Jog és/vagy erkölcs
2017. augusztus 02. írta: Dr. Sándor Zsuzsa

Jog és/vagy erkölcs

Csaknem két hete háborog a jóérzésű közönség a BKK, a T-System és a „hekker” viadalán. A történet ismert: egy 18 éves fiatalember feltörte a BKK online jegyértékesítési rendszerét és 50 Ft-ért vásárolt egy tízezer forintos bérletet úgy, hogy az online rendszerben átírta a bérlet árát. Amint ezt megtette, perceken belül értesítette email-ben a BKK-t a rendszerhibáról.

bkkjegy-it_cafe.jpg

Kép: IT-cafe

A T-Systems feljelentést tett „ismeretlen tettes” ellen, a rendőrség kora reggel kivonult az „ismeretlenhez” és előállította. Először információs rendszer vagy adat megsértésének vétségével, később már ennek bűntettével gyanúsították meg.

Nem térnék most ki itt arra, hogy a BKK hányféle variációt adott elő az elmúlt napokban. A lényeg az, hogy folyamatosan mellébeszélt, kezdve attól, hogy a fiú rossz email címre küldte a levelét (nem igaz), egészen addig, hogy a sajtó a közzététellel „bűncselekményre csábított másokat” és különben is egy „politikai támadásról” van szó.

cyber-attack-autoszektor.jpg

Kép: Autoszektor

A T-Systems pedig azzal érvelt, hogy a „protokoll” szerint kötelessége volt megtennie a feljelentést.

Tisztázzuk, mit jelent egyáltalán e bűvös „információs rendszer vagy adat megsértése” nevű bűncselekmény? A Btk. így definiálja: „aki információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, … vétség miatt két évig terjedő szabadságvesztéssel büntetendő”. Közérthetőbben: feltör egy informatikai rendszert anélkül, hogy arra joga lenne.

De mitől vált a  gyanú vétségből hirtelen bűntetté? Az említett bűncselekménynek van egy olyan változata, amely szerint ha az, aki ilyen módon lépett be a rendszerbe és még az ott talált adatot is megváltoztatja (vagy törli, vagy hozzáférhetetlenné teszi), az már bűntettet követ el. A bűntettet már 3 évi szabadságvesztéssel fenyegeti a törvény. És mert a mi ifjú „hekkerünk” a bérlet árát (ami adat a rendszerben) átírta, vagyis megváltoztatta, a cselekménye – ha bűncselekmény – valóban bűntettnek és nem vétségnek minősül.

infoadat-police.jpg

Kép: Police

A rendőrség – miután egy köztörvényes bűntett miatt feljelentés érkezett hozzá – nem tehetett mást, mint amit tett: elrendelte a nyomozást. Ez esetben tehát ne őket hibáztassuk.

De nyugodtan hibáztathatjuk a T-Systemset. Nem jogi, hanem erkölcsi alapon. Ők ugyanis választhatták volna azt az utat, amelyen oly sok más cég jár hasonló esetekben. Nem terelik jogi útra a történteket, ellenkezőleg. Megköszönik a „hekker” fáradozását, sőt jutalmat, vagy akár állást is ajánlanak neki. Ahogyan ezt tette volna nyilatkozata szerint a német T-Systems is.

t-systems-hvg.jpg

Kép: HVG

Megjegyzem, a BKK-s botrány kapcsán számos egyéb feljelentés is született. Az országos feljelentő, Tényi István feljelentette a feljelentőt, mert az közérdekű bejelentő ellen tett feljelentést. Bár jogilag nem nevezhető feljelentésnek, de többen a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordultak a BKK felelőtlen adatkezelése miatt. Felmerült az is, hogy a BKK hűtlen kezelést követett el, amikor a közbeszerzés mellőzésével kiválasztott cégtől átvett egy havi 22-25 millió Ft díjért működtetett, ám ellenőrizetlen rendszert. Bár Tarlós főpolgármester megalapozott jogi álláspontja szerint „aki a BKK ellen hűtlen kezelés miatt feljelentést tett, örüljön, hogy ellene nem indul”.

tarlos-blikk.jpg

Tarlós István   Kép: Blikk

És most, hogy végigjártuk a jog rejtett zugait, vessünk egy pillantást a Btk. kezdő paragrafusaira. Mindjárt a 4.§-ra: „bűncselekmény az a …..cselekmény, amely veszélyes a társadalomra….”

