Kto żabą wojuje...
Nie należę do obrońców spamu, ale trudno mi akceptować działania mające DDoS'ować spamerów - w ten sposób cofamy się nieco w rozwoju społecznym. Na przykładzie niebieskiej żaby (Blue Frog) widać, że w Sieci toczy się krwawa wojna. System obrony przed spamem pod naporem zwrotnego ataku poddał się wczoraj presji (w Światowy Dzień Telekomunikacji). Pewnie tylko do czasu, aż wymyślą strategię obrony przed zwrotnymi atakami.
Eran Reshef z izraleskiej firmy Blue Security Inc. wpadł na taki pomysł, by walczyć ze spamem za pomocą spamu właśnie. Gdy ktoś wysyłał niezamówione wcześniej, elektroniczne reklamy, mógł liczyć na to, że ze wszystkich maszyn klientów Blue Security (a tych klientów jest ponoć 522 tysiące) uzyskają specjalnie spreparowaną zautomatyzowaną "odpowiedź" w tym samym czasie. Efekt jest wiadomy - wyłączenie usługi, DOS (operator witryny reklamującej się metodami spamerskimi miał wcześniej szansę uchronić się przed atakiem odwetowym żaby, wystarczyło, by usunął chronione przez . Blue Security adresy ze swojej bazy; zresztą o działaniu systemu poniżej)
Tego typu przeszkadzanie spamerom w dystrybucji treści reklamowych nie mogło się im spodobać, dlatego przypuścili atak. W wyniku ataku Distributed Denial of Service (atak wyłączenia usługi) ucierpiały również inne serwisy: jeden z popularnych serwisów blogowych, do którego twórcy żaby przekierowali domenę swojej strony głównej, a obsługiwany przez Six Apart Ltd., również firma Tucows Inc., która hostowała domeny Blue Security... Do kontrataku wykorzystano spamerskie botnety
Przemoc rodzi przemoc. Wydaje mi się, że działania, które - przynajmniej w mojej ocenie - nie powinny być uznane za zgodne z prawem (nie przekonują mnie argumenty na podstawie których można w tym przypadku uznać działanie systemu Blue Frog za działanie w stanie wyższej konieczności czy też, by to działanie mieściło się w granicach obrony koniecznej), nie powinny być uzasadniane walką o szczytne idee. Również złoczyńca ma jakieś prawa (tu nawiązuje do dzisiejszej mojej polemiki na ten temat z Mariuszem, którą sobie toczyliśmy w realu). W moim odczuciu działający jako przestępca nie stawia się poza systemem prawnym (spamer również powinien być chroniony przed DDoSem, a cywilizowanym sposobem rozstrzygania sporów jest sąd, zaś przeciwdziałaniem przestępstwom winien się zajmować skutecznie działający system aparat ścigania i wymiar sprawiedliwości).
Jasne, że ciężko dziś walczyć ze spamem za pomocą niedoskonałego prawa, którego nie ma na razie jeszcze jak egzekwować, zwłaszcza w świecie globalnym, w którym spamerzy beztrosko "przekraczają wszelkie granice" (zarówno państwowe jak i przyzwoitości). Ale zastanawiam się nad tym stanem wyższej konieczności. By można było mówić o działaniu w stanie wyższej konieczności, to takie działanie podjęte w celu ratowania dobra (prywatności, niezakłóconego działania infrastruktury) winno być zgodne z zasadą subsydiarności (czyli, że musi być jedynym wyjściem). Wydaje mi się, że DDoS na spemerskie serwisy nie był jedynym wyjściem (chociaż zdaje sobie sprawę, że z tą tezą można dyskutować). Należy też wziąć pod uwagę zasadę proporcjonalności, czyli, że dobro ratowane musi przedstawiać wartość wyższą niż dobro poświęcone. Każdy taki atak z botnetu (obsługiwanego przez gości w czarnych ale i białych kapeluszach) generuje w Sieci niezwykle dużo zbędnego ruchu, który jest dla infrastruktury niezwykle szkodliwy. Siłą rzeczy cierpią również osoby trzecie, zupełnie nie zaangażowane w "spór". Stan wyższej konieczności uregulowany jest w Polsce w art. 26 kodeksu karnego (poniżej przywołanego).
System Blue Frog być może stanowił sposób na odparcie "bezpośredniego, bezprawnego zamachu na dobro chronione prawem" (jw.: prywatność, niezakłócone działanie infrastruktury, etc). Wydaje mi się jednak, że DDoSowanie spamerskiego serwisu stanowi w istocie przekroczenie granic obrony koniecznej (nie dość, że sprawca zastosował sposób obrony niewspółmierny do niebezpieczeństwa zamachu - eksces intensywny, to jeszcze obrona nastąpiła po ataku - eksces ekstensywny, chociaż przyjmuję, że działanie spamerów można uznać za ciągłe)...
