Mikor legális és mikor nem az a betörés? - Átértékelődött a hackerek szerepe (1. rész)

Etikus hacker - a kifejezés a magyarországi szóhasználatban egyfajta "fából vaskarika". A hazai internet hőskorában még fehéren-feketén lehetett ugyanis tudni: a cracker a "rosszfiú", aki nem törődik azzal, hogy milyen károkat okoz tevékenységével, élvezettel turkál a rendszerekben, megváltoztatja a weboldalakat, és nyilvánosságra hozza a birtokába került adatokat. Szemben a hackerrel, aki esetleg feltöri egy szoftver másolásvédelmét, vagy betör valamilyen számítógépes rendszerbe, de csak azért, hogy szakmai rátermettségét próbára tegye; ha pedig hibát észlel, nem az alvilágban értékesíti tudását, hanem szól az adott rendszer üzemeltetőjének. Mindazonáltal követ el olyan dolgokat, amelyek felbosszantják az üzleti élet szereplőit, vagy esetleg még jogilag is büntethetők, de célja nem a károkozás és végképp nem az anyagi haszonszerzés.

Leegyszerűsít a média
   
Aztán a cracker valahogy kikopott a szóhasználatból. Abban, hogy ez így alakult, alapvetően a hazai média tekinthető ludasnak, amely - a szakmától érkező ellenérvekre fittyet hányva, a jelentés-megkülönböztető szerep felett könnyedén átlépve - a "számítógépes betörő" fogalmát a hackerekre egyszerűsítette le.
    Így tehát ma már a hacker megjelölést alkalmazzák mindenkire, aki számítógépes rendszerek vagy hálózatok védelmét töri fel, vírust ír vagy kártevőkkel fertőzi meg mások számítógépét - függetlenül attól, hogy valamit ártó vagy jobbító szándékkal tesz-e. És a dolgok logikus folyományaként az egykor jelző nélküli hackerek szerepét az etikus hackerek vették át.
    A hackerek mára mélyen beágyazódtak az informatikai biztonság szinte valamennyi területére, így amikor valaki az etikus hackerek helyét keresi, megkerülhetetlenül fel kell tennie a tágabb szakterület legfontosabb kérdéseit. Így rögtön a legfontosabbat: melyek a tipikusan szenzitív adatok egy-egy gazdálkodó szervezet életében.

Kényes adatok nyomában

    A legérzékenyebbek az üzleti titok körébe tartozó információk - mondja Mayer Erika ügyvéd, internetjogi szakértő.
    Ide tartozhatnak a cég gazdálkodásával kapcsolatos nem nyilvános információk, a szerződések, az üzleti tárgyalások anyagai, az esetleges fejlesztések, tervek, stratégiai döntések és előkészítő anyagok. A másik lényeges kérdéskör a személyes adatoké. Természetesen mindenki esetében gondoskodni kell az egyes hozzáférési adatok - így különösen az elektronikus bankoláshoz szükséges felhasználónevek és jelszavak - biztonságáról is.
    A profitorientált szervezetek elsősorban az ipari kémkedéstől való vélt vagy valós félelmük miatt szeretnék a lehető legnagyobb biztonságban érezni az üzleti tevékenységükkel kapcsolatos adataikat, amelyek esetleges kiszivárgása a piaci előnyük elvesztésével fenyeget - teszi hozzá Vas Péter, a rendszerintegráción belül informatikai biztonsággal hangsúlyosan foglalkozó NetworKing Informatika Kft. ügyvezetője. A non-profit szervezetek esetében viszont főként a személyiségi jogi adatok védelme a cél, amelynek esetleges hanyag kezelése jogi kérdéseket vet fel.
    A védelmi szintet - cégmérettől függetlenül - az adott szervezetnél tárolt legkényesebb adatnak kell meghatároznia. Nyilván az optimumra kell törekedni, az adatok érzékenységéhez mérten a maximális biztonság elérése a cél, ugyanakkor felesleges ágyúval verébre lőni. Az optimumtól való legkisebb eltérés is anyagi veszteséget okoz(hat) az adott szervezetnek.
    Az adatok védelme mégsem pusztán financiális kérdés, nem szabad figyelmen kívül hagyni az emberi erőforrást, amely naivitásával hatalmas kockázatot jelenthet az adatok biztonságára, megkönnyítve a külső támadók dolgát.

Az első lépés a social engineering
   
    Az etikus biztonsági vizsgálat célja az informatikai rendszerekben rejlő biztonsági hiányosságok, rések feltárása, valamint megvalósítási javaslatok kidolgozása a gyenge pontok kiküszöbölése érdekében.
    Az első lépés a social engineering, vagyis annak vizsgálata, hogy az esetleges emberi közreműködés mennyiben lehet felelős az informatikai hálózat sebezhetőségéért.
    Ezt követi a külső behatolási teszt, majd a belső rendszer tesztje, amelynek során a belső hálózat felől kell feltérképezni a rendszert és annak sebezhetőségi pontjait. Az etikus biztonsági vizsgálatot a kiszolgálók és a hálózati erőforrások ellenőrzése zárja.

A megrendelőnek nem származhat kára
   
    Ez a tevékenység addig etikus, amíg az ügyfél tudtával és beleegyezésével, igényeinek megfelelően zajlik.
    A megrendelőnek nem származhat kára a szolgáltatásból kifolyólag, legyen szó akár adatvesztésről, akár anyagi jellegű kárról - hangsúlyozza Vas Péter.
    Mayer Erika szerint így ezen a területen "szürke zónáról" sem lehet beszélni, hiszen a Btk. értelmében mindenfajta jogosulatlan behatolás bűncselekménynek minősül.
    Azt, hogy be kell-e avatni a megrendelőt a "betörés" minden részletébe, vagy elegendő visszamenőlegesen tájékoztatni, a biztonsági vizsgálatról szóló megállapodásban kell rögzíteni.
    Általában azoknál a szervezeteknél, ahol van erre szabad humán erőforrásbeli kapacitás, szeretik nyomon követni a folyamatokat - magyarázza Vas Péter -, ahol pedig ez nem biztosított, inkább a végeredményre és a javaslatra korlátozzák figyelmüket. Mayer Erika ezt azzal egészíti ki, hogy a hackernek nyilván nem érdeke a szakmai tudását ilyen mértékben megosztani a megrendelővel. (folyt.)

 
 
 

Kapcsolódó cikkek

 

Belépés

 

 

Regisztráció