Fuszerka wykonawcy, szukanie luki, oferta naprawy i kajdanki

Ktoś znajduje błąd w serwisie internetowym, zwraca się do wydawcy serwisu z informacją o tym, że taki błąd jest oraz z propozycją, że naprawi go za wynagrodzeniem. Niby nic nadzwyczajnego, przecież w społeczeństwie informacyjnym - jak wielu podnosi - odpowiednia informacja, dostarczona w odpowiednim czasie może być przedmiotem obrotu i zyskać dużą wartość. Finałem sprawy są kajdanki i komisariat, przedstawienie zarzutów oraz propozycja dobrowolnego poddania się karze. Pytanie tylko, czy doszło do popełnienia przestępstwa.

Na forum Poradni Prawnej Callidus toczy się interesująca dyskusja, zainicjowana przez studenta, który od piętnastu lat interesuje się programowaniem i tworzeniem stron internetowych. Opisał on swoją historię, a najlepiej odda jej sens poniższy cytat:

...W połowie stycznia tego roku wszedłem na popularną stronę jednej z firm produkującej luksusowe samochody. Przeglądając źródło strony zauważyłem, że są tam liczne błędy, po czym wpisałem w formularz do logowania następujący ciąg znaków: ' or 1=1;-- Spowodowało to, że zostałem zalogowany na konto losowego użytkownika. Znajdowały się tam szczegółowe informacje o danej osobie. Aby wykluczyć jednorazowy błąd systemu operację wykonałem jeszcze około trzech razy, za każdym razem logując się na inne konto. Po potwierdzeniu moich przypuszczeń (błąd oprogramowania popełniony przez programistów projektujących tą stronę) skontaktowałem się z firmą informując ich o błędach, wskazując gdzie się znajdują i prośbą o wyłączenie wadliwych modułów. Firma mimo moich maili około 1,5 tyg. mnie całkowicie ignorowała nie odpowiadając na maile. W między czasie przejrzałem również inne strony internetowe firmy, która projektowała wspomnianą wyżej stronę. Okazało się, że błędy są na każdej ze stron tej firmy. Było ich łącznie około sześciu, które sprawdziłem i należały do największych firm w Polsce. W dwóch przypadkach strony dawały dostęp do danych osobowych klientów firm. Informacje o błędach powędrowały do każdej z firm. Jednocześnie zaproponowałem im, że mogę zająć się naprawieniem tych luk - oczywiście za wynagrodzenie. Po pewnym czasie skontaktował się ze mną dyrektor firmy projektującej te strony. Przesłał mi umowę-zlecenie, umowę o współpracy a także umowę o zachowaniu poufności. Umówiliśmy się na spotkanie. Gdy przyjechałem, po krótkiej rozmowie, wyciągnięciu ode mnie informacji jak naprawić błędy, podsunięto mi umowę o poufności, którą podpisałem. Wtedy została wezwana policja, która czekała w pokoju obok. Pozostałe umowy nie zostały podpisane. Bez podania zarzutów zostałem skuty, przeszukany i zabrany na komisariat.

Wedle kolejnych informacji - chłopakowi została przedstawiona propozycja dobrowolnego poddania się karze (6 miesięcy pozbawienia wolności w zawieszeniu na 3 lata, dozór kuratora, przepadek dwóch komputerów, pokrycie kosztów postępowania). Na początku nie było wiadomo jakie zarzuty mieli postawić chłopakowi, potem wyjaśniło się, że zarzuty, o których mowa, wynikają z art. 267 § 1 kodeksu karnego ("Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie..." - chłopakowi udało się też zdobyć opis zarzucanego czyny: "Będąc nieuprawnionym, przełamał zabezpieczenia serwera firmy [nazwa], w wyniku czego uzyskał dostęp do nieprzeznaczonych dla niego informacji"). Problem w tym, że chłopak podnosi, iż żadnych zabezpieczeń w serwisie internetowym nie było, więc nie mógł ich też przełamać. Czy coś wam to przypomina? Warto sięgać do kieleckiej sprawy dotyczącej linku do niedokończonego teledysku Depeche Mode (por. Historia oceni rok po wycieku "Precious").

Pytanie zatem o to, czy w tym konkretnie przypadku doszło do naruszenia przepisów ustawy karnej? Cóż. Ja tego nie wiem. Nie znam akt sprawy, a jedynie relację jednej ze stron. Jeśli było tak, jak wynika z relacji, to zastanawiam się czemu dyrektor przedsiębiorstwa doprowadził do podpisania umowy o poufności, zanim wezwał policję z sąsiedniego pomieszczenia. Czy chodziło o to, by zebrać jakiś materiał dowodowy na piśmie? Czy może o potwierdzenie tożsamości? Policja była (opieram się jedynie na relacji) w pokoju obok, więc tożsamość i tak można było potwierdzić na komisariacie. Być może zatem chodziło o jakieś uprawdopodobnienie pisemne zdarzeń, by nie opierać się wyłącznie na zeznaniach świadków czy ulotnych w pojmowaniu otoczenia "dowodów cyfrowych".

