Berta Sándor

Informatikusok egyik lábbal a börtönben

A helyi törvénykönyvben csak hackerparagrafusnak nevezett 202.§ c pontjának módosítása ellen tiltakozik a német informatikai szakemberek szervezete.

Az Informatikai Társaság (GI) szerint a törvénymódosítás után gyakorlatilag minden informatikus fél lábbal a börtönben érezheti majd magát. Ennek oka a tervezet elég érdekes szövege: az előterjesztés értelmében akár egy évig terjedő börtönbüntetéssel vagy pénzbüntetéssel sújtható és bűncselekményt követ el az a személy, aki jelszavakat és biztonsági hiányosságokat felderítő vagy azokhoz hozzáférést nyújtó programokat fejleszt, beszerez, elad vagy terjeszt.

Nos, mindez azt jelenti, hogy akár egy egyszerű ingyenes, otthoni felhasználók számára készült jelszófejtő szoftver készítőit és alkalmazóit egyaránt megbüntethetik majd. "De hasonló sorsra juthatnak a magánszemélyek, cégek vagy éppen állami hivatalok megbízásából az informatikai rendszerek biztonsági réseit felkutató emberek és vállalatok is. Ezekre a programokra és folyamatokra viszont pont a támadások megelőzése érdekében szükség van, ráadásul a legtöbb cég rendszeresen ellenőrizteti a rendszereit. Szintén a vádlottak padjára kerülhet egy informatikai professzor, aki a diákjaival a különböző operációs rendszerek és programok támadhatóságát vizsgálja.

Gyakorlatilag lehetetlen lesz tehát kideríteni egy adott program hiányosságait vagy tesztelni a hibajavításait, mert egy ilyen alkalmazás kifejlesztése, használata, terjesztése, eladása vagy másnak való elküldése például e-mailben máris bűncselekménynek fog minősülni" - nyilatkozta Hartmut Pohl, a GI Adatvédelmi és IT-biztonsági Munkacsoprotjának szóvivője.

A szervezet éppen ezért arra kérte a Bundesratot, hogy semmiképpen se fogadja el jelenlegi formájában a törvénymódosítást. "Eddig számos esetben kértük, sőt követeltük az előterjesztés módosítását, felhívtuk a jogalkotók figyelmét a szakértői meghallgatásokon a problémára, a veszélyekre, azonban úgy tűnik, sikertelenül" - közölte Alexander Rossnagl, a Kasseli Egyetem jogásza.

A szakember szerint két megoldás van: vagy törölni kell az egész beadványt, vagy konkrétan meg kell nevezni, hogy mely esetekben és milyen cselekmények elkövetésért jár a büntetés. Például, ha valaki azért készít egy jelszófejtő programot, hogy annak segítségével hozzáférhessen egy cég számítógépeiben tárolt adatokhoz, akkor azt büntessék meg, de ne mindenkit válogatás nélkül. Rossnagl hangsúlyozta: különbséget kell tenni a kifejezetten bűnözői célokra készített és a biztonsági célú vagy magánhasználatra fejlesztett szoftverek között.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • PhoeniX88 #31
    "ha valaki azért készít egy jelszófejtő programot, hogy annak segítségével hozzáférhessen egy cég számítógépeiben tárolt adatokhoz, akkor azt büntessék meg, de ne mindenkit válogatás nélkül. Rossnagl hangsúlyozta: különbséget kell tenni a kifejezetten bűnözői célokra készített és a biztonsági célú vagy magánhasználatra fejlesztett szoftverek között." -- erről nekem egy igen érdekes dolog jut eszebe. Amikor elkészítenek egy programot, nagy valószínűséggel nem fogják az összes felhasználási módját figyelembe venni, hátha káros - hiszen talán pont olyan funkciója a fontos benne amivel ártani is lehet[a port scan nagyon is jó példa lehet]. De kérdem én, az atommaghasadással kapcsolatban akkor meg kéne büntetni a feltalálókat, mert nem mondták meg milyen célra találták ki? Az nem rajtuk múlott, hanem a felhasználókon -legyen az atombomba, v nukláris erőmű...

