Trust me, I’m not a virus! ;)

E cikk a Bird & Bird és az Arsboni által meghirdetett 2019. évi Cikkíró Pályázat keretében született.
Szerző: Gecse Dániel

Miért veszélyes a társadalomra az “etikus” hack?

Sun_Tzu_Art_Of_War.exe

Annak ellenére, hogy az ókori Kínában még nem a számítástechnika volt a gazdaság húzóágazata, Sun Tzu: A Háború művészetének axiómája – miszerint aki ismeri magát és az ellenségét, annak nincs oka kételkedni abban, ki lesz a győztes – nemcsak a csatatereken, hanem már az információs térben is maradéktalanul érvényesül. A hadviselés módja jelentősen finomodott az antik idők óta, súlyos károk okozásához hétköznapi számítástechnikai eszközök is elegendőek lettek, és a megfelelő informatikai tudás megszerezhető nyilvános és megfizethető képzéseken.

De pontosan milyen mértékű pusztításra alkalmas a hackelés művészete?

Warren Buffet 2017-ben nagyobb veszélynek tartotta a kiberbűnözést mint egy nukleáris  háborút. Egy ilyen kijelentés nem tűnik túlzásnak, ha megtekintjük a Microsoft és a Mcafee nyilvános statisztikáit, amikből egyértelműen egy félelmetes kép rajzolódik ki: a kiberbűnözés által okozott kár évente a 600 milliárd dollárt is elérheti, amely még egyes európai országok éves GDP-jét is meghaladja.

Kutatás a jogi munkaerőpiacról

A kitöltők között a nyertes választása szerint kisorsolunk 4 db Szigetjegyet, egy 75.000 Ft-os IKEA utalványt vagy egy 75.000 Ft-os Repjegy.hu utalványt!

Hétköznapi vállalkozásoknak átlagosan 3.6 millió dollárjába kerül egy-egy adatszivárogtatás, és több mint 60% a felhasználói adatok felhasználásával történik, miközben az elérhető zsaroló vírusok és kapcsolódó szolgáltatások száma 2016 óta több mint tízezerszeresére nőtt. Ilyen fenyegetettség következtében a kiberbiztonsági szakemberek iránti igény robbanásszerű növekedésnek indult, folyamatos hiányszakmát generálva. Egyes becslések szerint pár éven belül ez már több millió betöltetlen munkahelyet jelenthet, melynek következtében már egy pályakezdőt is kiváló lehetőségekkel fogadnak.

Akárhogy nézzük, egyértelmű, hogy jelenleg a hackereknek áll a világ. De pontosan kik is ők? Olyan szakemberek, akik képesek felismerni és kihasználni egy informatikai rendszer  (hálózat, szoftver, stb.) biztonsági hiányosságait és gyengeségeit, melynek következtében illetéktelenül hozzáférhetnek az azon lévő adatokhoz és annak funkcióihoz, vagy akár megbéníthatják működését. A módszerek skálája igen széles, kezdve az alapméretezett, gyakori jelszavak kipróbálásától (1234, asdasd1990 és szinonimái) a komolyabb túlterheléses támadásokig (DDoS), magába foglalva mindent, ami a kívánt hatást elérheti.

Tekintettel a súlyos gazdasági következményekre, az „etikátlan” hackeléssel kapcsolatban a megfelelő jogalkotói, illetve az ,,etikus” hackeléssel kapcsolatban már a hazai jogalkalmazói reflexiókat is ismerhetjük, ami segít megvilágítani azon jogi választóvonalat, ami a legalitáshoz szükséges.

Mit is mond erről a büntető törvénykönyv?

Hazánkban nemzetközi egyezmények és Európai Uniós jogi aktusok hatására kerültek fokozatos bevetésre a vonatkozó büntetőjogi tényállások, az információs rendszer felhasználásával elkövetett csalás (Btk. 375 §), információs rendszer vagy adat megsértése (Btk. 423 §) és az információs rendszer védelmét biztosító technikai intézkedés kijátszása (Btk. 424 §). A tényállások címéből egyértelműen következik, hogy mit védenek a törvény ezen szakaszai, viszont az, hogy hogyan lehet elkövetni a bűncselekményt az már összetettebb.

