Ciąg dalszy w sprawie, w której kajdanek użyto po podpisaniu klauzuli poufności

Tym razem oddaję łamy tego serwisu p. Mateuszowi, który napisał do mnie list, zgadzając się jednocześnie na jego publikację w serwisie: "W związku z niedawno opisywaną sytuacją Fuszerka wykonawcy, szukanie luki, oferta naprawy i kajdanki chciałbym przedstawić kilka nowych faktów z toczącego się przeciwko mnie postępowania".

I dalej:

"Po zatrzymaniu przez Policję moich komputerów i mojej odmowie dobrowolnego poddania się karze, Prokurator powołała biegłego z dziedziny informatyki, któremu zlecono przeanalizowanie moich dysków twardych. Prokurator zadała biegłemu szereg pytań, do których miał się ustosunkować. Pośród pytań są takie, które dotyczą stwierdzenia czy dyski są sprawne, czy komputer działał w sieci Internet, czy na podstawie informacji znajdujących się na dyskach można ustalić moje IP i inne. Ta część opinii biegłego potwierdza sprawność sprzętu i to, że komputer był podłączony do sieci, a także, iż na podstawie badań zabezpieczonych dysków twardych określenie z jakiego usługodawcy internetowego i jaki zewnętrzny adres IP posiadałem było niemożliwe.

Ciekawsze i więcej wnoszące do sprawy wydają się kolejne pytania, w odpowiedzi na które biegły stwierdza, że na zabezpieczonych dyskach nie ma programów służących do przełamywania zabezpieczeń. Jednak najistotniejsze jest to, że biegły stwierdził, iż nie doszło do przełamania zabezpieczeń serwera, o co wytrwale oskarża mnie Pani Prokurator.

W ostatnim czasie zostałem poinformowany również o możliwości końcowego zaznajomienia się z aktami postępowania. Ciekawe jest to, że potwierdziły się moje początkowe przypuszczenia dotyczące czwartej osoby (poza mną, dyrektorem i informatykiem firmy) obecnej podczas rozmowy, w czasie której zostałem zatrzymany. Okazało się, że rzeczywiście był to policjant, co wynika z przesłuchania informatyka. Ponadto w zeznaniach informatyka, a szczególnie dyrektora, przeczytać można takie stwierdzenia jak to, iż mnie „wabił” czy manipulował.

Wystąpiłem także do Prokuratury z żądaniem uzasadnienia postanowienia o przedstawieniu zarzutów, które zostało wydane jakiś czas po opinii biegłego. Zaskakujące wydaje się w nim stwierdzenie Pani Prokurator, iż przeprowadzone w toku postępowania czynności w tym przesłuchanie świadków jak również opinia biegłego pozwoliły na ustalenie, że „przełamałem elektroniczne zabezpieczenia serwera” (!!!) co całkowicie nie zgadza się z opinią biegłego, który jednoznacznie napisał, że do przełamania zabezpieczeń nie doszło! Moje pytanie z żądania uzasadnienia, skierowane do Prokurator, dotyczące tego jakie, według niej, zabezpieczenia zostały złamane pozostało bez odpowiedzi.

Pomimo opinii biegłego, komentarzy i wyjaśnień, jakie wielokrotnie składałem, mam wrażenie, że Prokurator na siłę stara się udowodnić mi jakąś winę i nie bierze pod uwagę oczywistych faktów. Chciałbym zwrócić uwagę choćby na samą definicję SQL Injection:

SQL Injection - luka w zabezpieczeniach polegająca na nieodpowiednim filtrowaniu lub niedostatecznym typowaniu i późniejszym wykonaniu danych przesyłanych w postaci zapytań SQL do bazy danych. Podatne są na niego systemy złożone z warstwy programistycznej (przykładowo skrypt w PHP, ASP, JSP itp.) dynamicznie generującej zapytania do bazy danych (MySQL, PostgreSQL itp.). Wynika on zwykle z braku doświadczenia lub wyobraźni programisty.

Źródło: http://pl.wikipedia.org/wiki/SQL_injection

…i cytat z książki dr Andrzeja Adamskiego „Prawo karne komputerowe” (str.53) na temat art. 267 kk:

Reasumując, o popełnieniu przestępstwa określonego w art. 267 par 1 kk decyduje sposób uzyskania zastrzeżonej informacji, nie zaś samo jej uzyskanie. Jeżeli następuje to bez przełamywania zabezpieczeń – przestępstwa nie ma. Jeżeli sprawca wykorzystuje dziurę w konfiguracji lub oprogramowaniu systemowym po to, by uzyskać znajdującą się w systemie informację – nie można mu nawet przypisać usiłowania przestępstwa, o którym mówi art. 267 par 1 kk. Jeżeli wykorzystanie słabości systemu nie wymaga od hackera ingerencji w zapis na komputerowym nośniku informacji lub korzystania ze specjalnego oprogramowania – zachowanie takie w ogóle nie jest karalne.

…lub komentarz do art. 267 Włodzimierza Wróbla:

Nie można natomiast uznać za przełamanie zabezpieczenia obejścia mechanizmów lub procedur postępowania uniemożliwiających zapoznanie się z informacją osób nieuprawnionych. Przełamanie zabezpieczenia następuje wyłącznie wówczas, gdy sprawca swoim działaniem wpływa na funkcjonowanie tego zabezpieczenia. Jeżeli istnieje taki sposób dostępu do informacji, który nie został objęty szczególnym zabezpieczeniem, to skorzystanie z tego sposobu nie stanowi realizacji znamion z art. 267 § 1, choćby nawet osobie zapoznającej się z informacjami wiadoma była wola ich zabezpieczenia przed osobami postronnymi.