Podobne doniesienia gromadzę w dziale włamania. Przeczytaj również felietony: Nie trać nadziei i daj... szansę, Prawnicy, wirusy i poufność danych oraz Ważny jest kolor kapelusza. Przeczytaj również pracę magisterską autorstwa Marcina Karolewskiego pt. Przestępstwa przeciwko ochronie informacji (ze szczególnym uwzględnieniem art. 267 § 1).

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Bezpiecznik poufności

A może doprowadził do podpisania umowy, żeby uniemożliwić nagłośnienie sprawy? Tak naprawdę, nie znamy treści umowy, ale może chroni ona firmę przed utratą swoich klientów (gdyby chłopak przypadkiem dalej chciał szukać dziur i o nich uczciwie informować), albo co gorsza, chroni przed możliwością publicznej (pozasądowej) obrony (czy wręcz kontrataku) przez nieszczęśnika.

A swoją drogą, to nasza policja znów aresztowała groźnego hakera. I statystyki idą w górę.

re: bezpiecznik poufności

Chyba w ten sposób nie można uniemożliwić nagłośnienia. Przecież umowa musi nieść za sobą jakieś korzyści dla obu stron.

Jeżeli tego nie ma (a wg. tej relacji programista nie ma żadnych korzyści w zamian za zachowanie poufności), to chyba takie coś jest łatwe do podważenia jakby co ....

Też mi się wydaje, że asekuracja przez

Maltan's picture

promocją w mediach. Co nie zmienia jednak faktu, że sprawa może i powinna być publiczna. To się nazywa etyka w biznesie.

Wojciech

siedzieć za wiedzę ?

Zatem wiedza jest niebezpieczna.. każdy, kto zna magiczny kod: ' or 1=1;-- i zechce sprawdzić, czy jego bank lub strona parafii jest odporna na włamanie, może zostać oskarżony z powyższego paragrafu...
Ciekawe co by się stało, jeśli sprawa zostałaby mocno nagłośniona i setki tysięcy internautów zaczeliby w ten sposób sprawdzać serwisy www... sądownictwo i więzienia już są zapchane.. ;)
Sprawa kontrowersyjna, ale w końcu poprzez uwidacznianie ewidentnych niedociągnięć firm takich jak powyższa, bezpieczeństwo naszych danych w sieci poprawiło by się.

Przypomina mi to sprawę gościa, który upublicznił "dziurę" w systemie drukowania "boarding pass" w USA (świstek papieru z którym można wejść do samolotu) i na drugi czy trzeci dzień miał wizytę kolegów z FBI. Początek tutaj:
http://paranoia.dubfire.net/2006/10/airport-insecurity-for-masses.html

Wracając do chłopaka z artykułu - życzę powodzenia i znalezienia prawnika, który nauczy dyrektora, że tak się nie postępuje ... jakieś 100 tys. zł za dzień stracony na komendzie, w sądzie i w (odpukać !) ewentualnym więzieniu...

testy...

Tak na marginesie - wpisywanie sobie dla zabawy dowolnych ciągów SQLowych może czasami poważnie namieszać w serwisie/bazie - albowiem zamiast zwykłego wyszukania informacji (np. SELECT) możemy poważnie zmienić logike np. zmiany jakiejs wartosci w bazie i zamiast jednej osoby zmienic wszystkim (np. UPDATE).

Dlatego kazdy kto rozsadnie testuje, poważnie zastanawia się co tam wpisuje...

Taka ciekawostka...

Nie prawda, z zapytania

Nie prawda, z zapytania SELECT nie da się zrobić UPDATE. Wstrzykuje się w miejsce po WHERE czyli np:
SELECT id FROM db WHERE col='X' LIMIT 1
Gdzie zamiast X np ' or 1=1-- <-- wynik zapytania TRUE a na resztę zapytania komentarz.

hmm

a słyszałeś o union select i tabelach tymczasowych? Polecam głęboką lekturę, zanim zaczniesz dalej twierdzić, że się nie da

Nie wiem czy zwrociliscie uwage:

Kolega Hacker - NIE UZYL zadnego zapytania bo nie mial takiej mozliwosci, on tylko wpisal w pole w ktorym powinien sie znalesc przypadkowy ciag znakow
(ktory powinien byc jako taki portaktowany -> "identyfikator" czyli konto/haslo)
"mniej" przypadkowy ciag znakow...
Efektem powinno byc porownanie CIAGU ZNAKOW nie zas samego pola - bo to jest juz ewidentna fuszerka.

"or 1=1" to nie jest to samo co 'o'+'r'+' '+'1'+'='+'1'...

nie zgadzam sie

Nie za bardzo rozumiem intencji twojego tekstu. Jednak aplikacja powinna byc tak napisana aby niemozliwe bylo zalogowanie sie po wprowadzeniu dowolengo loginu i hasła. Takich podstaw ucza na poczatku studiow.

Wiedza na serio jest niebezpieczna

W USA, Finlandii dochodziło już do gorszych sytuacji. Zamknięto człowieka, który krytykował głośno system prawny (Digital Milenium Act)... Mam tylko szczerą nadzieje, że Polska nie zniży się do tego poziomu.

uczciwość

Tutaj rzeczywiście znamy opinie jednej strony. Jeśli tak było faktycznie to wygląda to jak koszmarny sen.
A co by się stało, gdyby ukrył fakt odkrytego błędu? Czy wtedy byłby oskarżany o zatajenie informacji - bo po tej historii, każdy się zastanowi co zrobić w przypadku wykrycia tak poważnego błędu?

