Connect with us

technokrata

A hackerek félnek jelenteni a hibákat

Dotkom

A hackerek félnek jelenteni a hibákat

Inkompetens szabályozás nehezíti a biztonsági rések feltérképezését.

A szoftverhibákat kereső szakértőket a webes alkalmazások vizsgálata gyakran nagy dilemma elé állítja: hogyan teszteljék az alkalmazás biztonságát anélkül, hogy ne leselkedne rájuk a börtönbüntetés fenyegetése. Egy hagyományos, offline szoftver (mint amilyen például a Windows vagy a Word) vizsgálata ugyanis nem probléma, hiszen (jelen kontextusban kis túlzással) a saját PC-jükön azt tesznek, amit akarnak. Viszont a webes alkalmazások, melyek internetes szervereken futnak, és mások által szinte mindig használatban is vannak, jóval keményebb diót jelentenek. Egy ilyen program biztonságosságának vizsgálata ugyanis illegális, és büntetőeljárást vonhat maga után.

Természetesen a morális kérdés csak az etikus (vagy ha úgy jobban tetszik, white hat) hackerek esetében áll fent, nyilvánvalóan a pénzügyi haszonszerzésre, adatok eltulajdonítására, károkozásra irányuló (black hat) hackerek nem sokat moralizálnak egy webes alkalmazás gyenge pontjainak kipuhatolásakor. Amit ugyanis tenni akarnak, ha találtak egy sebezhetőséget, azt így is, úgy is büntetik, tehát számukra mindegy.

Pont a fenti ellentmondásosság miatt vannak kiszolgáltatottabb helyzetben a webes alkalmazások. Míg a hagyományos szoftvereket az etikus hackerek jelentős része vizslatja, az online változatokat sokkal kevesebben, mivel nem merik bevállalni az esetleges jogi következményeket. Ennek eredményeképp ezen felületek hibáit gyakrabban fedezik fel a black hat hackerek, mint az offline programok biztonsági réseit, vagyis nagyobb az esély, hogy egy rosszindulatú támadás áldozatává váljanak.

A probléma azonban egyre komolyabb gondot jelent, hiszen általános trend, hogy számos, eddig csak asztali környezetben, vagyis Internettől függetlenül használt program webessé válik (vagy webes alternatívája születik). A sort a Google kezdte az online szövegszerkesztő és táblázatkezelő alkalmazásokkal, de mára már szinte minden feladat elvégezhető telepítést nem (vagy csak korlátozottan) igénylő szoftverekkel, legyen az üzenetküldés/fogadás, képszerkesztés> stb. Vagyis, divatos kifejezéssel élve: veszélyben a Web 2.0.

Törvényi szabályozás
Akár 1 éves szabadságvesztéssel és pénzbüntetés megfizetésével is járhat, ha egy jószándékú hacker olyan rendszerbe hatol be, amihez nincs engedélye. Legalábbis az Egyesült Államokban, de a világ más részein sem tesznek különbséget az online bűnözéssel foglalkozó törvények a támadó szándékait tekintve. Illetve szegmentálnak, de csak a kiszabható büntetési tételek emelkednek, ahogyan a rendszerbe bejutott támadó olyasmiket követ el, ami valakinek a kárára válik.

Jó példa erre Eric McCarthy esete: az IT-biztonsággal foglalkozó szakértőt még januárban ítélték hathavi házi őrizetre és háromévnyi próbaidőre, valamint közel 37 ezer dollárnyi büntetés megfizetésére. McCarthy vétke az volt, hogy behatolt a Dél-Kaliforniai Egyetem rendszerébe (amit a szakértő el is ismert), ám hiába védekezett azzal, hogy csak a rendszer biztonságosságának fokozása végett tette, amit tett, a bíróság elítélte a férfi akcióját.

Vége a hacker-függetlenségnek?
Mit tehetnek a hackerek, ha el akarják kerülni a törvényi felelősségre vonást? Jogi szakértők szerint engedélyt kérhetnek a célbavett vállalattól, ami azonban több okból sem ideális megoldás. Egyrészt körülményes, akár hosszadalmas eljárás is lehet egy ilyen engedély megkérése a hackereknek, akik zöme azért kényes függetlenségére; másrészt számos vállalat teljesen elzárkózik az együttműködéstől, kategorikusan megtiltva azt, hogy valaki körbeszimatoljon a portá(l)ján.

Vannak olyan webes vállalatok, „akik” azonban sokkal együttműködőbbek. Már nem egyszer megtörtént, hogy külön rendszert állítottak fel a hackerek számára, amely rendszerek az eredeti példányok tökéletes másolatai voltak. Így a fő szolgáltatás nem szenvedett kiesést, és mégis tesztelhető maradt. Az együttműködni nem hajlandó cégek azonban önmaguk alatt ássák az árkot, hiszen a kevésbé biztonságos szolgáltatások black hat hackerek támadása esetén védtelenebbek lesznek.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek