A hackertörvények ellentmondásai

A magyar büntető törvénykönyv módosítását a Legfőbb Ügyészség szerint az indokolta, hogy amíg 1997-ben a számítógépes bűncselekmények által okozott kár 91,5 millió forintra rúgott, addig ez az érték 1998-ra 220 millió, 1999-re pedig 1,66 milliárd forintra nőtt. Tavaly 1,04 milliárd forintos kárt regisztráltak, ám a felderítetlen és a nyilvánosságra nem hozott ügyekkel együtt a teljes összeg akár az évi 4-5 milliárd forintot is elérheti. A hackerek ellen korábban garázdaság és rongálás miatt próbáltak vádat emelni, a 2003 január elsején életbe lépő módosítás azonban büntethetővé teszi az informatikai rendszerbe történő jogtalan belépést, működésének akadályozását (például a DoS-támadásokat), az informatikai eszközökkel (vírusok, exploitok) történő visszaélést, és az informatikai csalást (például weblapok jogosulatlan felülírását). A módosításokat még az Országgyűlésnek is el kell fogadnia.

A magyar törvényalkotók feltehetően nem tanulmányozták az amerikai hackertörvény, az 1998-as Digital Millennium Copyright Act (DMCA) hatását: szakértők szerint a törvény visszavetette a számítógépes biztonságot, mert a "töréseket" korábban publikáló szakértők retorziótól tartva nem teszik közzé a biztonsági réseket, így azok kijavítására sem kerülhet sor. A profitorientált informatikai bűnözők jóval egyszerűbben juthatnak be egy rendszerbe egy nem publikus, így ki sem javított biztonsági rés ismeretében, míg korábban a "törések" csak rövid ideig éltek: nyilvánosságra kerülésük után a gyártó kényszerítve volt a hiba kijavítására.

A DeCSS-től Dimitrij Szkljarovig

A példákat hosszan lehet sorolni: tavaly a DVD-videolemez másolásvédelmét megkerülő DeCSS-szoftver készítőit és a forráskódot a weben publikáló, illetve azt mutatóval "népszerűsítőket" marasztalta el az amerikai bíróság a DMCA alapján. A legutóbbi, nagy port felkavart eset Dimitrij Szkljarov orosz kriptográfusé, aki megfejtette az Adobe-féle elektronikus könyv másolásvédelmét, és a weben publikálta a törést. Az FBI bilincsben vitte el a DefCon kaliforniai hackerkonferenciáról, jelenleg szabadlábon védekezik. Ő lehet az első, akit börtönbüntetésre ítélnek a DMCA alapján, és ez sok biztonsági szakembernek elvette a kedvét - ha nem is a hackeléstől, de attól, hogy a felfedezett réseket publikálva szívességet tegyenek a gyártóknak és a felhasználóknak. Szkljarov letartóztatása óta a Microsoft-féle elektronikus könyv másolásvédelmét is feltörték, az anonim szakember azonban a Technology Review-nek elmondta: a jogi felelősségrevonástól tartva nem kívánja publikálni módszerét.

Hasonlóan alakult a helyzet az online zeneterjesztés biztonságossá tételén munkálkodó multinacionális lemezkiadók által kifejlesztett "digitális vízjelben" felfedezett biztonsági rés ügyében. Az SDMI másolásvédelmi szabványban Ed Felten, a Princeton egyetem számítástechnikai professzora fedezett fel hibát, amelyet azonban hosszú ideig nem publikált, mert a lemezkiadók perrel fenyegették. Felten alapvetően elhibázottnak tartja a DMCA azon paragrafusát, amely tiltja a szerzői jogok megsértésére alkalmas készülék vagy kód terjesztését, és ellenpert indított, hogy felfedezését publikálhassa. Ez végül meg is történt: augusztusban a washingtoni USENIX 2001 Security Symposiumon ismertette a törést.

Illegalitásba vonulnak a szakértők

A szakemberek többsége azonban nem vállalja a kockázatot, és inkább elzárkózik az ilyen jellegű információk korábban szinte természetesnek számító közlésétől: a holland Niels Ferguson például megtagadta az Intel HDCP digitális videoszabványának "fatális hibájának" ismertetését, mivel attól tart, hogy rendszeres amerikai útjai során lecsaphat rá az FBI. Egy másik közismert szakértő, Fred Cohen levette a webről "Forensix" nevű programját, és több közismert számítógépbiztonsági honlap is megszűnt, vagy öncenzúrát gyakorol. A megfélemlített szakértők az Anti-DMCA.org honlapon tiltakoznak a hackertörvény ellen.

A szoftvergyártók és a szórakoztatóipar ugyanakkor tovább szigorítanák a törvényt: Fritz Hollings szenátor segítségével az amerikai kongresszus elé került a Security Systems Standards and Certification Act (SSSCA), amely kötelezővé tenné a beépített másolásvédelmet minden szórakoztatóelektronikai és számítástechnikai termékben. A törvényjavaslat tovább szigorítaná a büntetési tételeket: elfogadása esetén a másolásvédelem megkerüléséért öt év börtön és félmillió dolláros büntetés is kiszabhatóvá válna. A linuxosok szerint az SSSCA tervezete kriminalizálja az egész szabad forráskód mozgalmat.

A hacking: törésteszt

Technikai kérdésekben nagyon sok múlik a jogértelmezésen, az önkéntes, nonprofit alapon dolgozó hackereknek azonban nem telik jogászra, hogy eldöntsék, egy törés legálisan közzétehető e, avagy sem. Az orosz külügyminisztérium állásfoglalásban hívta fel az orosz programozók figyelmét arra, hogy a Szkljarov-ügy kimenetelétől függetlenül, bármikor attrocitásoknak lehetnek kitéve az Egyesült Államokban, mert a DMCA olyasmit is büntet, ami Oroszországban legális. A DMCA ellen tiltakozó programozók egyike az autók töréstesztjéhez hasonlította a hackelést: "A töréstesztekre azért van szükség, hogy erősebb és biztonságosabb autókat építsünk. A hackertörvény értelmében ilyesmire nincs szükség, mert ha valaki feltör egy szoftvert, a gyártó rögtön ráküldheti az FBI-t." Félő, hogy a magyar hackertörvény sem csak a profitorientált informatikai bűnözők mozgásterét szűkíti.