[FreeBSD] kerdes biztonsaggal/betoressel kapcsolatban (Szilveszter figyelmebe!)

Adam Szilveszter sziszi at bsd.hu
2001. Május. 3., Cs, 11:29:21 CEST 

Hello mindenki!

Orulok, hogy felmerult a kerdes:-) es ime nehany valasz.

- A buntetojogi megiteles egyertelmunek tunik. A Btk 300/C vezette be a
  "szamitogepes csalas" buncselekmenyet meg jo anno. Eszerint az, aki

a) jogtalan haszonszerzes vegett VAGY
b) kart okozva

szamitogepes adatfeldolgozas eredmenyet 

1) a program megvaltoztatasaval VAGY
2) torlessel VAGY
3) teves vagy hianyos adatok betaplalasaval VAGY
4) egyeb, meg nem engedett muveletek vegzesevel befolyasolja

buntettet kovet el (a buntettek a sulyosabb minositesu buncselekemenyek
szemben a vetsegekkel) es alapesetben 5 evig terjedo szab.veszttel
buntetendo. A buntetesi "adag" a kar okozassal eygutt emelkedik.

(egyebkent ugyanezen szabaly egy masik resze alapjan buntetendo a
telefonkartyak es a mobiltelefonok "manipulalasa" is, legyen az
"kartyavegtelenites", "telefon kartyafuggetlenitese" vagy eppen a mostanab
terjedo mobil berheles, hogy lassabban szamolja az osszeget lefele az
elorefizetos Domino stb kartyakrol.)

Na szoval. Ennek alapjan az idegen szamitogepes rendszerbe (vagy eppen egy
olyanba, ahol nekem van legitim hozzaferesem is) minden olyan beavatkozas
buntetendo, ami megvaltoztatja az adatfeldolgzas eredmenyet ahhoz kepest,
ami rendesen kellene, hogy legyen. Igy a betores termeszetesen ilyen, mert
ott az adatfeldolgozas eredmenyenek annak kellene lennie, hogy nem lephetek
be, de en tettem rola, hogy ne igy legyen. Az teljesen mindegy, hogy a
bejutas milyen modon tortent, az is kozombos, hogy pl a rendszerben
voltak-e be nem foltozott ismert biztonsagi lukak. Vegulis az autot ellopni
akkor is tilos, ha lehuzott ablakkal es slusszkulccsal all az utcaban.

A feltetel az, hogy vagy haszonszerzesi szandek alljon a dolog mogott, vagy
kart okozzon. Mi a kar? A Btk erre is valaszol, hogy ne legyen senkinek
almatlan ejszakaja.

137. E torveny alkalmazasaban:
...

5. Kar: a buncselekmennyel a vagyonban okozott ertekcsokkenes, vagyoni
hatrany, a vagyonban okozott kar es az elmaradt vagyoni elony.

Tehat fontos latni, hogy nemcsak az kar, ha a h4x0r letorli mondjuk a
vallalat adatbazisat, bar ez is az, vagy az, ha belemalackodik mondjuk a
web oldalakba, hanem az is, hogy az erintettnek a betores kovetkezteben
(akar kulso segitseggel) emberi munkaidot stb kellett arra forditania, hogy
a kovetkezmenyeket elharitsa. Ha meg ezalatt mondjuk nem ment az eAruhaz es
emiatt forgalom esett ki, akkor azt is szepen hozzairjuk a szamlahoz. Igy
gyorsan eleg nagy, akar millios osszegek johetnek ki, jo vigyazni.

Tehat ellentetben a popularis felfogassal, a "csak korulneztem" hacking is
buntetendo, mert kart okoz.

Fontos, hogy a fenti cselekmenyek csak akkor buntetendok, ha azokat valaki
szandekosan koveti el. A szandekosra azonban a buntetojog kulonbejaratu
fogalmat hasznal. Szandekos az, ha:

a) Valaki a magatartas kovetkezmenyet elore latja es azt kivanja
   (inyencek kedveert egyenes szandek)
b) Valaki elore latja a kovetkezmenyeket, es azokba belenyugszik.
   (eshetoleges szandek)

na most ez itt erosen elmeleti problema, mert nem szandekosan nem lehet
valahova betorni. Ha te pl kinezed a www.utallak.te.ISP.hu-t es torogeted,
az egyenes szandek, ha meg beinditasz egy scannert es ha "horogra akad"
valami, akkor torsz, akkor az eshetoleges szandek. De ennek semmi
jelentosege, mindketto szandekosnak minosul.
 