Włodzimierz Wróbel - "Komentarz do art. 267 kodeksu karnego", "Kodeks karny. Część szczególna. Tom II. Komentarz do art. 117-277 k.k.", Zakamycze 2006

Istotny może być także fakt, iż w domyślnej konfiguracji PHP (Runtime Configuration, Table 254. PHP Options/Inf Configuration Options) ma włączone magic_quotes_gpc, które odpowiada za właściwe „filtrowanie” zapytań kierowanych do bazy danych. Administratorzy serwerów czy programiści świadomie wyłączyli tę funkcję, jednocześnie nie stosując innych zabezpieczeń, doprowadzając tym samym do niewłaściwego działania całego systemu.

W najbliższym czasie zapewne zostanie przygotowany akt oskarżenia a sprawa trafi do sądu, mi pozostaje jedynie wierzyć w niezawisłość wymiaru sprawiedliwości i w to, że Prokuratura działa wyłącznie w interesie społecznym…

Pozdrawiam

Mateusz M."

Od siebie dodam, że autor powyższego listu nie zgodził się na dobrowolne poddanie się karze, które mu zaproponowano. Nie jest reprezentowany przez adwokata. Broni się sam.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

zabezpieczenie

Wg. mnie jest to jednak przełamanie zabezpieczenia. Bardzo słabego zabezpieczenia, ale jednak ....

Analogiczne "zabezpieczenia" na innych płaszczyznach.

Jakiego słabego zabezpieczenia? Nie było żadnego zabezpieczenia i najbardziej winny jest programista, nie użytkownik, który użył źle. Dwa przykłady:

1. Producent robi zabawki dla dzieci z małymi elementami i nie oznacza ich stosownie. Rodzic kupuje zabawkę, w przekonaniu, że nic nie powinno się złego stać, tym samym dziecko ową zabawką się udławiło. Winne jest dziecko? Rodzice? Czy może jednak dostawca? (pyt. ret) Owszem, to dziecko źle użyło produktu, ale to producent powinien zadbać, aby nie dało się tego źle użyć.

2. Inny przykład, przechodzisz obok mieszkania i widzisz uchylone drzwi. To jest nienormalne, więc zaglądasz do środka sprawdzić, czy wszystko w porządku (czy np. nie stało się coś strasznego), wchodząc zostajesz oskarżony o włamanie...

Świadome wyłączenie "magic quotes" w PHP to jak uchylenie drzwi na oścież.

art 267

Maciej_Szmit's picture

Art 267 jak się wydaje w ogóle jest napisany dziwacznie. Na przykład w hipotezie art 1 jest o "podłączniu się do przewodu" a w art 2 - o urzadzeniu podsłuchowym. Jako żywo ja potrafię podsłuchiwać (np pod drzwiami) bez jakichkolwiek urządzeń, natomiast swojej osoby nigdy do przewodu nie podłączałem, no przynajmniej nie celowo, i nie udalo mi się w ten sposób uzyskac żadnej informacji poza tą czy w przewodzie jest wystrczające napięcie, żebym je poczuł. W art. 1 wymienia się explicite przewód z czego wynika, że ktoś podsłuchujący niezabezpieczoną sieć bezprzewodową nie może być na jego podstawie sądzony. Natomiast co do przełamywania i omijania zabezpieczeń, to ja na prawdę nie wiem, co ustawodawca miał na myśli (i myślę, że sam ustawodawca nie wiedział). Warto spojrzeć do Konwencji o Cyberprzestępczości, która nam nowelizację kk na głowy sprowadziła:

Article 2 – Illegal access
Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, the access to the whole or any part of a computer system without right. A Party may require that the offence be committed by infringing security measures, with the intent of obtaining computer data or other dishonest intent, or in relation to a computer system that is connected to another computer system.

Wydaje się, że tu jest rozsądnie: chroni się poufność (jak w normach ISO/IEC 27001 i 17799) a nie penalizuje ten czy inny sposób jej naruszania. No ale intencje twórców konwencji nie stanowią wykładni prawa karnego. Swoją drogą bardzo jestem ciekaw (i będe wdzięczny za wszelkie informacje) na temat przebiegu tej i podobnych spraw. . Gwoli ścisłości dodam jeszcze, że są tacy (Fischer B. "Przestępstwa komputerowe i ochrona informacji, Zakamycze 2000, str 192) którzy uważają, że uzyskanie informacji jest czymś innym niż uzyskanie możliwości zapoznania się z jej treścią (choć chyba akurat większość twierdzi że jest odwrotnie).

Przyznam się szczerze, że gdyby mnie - w końcu biegłego - sąd zapytał co było przełamaniem a co ominięciem, w większości przypadków, nie bardzo wiedziałbym co odpowiedzieć. Nawet do bólu pasywny klasyczny sniffing wymaga przełączenia karty w tryb promisc (czy to czyni z niej "urzadzenie specjalne" z par. 2?) Rzeczywiście "przełamanie" sugeruje jakąś interakcję (i to siłową) "atakującego" i zabezpieczenia. Ale takie rzeczy zdarzają się w świecie rzeczywistym a nie w informatyce (chyba, że ktoś potraktuje młotkiem system wykrywania włamań ale to nie przełamanie tylko zniszczenie mienia i sabotaż komputerowy :)). Oczywiście można sobie wyobrazić zaDoSowanie IDSa (nawet są do tego specjalne programy np snot do snorta), tylko czy to jest "przełamanie zabezpieczenia": czy może art 268 par 1 (choć utrudnienie firewallowi korzystania z IDSa na pewno nie jest utrudnieniem poczynionym osobie ;))a może 268a par 1? A może 269a? Tak czy inaczej ciekawy problem (jeśli ktoś zna podobne przypadki to jeszcze raz poprosze o info)

broni się sam

Chłopak broni się sam, co nie jest dla niego sytuacją korzystną. Może nie wie, że wykładnia doktryny nie wiąże sądu.

