Hibát talált a Telekomnak, aztán egy reggel csöngettek a rendőrök

DMOHA20120717016
2017.07.26. 07:38
Egy hete áll a bál a BKK e-jegyének elfuserált bevezetése miatt. Az egyik főszereplő egy tizenéves fiatal, aki észrevett egy rést a rendszeren, és szólt a BKK-nak, mégis elvitték a rendőrök a programot fejlesztő T-Systems feljelentése nyomán. Ám nem ő az egyetlen hekker, akivel a Telekom-csoport keményen bánt: egy huszonéves fiatal idén áprilisban fedezett fel komoly biztonsági rést a cégnél. Ezt jelezte, majd behívták, még a közös munka is szóba került. Ő tovább tesztelte a rendszert, aminek a vége az lett, hogy hozzá is rendőrök csöngettek be.

András (a nevet megváltoztattuk) a húszas évei elején jár. Egy vidéki főiskolán programozónak tanul, de hobbiszinten érdeklődik az informatikai biztonság iránt is. Idén tavasszal egy olcsóbb díjcsomagra váltott a Telekomnál. Olyan DNS-kiszolgálót keresett, amellyel jobban tud internetezni. Ez a módszer teljesen legális.

Telekom vs. kíváncsi fiatalok

A BKK e-jegyének rendszerét a T-Systems fejlesztette, ők tették a feljelentést a program hibáját azonnal jelentő, ugyanakkor próbaképp ki is használó fiatal ellen. A mostani sztoriban a T-Systems anyavállalata, a Magyar Telekom a főszereplő, és ebből is az derül ki, hogy a nagyvállalat nem szereti a rendszer hibáit tesztelgető fiatalok lelkesedését. (További cikkeink a BKK-botrányról itt.)

Böngészgetett, és a Telekom weboldalán rábukkant egy olyan pdf-fájlban olvasható felhasználói útmutatóra, amiben szerepelt egy DNS-kiszolgáló IP-címe. Végzett egy rutinvizsgálatot erre az IP-címre, majd meglepve tapasztalta, hogy innen viszonylag könnyen hozzájutott egy rendszergazdai jelszóhoz. Ez a jelszó egy olyan fejlesztői szerverre szólt, ahonnan tovább lehetett lépni a Telekom teljes hálózatába. András tehát nem túl bonyolult módon, a nyilvános weboldalon, sima, szöveges formában kint hagyott adatok segítségével be tudott jutni a Telekom belső hálózatába.  

András megkereste a Telekomot, és jelezte a cégnek, hogy súlyos biztonsági rést talált. A Telekom szakemberei elhívták a budapesti székházba, hogy személyesen mesélje el tapasztalatait. András írt egy 7 oldalas dokumentációt, majd elutazott Budapestre.

Beszélgetni hívták

A Krisztina körúti székházban a Telekom és a Telekom infokommunikációs szolgáltatója, a T-Systems biztonsági szakembereinek mondta el, hogyan jutott be a belső hálózatba. Egy laptopon meg is mutatta nekik, milyen úton lehet megszerezni a rendszergazdai jelszót egy publikus weboldalukon keresztül. A szakemberek ingatták a fejüket, és azt mondták: „Igen, igen, kellő kitartással valóban elképzelhető ez, de ez valószínűleg kevés embernek jutna eszébe.” Andrást meglepte ez a reakció: azt hitte, az ország legnagyobb szolgáltatójánál jobban felkapják a fejüket arra, hogy ilyen sérülékeny a rendszerük.

A Telekomnál újra és újra azt kérdezték tőle, mi volt a motivációja, miért törte fel a rendszert, és ezt most miért jelzi feléjük. András azt felelte: semmi különösebb motivációja nem volt, szívesen segít a cégnek a továbbiakban is hasonló hibák feltárásában. Ugyan nem konkretizálták, de szóba került, hogy András dolgozzon a cégnek: alkalmazottként több százezer forintos bruttó havi fizetés is szóba került, a másik opció az lett volna, hogy számlásként napidíjat fizetnek neki a rendszer további teszteléséért.