A Btk tovabbi hasznos bolcsessegeket is tartalmaz, tehat nezzuk meg:

16. Kiserlet miatt buntetendo, aki szandekos buncselekmeny elkoveteset
megkezdi, de nem fejezi be.

Tehat itt a valasz az elso kerdesre: Igen, az is buntetendo, ha valaki csak
probalgatja a gepeden a scriptjeit. Az elkovetes megkezdodott, es nem rajta
mult, hogy nem volt eredmenyes. Tehat nem kell megvarni B.Gates
megjeleneset a honlapodon.

Eddig a buntetojog.

- Az, hogy hogyan bizonyitod, sok tekintetben a te gondossagodon is mulik.
  Ez mar a kriminalisztika (buncselekmenyek felderitesenek uldozesenek
tudomanya) terulete. Ugyanugy, ahogy az offline vilagban minden labnyomnak
jelentosege lehet, itt is minden informacio szamit.

A logok, noha mindent nem bizonyitanak, de kiindulopontnak jok. Emelle
jarul meg az erintett rendszer esetleges szakertoi vizsgalata, a
kezeloszemelyzet tanuvallomasa, az IDS logok ha voltak, stb. Ehhez persze
az kell, hogy a rendszeren a betores utan ne valtoztass, mert ha iziben
reinstallalod a rendszert, akkor annyi a nyomoknak. Ezzel egy kulon
segedtudomany foglalkozik, a "szamitogepes bonctan" (hulye forditas, de
most talaltam ki) szoval a computer forensics. Elegge kifinomult
eszkozokkel nincs olyan adat, amit valaha egy lemezre irtak, amit ne
lehetne visszanyerni, mindegy hogyan toroltek le. Gondoljatok arra, hogy az
adatmentessel foglalkozo profi cegek, pl a Kurt, meg olyan gepek lemezeit is
tudtak rekonstrualni, amik elegtek(!). Ezert a titkosszolgalatoknal az is a
szabaly, hogy olyan lemezre, amin valaha is titkos adat volt, csak
ugyanolyan titkos adatot szabad tenni utana, vagy be kell olvasztani.

De egy "siman" letorolt adatot ennel sokkal egyszerubb eszkozokkel vissza
lehet nyerni. De ehhez az kell, hogy a hordozo erintetlen maradjon, mert
kulonben mosodnak a nyomok. Tehat ha a h4x0r mondjuk leforditott egy kis
progit es aztan elhelyezett egy r00t-kitet amit meg ki is csomagolt elotte,
akkor hiaba takarit fel maga utan, meg lehet talalni az osszes file-t amit
kicsomagolt, a forditas .o file-jait es a forrasokat stb. Nagyon hasznos.
   
Az mas kerdes, hogy ezzel meg csak a buncselekmeny megtortentet
bizonyitottad. De az elkovetore konkretizalt gyanuhoz azt is kell
bizonyitani, hogy azt o es nem mas kovette el. Ez mar trukkosebb. ha pl a
tamado hagyott maga utan valami jellemzo nyomot, vagy ha olyan gugye volt,
hogy az otthoni geperol jelentkezett be, vagy ha valahol nyilvanos korben
dicsekszik azzal, hogy miket csinalt, vagy ha voros fonalkent hagyja maga
mogott azt, hogy merre is jart mar (pl Greetz a defaced web oldalakon) vagy
ha pofazik IRC-en vagy ha... es persze tetten is lehet erni, es felteve,
hogy minden erintett rendesen logolt, szepen vissza lehet kovetni az
ISP-jeig. A rendorseg megfelelo formaban eloterjesztett felszolitasara az
ISP koteles kiadni, hogy te mikor, honnan, mennyi ideig voltal
bejelentkezve, plusz a szemelyi adataidat. Igy lesz mondjuk
3l33th4x0r45 at hotmail.com-bol egy csapasra Kis Pista 16 eves kozepiskolai
tanulo Budapest XIII ker Csapagy u 12. sz alatti lakos. hehe. Esetleg
(mivel az ilyen akciok ritkan jelentenek egyszeri kilengest az illetok
eleteben) erdemes lehet (biroi engedellyel) rakapcsolodnia a zsaruknak az
illeto telefonvonalara es erdeklodve jegyzetelni in real time, amikor eppen
a tilosban jar. Mivel szerencsere h4x0r kollega is korso, ezert elobb vagy
utobb a nagy kutra jaras kozben eltorik, szoval csak turelem kerdese es el
lehet kapni. Magyarorszagon egyebkent se lehet eltunni. Jol jegyezzetek
meg, hogy mar lattam olyat, amikor valaki egy kutya elutese miatt kovetelt
karteritesi ugyeben egy mar tobb eve elkoltozott ipset nyomozott le
teljesen onalloan egy akkora varosban mint Szeged... ja, a szivar a Balaton
melle koltozott mint kiderult. Szoval ennyit errol. 