A “normál” csalás, és az információs rendszer felhasználásával elkövetett csalás egymás komplementerei, hiszen az előbbi esetében az elkövetési tárgy természetes személyek (azaz becsapok valakit) míg az utóbbi esetben tágabb értelemben vett információs rendszerek (azaz be csapok valamit). A tényállások további elemei között már nagyobb a hasonlóság; a bűncselekmény célzata a jogtalan haszonszerzés, amit az információs rendszerben kezelt adat megváltoztatásával, törlésével, bevitelével, illetve egyéb tevékenységek végzésével lehet elkövetni, aminek következtében szükségszerűen kár keletkezik; például ilyen lehet egy adósság kitörlése egy nyilvántartásból.

“Információs rendszer vagy adat megsértése” alatt pönalizálja a törvény a biztonsági rendszer megsértésével és kijátszásával történő jogosulatlan belépést, – ez alatt érhetjük a “hétköznapi” értelembe vett hackelést – illetve a megadott jogosultság kereteit túllépve, vagy ezt megsértve történő bentmaradást. Gyakorlatban ez azt jelenti, hogy egy jelszónak a sikeres kitalálása és felhasználása akár 2 évnyi szabadságvesztéssel is büntethető. Ismételten a jogosulatlanságra helyezve a hangsúlyt határozza meg az első minősített esetet, azaz információs rendszer működésének akadályozása, illetve adat megváltoztatása, törlése vagy hozzáférhetetlenné tétele. Így egy túlterheléses támadás akár 3 évnyi szabadságvesztéssel büntethető, viszont ha a bűncselekmény célpontja úgynevezett közérdekű üzem –  például a Telekom, vagy maga a BKK is – már 8 évről is beszélhetünk. Fontos megjegyezni, hogy ha valaki csak próbálkozik kijátszani egy rendszer védelmét  (pl. jelszavakkal kísérletezik), az már kísérletnek minősül és a tényállás keretei között büntetendő.

Az “Információs rendszer védelmét biztosító technikai intézkedés kijátszása”, az előbb bemutatott két bűncselekmény elkövetése céljából történő, jelszó vagy program készítése, átadása, forgalmazása és egyéb hansoló tevékenységekre vonatkozó büntetőjogi norma. Tipikus elkövetője ennek a bűncselekménynek az, aki egy zsarolóvírust készít, és ezt forgalmazza az interneten, vagy a készítéshez kapcsolódó ismereteit “árusítja”.

A jó, a rossz, és a jogilag “csúf” az online térben 

A hacker társadalmat kettő viszonylag jól elkülöníthető csoportként tudjuk a büntetőjog szempontjából meghatározni, miközben egy harmadik “szürkezónás”, de annál izgalmasabb csoport egyre komolyabb kihívások elé helyezi a jogalkalmazó szerveket.

Egyrészről ott vannak “fehér kalapos” hackerek, akikre, mint kiberbiztonsági szakértőkre szoktak hivatkozni, és akiket munka, vagy polgári jogviszony keretében foglalkoztatnak annak érdekében, hogy informatikai rendszerek potenciális biztonsági kockázataira segítsenek rávilágítani. Céljuk, hogy elősegítsék a megfelelő védelem kialakítását, illetve, hogy csökkentsék a veszélyfaktorok számát és súlyát. Bűncselekmény elkövetéséről azért nem beszélhetünk a tevékenységi körükben, mert a fentebb említett bűncselekmények tényállási elemei nem valósulnak meg maradéktalanul, – hiába valósítják meg az elkövetési magatartások széles skáláját azzal, hogy hackelnek – megvan a jogosultságuk (Btk. 423§), céljuk nem jogtalan haszonszerzés (Btk. 375§), és még csak nem is ezekre készülnek rá (Btk. 424§). Ajánlatos őket későbbi konfúzió elkerülése végett  “teljes nevükön” hívni, azaz jogszerű etikus hackerek, hiszen mindkét szoros fogalmi elem fennáll esetükben.