András hazament, majd emailen folytatták a tárgyalást. András egy emailben megírta, mennyi pénzre gondolt ő azért, hogy biztonsági rések feltárásában segít a szolgáltatónak a rendszer tökéletesítéséhez. Erre már csak egy egysoros választ kapott, amiben azt írták neki: sokallják az általa kért napidíjat. Több emailt ezután már nem kapott. Janklovics Ádám, András ügyvédje azt mondja: ezen a ponton se azt nem mondta neki a Telekom, hogy vége az együttműködésüknek, se azt, hogy továbbra is várják a javaslatait.

Kérdésünkre a Magyar Telekom Nyrt. megerősítette, hogy valóban kapcsolatban álltak Andrással, és egy lehetséges konstruktív együttműködés lehetősége is felmerült:

Voltak erről beszélgetések, azonban a közös munka kereteiben sajnos nem tudtunk megállapodni, és a párbeszéd megszakadt közöttünk.

Csengettek

Andrást azonban nem hagyta nyugodni a gondolat, hogy ennyire sérülékeny a rendszer. Folytatta a tesztelést, aminek eredményét szintén meg akarta osztani a Telekommal. Május elején olyan sebezhetőségre bukkant, amellyel a teljes állami és lakossági mobil- és adatforgalomhoz hozzá lehetett férni, és a T-Systems által kiszolgált cégek szervereinek adatforgalmát is meg lehetett volna figyelni. András a teszt során nem rejtette el kilétét (IP-címét).  Megvizsgálta, hogy a Telekom belső rendszerében létre tud-e hozni egy rendszergazdai jogosultsággal rendelkező tesztfelhasználót. Ez sikerült, de hamar észrevette, hogy ezt kiszúrták a Telekom emberei is. András ebből látta, hogy ezt a sebezhetőséget ezek szerint már észlelték a cégnél. Ezek után felhagyott a rendszer tesztelésével.

Mint később megtudta, a Magyar Telekom ezen napon ismeretlen tettes ellen feljelentést tett a rendszerét ért támadás miatt. 

Három hét telt el. Még nem volt 7 óra, amikor egy reggelen a Nemzeti Nyomozó Iroda (NNI) négy munkatársa csöngetett a vidéki városban lévő lakás ajtaján. Házkutatási parancsot mutattak, és azt kérték, az összes informatikai eszközét adja át, telefont, laptopot, számítógépet, mindent. Megmutatta a rendőröknek a fiókjait, de ők külön is benéztek mindenhova. Összegyűjtötték a lakásában talált összes pendrive-ot is, amiket felcímkézett zacskókba raktak. Kérték András routeréhez is a jelszót. Amikor a házkutatás miatt enyhén sokkos állapotban lévő András erre azt válaszolta, ő nem szokott csak úgy jelszavakat kiadni, a rendőrök azt mondták: jobb, ha együttműködik velük, mert úgy is fel fogják törni a jelszót. A házkutatás végén aláírattak vele egy jegyzőkönyvet a lefoglalt eszközökről. Mint később megtudta, ezzel egy időben az NNI az összes olyan helyen házkutatást tartott, ahol András számítógépet használt, így például rokonai lakásában is. 

Mielőtt elindultak vele, a rendőrök két választási lehetőséget ajánlottak neki: ha ellenáll, meg kell bilincselniük, ha nem, békésen beszáll velük az autóba. András az utóbbit választotta, kezdettől igyekezett mindenben együttműködni a rendőrökkel. Beült a négy rendőrrel az autóba, és azonnal indultak Budapestre. Miután András még nem is reggelizett, útközben megálltak valahol, és vehetett egy üdítőt.

