További Biztonság cikkek
A brit köztévé informatikai ismeretterjesztő műsorának, a Clicknek legfrissebb epizódja az internetes bűnözéssel és a felhasználókra leselkedő veszélyekkel foglalkozik. Az adásban szó esik a botnetekről, a megfertőzött számítógépek távolról irányítható hálózatáról, melyeket jellemzően spamküldésre vagy szerverek elleni támadásokra használnak. Spencer Kelly műsorvezető rendhagyó módon egy, az irányítása alatt álló zombihálózattal demonstrálja az efféle rendszerek képességeit, ami több szakértőnél kiverte a biztosítékot. Vannak, akik felelőtlenséggel, és vannak, akik egyenesen törvénysértéssel vádolják a szerkesztőket.
Amint az adásból kiderül, a BBC egy kisebb, 22 000 számítógépet számláló zombihálózathoz szerzett hozzáférést. A hogyanról részleteket nem árulnak el, csupán azt, hogy online chatszobákat kerestek fel. Azt sem tudni, hogy fizettek-e a botnetért, és ha igen, mennyit. Az azonban elhangzik a műsorban, hogy „ha ezt bűncselekmény elkövetésének szándékával tették volna, törvénysértést követnének el."
Ezek után a kamerák előtt egy IT-biztonsági cég, a Prevx egyik tesztszervere ellen indítottak DDoS (túlterheléses) támadást, majd két, direkt erre a célra létrehozott postafiókot vettek célba kéretlen levelekkel. Kiderült, hogy már 60 gép folyamatos lekérdezései térdre kényszerítik a szervert, illetve az is, hogy egy ilyen hálózattal viszonylag sok spamet lehet küldeni. A levélküldős demonstráció egyébként nem igazán sikerült jól, jó néhány óra leforgása alatt kevesebb mint 10 ezer levél érkezett be a gmailes és hotmailes kísérleti postafiókokba, pedig a botokat egyenként 500 üzenet kiküldésére utasították. Igaz, azt többször is hangsúlyozzák, hogy megnövelték az egyes spamek kibocsátása közti időtartamot, hogy ne terheljék le túlzottan a gépek internetes sávszélességét.
Törvényt sértett?
Több szakértő szerint a demonstráció legalábbis aggályos. Az Out-law.com által megkérdezett szakjogász szerint teljesen mindegy, hogy nem bűncselekmény elkövetésének szándéka vezérelte a műsor készítőit, jogosulatlanul fértek hozzá mások számítógépeihez, ami sérti a számítógépes visszaélésekről szóló 1990-es brit törvényt. Nem számít, hogy a BBC nem akart bűncselekményt elkövetni vagy hogy más építette fel a botnetet - magyarázta Struan Robertson, a Pinsent Masons iroda ügyvédje.
Ennek ellenére is kevés az esély arra, hogy megbüntetnék a készítőket. „A maximálisan kiszabható büntetés két év börtön. Jelen esetben valószínűleg nem indul majd eljárás, mert a BBC akciójából vélhetően nem származott kár. Ellenkezőleg, sokak figyelmét felhívhatta a biztonság fontosságára" - tette hozzá a szakértő.
Már nem működik
A BBC egyébként hangsúlyozta, hogy a felvétel után a botnetet deaktiválta, és a gépek tulajdonosait figyelmeztette arra, hogy az operációs rendszerük fertőzött - úgy, hogy lecserélte a Windows háttérképét egy figyelmeztető üzenetre. A Sophos IT-biztonsági cég szerint ha mással nem, ezzel biztosan törvényt sértettek, hiszen a tulajdonosok jóváhagyása nélkül hajtottak végre módosítást a rendszerükön. Ők azt is kifogásolják, hogy egy műsor kedvéért fizettek a bűnözőknek.
„Ez a szakmai szabályok egyértelmű áthágása. Olyan, mintha egy tüzet bemutató vágókép kedvéért egy gyújtogatót bérelnének fel, hogy borítson lángba egy lakatlan épületet. Elmehettek volna bármelyik IT-biztonsági céghez, amelyek aztán demonstrálhatták volna a botnet-probléma súlyosságát" - fakadt ki John Pescatore, a Gartner elemzője. A törvényességi aggályokat firtató kérdésekre a műsor Twitter-oldalán a készítők ezt válaszolták: „Sosem csinálnánk ilyen műsort úgy, hogy nem kérjük ki jogászok véleményét."