Másrészről ott vannak a “fekete kalapos” hackerek, akiket viszont már jogszerűtlen és etikátlan hackerekként is leírhatunk. Ők a Btk. fentebb ismertetett bekezdéseinek idealizált elkövetői, ugyanis a bűncselekmény tényállási elemeit nem csak hogy teljesen kimerítik, legfőképpen nincs jogosultságuk (Btk. 423§), céljuk a jogtalan haszonszerzés (Btk. 375§), vagy ezeket készitik elő (Btk. 424§), de a tetteik mögött megbújó pszichés folyamat, a motívum és a célzat – azaz milyen okból és mi célból kezdenek el hackelni – olyan tudati és érzelmi többlet tartalommal bír, amely társadalmilag elvetendő, erkölcstelen. Magyarán nemcsak hogy megszegik a törvény szavát, de azt másoknak egyértelműen ártó szándékkal teszik, és ezzel vissza is utalnék a bevezetőbe ismertetett károk súlyára.

És végül az a csoport, akiknek sikerült a szakmát a közéleti véleménynyilvánítás és a jogalkalmazás kereszttüzébe helyezni,  a “szürke kalapos” hackerek.

A jófejség jogi határvidékén 

A korábban már felépített kettősség miatt mondhatnánk úgy is, hogy a szürke kalaposok “jogszerűtlen de legalább etikus” hackerek csoportja, és egy sajátos informatikai jótevő szerepet igyekeznek betölteni. A Telekommal történtek alapján tökéletesen bemutatható, miért is kétes a közösség tagjainak a megítélése. Az említett esetben egymást követő két alkalommal sikerült egy fiatalembernek komoly biztonsági résekre bukannia, és azokat kihasználva lépett be a szervezet informatikai rendszerébe, azonban a második alkalom után feljelentést tettek ellene, hivatalos álláspont szerint azért, mert utóbb már nem jelezte a hibát az illetékeseknek.

Az elkövetővel szemben az “információs rendszer vagy adat megsértése (Btk. 423§)” miatt indult eljárás, amely tényállásnak egyik nagyon fontos jellemzője, hogy nem kerül értékelésre a törvény szintjén a bűncselekményt megvalósító személy célja, azaz ha az elkövetés szándékossága fennáll (függetlenül annak jó vagy rossz tartalmától), akkor a bírói útnak helye van. Másik oldalról megközelítve mondhatjuk úgy is, hogy ebben az esetben csak az számít, hogy megvolt-e a jogosultság a hackelésre, és ha nem,  akkor kész is a bűncselekmény.

De miért is olyan fontos az engedély ha valaki csak segíteni akar?

Elsősorban azért, mert informatikai rendszer működésében érintetteknek nem biztos, hogy érdekükben áll, hogy valaki a hozzájárulásuk – és ez a gyakorlatban egyben a tudomásuk és figyelmeztetésük – nélkül elkezdje hackelni a rendszert. Az alkalmazott fehér kalapos hackerek rendszerint a megfelelő óvintézkedések megtételét, és az érintett személyek figyelmeztetését követően, előre egyeztetett időpontban hajtják végre azokat a feladatokat, amelyek a rendszer megbízhatóságát, illetve biztonságát tesztelik. Viszont ezek hiányában egy rosszul kivitelezett etikus hack miatt leállhat maga a szolgáltatást nyújtó rendszer, vagy adatvesztés következhet be, és tekintettel az említett szervezetre, ez több millió embert is érinthet.  Például egy “próba” túlterheléses támadás miatt kiesett forgalomtól a szolgáltató nyereségtől eshet el. A kár keletkezése reális lehetőség, szándéktól függetlenül, hiszen még ha az jó is, a jogellenesen okozott kárt valakinek viselni kell, ebben az esetben ez a személy nem más, mint a hacker.

Másodsorban a kiberbiztonsági szakemberek, ha a rendszerben aminek felügyeletére alkalmazzák őket jogtalan behatolást, vagy egyéb hacking tevékenységet észlelnek, nem feltétlenül tudják megállapítani, illetve nem is vehetik biztosra az elkövető szándékát, azaz, hogy fekete vagy szürke kalapos kollegáik nyomaira bukkantak-e. Igaz azonban, hogy a jószándékú jogtalan hackerek döntő többségben jelentik tevékenységüket, viszont nem elképzelhetetlen, hogy egyesek csak felderítést végeznek, miközben  “szürke báránynak” álcázzák magukat. Ennek okán teljesen megalapozott, hogy hatóságokat értesítsék – többnyire belső szervezeti előírást is betartva – a nyomozás megkezdése érdekében.