    Mindenestre ez a javaslat így elég nagy marhaság
  • Dj Faustus #30
    ""A fekete lőpor (a TATP, a nitroglicerin) receptje bárhol elérhető, a hozzá való dolgok kvázi könnyedén elérhetőek. De mindaddig nincs probléma, amíg ezt valaki rossz célra használja fel."
    Ezt meg mintha epp most szeretnek megvaltoztatni."

    Aki bombát akar készíteni - bármilyen célzattal - az könnyedén rájöhet bombakészítő oldal nélkül is. Könyvtár, vegyészeti szakirodalom, stb...
  • eax #29
    "A lényeg, hogy bűncselekményt/kárt kell más kárára okoznia annak, aki betör/feltör egy számítástechnikai rendszert. Ha otthon magadnak/cégnél biztosított tesztként végzed el, akkor nem követsz el károkozást/bűncselekményt (nem is történik meg feljelentés, stb...)."
    Remelem, hogy igazad van.

    "ELMÉLETILEG feltörhető minden algoritmus"
    #25-ben olvashato a bizonyitas, hogy az OTP miert feltorhetetlen elmeletileg (=vegtelen eroforrasokkal, es vegtelen idovel rendelkezo tamadot feltetelezve) is.

    A harmadik felvetésedbe van a megoldás: amíg nincs károkozás/bűncselekmény addig nincs ok pánikra."
    Vagy amig nincs valamilyen nevtelen joakarod, aki kiprobalja, hatha.

    "A fekete lőpor (a TATP, a nitroglicerin) receptje bárhol elérhető, a hozzá való dolgok kvázi könnyedén elérhetőek. De mindaddig nincs probléma, amíg ezt valaki rossz célra használja fel."
    Ezt meg mintha epp most szeretnek megvaltoztatni.
  • Dj Faustus #28
    "Szerintem is igy lenne logikus, de a torveny szovegebol nekem az ellenkezoje jon le."
    A lényeg, hogy bűncselekményt/kárt kell más kárára okoznia annak, aki betör/feltör egy számítástechnikai rendszert. Ha otthon magadnak/cégnél biztosított tesztként végzed el, akkor nem követsz el károkozást/bűncselekményt (nem is történik meg feljelentés, stb...).

    "Viszont ez mar az algoritmus biztonsagan kivul eso problemakor."
    ELMÉLETILEG feltörhető minden algoritmus. Csak mivel a GYAKORLATBAN nincsenek meg a feltételek (idő, pénz, emberi és gépi erőforrás, titkosított adat hosszú távú érvényessége) ezért alkalmaznak emberi megoldásokat.

    "Egyreszt mert elobb jelent meg, mint a torveny, masreszt az irok kimondottan figyeltek arra, hogy (rosszra) hasznalhato informaciot meg veletlenul se kozoljenek, harmadreszt meg gondolom ilyesmi ellen hivatalbol nem kezdenek eljarast, csak ha valaki triggereli, de mint emlitettem, nem vagyok jogasz."
    1. Vannak később megjelent könyvek, illetve az előbb említett könyv elérhető könyvtárból is.
    2. A harmadik felvetésedbe van a megoldás: amíg nincs károkozás/bűncselekmény addig nincs ok pánikra. A fekete lőpor (a TATP, a nitroglicerin) receptje bárhol elérhető, a hozzá való dolgok kvázi könnyedén elérhetőek. De mindaddig nincs probléma, amíg ezt valaki rossz célra használja fel.
  • eax #27
    "Tök mindegy hogy milyen titkosítási metódust használ (oTP-t, RSA-t, stb...) feltörhető. Ha nem brute force, akkor social engineering.
    Ha az se, akkor meg egyéb piszkos trükkök."

    Viszont ez mar az algoritmus biztonsagan kivul eso problemakor.

    "megjegyzem ez a mű sem került tiltólistára, mégis a vírusokról szól. Akkor hogy is van ez?"
    Egyreszt mert elobb jelent meg, mint a torveny, masreszt az irok kimondottan figyeltek arra, hogy (rosszra) hasznalhato informaciot meg veletlenul se kozoljenek, harmadreszt meg gondolom ilyesmi ellen hivatalbol nem kezdenek eljarast, csak ha valaki triggereli, de mint emlitettem, nem vagyok jogasz.

