Tetszett a cikk?
Értékelje a cikket:
Köszönjük!

Az egykori városi cégvezetőt jogerősen is bűnösnek találták az önkormányzat rendszerébe történő illetéktelen behatolásban. A védekezésében sebezhetőségi próbára és többek által használt jelszavakra is hivatkozott, de ezeket nem fogadta el a bíróság. Végül három év után pénzbüntetést kapott a korábbi ítéletekkel szemben.

Ahogyan korábban beszámoltunk róla, Hódmezővásárhelyen zajlott egy hackertámadással kapcsolatos, több okból is érdekes eljárás. Egyrészt az önkormányzat rendszerébe történő behatolással a városi informatikával is foglalkozó cég korábbi vezetőjét vádolják, másrészt ő nem mellesleg a néhai polgármester fia, ifjabb Rapcsák András. A büntetővégzéssel meghozott ítélet és az azt követő fellebbezés után elsőfokon a magyar jog egyik legenyhébb szankcióját, a próbára bocsátást szabták ki rá, ám ismételt fellebbezéseket követően idén április 20-án felülbírálta a másodfokú bíróság a még tavaly május 25-én megszületett ítéletet.

A büntetést némileg súlyosbította, ifjabb Rapcsákot negyedmillió forint pénzbirságra ítélte, ismét tárgyalás tartása nélkül.

Ezenkívül az elsőfokú ítélet többi részét meghagyták, ez az ítélet már jogerős, fellebbezni ezzel szemben már nem lehet. Az ítéletet egyedül akkor kell fogházban letöltendő szabadságvesztésre változtatni, ha az érintett valamiért esetleg nem fizetné azt be. A Szegedi Törvényszék ugyanis a vádlottal szemben a próbára bocsátást 250 napi pénzbüntetésre súlyosította, naponta ezer forintos összeggel, így jött ki a 250 ezer. Az áprilisi döntésről azért a héten tájékoztatta lapunkat a törvényszék sajtóosztálya, mert azután – korábbi közlésük alapján – még meg kellett várni az ügydöntő határozat írásba adását és a résztvevőknek történő eljuttatását.

Rendszerüzemeltetés lehallgató szoftverekkel?

A hvg.hu birtokába került az ítélet leirata is, melynek indoklásából számos részlet kiderül az incidensről. Mint ismert, Márki-Zay Péter első időközi győzelme és a 2019-es rendes önkormányzati választás között hatoltak be az önkormányzat rendszerébe, még ha az utolsó pillanatban el is tudták vágni a hozzáférést. (Eddigre már óvatosak voltak, történt már korábban ugyanis egy másik attak is, ahol kis híja volt, hogy megsemmisüljön a teljes önkormányzati adatvagyon.) Tudni kell, hogy a hatalomátvétel után nem sokkal szinte egyszerre mondott fel az önkormányzat mindhárom informatikusa. Ezért az informatikával is foglalkozó önkormányzati cég, a HVSZ Zrt. munkatársai végeztek el nekik egy ideig informatikai munkákat, melynek akkoriban Rapcsák volt az igazgatósági elnöke.

A vád egyrészt azt tartalmazta, hogy már ennek a szerződésnek a felmondása után, jogtalanul lépett be az önkormányzat rendszerébe, erről korábban azt írta ifjabb Rapcsák, hogy „belépés fizikailag elképzelhető volt, de szándékosság bizonyosan nem volt benne”. De a szimpla belépésnél többről volt szó, a HVSZ időközben leváltott vezetősége korábban egy részletes listát közölt, milyen szoftvereket telepített fel az önkormányzat hálózatán létrehozott virtuális gépre. Melyek közt pedig hálózati lehallgatásra és jelszófeltörésre használható és távoli asztali kapcsolatokat feltörni képes is volt. Ezek alapján nehéz volt kimagyarázni, hogy puszta félreértésről lenne szó.