Co w takim razie moze zrobic

Co w takim razie moze zrobic osoba wiedzaca o powaznym bledzie w popularnym serwisie internetowym?

Lepiej sprawe przemilczec az kiedys ktos wykorzysta dziure i naprawde namiesza?

Po prostu jak na uczciwego

Po prostu jak na uczciwego hackera przystało (wiem, że co niektórym to się kojarzy z "uczciwy złodziej") wysłać anonim i obejść się smakiem zamiast wykonanej usługi. No chyba, że w logach zostanie IP komputera z którego wpisano nieszczęsny ciąg znaków. No ale wtedy pytanie, czy internet w ogóle jest w naszym kraju legalny? Na upartego można by stwierdzić, że obejście już wcześniej uszkodzonych albo źle napisanych lub wcale niedziałających zabezpieczeń to od razu ich "złamanie". W końcu do wejścia w tą bazę danych potrzebna była jednak jakaś wiedza na poziomie "hasła uniwersalnego". Moim zdaniem prawo musi być zmienione tak, by osoba która obchodzi zabezpieczenia w dobrej wierze lub w celu wyższym, nie popełniała przestępstwa. Po prostu legalizacja hakerstwa (w dobrym znaczeniu tego słowa).
Widać jak nasze prawo nie przystaje do zmieniającej się rzeczywistości. Nawet to prawo cybernetyczne. Nie wystarczy do starej ustawy wpisać w co drugie zdanie "komputer" lub "internet", żeby wszystko było "na czasie". Jak i słowo "haker" nie powinno się kojarzyć decydentom i przedstawicielom władzy z hakami na polityków (swoich, bo haki na oponentów zawsze są OK).
Teraz konkluzja nieco ogólniejsza. Czekam kiedy wreszcie w sprawie szwankującej egzekucji "cyberprawa" wypowie się publicznie np. prof. Hołda z Helsińskiej Fundacji Praw Człowieka. Czy nie byłoby już czas, chociażby w tej akurat sprawie? Pan profesor znany jest z ostrych wypowiedzi np. przeciwko rozszerzaniu prawa do obrony koniecznej, czy w obronie pijanych kierowców. Wypowiedzi te wyglądają na dysputę czysto polityczną i często dotyczą zaledwie ministerialnych projektów zmiany prawa. Natomiast ten sam profesor zapytany o konkretny wyrok w konkretnej sprawie, lub ocenę konkretnego postępowania policji czy prokuratury, często wzrusza ramionami i mówi, że "tak bywa" (było tak np. w sprawie oskarżenia znalazcy portfela, który domagał się znaleźnego - podobnie jak w sprawie tego informatyka, również i tam właściciel umówił się dyskretnie ze znalazcą, a tu "komisarz wszedł przez okno" i ciach, "obrączki"). Rozumiem, że bez znajomości akt sprawy trudno się publicznie wypowiadać. Ale jednak "prawa człowieka" w nazwie zobowiązywałyby do innego stanowiska. Chyba się się czepiam, albo oczekuję zbyt wiele. Pozdrawiam Piotra i wszystkich "vaglowców".

"Co w takim razie moze

kravietz's picture

Co w takim razie moze zrobic osoba wiedzaca o powaznym bledzie w popularnym serwisie internetowym? Lepiej sprawe przemilczec az kiedys ktos wykorzysta dziure i naprawde namiesza?

Jak to mówią "dobrymi chęciami piekło jest wybrukowane". Prawda jest taka, że to jest ICH serwis i TYLKO oni odpowiadają za jego bezpieczeństwo.

Jeśli mają niedouczonych programistów to ryzykują np. włamanie z naruszeniem ustawy o ochronie danych osobowych i kary finansowe, które mogą doprowadzić do bankructwa. Niedouczeni programiści tracą pracę. Na rynku pozostją firmy, które dbaja o bezpieczeństwo i zatrudniające bystrzejszych programistów.

W sytuacji takiej jak opisał Mateusz, każdy kto zaczyna tam grzebać wkracza na ruchome piaski. Na świecie jest zbyt wielu "życzliwych", żeby można było sobie pozwolić na akademicką dobroduszność wobec takich ostrzeżeń. O ile na uczelni informowanie o dziurach było powszechną praktyką, o tyle w biznesie oznacza zwykle rekietiera.

--
Podpis elektroniczny i bezpieczeństwo IT
http://ipsec.pl/

Przykre, ale...

