Íme az első igazi nagy magyar hackerbotrány

Írta: Dajkó Pál
Forrás: IT café
2013-11-29 19:09

Most fog kiderülni, hogy a nemrég kitalált és felállított rendszer hogyan vizsgázik a gyakorlatban – fogalmazott az IT café kérdésére az új információbiztonsági törvényről Krasznay Csaba, a témával foglalkozó szakember, amikor arról érdeklődtünk, hogy mivel a szabályozás nyári hatályba lépése óta először történt komoly biztonsági incidens egy államigazgatási szervnél, mi fog ezek után történni.

Ahogy tegnap beszámoltunk róla, egy eddig viszonylag csendben zajló konfliktus egyre nagyobb teret kap, mivel mind élesebbé válik a vita a Szellemi Tulajdon Nemzeti Hivatala (SZTNH) és egy hasonló profilú egyesület, a Magyar Szellemi Tulajdonvédelmi Egyesület (MSZTE) között arról, hogy a SZTNH-nál pár hónapja történt biztonsági incidens vajon mi is volt valójában, illetve milyen kár keletkezhetett.

Krasznay Csaba elmondta, hogy a következményeket illetően ketté kell választani az események sorát: az infobiztonsági törvényből következőkre, illetve a büntetőjogiakra. Ez utóbbiról érintettség hiányában nem kívánt nyilatkozni, az előbbiről viszont elmondta, hogy az incidens nyilvánvalóan megtörtént, a vizsgálat valószínűleg el is indult.

A kormányzati, közigazgatási szervek informatikai biztonságával foglalkozó törvény nyomán egy kormányrendelet előírta új szervezetek, hatóságok felállítását, ezek közül jelen esetben elsősorban a Nemzeti Fejlesztési Minisztérium (NFM) főosztályaként működő Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) érintett, de a vizsgálat során kiderülhet, hogy más szervek is bekapcsolódhatnak (például ha kiderül hivatalosan is, hogy minősített adatok kerültek veszélybe). Az új rendszer még nagyon friss, mondta el a szakértő, és éles helyzetben még nem tudták kipróbálni, hogy milyen módon képesek a problémákat kezelni, ezért az SZTNH ügye – amellett, hogy a törvény által előírt módon kell eljárniuk – minden bizonnyal sok tanulsággal szolgál majd a rendszer működtetését illetően is: pl. már most nagyon valószínű, hogy több felügyeleti szerv munkáját is össze kell hangolni.

A felelősség

Azt már az SZTNH közleményeiből is biztosan meg lehet állapítani, hogy incidens történt. És bár a hivatal meglehetősen körmönfontan és erős jogászi zsargonban megfogalmazott szöveget tett közzé az MSZTE vádjait cáfolandó, a külső személő számára ez alapján meglehetősen egyértelmű a helyzet: a szabadalmi hivatal honlapjának elkészítésekor az informatikus szakember(ek) kapitális hibát vétett(ek) akkor, amikor úgy írták meg a szoftvert, hogy az iratbetekintési honlapon a címsorban megjelenő ügyszám egyszerű átírásával egy felhasználó a böngészőjén keresztül jogosulatlanul hozzáférhetett más, egyébként nem nyilvános dokumentumokhoz is.

Elöljáróban leszögezem, hogy így az SZTNH felelőssége vélelmezhető, de hogy ez valóban így van-e, illetve ez a felelősség milyen mértékű és milyen következményekkel jár, azt a föntebb említett szerveknek kell alapos vizsgálat alapján megállapítaniuk. A következőkben nem a szabadalmi hivatal, hanem az állítólagos behatoló, behatolók megítélésével foglalkozom.

Jogosulatlanul senkinek sem szabad

Az SZTNH azzal igyekszik védekezni, hogy bár nyitva volt egy kapu, azon nem volt szabad belépni, mivel az bűncselekmény, ezért számítógépes rendszer elleni támadásként értékelik azt, hogy a naplófájlok tanúsága szerint valaki, valakik ezt meg is tették, tette. Talán elsőre furán hangzik, de a jog szerint az SZTNH álláspontja teljesen helyes. Ahogy a rendőrök szoktak fogalmazni a hétköznapi ügyekben: ha valaki nyitva hagyja a kocsija ajtaját, az még senkit nem jogosít fel arra, hogy elvigye az otthagyott mobiltelefont. Vagyis a büntetőjogi szabályok nem tesznek különbséget aközött, hogy valaki nagy felkészültséggel, idő- és pénzbefektetéssel tör fel egy számítógépes rendszert, vagy egyszerűen csak kettőt kattint ahhoz, hogy bejusson – a lényeg az, hogy volt-e joga belépni, vagy nem.

A másik megválaszolandó kérdés szorosan összefügg az előzővel, mivel az SZTNH közleménye utal arra, hogy a dokumentumokat illegálisan megtekintő (megszerző) támadó nem azért tette mindezt, hogy valamilyen módon hasznosítsa a megszerzett információkat: „a megtalált informatikai rés jelenlétére nem hívta fel az SZTNH figyelmét; abból a tényből akart ugyanis a maga számára előnyt kovácsolni, hogy bebizonyítsa, a hivatal informatikai rendszere eredményesen támadható”.

Hacker és üzemeltető sosem barát

Ez egy klasszikus hackertámadás leírása, bár elég homályos, mivel nem derül ki, hogy a behatoló pontosan milyen módon kívánta bizonyítani a támadhatóságot: a hiba jelzése kielégítette volna? el akarta híresztelni? meg akarta zsarolni a hivatalt? csak úgy, magának csinálta, hiúságból? Mindegyik teljesen más hacker-/crackermagatartásra utal.