Ale dlaczego?

Dlaczego broni się sam? Ja rozumiem, że adwokaci bywają drodzy. A tacy, którzy znają się na takich sprawach pewnie są...
Ale z drugiej strony: jestem pewien, że wiele osób - tak jak ja - chętnie zrzuciłoby się na adwokata w takiej "precedensowej" sprawie. Wystarczyłoby, że jakaś osoba ciesząca się publicznym zaufaniem (np. autor tego serwisu :) objęłaby patronat nad taką zbiórką i dopilnowała sprawy - ja pierwszy wpłacam swój dzienny zarobek (a jestem programistą :D)

Z prostego powodu - nie

Z prostego powodu - nie stać mnie na dobrego adwokata. Policja zabierając mi sprzęt pozbawiła mnie źródła dochodu - zawsze byłem w stanie za zlecenia utrzymać sie na studiach, a teraz się to zmieniło, rodzice też już sporo przeszli przez tę sprawę więc nie będę ich narażał na kolejne problemy, szczególnie, że niedługo siostra również zaczyna studia i będzie sporo wydatków. Tak więc, pozostaje mi KK, KPK, książki i Google :) lub pytanie pomocnych ludzi na forach internetowych takich jak forumprawne.org i poradniaprawna.pl

No jest jeszcze instytucja

No jest jeszcze instytucja adwokata z urzędu. Bez znajomości procedury karnej można sobie mocno naputać biedy.

J.U.S.T. Journeying Unit Skilled in Troubleshooting

Pozorne oszczędzanie...

Rozumiem że nie masz grosza na adwokata, ale bierz pod uwagę, że sąd to też prawnicy i inaczej patrzą na człowieka który daje korporacji zarobić, a inaczej na takiego który usiłuje się mądrzyć - nie jesteś dla nich partnerem do rozmowy. To przykre co mówię, ale już to przerabiałem na własnej skórze.

adwokat

Gdzie mieszkasz? Jaka to prokuratura? Napisz do mnie na skrzynkę to zobaczymy co z tym pasztetem zrobić.
adw. Artur Kmieciak

Adamski w swojej książce

Adamski w swojej książce jak omijanie zabezpieczeń podaje Social engineering, IP spoofing, sniffing i najistotniejsze w moim przypadku - wykorzystanie luki w istniejących zabezpieczeniach.

Nowy kodeks karny nie przewiduje odpowiedzialności karnej za podstępne uzyskanie informacji nie przeznaczonej dla sprawcy.

A.Adamski - Prawo karne komputerowe, str. 50

Wyjątkiem jest właśnie uzyskanie takich informacji przy pomocy urządzeń specjalnych.

... i jeszcze jeden cytat:

Sprawca nie oddziałuje bowiem bezpośrednio na istniejące zabezpieczenia - nie usuwa ich - co semantycznie odpowiadałoby pojęciu "przełamania", jakim posługuje się art. 267 par 1 KK, lecz dokonuje obejścia zabezpieczeń, co jest czynnością wykonawczą, która nie należy do znamion omawianego przepisu.

A.Adamski - Prawo karne komputerowe, str. 51

Natomiast nie znalazłem w polskim orzecznictwie niczego dotyczącego przełamywania zabezpieczeń elektronicznych dlatego w obronie powołuję się na orzecznictwo SN dotyczące "przełamywania" podczas włamań.

Podstawową istotą włamania jest wtargnięcie sprawcy do zamkniętego pomieszczenia, przez usunięcie przy użyciu siły fizycznej przeszkody zamykającej dostęp do danego pomieszczenia. Pomieszczenie musi być zamknięte, tj. w taki sposób zabezpieczone przed wtargnięciem osób powołanych by normalne wejście było niemożliwe.
Usunięcie takiej przeszkody jest wyraźnym obejściem woli właściciela pomieszczenia niedopuszczenia osoby trzeciej do tegoż pomieszczenia. Zaznaczyć tu należy, iż wola ta musi być w poważny sposób wyrażona. Zamknięcie pomieszczenia na zwykły haczyk, który bez większej trudności każdy może odsunąć czy też zwykłą klamkę bez użycia klucza nie może być traktowane jako zamknięcie pomieszczenia i w takich wypadkach wejścia doń sprawcy i dokonanie kradzieży nie można traktować jako włamania.

Wyroku SN z 24 kwietnia 1958 r., IV KRN 170/58.

...istota "zabezpieczenia":

Za pomieszczenie zamknięte można uznać między innymi: wszelkiego rodzaju budynki, skarbce, schowki (np. kasy pancerne, kasetki, szafy, biurka), specjalne środki transportu (np. kolejowe wagony, samochody: chłodnie, cysterny, warsztaty) i inne środki służące do transportu ludzi lub mienia oraz wszelkiego rodzaju zbiorniki i pojemniki służące do przechowywania, przekazywania lub przesyłania mienia do obrotu towarowego, transportu.
Warunkiem uznania któregokolwiek z wymienionych przykładowo pomieszczeń za zamknięte, tj. za takie, które może być obiektem włamania w rozumieniu art. 208 k.k., jest ustalenie nie tylko okoliczności, że powierzchnię zamkniętą tworzy jego zwykła konstrukcja, ale również i okoliczność, że jego otwory poza zwykłym zamknięciem (np. zamknięcie drzwi na zwykłą klamkę, haczyk, zewnętrzną zasuwkę; zbiornika lub pojemnika - zwykłą pokrywą) - były zaopatrzone w specjalne przeszkody materialne (zamknięcie) utrudniające dostęp do wnętrza pomieszczenia. Takimi przeszkodami materialnymi mogą być w zależności od konstrukcji, rodzaju lub przeznaczenia pomieszczenia - np. różnego rodzaju kłódki czy plomby.