Elliot Noss z Tucows skomentował całe zajście (czyli atak na żabę) w następujący sposób: to było jak próba zabicia komara za pomocą bomby atomowej ("This attack really was like trying to take out a mosquito with an atomic bomb"). Myślę, że w podobny sposób można opisać wyłączenie usługi spamera za pomocą botnetu żaby.
Blue Frog ma w moim odczuciu więcej wspólnego z samosądem (czy też czymś na kształt historycznego kontratypu samopomocy, np. "krwawej zemsty") niż funkcjonowaniem demokratycznego państwa prawa (chociaż w erze globalizacji nie ma jednolitego globalnego państwa, nie ma jednolitego globalnego prawa, nie ma jednolitego, globalnego aparatu ścigania i takiegoż samego wymiaru sprawiedliwości). Wniosek z tego taki, że mamy globalny "dziki zachód" i "prawo pięści".
Okazuje się (co zresztą nie jest żadną nowiną), że przepustowość Sieci ma swoje granice. Atak na Blue Security obrazuje możliwości jakimi dysponują dziś spamerzy (sieci zainfekowanych komputerów zombie, które przy okazji jeszcze innych technik ataku potrafią skutecznie wyłączyć działania infrastruktury przedsiębiorstwa takiego jak Prolexic, specjalizującego się ponoć w obronie przed DDoS'em). Słuszne wydają się wnioski komentatorów, że internet nie spełnia tych założeń, które leżały u podstaw jego projektu (miało być tak, że gdy wyłączyć jeden z węzłów sieci, sama sieć dalej będzie sobie działać). Słuszne są też w mojej opini obawy tych, którzy pochylają się nad zagrożeniem, jakie stanowią botnety, komputery zombie, etc pod palcami złoczyńców (przeczytaj felieton: Wirtualny terror).
Z mojej perspektywy - do rozważenia jednak pozostaje wiele kwestii prawnych (tak, tak, znam ten argument, że prawo nie nadąża za postępem technicznym i społecznym), w szczególności odpowiedzialności za międzynarodowe działania ścigane przez prawo karne (zarówno w przypadku spamerów, jak również w przypadku stworzonego ad hoc botnetu Niebieskiej Żaby i prywatnego systemu ochrony adresów pocztowych - Do Not Intrude Registry, DNIR). Pozostaje kwestia odpowiedzialności za szkodę w przypadku serwisów (osób), które ucierpiały przy okazji tej wojny. Wszak możemy mówić o odpowiedzialności odszkodowawczej za działania własne, za przyczynienie się do powstania szkody, za działania osób trzecich... A przecież zgodnie z ogólnymi zasadami odpowiedzialności odszkodowawczej: "Kto z winy swej wyrządził drugiemu szkodę, obowiązany jest do jej naprawienia" (Art. 415). Można też rozważać odpowiedzialność za naruszenie dóbr osobistych (art. 24 kc), gdzie dobrem osobistym jest właśnie niezakłócone działanie infrastruktury telekomunikacyjnej... Ufff. Problemów jest masa.
O Blue Security u Tonida: "W 2004 roku Eran Reshef i Amir Hirsch z Izraela założyli firmę Blue Security. W 2005 roku firma wydała na świat swoje dziecko, czyli program Blue Frog. Jednocześnie uzyskała spore fundusze inwestycyjne, 3 mln USD od Benchmark Capital". Tam również opis działania systemu Blue Frog, na temat którego można znaleźć informacje w angielskojęzycznych źródłach:
- Washingtonpost.com: In the Fight Against Spam E-Mail, Goliath Wins Again
- Slashdot: Blue Security Gives up the Fight
- Wired: Under Attack, Spam Fighter Folds
Kodeks Karny (wybór)
Art. 25. (obrona konieczna)
§ 1. Nie popełnia przestępstwa, kto w obronie koniecznej odpiera bezpośredni, bezprawny zamach na jakiekolwiek dobro chronione prawem.
§ 2. W razie przekroczenia granic obrony koniecznej, w szczególności gdy sprawca zastosował sposób obrony niewspółmierny do niebezpieczeństwa zamachu, sąd może zastosować nadzwyczajne złagodzenie kary, a nawet odstąpić od jej wymierzenia.