śledząc Twoje komentarze do róznych spraw opisywanych w tym serwisie odnoszę wrażenie, że przeszedłeś na ciemną stronę mocy tzn. mentalność biznesowa już całkowicie Cię pożarła.
Szkoda, bo kiedyś bardzo Cię ceniłem... :(

Broniąc kravtZa

VaGla's picture

W dyskusji na te, dość trudne, tematy ważne by spierały się różne punkty widzenia, ale by debata toczyła się zgodnie z pewnymi regułami. Chodzi mi o to, że każdy merytoryczny argument jest równouprawniony (nawet taki, z którym się nie zgadzam), a jednocześnie by powstrzymać się od argumentów ad personam. Temat jest trudny, bo dyskusja dotyczy znalezienia równowagi między tym co dopuszczalne (w tzw. "społeczeństwie informacyjnym"), a tym co inwazyjne w sferze praw i wolności innych. Taka granica jest niezwykle "trudnowyławialna". "Mentalność biznesowa", a ściślej "interes gospodarczy" również powinien być reprezentowany w debacie. kravietZ rzucił argument, być może nieprecyzyjny, ale zasługujący na uwzględnienie w dyskusji, o ile celem tej dyskusji jest właśnie znalezienie równowagi, a nie forsowanie prymatu jednego interesu nad drugim.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Ustawa o ochronie danych osobowych

Ciekaw jestem, czy rejestr danych osobowych był zgłoszony do GIODO (Generalny Inspektor Ochrony Danych Osobowych). Ciekaw jestem czy systemy spełniały wszystkie wymogi narzucone przez ustawę (tutaj poziom III):
- pofuność transmisji
- rejestracja udostępnianych danych, ich zakresu, tożsamości przeglądającego, celu
- polityka haseł (zmiana hasła co najmniej co 30 dni i odpowiednia jego zawartość).

Rozwiazanie jest proste. Nie

Rozwiazanie jest proste. Nie nalezy informowac firmy o jej bledzie tylko wiadomosc o bledzie upubliczniac jak najszerzej, napisac do brukowcow. Niestety jaki kraj ma swoja specyfike. A jak biznes dorosnie, jak bedzie sie tekie informacje traktowac zyczliwie a ten kto zapuszkuje informatora zniknie z rynku z braku zaufania klientow itd jak Lewiatan i inni przestana namawiac do otwarcia rynku dla azjatow przed tym jak polacy beda mogli pracowac np. w niemczech itd to bedzie mozna prowadzic dialog.
Tutaj na dalekim wschodzie cywilizowane reguly postepowania jeszcze nie sa wypracowane i nie nalezy sie wymadrzac probujac przekonywac biznesmenow na sile. W Polsce nalezy upubliczniac dziury, przysylac anonimowe informacje konkurencji itd. bo tego wymaga lokalna specyfika.

"Jeśli mają niedouczonych

Jeśli mają niedouczonych programistów to ryzykują np. włamanie z naruszeniem ustawy o ochronie danych osobowych i kary finansowe, które mogą doprowadzić do bankructwa. Niedouczeni programiści tracą pracę. Na rynku pozostją firmy, które dbaja o bezpieczeństwo i zatrudniające bystrzejszych programistów.

Żartujesz czy zajmujesz się IT od paru dni? Jeszcze nie widziałem bardzie nieprawdziwej i wynikającej z nieznajomości rynku wypowiedzi...

Zabić posłańca...

Lepiej sprawe przemilczec az kiedys ktos wykorzysta dziure i naprawde namiesza?

Z takimi zabezpieczeniami to już dawno ktoś wykorzystał i sobie danych naściągał. Zakładanie, że jako pierwszy odkrył to akurat zgłaszający jest naiwne.

Oskarżanie człowieka, który przynosi złe wieści? Po kadrze kierowniczej jakiejś korporacji spodziewałbym się szerszych horyzontów myślowych.

Witam,

Witam,

Chciałbym sprostować mały szczegół - nie od piętnastu lat a od piętnastego roku życia :)

Wracając do sprawy to opisana jest tutaj dość ogólnie (cytat mojej wypowiedzi). Na forum Poradni Prawnej Callidus było więcej informacji jednak topic został przeniesiony do niedostępnego dla wszystkich działu gdyż były tam opisane różne sprawy, które nie powinny jeszcze trafić do publicznej informacji. Całość jest dużo bardziej 'pikantna'. Nie opisane są tutaj np. działania policjantów, a właściwie jednego, który kilka razy groził mi pobiciem, zachowywał się bardzo agresywnie, a podczas przesłuchania udzielał nieprawdziwych informacji i wymuszał zeznania. Moi rodzice (w ogóle nie zamieszani w sprawę, nie obejmowało ich zawiadomienie o popełnieniu 'przestępstwa') zostali na kilka godzin zatrzymani a podczas zatrzymania pięciu policjantów wyciągnęło broń i do nich celowało. Oczywiście rodzice żadnego oporu nie stawiali i nie byli uzbrojeni :)

Jeśli chodzi o 'umowę' o poufności. Nie niesie ona żadnych korzyści dla mnie. Zobowiązałem się tam nie ujawniać żadnych informacji o błędach i firmach, w których się znajdowały. Nakłada ona bardzo dużą kare finansową za jej złamanie + dodatkowa sprawa cywilna o odszkodowanie. Jest to oczywiste zabezpieczenie przed nagłośnieniem. Nie trafiła chyba nawet do akt sprawy. Poza tym nie mam pojęcia po co policji taki dowód - nic nie wnosi do sprawy. Wszystko co zrobiłem dokładnie opisałem w wyjaśnieniach (cztery strony A4) i niczego nie ukrywałem. Nie zgadzam się wyłącznie z tym, że było to przełamanie zabezpieczeń. Nie mówiąc już o tym, że w postanowieniu o postawieniu zarzutów napisane jest, że łamałem zabezpieczenia SERWERÓW! ..co jest chyba jakąś kpiną. Napisane jest także iż te serwery należały do firmy X (firma projektująca strony, ta która zgłosiła sprawę na policję) - problem w tym, że nie zajmują się oni hostingiem i nie mają żadnych serwerów. W skrócie można powiedzieć, że zostałem oskarżony o złamanie nieistniejących zabezpieczeń na nieistniejących serwerach...