Uchwała całego składu Sądu Najwyższego (25 czerwca 1980, VII KZP 48/78).

Pozdrawiam,
Mateusz

Ale...

Maciej_Szmit's picture

...właściwie o co chodzi? Jeśli - jak Pan pisze - biegły stwierdził, że nie nastąpiło przełamanie zabezpieczeń (swoją droga znowu biegły ocenia stan prawny ;)), to pierwsze co Pański adwokat (który się Panu należy za darmo z urzędu - wyznaczy go Panu sąd na Pańską prośbę i niech się Pan powaznie zastanowi czy z niego nie skorzystać - ja bym brał w ciemno, w końcu nie uniemożliwi to Panu zabierania głosu, sam Pan tez może np pytać świadków, mimo posiadania adwokata) podniesie to, że akt oskarżenia stoi w sprzeczności z opinią biegłego. Sąd wezwie biegłego, który podtrzyma opinię i sąd będzie miał ciekawy problem - prokurator i świadkowie twierdzą, że włamanie było, a biegły, że nie...

Inna rzecz - wymagająca szczegółowej dyskusji - to, bardzo zreszta ciekawe, koncepcje dra Adamskiego na temat "obejścia" (słowo, kórego w tym artykule kk w ogóle nie ma, dlaczegonie "ominięcie" na przykład?) i "przełamania", czy prof. Płachty (cytat z opinii dla Sejmu dot. nowelizacji kk: "TZW. “CZYSTY HACKING” ZAKŁADA, ŻE DLA OSOBY DOKONUJĄCEJ WŁAMANIA DO SYSTEMU NIE JEST WAŻNA SAMA INFORMACJA, KTÓRĄ MOŻE UZYSKAĆ. WAŻNE JEST JEDYNIE PRZEŁAMANIE ZABEZPIECZENIA. TO ZAŚ WCIĄŻ NIE JEST W POLSCE KARALNE." - opinie może Pan znaleźć na stronach Sejmu, jak Pan widzi profesor idzie jeszcze dalej).

Zainteresowanym moimi wątpliwościami polecam np lekturę PN-ISO/IEC 2382-8:2001 w punkcie 08.5.17 - "BREACH" (TŁUMACZONE NA POLSKI JAKO "WŁAMANIE" I "PRZEŁAMANIE") - "TAKIE OBEJŚCIE LUB ZNEUTRALIZOWANIE JAKIEGOŚ ELEMENTU BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO, WYKRYTE LUB NIE, KTÓREGO SKUTKIEM MOŻE BYĆ PENETRACJA SYSTEMU PRZETWARZANIA DANYCH".). Oczywiście Polska Norma to nie Kodeks Karny, ale na czym ma się oprzeć biegły, którego pytają, co na ten temat mówi jego dziedzina wiedzy (a nie jego widzimisie)? MOwa oczywiście o biegłym, którego sąd pyta o różnicę między tymi pojęciami a nie o to czy czyn spełania przesłanki hipotezy artykułu KK :)

z własnych doświadczeń

Wszelkie komentarze jak i sam artykuł prezentowane są z punktu widzenia osoby "życzliwej", która znalazła lukę i za drobnym wynagrodzeniem chciała pomóc w jej usunięciu. Jako administrator (niestety nie prawnik) widzę tę sprawę zgoła inaczej. Miałem podobną sytuację, gdy ktoś przełamał, ominął, czy wykorzystał - jakby tego nie nazwać - lukę w serwerze pocztowym do uzyskania prawa administratora serwera. Za drobną opłatą chciał mi pomóc w jej załataniu. Sprawa również miała swój finał w sądzie, który uznał to za przełamywanie zabezpieczeń.

Jak zwykle dla nie-prawnika pewne rzeczy wydają mi się oczywiste (przełamanie, ominięcie czy wykorzystanie błedu w zabezpieczeniu jest jednym i tym samym - uzyskaniem nieuprawnionego dostępu do takich czy innych danych), chociaż dla innych nie są. Równie dobrze można byłoby dyskutować, czy zamek Yeti lub jakiś inny, który bardzo łatwo można rozbroić stanowi dostateczne zabezpieczenie aby włamanie uznać za włamanie. Zresztą zawsze myślałem, że jeżeli zamknę drzwi na klamkę, ktoś wejdzie i wyniesie mi telewizor, to będzie włamanie. W świetle powyższych interpretacji okazuje się że nie. Teraz należy przejść się po klatce w bloku i sprawdzić, co komu można wynieść.

Pozostaje jeszcze sama kwestia zachowania się "życzliwej" osoby, która znalazła lukę. Wyobraźmy sobie, że pewnego dnia otrzymujemy przesyłkę, w której ktoś stwierdza, iż nasze zamki są niedostatecznym zabezpieczeniem naszego mienia w mieszkaniu (na dowód dołącza kilka zdjęć zrobionych w środku) i proponuje za drobną opłatą lepszą ochronę naszego bezpieczeństwa. Jeżeli to jest zgodne z prawem, to nie pozostaje nic innego, tylko założyć firmę, nająć kilku kasiarzy i rozpocząć szeroko zakrojoną akcję testowania.

