azt mutatják, hogy még a világot megbotránkoztató adatszivárgásokat követően sem történik igazán semmi. A befektetők magasról tesznek rá, ha ez nem veszélyezteti a jövőben várható cashflowt, ami alapján az árfolyamot számolgatják. Az emberek pedig sokszor nem is tudnak róla, hogy a személyes adataikat már a sötét weben árulják.

Vannak persze cégek, akik komolyan odafigyelnek a kiberbiztonságra, mert fontos számukra az ügyféladatok védelme, vagy a számlák sértetlensége. Ők sokszor piszok drága tanácsadó cégeket bérelnek fel, hogy a segítségükkel tovább fejlődhessen a biztonsági rendszerük. Ráadásul ezután sokszor még külön vagyonokat fizetnek azért, hogy egy cég próbáljon meg betörni hozzájuk, hátha maradt még rés a pajzson. Ezt hívják a szakmában penetration testingnek, vagy röviden csak pentesztnek.

Tulajdonképpen a Magyar Telekom által feljelentett - és a bíróság által első fokon elítélt - magyar fiatal is ezt csinálta. Csak ő ingyen. Sportból, hogy aztán fehér kalapos hackerhez méltóan szóljon is a cégnek, hogy: helló, bejutottam, talán be kéne tömni ezt a lyukat itt. Igen, a beszámolók szerint később újra megnézte, hogy be lehet-e még jutni, ami már felbőszítette a Telekomot. Pedig a nyilvánosságra került információk szerint nem okozott konkrétan semmilyen kárt.

Ennek a fiatalnak a feljelentése nemhogy értelmetlen lépés, hanem egyenesen butaság. Biztonsági szempontból az ég világon semmit nem nyer a cég azzal, ha meghurcolják szerencsétlent. Netán azt remélik, hogy ezzel letiltják a rendszereik biztonsági teszteléséről? Aki kicsit is ért az IT-hoz az tudja, hogy egy hacker, ha nem akarja, hogy megtalálják, akkor bizony könnyen láthatatlanná válhat. Sőt, ezt ma már a hétköznapi emberek is megtehetik a Tor böngészővel, vagy ha még óvatosabbak, akkor a Tails operációs rendszerrel (lásd például: Mitnick, 2017). Nem annyira nehéz elérni, hogy a Magyar Telekom ne tudhassa, hogy kik vagyunk és mit csinálunk, még akkor sem, ha pont rajta keresztül érjük el az internetet.

Ezért van, hogy a fekete kalapos hackereket csak nagyon ritkán sikerül megcsípni. De az is általában vagy a véletlen műve, vagy brutális energiaráfordítás eredménye. A valóságban a nyomozások legtöbbje legfeljebb addig képes visszafejteni a szálakat, hogy melyik országból jöhetett egy-egy támadás. Vagyis ezt a fiatalt csak azért cibálhatták bíróság elé, mert maga jelentkezett a Telekomnál segítő szándékkal.

Az már tényleg csak mellékes, hogy PR szempontból is kész öngyilkosság volt ez a feljelentés. Eleve nincs jó renoméja a Telekomnak ezen a téren, hiszen emlékezzünk csak vissza a BKK-s e-jegyrendszerre, hogy ott is mi történt. Aztán most meg itt van ez az újabb eset. A közvéleménynek mindez még akkor is úgy jönne le, hogy itt a Telekom a gonosz, ha ez a fiatal tényleg súlyosan átlépte volna az etikus hackelés határait. A cég egyébként ezt állítja.

Nyilván vannak esetek, amikor már nem annyira egyértelmű a helyzet. Érdemes például megismerni a legextrémebb példát: Kevin Mitnick pályafutását (lásd: Mitnick, 2011). Ő a saját elmondása szerint csak sportból hackelt meg egy halom céget, illetve lopta el a féltve őrzött kincseiket. Állítólag soha nem okozott nekik direktben kárt, és nem élt vissza a megszerzett anyagokkal. Mivel ezt nyilván lehetetlen teljesen kivizsgálni, ezért még ő maga is elfogadta, hogy túllépett egy határt. De ilyenről ebben a magyar esetben egyáltalán nincs szó.

A sajtóban megjelent információk szerint itt egy jószándékú, noha kissé túlbuzgó, etikus hackert hurcoltak meg. Ezt nem kellett volna, hiszen ennek hatására mások majd nem mernek szólni, amikor látják, hogy kilóg a gatyából a Magyar Telekom feneke. Aztán jönnek majd a fekete kalaposok, akik szépen vissza is élnek a helyzettel. Ekkor majd valóban csak ismeretlen tettes ellen tehetnek feljelentést.

Ezzel az ítélettel mindnyájan veszítünk: a Magyar Telekom is, a bíróságok is, és a magyar emberek is. Csak úgy tűnik, hogy közülük ezt nem mindenki érti.
Jelen cikk a szerző magánvéleményét tükrözi.

