A digitális Robin Hood reneszánsza

A társadalmi felháborodás és a félreértések mélyen gyökereznek, ezért egyáltalán nem könnyű megkülönböztetni az etikus hackert a sötét oldalon álló hackertől. Minderről pedig a hackerséget szakmává emelő változás tehet. Hogy pontosan kit nevezünk hackernek és etikus hackernek, az attól is függ, hogy kivel beszélünk és milyen dátumot írunk.

Tágas, nyílt iroda egy kerámiaműhely szomszédságában. Az ipari környezet ellenére a belső kinézet igazi filmbéli hacker-barlangot takar: ujjlenyomatos beléptetőrendszer, különböző korokból származó, eklektikusan összeválogatott bútordarabok, kényelmes kanapé, bicikli az iroda közepén, óriás bábus sakktábla a számítógépekhez közel, feliratok mindenfelé. Az ott dolgozó emberek is a sztereotip képet erősítik: a látogató ellenére sem néznek fel a gépből, szakáll, fekete sapka rejti igazi arcukat. Aki fogad, szigorúan meghagyja, hogy az előtérben várjam meg, majd végigkísér az épületen. Ha nem lenne céglogó az ajtón, nem tudnám, hogy etikus hackeléssel is foglalkozó biztonsági cégnél járok. A határok elmosódtak aközött, hogy ki az etikus hacker, kit tartanak etikus hackernek és kit látnak a biztonságot veszélyeztető hackernek.

 

Azért vannak különbségek

„Az etikus hacker és a hacker közötti különbségek nagyon aprók, mindketten ugyanazzal a módszerrel dolgoznak” – mondja Frész Ferenc, a Cyber Services ügyvezető igazgatója. Az etikus hacker és a hacker között szerinte három lényeges különbség van: az etikus hacker nem használ olyan támadási technikát, melyről tudja, hogy közvetlen kárt okoz; nem telepítenek hátsó ajtókat, vírusokat a rendszerbe; semmilyen módosítást sem végez, mely az adott rendszert befolyásolná. A második lényeges különbség, hogy sohasem élnek vissza a megszerzett információval, csak a megbízó és megbízott közötti kapcsolatban utaznak az adatok, egyébként harmadik fél számára nem árulják el. A harmadik különbség pedig az, hogy az etikus hackert egy szerződés és gyakran személyes jóváhagyó nyilatkozat hatalmazza fel, hogy az adott rendszerben sérülékenységek, hibák után kutakodjon.

Egyetért a fentiekkel Erdődi László, a University of Oslo vezető docense. Meglátása szerint hivatalosan az az etikus hacker, akinek írásos engedélye, szerződése van egy megbízótól, hogy informatikai rendszereinek biztonságát tesztelje. Az is fontos, hogy az etikus hacker hozzáértő szakembertől kapjon megbízást, mert sok esetben a megrendelő nincs (és nem is lehet) tisztában azzal, hogy pontosan mire is ad megbízást. A hozzáértő szakember körülhatárolja, hogy milyen jellegű tesztet kér, melyek az érintett rendszerek. Ugyancsak megbízástól függő, hogy a rendszerek biztonságának tesztelése kiterjedhet vagy sem a kapcsolódó partner rendszerekre.

A vezető docens szerint a megbízott etikus hackernek körültekintően kell eljárnia a megbízatás során, saját rendszereinek, eszközeinek biztonságáról is gondoskodnia kell, vagyis nem fordulhat elő, hogy például a teszteléshez használt számítógépet ellopják az autó csomagtartójából. Azt is előírhatják, hogy az adatokat titkosítva tárolja, illetve a munka végén véglegesen törölje azokat.

Mint minden szerződéses állapot esetében, a tesztelés során az etikus hacker a birtokába jutott bizalmas információkat harmadik félnek nem adhatja tovább, saját haszonszerzésre nem használhatja fel.

Hackerek szorult helyzetben
Másfél éve, 2017 nyarán két különböző etikus hackerrel kapcsolatos ügy is nagy sajtóvisszhangot váltott ki. A vizes VB-re időzítve a Budapesti Közlekedési Központ egy online bérletvásárlási rendszert indított el a T-Systems segítségével, ami nem volt kellőképpen előkészített. Egy tinédzsernek 50 forintért sikerült bérletet vásárolni, a hibát jelezte a BKK felé, de a sajtónak is. Az ügyből feljelentés lett. A rendőrség úgy ítélte meg, nem történt bűncselekmény, a vizsgálatot lezárták, az érintett srácnak még az 50 forintját is visszautalták.