I jeszcze jedna kwestia, którą poruszono - czy w ogóle były zabezpieczenia. A czym było podawanie loginu i hasła do strony? To nie zabezpieczenie? Więc podawanie dwóch identyfikatorów (niejako otwieranie dwóch zamków) nie jest zabezpieczeniem tylko dlatego, że można je obejść (np. otworzyć je kluczem uniwersalnym lub łamakiem)?

Nie tylko z powyższej

Nie tylko z powyższej interpretacji tak wynika ale również z kodeksu karnego. Jak zamkniesz drzwi na klamkę to na pewno nie będzie włamania jeśli ktoś wyniesie coś z mieszkania. Włamanie, naruszenie miru, kradzież to różne przestępstwa.

Wracając do sprawy - w wielu serwisach można znaleźć informacje iż np. hasła powinny zawierać duże/małe litery, cyfry i znaki specjalne - z oczywistych względów. Co jeśli ktoś w takie "zabezpieczenie" wpisze hasło z apostrofem, w końcu to znak specjalny jak każdy inny? Do sądu z nim? Co z odpowiedzialnością administratorów i programistów? Wszystko zwalać na złych "hackerów"? Ustawa o ochronie danych osobowych również zawiera wytyczne dotyczące zabezpieczenia danych - ignorujemy?

A moze takei porownanie

Moim zdaniem nie nastąpiło żadne przełamanie zabezpieczeń. Czemu? a to taki prosty i obrazowy przykład:

Posiadamy na dysku jakieś oprogramowanie X, które pozwala innym komputerom łączyć się z nim i używać jakiś usług. Czy zatem przestępstwem będzie podłączenie się do tej usługi przez wpisanie loginu i hasła. System akceptuje dane a następnie na skutek błędu w swoim kodzie formatuje cały dysk? Czyja będzie wina?? Tego co się podłączył czy tego co napisał kod?

Tutaj sytuacja jest podobna. Zalogował się Pan na skutek błędu programisty i uzyskał nieautoryzowaną informację. Jak tak dalej pójdzie to może pojawić się paradoks, że będziemy bali się cokolwiek wpisywać w Internecie - a nóż przełamiemy zabezpieczenia. Jeżeli nie zgadzali się na logowanie obcych osób to powinna być klauzula: "nieupoważnionym zakaz wpisywania czegokolwiek"

Trywialny błąd

Być może w tym określonym przypadku trywialny błąd doprowadził do upublicznienia danych. Jednak podejmowanie prób SQL-injection w celu przejęcia danych musi być w pierwszej kolejności traktowane jako przełamanie zabezpieczeń. W toku sprawy należy wykazać, czy producent strony dochował należytej staranności w jej wykonaniu, czy też poprzez fuszerkę naraził na ujawnienie danych osobowych, a to już będzie podpadało pod zupełnie inną regulację - ustawę o ochronie baz danych oraz ustawę o ochronie danych osobowych.

Odrębną sprawą pozostaje fakt rozwiązania tego problemu. Zgodnie z zasadą "nie ma programu bez błędu" każdy system można skompromitować, zwłaszcza działający on-line. Wystarczy jedynie posiadać odpowiednią wiedzę lub środki. Żądanie pieniędzy za naprawę błędu przypomina mi wprost zachowanie mafii, która za opłatą chce mi zaoferować bezpieczeństwo. Różny jest poziom wiedzy specjalistów wykonujących tego typu systemy. Brak regulacji narzucającej określone procedury testowania systemu pod kątem bezpieczeństwa danych powodują zagrożenie, że podanie danych z karty kredytowej w sklepie może być upublicznione przez osobę badającą, jak dobrze dana strona została zabezpieczona.

chcialem tylko przypomniec

Chcialem tylko przypomniec niedawna akcje z home.pl gdzie mozna bylo sie niby "wlamac" do danych ktore nie powinny byc publicznie dostepne (statystyki i logi) wpisujac odpowiedni adres (zabezpieczeniem byla niby unikalna nazwa folderu)
jesli takowa nazwe uznac za zabezpieczenie a ta sytuacje za wlamanie to jesli wysle komus link i on w niego kliknie to popelni przestepstwo - wlamie sie.

SQL Injection to nie tyle zostawianie tylnich drzwi otwartych co ich nie wstawianie tylko zostawianie duzego otwory z tylu domu...
...przepraszam ale znam dzieci ktore chodza do podstawowki (no teraz juz gimnazjum), ktore by potrafily sobie poradzic z taka strona...

Ludziom takim jak mateusz powinno sie dziekowac a nie karac.

Odniosę się jako

Odniosę się jako nie-prawnik, który jednak swoje boje ma za sobą.

1. Mateuszu, absolutnie nie waż się bronić samemu. To nie rada, ani nawet prośba. To nakaz. W imieniu całego społeczeństwa polskiego. :)))

Sytuacja w Polsce jest jaka jest, wtajemniczeni wiedzą wystarczająco. Niewtajemniczonym wytłumaczę, że prokurator nie ponosi żadnej odpowiedzialności za postawione zarzuty. Rzekomo ponosi odpowiedzialność dyscyplinarną, ale ona imho raczej na pstrym koniu jeździ i jest niewspółmiernie niska do szkodliwości społecznej oskarżania jak popadnie. Na pewno prokuratorzy mogą (i to niekiedy robią) oskarżają po to jedynie by wyrządzić problemy, bo oskarżając nie muszą nic (sic!) zrobić a nawet jeśli coś zrobią to w ramach obowiązków służbowych.

