Mária
-6 °C
-2 °C

Ilyen gagyi hiba a világon nincs

2014.04.01. 17:01 Módosítva: 2014-04-01 17:04:02
Augusztus óta nem nyugszanak a kedélyek a Szellemi Tulajdon Nemzeti Hivatala körül: akkor kiderült, hogy egy nagyon könnyen kijátszható biztonsági rés miatt illetéktelenek is hozzáférhettek titkosnak szánt adatokhoz. Az alapvető jogok biztosának jelentése szerint a hiba valóban létezett, de már javították. Azt nem tudni, a kár mekkora, de a hiba bejelentőjét kizárhatják szakmai kamarájából, mert illetéktelenül fért hozzá adatokhoz. A hivatal szerint viszont csak elvi jellegű volt a biztonsági rés, amit egyedül a bejelentő használt ki.

Pár napja elkészült Székely Lászlónak, az alapvető jogok biztosának állásfoglalása, jogi terminussal az AJB-7710/2013. számú állásfoglalás, még egy tavaly augusztusi ügyben. A megjegyezhetetlen karaktersorozat mögött igazi tragikomédia rejtőzik: az ombudsmanhoz Pintz György, a Magyar Szellemi Tulajdonvédelmi Egyesület elnöke fordult, miután lelepleztek egy ordító biztonsági rést a szabadalmakat kezelő rendszerben.

A hibát bejelentette, ám ezek után őt akarják kizárni a kamarából. 

Az üggyel kapcsolatban kerestük a Szellemi Tulajdon Nemzeti Hivatalát, azonban egyelőre nem kaptunk választ a kérdéseinkre. A másik érintett, a Magyar Szellemi Tulajdonvédelmi Egyesület furcsa cikkekkel rohanja le a sajtót.

A történet most már több évre nyúlik vissza. A Szellemi Tulajdon Nemzeti Hivatala, az SZNTH (korábban Magyar Szabadalmi Hivatalnak hívták, így talán érthetőbb a funkciója) elektronikus ügyintézési rendszert fejlesztett: kétlépcsős pályázatban, melynek első részére 95 millió forintot kaptak.  Az alapvető célt elérték: végre sok mindent papír helyett digitálisan is lehetett intézni. A rendszerbe azonban hatalmas, meghökkentően amatőr hiba csúszott.

2012 óta, mióta beüzemelték, a nem nyilvános adatokhoz is bárki hozzáférhetett, aki egyszerűen átírta az URL-t egy nyilvános lekérdezésnél.

Ez olyan, mintha a bankunk netes felületén átírhatnánk a a böngésző címsorában (ahová most éppen az van írva, hogy index.hu/tech/dátum/ennek a cikknek a címe) egy számot, és máris másvalaki bankszámlájában találnánk magunkat. Ezzel a hivatal honlapja  teljesen kiszolgáltatta a rábízott adatokat.

Ezt a biztos jelentése is megállapította:

A panaszos csatolt egy igazságügyi szakértő által készített szakvéleményt, mely szerint egy gyakorlott felhasználónak is feltűnhet vagy figyelemfelhívás esetén egyértelműsödhet, hogy az URL mely részét kell módosítania, ha kézzel szerkesztett lekérdezést akarna végrehajtani, ehhez programozási ismeretekre nincs szükség. [...] A hivatkozott esetben a kézzel átírt URL azért működhetett, mert volt mögötte tartalom, és nem volt magasabb jogosultsági szinthez kötött annak elérése. A lekérdezések működése alapján az oldal és a mögöttes tartalom könnyen hozzáférhetőnek minősíthető.

Konkrétan valószínűleg az elektronikus nyilvántartási/iratbetekintési rendszer érintett, ahol ilyen URL-ek működtek:
http://epub.hpo.hu/e-aktabetekintes/index.html?lang=HU&service=ADATLAP&appId=P1300481E

Itt elég volt a félkövérrel kiemelt részt átírni, hogy új adatlapra jussunk: akár olyanra is, amelynek még titkosnak kellett volna lennie, mivel az államnak 38 napja van arra, hogy egy szabadalmat megvizsgáljon, majd államtitoknak minősítsen. 

A tesztelési jegyzőkönyv szerint a böngésző parancssorába bemásolva az URL-t azt adta ki a felület, hogy a keresési feltétel szerinti adat(ok) nem található(ak) a nyilvános adatbázisban, azonban 5- 10 másodperc elteltével egy automatikus frissítést követően mégis megjelent az ügy adatlapja, rajta az összes digitalizált dokumentummal, amelyek egy kattintással megnyithatóak voltak.  

Ennél még az alkotmánybíróság honlapjának emlékezetes feltöréséhez is komolyabb szakértelem kellett, pedig az is az általános iskolai számtech óráról hekkerkedők szintje. 

A hibát a szabadalmakkal foglalkozó Magyar Szellemi Tulajdon Egyesület 2013 augusztusában jelentette a NTSZH felettesének, a KIM-nek. Közjegyzővel hitelesítették a lekérdezéseket, ez került bizonyítékként a minisztériumhoz. A biztos jelentése szerint nyilvános adatokat kértek le augusztus 26-ig, 27-én pedig már nem nyilvánosakat is. A közjegyző jelentése 30-án készült.