§ 3. Sąd odstępuje od wymierzenia kary, jeżeli przekroczenie granic obrony koniecznej było wynikiem strachu lub wzburzenia usprawiedliwionych okolicznościami zamachu.
Art. 26. (stan wyższej konieczności)
§ 1. Nie popełnia przestępstwa, kto działa w celu uchylenia bezpośredniego niebezpieczeństwa grożącego jakiemukolwiek dobru chronionemu prawem, jeżeli niebezpieczeństwa nie można inaczej uniknąć, a dobro poświęcone przedstawia wartość niższą od dobra ratowanego.
§ 2. Nie popełnia przestępstwa także ten, kto, ratując dobro chronione prawem w warunkach określonych w § 1, poświęca dobro, które nie przedstawia wartości oczywiście wyższej od dobra ratowanego.
§ 3. W razie przekroczenia granic stanu wyższej konieczności, sąd może zastosować nadzwyczajne złagodzenie kary, a nawet odstąpić od jej wymierzenia.
§ 4. Przepisu § 2 nie stosuje się, jeżeli sprawca poświęca dobro, które ma szczególny obowiązek chronić nawet z narażeniem się na niebezpieczeństwo osobiste.
§ 5. Przepisy § 1-3 stosuje się odpowiednio w wypadku, gdy z ciążących na sprawcy obowiązków tylko jeden może być spełniony.
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
DDoS DDoSowi nie równy
Ale to nie jest jakiś wyrafinowany atak DDoS, tylko odesłanie "nie dziękuję" na każdy spam. Jeżeli ktoś chce wysłać 10mln wiadomości, to powinien liczyć się z dostaniem 10mln odpowiedzi.
Nie do końca zgodzę się z Twoim stanowiskiem
Wydaje mi się, Piotrze, że w Twoim wpisie jest drobna nieścisłość. Piszesz: "Eran Reshef z izraleskiej firmy Blue Security Inc. wpadł na taki pomysł, by walczyć ze spamem za pomocą spamu właśnie". Działania programu Blue Frog moim zdaniem nie miały nic wspólnego ze spamem. Po pierwsze, odpowiedź zwrotna nie była niezamówiona. Reklamodawca rozsyłając treści reklamowe jest przygotowany na otrzymanie w związku z tym odpowiedzi. Po drugie, odpowiedzi były przesyłane za pośrednictwem programu, ale nie masowo z jednego źródła, lecz przez każdego użytkownika indywidualnie, świadomie i za jego zgodą (wymagały instalacji programu, którego działanie było dokładnie wyjaśnione).
Jedyne, co może w tym wypadku sugerować, że takie działanie ma cokolwiek wspólnego ze spamem, to fakt, że program Blue Frog rozsyłał je automatycznie, a nie na sygnał dany przez użytkownika. Jeśli działanie Blue Frog byłoby postrzegane jako spam, to równie dobrze spamem mogą być wszelkiej maści autorespondery, zwroty niedostarczonej poczty itp.
Choć jak zapewne wiesz, ja reprezentuję "frakcję" zwolenników błękitnej żaby, to zdaje sobie sprawę z kontrowersyjności tego rozwiązania. Moim zdaniem błędem była całkowita automatyzacja procesu zgłoszeń. Tych wątpliwości nie byłoby, gdyby użytkownik dostał do ręki narzędzie, które umożliwia mu półautomatyczne wysłanie odpowiedzi. Czyli szkoda, że żaba nie działała w nieco inny sposób, np.:
- informując użytkownika, że firma przygotowała skrypt do zgłoszeń na daną stronę (reklamowaną w otrzymywanym przez niego spamie, z dokładnym wskazaniem raportów na podstawie których to ustalono),
- automatycznie pobierając skrypt,
- ale dając użytkownikowi możliwość samodzielnego uruchomienia tego skryptu (czyli np. wyświetlając komunikat, iż skrypt jest gotowy i wskazując przycisk, który należy wcisnąć by wysłać zgłoszenie, jednocześnie informując dokładnie w jaki sposób zgłoszenie będzie wysłane, na jaki list będzie odpowiedzią i jaka będzie zawartość zgłoszenia).
Musisz również pamiętać, że Blue Frog:
- przekazywał skrypty dotyczące strony X tylko użytkownikom, którzy zgłosili spam reklamujący tę stronę,
- wysyłał jedno zgłoszenie na użytkownika.
