Skanowanie portów - czy znamy jakieś polskie przypadki?

Będzie coraz więcej takich wątpliwości. Warto - jak sądzę - przywołać fragment listu, który otrzymałem od jednego z czytelników. Chodzi o "skanowanie portów". Ustawy nie mówią o "skanowaniu portów", mówią o zapoznaniu sie z informacją nie przeznaczoną dla danej osoby wraz z pewnymi dalszymi warunkami. Mówią o posługiwaniu się urządzeniami specjalnymi w określonym celu... Po raz kolejny można postawić pytanie o "przełamanie" zabezpieczenia, którego nie było. Można też postawić pytanie o posługiwanie się "narzędziami hackerskimi" przez administratorów systemów komputerowych.

Każdy administrator systemu, by poprawnie wykonywać swoje obowiązki, musi korzystać z pewnych narzędzi informatycznych. Chodzi o to, by dysponować pewnym instrumentarium pozwalającym na wykonywanie swojej pracy. Takie narzędzia są powszechnie dostępne również dla osób, które akurat nie wykonują określonego zawodu. Zresztą - wykonywanie zawodu, to kategoria umowna (dziś trudno powiedzieć jaki zawód się wykonuje, gdyż coraz częściej jedna osoba wykonuje różne zawody). Dla pewnego uproszczenia zacytuję Wikipedię: "Skanowanie portów to działanie polegające na wysyłaniu pakietów ICMP, TCP lub UDP do systemu lub systemów (dowolnego typu: komputerów, drukarek, trasowników) dostępnych przez sieć TCP/IP celem sprawdzenia otwartych portów i dostępnych serwisów". Skanowanie portów to takie "opukiwanie", przy czym efekt takiego opukiwania może dać nam interesującą wiedzę na temat systemu, który się opukuje.

Otrzymałem następujący list:

Jestem Administratorem Sieci w jednej z jednostek administracji państwowej ostatnio udało mi się odkryć że w jednej z agencji państwowej jest luka bezpieczeństwa pozwalająca na dostęp do bazy danych w której znajdują się dane mówiąc krótko delikatne i oczywiście poinformowałem o tym osobę, którą znam i która tam pracuje.

Do odkrycia tej luki użyłem skanera portów. Osoby odpowiedzialne za zabezpieczenie serwera uznały, że jest nie zgodne z prawem i planują zgłosić tę sprawę do odpowiednich władz.

Osobiście i z tego co wiem o polskim prawie nie ma regulacji mówiących o tym że skanowanie portów jest niezgodne z prawem i powyższe uważam za swego rodzaju non-sens w szczególności jeżeli wziąć pod uwagę intencje.

Polska ustawa przewiduje w art. 267 § 1. KK, że grzywnie, karze ograniczenia wolności lub pozbawienia wolności do lat dwóch podlega ten, "kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie". W § 2 tego przepisu przewidziano sytuację, w której ktoś działając "w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym".

Skanowanie portów. Niby naturalna czynność. Jeśli nie byłbym uprawniony do uzyskania informacji, które system mi udostępni w wyniku skanowania portów, to przecież porty będą pozamykane, a sam system uszczelniony. Jeśli zatem dowiaduję się jakie usługi działają na zdalnym systemie, jeśli dowiaduje się jaki system operacyjny tam działa, w jakich wersjach zainstalowano usługi, to czy popełniam przestępstwo? Czy oprogramowanie służące do skanowania portów można uznać za urządzenie specjalne, o którym mowa w cytowanym przepisie?

Czy znacie może przypadki, w których postawiono komuś w Polsce jakieś zarzuty związane ze "skanowaniem portów"?

Aktualne jest też pytanie o art. 269b Kodeksu karnego (por. poniżej, w linkach)

Przeczytaj również:

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

a skad mamy wiedziec czy

a skad mamy wiedziec czy mamy uprawnienia czy nie jesli nie ma weryfikacji?
w pelni otwarty port to drzwi ktore nie sa nawet przymkniete wiec nikt nie moze roscic pretencji ze ktos przez nie przeszedl...

a co mam zrobic jesli np ktos sie proboje zalogowac (na moim serwerze) na konto administratora 10 razy na sekunde?
ciezko nazwac cos takiego przypadkiem czy pomylka - jest to celowa proba przelamania zabezpieczen...