Jeśli chodzi o 'przypadkowe' namieszanie w bazie danych - to nie było możliwe, a to dlatego, że mySQL nie dopuszcza wiązanych zapytań SQL. Poza tym nieświadomie nie da się usunąć tabeli czy rekordów tylko trzeba wydać konkretne polecenie...

Pozdrawiam

Śledzę z zainteresowaniem

kravietz's picture

Śledzę z zainteresowaniem tę sprawę, bo przez kilka lat zajmowałem się testami penetracyjnymi.

Pierwsza uwaga - zrobiłeś najgorszą z możliwych rzecz, oferując im swoje usługi za pieniądze równocześnie z informacją o dziurze. Poza tym że ich reakcja była przesadzona to mieli pełne prawo odnieść wrażenie że są ofiarą rekietu.

Niezależnie od tego życzę powodzenia bo wydaje mi się, że prawa w tym przypadku nie naruszyłeś.

--
Podpis elektroniczny i bezpieczeństwo IT
http://ipsec.pl/

Możliwe, że tak jest.

Możliwe, że tak jest. Może poczuli się zagrożeni, może uraziłem ich ambicje, możliwości jest wiele... Jednak wydaje mi się, że o wymuszeniu nie może być mowy. Co innego gdybym ja doprowadził do powstania tych błędów czy próbował atakować ich serwer (np. DDoS). Inaczej sprawa wyglądałaby gdybym np. udzielał im jakiś fałszywych informacji czy wprowadzał w błąd i na podstawie tych błędnych informacji wyrabiał u nich przekonanie, że mają jakieś luki, które faktycznie nie istnieją. Jednak w tym przypadku przedstawiłem im fakty, ich serwisy zawierały błędy na które nie miałem wpływu i na pewno nie byłem ich twórcą. Czy może być w takim przypadku mowa o wymuszeniu? Sprawa wygląda tak jakby mechanik samochodowy idąc ulicą zobaczył uszkodzony samochód a właścicielowi zostawił wizytówkę i zaproponował naprawę za określoną kwotę. Nawet mówiąc "Pana samochód jest uszkodzony - jego używanie może doprowadzić do groźnego wypadku i utraty życia" popełnia przestępstwo? Czy jest to wymuszenie? Czy właściciel powinien poczuć się zagrożony? Czy powinien zgłosić się na policję z zawiadomieniem, iż mechanik samochodowy grozi, że go zabije? Jeśli stanąłby przy tym samochodzie i powiedział "Zapłać mi albo zniszczę samochód" sprawa byłaby oczywista.

Pozdrawiam

To naprawde szkoda, ze nie

To naprawde szkoda, ze nie mozesz ujawnic nazwy firmy, na stronie ktorej znalazles blad... Czy NDA obejmowala takze nieujawnianie nazwy firmy, ktora projektowala im strone? Jesli nie, to chyba mozesz gdzies wspomniec jej nazwe... reszte zostaw internautom - po nitce do klebka dosc szybko sie dochodzi, a zwolennikow publicznego audytu firmy, ktora Cie tak zalatwila, pewnie troche sie znajdzie... :)

Poradnia prawana Callidus

Poradnia prawana Callidus znów przychodzi z pomocą:

Temat postu: Uchylenie się od skutków czynności prawnej - podstęp

Działający link

Link w komentarzu powyżej nie działa, więc daję linka do cache googla Temat postu: Uchylenie się od skutków czynności prawnej - podstęp

Nikt nie napisze Ci tego zapewne...

Nikt nie napisał Ci brutalnej prawny, więc ja to zrobię.

Dość prawdopodobne jest, że nie tylko sprawa nie zostanie umorzona, ale zostaniesz oskarżony i jeśli dzielnie się nie wybronisz udowadniając niewinność (sic!) to zostaniesz także skazany. Niestety testowane.

Ze złą wolą jakiś funkcjonariuszy zapewne się zdążyłeś już spotkać, więc takiej ewentualności nie muszę rozwijać. Jeśli są oni i/lub niekompetentni to łatwo sobie wyobrazić, że NIE będzie im zależeć na wyjaśnieniu sprawy.

Opinie biegłych? Ach, spotkałem się z sytuacją, gdy (wielce prze)biegły napisał po prostu, że popełniono przestępstwo. Nie napisał absolutnie nic w ramach uzasadnienia tezy. Że o wydawaniu opinii prawnej a nie technicznej nie wspomnę.