Egyetlen kérdés van tehát: veszélyes-e a társadalomra az a „hekker”, aki kikutatja egy informatikai rendszer hibáját és erre azonnal felhívja a rendszer működtetőjének figyelmét? Mert ha nem – és bizony nem – akkor a büntető eljárást „társadalomra veszélyesség hiányában” mihamarabb meg kell szüntetni.

tarsadalomra_veszelyes-slideplayer_hu.jpg

Kép: SlidePlayer.hu

 (Vasárnapi Hírek)

 

A bejegyzés trackback címe:

https://jog-asz.blog.hu/api/trackback/id/tr8112711212

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Bambano 2017.08.03. 23:04:39

azért cincáljuk már meg ezt a törvény-idézetet...
a magam részéről irányadónak tekintenék (akkor is, ha semmi köze hozzá) egy másik jogszabályt, a szerzői és szomszédos jogokról szólót. abban ugyanis van egy kőkemény kitétel:
1999. évi LXXVI. törvény 95. par: "(1) A szerzői jog megsértésének következményeit kell alkalmazni a szerzői jog védelmére szolgáló hatásos műszaki intézkedés megkerülésére..."

itt a HATÁSOS szót emelném ki, és erősen sajnálom, hogy a btk emlegetett paragrafusából ez a szó hiányzik. feltörni csak hatásos védelemmel rendelkező rendszert lehet. ajtót betörni csak akkor lehet, ha kulcsra zárták. ha behajtották, és valaki nekitámaszkodva beesik rajta, az nem betörés.

a másik probléma, hogy a hekker nem tört be a bkk rendszerébe. kliens oldalon követte el az adatmódosítást egy olyan eszközön, ami nem bkk tulajdon, hanem a saját cucca. erre hogy erőlteti rá a bkk a jogszabályt? szerintem normális bírónál sehogy.

miután a társadalomból ez a csürhe már régen kitagadta a normális, nem elvakult fideszes, nem közbe-szerző embereket, így igen, a tette a társadalomra (értsd: a maradékra, az elvakult fideszesekre és közbe-szerzőkre) nézve igenis veszélyes. nagyon veszélyes, mert megmutatta, hogy a számítógép nem a pártközpontban kiadott utasítások szerint működik, és azt is megmutatta, hogy az internetezőket még mindig nem lehet behajtani az akolba. ez a kommunikációs ámokfutás szépen betakarta azt a kis pr előnyt, amit a vizes vébé hozhatott volna, így az időszak nettó bukta a kormánynak. ipi apacs szo..cs.

paragrafus 2017.08.04. 01:08:48

@Bambano:
Csak halkan jegyzem meg, hogy ez esethez a szerzői jogokról szóló törvénynek semmi köze.

paragrafus 2017.08.04. 01:20:29

10 000 dollárt kapott egy 10 éves kisgyerek, a Facebooktól, amiért biztonsági hibát fedezett fel az Instagram-ban
mashable.com/2016/05/03/facebook-instagram-hack/#6Kcdl3CeRGqD

paragrafus 2017.08.04. 01:22:50

Egy ötéves kisfiú kritikus biztonsági hibát talált a Microsoft új konzolján, a méregdrága Xbox One-on!
Kristoffer Von Hassel imádja az Xbox One-t, de főleg azok a játékok érdeklik, amiket édesapja játszik a lezárt Xbox Live fiókján. Mivel Kristoffer csak ötéves, lövöldöznie még nem szabad, szülei tudta nélkül viszont jó ideje hozzáfért a konzol előle elrejtett tartalmához. Állítása szerint eleinte félt, hogy mi lesz, ha kiderül a csíny, édesapja viszont, aki maga is az IT-szférában dolgozik, és történetesen pont biztonságtechnikával foglalkozik, nagyon büszke volt fiára, amikor megtudta: Kristoffer egy nagyon durva exploitot kihasználva oldotta fel a jelszót.