Hivatkozott források:
  • Bruce Schneier (2015): Data and Goliath
  • Bruce Schneier (2018): Click Here to Kill Everybody
  • Kevin Mitnick (2011): Ghost in the Wires
  • Kevin Mitnick (2017): The Art of Invisibility
  • Paul Rosenzweig (2013): Thinking about Cybersecurity: From Cyber Crime to Cyber Warfare

A Magyar Telekom közleménye az eset kapcsán A Magyar Telekom az alábbi közleményt küldte meg szerkesztőségünk számára, melyben a saját álláspontjukat részletezik az ügyben. Írásuk az alábbiakban olvasható: A Telekom rendszerébe 2017 tavaszán számos alkalommal, illetéktelenül behatoló hacker ügye kapcsán, a Társaság a Szabadságjogokért (TASZ) közleményével szemben az alábbiakat kívánjuk leszögezni. Ahogy az a bíróság első fokú ítélete alapján is nyilvánvaló, a hacker nem etikusan járt el, ezért etikus hackerként hivatkozni rá a cikkekben és azok címében nem tényszerű. A Magyar Telekom ismeretlen tettes ellen korábban azért tett feljelentést, mert a hacker - az etikus hackelés kereteit több szempontból bőven túllépve - az első sérülékenység felfedezése után, a vállalat kifejezett kérése ellenére, számos alkalommal újabb támadásokat indított, az addig megszerzett adatok segítségével további rendszerek feltörésébe kezdett, és további jogosultságok megszerzésére tett lépéseket. Az észlelt sérülékenységet anyagi hasznoszerzés céljára is próbálta felhasználni. Mindezek a TASZ saját honlapján megtalálható, etikus hackereknek szóló útmutató szerint is ellentmondanak az etikusság fogalmának. A támadás ügyfelek személyes adatait nem érintette, azok teljes biztonságban voltak és vannak. A támadása nem érintette azokat a távközlési hálózatokat sem, amelyeken az ügyfelek kommunikálnak. A támadások kapcsán feltárt hiányosságokat a Magyar Telekom még 2017-ben, rövid időn belül kijavította, megszüntette. A vállalat bűncselekmény gyanúja miatt tett feljelentést és a vizsgálat során mindenben együttműködött a nyomozóhatósággal, azonban az ítéletre és a büntetési tételre semmilyen hatása nem volt. Ugyanakkor továbbra is fontosnak tartjuk, hogy Magyarországon is kialakuljon az etikus hacker tevékenység szabályozott és széles körben elfogadott gyakorlata, valamint hogy a közvélemény is megismerje, megértse az etikus hackelés ismérveit. Ezt elősegítendő a Magyar Telekomnál dolgozunk egy bug bounty program kialakításán. Emellett tervezünk egy egyetemistáknak, főiskolásoknak szóló versenyt, ahol olyan feladatok megoldásán dolgozhatnak csapatokban a diákok, amely során megismerkedhetnek az etikus hackelés kereteivel. A Magyar Telekom számára kiemelten fontos rendszereinek, valamint az ügyfelek személyes adatainak védelme. Ennek érdekében folyamatosan fejlesztjük és monitorozzuk rendszereinket, hogy szükség esetén azonnal megtehessük a szükséges intézkedéseket. A bejelentett vagy felderített hibákat azonnal javítjuk, és folyamatosan intézkedéseket teszünk a biztonság további fokozására ügyfeleink védelme érdekében (pl. belső folyamatok, szabályozások felülvizsgálata, munkatársak képzése). A még hatékonyabb működés érdekében a Magyar Telekom nemrég átalakította biztonsági szervezetét is, amely új vezető irányítása alatt működik.

Portfolio Prof Tudomány, technológia, és társadalom - minden, ami a modern műveltséghez kell. Hozzászólnál a témához? Legyél a közösségünk része és kövesd a Portfolio Prof Facebook oldalát!

Címlapkép forrása: Shutterstock
India merriage
napelem magyar zoldites
négy_napos_munkahét
izer norbert allamtitkar
címlapkép_zöld
kinai elnok
Népszerű
Friss hírek TÖBB FRISS HÍR
2020. február 27.
Építőipar 2020
2020. március 3.
Agrárium 2020
2020. március 5.
Biztosítás 2020
2020. március 10.
Investment, Wealth and Savings (IWS) 2020
Portfolio hírlevél
Ne maradjon le a friss hírekről!
Iratkozzon fel megújult, mobilbarát
hírleveleinkre és járjon mindenki előtt.

Kiadó modern irodaházak

Az iroda ma már több, mint egy munkahely. Találják meg most cégük új otthonát.

Infostart.hu

Event Driven Equity Analyst

Event Driven Equity Analyst

Statisztikai elemző

Statisztikai elemző

Szakmai asszisztens

Szakmai asszisztens

Privát banki tanácsadó

Privát banki tanácsadó
Egészségügy másképpen
Amerikai, nyugat-európai kórházi ellátás, havi 7875 Ft-tól
A tőzsdei könyv
Az alapoktól a trendkövető kereskedési stratégiákig kísér a könyv.
GettyImages-807406400