Zwrot rzeczy uznanych za dowody rzeczowe? Prokurator potrzebował 15 miesięcy i szeregu pism, by zwrócić rzeczy. Nie omieszkał pisać bzdur w odpowiedzi:
- za pierwszym razem, że dowody są niezbędne w postępowaniu (była to znaczna ilość nośników danych; biegły uznał w opinii, że są puste i tym samym nieprzydatne w postępowaniu); w tym przypadku trzeba było przedstawić prokuratorowi akta z jego własnego postępowania;
- za drugim razem, że zostały przekazane do sądu (była to nieprawda, dowody zostały wyłączone do innego postępowania); podobnie trzeba było przedstawić akta z jego własnego postępowania;
- poskutkował dopiero wniosek złożony do sądu, do którego dyspozycji rzekomo przekazano dowody - sąd przekazał do prokuratury i (chyba tak to trzeba rozumieć) prokurator dopiero w ogóle użył szarych komórek do zapoznania się z wnioskiem.

Generalnie bądź przygotowany, że absolutnie nikomu nie będzie zależało na wyjaśnieniu sprawy a za to będą tacy, którzy będą chcieli doprowadzić do skazania nawet ze świadomością Twojej niewinności.

Jeśli byłem gdzieś sarkastyczny to wynika to z moich doświadczeń, które trudno traktować chłodno bez emocji. Opisane fakty pochodzą z mojej własnej sprawy karnej. Co było potrzebne do wszczęcia postępowania w moim przypadku? O wiele mniej niż u Ciebie - _mail_ od jakiegoś życzliwego, który po tym nawet nie został przesłuchany. Gdy doprowadzę sprawę do, mam nadzieję, pozytywnego końca to z pewnością nadam właściwy bieg i być może jeszcze usłyszycie o tej sprawie...

pzdr

narzędzie zbrodni ;-)

maniak713's picture

Teraz czekamy, aż nasza dzielna Policja zrobi nalot na vagla.pl, serwis rozpowszechniający ewidentne narzędzie zbrodni w postaci tekstu ' or 1=1;.

A tak bardziej na poważnie, to mam wrażenie, że ktoś panu prezesowi zasugerował, że oferta naprawienia błędu może być formą szantażu, ten sie przestraszył... i ciąg dalszy znamy. Taka interpretacja zakłada brak złej woli i niekompetencję.

Ja czekam niecierpliwie na

kravietz's picture

Ja czekam niecierpliwie na sprawę, w której wywołanie linku generującego SQL injection zostanie fizycznie wykonane np. przez bota wyszukiwarki. W przypadkach gdy cały atak robi się przez URL to wystarczy go umieścić w kodzie HTML dowolnej strony i poczekać na bota wyszukiwarki. Albo na forum dyskusyjnym pod nazwą "darmowe strony porno". Inicjatorem zbrodni jest oczywiście jej inicjator - ale wykonawcą bot albo bezmyślna ofiara.

--
Podpis elektroniczny i bezpieczeństwo IT
http://ipsec.pl/

Witam, wracam do tematu bo

Witam, wracam do tematu bo wydaje mi się, że coś takiego bądź bardzo podobnego miało już miejsce: [wyniki Google]

Mnie nadal interesuje czy ujawniając komukolwiek informacje nt. omijania zabezpieczeń konkretnego serwisu internetowego jest karalne i co może mi za to grozić.

Nie tylko w Polsce

Podobne sprawy były poruszane kilkukrotnie na slashdot.org (np. Is It Illegal To Disclose a Web Vulnerability?). W większości przypadków dyskutanci dochodzili do wniosku, że szukanie błędów nie jest warte ryzyka, a jeżeli już się taki błąd znajdzie lepiej nie powiadamiać o nim właściciela strony lub powiadomić go z zachowaniem anonimowości na tyle na ile jest to możliwe.

W jednym z artykułów (niestety nie udało mi się go odnaleźć) autor sugerował poproszenie o pozwolenie na przeprowadzenie testów penetracyjnych strony (na piśmie), przed przesyłaniem jakichkolwiek informacji poza informacją o prawdopodobnym błędzie.

Witam

Witam
Moim zdaniem najważniejsze w tego typu sprawie powinno być
PRZEŁAMANIE ZABEZPIECZEŃ
Jeśli to nie jest spełnione to może dojść do absurdu, ponieważ teoretycznie można przez przypadek wyklikać w necie jakieś chronione dane. Często zdarza mi się skracać link w pasku adresu, może przez przypadek skrócę go o jedną cyferkę i wejdę do jakiejś bazy... I co mam za to odpowiadać, czy sąd nie może zachować odrobiny rozsądku?
Warunek przełamanie zabezpieczeń i wszystko jasne. Swoją drogę byłem pewien do tej pory że to podstawa aby udowodnć winę. Alee... nasze sądy zaskakują.

Według mnie wpisanie do

Według mnie wpisanie do formularza logowania formuły ' or 1=1;-- nie jest PRZEŁAMANIEM zabezpieczeń, lecz ich OMINIĘCIEM, gdyż w przypadku wpisania takiej formuły dalsza część zapytania SQL nie jest wykonywana (średnik i dwia minusy oznaczają rozpoczęcie komentarza w zapytaniu SQL) i sprawdzanie loginu i hasła nie odbywa się.

OMINIĘCIE zabezpieczenia nie jest karalne. Na to bym się powołał podczas obrony.