Még a BKK-botrány előtt, 2017 áprilisában fedezett fel egy biztonsági rést a Magyar Telekomnál egy huszonéves fiatal előfizetői díjcsomagjának váltása közben. A cégnek jelezte a hibát, aki fogadta is őt, sőt egy adott ponton, arról is szó volt, hogy dolgozna a vállalatnak. A két fél közötti tárgyalások megszakadtak, a fiatal viszont folytatta a tesztelést, a kutakodást. Ezt a tevékenységet észrevették, feljelentés született, az ügy bírósági szakaszban tart.

Utazás a múltba

A közelmúltban több esetben is felháborodást keltett az etikusnak tartott hackerekkel szemben tanúsított vállalati magatartás. A két konkrét ügy kapcsán – melyet rövid keretes írásunkban ismertetünk – megfogalmazódott félreértéseket megmagyarázásához előbb utazzunk vissza a számítástechnika hajnalára.

A szobányi számítógépek idején a hacker azt a mély szakmai tudással rendelkező számítógépes „szakit” jelentette, aki képes volt hatékonyabbá tenni a gépeket, képes volt úgy beállítani őket, hogy azok optimálisan működjenek, és probléma esetén tudta, milyen rendszerhez kell nyúlni. Az 1980-as, 1990-es években az online világ elterjedésekor a hacker az a jó szándékú segítő lett, aki szabadidejében a különböző, internet segítségéve elérhető rendszereket tesztelte, majd jelezte a hibákat a rendszer üzemeltetőinek. Közöttük nagyon hamar megjelentek azok, akik mindezt már pénzért tették – értsd úgy, hogy zsaroltak, tönkretettek dolgokat. A hackerek világa szubkultúrának számított, a maga íratlan törvényeivel.

Az 1990-es évek végétől, a 2000-es évek elejétől azonban már meg kellett különböztetni az etikus hackert a hackertől (illetve, ahogy korábban mondták, a fehér kalapos hackert a fekete kalapostól). Az átalakulás nem volt egyszerű, számos szakmán belüli támadás, vita és konfliktus előzte meg az etikus hacker fogalmának megjelenését.

 

Vállalkozás lett belőle

A segítő szándékú hackerek elkezdték szervezetten, vállalkozásba tömörülve, szolgáltatásként értékesíteni tudásukat, ők lettek az etikus hackerek; míg a hackerek a webes alvilág szolgálatába álltak, vírusok terjesztésével, DDOS-támadások indításával és végső soron zsarolással szerezve pénzt. Nyilván, ha csak a pénzt nézzük, akkor kifizetődőbb hackereknek állni, hiszen több pénzt tudnak szerezni, viszonylag rövid idő alatt. Azt viszont ne felejtsük el, hogy a törvényi keretek kidolgozása miatt tevékenységük illegális, börtönbüntetés szabható ki rájuk. Azért az etikus hackerek sem panaszkodhatnak, nem halnak éhen: szaktudások nagyon is keresett (nem ritka, hogy valaki bruttó 1 millió forint fizetéssel büszkélkedhet).

Érdekes mellékszál, hogy a magukat komolyan vevő hackerek – nevezzük őket hagyományőrzőknek – továbbra is egy szubkultúra részének tartják magukat, nem fogadják el, hogy szakmává fejlődtek. Noha ártó szándék nincs a tevékenységükben, nem fogadják el az etikus jelzőt megnevezésükre, mondván erre semmi szükség. A különböző – amúgy folyamatosan telt házzal működő és évekre előre lefoglalt – etikus hacker tanfolyamokon kiképzett szakembereket nem ismerik el, és nem fogadják el hackereknek.

 

Helpful hacker

Részben ezzel is magyarázható, hogy napjainkban reneszánszát éli a hackerek körében az 1980-as évek, amikor szabadon és nem ártó szándékkal keresgélték a hibákat a különböző vállalati rendszerekben, vagyis igazi „digitális Robin Hood”-ként tevékenykedtek és dolgoznának most is. Őket „helpful hackerek”-nek hívják, ezzel is megkülönböztetve az etikus hackerektől. A klasszikus esetre kell gondolni, amikor egy tinédzser, jórészt a húszas évei elején lévő, pattanásos srác a hálószobájában lévő számítógépen kutakodik és keresgéli a hibákat. Erősödnek azok a hangok, amelyek azt mondják, hogy ezeket a magányos farkasokat, akiket bizonyítottan nem a pénzszerzés, hanem a hasonlóan motiváló sikerélmény hajt a nem törvényes kutakodásukban, nem kellene bántani, sőt inkább engedni kellene, hogy szabadon tevékenykedjenek.

