Elég nagy botrány lett abból, hogy a BKK egy biztonsági hibáktól, sőt mit több, amatőr biztonsági hibáktól hemzsegő rendszert tett ki élesbe. A „hacker horda” pillanatok alatt ízeire szedte a felületet.
Etikus hackerként azonban úgy gondolom, hogy beszélnünk kéne ennek az egész sztorinak a jogi hátteréről, és nem csak csámcsogni a BKK baklövésén, és a kommunikáció stratégiájuk minőségén…
Ezen pörgött a fél net
Többek között az index is megírta:
„Az egyik felhasználó például egy rém egyszerű trükkel 50 forintért vett magának bérletet”.
Ehhez kapcsolódóan pedig ezt:
„Mi egy etikus hekkertől kaptunk bejelentést, aki azért vette meg körülbelül kétszázszor olcsóbban a havi bérletet, hogy bizonyítéka legyen a rendszerben lévő sérülékenységről. Így megalapozott érvekkel tudott figyelmeztetést küldeni a BKK-nak. Mint elmondta, nem akarja utazásra felhasználni az ily módon szerzett bérletet, pontosabban már nem is tudná, mert – feltehetően a BKK-nak írt email hatására – törölték a bérletét.”
Egy másik cikkben egy e-mail mutatott az online lap, melynek tartalmában ez volt olvasható:
Találtam egy biztonsági rést a most indult https://shop.bkk.hu jegykezelő rendszerben. Nem olyan „apró” résekre gondolok, mint amit az index már megírt ….. hanem olyanra, hogy bármely felhasználó ÖSSZES személyes adatához hozzá lehet férni.
A Törvény szavai…
Ezen illetők tevékenysége „elég gáz”. Ugyanis ha az első illető, az 50 forintos jeggyel valóban etikus hacker, akkor tudnia kéne, hogy simán szabadságvesztéssel büntethető, hiába szólt utólag a BKK-nak. Ahogy simán lecsukható lehet bárki, aki ezen információk alapján megpróbálta kijátszani a rendszert. (A személyes adatokhoz való hozzáférésről már ne is beszéljünk!)
Magyarországon ugyanis eléggé faramuci a helyzet. Oké, a következő rész egy kicsit száraz lesz, de érdemes átfutni rajta:
TILTOTT ADATSZERZÉS ÉS AZ INFORMÁCIÓS RENDSZER ELLENI BŰNCSELEKMÉNYEK
Tiltott adatszerzés
422. § (1) Aki személyes adat, magántitok, gazdasági titok vagy üzleti titok jogosulatlan megismerése céljából
a) más lakását, egyéb helyiségét vagy az azokhoz tartozó bekerített helyet titokban átkutatja,
b) más lakásában, egyéb helyiségében vagy az azokhoz tartozó bekerített helyen történteket technikai eszköz alkalmazásával megfigyeli vagy rögzíti,
c) más közlést tartalmazó zárt küldeményét felbontja vagy megszerzi, és annak tartalmát technikai eszközzel rögzíti,
d) elektronikus hírközlő hálózat – ideértve az információs rendszert is – útján másnak továbbított vagy azon tárolt adatot kifürkész, és az észlelteket technikai eszközzel rögzíti,
bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.
(2) Az (1) bekezdés szerint büntetendő, aki fedett nyomozó vagy a bűnüldöző hatósággal, illetve titkosszolgálattal titkosan együttműködő személy kilétének vagy tevékenységének megállapítása céljából az (1) bekezdésben meghatározottakon kívül információt gyűjt.
(3) Az (1) bekezdés szerint büntetendő, aki az (1)-(2) bekezdésben meghatározott módon megismert személyes adatot, magántitkot, gazdasági titkot vagy üzleti titkot továbbít vagy felhasznál.
(4) A büntetés egy évtől öt évig terjedő szabadságvesztés, ha az (1)-(3) bekezdésben meghatározott tiltott adatszerzést
a) hivatalos eljárás színlelésével,
b) üzletszerűen,
c) bűnszövetségben vagy
d) jelentős érdeksérelmet okozva
követik el.
423. § (1) Aki
a) információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad,
b) az információs rendszer működését jogosulatlanul vagy jogosultsága kereteit megsértve akadályozza, vagy
c) információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz,
vétség miatt két évig terjedő szabadságvesztéssel büntetendő.