Nos, annyi történt, hogy Kristoffer egyszerűen rossz jelszót gépelt be, majd mikor a gép átdobta egy megerősítő ablakra, az újabb űrlapot nem karakterekkel, hanem szóközökkel töltötte ki, és lám, bejutott! A Microsoft felé jelentett hibát természetesen azonnal kijavították a programozók, hálából pedig Security Researcher, azaz hibakereső rangot adományoztak a kisfiúnak. A ranggal 50 dollár, négy játék, és egyéves Xbox Live Arany tagság járt. A hibát elkövető technikusokról nincs hír, valószínűleg olyan mélyre ásta őket az MS, hogy sosem találnak rájuk a keresőkutyák.
www.pcguru.hu/hirek/oteves-gyerek-torte-fel-az-xbox-one-t/27045

jagger3 · www.jagger.hu 2017.08.04. 05:49:29

A T-systemsnél ez zsigeri reflex. mindenéle ilyen akciót sugár andrás és a westel 450 csúfos feltörése (1993 körül) azonnali feljelentéssel jutalmaznak. Ez nálluk a "protokoll". ( az akkor még egyszerűen nem volt bűncselekmény, mert 1995 májustól tényállás a számírógépes csalás, és amilyen szamár volt a jogalkotó akkor még a kárt mint a tényállási elemet is bizonyítani kellet volna. Szerencsére a magyar bíróság akkoriban a "saccolt" (mondjuk lehetett benne valami... :) ) miliárdos kár bemondásával nem elégedett meg, így az ügy annó egy egyszerű orgazdaságban való bünsegédlettel (a provokátor telefonjának megcsinálása miatt, persze ő sem használta, így kárt sem okozott...) elrettentő 40 ezer forintos pénzbüntetéssel és némi bűnügyi költséggel ért véget a kecskeméti városi bíróságon 1998 ban,
A T-SS ystem akkor is folyamatos propagandát csinált, most is. Akkor is a tudott, külföldről ismert hibákkal bíró telefonrendszert hozta ide magyarországra olcsón, "okosba" és csodálkozott, hogy szarrá vált.
Semmit sem változott azóta, ahogy elnézem : osszehánytak valamit, majd amikor valami hekker kiszúr benne hibát és bukik a mű feljelentik.
Ez részükről egyszerű lenéző üzenet a társadalomnak: csak használni és fizetni, és nem ujjat húzni a multival.
Annó a 900 as rendszerük IMEI szám átírása miatti "szolgáltatási minőségrontással" is vádolták az elkövetőket, de amikor az ügyész meglátta a vádlott által a Pannon GSM-el kötött szerződését (ugyanis a másik szolgáltató megvette a programot amivel IMEI -t lehetett átírni, hogy a gyártók felé bizonyítsák hogy termékük minősége gyenge) egyszerűen kinevette a feljelentőt. (még vádat sem emelt az IMEI átirkálás miatt akkor...)
Forrás : az Ítélet és nyomozati iratok, személyes visszaemlékezések.

Pop40 2017.08.04. 07:18:12

Ja kérem, a fideszes maffiaállamban erősödéses jobbanteljesítés van, aki ebbe beleköp, az örüljön, ha a rendőrség viszi el, és nem a fekete autó.

Külön súlyosbító körülmény valamelyik fideszes csókos hibáját kiszűrni.

