Útmutató etikus hackereknek

Nincs világos közmegegyezés arról, hogy ki számít etikus hackernek. Vannak, akik szerint csak a megfelelő végzettséget nyújtó okleveles etikushacker-képzés elvégzése után, a megbízójuk vagy munkáltatójuk utasításai alapján tesztelő hackereket lehet etikusnak nevezni; mások szerint ez a meghatározás indokolatlanul megszorító. Mi képzettségétől vagy a foglalkoztatásától függetlenül mindenkit etikus hackernek tartunk, aki betartja az alábbi szabályokat, ezzel is bizonyítva, hogy jó szándékkal, a közösség érdekében végez penetrációs tesztelést.

1. Ne a saját javadra tárd fel a hibát, hackerkedésednek mindig legyen valamilyen közérdekű célja (pl. a feltárt hiba mások személyes adatait szolgáltatja ki illetékteleneknek, a hiba közpénzek elherdálását eredményezi stb.) Persze azt már nem kell felajánlanod, hogy a hibát ingyen kijavítod, de ha nem közérdekű célból, hanem kizárólag haszonszerzési céllal hackerkedtél, az jóval nehezebben védhető.
2. Pontosan dokumentáld, hogy mikor, mit teszel! Rögzítsd, hogy hogyan jöttél rá a hibára, és azt is, hogy miért kezdtél az adott hiba vagy hiányosság után kutatni. Nem árt, ha ezek a célok is közérdekűek.
3. Sehol se próbáld meg eltüntetni a nyomaidat! Éppen ellenkezőleg: ha adatváltoztatást hajtasz végre, megfelelően dokumentáld ezt, rögzítsd a változtatás minden mozzanatát, demonstrálva, hogy tudatos választásod, hogy nem rejtőzködsz, és hogy nem ártó szándékkal léptél a rendszerbe.
4. Amint lehet, vidd a feltárt hibákat, hiányosságokat a kompetens döntéshozók elé! Ne kösd feltételekhez ezek megmutatását, ne zsarold a döntéshozókat, ezzel ugyanis bűncselekményt követhetsz el! A hibát teljesen tárd fel, hogy az illetékesek megkezdhessék a kijavítását. Ha nem így teszel, az zsarolásnak tűnhet.
5. Pontosan dokumentáld azt is, hogy mikor, milyen módon fedted fel a hibát, és milyen reakciók érkeztek arra! Ha személyesen találkozol a döntéshozóval, akkor készíts a találkozóról memót, amit küldj el jóváhagyásra a másik félnek.
6. Mindig a legközvetlenebbül érintett döntéshozónak mutasd meg először a hibákat! Ha vele nem jársz sikerrel, csak akkor keresd meg a távolabbi döntéshozót (például az érintett cég anyavállalatát). Ha így teszel, könnyebb bizonyítani, hogy valóban a probléma megoldása motivált, és nem a zsarolás.
7. Feleslegesen ne hackerkedj! Ha jól dokumentáltan felhívtad a döntéshozó figyelmét a hibára, hiányosságra, várj a reakcióra! Attól, hogy egy döntéshozó felvette veled a kapcsolatot, esetleg már meg is beszéltétek a hiba mibenlétét, még ne érezd magad feljogosítva, hogy további feltárásokat végezz! Ezt csak akkor teheted meg, ha kifejezetten és jól dokumentáltan megkérnek rá. A közlésed után a hiba elhárítása az érintettek feladata, és ha később mégis visszatérsz további feltárásokat végezni, vagy csak ellenőrizni, hogy elkezdték-e már a hiba kijavítását, akkor nagyon nehezen tudsz majd a közérdekre és a társadalmi haszonra hivatkozni.
8. Ha kifejezetten megkérnek, hogy további feltárásokat ne végezz, akkor ehhez tartsd magad!
9. A nyilvánossághoz csak akkor fordulj, ha hiába hívtad fel az érintettek figyelmét a hibára, és hiába adtál ésszerű időt a kijavításra, ez igazolhatóan eredménytelen maradt, illetve jó érvek szólnak amellett, hogy a javítás elmaradása nagyobb sérelmet okoz közösségi szinten, mint az, ha ez a hiba nyilvánosságra kerül.
10. Ha a nyilvánossághoz fordulsz, gondold át, hogy pontosan mit osztasz meg a biztonsági kockázatról! Ne hozz nyilvánosságra olyan eljárást, információt, kódot, amikkel visszaélve egy rosszindulatú hacker kihasználhatja a biztonsági rést! A problémát próbáld meg olyan általánosan körülírni, hogy a kockázat lényege érthető legyen laikusok számára is, de ne tedd könnyebbé, hogy bárki is visszaélhessen ezzel.
11. Minél kevesebb személyes adatot ismerj meg, ilyen után szándékosan ne kutakodj, és semmiképpen ne mentsd el! Még az ismerőseid adatait se kutasd fel, akkor se, ha beleegyeztek! Ha ez mégis elkerülhetetlen, csak akkor tedd, ha később bizonyítani tudod, hogy az érintett ehhez megadta a hozzájárulását! Sokszor az a legjobb megoldás, ha regisztrálsz az adott szolgáltatónál, és a saját fiókodon végzel tesztelést.
12. Ne próbálj minősített adatot, vagyis államtitkot szerezni, és különösen ne hozz ilyet nyilvánosságra!
13. Jól válaszd meg, hogy kinél keresel biztonsági rést! Állami, önkormányzati szerv esetében, ha a tanácsainknak megfelelően jártál el, közérdekű bejelentőnek minősülsz, és nem érhet hátrány, amiért közölted a hibát az érintettel. Nagyobb magánvállalatok esetében is lehetséges hasonlóan érvelni: minél több ember érdekét szolgálja, hogy a cég tudtára hozz egy hibát, annál valószínűbb, hogy közérdekre tudsz hivatkozni. Ez fordítva is igaz: nehezen védhető a bíróság előtt, ha szétnézel a sarki virágbolt megrendelései között.

