Nie trać nadziei i daj... szansę

W Internecie znane są przypadki prób wyłudzenia okupu w związku ze skutecznie przeprowadzonymi atakami na systemy informatyczne różnych instytucji. W takich przypadkach należy skontaktować się z przełożonym i administratorem sieci. Oni skontaktują się prawdopodobnie z policją...

Szanowni Państwo. W ramach przeprowadzonego przeze mnie prywatnego audytu Państwa sieci odkryłem istotne luki bezpieczeństwa waszych systemów informatycznych pozwalające na przejęcie pełnej kontroli zarówno nad waszą stroną Internetową, jak również nad systemem transakcyjnym i obsługującym kontakty z waszymi klientami. Gdybyście byli zainteresowani otrzymaniem raportu dotyczącego wykrytych błędów w konfiguracji serwerów lub zleceniem mi ich usunięcia - proszę o kontakt w tej sprawie. Jednocześnie pragnę zauważyć, że pozostawienie wykrytych błędów w systemie może skutkować w niedalekiej przyszłości atakiem na ten i inne systemy pozostające w Państwa dyspozycji. Z takim atakiem związane są z reguły dotkliwe straty finansowe. Ile jest warte dla Was niedopuszczenie do utraty zaufania waszych klientów? Tak mógłby wyglądać uprzejmy list, który w rzeczywistości nie byłby niczym innym jak próbą wymuszenia haraczu.

W Internecie znane są przypadki prób wyłudzenia okupu w związku ze skutecznie przeprowadzonymi atakami na systemy informatyczne różnych instytucji. Groźba skierowana do instytucji dysponującej swoją siecią może polegać zarówno na nieujawnianiu wykradzionych danych, jak i na powstrzymaniu się od ich usunięcia. Internetem zainteresowały się zorganizowane grupy przestępcze, które kuszą olbrzymimi pieniędzmi wysoko wykwalifikowanych informatyków. Ci zaś potrafią przełamać często zaawansowane zabezpieczenia. Dlatego z próbami wymuszeń spotkały się zarówno małe firmy jak i dysponujące wszak dużymi środkami finansowymi banki. Próbowano wymusić okup również od firm profesjonalnie zajmujących się dostarczaniem usług. W ilu przypadkach wymuszenie doszło do skutku? O tym się głośno nie mówi.

Poza przewidzianymi w kodeksie karnym przestępstwami przeciwko ochronie informacji (te przestępstwa przewidziane są w rozdziale XXXIII kodeksu karnego w art. 265 i następnych) w większości przypadków możemy rozważać zaistnienie przestępstwa groźby karalnej. Grożenie innej osobie popełnieniem przestępstwa na jej szkodę lub szkodę osoby najbliższej jest w Polsce karane o ile groźba wzbudza w zagrożonym uzasadnioną obawę, że będzie spełniona. Ściganie takiego przestępstwa następuje na wniosek pokrzywdzonego. Groźba bezprawną jest również groźba rozgłoszenia wiadomości uwłaczającej czci zagrożonego lub jego osoby najbliższej. W niektórych przypadkach będziemy mieli do czynienia z przestępstwami przeciwko mieniu. Na szczególną uwagę zasługuje przepis, wedle którego penalizowane jest działanie polegające na doprowadzeniu kogoś do niekorzystnego rozporządzenia własnym lub cudzym mieniem za pomocą wprowadzenia go w błąd albo wykorzystania błędu lub niezdolności do należytego pojmowania podejmowanego działania. Działanie takie będzie karane, jeśli podjęte było w celu osiągnięcia korzyści majątkowej. Podobne przestępstwa zdefiniowane są w kodeksach karnych na całym świecie, chociaż oczywiście istnieją wyjątki.

Z tematem różnego rodzaju wymuszeń związany jest problem istnienia komputerów zombi. Za pomocą ataków typu distributed denial of service (DDoS) prowadzonych z takich maszyn można zablokować działanie systemów, co w konsekwencji prowadzić może do wielomilionowych strat. Jak wynika z informacji dostępnych w Sieci właściciel dostaje ulitimatum: by mieć spokój przez rok ma zapłacić haracz w wysokości 40 tys. - 50 tys. dolarów. Szantażyści używają do ataku setek tysięcy komputerów, nad którymi przejęto zdalną kontrolę - stąd ich ściganie jest utrudnione. Policja, która uważa te akcje za działania zorganizowanej przestępczości z Europy Wschodniej, wzywa przedsiębiorców do nieulegania groźbom i natychmiastowego zawiadamiania dostawców usług i policji.

Hazard jest dla zorganizowanej przestępczości łakomym kąskiem. Do pewnego brytyjskiego operatora udostępniającego w Internecie serwis bukmacherski zwrócili się "przyjaciele" z propozycją "ochrony" jego serwisu. Propozycja była związana z pewną opłatą... W tym przypadku sprawą zajęła się specjalna jednostka policji Britain's National Hi-Tech Crime Unit (NHTCU). Specjaliści od bezpieczeństwa informowali, że zaobserwowano więcej podobnych ataków na serwisy hazardowe w Europie i na Karaibach. Cena bezpieczeństwa wynosiła w omawianym przypadku około trzydziestu tysięcy dolarów. Wymuszenie poprzedzone było klasycznym atakiem DDoS. Przy okazji upublicznienia tej informacji policja ostrzegła: wymuszeń dokonują osoby, które nie są amatorami.

Z próbą wymuszenia haraczu spotkał się również japoński koncern komputerowy Softbank Corp. W dwóch odrębnych sprawach policja zatrzymała cztery osoby podejrzane o kradzież poufnych danych oraz próbę wymuszenia haraczu od japońskiego giganta w zamian za ich nieujawnianie. Nie wiadomo czy to dlatego, że Softbank nie poddał się próbie wymuszenia, czy z inego powodu - jednak na początku 2004 roku dane "wyciekły". Były to dane dotyczące ponad czterech i pół miliona klientów serwisu Yahoo!, którzy korzystali z udostępnianego przez Softbank łącza ADSL (asymmetric digital subscriber line).

Opisane wyżej przypadki dotyczyły raczej dużych organizacji, serwisów i systemów internetowych. Odnotowano jednak przypadki prób wymuszeń stosunkowo małych okupów od szeregowych pracowników firm. Wyobraźmy sobie sytuację, w której pracownik otrzymuje "anonimowy" list elektroniczny, a w nim następującą informację pochodzącą od szantażysty: jeśli nie uiścisz pewnej opłaty (np. 20 - 30 dolarów) w twoim komputerze korporacyjnym pojawią się pliki z pornografią dziecięcą albo znikną z niego ważne dokumenty firmowe. W takim przypadku należy skontaktować się z przełożonym i administratorem sieci. Oni skontaktują się prawdopodobnie z policją. Z szantażystami nie ma żartów, ale od takich właśnie spraw jest policja. Tylko czy w naszej rzeczywistości maszyn do pisania w komisariatach policja da radę skutecznie przeciwdziałać takim przestępstwom? Myślę, że trzeba dać jej chociaż szansę.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>