Több veszélyt is rejt magában a digitális Robin Hoodok reneszánsza, figyelmeztet Frész Ferenc. Egyrészt az 1980-as évekhez képest szigorodott a jogi környezet, bűncselekmény számítógépes rendszerekbe engedély nélkül behatolni. Amikor valaki a saját szakállára kezd el vizsgálódni, akkor nemcsak a jogszabályok ellen vét. Nem ismeri pontosan, mi van a másik oldalon, mennyire erős vagy gyenge rendszerrel találja magát szembe kutakodásai során, emiatt nagyon könnyű a véletlen károkozás. Ha például közműre, kritikus jellegű informatikai rendszerekre gondolunk, akkor ez a véletlen károkozás katasztrofális következményekkel is járhat.

Frész Ferenc szerint még ha jó szándék is vezérli, egyáltalán nem jó, ha valaki nekiesik egy rendszernek anélkül, hogy tudná, milyen mértékű és jellegű kárt okozhat tevékenységével. Ha ezt a kiskaput kinyitjuk, akkor a megengedő viselkedés hatására a károkozási szándékkal érkezők is besétálnak rajta. A szakember úgy véli, csak a kontrollált módon kiképzett szakemberek számítanak etikus hackernek.

 

A vállalati felelősség

A történetnek egy másik, vállalati oldala is van, amely a szervezet felelősségét firtatja. Frész Ferenc szerint kérdéses, hogy a rendszereket fejlesztő vállalatok megtesznek-e mindent, hogy azok ne legyenek kompromittálhatók. A jogi környezet előírja az adatok védelmét, európai szinten. Ennek ellenére a magyar információs rendszerek elképesztően elavultak, becslések szerint az interneten elérhető magyar rendszerek 60 százaléka azonnal feltörhető. És ez nem új keletű jelenség, ami annak is köszönhető, hogy nem honosodott meg a felelősségteljes gondolkodás. A rendszereket a biztonságra is gondolva kell tervezni és felépíteni, és csak úgy szabad élesíteni őket, hogy előtte komoly sérülékenységi vizsgálatot végzünk.

Mindez nem jelenti a segítő szándékú hacker tevékenységének végét. Léteznek programok, melyek felhatalmazást adnak a biztonsági szakembernek, hogy tevékenységét törvényesen végezze. Ezek a különböző vállalati vagy kormányzati bug bounty programok. A program részletezi, hogy milyen rendszerek sérülékenységeit keresik, mennyi jutalmat adnak a hiba felfedezőjének, kinek és hogyan kell bejelenteni az adott hibát. A tavaly december végén elfogadott, a hálózati és információs rendszerek biztonságáról szóló kormányzati stratégia is a bug bounty programok terjedését ösztönözi (amellett, hogy az etikus hacker és a társadalom viszonyának tisztázására igyekszik fórumot biztosítani).

Legutóbb a svájci posta indított hasonló programot, az általa fejlesztett elektronikus választási rendszerében hibát találóknak összesen 150 ezer dolláros jutalom ütheti a markát. De az EU is hirdetett egy nagyvonalú bounty programot, mely a nyílt forráskódú programok sérülékenységekért fizetne, 15 szoftver van a célkeresztben, a maximális díj itt 90 ezer euró.

A responsible disclosure policy, vagyis a felelősségteljes megosztás irányelvének terjedése is segíti a formális képzésben nem részesülő, jó szándékú hackerek tevékenységét. Ez azt jelenti, hogy a vállalat az irányelvekben foglaltak alapján engedélyezi, hogy szabadúszó hackerek teszteljék rendszereit, hogy mit tartanak hibának, és milyen jutalmat adnak a felfedezett hibáért, kihez kell fordulni az adott hibával stb. Ez persze kizárja, hogy az adott hibával a sajtóhoz forduljon a hacker, ezzel zsarolva a vállalatot – még ha a zsarolás eredménye nem is pénzügyi jutalom, hanem a felfedezett hiba javítása.


Fontosabb bug bounty-programok az elmúlt évekből

Kiíró neve Érintett rendszerek Maximális díjazás
Apple Meghívott szakértőknek nyitott 200000 dollár
EU Nyílt forráskódú rendszerek 90000 euró
Facebook facebook.com Nincs felső határ, minimum 500 dollár
Google Vulnerability Reward Program google.com, youtube.com, blogger.com 31337 dollár
HP Printerek 10000 dollár
Intel Firmware, hardware, software 250000 dollár
Microsoft Komplex hibák 100000 dollár
Netflix API, weboldal 20000 dollár
Svájci posta Választási rendszer 150000 euró
Uber Belső rendszerek 10000 dollár

Forrás: https://www.itbusiness.hu