Harmadrészt mindenképpen gazdasági szervezetek és magánszemélyek privát szférájába való behatolásról van szó, és ezt nem csak sértődöttség miatt veszik rossz néven az érintettek. Egy alkalmazott (fehér kalapos) etikus hacker tevékenysége során üzleti titkokat és egyéb olyan adatokat ismerhet meg, amelyekre a tulajdonosok rendezett jogviszony keretében adnak engedélyt, míg szürke kalapos kollégái ebből a szempontból komoly kockázatot jelentenek egy vállalkozásnak, hiszen a jó szándéknak látszó tettek bármikor tisztességtelen célokat is leplezhetnek.

Az említett okok következtében a büntetőtörvény világosan lefekteti azt a határt, ami a hackelés kriminalizálásához szükséges, azaz a jogszerű etikus hackelés (fehér kalap) fogalma annyival több, mint a jogszerűtlen de etikus hackeré (szürke kalap), ami már rávilágít a jogalapra, hiszen ebben az esetben megvan a megfelelő illetékesség, a felhatalmazás az informatikai védvonalak áttörésére annak érdekében, hogy feltérképezzék a kockázatokat.

Jó hack helyébe, mit várj? 

Nagyon fontos fogalmi különbség fekete kalapos társaihoz képest, hogy egy “jogtalan de etikus” hackernek a célja, hogy jelentse az illetékeseknek az informatikai rendszerben észlelt biztonsági kockázatokat, anélkül, hogy az információval visszaélne, vagy szándékosan kárt akarna okozni, így annak ellenére, hogy a BTK-ban meghatározott bűncselekményt valósítanak meg magatartásukkal, abban, hogy ezért jutalmat, vagy büntetést érdemelnek a hatóságok és a média egyes szereplői a legkevésbé sem jutottak közös nevezőre.

Ennek legfőbb oka az erősen vitatott “társadalomra veszélyesség” (Btk 4.§ (2)) fogalom használata volt, ami kifejezetten provokatív, és inkompetencia sugalló kifejezés lett a szürke kalapos hackerek tevékenységével kapcsolatban rengeteg ember számára. Az biztos, hogy ez egy nagyon absztrakt, tág fogalom, és a jogtudomány bővelkedik tartalmi magyarázatokkal, az viszont nem vitás, hogy minden olyan cselekmény, amely egy bűncselekmény védett jogi tárgyát sérti, vagy veszélyezteti kétségkívül stigmatizálható az idézett szó-párossal. A védett jogi tárgy, bűncselekmény törvényi tényállásnak a létjogosultságát adja, azaz a mit véd a törvény ezen bekezdésére nyújt választ.

Információs rendszer vagy adat megsértése (Btk. 423§) esetében a védett jogi tárgy “az információs rendszerek megfelelő működéséhez, továbbá a bennük tárolt, továbbított, feldolgozott adatok megbízhatóságához, hitelességéhez, illetve titokban tartásához fűződő érdek”. A szürke kalapos hackelés, ahogy azt korábban bemutattam, ezen érdekeket, azaz mások jogait sérti, illetve veszélyezteti, ezért tevékenységük általánosságban “veszélyes a társadalomra”.

A Telekom esetében az elsőfokú ítélet szerint, a szürke kalapos hacker az első jogosulatlan belépés után, miután a cég kérte, hogy ne folytassa tevékenységét, több mint 60 alkalommal még jogosulatlanul belépett a hálózatba és a cég munkatársainak belépési adatait, felhasználóneveit és jelszavait gyűjtötte.

Ebből kifolyólag a kérdés nem az, hogy veszélyes-e a társadalomra, hanem inkább hogy mennyire. Azt senki sem vitatja, hogy kevésbé, mint a “fekete kalapos” hackerek. A célzat és motívum (“a jó szándék”) pozitívan értékelhető, és ez a büntetés kiszabásánál nyer jelentős szerepet, ezért a szigorúan csak morális értelemben vett etikus hackelés jelenleg enyhítő körülményként nyerheti el jutalmát a hatóságok előtt.

A büntetőeljáráshoz többnyire szükséges egy feljelentés is, de felmerül a kérdés, hogy megéri-e a hatóságokhoz fordulni?