@paragrafus: Igen, jobb helyeken ez így működik.
Itthon meg valószínűleg a Tek rángatta volna ki bilincsbe verve az óvodából, mert biztos a Soros-jugend álruhás ügynöke. :-)

VaradiJanos 2017.08.04. 07:29:58

Na jól van, ganéarcok: több mint 700 bérletet loptak le a rendszerből a hülyegyerek "felhívása" után, a lopások miatt készült feljelentés és a rendőrség tanúként hallgatta ki az ügy egyetlen akkor ismert szereplőjét. Egy betörés szemtanújáért is kimehetnek. Nem bilincselték meg, nem rabosították, nincs letartóztatva. Mázlitok van, hogy éppen jobboldali kormány van, mert így höröghettek egy teljesen politikamentes ügyön is.

CyberPunK 2017.08.04. 07:39:14

Ezért rühellem a jogászokat. Le van írva, hogy mi minek minősül, idézi is, de azért ügyeskedik, meg belemagyaráz. Titeket kellene helyettesíteni MI-vel, de kurvagyorsan.

wartburg1963 2017.08.04. 07:53:22

Sajnos az etikus hekkerekre még a virtigli demokráciákban is rájár a rúd... :-)
index.hu/tech/2017/08/03/fbi_letartoztatas_wannacry_marcus_hutchins/

CyberPunK 2017.08.04. 08:00:19

@wartburg1963: Na ja, ahogy Robin Hood-ra is rájárna még most is. Etikus hekkerek elsődlegesen megbízásra dolgoznak, esetleg open test-en vesznek részt és nem csak úgy durr bele próbálgatják a rendszereket.

chrisred 2017.08.04. 08:09:56

@CyberPunK: Az is le van írva, amit a posztoló idézett. Ha nem érted egy rendszer működését, ne azon háborogj, hogy mások vették a fáradságot és megtanulták.

Bobby Newmark 2017.08.04. 08:34:31

@VaradiJanos: És az kinek a felelőssége, gyökérkém, hogy annyira okádék fos volt a rendszer, hogy hétszázan is bérletet lophattak belőle? MIUTÁN a csóka szólt nekik, hogy szar a rendszerük?

Bobby Newmark 2017.08.04. 08:44:44

És egyébként ezzel mi a fasz van?

"A tévedés
20. § (2) Nem büntethető, aki a büntetendő cselekményt abban a téves feltevésben követi el, hogy az a társadalomra nem veszélyes, és erre a feltevésre alapos oka van."

CyberPunK 2017.08.04. 08:50:00

@chrisred: De, értem. Ezért van az, hogy sokan felfüggesztettet kapnak ott, ahol a köznép akasztana.

De, akkor vitatkozzunk. Posztoló szerint a társadalomra nem veszélyes az a mentalitás, hogy ha valaki egy rendszert élesít és többen ráugranak és próbálkoznak a hibái felderítésére. Aztán majd benyőgi, hogy ő csak etikus hekker, azért próbálkozott.

Kérdésem, ugyanez kertkapuval áll-e?

nj2000 (törölt) 2017.08.04. 08:57:18

Nekem az nem fér bele az etikus hekkelésbe, hogy a kis ártatlan gyerek 14:49 jelzi a problémát a rossz, noreplay-os, e-mail címre, majd megismétli 15:10-kor a már jó e-mail címre, majd 16:31-kor pedig már kint is van a cikk az index-en. Amit még meg is kellett írni, közben még arra is volt idő, hogy a twitteren kutakodjunk. Hagyott időt a reakcióra? Nem. A cikk kérdésére a válasz: ha csak az üzemeltetőnek jelzi, akkor valóban nem. De itt nem ez a helyzet.

chrisred 2017.08.04. 09:24:53

@CyberPunK: Mármint ha valaki kipróbálgatja az utcában a kertajtókat, és amelyik nincs kulcsra zárva, ott szól a házigazdának, hogy vigyázzon jobban? Nem hinném, hogy utána rendőrök vinnék el. Bár az a helyzet, hogy a BKK önkormányzati cég, azaz közösségi tulajdonban van. Tehát amíg a kertesház tulajdonosa beszólhat a kéretlen nyitogatónak, hogy mi köze hozzá, addig a BKK veszteségét a befizetett adónkból fedezik, tehát a hacker vagyoni érdeke is az, hogy ne legyen meghekkelhető a bérletvásárló rendszer.