    "P. Józsika leszúrja K. Juliskát egy T. Tamás késes által sorozatban készített konyhakéssel. T. Tamás büntethető? Nem."
    Szerintem is igy lenne logikus, de a torveny szovegebol nekem az ellenkezoje jon le.

    "Működik az, csak kevesen élnek vele."
    Eddig nekem (es igazabol barkinek, akit ismerek) sokbol 1-2 aranyt produkaltak, de hogy egy konkret peldat is irjak: itt.

    "Azokra meg az utólagos hatása van."
    Marmint?

    "Viszont megvan a választás szabadsága. Ha van egy szar program, akkor megtehetem, hogy nem azt a programot fogom választani
    Ha tudsz rola, akkor igen.
  • Dj Faustus #26
    Tök mindegy hogy milyen titkosítási metódust használ (oTP-t, RSA-t, stb...) feltörhető. Ha nem brute force, akkor social engineering.
    Ha az se, akkor meg egyéb piszkos trükkök.

    "es a kulcsot csak egyszer hasznalhatjak, tehat a tovabbitando P hosszusagaval megegyezo K-t elobb el kell juttatni biztonsagban a masik vegponthoz"
    És itt bukott el az egész.

    "Viszont a 300/E. § (2) szinte szo szerint ezt tiltja (kiveve talan a " buncselekmeny elkovetese celjabol" reszt, de nem hiszem, hogy el tudnam magyarazni a birosagnak, hogy az hazkutatas soran talalt virust csak azert irtam, hogy tanulmanyozni tudjam a kulonbozo polimorf engine-ek detektalasi lehetosegeit."
    Ha oktatási célzattal írtad a vírust, akkor valószínűsítem tisztában vagy azzal is, hogy ezzel kár is okozható. Tehát ésszel élsz vele, nem osztod meg összevissza mindenféle jöttmentnek, a tesztgépet szeparálod a hálózattól, stb - mert tudod, hogy a következményei beláthatatlanok (lásd az 1989-es hackertalálkozón hozott "ajánlásokat" [Forrás: Kis János, Szegedi Imre: Új víruslélektan. Cédrus, 1991 - megjegyzem ez a mű sem került tiltólistára, mégis a vírusokról szól. Akkor hogy is van ez?]).
    Másrészt például elérhető, mi a DOS, mi a DDOS, mi a Ping of Death, hogyan hozhatóak létre, mégse büntetik meg a Wikipediát, az egyetemi oktatót. Miért? Mert ők nem követnek el bűncselekményt.
    P. Józsika leszúrja K. Juliskát egy T. Tamás késes által sorozatban készített konyhakéssel. T. Tamás büntethető? Nem.

    "az NHH ilyen esetekben igencsak alacsony hatekonysaggal mukodik"
    Működik az, csak kevesen élnek vele. Hogy utólagos dolog - előzetesen nem lehet feljelenteni (a Kiskopika KFT spammelni fog ;) )

    "Egyebkent ha nem csak a feljelentes a celod, hanem a problema megoldasa is, akkor inkabb a szolgaltato abuse cimen, vagy a HUN-CERT-nel jelentsd"
    Meg DNSBL listákra való felíratás, stb... Ismerem őket.

    "a penzert, szervezetten dolgozo profikkal osszevetve minimalis kart okoznak, rajuk pedig nincs preventiv hatasa"
    Azokra meg az utólagos hatása van.