Előfordulhat, hogy a hiba feltárása túlmutat az informatikai rendszerrel és az adatbiztonsággal kapcsolatos kérdéseken, és valamilyen, a közügyek körébe tartozó problémára, elsősorban a közhatalom működésének hibáira mutat rá. Ilyen lehet például a hatalommal való visszaélés, a korrupció, az állam alapjogvédelmi kötelezettségeinek elmulasztása. Ekkor a szólásszabadság, a közügyek megvitathatóságnak szempontjai azt is védehetővé tehetik, ha elsőként nem az érintettekhez fordulsz, hanem a nyilvánossághoz, hiszen az intézkedésre jogosult elsőkénti értesítése mögötti érdeket felülírhatja az az érdek, hogy a közügyről a nyilvánosság minél szélesebb köre értesüljön.

Ha a hiba feltárását ilyen céllal teszed, akkor ehhez kell igazítani mindezt, amit teszel, és különösen körültekintően kell azt eldönteni, hogy mit hozol nyilvánosságra. Kizárólag olyan jellegű és mennyiségű információt ossz meg a nyilvánosságban, ami a cél elérésére (a közhatalom kritikájára) alkalmas, és ahhoz feltétlenül szükséges.

Azt is meg kell fontolni, hogy a tájékoztatással okozott sérelem arányban álljon az elérendő céllal. Személyes adatokat például ez alapján ne, vagy csak nagyon kivételesen, kizárólag akkor hozz nyilvánosságra, ha az adott személyes adatok nélkül a közügyről sem lehetne tájékoztatást adni. Figyelj arra is, hogy a nyilvánosságra hozott adatok ne adjanak lehetőséget más, rosszhiszemű személyeknek arra, hogy a rendszer megismert gyengeségeivel visszaéljenek, különösen, hogy személyes adatot szerezzenek meg.

Ebben az esetben is igaz, hogy még ha be is tartod a fenti javaslatokat, a meghackelt intézmény valószínűleg büntetőeljárást fog kezdeményezni ellened. Az eljárásban már a bíróságon múlik, hogy eldöntse, cselekedeted mennyire veszélyes a társadalomra.