Czy skanowania można zakazać?

Nie spotkałem się jeszcze (w swej bardzo krótkiej karierze) z penalizowaniem samego skanowania. Samo wykrywanie skanowania, z tego co zauważyłem, jest stosowane raczej jako środek zapobiegawczy (ktoś skanuje mój serwer, trzeba przygotować się do wycięcia tego kogoś na firewallu i zacząć dokładniej monitorować pracę serwera) lub pomocniczy w analizie powypadkowej (większe routery i switche mogą logować takie anomalie). Wynik skanowania zależy tylko i wyłącznie od administratorów serwera, w zależności od ustawień firewalla widać różne rzeczy (z fałszywymi otwartymi portami włącznie, możliwe jest przekierowane na honeypot, pozwala w jakimś stopniu ustalić intencje skanującego).

Do tego dochodzi problem braku innych środków do odkrywania usług. Prawie każdy internauta sam przeprowadzał skanowanie. Na przykład przez wpisywanie różnych adresów do przeglądarki internetowej nie będąc pewnym, czy nazwa domenowa kończyła się na com.pl, org.pl, .pl (skanujemy port 80 na różnych serwerach).

Nie jestem prawnikiem, ale chyba nie ma żadnych podstaw prawnych do postawienia oskarżeń, chyba że podczas skanowania część usług była niedostępna w wyniku przeciążenia.

Skanowałem kiedyś sieci

Skanowałem kiedyś sieci komputerowe, ale nie po to, by się włamać na serwery, ale zyskać informacje na temat struktury sieci. Z resztą nie mam innej możliwości nauki niż eksperymenty i zbieranie informacji teoretycznych. Zresztą większość tego typu programów mają doinstalowane odpowiednie narzędzia, o których użytkownik nic nie wie, a mające na celu szybko namierzenie osoby, która przekroczy swoje uprawnienia w sieci posługując się nimi.

Oprogramowanie to

Oprogramowanie to urządzenie? Nie znam się na przepisach, nie jestem prawnikiem, ale takie założenie wydaje mi się podejrzane.

Z drugiej strony, za urządzenie można by uznać komputer wraz z oprogramowaniem, a zainstalowanie nmap-a -- za akt przeróbki na nim dokonany w celu przystosowania go do popełnienia przestępstwa.

Tylko z tego co mi wiadomo, to różnorodne oprogramowanie służące do szeroko pojętej diagnostyki sieci jest "domyślnie" instalowane w wielu dystrybucjach systemów operacyjnych, zatem o celowej przeróbce chyba nie może tu być mowy, a tym bardziej o "specjalności" urządzenia -- choć muszę przyznać, że wyczuwam tutaj "specyficzne prawnicze znaczenie" tego określenia.

Z drugiej strony nie od dziś wiadomo, że "opukiwanie" jest często wstępem do dalszej działalności, niekoniecznie niewinnej. Jak widzimy na klatce schodowej człowieka chodzącego od drzwi do rzwi i szarpiącego kolejno wszystkie klamki, to raczej spokojnie nie stoimy, prawda?

Skanowanie portów i oprogramowanie.

Owszem, są zamieszczane całe pakiety oprogramowania ułatwiające administratorowi monitorowanie ustawień sieci komputerowej. Własnej sieci komputerowej.
Tylko nie wiedzieć czemu, w tej całej dyskusji jakoś umyka drobny szczegół.

Dopóki skanujemy własną sieć, to wykorzystujemy narzędzie zgodnie z jego przeznaczeniem. Skanowanie "zamierzone" cudzej sieci to już zupełnie inne zagadnienie.

