A brit köztévé informatikai ismeretterjesztő műsorának, a Clicknek holnap adásba kerülő epizódja az internetes bűnözéssel és a felhasználókra leselkedő veszélyekkel foglalkozik. Az adásban szó esik a botnetekről, a megfertőzött számítógépek távolról irányítható hálózatáról, melyeket jellemzően spamküldésre vagy szerverek elleni támadásokra használnak. Spencer Kelly műsorvezető rendhagyó módon egy, az irányítása alatt álló zombihálózattal demonstrálja az efféle rendszerek képességeit, amivel több szakértőnél kiverte a biztosítékot. Vannak, akik felelőtlenséggel, és vannak, akik egyenesen törvénysértéssel vádolják a szerkesztőket.

Amint az adásból kiderül, a BBC egy kisebb, 22 000 számítógépet számláló zombihálózathoz szerzett hozzáférést. A hogyanról részleteket értelemszerűen nem árulnak el, csupán azt, hogy online chatszobákat kerestek fel. Azt sem tudni, hogy fizettek-e a botnetért, és ha igen, mennyit. Az azonban elhangzik a műsorban, hogy „ha ezt bűncselekmény elkövetésének szándékával tették volna, törvénysértést követnének el.”

Ezek után a kamerák előtt egy IT-biztonsági cég, a Prevx egyik tesztszervere ellen indítanak DDoS (elosztott, szolgáltatás-megtagadással járó) támadást, majd két e célra létrehozott postafiókot vesznek célba kéretlen levelekkel. Kiderül, hogy már 60 gép folyamatos lekérései térdre kényszerítik a szervert, illetve az is, hogy egy ilyen hálózattal viszonylag sok spamet lehet küldeni. A levélküldős demonstráció egyébként nem igazán sikerül jól, jó néhány óra leforgása alatt is kevesebb mint 10 ezer levél érkezik be a gmailes és hotmailes kísérleti postafiókokba, pedig a botokat egyenként 500 üzenet kiküldésére utasították. Igaz, azt többször is hangsúlyozzák, hogy megnövelték az egyes spamek kibocsátása közti időtartamot, hogy ne terheljék le túlzottan a gépek internetes sávszélességét.

Törvényt sértett?

Több szakértő szerint a demonstráció legalábbis aggályos. Mert – érvel például az Out-law.com által megkérdezett szakjogász – teljesen mindegy, hogy nem bűncselekmény elkövetésének szándéka vezérelte a műsor készítőit, jogosulatlanul fértek hozzá mások számítógépeihez, ami pedig sérti a Számítógépes Visszaélésekről szóló 1990-es brit törvényt. „Az nem számít, hogy a BBC nem akart bűncselekményt elkövetni vagy hogy más építette fel a botnetet” – magyarázta Struan Robertson, a Pinsent Masons iroda ügyvédje.

Aki szerint egyébként ennek ellenére is kevés az esély arra, hogy emiatt megbüntetnék a készítőket. „A maximálisan kiszabható büntetés két év börtön. De jelen esetben valószínűleg nem indul majd eljárás, mert a BBC akciójából vélhetően nem származott kár. Ellenkezőleg, sokak figyelmét felhívhatta a biztonság fontosságára” – tette hozzá.

Már nem működik

A BBC egyébként hangsúlyozta, hogy a felvétel után a botnetet deaktiválta, és a gépek tulajdonosait figyelmeztette arra, hogy az operációs rendszerük fertőzött – úgy, hogy lecserélte a Windows háttérképét egy figyelmeztető üzenetre. A Sophos IT-biztonsági cég szerint ha mással nem, ezzel biztosan törvényt sértettek, hiszen a tulajdonosok jóváhagyása nélkül hajtottak végre módosítást a rendszerükön. Ők azt is kifogásolják, hogy egy műsor kedvéért fizettek a bűnözőknek.

„Ez a szakmai szabályok egyértelmű áthágása. Olyan, mintha egy tüzet bemutató jó vágókép kedvéért egy gyújtogatót bérelnének fel, hogy borítson lángba egy lakatlan épületet. Elmehettek volna bármelyik IT-biztonsági céghez, amelyek aztán demonstrálhatták volna a botprobléma súlyosságát” – fakadt ki John Pescatore, a Gartner elemzője.

A törvényességi aggályokat firtató kérdésekre a műsor Twitter-oldalán a készítők ezt válaszolták: „Sosem csinálnánk ilyen műsort úgy, hogy nem kérjük ki jogászok véleményét.”