A hivatal, miután megnézte az iratokat, javította a biztonsági rést.

A hibát jelentő vállalkozót ezután megpróbálták kizárni a Magyar Szabadalmi Ügyvivői Kamara kamarából, ami miatt bírósághoz fordultak. A kamara felügyelője egyébként a szabadalmi hivatal, ezért az eljárást az ombudsman is kifogásolta, ha jogsértést nem is állapított meg.

Károsult is van?

A jelentés alapján a hiba 2012. július 1 óta létezhetett, mivel akkor vezették be az alkalmazást. Az Origó szerint a biztonsági résnek konkrét károsultja is van: egy magyar cég napelemeit vélhetően egyszerűen lemásolta a konkurencia, valószínűleg azért, mert idő előtt hozzáfértek a magyar szabadalomhoz. 

A Blikk szerint másfajta kár is keletkezett: a biztonsági rést felfedő iroda ugyanis most 800 adatot birtokol, amikhez a biztonsági rés miatt fértek hozzá. A kérdés valóban jogos: miért volt szükség ennyi adatra? A bizonyításhoz egy is elég lett volna. Viszont az sem tiszta, hogy ebből a számból mennyi a nem nyilvános adat. A közjegyzői hitelesítéshez csatoltak ilyet.

A SZTNH szerint csak két IP-címről fértek hozzá az adatokhoz, amelyek ugyanahhoz a szervezethez tartoznak. A két, egyébként személyes adatnak minősülő IP-címet a miniszter az üggyel kapcsolatban Gaudi-Nagy Tamásnak adott válaszában nyilvánosságra hozta. A válasz az egyesület szerint szó szerint megegyezik az SZNTH elnökének,  Bendzsel Miklósnak (aki egyébként 1998 óta tölti be ezt a tisztséget) 2014. február 12-én az ügyben tartott sajtótájékoztatón az újságíróknak kiosztott válaszával.

De mindez nem baj?

Kérdeztük az SZTNH-t, hogy konkrétan melyik rendszer volt érintett, erre azonban egyelőre nem kaptunk választ. Az ombudsman jelentése szerint feltehetően a TMview és a Federated Register alkalmazások URL címeit alakították át, „azok aktabetekintésre való alkalmassá tételével”.

Az SZTNH nem is vitatja ezt, azt írják a rendszerből „hiányzott egy megismételt publicitásellenőrzés”, így a rendszer nemcsak az arra jogosultak (az európai uniós társszervek), hanem bárki számára hozzáférhetővé tette a szabadalmi bejelentés teljes iratanyagát.

Az SZTNH szerint „a bárki általi hozzáférhetőség csak elvi szintű, ugyanis az elérési út maga nem volt széles körben ismert, magának a hivatalnak a honlapján nem is volt feltüntetve. Álláspontjuk szerint ténylegesen tehát csak olyan személy férhetett hozzá ilyen úton a dokumentumokhoz, aki tudott arról, hogy egy speciális alkalmazás révén, egy meghatározott URL segítségével is van lehetőség az elérhetőségre”. Magyarul nyitva hagyták ugyan a kincstár ajtaját, de kevesen tudták, hogy az melyik utcában van.

Valószínűleg még nem hallottak az interneten dolgozó több millió robotról, akik mindent begyűjtenek, amit elérnek; általában jóindulattal, ilyen például a Google keresőrobotja is. Ugyanígy nem hallottak még arról sem, hogy évtizedek óta egyre nagyobb mértéket ölt a kiberbűnözés, a célzott támadás, az adatlopás.

Mi lesz most?

Bár többen is hekkertámadásról beszélnek, ráadásul jó pár adat kiszivárgott, úgy tudjuk, egyelőre nincs feljelentés az ügyben. A jelenleg érvényben lévő jogszabályok alapján nem biztos, hogy az egyesület bűncselekményt követett el azzal, hogy illetéktelenül fért hozzá az adatokhoz. Legalábbis az „információs rendszerbe történő jogosulatlan belépés” cselekménye nem áll meg - abszurd módon azért, mert a törvény szerint ez csak akkor lehetséges, ha a rendszer védelmét megkerülték.

Ha nincs védelem, mit kell megkerülni? Az, hogy valaki nem tud fejből egy URL-t, nem védelem, robotok szakosodnak az ilyenek kitalálására. Ráadásul a védett URL-ek, amiket használnak, hosszúak, direkt, megjegyezhetetlen karaktersorozatokkal. Pár karaktert a mai PIN-kódos világban egy hároméves gyerek is megjegyez.

Ha tényleg voltak károsultak, külön polgári peres eljárást indíthatnak a hivatal ellen, amelyben bizonyítaniuk kell, hogy valóban kár érte őket a biztonsági rés miatt.

A pályázatokból még annyi derül ki, hogy 249 millió forintos költségvetésből átépítik a rendszert, modulárisra. Ez valószínűleg annyit jelent, hogy most már csak azok férhetnek hozzá a védett adatokhoz, akiknek valóban van jogosultak erre.