Útmutató etikus hackereknek

Azok a jóindulatú hackerek, akik a köz érdekében, ártó szándék és haszonszerzési vágy nélkül tárnak fel hibákat állami vagy multinacionális cégek informatikai rendszereiben – akár sok ezer ember jogait, érdekeit veszélyeztető hiányosságokra hívva fel a figyelmet –, sok esetben még mindig büntetőeljárást kapnak köszönet helyett. Ebben az útmutatóban adunk pár tanácsot, hogy etikus hackerként hogyan kerülheted el a feljelentést és a bírósági eljárásokat. Több etikus hacker ellen indult büntetőeljárásban nyújtottunk már jogi képviseletet, és tapasztalataink alapján etikus hackerként sokat tehetsz azért, hogy ne csak a közvélemény, hanem a bíróság is elhiggye, hogy csak segíteni akartál. Ha a tanácsaink szerint jársz el, könnyebb dolgod lesz a bíróságon.

Tanácsok a későbbi sikeres védelem érdekében:

1. Ne a saját javadra tárd fel a hibát, hackerkedésednek mindig legyen valamilyen közérdekű célja (pl. a feltárt hiba mások személyes adatait szolgáltatja ki illetékteleneknek, a hiba közpénzek elherdálását eredményezi stb.) Persze azt már nem kell felajánlanod, hogy a hibát ingyen kijavítod, de ha nem közérdekű célból, hanem kizárólag haszonszerzési céllal hackerkedtél, az jóval nehezebben védhető.

2. Pontosan dokumentáld, hogy mikor, mit teszel! Rögzítsd, hogy hogyan jöttél rá a hibára, és azt is, hogy miért kezdtél az adott hiba vagy hiányosság után kutatni. Nem árt, ha ezek a célok is közérdekűek.

3. Sehol se próbáld meg eltüntetni a nyomaidat! Éppen ellenkezőleg: ha adatváltoztatást hajtasz végre, megfelelően dokumentáld ezt, rögzítsd a változtatás minden mozzanatát, demonstrálva, hogy tudatos választásod, hogy nem rejtőzködsz, és hogy nem ártó szándékkal léptél a rendszerbe.

4. Amint lehet, vidd a feltárt hibákat, hiányosságokat a kompetens döntéshozók elé! Ne kösd feltételekhez ezek megmutatását, ne zsarold a döntéshozókat, ezzel ugyanis bűncselekményt követhetsz el! A hibát teljesen tárd fel, hogy az illetékesek megkezdhessék a kijavítását. Ha nem így teszel, az zsarolásnak tűnhet.

5. Pontosan dokumentáld azt is, hogy mikor, milyen módon fedezted fel a hibát, és milyen reakciók érkeztek arra! Ha személyesen találkozol a döntéshozóval, akkor készíts a találkozóról memót, amit küldj el jóváhagyásra a másik félnek.

6. Mindig a legközvetlenebbül érintett döntéshozónak mutasd meg először a hibákat! Ha vele nem jársz sikerrel, csak akkor keresd meg a távolabbi döntéshozót (például az érintett cég anyavállalatát). Ha így teszel, könnyebb bizonyítani, hogy valóban a probléma megoldása motivált, és nem a zsarolás.

7. Feleslegesen ne hackerkedj! Ha jól dokumentáltan felhívtad a döntéshozó figyelmét a hibára, hiányosságra, várj a reakcióra! Attól, hogy egy döntéshozó felvette veled a kapcsolatot, esetleg már meg is beszéltétek a hiba mibenlétét, még ne érezd magad feljogosítva, hogy további feltárásokat végezz! Ezt csak akkor teheted meg, ha kifejezetten és jól dokumentáltan megkérnek rá. A közlésed után a hiba elhárítása az érintettek feladata, és ha később mégis visszatérsz további feltárásokat végezni, vagy csak ellenőrizni, hogy elkezdték-e már a hiba kijavítását, akkor nagyon nehezen tudsz majd a közérdekre és a társadalmi haszonra hivatkozni.

8. Ha kifejezetten megkérnek, hogy további feltárásokat ne végezz, akkor ehhez tartsd magad!

9. A nyilvánossághoz csak akkor fordulj, ha hiába hívtad fel az érintettek figyelmét a hibára, és hiába adtál ésszerű időt a kijavításra, ez igazolhatóan eredménytelen maradt, illetve jó érvek szólnak amellett, hogy a javítás elmaradása nagyobb sérelmet okoz közösségi szinten, mint az, ha ez a hiba nyilvánosságra kerül.