(2) A büntetés bűntett miatt egy évtől öt évig terjedő szabadságvesztés, ha az (1) bekezdés b)-c) pontjában meghatározott bűncselekmény jelentős számú információs rendszert érint.
(3) A büntetés két évtől nyolc évig terjedő szabadságvesztés, ha a bűncselekményt közérdekű üzem ellen követik el.
(4) E § alkalmazásában adat: információs rendszerben tárolt, kezelt, feldolgozott vagy továbbított tények, információk vagy fogalmak minden olyan formában való megjelenése, amely információs rendszer általi feldolgozásra alkalmas, ideértve azon programot is, amely valamely funkciónak az információs rendszer által való végrehajtását biztosítja.
424. § (1) Aki a 375. vagy a 423. §-ban meghatározott bűncselekmény elkövetése céljából az ehhez szükséges vagy ezt könnyítő
a) jelszót vagy számítástechnikai programot készít, átad, hozzáférhetővé tesz, megszerez, vagy forgalomba hoz, illetve
b) jelszó vagy számítástechnikai program készítésére vonatkozó gazdasági, műszaki, szervezési ismereteit más rendelkezésére bocsátja,
vétség miatt két évig terjedő szabadságvesztéssel büntetendő.
(2) Nem büntethető az (1) bekezdés a) pontjában meghatározott bűncselekmény elkövetője, ha – mielőtt a bűncselekmény elkövetéséhez szükséges vagy ezt megkönnyítő jelszó vagy számítástechnikai program készítése a büntető ügyekben eljáró hatóság tudomására jutott volna – tevékenységét a hatóság előtt felfedi, az elkészített dolgot a hatóságnak átadja, és lehetővé teszi a készítésben részt vevő más személy kilétének megállapítását.
(3) E § alkalmazásában jelszó: az információs rendszerbe vagy annak egy részébe való belépést lehetővé tevő, számokból, betűkből, jelekből, biometrikus adatokból vagy ezek kombinációjából álló bármely azonosító.
Bár nem vagyok jogász, de ebben a néhány paragrafusban kiemeltem egy-két dolgot, amelyekből nagyjából egyenes úton levezethető a szabadságvesztés.
Tényleg jó ez így?
Nos, szerintem ez így baromira nem jó. Aki feketekalapos hacker, annak tökmindegy mit mond a törvény. TOR hálózaton, proxy láncoknon keresztül hackel vidáman, és a bürokrácia miatt mire a nyomába érnek, már mindenhol törlődtek a bizonyításhoz szükséges naplófájlok és egyebek.
Ugyanakkor etikus hackerként egyrészt nem akarok bújkálni, másrészt meg nem magunknak hackelünk kedvtelésből, hanem a megbízóinknak üzleti alapon. Az etikus hackelésnek szükséges feltétele az, hogy legyen egy megbízó, legyen egy szerződés, aminek alapján bizonyítani tudom, hogy a feltörési kísérlet „jogszerű”. Pontosan ezért nem lehet úgy ügyfeleket szerezni, hogy elkezdek végigmenni a magyar weboldalakon, megpróbálom őket feltörni (elég nagy hatásfokkal menne sajnos), és ha sikerül, akkor jelzem az oldal üzemeltetőjének. Ez ugyanis egyszerűen törvénysértő. És ha az egyik oldal tulajdonosa éppen bal lábbal kelt fel aznap és feljelent, akkor nincs az az ügyvéd aki tisztára tudna mosni.
Pedig nem lenne rossz, ha az etikus hackerek dolgozhatnának így, és minél több oldalt vizsgálhatnának át. Lehetne feltétel, hogy legyen valamiféle végzettséget / papírod, összefüggésben az IT biztonsággal. Adhatna jogosultságot mondjuk egy Kürt vagy CEH papír arra, hogy gyenge lábakon álló rendszereket keressünk…
De amíg az etikus hackereknek, akik jogszerűen felhívhatnák a figyelmet az ilyen problémákra nincs semmi a kezükben, addig a rosszfiúk hülyére hackelik a világot. A törvényalkotó meg csak áll, és vakarja a fejét: több oldalt törtek fel… megint szigorítani kéne a törvényen…
Csak azt nem veszik észre, hogy ez az egész kontraproduktív. Ettől nem biztonságosabb lesz egy-egy rendszer, hanem sérülékenyebb.