Rabosították

Az NNI Aradi utcai székházába belépve viszont már bilincset raktak rá. András szerint ez ott előírás, de a kihallgatóhelyiségben már nem volt megbilincselve. A többórás kihallgatáson az NNI kiberbűnözéssel foglalkozó munkatársainak kellett elmondani, mit csinált. Megkérték arra is, hogy ujjlenyomatával oldja fel a már lefoglalt telefonját, hogy ne kelljen feltörni. Nyomatékosításképpen elhangzott, hogy ha nem teszi meg, 72 órás őrizetre is bent tarthatják. András készségesen megtette, majd a laptopja jelszavát is beírta a nyomozóknak a gépbe. A telefonján még látta, hogy édesanyja reggel óta rengetegszer próbálta elérni. A rendőrök ekkor annyit megengedtek neki, hogy egy vonalas telefonon felhívja az anyját és elmondja neki: Budapesten van és éppen kihallgatják a nyomozók.  

A kihallgatás végén közölték vele, hogy információs rendszer vagy adat megsértésének bűntettével vádolják. A Btk. Andrásra vonatkozó 423. paragrafusának 2/b pontja szerint ezt az követi el, aki „az információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz". A Btk. szerint ez a bűntett három évig terjedő szabadságvesztéssel büntetendő.

Ezután ujjlenyomatot vettek tőle és lefényképezték, azaz rabosították. Autóval elvitték orvosi vizsgálatra, majd visszavitték az Aradi utcai NNI-székház egyik cellájába. Este volt már. Egész nap nem evett semmit, ekkor kapott vacsorát, de nem nagyon volt étvágya, és aludni sem nagyon tudott. A vécére is csak úgy mehetett ki, hogy a fogdaőr megbilincselte, elvezette a mosdóig, majd ott levette a bilincset.

András szerette volna felhívni a kirendelt ügyvédjét, de azt mondták neki, ezt csak akkor teheti meg, ha van egy barangolókártyája – mintha ezt mindenkinek tudnia kellene a fogdán. Másnap végül a fogdaparancsnok segített neki, így tudott venni kártyát. András utólag visszaemlékezve azt mondja: mindez nem a fogdában dolgozók rosszindulata volt, ők csak tartották magukat a szabályokhoz. A fogda munkatársai folyton azt kérdezgették tőle, hogy ugyan mit követett el, mert nem úgy néz ki, mint aki oda való lenne.   

Kiengedték

Másnap autóval visszavitték abba a városba, ahol lakott. Itt találkozott az ügyvédjével is. A bíróságon arról kellett dönteni, hogy előzetes letartóztatásba helyezzék-e. Az ügyész azt mondta: András bármikor blokkolhatta volna a Telekom mobil- és internethálózatát. Az ügyész 30 napos előzetes letartóztatást indítványozott, mert álláspontja szerint András megpróbálhat még bizonyítékokat eltüntetni, vagy a biztonsági réseket kihasználva bosszút állni a sebezhető rendszeren. A bíró végül úgy döntött, nincs szükség előzetesre, így András szabadon távozhatott. Házi őrizetet sem rendeltek el ellene.

Azóta zajlik a nyomozás. Az Andrástól lefoglalt informatikai eszközök lefoglalását meghosszabbították.

Pénzt akart?

A történetet végigolvasva, biztos jó néhány kérdés felmerül az olvasókban. Vajon András tényleg segítő szándékkal fordult a Telekomhoz? Több pénzt akart, mint amit ajánlottak neki? Miért folytatta a kutakodásait, ha a Telekomtól nem kapott választ az állás vagy a szerződéses megbízás ügyében?

András ezekre azt mondja: elsősorban a segítő szándék és a kíváncsiság hajtotta. Ő maga is ügyfele a Telekomnak, és nem akarta elhinni, hogy ilyen biztonsági rések vannak a rendszerben. Ezt szerette volna jobban felderíteni. A Telekomnál lezajlott találkozó után ezért folytatta a teszteléseket, amelyeknek eredményét szintén szerette volna átadni a cég biztonsági vezetőinek. András nem tartja magát hekkernek, csak az informatikai biztonság iránt érdeklődő embernek, akit csalódással töltött el, hogy a mobil- és internetszolgáltató nem veszi elég komolyan saját rendszere és ügyfelei adatainak biztonságát.