De az biztos, hogy fontos, hogy az erintettek egyuttmukodjenek. A "nem lat,
nem hall, nem beszel" modszer nem vezet sehova. Aztan szepen fel lehet
gongyoliteni az egesz trutymot, hogy hol jart meg a kedves kiddie. Nem tul
szorakoztato, de nagyon hatekony:-)

Jelenleg ezzel meg nem foglalkozik specialis "Internetrendorseg", ami azert
ciki, mert igy keves az ember, a gep es a szakertelem. De ez mar nem sokaig
van igy, az ORFK-n megalakult a specialis orszagos hataskoru szamitogepes
bunozes elleni csoport, ami a "kommando" nevet is megerdemli, mert
rajtautesszeruen megjelenhet, hazkutathat, letartoztathat stb. az egesz
orszagban.

Aztan szepen mehet a buntetoeljaras a maga - az eljaras ala vont
gyanusitott szamara nem eppen kellemes, bar mindenkeppen elmenyszeru -
utjan tovabb.  

Ezert figyelembe veve a fent mondottakat, azt tanacsolom a szerver
uzemeltetoknek, hogy allitsanak uzembe IDS-eket, jo logolasi es
logarchivalasi modszereket alkalmazzanak (pl tavoli gepre logolas), hogy a
bizonyitekok soraban minel nagyobb sullyal legyen figyelembe veheto.
Fontos, hogy az ISP-k egyertelmuen kozoljek minden ugyfelukkel, hogy a
"h4x0r kirandulasok" tilosak, es ne toleraljak, ha megis elofordul. Ki kell
dolgozni, hogy a geped felugyelete lehetoleg minel tobb irasban is
kovetheto nyommal folyamatos legyen. Meg a nem tul IQ bajnok aruhazi
biztonsagi orok is allandoan vezetnek esemenynaplot arrol, hogy mi tortent.
Legyenek egyertelmuek a felelossegi viszonyok a gep felugyeleteben. Igy
lehet kivedeni, hogy a bizonyitasi eszkozokbe valaki belemaszatoljon akar
veletlenul. Es persze mindig figyelni kell. nem csak akkor, ha mar
megjelent B.Gates a honlapon...

Egyebkent egy teljesen legbol kapott peldat veve, ha ma mondjuk
Magyarorszagon egy nehany tagu, nagyon c00l nevvel rendelkezo banda sorban
defacel jonehany web oldalt es elkapjak oket, akkor jo esellyel szamithat
arra, hogy halmazatban elkovetett szamitogepes csalas miatt akar le is
sittelhetik oket, ha eleg nagy a kar, amit okoztak. Pl egy vhost
"megtamadasa", amin sok ugyfel oldala volt fenn es ezert azokat mind helyre
kellett allitani, .... arra pedig meg gondolni is rossz, ha esetleg
mondjuk valami fontos kozszolgaltatast ellato gepet "talalnak meg"... az
allam nem viccel ilyenkor, a "Kozerdeku uzem megzavarasa" nagyon sulyos
bun. (Btk 260)

Tehat osszefoglaloan, amellett, hogy a h4x0ring nem 3l33t, meg buntetendo
is. Ezert azt javaslom, hogy aki esetleg forgatott a fejeben olyan
gondolatot, hogy megprobalkozik vele, az surgosen hagyjon fel vele. Aki
igazan 3l33t akar lenni, az inkabb keressen maganak egy OpenSource
projektet es csatlakozzon. Onkenteseket mindenhol szivesen fogadnak,
kezdoket is! Es ha valaki ebben tunik ki, akkor tenyleg buszke lehet
magara, es a tobbiek is azok lesznek ra.

Pl a FreeBSD projekt is szivesen fogad jelentkezoket...

Kerdesek? Velemenyek? Gondolatok?

Udv:
Sz.   
-- 
-------------------------------------------------------------------------------
* Adam Szilveszter * JATE Szeged * email: sziszi at petra.hos.u-szeged.hu *
* Honlap : nincs * alternativ email: sziszi at bsd.hu *
* PGP kulcs: Fingereld a sziszi at petra.hos.u-szeged.hu cimet! *
* FreeBSD: tisztabb, szarazabb, biztonsagosabb erzes...! *

További információk a(z) BSD levelezőlistáról