chrisred 2017.08.04. 09:30:14

@nj2000: Erre is csak azt tudom írni, hogy közérdek a rendszer biztonságos működése. Talán úgy érezte, hogy a nyilvánosságra hozással meggyorsítja a hiba elhárítását.

nj2000 (törölt) 2017.08.04. 10:12:59

@chrisred: Ne érezze úgy. Ha nyilvánosságra hozza, ráadásul a módszert is, azzal a rosszszándékú emberekek figyelmét is felkelti. Ráadásul 1,5 óra telt el hiba jelzése és a nyilvánossságra hozatal között. Az üzemeltetőknek esélyük sem volt reagálni.

Bobby Newmark 2017.08.04. 11:22:10

@CyberPunK: Ezzel a nikkel ne legyél már ekkora gyökér, hogy a virtuális és a valós dolgokat összemosod.

Vagy ha már ilyen balfasz példákat akarsz hozni, akkor ez az 50 forintos vásárlás körülbelül azzal egyenértékű, hogy bekiabálsz a kertkapun, hogy kéne neked az a fűnyíró, és a tulaj önszántából azonnal oda is adja neked.

A csóka NEM tört fel semmit, hanem küldött kliens oldalról egy kérelmet, amit szerver oldalon a világon SEMMI nem ellenőrzött, és végig is ment a rendszeren.

Bobby Newmark 2017.08.04. 11:25:07

@nj2000: Még mindig az üzemeltető felelősség az, hogy ne egy kalap fos rendszert kössön rá a netre. Azt is megtehette volna a csávó, hogy egyáltalán nem szól a BKKnak, hanem csak nyilvánosságra hozza. Vagy még azt sem, hanem eladja az infót, vagy elkezd a jegyekkel üzérkedni.

De persze, hibáztassuk a rossz hír hozóját, az mindig olyan menő. Küldjük vissza a fejét aranytálcán, vagy hogy szokás ezt.

nj2000 (törölt) 2017.08.04. 12:23:15

@Bobby Newmark: Én nem az üzemeltető felelősségéről beszélek. Hanem arról, hogy ilyen esetben mi az etikus magatartás. Hibás rendszerek mindig voltak és lesznek is. A kérdés az, hogy ilyen esetben mi követendő magatartás? Hát nem a sajtó értesítése.

Bobby Newmark 2017.08.04. 12:55:29

@nj2000: Tekintve hogy a morál és az etika legnagyobbrészt szubjektív, ebben a témában ne nagyon várd, hogy sikerül bárkit is meggyőznöd, vagy széleskörű konszenzust elérned.

Például én azon az állásponton vagyok, hogy ami éghető, az égjen is, az összes ilyen balfasz cég dögöljön meg ott, ahol van. Ha ez az ára annak, hogy valami normálisan működjön, akkor hajrá. Egy ilyen vízfejű cég csak abból ért, ha anyagi kára származik belőle. Látod, most is az első reakció az volt, hogy erőből leugatnak, hogy nincs itt semmi látnivaló. Az ilyennek méteres lófaszt a seggébe, az sem lenne nagy baj, ha csődik ütnék a hekkerek.

Szerintem ezügyben az etikus magatartás az lett volna, hogy egy ekkora hulladék fost nem élesítenek, főleg nem tesztelés nélkül, nopláne politikai nyomásra. Ha viszont már élesítették így, akkor MINDEN kár az ő hibájuk, még az egyértelműen rossz szándékú támadások okozta károk is.

Bobby Newmark 2017.08.04. 12:56:26

*csődig
Nemtom, ez a hiba hogy csúszhatott be. :P

illaim 2017.08.04. 13:07:53

@nj2000: Mi van gyökér? Rettegsz a nyilvánosságtól? Bizony a közpénzek felhasználását a nyilvánosság bevonásával lehet a leghatékonyabban ellenőrizni! Erre a bizonyíték a BKK reakciója, ami minősíthetetlen, aljas, öntelt, és gőgös volt!