"Nie można natomiast uznać za przełamanie zabezpieczenia obejścia mechanizmów lub procedur postępowania uniemożliwiających zapoznanie się z informacją osób nieuprawnionych. Przełamanie zabezpieczenia następuje wyłącznie wówczas, gdy sprawca swoim działaniem wpływa na funkcjonowanie tego zabezpieczenia. Jeżeli istnieje taki sposób dostępu do informacji, który nie został objęty szczególnym zabezpieczeniem, to skorzystanie z tego sposobu nie stanowi realizacji znamion z art. 267 § 1, choćby nawet osobie zapoznającej się z informacjami wiadoma była wola ich zabezpieczenia przed osobami postronnymi." Włodzimierz Wróbel - "Komentarz do art. 267 kodeksu karnego", "Kodeks karny. Część szczególna. Tom II. Komentarz do art. 117-277 k.k.", Zakamycze 2006

normy kategoryczne i życie wyprzedzajace prawo

Maciej_Szmit's picture

Pojecia "przełamania" i "ominięcia" są - moim zdaniem - wymyslone przez prawników przez bezsensowną analogię z zabezpieczeniami fizycznymi (jak ktoś upiłował kłódkę i wyważył drzwi to się "włamał/przełamał" a jak wlazł przez otwarte okno, które było obok to "obszedł") i nie chciałbym być w skórze biegłego, któremu sąd zada pytanie czy np stack ovefrlow to przełamanie czy ominięcie, albo czy wejscie do serwerowni, odłączenie firewalla i podpięcie sieci bezpośrednio do internetu to ominięcie czy przełamanie (a zgadnięcie hasła "jasiu123" ewentualnie po prostu "jasiu"? a atak słownikowy?). O nieszczęśliwym wdrożeniu przepisów konwencji o cyberprzestępczości pisze między innymi w licznych pracach Adamski. Twórcy poprawek w KK sprokurowali cos takiego, że trzymając się słownika języka polskiego i KK (ze szczególnym uwzględnieniem mojego ulubionego art 269b) własciwie należałoby zamknąć Billa Gatesa w jednej celi z Linusem Tordwaldsem (za - powiedzmy microsoftowy Network Monitor i możliwość włączenia w linuxie karty w trybie promisuous, własciwym dla snifferów). Na szczęście jest jeszcze zdrowy rozsądek sedziów i biegłych. BTW: czasowe unieruchomienie zabezpieczenia traktuje się raczej (przynajmniej w tych komentarzach, które do art 267 czytałem) jako przełamanie a nie ominięcie (znowu chyba analogicznie do zatkania dziurki od klucza zapałką, żeby nie dało się zamknać bramy, póki dozorca zapałki nie wydłubie)... A wszystko to przez dziwne upodobanie prawników do norm hipotetycznych. A nie można było kategorycznie? "Kto zapoznaje się z informacjami, do których poznania nie ma prawa" I wystarczyłoby na strinie wpisać "niniejsze informacje są dosyepne publicznie" a na innej "niniejsze informacje są przeznaczone wyłacznie dla osób znających hasło".

Prawnicy czekają

Prawnicy czekają na nowe propozycje "słownictwa". Niestety łatwo jest krytykować owe - eufemistycznie ujmując - "nienajlepsze" przepisy cybernowelizacji KK AD 2004. Sam je również krytykuję. Zachęcam jednak do dyskusji czym te przepisy zastąpić. Postaram się wezwać kryptologów do pomocy na tegorocznej "Enigmie". Może to coś da.

Panu Maciejowi polecam ponowne przeczytanie artykułów choćby Pana Prof. Adamskiego i Pana Gienasa (a i niżej podpisany coś tam o tym publikował), aby zorientować się czemu przepis o dyspozycji "Kto zapoznaje się z informacjami, do których poznania nie ma prawa" nie rozwiąże problemu. Prof. Adamski, prof. Płachta i inni wyraźnie wskazują, że dopóki nie oderwie się "hakingu" od "zapozanawania się z informacją", przepisy wciąż będą bezskuteczne.

Na marginesie pytanie. Czy ktoś wie coś bliżej o sprawach wykazanych w statystykach policyjnych jako "przestępstwa z art. 269b" wykryte w ostatnich latach. Na stronie KGP jest wzmianka o kilku takowych przypadkach. Trzy lata temu na konferencji TAPT w Szczytnie przewidywaliśmy, że 269b będzie używany jedynie jako straszak wobec administratorów sieci. Ze statystyki KGP wynikałoby, że albo "straszy się" skutecznie, albo Policja rzeczywiście ściga to przestępstwo, a wówczas z naukowego punktu widzenia zainteresowałbym się sprawą.

Pozdrawiam

Wojciech Wiewiórowski
(Pracownia Informatyki Prawniczej, Wydział Prawa i Administracji, Uniwersytet Gdański)

kategorycznie ;)

Maciej_Szmit's picture

Witam!
Czytam, czytam, powiem szczerze: coraz mnie to bardziej fascynuje. Nawet dwa dni temu zamówiłem sobie Pańską książke w księgarni wysyłkowej :)

W skali mikro (np przedsiębiorstwa) są normy i są w nich wyspecyfikowane atrybuty bezpieczeństwa informacji (poufnośc, integralność, autentyzcność, niezaprzeczalność, rozliczalność itd). Ochorona (techniczna bądź organizacyjna) dotyczy tych atrybutów. Podobnie jest w konwencji o cyberprzestępczości:

Article 2 – Illegal access
Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, the access to the whole or any part of a computer system without right. A Party may require that the offence be committed by infringing security measures, with the intent of obtaining computer data or other dishonest intent, or in relation to a computer system that is connected to another computer system.

