Törvényt sértett az „etikus hacker”, de ha nem jelent veszélyt a társadalomra, a bíróságnak fel kell mentenie

2019.02.04. · TECH

Az ügyészség közérdekű üzem információs rendszerének megsértésével vádolja, a bíróság akár nyolcéves börtönbüntetésre is ítélheti azt a húszas éveinek elején járó, programozónak tanuló főiskolást, aki még 2017-ben a cég egy nyilvánosan elérhető használati útmutatója alapján belépett a Magyar Telekom belső informatikai rendszerébe. És bár a biztonsági résről azonnal tájékoztatta a céget, a Telekom később feljelentést tett az ügyben.

De követett-e el vétséget vagy bűncselekményt a sajtóban az utóbbi időben „etikus hackerként” emlegetett férfi? Egyáltalán létezik-e olyan, hogy etikus hacker? Mit gondol az esetről ő maga, mit mondanak a hatályos magyar jogszabályok, a biztonságtechnikai szakértők és a főiskolás jogi képviseletét ellátó szervezet, a Társaság a Szabadságjogokért (TASZ)?

Hobbiszinten érdeklődött

A programozónak tanuló, de az informatikai biztonság iránt hobbiszinten érdeklődő főiskolás néhány évvel ezelőtt egy, a Magyar Telekom oldalán található nyilvános dokumentumban talált egy olyan DNS-kiszolgálót, amelynek IP-címére lefuttatott egy vizsgálatot, és így meglepően egyszerűen hozzájutott egy rendszergazdai jelszóhoz, amellyel hozzá tudott férni a Telekom teljes belső hálózatához.

A talált biztonsági résről egyből tájékoztatta a céget, de a Telekom munkatársai még akkor is gyanakvóan tekintettek rá, amikor saját költségén felutazva Budapestre, személyesen mutatta be, hogyan juthat be bárki a több millió ügyfélt kiszolgáló vállalat rendszerébe. Miután az esetleges további együttműködésről végül a férfi magas fizetésigénye miatt szakadtak meg a tárgyalások, otthon tovább kutakodott, és hamar egy újabb sebezhetőségre bukkant, amellyel „a teljes állami és lakossági mobil- és adatforgalomhoz hozzá lehetett férni, és a T-Systems által kiszolgált cégek szervereinek adatforgalmát is meg lehetett volna figyelni”. Még egy rendszergazdai jogosultsággal rendelkező tesztfelhasználót is sikerült létrehoznia a Telekom belső rendszerében, de miután észrevette, hogy ezt a cég szakemberei is kiszúrták, így a sebezhetőséget is észlelték, felhagyott a kísérletezgetéssel.

A Telekom ekkor tett feljelentést ismeretlen tettes ellen a rendszerét ért támadás miatt. Három hét múlva a Nemzeti Nyomozó Iroda (NNI) négy munkatársa jelent meg a férfi lakásán, házkutatási parancsot mutattak, és lefoglalták az összes informatikai eszközét, telefonját, pendrive-ját. Aztán az NNI budapesti székházába vitték, ahol több órán keresztül kihallgatták, rabosították, egy éjszakára a fogdán tartották, a kirendelt ügyvédjével is csak másnap találkozhatott.

A fiatal informatikust védő TASZ január végén számolt be arról, hogy az ügyészség már azzal vádolja a férfit, hogy a bűncselekményt közérdekű üzem ellen követte el, így már nyolc évig terjedő szabadságvesztés fenyegeti, miközben a Telekom maga cáfolta, hogy a behatolás megzavarta volna a működését – a cég nyilatkozata szerint a támadás az ügyfelek személyes adatait, valamint az ügyfelek kommunikációjáért felelős távközlési hálózatokat nem érintette. Igaz, a Jász-Nagykun-Szolnok Megyei Főügyészség közleménye szerint „a súlyosabb büntetéssel való fenyegetettséghez már a közérdekű üzem sérelmére történő elkövetés önmagában is elegendő”.

