Az Amerikai Egyesült Államokban nehéz megválaszolni azt a kérdést, hogy lebukott gyilkosnak vagy hekkernek jobb-e lenni: mindketten gyakorlatilag azonos elbánásban részesülnek, magánzárkával, jogok, kapcsolattartás nélkül, az ügyvédek pedig nem igazán segítőkészek, mert nem értenek a területhez. Weboldalak átírására gépfegyveres kommandósokkal válaszol a kormány. A jóindulatú hekkerek is éveket kapnak, míg az Angliában pár hónappal meg lehet úszni hatalmas kibertámadásokat is. Magyarországon pedig inkább nem is foglalkoznak informatikával, van elég baj anélkül is a bíróságokon. A kormányunk viszont válogat a legjobb hekkerek között.
Pár hete Jonathan Hall, a 29 éves hekker, kiberbiztonsági szakember felfedezte, hogy valaki betört néhány népszerű szolgáltató szervereire. Pórul járt a Yahoo, a WinZip és a Lycos is. A South Technologies nevű amerikai biztonsági cég alkalmazottja megvizsgálta a szervereket, és rájött, hogy román hekkerek jártak a rendszerekben. A hekkerek a Shellshock bugot használták ki – az internet eddigi legdurvább hibájáról részletesen is írtunk nemrég.
Eredményeit Hall a blogján publikálta: azt mondja, egyszerűen szeretett volna segíteni ezeknek a cégeknek, hogy megoldják az igen kellemetlen problémát. Agresszív nyomozásával viszont belefutott az USA hekkelésellenes törtvényébe (Computer Fraud and Abuse Act – CFAA).
Holnap lehet, hogy bilincsben ébredek
– mondta Hall, akit nemrég meglátogatott az FBI.
Bizonytalansága jó példája a kiberbiztonsággal foglalkozók között tapasztalható általános nyugtalanságnak, amit a kormány agresszív bűntetőeljárásai hoznak. Az 1986-ban életbe lépett törvény alapján felhatalmazás nélkül bármilyen behatolás egy számítógépbe illegálisnak minősül. A biztonsági szakemberek és az ügyészek azonban nem értenek egyet abban, hogy ez mit jelent konkrétan.
Több, fontos célpontokkal foglalkozó hekker is játszott már ebben a szürke zónában, és rosszul járt: Andrew „Weev” Auernheimer és Daniel Spitler egyaránt elítélt lett, miután írtak egy kódot, ami nyilvánosan elérhető információkat gyűjtött az AT&T weblapjáról, Aaron Swartz pedig azért állt bíróság elé, mert nagy tömegben töltött le tudományos publikációkat – amikhez egyébként jogosan volt hozzáférése. Történetével szintén részletesen foglalkoztunk, öngyilkossága mozgalmat indított el az információszabadságért.
Hall egy kicsit tovább ment a fenti példáknál. Először hozzáférést szerzett a WinZiphez tartozó szerveren, ahol kiíratta saját gépére a rosszindulatú kódot, amit talált, aztán leállította azt a killparanccsal. „Megpróbáltam találni egy aktív férget, ami már működött” – így talált rá a WinZip szerverére.
A hekker elkészített egy számítógépes csapdát, mézesmadzagot, szaknyelven honeypotot: a gép direkt támadható volt a Shellshock buggal, a beérkező forgalmat pedig figyelte. Be is esett egy támadás, de nagyon meglepődött honnan: a WinZip szerverétől. Visszakövette a szervert, és hozzáférést is szerzett, pont a Shellshock kihasználásával. Kiderült, hogy a szerver egy zombihálózat része volt, amit két romániai hekker irányított.
Innentől Hall egyre mélyebbre ásott, megtalált más számítógépeket, amik kapcsolódtak a botnethez, többek között a Yahootól, a Lycos Internettől. Nem sokkal később a Yahoo be is jelentette, hogy támadás érte a szervereiket, bár azt állítják, nem a Shellshock miatt. A szakértő szerint viszont de. Hall szerint
A törvény viszont szigorú, felhatalmazás nélkül bármit tenni tilos.
Mások is írtak olyan szkripteket, ami végignézte a szervereket, hogy sérülékenyek-e a Shellshock bugra, kifejezetten kutatási célokból, mégis megúszták. Az FBI azért jelent meg Hall házánál, hogy kikérdezzék a kutatásairól. Hall odaadta az FBI-nak azt az eredeti emailt is, amiben figyelmeztette a Yahoot a problémára. „Nem tudom mit fognak tenni. Nagyon kínos beszélgetés volt” – mondta. Nem ez az első összetűzése a hatóságokkal: egy évtizeddel ezelőtt megvádolták, hogy részt vett egy szolgáltatásmegtagadásos (DDos) támadásban, a vádakat azonban ejtették.