2. Jeśli Cię nie stać na adwokata, koniecznie poproś o pomoc internautów. To nie będzie wstyd, a wielu chętnie Cię wspomoże na miarę swoich możliwości. Jestem tego pewien z prostej przyczyny - wielu ma świadomość, że w Polsce zarzuty i oskarżenie w większym stopniu jest zależne od kaprysu prokuratora, nakazów naczalstwa czy opcji politycznej.

Niestety znam podobną sprawę, już kilka lat trwa udowadnianie niewinności. Lepsze jest to, że sprawa w toku, już kilka posiedzeń w sądzie było, a prokurator jeszcze się nie zjawił. Czym to tłumaczyć jeśli nie grą w "prokuratorskiego chybił-trafił"? "Może będzie skazany a może nie". Prokurator nawet nie stara się udowodnić winy, po prostu skierował w aktach jedynie opinię biegłego, który po kolejnych uzupełnieniach i przesłuchaniach się powoli wycofuje z postawionych tez wijąc się przy tym niczym piskorz.

życzę powodzenia, pzdr

Dziękuję za wszystkie

Dziękuję za wszystkie rady. Chyba zgodnie z tym co mówicie zainteresuję się obrońcą z urzędu i porozglądam się za jakimś prawnikiem, który jest obeznany w tym temacie. Jeśli ktoś zna jakieś nazwiska - kontakty - będę wdzięczny za informację.

Pzdr

Zainteresuj się tą ofertą...

http://prawo.vagla.pl/node/7271#comment-3877

To on wygrał z ZUS-em :)
Skrzynkę pewnie w internecie trzeba znaleźć...

Adwokaci nie mogą się reklamować

VaGla's picture

Pierwsze primo: adwokaci nie mogą się reklamować. Drugie primo - jeśli już się reklamują w moim serwisie, to chciałbym mieć z tego chociaż procent :) To taki żarcik. Przepraszam. Artur czyta ten serwis. Podobnie jak wielu innych przedstawicieli palestry, chociaż niespecjalnie mają czas udzielać się w dyskusji.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Mateuszu, słynny ze sprawy

Mateuszu, słynny ze sprawy niechęci do ujawnienia przez ZUS specyfikacji protokołu ksimail (wymiana danych Płatnik <-> ZUS) Pan A. Kmieciak sugerował dzisiaj w tym wątku, abyś wysłał do niego maila.

Powodzenia.

Tak i mail został wysłany.

Tak i mail został wysłany. Czekam na odpowiedź Pana Kmieciaka. Jeśli coś się zmieni na pewno będę informował.

Pozdrawiam

adw. A. Kmieciak zgodził

adw. A. Kmieciak zgodził się bronić mnie za darmo. Będzie reprezentował mnie w tej sprawie.

Pozdrawiam

publikacja materiałów?

ksiewi's picture

Spodobał mi się pomysł poproszenia o pomoc internautów. Może warto spróbować przygotowywać pisma procesowe na jakimś wiki? Może zainteresowany zechciałby przynajmniej publikować materiały z akt sprawy?

RozprawyOnline?

Mimo potęgi internetu nie jestem przekonany do obrony poprzez publikowanie w czymś w rodzaju wiki akt sprawy i postępowania zgodnie z sugestiami przeciętnego internauty.
Do czegoś takiego potrzebne byłoby raczej biznesowo/medialne podejście - co pozwoliłoby na zatrudnienie profesjonalnych obrońców.

Wyobraźnie sobie np. płatny serwis rozprawy-online.pl:

Aby mieć dostęp należałoby zapłacić kilkadziesiąt złotych. Za taką zapłatę internauta miałby dostęp do akt sprawy, (nagrań z rozpraw?), wywiadów ze stronami itp. - po czym mógłby zgłaszać swoje sugestie i dyskutować nad tym co należałoby zrobić. Ostatecznie do takich sugestii odnosiliby się profesjonalni prawnicy, tłumaczyli i ew. wykorzystywali. W końcu człowiek musi mieć uczucie, że ma jakiś wpływ...
Serwis zarabiałby na reklamach i opłatach od użytkowników.

Ktoś, kto chciałby aby poprowadzić jego sprawę w ramach serwisu zgłaszałby się z opisem sprawy - po czym użytkownicy decydowaliby czy chcą poświęcić część swojego abonamentu na zapłatę dla prawnika. Ceną za naprawdę profesjonalną pomoc i duże fundusze (potrzebujemy biegłego - nie ma sprawy, każdy użytkownik przeznaczy po 1 zł i mamy badanie DNA jak w CSI ;D ) byłoby upublicznienie sprawy. Co w wielu wypadkach mogłoby wyjść jej tylko na dobre.

Stąd oczywiście przesądzone byłoby wybieranie spraw o "medialnym" charakterze - nikt nie chciałby dokładać się do obrony kogoś, jeśli nie miałby poczucia, że temu komuś potrzebna jest taka pomoc. Także nie każdy potrzebujący chciałby, aby jego sprawa była prowadzona przy udziale tysięcy internautów...
Za to mogłyby prowadzone także sprawy typu poruszanych w tym serwisie (ja nie zrobię zdjęcia w Pomarańczarni, ja nie zrobię?? ;) ), czy np. przeciwko jakiś OZZ-om, czy innym KOPIPOLOM...

Taki pomysł przyszedł mi do głowy - na gruncie potrzeb oraz powodzenia programów typu polsatowy "Sędzia Anna Maria...", czy inne "CSI". Że o starych BigBrotherach...

Ciekawe, czy ktoś zaraz gotów byłby uznać coś takiego za nieetyczne, czy w inny sposób przeszkadzające w sprawnym osądzaniu ;).