Mivel az etikus hackerek tevékenysége viszonylag új jelenség, még a jogi szabályozását sem folytatták le, így érthetően alakult ki heves vita a telekomos hacker ügyét boncolgatók között. Az ügytől független jogászok mellett a TASZ-t, egy kiberbiztonsággal foglalkozó céget és magát a névtelenséget kérő programozót is megkerestük, hogy kicsit tisztább legyen a kép: a törvény szemében mi számít etikus hackelésnek, mit mond a nemzetközi gyakorlat, és hol hibázhatott a jóindulatú behatoló?

Jogilag egyáltalán létezik etikus hackelés?

Az üggyel kapcsolatban kirobbant kommentháború egyik legtöbbet hangoztatott érve szerint etikus hackernek csak az hívhatja magát, akivel egy cég szerződést köt annak érdekében, hogy biztonsági réseket fedezzen fel a rendszerében.

A TASZ szerint, mivel nincs jogi definíciója annak, hogy mi számít etikus hackerkedésnek, ez legfeljebb terminológiai kifogás, nem érdemi kritika. „Valóban vannak cégek, amik alkalmaznak ez irányú végzettséggel rendelkező hackereket, de semmi sem írja elő, hogy csak így lehetne etikusan hackerkedni, mint ahogy azt sem, hogy – a mi ügyfelünkhöz hasonló, alkalmazásban nem álló – hackerek nem számíthatnának etikusnak” – mondta a Qubitnek Remport Ádám, a TASZ jogi szakértője.

A szervezet szerint a külföldön jelenleg is zajló terminológiai viták alapjául szolgáló kifejezések (white, grey és black hat, vagyis fehér-, szürke- és feketekalapos hackerek) a magyar nyilvánosságban gyakorlatilag ismeretlenek, így nincs általánosan elfogadott értelme az etikus hacker összetételnek sem. A TASZ ezért kidolgozott egy szempontrendszert, ami alapján behatárolható, hogy a szervezet szerint ki tekinthető etikus hackernek, és amely segítségével „az etikus hackerkedést elkövetni tervezők minél inkább be tudják biztosítani, hogy a cselekményük ne vonhasson maga után büntetőjogi következményeket”. Ahogy Remport fogalmazott:

„Mi tehát etikusság alatt a társadalomra veszélyesség hiányát értjük, akár szerződéses viszonyban végzi valaki a köz számára hasznos hackelést, akár nem.”

El kell dönteni, hogy mi a fontosabb: tengernyi személyes adat vagy a céges rendszer biztonsága

A vonatkozó törvény (Btk. 423.§) így szól: „Aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad, vétség miatt két évig terjedő szabadságvesztéssel büntetendő”. A kiegészítés szerint aki „az információs rendszer működését jogosulatlanul vagy jogosultsága kereteit megsértve akadályozza, vagy információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő”, ha pedig ez közérdekű üzem ellen történik, a büntetés két évtől nyolc évig terjedő szabadságvesztés.

Bár a büntetőjogi szabályozás nem terjed ki a hackerkedés etikusságára, a bíróságnak a törvény által tiltott magatartás mellett meg kell vizsgálnia azt, hogy materiális jogellenesség is fennáll-e – ez takarja a társadalomra való veszélyességet is. „Arról van szó, hogy egy konkrét esetben a bírónak joga van mindig megvizsgálni, hogy bár a törvényi tényállást kimerítette az illető, van-e olyan társadalmilag fontos, méltányolható, priorizálható érdek, ami miatt e cselekmény jogellenessége hiányzik, és így kimondható, hogy nem veszélyes a társadalomra. Ez igen ritkán fordul elő, hiszen a büntetőjogi tilalmak a legtöbb esetben olyanok, hogy a megsértésük magában hordozza a társadalomra veszélyességet szükségszerűen, de olykor, mondanám, hogy extrém körülmények között mégiscsak előállhat ilyen helyzet. Úgy gondoljuk, hogy az etikus hekkerkedés is ilyen” – mondta Karsai Krisztina, a Szegedi Tudományegyetem Állami- és Jogtudományi Karán működő Bűnügyi Tudományok Intézetének vezetője.

