Nemrég megkereste az IT cafét valaki, aki önmagát etikus hackerként definiálta. [Frissítés: a hacker időközben közölte velünk, hogy - bár a programadó bejegyzésének címe erre utal - ő nem tartja magát etikusnak.] Eleinte elég homályos volt, hogy mi is a célja a kapcsolatfelvételnek, ám a személyes – természetesen anonim módon folytatott – beszélgetések arra utaltak, hogy a kissé feldúlt illető azt szeretné felpanaszolni, hogy bár ő etikus hackerként mindent megtesz a sebezhetőségek feltárásáért, az érintett szervezetek, illetve az illetékes hatóságok gyakran semmibe veszik jelzéseit. Időközben aztán kiderült, hogy a híressé/hírhedtté vált „veszprémi pizzás hackerrel” beszélgetünk.

Kölcsönös megértésünket egy szinttel magasabbra emelte, hogy a beszélgetésekkel párhuzamosan – ezek hatására? – a hacker megnyitott egy nyilvános blogot (ez mára már a Facebookon is témává vált a biztonsági szakemberek körében), ahol már összefogottabban írta meg megszólalásának indokait, illetve sorolta fel azokat az eseteket, melyeknél szerinte problematikus volt az ügykezelés, illetve a behatolási módszerekről, valamint a megszerzett adatokról is adott információkat.

Az első blogbejegyzés talán a legfontosabb, mivel az foglalja össze a hacker tevékenységeit legáltalánosabban, illetve tükrözi sérelmeinek forrását. Szó van benne arról, hogy többek között a BKK-nak is jelzett hibát (nem a híressé váltat, egy másikat), de a legfájóbb számára a katasztrófavédelem oldalának rése volt, mivel véleménye szerint a szervezet az ő jelentése nyomán „kibertámadást” kommunikált, holott erről szó sem volt. Külön fájdalmat okozott a számára, hogy a Kormányzati Eseménykezelő Központ (Govcert), ahová leginkább jelentette a hibákat, igencsak hektikusan reagált a bejelentésekre.

Mit szólnak mindehhez a szakértők?

Ám e szövegek elolvasása után is maradtak kétségeink bőven, ezért megkérdeztünk szakértőket. Mivel még tart a nyári szabadságszezon, egyelőre csak rövid válaszokat és ígéreteket kaptunk – amint befutnak, frissítjük a hírünket.

De előzetesen is lehet vázolni a felvetődött probléma kétarcúságát.

Kétségtelen, hogy a magyar piacon is számtalan sebezhető weboldal, szerver található – a magán-, az ipari- és a közszférában egyaránt. E sebezhetőségeknek számtalan oka lehet: hanyag tervezés, figyelmetlen tesztelés, a támogatás megszűnése stb. Természetesen nem jó, hogy ilyenek vannak, bár a kockázat mértéke erősen függ attól, hogy ki üzemelteti a szervert, és milyen célból. E hibák feltárása nagyon sokszor közérdek is, hiszen akár százezrek kerülhetnek veszélybe, nehéz helyzetbe egy-egy adatszivárgáskor.

Ugyanakkor azt is tudni kell, hogy a biztonsági próba, a hackelés Magyarországon is szigorúan szabályozott. Nagyjából szakmai konszenzus van arról, hogy etikus hackernek csak az nevezhető, aki a törvények betartásával végzi tevékenységét – pl. megbízásra, kontrolláltan. A partizánakciók szinte mindegyike átlépi a törvényesség határát – még akkor is, ha az illetőt a jó szándék vezérli.

Frissítés: Elsőként Krasznay Csaba, a Nemzeti Közszolgálati Egyetem adjunktusa kommentálta az esetet: „A hacker tapasztalatai elválaszthatatlanok a BKK-ügytől, annak kontextusában érdemes azt nézni. Egyrészt örömteli, hogy a jelek szerint működik a Nemzeti Kibervédelmi Intézet kezdeményezése, fogadják és továbbítják a bejelentéseket, adott esetben el is járnak, ha hatáskörükbe tartozik az eset, a tavalyi eset nélkül ez a szolgáltatás ma nem működne. Másrészt viszont valósak voltak azok az aggodalmak, hogy bizonyos esetekben hiába továbbítják az információt a sebezhető rendszer üzemeltetőjének, ott nem feltétlenül van meg a képesség arra, hogy a problémát hatékonyan megoldják. Személy szerint a legnagyobb félelmem az volt a BKK-hack után, hogy az megnyitja Pandora szelencéjét és a felkészületlen rendszerüzemeltetőkre tömegével fognak ömleni a hibabejelentések. Ez nem következett be, de a hacker blogbejegyzései mutatják, mekkora felfordulás lenne, ha a komolyabb erőkkel esnének neki a szakértők a hibakeresésnek.”

Bencsáth Boldizsár, a BME egyetemi adjunktusa, a CrySys Lab vezető munkatársa magát a konkrét ügyet nem kívánta kommentálni, de utalt egy korábbi blogbejegyzésére, melyet a veszprémi ügy kapcsán címzett a diákjainak. E bejegyzés veleje:

„Ha igaz a hacker állítása, hogy a szerver katasztrofális biztonsági állapotban van, az szintén elfogadhatatlan, és veszélyezteti emberek személyes adatait, amivel a cég az új adatvédelmi rendelkezések bevezetésével komoly büntetést is kaphatna, és egyetértünk abban is, hogy az ilyen cégeket jó lenne kényszeríteni arra, hogy biztonságukat megfelelően valósítsák meg.

Ugyanakkor nem lehet önbíráskodó módon, törvénytelenül, kérés nélkül ilyen cselekedeteket elkövetni. Még akkor sem, ha valaki nem lop el adatot, és nem publikálja azokat.”

(A frissítésekkel folytatjuk.)