Válasszunk · http://valasszunk.blog.hu 2017.08.04. 13:37:22

@nj2000: Sajnos ennél itt jóval bonyolultabb a helyzet. Az etikus hacker valóban nem a médiát, hanem az üzemeltetőt értesítené normális esetek *egy jelentős részében*. Csakhogy az üzemeltető értesítése számos esetben nem része a protokollnak. Ilyen pl. az az eset amikor botnetek vezérlő servereit lövi le a hacker, vele együtt a botnetet. Vagy amikor zsarolóvírus kapcsán cél a "master key" megszerzése. Vagy sok más olyan helyzet amikor a hacker cselekvésének a célja valamely jogszerűtlen támadás megállítása, és ezzel az áldozatok biztonságának, adatainak a védelme.

A fenti helyzetben miért nem bűncselekmény hackelni? Alapvetően 2 okból. A társadalomra való veszélyesség hiánya csak az egyik ok. A másik, hogy a jogszerűtlen támadás elhárításához szükséges és arányos lépés nem bűncselekmény, mert jogos védelem.

Amikortól a BKK tudott részben a jelszókezelés, részben a Direct Object Reference hiányosságokról (ezekre felhívták a figyelmüket, de kiderült maguk is jelezték a T-Systemsnek) és a veszélyes kereskedelmi platformot és az itt lévő szolgáltatást / terméket biztonságosnak, teszteltnek hazudta akkor annak lényeges tulajdonsága tekintetében megtévesztette a vásárlókat, valamint további problémaként ugye a személyes adatok kezelésére vonatkozó eljárások megszegésével is jelentős érdeksérelmet okozott a BKK. Innen a BKK nem a hibák bejelentésére váró, azokat orvosló, az ügyfelek adataira vigyázó cég, hanem a rosszhiszemű támadó szerepében volt.

De továbbmegyek: Az etikus hacker először az érintettnek jelent. De ennek a jelentésnek a célja, hogy időt adjon a rendszer befoltozására mielőtt az adatokat tömegesen vinnék el, ha a rendszer üzemeltetése erre hajlandó. Ha erre ésszerű időn belül nem hajlandó akkor ugye jön a nyilvánosságra hozatal.

A legkésőbbi ésszerű határidőt az határozza meg, mikor kerülnek az ügyfél adatok úgy veszélybe, hogy ott már mindenki tudja, hogy hogyan lehet hozzáférni. Ez a három már korábban ismert hiba, és az érintett hiba triviális jellege miatt azt jelentette: végig túl voltunk ezen a ponton. A BKK pedig a hibákat letagadva, mások adatait veszélyben tudva, rosszhiszeműen járt el.

Az Etikus hacker feladata általánosan megfogalmazva (Lásd botnetes, ransomwares példát) valamennyi potenciális áldozat adatait, vagyonát, stb. a tudomása szerint leghatékonyabb, a helyzet ismeretében általa jogszerűnek tartott módszerrel védeni, valamennyi támadótól, a támadóknak okozott kényelmetlenséget, arányos kárt is felvállalva.

Bambano 2017.08.04. 18:50:37

@paragrafus: szerintem is csak halkan jegyezed meg, sőt, inkább semennyire sem, hogy egy olyan szövegre, hogy "akkor is, ha semmi köze hozzá" miért válaszolod, hogy semmi köze hozzá.

Bambano 2017.08.04. 19:02:05

@nj2000: jobban járt, hogy a nyilvánossághoz fordult, így már nem tudják annyira egyszerűen meghurcolni.
kritikus rendszer üzemeltetésére nem másfél óra a reagálási idő, hanem 1-2 perc. ha én lettem volna a cucc üzemeltetője, amikor megkapom a levelet, egyszerűen felsétálok a gépterembe és kihúzom az ethernetet a szerverből. az okosok majd utána megmondják, hogy merre az arra.

a magam részéről semmit nem tudok felróni a "hekkernek", ami bármiféle komoly büntetést érdemelne.
süti beállítások módosítása