Nielegalny dostęp - czyli naruszenie poufności. Jest też o naruszeniu integralności (czyli nielegalnej modyfikacji) itd. Co do prof Płachty to w opinii prawnej dla Sejmu przed uchwaleniem zmian w kk pisał On: "Proponowane rozwiązania prawne odbiegają bowiem znacznie od zaleceń znajdujących się w tekście konwencji. Wprowadzenie niektórych nowych przepisów zdaje się również pogłębiać chaos w treści Kodeksu nie służący oczywiście poprawnej wykładni nowych przepisów", trudno się więc na Niego powoływać jako na zwolennika tychże zmian.

Rozumiałbym potrzebę wyodrebnienia sytuacji mających odniesienie do "nowych technologii" (czy raczej: wysokich technologii, bo nowe to one były ćwierć wieku temu z okładem), bo jednak czym inym jest podsłuchiwanie pod drzwiami a czym innym instalacja nielegalnego podsłuchu linii telefonicznej. Otóż rozumiałbym (tryb warunkowy), gdyby w tym fatalnym artykule nie wrzucono do jednego paragrafu przełamywania zabezpieczeń i otwierania zamkniętego pisma. W ten sposób np zazdrosna małżonka trafia na ławę oskarżonych w towarzystwie gangu crackerów i jakoś to ustawodawcy nie przeszkadza. Ale jeśli nawet, to weźmy żywcem z Konwencji "kto bez uprawnienia uzyskuje dostęp do informacji przechowywanej, przetwarzanej lub przesyłanej przez system komputerowy". Po co rozwodzić się nad sposobem w jaki to uczynił - przewodowo, bezprzewodowo, rozwalając IDSa za pomocą młotka, zapuszczając exploita przeciwko serwerowi czy instalując sprzetowego keyloggera (dygresja: swoja drogą, jak pisze w innym wątku - ciekawy jestem jak zaklasyfikowałby prokurator własnie przypadek ataku DoS na IDS-a, bo to pasuje i pod "przełamywanie zabezpieczeń" i "zakłócenie w znacznym stopniu przetwarzania informacji" (268a) w tymże IDSie i zakłócenie pracy sieci (269a). koniec dygresji) ? Z punktu widzenia poszkodowanego istotny jest skutek (naruszenie poufności) a nie sposób jego realizacji. Z punktu widzenia ustawodawcy - chęć chronienia jakiegoś dobra (poufności informacji), a nie penalizacji określonych technik działania...

Jakie zabezpieczenie?

Jak dla mnie to nie jest nawet ominięcie. Jeśli do formularza można wpisać cokolwiek i w żaden sposób ten tekst nie jest filtrowany, to po prostu nie ma żadnego zabezpieczenia :P

Po lekturze aż się boję, bo mi się SQL injection samo znalaz

Po lekturze aż się boję, bo mi się SQL injection samo znalazło. Guglałem swojego czasu załóżmy na tę okazję
http://www.google.co.uk/search?q=bedandbreakfasts+'
Nota bene: apostrof (rzeczywisty termin wyszukiwawczy był inny, ale nie pamiętam go - coś z apostrofem). Wszedłem na pierwszy wynik:
http://www.bedandbreakfasts.co.uk/
a tam strona się wysypała, bo nagłówki HTTP "Referer" (tu: http://www.google.co.uk/search?q=bedandbreakfasts+') logowała bez eskejpowania uprzedniego. Złożyłem podobną ofertę gratyfikacji mojej diagnozy i chęci niesienia pomocy - bez odzewu. Strona po jakimś czasie została poprawiona pod tym kątem.

Swoją drogą ciekawe czy w

Swoją drogą ciekawe czy w takim razie, żeby spełnić warunki ustawy o ochronie danych osobowych, wystarczy napisać - "dostęp osobom nieuprawnionym zabroniony [wejdz]"..

Coś mi to przypomina:

Coś mi to przypomina: "click here to download the movie, chyba, że jesteś tylko zwykłym fanem zespołu z Basildon, to pójdziesz siedzieć".

A ludzie sami się proszą o

A ludzie sami się proszą o dostęp do ich niby-zahasłowanych serwerów przy użyciu gugla:
site:youtube.com "clicks from ftp"

OJ OJ :(

Maciej_Szmit's picture

No to po podaniu takiego linka nie dość że Vaglę zamkną z art 269b par. 1 to jeszcze na dodatek serwer Mu zabiorą z par. 2 tegoż artykułu.

i co dalej?

Witam,
Czy ktoś wie, czym się skończyła ta sprawa dla programisty?

Pozdrawiam

Uniewinnieniem

VaGla's picture

Sprawa zakończyła się uniewinnieniem: "Nie można przełamać czegoś, co nie istnieje" - polski wyrok w sprawie SQL Injection
--
[VaGla] Vigilant Android Generated for Logical Assassination

Powtorka z historii

Byla juz taka sprawa kilka lat temu chyba w Glogowie.
Chlopaczek wygral, poniewaz 'nie mozna zlamac zabezpieczen ktore nie istnieja' jak wyjasnila sedzina.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>