10. Ha a nyilvánossághoz fordulsz, gondold át, hogy pontosan mit osztasz meg a biztonsági kockázatról! Ne hozz nyilvánosságra olyan eljárást, információt, kódot, amikkel visszaélve egy rosszindulatú hacker kihasználhatja a biztonsági rést! A problémát próbáld meg olyan általánosan körülírni, hogy a kockázat lényege érthető legyen laikusok számára is, de ne tedd könnyebbé, hogy bárki is visszaélhessen ezzel.

11. Minél kevesebb személyes adatot ismerj meg, ilyen után szándékosan ne kutakodj, és semmiképpen ne mentsd el! Még az ismerőseid adatait se kutasd fel, akkor se, ha beleegyeztek! Ha ez mégis elkerülhetetlen, csak akkor tedd, ha később bizonyítani tudod, hogy az érintett ehhez megadta a hozzájárulását! Sokszor az a legjobb megoldás, ha regisztrálsz az adott szolgáltatónál, és a saját fiókodon végzel tesztelést.

12. Ne próbálj minősített adatot, vagyis államtitkot szerezni, és különösen ne hozz ilyet nyilvánosságra!

13. Jól válaszd meg, hogy kinél keresel biztonsági rést! Állami, önkormányzati szerv esetében, ha a tanácsainknak megfelelően jártál el, közérdekű bejelentőnek minősülsz, és nem érhet hátrány, amiért közölted a hibát az érintettel. Nagyobb magánvállalatok esetében is lehetséges hasonlóan érvelni: minél több ember érdekét szolgálja, hogy a cég tudtára hozz egy hibát, annál valószínűbb, hogy közérdekre tudsz hivatkozni. Ez fordítva is igaz: nehezen védhető a bíróság előtt, ha szétnézel a sarki virágbolt megrendelései között.

Tudnod kell, hogy az engedély nélküli penetrációs vizsgálatot a Btk. büntetni rendeli, ezért ha a meghackelt szervezet feljelent, a büntetőeljárás biztosan megindul ellened. Azonban ha betartod a fenti szabályokat, sokkal könnyebben lesz bizonyítható, hogy a jó szándék vezérelt, a tevékenységed nem volt a társadalomra veszélyes, sőt, végső soron a közérdeket szolgálta.

Megosztás

Kapcsolódó hírek

A kormány be akarja tiltani a zárat az ajtódon

Miért fontos a TASZ-nak a titkosítás? Természetesen azért, mert Soros György minden hétfőn titkosított videóhívás útján lát el bennünket utasításokkal, és persze nem akarjuk, hogy kapcsolatunk nyilvánosságra kerüljön. PGP titkosítást használunk, amikor idegenszívű megbízóinknak napi progress riportokat küldünk arról, hogy hol tartunk az államrend megdöntésében. Az állami szerveket, például az obudsmani hivatalt Jitsi chaten tartjuk ellenőrzésünk alatt. A globális háttérhatalmakkal fenntartott kapcsolatunk titkos is és misztikus, kicsit utópisztikus, ezért velük csak 4096 bites RSA algoritmus segítségével kódolt üzeneteket váltunk. Aztán amikor eljön a hétvége, a TASZ-os drogos orgiáinkat CryptTalk-on és Signalon szervezzük le, és a Torbrowser segítségével szerezzük be a hozzávalókat. A partijainkon elképesztő dolgokat művelünk, minderről készülnek képek, de ezzel csak magunkat akarjuk szórakoztatni, ezért a  fájlokat a felhőben titkosítva a SpiderOakONE-on, a saját gépünkön pedig az operációs rendszerünkbe épített FileVault programmal kódolva tároljuk.[*]

Ha bejelentést teszek, az a baj, ha hallgatok róla, az a baj

A szabadalmi ügyvivői kamara kizárta azt a tagját, aki jóhiszemű közérdekű bejelentést tett egy súlyos törvénysértésről. Álláspontunk szerint a döntés elfogadhatatlan, ezért az ügyben fellebbezést nyújtunk be a bírósághoz.

Jogsértő a kegyelemben részesült személyek listájának közzététele

A Vasárnapi Hírek 2010. március 28. napján megjelent számában közölt egy listát, amely, köztársasági elnöki kegyelemben részesült emberek nevét és az általuk elkövetett bűncselekmények megjelölését tartalmazta. A TASZ beadványa alapján az Adatvédelmi Biztos megállapította, hogy az újság megsértette a kegyelemben részesültek személyes adatok védelméhez fűződő jogát.