Meggyőződésem, hogy hackerek ellen a jogi lépések nagyjából annyira hatásosak, mint atombomba ellen a szúnyogriasztó spray. Aztán ki tudja, még az is lehet, hogy nekem van igazam.
***
Mint kiderült, a napokban külföldről jövő, összehangolt kibertámadás ért több kormányzati oldalt. A hatóságok nyomoznak az ügyben, a kormányzat pedig megteszi a szükséges jogi lépéseket.
Igen. A jogi lépések szükségesek. Csak éppen nem hatékonyak.
Aki kicsit is jártas a kiberbűnözésben, az tudja, hogy a hackerek önszorgalomból, erőfelmérés, illetve erőfitogtatás okán támadják a szervereket, s minél jelentőségteljesebb cég vagy intézet védelmi vonalát sikerül feltörniük, annál nagyobb respektjük lesz a „szakmában”.
Ennek a vonalnak a képviselőjét nevezik helytelenül „etikus hackernek”, ami már csak azért sem helyénvaló kifejezés, mert maga a hackerkedés sem etikus.
Ha azonban megpróbálunk egy hacker szuperintelligens, kreatív fejével gondolkodni, hamar rájöhetünk, hogy fogalmi repertoárjukból az etika kifejezés teljesen hiányzik. Ők ugyanis abban a bináris világban léteznek, ahol a ráció az összes létező elvont filozófiai fogalmat mellőzi.
Ilyen nemlétező fogalmak a hackerek számára az etika mellett a jog, az igazság, a magánszféra.
Szvsz a hacker nem azért tör fel egy kormányzati szervert, hogy annak tartalmát a világ elé tárja. Hanem, mert megteheti, tehát meg is teszi. Pont.
***
Azon a ponton viszont, ahol a hacker nevet szerez magának, az ő nevét is megszerzik. Igen, azok a bizonyos kormányzati szervek.
Amelyek aztán fenyegetéssel és/vagy pénzzel a saját szolgálatukba állítják a hackert, aki innentől fogva azt teszi, amit parancsolnak neki.
Ha kell, ha a megrendelő úgy kívánja, akkor kiszivárogtatnak. Uram bocsá’, néha bizony a megbízóval kapcsolatos törvénytelenségeket is. Amik aztán arra jók, hogy a megbízó önmaga által gerjesztett indulatfelhőjében eltűnjenek a kiszivárogtatottaknál ezerszer nagyobb turpisságok, s a világ megnyugodjon: „Na, még egy burzsoá szemétládát ért el a globalo-internacionalista végzet.”
Csakhogy ez sosincs így.
Egy bizonyos gyakorlati tudás után ugyanis senki sem marad önjáró.
***
Mi tehát a megoldás?
Természetesen a jogi lépések (wtf) megtétele mellett a „sárkány ellen sárkányfű” algoritmus élesítése.
Azaz célzott, összehangolt viszont-hackertámadás.
Nagyjából azt a metodikát követve, amit jó ideje tapasztalunk már, s amelyet kisebb részt az EU, nagyobbrészt az USA szokott előszeretettel az orosz hackerek nyakába varrni. Csakhogy amiképpen most sem tudjuk, hogy pontosan hol, mikor, kik támadtak, s főleg kinek a megbízásából, így a korábbi esetekben sem tudhatjuk biztosra, kié volt az első támadás?
Amit viszont tudunk, hogy a nagyhatalmak jó ideje kiberháborúban állnak egymással, s ez alól az olyan, területüket tekintve kis országok sem vonhatják ki magukat, mint Magyarország.
Nyilván a kormányzati kommunikáció nem fogja ország-világ elé tárni, de egészen bizonyos vagyok benne, hogy nekünk is van már olyan kiberhadseregünk, amelynek csupán az egyik feladata a védekezés (ha úgy tetszik, honvédelem), a másik része viszont a támadás (ha úgy tetszik, válaszcsapás).
E publicisztika tehát egyáltalán nem számonkérő, hanem inkább megerősítő erejű a kormányzat felé.
Tisztában vagyok vele, hogy egyesek számára megmosolyogtató, amint személyemben egy éppenséggel jelen pillanatban is támadás alatt álló kormányközeli lapnak az impresszumból is kifelejtett bloggere veregeti mindentudóan a kormány vállát.
Ám úgy vélem, hogy néhány gúnyos mosoly egészen megfizethető ár azért, hogy a megtámadottak akár még személyem által is visszaigazolást kapjanak.
***
Amiben teljesen biztos vagyok, hogy nem mi támadtunk először. Ez pedig felment minket minden olyan következmény alól, amely a viszontválaszból következhet.
De egyre nyilvánvalóbb, hogy ebben a nem szokványos világháborúban nemcsak hogy érintve leszünk, hanem egyenesen központi szerep jut számunkra.
Kitűnő írás újból, és csak reménykedem benne, hogy a kormányzat ezen a nyomvonalon halad, különösen a 22-es választáshoz közeledve.