A Magyar Telekom Nyrt. kérdésünkre azt írta: az ügyfelek személyes adatait András tevékenysége nem érintette, a Magyar Telekom vezetékes és mobil-előfizetőinek személyes adatai teljes biztonságban voltak és vannak. Támadása nem érintette azokat a távközlési hálózatokat, amelyeken az ügyfelek kommunikáltak. Az általa feltárt hiányosságokat pedig a cég haladéktalanul kijavította, megszüntette.

Nagyon más ez, mint a PIN-kód-lopás

„Védencem mindent beismert, mindenben együttműködött a hatóságokkal” – mondja Janklovics Ádám, András ügyvédje. Az ügyvéd szerint ez az ügy is megmutathatja, mennyire nincs kialakult gyakorlata még a magyar igazságszolgáltatásban az információtechnológiával kapcsolatos eseteknek és az etikus hekkerkedésnek. András valóban szándékos cselekményt követett el azzal, amikor bejutott és adatokat módosított a Telekom hálózatában. Ezt azonban nem használta fel saját javára, nem értesítette a konkurenciát, nem okozott kárt, hanem jelezte a hibát a szolgáltatónak, mondta az ügyvéd.

Janklovics Ádám bízik benne, hogy a bíróságon bebizonyosodik: nagyon más esetről van szó, mint amikor hekkerek megszerzik valakinek a PIN-kódját, és a bankkártyájáról leemelik a pénzt maguknak, vagy adatlopással/adatmódosítással okoznak kárt egy cégnek. András esetében a legfőbb kérdés épp az, mire irányult a szándéka. Ha rosszhiszeműen jár el, súlyos kárt okozhatott volna a szolgáltatónak és a szolgáltatást használó sok százezer embernek. András ehelyett egy olyan hibára mutatott rá, amit a cégnél dolgozó, jól fizetett szakemberek nem vettek részre, majd saját költségén utazott el Budapestre, hogy ezt elmondja nekik.

Jobb azonnal szólni

Az informatikai rendszereknél nem lehet 100 százalékos biztonságról beszélni, írta kérdésünkre a Magyar Telekom Nyrt. A biztonság fenntartása folyamatos erőfeszítést igényel az IT-cégek részéről, folyamatos kihívás és versenyfutás is egyben az egyre kifinomultabb módszereket alkalmazó támadások meggátolása. A Magyar Telekom szerint bár érkeznek támadások, ezek közül kevés a valóban sikeres, a szolgáltatás biztonságos működésére nézve veszélyes kísérlet.

„Amennyiben a támadó nem jelentkezik azonnal önként, ezzel jóhiszeműségét igazolva, és az észlelt támadás átlép egy szintet, akkor belső eljárásrendünk alapján ismeretlen tettes ellen feljelentést teszünk, tesszük ezt rendszereink és a szolgáltatások folyamatos biztosítása érdekében” – írta a cég. A bejelentett vagy felderített hibákat azonnal javítják, és folyamatosan intézkedéseket tesznek a biztonság növelése és ügyfeleik védelme érdekében. 

Amennyiben a Magyar Telekom Csoport valamely rendszerén valaki hibát talál, és ezt a Telekomnak haladéktalanul jelzi, semmilyen módon nem él vissza ezzel (pl. nem módosít, nem töröl, nem ment ki információt stb.), együttműködik a Telekom saját vizsgálatával és nem publikálja a hibát (ezzel veszélyeztetve a rendszert), akkor a Telekom nem tesz feljelentést ellene.

A Magyar Telekom Csoport még azt közölte: az internetbiztonság érdekében kész komoly szerepet vállalni Magyarországon az „ethical hacking” tevékenység témakörében, ezért iparági szintű konzultációt kezdeményez. András szerint azonban most épp annak a megítélése nehéz, mit is tekintenek haladéktalan jelzésnek. Vajon hagynak-e elég időt arra, hogy valaki kívülről feltárjon egy hibát, és ezt jelezze. Vele épp az történt, hogy felfedezett egy biztonsági rést, nem sokkal ezután pedig már feljelentést is tettek miatta. Esélye sem volt arra, hogy a dolog végére járjon.

Borítókép: Mohai Balázs / MTI.