Tak więc pojedynczy użytkownik z pewnością nie przekraczał tu obrony koniecznej, ponieważ nie uczestniczył w przesyłaniu zgłoszeń na strony, które nie reklamowały się w przesłanym do niego spamie, a także wysyłał tylko jedno zgłoszenie w odpowiedzi na jeden spam. Negatywne (dla spamera) efekty były wynikiem nie działań pojedynczego użytkownika, lecz faktu że użytkowników było dużo. A to, że było ich dużo było wynikiem działań spamera, który masowo rozsyłał reklamę swojej strony. Jeśli więc uważasz, że takie działanie było nieetyczne lub nielegalne, to równie dobrze nieetyczne lub nielegalne mogłoby być "atakowanie" sklepów Media Markt w pierwszy dzień działalności przez tłumy klientów zainteresowanych zakupem tanich towarów.
Być może tę granicę przekraczała sama firma Blue Security przesyłając wszystkie zgłoszenia jednocześnie i w ten sposób powodując efekty zbliżone do ataku DDoS. Jednak jeśli takie działanie można uznać za atak DDoS, to za atak DDoS należałoby również uznać działania takie jak Slashdotting czy Digg effect, czyli jednoczesny napływ ogromnej liczby użytkowników na ciekawą stronę spowodowany zamieszczeniem odnośnika do niej na popularnym serwisie.
Groźna żaba
Wiesz Tonid, że ja też nie należę do miłośników spamu. Co do komentarza, to czy nie było tak, że odpowiadały maszyny wyposażone w skrypty niezależnie od tego czy dany user akurat dostał przesyłkę? I mean, czy to nie było tak, że jeśli chociaż jeden z uczestników botnetu froga dostał spam, to cały botnet odpowiadał? Co do prawa, to w ocenie działań liczy się jeszcze stan wewnętrzny sprawcy, wina, świadomość tego co się robi, w wielu przepisach karnych mówi się o celu (kto w celu...). To wszystko warto uwzględnić przy ocenie danego działania. Zgoda, że walka ze spamem to trudna sprawa, no ale nie piszmy o "efektach zbliżonych do ataku DDoS", skoro przecież celem systemu było właśnie wyłączenie usługi spamerów, racjonalizowane na poziomie semantycznym stwierdzeniem o odpowiedzi na ofertę wysłaną przez spamera.
Hehe :) Dotykamy po raz kolejny problemu definicji. O to m.in. chodzi w tych licznych nieporozumieniach w prasie, która pisze o działaniach legislacyjnych.
Jeśli przyjąć za punkt wyjścia definicję Mail Abuse Prevention System, o któej pisze Łukasz u siebie:
Zamówienie nie jest jedynym elementem oceny przesyłki...
Piszesz w swojej relacji ze spotkania w ministerstwie:
Cóż. Ja dostaję jakieś dziwne maile od sfrustrowanych gości, którzy piszą o komunistach, masonach i innych, wskazując ich a także postklerykałów (nawet nie wiem co to za nurt) i jeszcze masę innych jako winnych tego co się dzieje w Polsce, a co się dzieje też przesyłają. Ja tych ludzi nie znam, a relacja nie ma handlowego charakteru. Dlatego właśnie nie jest dobrze regulować wskazując zbyt szczegółowe pasmo zdarzenia. Lepiej wskazać chroniony interes. W mojej opini winna być chroniona prywatność.
--
[VaGla] Vigilant Android Generated for Logical Assassination
tonid napisał:
tonid napisał:
"Działania programu Blue Frog moim zdaniem nie miały nic wspólnego ze spamem. Po pierwsze, odpowiedź zwrotna nie była niezamówiona. Reklamodawca rozsyłając treści reklamowe jest przygotowany na otrzymanie w związku z tym odpowiedzi".
Oczywiście, spamerzy są przygotowani że dostaną odpowiedzi, dlatego najczęściej podają cudze adresy jako adres zwrotny, by nie oni te odpowiedzi dostali. W takim przypadku system Blue Frog mógłby spowodować, że przypadkowe osoby, których adresy spamer podał w polu Reply-To otrzymałyby spam od użytkowników "żaby". Spamer się śmieje, a cierpią niewinni ludzie. Chyba nie tak miało to wyglądać, prawda?
Niezupełnie...
Skrypt ma za zadanie wypełniać komentarze, czy tworzyć wpisy na forum, które reklamuje spam, nie odpowiada on na adres email, właśnie z tego powodu, który podałeś.
Jak czytam twoją wypowiedź.. to aż mi sie podnosi...
