Útmutató etikus hackereknek

Azok a jóindulatú hackerek, akik a köz érdekében, ártó szándék és haszonszerzési vágy nélkül tárnak fel hibákat állami vagy multinacionális cégek informatikai rendszereiben – akár sok ezer ember jogait, érdekeit veszélyeztető hiányosságokra hívva fel a figyelmet –, sok esetben még mindig büntetőeljárást kapnak köszönet helyett. Ebben az útmutatóban adunk pár tanácsot, hogy etikus hackerként hogyan kerülheted el a feljelentést és a bírósági eljárásokat. Több etikus hacker ellen indult büntetőeljárásban nyújtottunk már jogi képviseletet, és tapasztalataink alapján etikus hackerként sokat tehetsz azért, hogy ne csak a közvélemény, hanem a bíróság is elhiggye, hogy csak segíteni akartál. Ha a tanácsaink szerint jársz el, könnyebb dolgod lesz a bíróságon.

Tanácsok a későbbi sikeres védelem érdekében:

1. Ne a saját javadra tárd fel a hibát, hackerkedésednek mindig legyen valamilyen közérdekű célja (pl. a feltárt hiba mások személyes adatait szolgáltatja ki illetékteleneknek, a hiba közpénzek elherdálását eredményezi stb.) Persze azt már nem kell felajánlanod, hogy a hibát ingyen kijavítod, de ha nem közérdekű célból, hanem kizárólag haszonszerzési céllal hackerkedtél, az jóval nehezebben védhető.

2. Pontosan dokumentáld, hogy mikor, mit teszel! Rögzítsd, hogy hogyan jöttél rá a hibára, és azt is, hogy miért kezdtél az adott hiba vagy hiányosság után kutatni. Nem árt, ha ezek a célok is közérdekűek.

3. Sehol se próbáld meg eltüntetni a nyomaidat! Éppen ellenkezőleg: ha adatváltoztatást hajtasz végre, megfelelően dokumentáld ezt, rögzítsd a változtatás minden mozzanatát, demonstrálva, hogy tudatos választásod, hogy nem rejtőzködsz, és hogy nem ártó szándékkal léptél a rendszerbe.

4. Amint lehet, vidd a feltárt hibákat, hiányosságokat a kompetens döntéshozók elé! Ne kösd feltételekhez ezek megmutatását, ne zsarold a döntéshozókat, ezzel ugyanis bűncselekményt követhetsz el! A hibát teljesen tárd fel, hogy az illetékesek megkezdhessék a kijavítását. Ha nem így teszel, az zsarolásnak tűnhet.

5. Pontosan dokumentáld azt is, hogy mikor, milyen módon fedezted fel a hibát, és milyen reakciók érkeztek arra! Ha személyesen találkozol a döntéshozóval, akkor készíts a találkozóról memót, amit küldj el jóváhagyásra a másik félnek.

6. Mindig a legközvetlenebbül érintett döntéshozónak mutasd meg először a hibákat! Ha vele nem jársz sikerrel, csak akkor keresd meg a távolabbi döntéshozót (például az érintett cég anyavállalatát). Ha így teszel, könnyebb bizonyítani, hogy valóban a probléma megoldása motivált, és nem a zsarolás.

7. Feleslegesen ne hackerkedj! Ha jól dokumentáltan felhívtad a döntéshozó figyelmét a hibára, hiányosságra, várj a reakcióra! Attól, hogy egy döntéshozó felvette veled a kapcsolatot, esetleg már meg is beszéltétek a hiba mibenlétét, még ne érezd magad feljogosítva, hogy további feltárásokat végezz! Ezt csak akkor teheted meg, ha kifejezetten és jól dokumentáltan megkérnek rá. A közlésed után a hiba elhárítása az érintettek feladata, és ha később mégis visszatérsz további feltárásokat végezni, vagy csak ellenőrizni, hogy elkezdték-e már a hiba kijavítását, akkor nagyon nehezen tudsz majd a közérdekre és a társadalmi haszonra hivatkozni.

8. Ha kifejezetten megkérnek, hogy további feltárásokat ne végezz, akkor ehhez tartsd magad!

9. A nyilvánossághoz csak akkor fordulj, ha hiába hívtad fel az érintettek figyelmét a hibára, és hiába adtál ésszerű időt a kijavításra, ez igazolhatóan eredménytelen maradt, illetve jó érvek szólnak amellett, hogy a javítás elmaradása nagyobb sérelmet okoz közösségi szinten, mint az, ha ez a hiba nyilvánosságra kerül.

