Azok a jóindulatú hackerek, akik a köz érdekében tárnak fel hibákat állami vagy multinacionális cégek informatikai rendszereiben, sokszor büntetőeljárást kapnak köszönet helyett, hiába nincs bennük ártó szándék vagy haszonszerzési vágy. Ebben az útmutatóban adunk pár tanácsot, hogy etikus hackerként hogyan kerülheted el a feljelentést, illetve mit tehetsz azért, hogy ne csak a közvélemény, hanem a bíróság is elhiggye, hogy csak segíteni akartál.
Nincs világos közmegegyezés arról, hogy ki számít etikus hackernek. Vannak, akik szerint csak a megfelelő végzettséget nyújtó okleveles etikushacker-képzés elvégzése után, a megbízójuk vagy munkáltatójuk utasításai alapján tesztelő hackereket lehet etikusnak nevezni; mások szerint ez a meghatározás indokolatlanul megszorító. Mi képzettségétől vagy a foglalkoztatásától függetlenül mindenkit etikus hackernek tartunk, aki betartja az alábbi szabályokat, ezzel is bizonyítva, hogy jó szándékkal, a közösség érdekében végez penetrációs tesztelést.
Fontos, hogy az engedély nélküli penetrációs vizsgálatot a Btk. büntetni rendeli, ezért ha a meghackelt szervezet feljelent, a büntetőeljárás biztosan megindul ellened. Azonban ha betartod az alábbi szabályokat, sokkal könnyebben bizonyítható, hogy a tevékenységed nem volt a társadalomra veszélyes, sőt, végső soron a közérdeket szolgálta.
Előfordulhat, hogy a hiba feltárása túlmutat az informatikai rendszerrel és az adatbiztonsággal kapcsolatos kérdéseken, és valamilyen, a közügyek körébe tartozó problémára, elsősorban a közhatalom működésének hibáira mutat rá. Ilyen lehet például a hatalommal való visszaélés, a korrupció, az állam alapjogvédelmi kötelezettségeinek elmulasztása. Ekkor a szólásszabadság, a közügyek megvitathatóságnak szempontjai azt is védehetővé tehetik, ha elsőként nem az érintettekhez fordulsz, hanem a nyilvánossághoz, hiszen az intézkedésre jogosult elsőkénti értesítése mögötti érdeket felülírhatja az az érdek, hogy a közügyről a nyilvánosság minél szélesebb köre értesüljön.
Ha a hiba feltárását ilyen céllal teszed, akkor ehhez kell igazítani mindezt, amit teszel, és különösen körültekintően kell azt eldönteni, hogy mit hozol nyilvánosságra. Kizárólag olyan jellegű és mennyiségű információt ossz meg a nyilvánosságban, ami a cél elérésére (a közhatalom kritikájára) alkalmas, és ahhoz feltétlenül szükséges.
Azt is meg kell fontolni, hogy a tájékoztatással okozott sérelem arányban álljon az elérendő céllal. Személyes adatokat például ez alapján ne, vagy csak nagyon kivételesen, kizárólag akkor hozz nyilvánosságra, ha az adott személyes adatok nélkül a közügyről sem lehetne tájékoztatást adni. Figyelj arra is, hogy a nyilvánosságra hozott adatok ne adjanak lehetőséget más, rosszhiszemű személyeknek arra, hogy a rendszer megismert gyengeségeivel visszaéljenek, különösen, hogy személyes adatot szerezzenek meg.
Ebben az esetben is igaz, hogy még ha be is tartod a fenti javaslatokat, a meghackelt intézmény valószínűleg büntetőeljárást fog kezdeményezni ellened. Az eljárásban már a bíróságon múlik, hogy eldöntse, cselekedeted mennyire veszélyes a társadalomra.
Ha adományozóként megadod adataidat:
rendszeresen beszámolunk eredményeinkről
éves találkozókon pedig a TASZ műhelytitkaiba is betekintést nyerhetsz
Ha adományozóként megadod adataidat:
rendszeresen beszámolunk eredményeinkről
éves találkozókon pedig a TASZ műhelytitkaiba is betekintést nyerhetsz