Túry Gergely

A birtokunkba került ítéletben szereplő szoftver-felsorolás alapvetően egybevág az általuk évekkel ezelőtt leírtakkal, ők külön ki is emelik a Cain & Abel nevű programot, mellyel az ítélet indoklása alapján bejelentkezési információkat is gyűjtöttek. Így el is utasította a bíróság azt a védekezést, hogy a programokkal csak a rendszer üzemeltetését végezték volna. A védelme azzal is igyekezett érvelni, hogy rajta kívül még hatan ismerték a polgármesteri hivatal jelszavait, így a szoftverbe felvezetett adatok alapján akár a szerverekre való véletlen rácsatlakozás is elképzelhető volt, a támadáshoz használt laptop pedig a rendszergazda irodájában volt az inkriminált időszakban, sőt: azt is állította, hogy a programokkal csupán a hálózat védelmét tesztelte.

Nem lehetett etikus hackelés

Az említett laptopot ugyanakkor Rapcsák lakásán foglalták le – érdekes módon addigra már üres merevlemezzel. Az ítélet indoklásában az is szerepelt, hogy Rapcsák vezetői pozíciójából adódóan ismerte a belépési adatokat, az elkövetéskor használt IP-cím a cég zárt vezetői irodai hálózatához volt rendelve, amihez neki volt hozzáférése. Nem is találták sikertelen belépési kísérletnek nyomát. A bíróság azt a védekezést is elutasította, hogy a programokkal az önkormányzat védelmi rendszerét szerették volna tesztelni. Hiszen eddigre már nem voltak szerződésben ilyesmire velük, így nem is lett volna joguk a rendszerbe belépni, még ha ismerik is a jelszavakat. (Igaz, a védelem arra is hivatkozott, hogy a HVSZ későbbi vezetése elismerte, hogy az önkormányzat és cége közt volt a szerződés lejárta után is munkavégzés.) A vádlott valamilyen szóbeli megállapodásra hivatkozott, de a város polgármesteri hivatala cáfolta, hogy ilyen lett volna.

A dokumentum szerint Rapcsák többször is felhívta egyébként a figyelmét a hivatalnak, hogy cseréljék le a jelszavaikat, amit nem minden esetben tettek meg. Ez természetesen nem jogosította fel, hogy ezekkel visszaéljen, a Csongrád-Csanád Megyei Főügyészség súlyosbító tényezőként is értékelte, hogy visszaélt a korábbi szerződéshez kapcsolódó bizalmi viszonyukkal. Ezek után azt a lehetőséget is elvetették, hogy véletlenül, gondtalanságból történt volna a behatolás. A megállapodás amúgy sem terjedt ki a védekezésként előadott biztonsági ellenőrzésekre, jószándékú sérülékenységi vizsgálatot pedig egyébként is a rendszer tulajdonosának tudta nélkül nem végez senki – már csak azért is, mert ez a rendszer használhatóságára is kihatással van – érveltek.

Magyarán, ha „etikus hackelésről” lett volna szó, arról az önkormányzat tudott volna és azt dokumentálták volna.

A másodfokú bíróság úgy ítélte meg, hogy az önkormányzati informatikának – melynek működése egyébként jellegéből adódóan közérdek – többet is akarhatott ártani Rapcsák. Így, bár ő büntetlen előéletű és a támadást az önkormányzat részben megelőzhette volna – a jelszavai lecserélésével –, a támadás többeket is érintett és ha nem fedezik fel időben, súlyosabb következménye is lehetett volna. Erre következtetnek ugyanis a támadáshoz a hálózatba létesített virtuális gépre feltelepített szoftverek jellegéből, következtettek. Az általa elkövetett bűntettről megállapították, hogy az a társadalomra rendkívül magas fokon veszélyes, de az a dokumentumból nem derül ki egyértelműen, pontosan mihez szeretett volna hozzáférni, milyen adatokat szeretett volna megszerezni kevéssel az önkormányzati választás előtt.

(Kiemelt képünk illusztráció. Forrás: Piqsels)

HVG

HVG-előfizetés digitálisan is!

Rendelje meg a HVG hetilapot papíron vagy digitálisan, és olvasson minket bárhol, bármikor!