Nagrada ili zatvor? Što kada pronađete ranjivost u tuđem IT sustavu?

Sigurnosni istraživači igraju iznimno važnu ulogu u modernom digitalnom društvu. Zahvaljujući njihovom radu svakodnevno se otkrivaju ranjivosti koje bi u suprotnom mogle biti iskorištene za krađu podataka, prijevare ili prekid poslovanja. Međutim, posljednjih godina sve češće svjedočimo situacijama u kojima se nakon otkrivanja sigurnosnog propusta postavlja pitanje: radi li se o odgovornom istraživanju ili o neovlaštenom pristupu sustavu?

Mnogi vjeruju da je granica jednostavna. Ako nije bilo probijanja lozinke ili zaobilaženja zaštitnih mehanizama, smatraju da nije učinjeno ništa sporno. Nažalost, stvarnost je znatno složenija. Činjenica da je neka informacija dostupna zbog pogrešne konfiguracije sustava ne znači automatski da joj je dopušteno pristupiti.

Od otvorenog API-ja do nezaštićenog cloud spremnika

Ranjivosti se pojavljuju u različitim oblicima. Ponekad je riječ o otvorenom API-ju koji vraća podatke bez odgovarajuće autentikacije. Ponekad o SQL Injection propustu koji omogućava pristup bazi podataka. Nerijetko se radi o pogrešno konfiguriranom cloud spremniku, javno dostupnom direktoriju sa sigurnosnim kopijama, dokumentima ostavljenima u otvorenom SharePoint repozitoriju ili aplikaciji koja omogućava pristup podacima drugih korisnika jednostavnom promjenom parametra u URL-u.

U svim tim slučajevima istraživač može potvrditi postojanje problema uz minimalan pristup. Problem nastaje kada se krene dalje – kada se počnu pregledavati, analizirati ili preuzimati podaci koji nisu potrebni za dokazivanje ranjivosti. Upravo tada tehničko pitanje vrlo brzo postaje pravno pitanje.

Što kaže Kazneni zakon?

Hrvatski Kazneni zakon poznaje kaznena djela protiv računalnih sustava, programa i podataka. Posebno je važan članak 266. koji uređuje neovlašten pristup računalnom sustavu ili računalnim podacima.

U praksi to znači da se procjenjuje ne samo način pristupa, nego i pitanje ovlaštenja. Drugim riječima, nije presudno je li netko koristio sofisticirani alat za penetracijsko testiranje ili obični internetski preglednik. Ključno je pitanje je li imao pravo pristupiti podacima kojima je pristupio.

Naravno, svaka situacija ima svoje specifičnosti i konačnu ocjenu daju policija, državno odvjetništvo i sudovi. Međutim, tvrdnja da pristup nije sporan samo zato što nije bilo potrebno zaobići lozinku ili aktivno “provaliti” u sustav pravno je vrlo upitna.

Međunarodni standard kaže: prijavi, ne eksploatiraj

Za razliku od pravnih propisa koji definiraju granice dopuštenog ponašanja, stručna sigurnosna zajednica razvila je jasna pravila odgovornog prijavljivanja ranjivosti. Jedan od najvažnijih dokumenata u tom području je međunarodni standard ISO/IEC 29147 – Vulnerability Disclosure.

Standard promovira koncept koordiniranog otkrivanja ranjivosti (Coordinated Vulnerability Disclosure). Temeljna ideja vrlo je jednostavna: istraživač treba potvrditi postojanje ranjivosti uz minimalan mogući utjecaj na sustav, obavijestiti vlasnika sustava ili proizvođača te mu omogućiti razuman rok za uklanjanje problema prije javne objave detalja.

Takav pristup štiti korisnike, smanjuje mogućnost zlouporabe i omogućava organizacijama da uklone rizik prije nego što informacije postanu dostupne potencijalnim napadačima.

Najveći problem nisu sustavi nego podaci

Kada netko pronađe ranjivost, pravo pitanje nije postoji li sigurnosni propust. Pravo pitanje glasi: što je učinjeno nakon njegovog otkrivanja?

Je li istraživač pregledao jedan zapis kako bi potvrdio problem ili je preuzeo cijelu bazu podataka? Je li odmah obavijestio vlasnika sustava ili je prvo objavio članak? Je li poduzeo sve kako bi zaštitio korisnike ili je svojim postupcima povećao rizik za njihovu privatnost i sigurnost?

Za korisnike čiji su podaci potencijalno izloženi odgovori na ta pitanja često su važniji od same tehničke prirode ranjivosti.

Tanka granica između priznanja i problema

Sigurnosni istraživači često dobivaju priznanja, nagrade pa čak i zaposlenje zahvaljujući otkrivenim ranjivostima. Organizacije koje ozbiljno shvaćaju sigurnost cijene odgovorno prijavljivanje propusta i suradnju sa sigurnosnom zajednicom.

No ista priča može završiti i sasvim drugačije. Ako osoba nakon otkrivanja ranjivosti nastavi pristupati podacima za koje nema ovlaštenje, preuzima ih ili ih javno objavljuje prije nego što je organizaciji omogućila uklanjanje problema, vrlo brzo može prijeći granicu između sigurnosnog istraživanja i ponašanja koje će zanimati regulatore, odvjetnike i policiju.

U svijetu kibernetičke sigurnosti ponekad je dovoljna samo jedna pogrešna odluka da razlika između nagrade i ozbiljnih pravnih problema postane vrlo mala.