A vizsgálat feltehetően ezt is tisztázni fogja, de itt újra csak le kell szögezni egy fontos tételt: a hatályos magyar törvények szerint hivatalos megbízás nélkül hackerkedni „fehérkalaposan”, vagyis jó szándékkal is illegális. Pont úgy, ahogy a világ legtöbb országában – többek között egyébként épp ez a szürkezónás mozgás az, ami sok hackert vonz e tevékenységhez.

Persze Magyarországon is sok kiváló biztonsági szakember keresi rendszerek gyönge pontjait, de ők is tisztában vannak a tettek kockázataival. Szerencsére van egy olyan mechanizmus, egy gyakorlat, amely a valóban jó szándékú, de kihívásokat kereső hackereket megkíméli, amennyiben a megfelelő módon jelzik a megtalált sérülékenységeket, és sem ők nem használják ki ezeket, sem másoknak nem adnak erre lehetőséget.

De szigorúan a törvény betűjéhez ragaszkodva: egy fehérkalapos is elítélhető tetteiért.

A jelen esetben épp ezért merül fel a több évtizedes klasszikus kérdés, ami a hackerek és az általuk kivesézett rendszerek üzemeltetőinek viszonyát illeti: együttműködés vagy ellenségeskedés?

A végleges kijelentésekkel természetesen meg kell várni a vizsgálat végeredményét de a jelen állapot alapján úgy tűnik, hogy az ellenségeskedés a valószínűbb. Könnyen meglehet, – amint ez száz és ezer esetben megtörtént már a világon –, hogy a hibás rendszert üzemeltető úgy igyekszik saját felelősségét csökkenteni, hogy az egyébként kárt nem okozó, ám rájuk pirító hackeren veri el a port. És ehhez minden jogi lehetősége meg is van.

Az épp folyó vizsgálat miatt jelenleg gyakorlatilag lehetetlen hivatalos információt szerezni, de az ügyet továbbra is figyelemmel követjük az IT café oldalain, és beszámolunk az eredményekről.

Hozzászólások (83)

Azóta történt

PR-fiaskó lett a Prezi bughunt programjából

Egy biztonsági szakember a cég pénzjutalommal kecsegtető hibakereső programja miatt kezdett gyenge pontokat keresni a Prezin. Talált is egy jó nagyot, de a folyamat innen nem úgy alakult, ahogy várta.

Biztonság 2013-12-04 121
A magyar külügyet is támadják a kínai hackerek

Egy amerikai biztonsági cégnek sikerült ideiglenesen bejutnia több irányító szerverbe is, és az itt megszerzett információkra alapozzák kijelentéseiket.

Biztonság 2013-12-10 8
2014 első nagy biztonsági botránya

Egy hacker elégedetlen volt a Snapchat lépéseivel, ezért nyilvánosságra hozta a megszerzett adatbázist.

Biztonság 2014-01-02 19
Állítólag túllőtte magát a „szeretett kalóz”

Ha helytállóak a boncolás eredményei, akkor Barnaby Jack semmit nem bízott a véletlenre: atombombát dobott saját szervezetére.

Café blog 2014-01-08 21

Előzmények

Botrány: vagy feltörték a szabadalmi hivatal szerverét, vagy nem

Egy korábban csendes botrány dagadt nagyobbra a napokban, mivel egy egyesület kételkedik a szabadalmi hivatal állításaiban.

Biztonság 2013-11-27 6
Az IT rendszerek leggyengébb pontja: a nőre vágyó férfi

A hackerek szeretik a kihívásokat: most egy szupertitkos kiberbiztonsági szervezetet pécéztek ki – és teljes sikerrel jártak.

Biztonság 2013-11-05 41
Szerdán indul a CrySyS Lab hackerversenye

A verseny műegyetemistáknak szól, de a kapcsolódó anyagok mások számára is hasznosak lehetnek.

Biztonság 2013-10-15 1
Hacktivity 2013. első nap

Míg a korábbi rendezvények előadásai jobbára a technikai összefoglalók szintjén mozogtak, az idei Hacktivityn számos alkalommal előtérbe került a dolgok morális oldala is. Két részes összefoglalóban mutatjuk be, milyen volt a tizedik hackertalálkozó.

Biztonság 2013-10-14 4

Percről percre

Oukitel WP35 - az 5G-s faék

ma Kedvező árú, 5G strapamobil bukkant fel szerkesztőségünkben.

Bakancslista Route 66 Chicagótól Los Angelesig 3.

lo Elkészült az új rész egy kis betegeskedés után (a jelenben), és a múltban már gyógyultan folytatjuk utunkat az USA-ban.

USB to S/PDif konverter a modern RIAA, elektroncsövekkel

lo Végigmegyek azon az evolúción, mely az S/PDif konverterrel folytatott évekig tartó kísérletezésemől szól.

Békésen legelészik a májusi hardvercsorda

ph Ezúttal monitorokat, processzorhűtőt, házat, routert, tápokat, egérpadot és akciókat tereltünk be a szombati karámba.

Broken Roads teszt

gp Azt, hogy mi történt az atomháborút követően Amerikában, jól ismerjük a Falloutokból. A Broken Roads e történetet ausztrál szempontból meséli el – igencsak hasonló eszközökkel.

Állásajánlatok

Full stack Laravel fejlesztő

Cég: Promenade Publishing House Kft.

Város: Budapest

Részletek

Eladó - Szerviztechnikus

Cég: Alpha Laptopszerviz Kft.

Város: Pécs

Részletek

Aktív témák