Powiem ci tak.. Osobiście oddałbym 80% przepustowości swojego łączą i był w stanie dać BlueSecurity do dyspozycji jeden z komputerów, które mam w domu. Ty masz chyba nierówno pod sufitem, będziesz wyjeżdzał z kodeksem i swoim własnym odczuciem oraz krytykował ludzi, którzy nie pozostali bierni i chodź raz dali popalić jakimś SPAM'erom. Dobrze, że nie zacząłeś Biblii cytować... Nie wiem skąd u ciebie taki punkt widzenia, jak lubisz nadstawiać drugi policzek to twoja broszka. Dam sobie rękę obciąć ze 80% ludzi, którzy zapisali sie do BlueSeciurity mają na tyle dość spamu przez które tracą dziennie kilka minut życia i niejednokrotnie dużo pieniędzy.
Sądząc, po tym co przeczytałem.. to jesteś jakimś bubkiem z Uniwersytetetu, któremu wydaje się, że stoi ponad innymi. Świat nie jest idealny, prawo nigdy nie będzie doskonałe a urzędnicy na państwowych posadach robią wszystko na pół gwizdka i im nie zależy. Dostałbyś 2 razy dostał pod oko na ulicy za nic, oddałbyś napastnikowi i okazałoby cię, dostałbyś wyrok w zawieszeniu to może być oprzytomniał.... Kodeks karny nigdzie na świecie nie chroni pożądnego obywatela, bo zawsze znajdzie sie gnój któremu nie zależy, który nic nie ma.. a jak do ciebie sie dobiorą to zabiorą ci wszystko począwszy od pracy a skończywszy na szczęsciu na które pracowałes całe życie... tylko przez to że się broniłeś.
Przepuściłem, chociaż nie o prawie
Przepuściłem ten komentarz, chociaż jest emocjonalny, w mojej ocenie nie jest merytoryczny (a ten serwis ma ambicje być serwisem prawniczym o prawie), ale przepuściłem, by na jego przykładzie wykazać, że nie cenzuruje krytyki w stosunku do swojej osoby :) Do tej pory nie przepuściłem już kilku komentarzy z niemerytorycznymi wypowiedziami, było kilka epitetów pod adresem (wymienionych czasem z nazwiska) urzędników. Były dziwne, jednolinijkowe przejawy aktywności. Kilka prób promocyjno-spamerskich. Wszystko to mało ciekawe z punktu widzenia jasno określonego profilu tego serwisu.
--
[VaGla] Vigilant Android Generated for Logical Assassination
Play the game, czyli żaba i spam globalny
Włączając się po prawie dwóch latach do żabiej dyskusji widać, że rację mieli chyba zwolennicy, szkockiego motta, z łaciny: Nemo me impune lacessit - "Nie siada się na oście" czyli w dosłownym "Nikt, kto mnie zaatakuje nie może czuć się bezkarnie"
Ataki globalnych spamerów przybrały ostatnio (2008) na sile i zaczyna to dotykać także polskich właścicieli witryn. Kiedy sprawdziłem ostatnio, że nie używana na mojej stronie książka gości jest regularnie spamowana od półtora roku, w zasadzie nie zrobiło to na mnie żadnego wrażenia. Ale kiedy odinstalowałem nieużywaną książkę gości, tzn moduł, stwierdziłem. że baza danych regularnie exportowana na dysk, z 30 MB zmniejszyła się do 5 MB. Czas transferu na dysk był już kilkadziesiąt razy krótszy. Była tam ponad 5 tys wpisów, linków spamerskich. Im zdecydowanie nie chodziło o wejście na ich strony.
Im chodziło o czas i zajęcie transferu mojego serwera.
Można przeliczyć czas i transfer jaki zajmuje przekopiowanie bazy, można obliczyć zmniejszona szybkość pracy serwera, a to znaczy, że można to wszystko obliczyć wymiernie w pieniądzu. Pojawia się pytanie, czy spamerom chodzi o sprzedanie czegoś, bezpośredni marketing, czy o działanie czysto terorystyczne, oparte bynajmniej nie na zasadzie wiktoriańskiego zachowania na polu walki do gry w krykieta: "Graj i rozrabiaj" ("Play up, and play the game")
Artykuł z 26 wrzesnia 2007 "Piraci idą na wojnę, ale ktoś wcześniej" potwierdza że znane na rynku przedsiębiorstwa zlecają i finansują działania przestępcze przeciwko serwisowi thePirateBay.org, czyli żaba ma się w sumie nie najgorzej. spam
Smutna rzeczywistość pogłębiona jest dodatkowo moją nieufnością do pracy naszych sadów rejonowych.
Podejrzewam, że 80 procent osób tam pracujących, nie jest w stanie, intelektualnie, iść Twoim tokiem rozumowania i w efekcie pojawia się przeczucie, że szkockie powiedzenie jest AD 2008, jak najbardziej aktualne.