Nem Hall esete az egyetlen, ügye után viszont Tor Ekeland, több ismert hekker ügyvédje is kirohanást intézett az amerikai igazságszolgáltatási rendszer ellen. Példái elképesztőek: a hekkerek nagyon durva büntetésekre számíthatnak az országban.
Darren Martyn, becenevén Pwnsauce a LulzSec néven ismert, 2013-ban aktív, az Anonymousból kivált hekkercsoport tagja volt. Az iskolai internetet használta tevékenykedéséhez, így nem csoda, hogy egy napon elkapták:
Becsukta szemét, és megpróbált aludni, azt hitte, álmodik, annyira szürreális volt. Azt mondja, nem azon lepődött meg, hogy elkapták, hanem hogy ilyen sokáig tartott. Hasonlóan járt Lauri Love is, akit három különböző bíróság is elítélt Amerikában, amiért állítólag részt vett több amerikai kormányzati szerv meghekkelésében.
Andrew „weev” Auernheimer több mint 114 ezer emailcímet mentett le az AT&T publikus oldalairól, jelszóval nem védett iPad-szerverekről, aztán odaadta őket a Gawker blognak, hogy közzétegyék. Senkinek nem adta el a címeket, vagy profitált belőlük bármilyen formában. Ennek ellenére három és fél év börtönre ítélték, mintha erőszaktevő lett volna.
Weev börtönbüntetésének nagy részét magánzárkában töltötte, ez az elzárás brutális formája, ami több pszichológus szerint kínzás. Miután egy coloradói börtönigazgató kísérletképpen 24 órát töltött egy ilyen zárkában, eldöntötte, hogy megszünteti az összes magánzárkát az államban. A hekker idejének nagy részét egy 6×9-es cellában töltötte, egy másik rabbal összezárva. Naponta csak egy órára mozdulhatott ki, télen pedig gyakran pirkadat előtt engedték ki, a durva hideg miatt viszont inkább nem hagyta el a celláját. Egy idő után a levelezéstől és a könyvektől is eltiltották, még tovább szeparálva ezzel. Elkülönítették az ügyvédjétől is, csak az FBI hallgathatta ki, akik azt mondták az ügyvédnek, hogy leszarják az ügyvédek és ügyfeleik jogait, kinyitották kettőjük levelezését is. A börtön nem foglalkozott az ügyvéd telefonhívásaival, leveleivel, amelyekben azután érdeklődött, hogy van a védence. Ezután az ügyvéd perrel fenyegette meg a börtönt – és csodák csodájára újra működni kezdett a telefonálás.
Az ügyvéd szerint a probléma egyik része, hogy az amerikai börtönrendszer egy merő rémálom. A másik része viszont az, hogy az amerikai kormány hisztérikusan reagál a hekkerekre és hekkercsoportokra, például az Anonymousra, akiket egyszerűen terroristának bélyegeznek. Nem mintha ez a szó bármit is jelentene manapság. Ráadásul nem sok ügyvéd van tisztában a kódolással vagy a kultúrával, ha a számítógépes bűnökről van szó.
Az emberek paranoiásak a hekkerekkel szemben, mivel nem igazán értik, mit és hogyan csinálnak. Sokan gyakorlatilag boszorkányságként tekintenek a tevékenységükre. A kormány pedig fél a hekkerektől, mivel a fizikai világban erővel képesek irányítani az embereket, de az interneten egy 14 éves gyerek az anyja pincéjében erősebb lehet, mint amit a kormány fel tud mutatni. Az ügyvéd szerint több kliensét vádemeléssel próbálták rábírni az együttműködésre. Amikor egyikük megtagadta az együttműködést az FBI-jal, nem hekkelte meg egy külföldi bűnszervezet oldalát, mert félt a bosszútól,
A kormány nem tud úgy hekkelni, ahogy a rajtuk kívül állók tudnak, és nem tud megfelelő embereket szerezni ehhez a hozzáállása miatt. A kormány brutálisan a bíróság elé citálja a hekkereket, akkor is, ha a kár, amit okoztak, elhanyagolható.
