Íme az első igazi nagy magyar hackerbotrány

Most fog kiderülni, hogy a nemrég kitalált és felállított rendszer hogyan vizsgázik a gyakorlatban – fogalmazott az IT café kérdésére az új információbiztonsági törvényről Krasznay Csaba, a témával foglalkozó szakember, amikor arról érdeklődtünk, hogy mivel a szabályozás nyári hatályba lépése óta először történt komoly biztonsági incidens egy államigazgatási szervnél, mi fog ezek után történni.

Ahogy tegnap beszámoltunk róla, egy eddig viszonylag csendben zajló konfliktus egyre nagyobb teret kap, mivel mind élesebbé válik a vita a Szellemi Tulajdon Nemzeti Hivatala (SZTNH) és egy hasonló profilú egyesület, a Magyar Szellemi Tulajdonvédelmi Egyesület (MSZTE) között arról, hogy a SZTNH-nál pár hónapja történt biztonsági incidens vajon mi is volt valójában, illetve milyen kár keletkezhetett.

Krasznay Csaba elmondta, hogy a következményeket illetően ketté kell választani az események sorát: az infobiztonsági törvényből következőkre, illetve a büntetőjogiakra. Ez utóbbiról érintettség hiányában nem kívánt nyilatkozni, az előbbiről viszont elmondta, hogy az incidens nyilvánvalóan megtörtént, a vizsgálat valószínűleg el is indult.

A kormányzati, közigazgatási szervek informatikai biztonságával foglalkozó törvény nyomán egy kormányrendelet előírta új szervezetek, hatóságok felállítását, ezek közül jelen esetben elsősorban a Nemzeti Fejlesztési Minisztérium (NFM) főosztályaként működő Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) érintett, de a vizsgálat során kiderülhet, hogy más szervek is bekapcsolódhatnak (például ha kiderül hivatalosan is, hogy minősített adatok kerültek veszélybe). Az új rendszer még nagyon friss, mondta el a szakértő, és éles helyzetben még nem tudták kipróbálni, hogy milyen módon képesek a problémákat kezelni, ezért az SZTNH ügye – amellett, hogy a törvény által előírt módon kell eljárniuk – minden bizonnyal sok tanulsággal szolgál majd a rendszer működtetését illetően is: pl. már most nagyon valószínű, hogy több felügyeleti szerv munkáját is össze kell hangolni.

Hirdetés

A felelősség

Azt már az SZTNH közleményeiből is biztosan meg lehet állapítani, hogy incidens történt. És bár a hivatal meglehetősen körmönfontan és erős jogászi zsargonban megfogalmazott szöveget tett közzé az MSZTE vádjait cáfolandó, a külső személő számára ez alapján meglehetősen egyértelmű a helyzet: a szabadalmi hivatal honlapjának elkészítésekor az informatikus szakember(ek) kapitális hibát vétett(ek) akkor, amikor úgy írták meg a szoftvert, hogy az iratbetekintési honlapon a címsorban megjelenő ügyszám egyszerű átírásával egy felhasználó a böngészőjén keresztül jogosulatlanul hozzáférhetett más, egyébként nem nyilvános dokumentumokhoz is.

Elöljáróban leszögezem, hogy így az SZTNH felelőssége vélelmezhető, de hogy ez valóban így van-e, illetve ez a felelősség milyen mértékű és milyen következményekkel jár, azt a föntebb említett szerveknek kell alapos vizsgálat alapján megállapítaniuk. A következőkben nem a szabadalmi hivatal, hanem az állítólagos behatoló, behatolók megítélésével foglalkozom.

Jogosulatlanul senkinek sem szabad

Az SZTNH azzal igyekszik védekezni, hogy bár nyitva volt egy kapu, azon nem volt szabad belépni, mivel az bűncselekmény, ezért számítógépes rendszer elleni támadásként értékelik azt, hogy a naplófájlok tanúsága szerint valaki, valakik ezt meg is tették, tette. Talán elsőre furán hangzik, de a jog szerint az SZTNH álláspontja teljesen helyes. Ahogy a rendőrök szoktak fogalmazni a hétköznapi ügyekben: ha valaki nyitva hagyja a kocsija ajtaját, az még senkit nem jogosít fel arra, hogy elvigye az otthagyott mobiltelefont. Vagyis a büntetőjogi szabályok nem tesznek különbséget aközött, hogy valaki nagy felkészültséggel, idő- és pénzbefektetéssel tör fel egy számítógépes rendszert, vagy egyszerűen csak kettőt kattint ahhoz, hogy bejusson – a lényeg az, hogy volt-e joga belépni, vagy nem.

A másik megválaszolandó kérdés szorosan összefügg az előzővel, mivel az SZTNH közleménye utal arra, hogy a dokumentumokat illegálisan megtekintő (megszerző) támadó nem azért tette mindezt, hogy valamilyen módon hasznosítsa a megszerzett információkat: „a megtalált informatikai rés jelenlétére nem hívta fel az SZTNH figyelmét; abból a tényből akart ugyanis a maga számára előnyt kovácsolni, hogy bebizonyítsa, a hivatal informatikai rendszere eredményesen támadható”.

Hacker és üzemeltető sosem barát

Ez egy klasszikus hackertámadás leírása, bár elég homályos, mivel nem derül ki, hogy a behatoló pontosan milyen módon kívánta bizonyítani a támadhatóságot: a hiba jelzése kielégítette volna? el akarta híresztelni? meg akarta zsarolni a hivatalt? csak úgy, magának csinálta, hiúságból? Mindegyik teljesen más hacker-/crackermagatartásra utal.

A vizsgálat feltehetően ezt is tisztázni fogja, de itt újra csak le kell szögezni egy fontos tételt: a hatályos magyar törvények szerint hivatalos megbízás nélkül hackerkedni „fehérkalaposan”, vagyis jó szándékkal is illegális. Pont úgy, ahogy a világ legtöbb országában – többek között egyébként épp ez a szürkezónás mozgás az, ami sok hackert vonz e tevékenységhez.

Persze Magyarországon is sok kiváló biztonsági szakember keresi rendszerek gyönge pontjait, de ők is tisztában vannak a tettek kockázataival. Szerencsére van egy olyan mechanizmus, egy gyakorlat, amely a valóban jó szándékú, de kihívásokat kereső hackereket megkíméli, amennyiben a megfelelő módon jelzik a megtalált sérülékenységeket, és sem ők nem használják ki ezeket, sem másoknak nem adnak erre lehetőséget.

De szigorúan a törvény betűjéhez ragaszkodva: egy fehérkalapos is elítélhető tetteiért.

A jelen esetben épp ezért merül fel a több évtizedes klasszikus kérdés, ami a hackerek és az általuk kivesézett rendszerek üzemeltetőinek viszonyát illeti: együttműködés vagy ellenségeskedés?

A végleges kijelentésekkel természetesen meg kell várni a vizsgálat végeredményét de a jelen állapot alapján úgy tűnik, hogy az ellenségeskedés a valószínűbb. Könnyen meglehet, – amint ez száz és ezer esetben megtörtént már a világon –, hogy a hibás rendszert üzemeltető úgy igyekszik saját felelősségét csökkenteni, hogy az egyébként kárt nem okozó, ám rájuk pirító hackeren veri el a port. És ehhez minden jogi lehetősége meg is van.

Az épp folyó vizsgálat miatt jelenleg gyakorlatilag lehetetlen hivatalos információt szerezni, de az ügyet továbbra is figyelemmel követjük az IT café oldalain, és beszámolunk az eredményekről.

Hirdetés

Azóta történt

Előzmények