Az üzleti világban gyakori, hogy jutalmazzák a jó szándékú hackert, akár egy egyszeri összeggel, vagy álláslehetőséggel, ez egyébként a Telekom esetében is felmerült.  Azok a biztonsági hiányosságok és gyengeségek, amikre egy szürke kalapos hacker rá tud mutatni rossz kezekben súlyos pénzügyi kockázatot jelenthetnek az érdekeltnek, ezért nem biztos, hogy az állami hatalom keretében történő absztrakt igazság helyreállítása a pénzügyileg legracionálisabb döntés bármelyik félnek. A sértett jogai vitathatlanul sérülnek, azonban a cselekmény társadalomra veszélyességi szintjének kisebb jellegéből indokolttá válik, hogy a sértett jognyilatkozata alapján indulhasson meg a büntetőeljárás. Ettől függetlenül még a hatályos szabályozás szerint büntetendő a jogtalan etikus hackerek tevékenysége, bár lehet ez majd egyszer változni fog, jelenleg érdemes előbb engedélyt kérni, mint utólag bocsánatot.

Források
  1. 14 Most Alarming Cyber Security Statistics in 2019
    Rob Mardisalu – https://thebestvpn.com/cyber-security-statistics-2019/

  2. Advanced Threat Analytics – Microsoft 365 Security https://www.microsoft.com/en-us/enterprise-mobility-security/advanced-threat-analytics

  1. Aradi Roland, Etikus hacker barátom “A jófejség jogi határvidékén” rész vonatkozó szakmai információval szolgált

  2. Belovics Ervin, Nagy Ferenc, Tóth Mihály. Büntetőjog I. Általános Rész. Harmadik Hatályosított Kiadás. HVG-ORAC Lap- és Könyvkiadó Kft. 2015.

  3. Chandrika, V. “ETHICAL HACKING: TYPES OF ETHICAL HACKERS.”International Journal of Emerging Technology in Computer Science & Electronics, IJETCSE, 2014, www.ijetcse.com/wp-content/plugins/ijetcse/file/upload/docx/733ETHICAL-HACKING-TYPES-OF-ETHICAL-HACKERS-pdf.pdf

  4. Cybersecurity Jobs Report 2018-2021
    https://cybersecurityventures.com/jobs/

  5. “Economic Impact of Cybercrime— No Slowing Down.” McAfee.
    https://csis-prod.s3.amazonaws.com/s3fs-public/publication/economic-impact-cybercrime.pdf?kab1HywrewRzH17N9wuE24soo1IdhuHd&utm_source=Press&utm_campaign=bb9303ae70-EMAIL_CAMPAIGN_2018_02_21&utm_medium=email&utm_term=0_7623d157be-bb9303ae70-1940938

  6. Elítélték a Magyar Telekom Etikus Hekkerét
    Nak -https://index.hu/techtud/2019/07/11/felmentesert_fellebbez_a_tasz_az_etikus_hekker_ugyeben/

  7. Hibát Talált a Telekomnak, Aztán Egy Reggel Csöngettek a Rendőrök
    Joób Sándor – https://index.hu/belfold/2017/07/26/telekom_t-systems_biztonsagi_res_nni_etikus_hekker_rendorseg_nni_orizetbe_vetel/

  8. Karsai Krisztina. Kommentár a Büntető Törvénykönyvhöz.CompLex Kiadó, 2013.

  9. Szakértő: Nem Mindig Etikus Az Etikus Hacker HVG Zrt. https://hvg.hu/tudomany/20190131_magyar_telekom_tsystems_bkk_ejegyrendszer_etikus_hacker_quadron

  10. Szolnoki Törvényszék – Pénzbüntetésre Ítélték Első Fokon a Fiatal Hackert: Magyarország Bíróságai https://birosag.hu/aktualis-kozlemenyek/szolnoki-torvenyszek-penzbuntetesre-iteltek-elso-fokon-fiatal-hackert

  11. Szólt a Magyar Telekomnak Egy Biztonsági Résről, 8 Év Börtönt Kaphat
    Haász János – https://index.hu/techtud/2019/01/27/telekom_tasz_biztonsagi_hiba_etikus_hekker_per/

  12. Thomas, Georg, et al. “Issues of Implied Trust in Ethical Hacking.” Orbit.org, ORBIT, 2018, orbit-rri.org/ojs/index.php/orbit/article/view/77/69

  13. Warren Buffett Shares ‘number One Problem with Mankind’  https://tech.co/news/warren-buffett-problem-mankind-2017-05

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Ars Bonit a facebookon.

MEGOSZTÁS