    "Nem feltetlenul, egy letezo virus egy letezo peldanya pl. elengedhetetlen ahhoz, hogy az antivirus sw-ek biztosan felismerjek"
    De feltétlenül. Ha a vírust egy tiszta gépre ráereszted és nincs megfelelő vírusvédelem, akkor az kárt okozhat.
    Amikor az AV céget értesíted, akkor pont segíted a vírus elleni harcot, tehát ez esetben a "számítástechnikai rendszerbe való belépést lehetővé tevő adatot" "hozzáférhetővé tenni" nem okoz kárt (sőt maga a vírus nem lesz "hozzáférhető" az elkövetők számára). (Lásd a konyhakést használhatod répapucolásra, de emberölésre is. Az előbbi haszonnal jár, az utóbbi bűncselekmény)

    "Szinte az osszes EULA-ban benne van, hogy a program hasznalatabol eredo karokert felelosseget nem vallalnak."
    Viszont megvan a választás szabadsága. Ha van egy szar program, akkor megtehetem, hogy nem azt a programot fogom választani, hanem a konkurencia termékét.
  • eax #25
    "Olvass el egy kriptográfia történelmével foglalkozó művet. Feltörhetetlennek számító titkosításokat előbb-utóbb feltörtek. Ha nem ment egyik módon, ment a másikon."
    Akkor bizonyitsuk:
    Az OTP (One Time Pad) mukodesi elve, hogy veszunk a P nyilt szoveggel azonos hosszusagu, kriptografiailag megbizhatoan veletlen K kulcsot, majd szepen felosztjuk tetszoleges, de egyenlo hosszusagu blokkokra. Ezutan veszunk egy ketvaltozos muveletet, ami a blokkokkal egyutt kommutativ (Abel-fele) csoportot alkot, tipikusan ilyen pl. a modulo-osszeadas, vagy pl. a bitenkenti XOR, mi nezzuk az utobbit. A C kriptoszoveg pedig igy kepzodik: Ci=Pi*Ki, a * esetunkben a bitenkenti XOR-t jeloli.
    Fontos megjegyezni, hogy a XOR muvelet, ha az egyik bemenete egyenletes eloszlasu veletlen, ezt a tulajdonsagat a kimeneten is tartani fogja (ezt most hadd ne bizonyitsam).
    Csak nyilt szoveg alapu tamadast feltetelezve a tamadonak van egy C sorozata, es semmi mas, ebbol pedig a K ismerete nelkul semmilyen kovetkeztetest nem tud levonni a P sorozatra, pontosan azert, mert az egyik bemenet veletlen (szemleletesen: egy bitet nezve ugyanakkora a valoszinusege, hogy azert 1, mert P-ben is 1 volt, es akkor K ezen bitje 0 vagy K itt 1 volt, es akkor P-nek kell nullanak lennie, es ez minden bitre kulon-kulon igaz, mert a veletlen sorozat bitjei is fuggetlenek egymastol).
    Amiert ezt ritkan hasznaljak a gyakorlatban: tokeletes veletlen bitsorozat eloallitasa nem egyszeru, es a kulcsot csak egyszer hasznalhatjak, tehat a tovabbitando P hosszusagaval megegyezo K-t elobb el kell juttatni biztonsagban a masik vegponthoz.

    "1. Van preventív hatása"
    A tizeneves h.lyegyerekek ellen lehet, de ok a penzert, szervezetten dolgozo profikkal osszevetve minimalis kart okoznak, rajuk pedig nincs preventiv hatasa, a 300/E. § (2)-nek legalabbis.

    "Ha nincsenek megfelelő védelmi eszközök (pénz/hozzáértés hiánya)"...
    Akkor ki kell huzni a dugot. Aki bizonyos minimalis felteteleket nem tud biztositani a sajat vedelme erdekeben, az nem csak sajat magat, de mindenki mast is veszelybe sodor, amire pedig senkinek sincs szuksege. Es ez csak egy ici-picivel jobb annal, mint amikor az illeto szantszandekkal valami aljassagot kovet el.

    "ha egy magyar cég spamekkel bomáz, akkor jogosan jelentem fel őket az NHH-nál - mert megtehetem, annak ellenére, hogy a spamszűröm a többit megfogja"
    Ez mar az utolagos csunyannezes kategoria, a torveny direktben nem oldja meg a problemat, kulonben nem lenne 1 db spam sem.
    (Egyebkent ha nem csak a feljelentes a celod, hanem a problema megoldasa is, akkor inkabb a szolgaltato abuse cimen, vagy a HUN-CERT-nel jelentsd, az NHH ilyen esetekben igencsak alacsony hatekonysaggal mukodik.)