Büntetőjogi értelemben tehát elsősorban azt kell vizsgálnia a bíróságnak, hogy mihez fűződik nagyobb társadalmi érdek: jelentős mennyiségű személyes adat biztonságához vagy a biztonsági rések fenntartásához. „A bíró tehát vizsgálja ezt a kérdést, és a bizonyítékok alapján kialakult belső meggyőződése szerint megállapíthatja a társadalomra veszélyesség hiányát, és így felmentheti az illetőt” – mondta Karsai, hozzátéve, hogy ilyenkor az eredeti szándékot is figyelembe kell venni, tehát „ha például bizonyítást nyer, hogy egy ilyen esetben csak a menet közbeni lebukás tette »etikussá« a hekkerünket, ezt nem lehet büntetlenséggel honorálni”.

Végül pont az ügyészség vádemelése miatt menthetik fel a hackert

Ambrus István, az ELTE-ÁJK Büntetőjogi Tanszékének adjunktusa szerint a konkrét nyomozati iratok ismerete nélkül csak általános állásfoglalást lehet tenni, de az a TASZ és az érintett főügyészség közleménye szerint is megállapítható, hogy „a terhelt cselekménye - a tényállásszerűség szintjén - megvalósította az említett bűncselekmény valamely elkövetési alakzatát, legalábbis jogosulatlan belépésre a terhelt által is elismerten sor került”. Ez alapján pedig a Telekom jogszerűen járt el, amikor ismeretlen tettes ellen feljelentést tett.

Viszont Ambrus szerint épp az ügyészség vádemelése lehet az a mozzanat az ügyben, ami végül a férfi felmentéséig vezethet, ugyanis az új büntetőeljárási törvény szerint a bíróság feladata az igazságszolgáltatás, és az csak akkor tudja mérlegelni a törvény szerinti bűncselekmény társadalomra való veszélyességét, ha az ügyészség vádat emel. „A vádemelés nyomán lefolytatandó büntetőeljárás során beszerzett bizonyítékok alapján kerülhet ugyanis abba a helyzetbe, hogy – egyebek mellett – a cselekmény társdalomra veszélyességének megléte vagy annak hiánya kérdésében állást foglalhasson. Ebben a körben teheti vizsgálat tárgyává például azt is, hogy a terhelt eljárása tekinthető-e közérdekű bejelentésnek” – mondta Ambrus.

Még a kiberbiztonsági szakemberek között sincs egyetértés

Az ügyben sajtóközleményt is kiadó Quadron Kibervédelmi Kft. a Qubit kérésére bővebben is kifejtette álláspontját, amely szerint etikus hackelésről kizárólag olyan esetben lehet beszélni, amikor egy informatikai rendszer tulajdonosa megbízza a behatolót a rendszer támadására, tesztelésére, jogosultságok megszerzésére. „Minden olyan esetben, amikor a hekkernek nincs felhatalmazása, hanem saját elhatározásból programhibákat keres, kihasznál, biztonsági intézkedéseket kijátszik, stb., akkor nem etikus. Még akkor sem, ha erről utólag, vagy közben értesíti az adott rendszer tulajdonosát. Miért baj, hogy ezt csak utólag teszi meg? Azért, mert a felhatalmazás természetesen nem csak egy papír aláfirkantásáról szól, hanem adott esetben arról is, hogy a megbízó is felkészült arra, hogy meg fogják támadni, valami probléma lehet, akár leállhat egy rendszer vagy szolgáltatás, vagy adatvesztés következik be. Ha erről utólag szól valaki, akkor lehet, hogy már késő” – írták.

