A Facebook nem a tiéd
2017-06-15Életmódprogramot kommunikál a PS:PRovocative
2017-10-17Az etikus hekkelés hiányzó narratívája
Hangos a sajtó az önjelölt etikus hekkerek és a BKK–T-Systems közötti konfliktustól. Bőhm Kornél remek kríziskommunikációs cikkében bemutatta, hogyan működik a Lúdas Matyi-effektus, és miért nem érdemes a nagy cégeknek „áldozattá” tenniük az „önkéntes segítőiket”. Ennek kapcsán további szempontokra szeretném felhívni a figyelmet.
Egyetértünk Bőhm Kornéllal abban, hogy az etikushekker-botrány bővelkedik a melléfogásokban, a ki nem kényszerített hibákban. Abban is egyetértünk, hogy az érintettek hagyták, hogy olyan irányba haladjanak az események, hogy életbe lépjen a Lúdas Matyi-effektus, ami innentől kezdve rendkívül nehézzé teszi az eredményes kommunikációt.
A hiányzó láncszem az a bizonyos alternatív narratíva, amelyet Bőhm Kornél szerint is fel kellett volna építeni, és amelyhez most szempontokkal szeretnék szolgálni.
Egyszerűsítetten (!) megfogalmazva: etikus hekker az, aki ügyfelének megbízásából sérülékenységvizsgálatokat végez annak rendszerében, vagy aki a szabályok betartásával részt vesz egy vállalat hivatalos hibavadászprogramjában.
Az úgynevezett „önjelölt etikus hekkerek” viszont azt szeretnék, ha minden általuk végzett behatolási kísérletet és rendszerfeltörést jó szándékúnak gondolnának az érintettek, méghozzá a „becsszóra mondom, hogy csak jót akartam” mondat utólagos bemondására.
A hekker és az etikus hekker között tehát elsősorban a szándék a különbség, ami csak utólag kerül jelzésre. Sok hekker védekezhetne így. Feltör egy rendszert, miközben dokumentálja a tevékenységét. Előre megírja hibajelentését, majd a lebukás veszélyének jelére elküldi azt a cégnek. Ezután ártatlan kutyaszemekkel és széttárt kezekkel várja a rendőröket, és elmondja, hogy „csak a jó szándék vezérelte”.
A hekker azonban a tevékenysége során megismerhet olyan információkat is, amelyek nem tartoznak rá. Ezek lehetnek például szabadalmak, de akár személyes adatok is. A BKK-botrány kapcsán például valaki átadott a 24.hu szerkesztőségének egy személyes adatokat tartalmazó adatbázist, amely feltehetően a feltört rendszerből származik. A személyes adatokat tehát megismerhette a hekker, és megismerhette a 24.hu teljes szerkesztősége is.
Ez az „etikus hekker” – aki nem feltétlenül azonos a letartóztatott fiatalemberrel – tehát nem csupán feltörte a rendszert. Nem csak eljutott az adatbázisig, hanem lementette és kilopta azt a rendszerből. Ezután visszafejtette az elavult titkosítást, majd a dekódolt adatbázist átadta a média számára. Ennek a magatartásnak a lehetséges jogkövetkezményeit a 24.hu cikke jól összefoglalja.
Egy pillanatra felejtsük el az informatikát. Tegyük fel, hogy egy kedves tinédzser kilop egy értékes festményt a Nemzeti Múzeumból, és hazaviszi azt, de csak azért, hogy bemutassa a riasztórendszer gyengeségét. Nem csodálkozunk, ha rendőrök mennek ki a lakására, ugye?
A sérülékenység felderítése ugyanis nem jelenti azt, hogy a védett adatokat vagy tárgyakat tényleg el kellene lopni.
Ebben a kontextusban egyetlen dolgon lehet csodálkozni: miközben a remekül programozó tinédzserek pontosan tudják, hogy nem lehet hazavinni a festményt a Nemzeti Múzeumból, azt már nem fogják fel, hogy „etikus hekkerkedés” közben bűncselekményeket is elkövethetnek.
Hozzátehetném azt is, hogy a szándékkal egyébként az a baj, hogy menet közben megváltozhat. Átmehet-e az etikus hekkerkedés Robin Hood-i szabadságharcba, ha az önjelölt hekker olyan információkat tud meg, amelyeket véleménye szerint mindenképpen meg kell osztania a nyilvánossággal? Át. Motiválják-e a BKK rendszerét meghekkelő fiatalt politikai célok? Motiválhatják.
Sajnálatos, hogy miközben szimpátiatüntetés zajlik az utcán a hekker mellett, az érintettek ezt a narratívát nem mesélik el. Pedig árnyalná a képet.
Természetesen mindez nem jelenti azt, hogy a feltört rendszer gazdáinak nem kell megmagyarázniuk, hogyan következhetett be az esemény. A múzeumigazgatónak is meg kellene magyaráznia a riasztórendszer kijátszhatóságát.
Elvárható lenne az is, hogy az érintettek olyan pozitív képet mutassanak fel a jövőre nézve, amely megmutatja, hogy mit tesznek a rendszer kijavítása érdekében. Emellett útmutatást kellene nyújtaniuk arra nézve, hogyan különböztetik meg egymástól a barátinak tekintett sérülékenységvizsgálatokat és a betörési kísérleteket. A jó szándékkal közeledő tehetséges fiatalokat koordinált hibavadászprogram felé kellene terelni, míg a valódi hekkerek ellen természetesen védekezni szükséges.
Emellett szükség van ugyanennek a kérdésnek sokkal szélesebb körű megvitatására is. Új jogszabályok kellenek, szabályozó testület és etikai kódex, amely definiálja, hogy a sérülékenységek felderítésében milyen messzire lehet elmenni, és hogyan illik eljárnia egy etikus hekkernek. Mindennek az élére állhat még a T-Systems, ha nem szalasztja el a lehetőséget.