    "Ha te valóban fejleszted, akkor te neked tudni kell, mire használhatják. ;)"
    Ebben az iparagban az a szep, hogy szinte minden hasznalhato jora es rosszra is. Pl. exploit scanner. Hasznalhato egyreszt arra, hogy a rg egy mozdulattal lassa, hogy a ceg 13000 gepe kozul melyik sebezheto egy bizonyos serulekenyseggel szemben (ami mondjuk hw konfiguracio fuggo, es kiprobalas nelkul nem trivialis eldonteni), es hasznalhato arra is, hogy K. Geza, fiatalkoru elkoveto raengedi egy random cimtartomanyra, es mar van is egy listaja a sebezheto gepekrol (ami az illegalis cselekmenyek elkoveteset nyilvanvaloan nagyban megkonnyiti). Utolag hogy bizonyitod, hogy te ezt az 1. celra gyartottad, a 2. meg sem fordult a fejedben?

    "Egy vírust általában szándékos károkozásra használnak. ;))"
    Nem feltetlenul, egy letezo virus egy letezo peldanya pl. elengedhetetlen ahhoz, hogy az antivirus sw-ek biztosan felismerjek, pl. en is szoktam rendszeresen ilyen formaban "számítástechnikai rendszerbe való belépést lehetővé tevő adatot" "hozzaferhetove tenni" az AV-vendorok reszere.
    Masreszt meg leteznek PoC virusok is.

    "Már megbocsáss, de egy lópikulát."
    Tapasztalat.

    "Előadást tarthatnál a vírusokról is (szoktak is, sőt könyveket is adnak ki róla). Csak egy szakmai közönség nem feltétlenül fogja ezt kihasználni (sőt lehet, hogy pont ezt a tudást használja fel védelemként)."
    Igen, epp errol van szo, hogy hasznalhato vedelemre is. Viszont a 300/E. § (2) szinte szo szerint ezt tiltja (kiveve talan a " buncselekmeny elkovetese celjabol" reszt, de nem hiszem, hogy el tudnam magyarazni a birosagnak, hogy az hazkutatas soran talalt virust csak azert irtam, hogy tanulmanyozni tudjam a kulonbozo polimorf engine-ek detektalasi lehetosegeit.

    "Ha egy A cég által gyengén megírt program biztonsági hibájából egy B cég kárt szenved, akkor a B cégnek nincs joga/módja arra, hogy a kárt megtérítsék?
    Ha egy cég hibásan ír meg egy szoftvert, akkor nekik áll feljebb (inkább javítanák ki a hibát minél előbb)? Hol élnek ezek?"

    Szinte az osszes EULA-ban benne van, hogy a program hasznalatabol eredo karokert felelosseget nem vallalnak.
  • Dj Faustus #24
    "Tevedes, lasd pl. OTP."
    Olvass el egy kriptográfia történelmével foglalkozó művet. Feltörhetetlennek számító titkosításokat előbb-utóbb feltörtek. Ha nem ment egyik módon, ment a másikon.
    Az már más kérdés, hogy a feltört információ a feltörés időpillanatában érvényét vesztette-e.

    "Ja, es a torvenyek nem vedenek meg senkit semmi ellen, az a tuzfalak, es mas egyeb technikai vedelmi eszkozok feladata."
    1. Van preventív hatása: ha van jóravaló esze egy kis tizenéves "hekker akarok lenni és feltörni az iskola hálózatát"-jellegű kölöknek akkor a törvények megértethetik (figyelem! jóravaló észt feltételeztem az előbb említett fiatal emberben!) vele hogy amit el akar követni, az nem éppen jó dolog.
    2. Ha nincsenek megfelelő védelmi eszközök (pénz/hozzáértés hiánya), akkor is legyen valami eszköz a megtámadott delikvens keze ügyében (lásd például: ha egy magyar cég spamekkel bomáz, akkor jogosan jelentem fel őket az NHH-nál - mert megtehetem, annak ellenére, hogy a spamszűröm a többit megfogja).