Może etyczne - może nie -

Może etyczne - może nie - jednak na pewno karalne. Publiczne udostępnianie akt postępowania przygotowawczego jest zabronione.

Pzdr, Mateusz

zagalopowałem się...

ksiewi's picture

Istotnie, fascynacja peer production przysłoniła mi ten "drobny fakt", że mamy obecnie do czynienia z postępowaniem przygotowawczym w rozumieniu kpk. W tym przypadku zgodę na publikację musiałby wydać prokurator (karalne jest publikowanie bez zezwolenia).

W ogóle, po głębszym zastanowieniu się stwierdzam, że takie wiki w warunkach polskiego prawa byłoby dość trudne do wdrożenia nawet przy toczącym się postępowaniu cywilnym z uwagi na zakaz wypowiadania w prasie opinii co do rozstrzygnięcia przed wydaniem orzeczenia w I instancji.

Pomysł nie jest jednak zupełną fantastyką prawniczą. Nie mogę teraz znaleźć źródła, ale w Stanach przy jednej ze spraw dotyczących prawa autorskiego w Internecie powstało takie wiki, gdzie ochotnicy przygotowywali pisma procesowe...

a ja podtrzymuje pomysl z jabbera

VaGla's picture

A ja podtrzymuje ten pomysł, którym się podzieliłem w czasie naszej dyskusji na jabberze - zrobić zasób, w którym można by gromadzić "wzory" pism procesowych i komentarze do ustaw i spraw. Są takie wydawnictwa, więc czemu czegoś takiego nie udostępnić ludziom online (wiem czemu - kasa, ale...)... No nic. wracam do roboty...
--
[VaGla] Vigilant Android Generated for Logical Assassination

A ja myślę, że Krzysztof

A ja myślę, że Krzysztof miał coś zupełnie innego na myśli. Jest wielu prawników (przynajmniej ja mam szczęście wielu takich znać) którzy nie muszą na każdym kroku i na każdym swoim słowie robić kasy. A udzielają porad z potrzeby albo szacunku dla prawa.
Chodziło chyba o to, by wspólnymi "profesjonalnymi" siłami wspomóc chłopaka. I chyba nie chodziło o to, by robić z tego biznes czy show albo zarabiać na reklamach w serwisie.
Przy tego typu społecznych akcjach, obowiązują zasady poufności i etyki zawodowej dokładnie tak, jak przy innych biznesowych działaniach.

J.U.S.T. Journeying Unit Skilled in Troubleshooting

Jedno przecież nie wyklucza drugiego

Sam jestem aktywnym użytkownikiem Tego forum prawnego i bardzo sobie chwalę to wszystko czego się dowiedziałem dzięki darmowej pomocy której udzielają tam prawnicy (ale może jest tu jakiś adwokat, bądź sędzia, chętny do wspomożenia działu "Prawo karne" - gdyż w tej chwili przeważają tam eksperci prokuratorsko/policyjni, co trochę zniekształca kształt udzielanych porad ;) ?)

Jednak jest pewien kaliber spraw, w których pomoc musi się zakończyć na stwierdzeniu: niestety, bez znajomości akt sprawy trudno się wypowiadać, teraz sprawa należy już tylko do adwokata. Tak samo zresztą jak tutaj była - często udzielana jest rada: weź adwokata - sąd zawsze patrzy przychylniej na kogoś reprezentowanego przez profesjonalistę.

Słyszałem o darmowych poradniach prawnych i bardzo się cieszę z ich istnienia. Niestety nie słyszałem o jakichś instytucjach pomagających znaleźć prawników gotowych darmowo poprowadzić całą sprawę (oprócz oczywiście instytucji adwokata z urzędu).

Co do:

I chyba nie chodziło o to, by robić z tego biznes czy show albo zarabiać na reklamach w serwisie.

Miałem przyjemność uczestniczyć w zajęciach z "Podstaw prezentacji nauki i techniki" prowadzonych przez
pana Wiktora Niedzickiego
i do tej pory pamiętam historię, którą opowiedział na pierwszych zajęciach.
Otóż, ponad 20 lat temu robił wywiad ze znanym polskim naukowcem. Był on kierownikiem bardzo nowocześnie wyposażonego laboratorium - za parę milionów dolarów z jakiegoś grantu z USA.

No i ten wywiad niezbyt się dawało zrobić, bo odpowiadał on półgębkiem, przez ramię zza biurka i w ogóle niechętnie.
W końcu Niedzicki zdenerwowany zapytał: a czy w Stanach to tak samo do telewizji się odnosił?

A nie - w Stanach było całkiem co innego, bo od tego jak się spodoba, jak się "sprzeda" zależało czy dostanie te parę milionów dolarów grantu. A tutaj jak będzie sie starał - powiedzą "reklamiarz" i nic z tego dobrego nie przyjdzie.

U nas jak było 20 lat temu, tak też jest teraz. Dlaczego sprzedawanie nauki, dbanie o finansowanie, reklamowanie jest wciąż źle oceniane? Bo nauka powinna być niedochodowa i uprawiana w imię "wyższych" wartości? To jest bzdura i właśnie ze względu na takie podejście nasza nauka rozwija się tak jak się rozwija.