Egy pillanatra sem adom fel a reményt, hogy VBT-t előbb-utóbb láthatom a Pesti Tv-ben is.
Pontosan. A hackerek értékes munkát végeznének, ha vírusirtókat csinálnának. A rendőrség néha meg is keresi a híres zárfeltörőket, mert értékes szakmai tudásuk van. Amúgy a Kaspersky szerintem a legjobb védelmet adja.
Egy másik dolog ami nagyon fontos. Abszolúte nem mindegy melyik vírusirtó van a gépen, mert az mindenhez hozzáfér. A legtöbb vírusirtó kémprogramként is viselkedik, ha úgy manipulálják meg.
Esetünkben szó sincsen etikus hackerről, de még csak nem is a “védelmi vonal feltörése” volt a cél, hanem a rendszer túlterheléses megbénítása, vagyis a nettó károkozás. A túlterheléses támadások ellen is lehet persze védekezni, de elég bonyolult.
“Ennek a vonalnak a képviselőjét nevezik helytelenül „etikus hackernek”, ami már csak azért sem helyénvaló kifejezés, mert maga a hackerkedés sem etikus.”
Ki kell javítsam a cikk szerzőjét.
A “hacker” kifejezés “klasszikus”, szakmai értelemben, egy olyan (számítástechnikai) szakembert jelöl, aki szaktudását autodidakta módon művészi szintre fejlesztve a problémákat nem a “nagy könyv szerinti módon” oldja meg, hanem kreatívan “trükközik”.
http://esr.fsf.hu/hacker-howto.html
Ezt a tudást használhatja jó célokra – ezen hackereket hívják fehér kalapos (white hat) vagy etikus hackereknek.
Az etikus hackelés egy komoly foglalkozás: vállalatok, közületek megbíznak egy céget, hogy az informatikai rendszerük biztonságát auditálják és adjanak tanácsot biztonságosságuk növelésére. Van ezzel foglalkozó magyar cég nem is egy:
https://www.kurt.hu/megoldasaink/legalis-etikus-hackeles/
https://silentsignal.hu/szolgaltatasok#etikus_hack
https://www.whiteshield.net/hu/etikus-hack/
vannak ilyen jellegű képzések/tanúsítványok is:
https://www.whiteshield.net/hu/etikus-hack/
https://www.eccouncil.org/programs/certified-ethical-hacker-ceh/
https://www.isc2.org/Certifications/CISSP
és használhatja ártó szándékkal is – őket nevezzük feketekalapos (black hat) hackernek vagy crackernek (ráadásul vannak olyanok, akik saját kútfőjükre kezdenek el rendszereket tesztelni és bár nem okoznak kárt, de tettük nem teljesen legális/etikus – őket nevezik szürke kalapos – grey hat – hackereknek).
Tudásról értekeztem, tehát aki különösebb tudás nélkül próbál bejutni rendszerekbe, és használja a hackerek által előállított eszközöket, azokat meg szkriptkölyköknek (script kiddie) hívjuk – nos ők nem hackerek!
“Ennek a vonalnak a képviselőjét nevezik helytelenül „etikus hackernek”, ami már csak azért sem helyénvaló kifejezés, mert maga a hackerkedés sem etikus.”
Ki kell javítsam a cikk szerzőjét.
A “hacker” kifejezés “klasszikus”, szakmai értelemben, egy olyan (számítástechnikai) szakembert jelöl, aki szaktudását autodidakta módon művészi szintre fejlesztve a problémákat nem a “nagy könyv szerinti módon” oldja meg, hanem kreatívan “trükközik” – bővebben lásd: Eric Steven Raymond “How To Become A Hacker” (“Hogyan lesz az emberből Hacker”) című irományát
Ezt a tudást használhatja jó célokra – ezen hackereket hívják fehér kalapos (white hat) vagy etikus hackereknek. Az etikus hackelés egy komoly foglalkozás: vállalatok, közületek megbíznak egy céget, hogy az informatikai rendszerük biztonságát auditálják és adjanak tanácsot biztonságosságuk növelésére.
Van ezzel foglalkozó magyar cég nem is egy – lásd a Kürt-öt, a Blackcell-t, a Silent Signal-t vagy a Whiteshield-et – illetve vannak ilyen jellegű képzések/tanúsítványok is – ilyen például az Eccouncil CEH (többek között az Óbudai Egyetem, Neumann János Informatikai Kara tart ilyen képzést) vagy az ISC2 CISSP
Illetőleg használhatja ártó szándékkal is – őket nevezzük feketekalapos (black hat) hackernek vagy crackernek (ráadásul vannak olyanok, akik saját kútfőjükre kezdenek el rendszereket tesztelni és bár nem okoznak kárt, de tettük nem teljesen legális/etikus – őket nevezik szürke kalapos – grey hat – hackereknek).
Tudásról értekeztem, tehát aki különösebb tudás nélkül próbál bejutni rendszerekbe, és használja a hackerek által előállított eszközöket, azokat meg szkriptkölyköknek (script kiddie) hívjuk – nos ők nem hackerek!