Matthew Keys bíróság előtt áll, mert állítólag felhasználónevet és jelszót adott át a LulzSecnek, amit aztán arra használtak, hogy átírjanak néhány szót a LA Times egyik cikkében. A változtatásokat fél óra alatt visszaállították. Matthew-t akár 25 év börtönre és 750 ezer dolláros büntetésre is ítélhetik.
Teljesen más történt a LulzSec tagaival az Egyesült Királyságban és Írországban. 2013. május 13-án a Topiary, Tflow, kayla és Ryan Cleary néven ismert hekkereket elítélték, mert közük volt a LulzSechez. 2014. szeptemberében már egy IT-rendezvényen adtak elő. Pedig nem kis halakat hekkeltek meg korábban. A teljesség igénye nélkül áldozatuk volt:
Ezekért Topiary 38 napot töltött le a fiatalkorúak börtönében. Az elzárás előtt 21 hónapig házi őrizetben volt, és nyomkövetőt kellett hordania. Kaylát 30 hónap börtönre ítélték, de csak a felét kellett letöltenie, Tflow 20 hónap felfüggesztettet és 300 óra közmunkát kapott, Pwnsauce megúszta a börtönt, amiért részt vett egy „helyreállító programban”. A legkeményebb büntetést Ryan Cleary kapta, amiért a botnetjét ráengedte a CIA-ra. Ezek a büntetések sokkal értelmesebbek, figyelembe veszik, hogy a bűnök nem erőszakosak.
Csak két LulzSec-tag úszta meg az országban. Avunit, az egyetlen, akit sosem kaptak el, és Sabu, aki elárulta a LulzSecet, és együttműködött az FBI ügynökeivel, attól a pillanattól kezdve, hogy besétáltak az ajtaján.
Az FBI hónapokig informátorként használta, a hekker segítségével csapdát állítottak a többieknek is. Állítólag Sabun keresztül az FBI legalább annyi kárt okozott, mint maga a LulzSec: közül lehet a Stratfor meghekkeléséhez, az arizonai rendőrségről kiszivárgó privát információkhoz, és kormányzati weblapok feltöréséhez is. Mivel ezeket a cselekményeket az FBI számára követte el Sabu, megúszta a börtönt. Az FBI ellen nem indult semmilyen eljárás, pedig ugyanazt tették, mint a hekkerek.
Magyarországon még nem volt példa arra, legalábbis sajtónyilvánosságot ügyekben, hogy hekkereket évekre ítéljenek, akár fehér kalaposok (ők segíteni akarnak, ezért támadják a rendszereket, keresik a sérülékenységeket, amiket aztán jelentenek a szerverek gazdáinak), akár valódi bűnözők, akik adatot lopni mennek, akár a kettő közt belőhető hacktivisták, akik valamilyen eszme mentén hekkelnek, mint az Anonymous tagjai.
Az viszont kétségtelenül igaz a magyar rendszere is, hogy az ügyvédek, bírók sokszor még az alapfogalmakkal sincsenek tisztában, bármilyen informatikához kapcsolódó ügyről van szó, mindent Ádámtól és Évától kell kezdeni a tárgyaláson. A bíró ilyenkor szakértőt rendel ki, aztán a vád is, meg a védő is, készül nagyon sok, rettentően hosszú szakvélemény, a végén pedig mehet a kukába mind, mert ellentmondásosak. Ez persze nemcsak az informatikát érinti, az egész bírósági szakértői rendszer rákfenéje, de az ilyen ügyekben alap a szakértő alkalmazása. Így mindig ugyanazokat a köröket futják a magyar bíróságok, ha annál bonyolultabb ügyről van szó, hogy szerelemféltésből valaki belenézett a volt párja emailjeibe a jelszó ismeretében.
A végeredmény az, hogy a hekkeléses ügyek el sem jutnak a bíróságig, szinte csak warez-szerverek üzemeltetése körüli ügyekről lehetett hallani eddig. Azaz itthon teljesen más kultúrája van a biztonsági szakemberek ténykedésének: nem a bíróságtól félnek leginkább, hanem attól, hogy semmi eredménye annak, amit tesznek, a cégek egyszerűen nem reagálnak, amíg nem hozzák nyilvánosságraa hibát, sokszor még ezután sem.
A nyugodt környezet viszont azt is jelenti, hogy vannak például etikushekker-képzések, ahol a jövő biztonsági szakemberei továbbfejleszthetik magukat, sőt, a magyar kormány is válogat közülük.