Az etikushacker-képzést évek óta kínáló információbiztonsági cég, a Kürt Zrt. alapító elnöke, Kürti Sándor viszont egy interjúban azt mondta, hogy bár egyértelműen törvényt sértett a Telekom rendszerébe behatoló hacker, a bíróságnak figyelembe kell vennie azt, hogy hány ember biztonságát védte meg a tettével. A Széchenyi-díjas Kürti azt is állította, hogy ha felkérnék szakértőnek a tárgyaláshoz, szívesen kiállna hivatalosan is a fiatal programozó mellett.

Jól indult az együttműködés, de a cég nem vette komolyan a problémát

Az anonimitást kérő vádlott a Qubitnek elmesélte, hogy az első bejelentő emailje után többször is jelezte a Telekomnak a jóindulatú szándékát, és a céggel való esetleges munkakapcsolatról szóló tárgyalások is jól indultak. „Felmerült két opció részükről, az egyik a foglalkoztatás, a másik pedig megbízásos alapú munka, a tárgyalás során végül abban maradtunk, hogy küldjek árajánlatot, és nézzük meg, meddig lehetne eljutni ezen az útvonalon. Úgy tűnt, elégedettek a felfedezéssel, és egy pozitív együttműködés kezdődött el, ezért folytattam a keresést. Rövid időn belül az árajánlatomat is elküldtem, erre egy rövid válasz is jött, hogy ez első körben többnek tűnik a piaci sztenderdnél. További levelet innentől nem kaptam ezzel kapcsolatosan”.

Arra a kérdésre, hogy az először talált biztonsági rés után a későbbieket miért nem jelezte a Telekom felé, azt válaszolta, hogy „a második hiba az első sérülékenységre épült, amely a korábbi feltételezések bizonyítását szolgálta, hogy mi az amit még el lehetett volna érni. Mivel ez már több időt vett igénybe ahhoz, hogy tudjam jelenteni, konkrét dolgokra lett volna szükség, amiről szintén tudok pontosabban írni a részükre. Egy-két üzenetet hagytam kommentként, amely IT-s körökben mozgó személyek részére nyilvánvaló utalás arra, hogy nem volt célom rejtőzködni sem, végig nyilvános IP-címmel, ráadásul mint előfizetőjük, a saját nevemen lévő előfizetésekről csináltam a vizsgálatokat. Időközben feltűnt, hogy dolgoznak a hibán, és ekkor egyébként felvettem a kapcsolatot egy szakemberükkel, mivel ezt is jelezni akartam – függetlenül attól, hogy ezt is díjmentesen csinálom, hiszen szerződés nélkül nem is vártam semmilyen jutalmat”.

A TASZ részéről Remport Ádám hozzátette, hogy „a visszatérésének az is az oka volt, hogy azt érezte, a Telekom nem veszi komolyan a bejelentést, nem orvosolja a hibát – amiben egyébként igaza is volt. Amikor észrevette, hogy a Telekom szakemberei elkezdték elhárítani a biztonsági hibákat, befejezte a rendszer további feltárását és többet nem is lépett vissza”. A jogvédő szervezet szerint a Telekom feljelentésével az az egyik legnagyobb probléma, hogy abból nem derül ki, hogy a férfi már korábban felhívta a Telekom figyelmét a hibára, és hogy a Telekom elmulasztotta a hiba kijavítását. „A feljelentést ismeretlen tettes ellen tették, és más módon sem utaltak arra, hogy tudomásuk lenne a behatoló személyéről. Az ügynek tehát csak később vált részévé a Telekom fent idézett narratívája, miszerint ügyfelünk »túllépte az etikus hackelés kereteit«” – mondta Remport.

A Magyar Telekomot is megkerestük, de eddig nem kaptunk választ kérdéseinkre – amint ez megtörténik, frissítjük a cikket.