    "Noigen, de ha en fejlesztem, es fogalmam sincs, hogy mire fogjak hasznalni?"
    Ha te valóban fejleszted, akkor te neked tudni kell, mire használhatják. ;) Egy vírust általában szándékos károkozásra használnak. ;))

    "Vagy ha tartok egy eloadast mondjuk a heap overflow exploitok lelkivilagarol?"
    Előadást tarthatnál a vírusokról is (szoktak is, sőt könyveket is adnak ki róla). Csak egy szakmai közönség nem feltétlenül fogja ezt kihasználni (sőt lehet, hogy pont ezt a tudást használja fel védelemként).
    De ha ezt kihasználod (például vírust írsz, ÉS terjesztesz azzal a célzattal, hogy másik gépekben kárt tegyél) akkor már bajban vagy.

    "Hogy a jog hol mit mond, azt nem tudom, viszont azt igen, hogy meg egy teljes csendben elkuldott, technikailag tokeletes vulnerability reportra is eleg gyakran perrel fenyegetoznek a cegek"
    Már megbocsáss, de egy lópikulát. Ha egy A cég által gyengén megírt program biztonsági hibájából egy B cég kárt szenved, akkor a B cégnek nincs joga/módja arra, hogy a kárt megtérítsék?
    Ha egy cég hibásan ír meg egy szoftvert, akkor nekik áll feljebb (inkább javítanák ki a hibát minél előbb)? Hol élnek ezek?
  • eax #23
    "a magyar törvény nem vacak (tégedet, engemet, másokat is véd a támadásoktól)"
    Ja, es a torvenyek nem vedenek meg senkit semmi ellen, az a tuzfalak, es mas egyeb technikai vedelmi eszkozok feladata. A torveny (szvsz) arra valo, hogyha mindezek ellenere megis sikerult, es elkaptak a tagot, akkor legyen mire hivatkozni, hogy miert is neznek most ra csunyan. Ebbe viszont ez a preventiven-megbuntetunk-mindenkit elv nem igazan illik bele.
  • eax #22
    "Tehát a magyar törvény nem vacak (tégedet, engemet, másokat is véd a támadásoktól), csak értelmezni kell tudni."
    Nem igazan hiszek benne, hogy ez a gyakorlatban fennall (marmint hogy tudjak ertelmezni, akiknek ez feladatuk), de nem vagyok jogasz, legyen igazad (bar azert gondolom egy torvenybe nem azert irjak azt, amit, mert meg volt egy kis toner a nyomtatoban, es nem akartak kidobni).

    "Vagyis, ha egy te tulajdonodban lévő gépre raksz fel keyloggert (és a saját jelszavaidat fogod fel vele), vagy egy általad adminisztrált hálózatot tesztelsz biztonsági szempontból (úgy, hogy erről a főnököd is tud, és nem sérted vele mások dolgait) - akkor nem érhet baj.
    Noigen, de ha en fejlesztem, es fogalmam sincs, hogy mire fogjak hasznalni? Vagy mi van a PoC exploitokkal, vagy mondjuk egy pentest app. framework-el? Vagy ha tartok egy eloadast mondjuk a heap overflow exploitok lelkivilagarol? Es ha egy konkret termekerol (sw/hw)?

    "1. Elvileg minden titkosítás feltörhető véges időn belül - csak a valóságban nincs a feltörésre elegendő idő (a titkosított információ egy idő múltán érvényét veszti) vagy erőforrás (számítási teljesítmény, ember, pénz, stb...)"
    Tevedes, lasd pl. OTP.

    "Ha már más által titkosított privát adatot törsz fel (és bocsátasz áruba esetleg), akkor már törvényt sértesz - mivel más titkaival játszol."
    Es ha magat az algoritmust tori fel, es publikalja mondjuk a Defcon-on?

    RealPhoenixx:
    Hogy a jog hol mit mond, azt nem tudom, viszont azt igen, hogy meg egy teljes csendben elkuldott, technikailag tokeletes vulnerability reportra is eleg gyakran perrel fenyegetoznek a cegek, meg akkor is, ha nem szandekos atveres all a dolog mogott (nagyobb koltseg nekik javitani, tesztelni, kiadni az advisory-t, es ezzel elismerni, hogy a termekuk nem tokeletes, mint befenyiteni az embert, aztan pedig melyen hallgatni az egeszrol).