10. Ha a nyilvánossághoz fordulsz, gondold át, hogy pontosan mit osztasz meg a biztonsági kockázatról! Ne hozz nyilvánosságra olyan eljárást, információt, kódot, amikkel visszaélve egy rosszindulatú hacker kihasználhatja a biztonsági rést! A problémát próbáld meg olyan általánosan körülírni, hogy a kockázat lényege érthető legyen laikusok számára is, de ne tedd könnyebbé, hogy bárki is visszaélhessen ezzel.

11. Minél kevesebb személyes adatot ismerj meg, ilyen után szándékosan ne kutakodj, és semmiképpen ne mentsd el! Még az ismerőseid adatait se kutasd fel, akkor se, ha beleegyeztek! Ha ez mégis elkerülhetetlen, csak akkor tedd, ha később bizonyítani tudod, hogy az érintett ehhez megadta a hozzájárulását! Sokszor az a legjobb megoldás, ha regisztrálsz az adott szolgáltatónál, és a saját fiókodon végzel tesztelést.

12. Ne próbálj minősített adatot, vagyis államtitkot szerezni, és különösen ne hozz ilyet nyilvánosságra!

13. Jól válaszd meg, hogy kinél keresel biztonsági rést! Állami, önkormányzati szerv esetében, ha a tanácsainknak megfelelően jártál el, közérdekű bejelentőnek minősülsz, és nem érhet hátrány, amiért közölted a hibát az érintettel. Nagyobb magánvállalatok esetében is lehetséges hasonlóan érvelni: minél több ember érdekét szolgálja, hogy a cég tudtára hozz egy hibát, annál valószínűbb, hogy közérdekre tudsz hivatkozni. Ez fordítva is igaz: nehezen védhető a bíróság előtt, ha szétnézel a sarki virágbolt megrendelései között.

Tudnod kell, hogy az engedély nélküli penetrációs vizsgálatot a Btk. büntetni rendeli, ezért ha a meghackelt szervezet feljelent, a büntetőeljárás biztosan megindul ellened. Azonban ha betartod a fenti szabályokat, sokkal könnyebben lesz bizonyítható, hogy a jó szándék vezérelt, a tevékenységed nem volt a társadalomra veszélyes, sőt, végső soron a közérdeket szolgálta.

Megosztás

Kapcsolódó hírek

Minek nekem magánszféra?

Az információgyűjtés és megfigyelés új módozatait alkalmazó társadalmakat gyakran hasonlítják Orwell 1984-ének világához: a legrejtettebb gondolatunkat is figyelő Nagy Testvér tekintete elől senki nem bújhat el, az elvárásoktól való legapróbb eltérésre is büntetés a válasz. A mindennapi tapasztalatunk azért nem ilyen nyomasztó.

Jogsértő óvodavezetői döntés miatt közérdekű bejelentéssel éltünk

Több miskolci köznevelési intézmény vezetője döntött úgy, hogy a felügyeletük alá tartozó gyerekekkel részt vesznek egy országgyűlési képviselő által egy héttel a választási kampány előtt szervezett rendezvényen, és a szülőket kötelezték arra, hogy kísérjék el gyerekeiket. A TASZ szerint ez a döntés ellentétes a nemzeti köznevelési törvénnyel, valamint a gyerekek és szüleik lelkiismereti szabadsághoz való jogával. A jogsértésre közérdekű bejelentésben hívtuk fel a figyelmét a fenntartó önkormányzatnak.

Nem csillapodik a kameraláz – BKV és a MÁV járművein is megfigyelik az állampolgárokat

Az Országgyűlés hamarosan szavaz a Kormány által beterjesztett T/1746. számú törvényjavaslatról, amely az egyes közlekedési tárgyú törvényeket módosítja. A törvényjavaslat a tömegközlekedési eszközök kamerákkal való felszereléséhez ad törvényi felhatalmazást. Egyes, a közelmúltban vásárolt járműveken már eddig is, törvényi felhatalmazás nélkül működtettek kamerákat. A törvénymódosítás következtében várhatóan további milliárdokat költ majd el az állam egy alkotmányos alapjogot korlátozó eszközre, amelynek megkérdőjelezhető a hatékonysága.