A tutaj podobne podejście. Pomóc za darmo - tak to jest szlachetne i wskazane. Stworzyć serwis, który zarobi na "show" (ale o ogromnych walorach edukacyjnych, popularyzujący prawo, procedury sądowe itd, mający możliwość poruszać ważne społecznie sprawy) i dzięki temu będzie miał na opłacenie profesjonalnych prawników (którzy w przerwach między sprawami prowadzonymi za darmo muszą przecież też zarabiać ;)) i inne koszty sądowe - nie, to już byłby "brzydki biznes".

paragraf antyhakerski

Trochę na margnesie tego artykułu ku mojemu zdziwieniu odkryłem, że parę miesięcy temu nasz sąsiad - Niemcy - wzbogacił się o prawo antyhakerskie. Szczegóły np. tu. Jeden z moich ulubionych programów diagnostycznych do wifi, KisMAC, musiał się przenieść z Niemiec do Szwajcarii.

czy znamy dalszy ciąg tej

czy znamy dalszy ciąg tej sprawy?

Dowiem się

VaGla's picture

"Gospodarzem informacji" w tej sprawie jest - o ile pamiętam - mec. Artur Kmieciak, który zgodził się pro bono reprezentować chłopaka (ja tylko namawiam do takich działań i "podrzucam" jak kukułka, a motywowany jestem tym, by w danych sprawach osoba miała profesjonalną reprezentację; co nie przesądza o ocenie prawnej danych działań). Sprawdzę jeszcze, ale trzeba pamiętać, że adwokatów obowiązuje tajemnica adwokacka. Artur odwiedza serwis, więc jeśli będzie miał coś w tej sprawie do zakomunikowania i będzie mógł to zrobić, to pewnie da się namówić do "zeznań".
--
[VaGla] Vigilant Android Generated for Logical Assassination

dzięki,

dzięki,
pisałem również dlatego, że forum poradniaprawna przestała działać, a tam w miarę na bieżąco pojawiały się informacje z frontu.

Witam,

Witam,

W mojej sprawie niewiele się zmieniło. Sąd powołał drugiego biegłego z dziedziny informatyki i obecnie czekamy na jego opinię. Gdy sprawa się zakończy na pewno wszystkich o tym poinformujemy.

Pozdrawiam,
Mateusz M.

Rok...

Czyli sprawa ciągnie się już rok... Zwrócili Ci chociaż narzędzia pracy?

Komputery nie zostały mi

Komputery nie zostały mi zwrócone.

Pozdrawiam,
Mateusz M.

Czy można dochodzić odszkodowania za niesłuszne zatrzymanie?

Czy można dochodzić odszkodowania na przykład na drodze cywilnej od tych, którzy nas niesłusznie oskarżyli?
Utrata narzędzi pracy na ponad rok, w kontekście wyroku w zawieszeniu brzmi jak represja.

Jaka była szkodliwość społeczna czynów? (Pomijając kwestie moralne przełamywania zabezpieczeń) Firma mogła podziękować za zwrócenie uwagi i sama załatać luki.

Firma sprzedająca samochody chce z niego zrobić kozła ofiarnego aby pokazać klientom, jak to dbają o ich dane. Odwracając uwagę od sedna sprawy, jakim jest to, że nie przyłożyli odpowiedniej staranności do ich zabezpieczenia.

PS Ta sprawa wciąż trwa?

Owszem, sprawa trwa.

VaGla's picture

Owszem, sprawa trwa. Ale już niedługo będzie chyba można powiedzieć o jej lasach nieco więcej. Na razie jednak nie uprzedzajmy faktów.
--
[VaGla] Vigilant Android Generated for Logical Assassination

A może ktoś "cichaczem" poda nazwę tej firmy...

a my udowodnimy, że serwisy tej firmy są dziurawe jak szwajcarski ser i wcale nie trzeba być włamywaczem, żeby to pokazać - w tym przypadku wyrok będzie prosty.

Z drugiej strony - na początku sprawy trzeba było złożyć wniosek o zbadanie serwera na którym stoi serwis - wyłączeniu go do zbadania i powołać pięciu biegłych (na pewno chętni pro_bono by się znaleźli). Efekt byłby prosty:

  • to serwis "firmy" byłby wyłączony z działania a nie Pan Mateusz z pracy,
  • "firma" straciłaby większość potencjalnych klientów
  • "włamania nie było" - to byłby jedyny wniosek biegłych

Tak się zastanawiam, czemu właśnie badane były tylko komputery "włamywacza", a nie serwer "złamany". Jak przychodzi policja, to sprawdza, czy drzwi zostały wyłamane i środek splądrowany, a nie czy potencjalny przechodzień ma odciski od używania łoma, lub czy nosi wytrych w kieszeni.

kiepski pomysł

maniak713's picture

A może ktoś "cichaczem" poda nazwę tej firmy... a my udowodnimy, że serwisy tej firmy są dziurawe jak szwajcarski ser i wcale nie trzeba być włamywaczem, żeby to pokazać - w tym przypadku wyrok będzie prosty.

Po pierwsze, z informacji gdzie indziej wynika, że kolejny biegły uznał, że dany serwer zabezpieczeń praktycznie nie miał - jeśli jego opinia zostanie uznana przez sąd, to zmieni całkowicie postać rzeczy. Pchanie się tutaj może sprawie zaszkodzić.

Po drugie, montujesz tu przestępczy spisek w celu popełniania zbrodni wykrywania braku zabezpieczeń... Dożywocie jak w banku ;-)

Chętnie bym poznał nazwę

Chętnie bym poznał nazwę tej firmy po zakończeniu całej sprawy, żeby omijać ją dużym łukiem. Mam nadzieję, że Michał wygra, a cała sprawa będzie strzałem w stopę dla tej firmy i pięknym precedensem. Trzymam kciuki! A potem zostanie już tylko dochodzenie własnych praw - kwestia utraconych korzyści finansowych z powodu konfiskaty sprzętu oraz nielegalne uzyskanie korzyści biznesowych przez wydobycie cennych informacji jakie przekazał Michał na spotkaniu dyrektorowi firmy.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>