Można by użyć analogii do klucza YALE. Kształtem rowków pasuje do wielu wkładek w zamkach tego typu. Usiłowanie otwierania cudzych zamków własnym kluczem może być uznane nie jako eksperyment naukowy, a raczej jako usiłowanie włamania.

Zastanawiającym jest, że w kręgach ludzi zajmujących się zawodowo lub hobbystycznie zagadnieniami informatycznymi jakoś często przechodzi się do porządku dziennego nad tym, że używanie narzędzi przeznaczonych do wspierania pracy administratora własnej sieci komputerowej, służy do "podglądania" cudzych sieci. Czemu jest to traktowane jako normalność ?? Przecież to w sumie jest jak wtargnięcie na cudzy teren bez jego zgody. Ot choćby skacząc przez płot, albo przechodząc przez dziurę w płocie.

Rozumiem, że można to robić w dobrej wierze. Tyle tylko, że taki zamiar warto wcześniej uzgodnić z drugą stroną. W tym przypadku jednak mielibyśmy już chyba przypadek zewnętrznego "audytu". Taki proces powinien być omówiony w dokumencie zwanym "Polityka Bezpieczeństwa Sieci Informatycznej". Pod warunkiem, że taki dokument istnieje i zawiera stosowne zapisy.

Pozdrawiam

Przecież to w sumie jest

Przecież to w sumie jest jak wtargnięcie na cudzy teren bez jego zgody. Ot choćby skacząc przez płot, albo przechodząc przez dziurę w płocie.

W sumie, ale w sprawie skanowania portów to tak jakbyś zarzucał ślepemu, że sprawdza gdzie jest płot a gdzie furtka. W sieci nie jesteś w stanie sprawdzić czym jest któraś z podsieci nie "pukając". No, chyba że twierdzisz, że osoby z czystym sumieniem zaglądają tylko pod adresy z gazet, ale skąd my to znamy...

Nie sądzisz, że skoro co nie jest zabronione, to jest dozwolone, to próby podłączenia się do publicznie dostępnych sieci, nie zabezpieczonych firewallem, nie mogą być przestępstwem? A chodzenie po ulicach innego miasta nie jest...

Jeżeli komuś zdarzy się znaleźć lukę w jakimś systemie, niech pamięta, że należy albo milczeć, albo powiadomić administratora _anonimowo_. Parę osób na świecie już się przekonało, że nie warto się mieszać do takich spraw, podpisując się nazwiskiem.

Tyle tylko, że taki zamiar warto wcześniej uzgodnić z drugą stroną.

W tym momencie druga strona sądzi, że już próbowałeś, coś znalazłeś i szukasz możliwości zarobienia na tym, inaczej - szantaż. Jeżeli mówisz o biznesie - przecież oni już zatrudniają techników. Lepiej albo dać sobie spokój, albo zachować odkrycia dla siebie.

I teraz - kto traci na tym, że nie zostanie poinformowany o lukach w swojej sieci?

Jednak regulacje prawne dla internetu są niezbędne.

Sądzę jedno. Każdy kto coś udostępnia, to podaje adres w sposób jawny. Podobnie jak adres do korespondencji. Określa jasno którędy sobie życzy by wchodzono czyli nawet "ślepemu" wskazuje obszar gdzie znajdują się drzwi wejściowe. Szukanie "ukrytych" furtek to inne zagadnienie. Każdy co ma chęć coś załatwić z kimś, to "puka" do jasno określonych drzwi, a nie szuka wejść tajemnych.

Problem z tym pojęciem co wolno a co nie wolno. Proszę zauważyć, że systemy informatyczne w wielu przypadkach, podchodzą chcąc niechcąc pod ustawę o ochronie informacji niejawnej. A ta ustawa określa, że "co nie jest dozwolone poprzez wymienienie w ustawie, jest z założenia zabronione". Przynajmniej tak tę ustawę interpretują specjaliści od ochrony informacji niejawnych. Moim zdaniem mają rację.

Ale też można przyjąć, że "pukanie" nie do drzwi wskazanych, to naruszanie spokoju albo prywatności kogoś do kogo drzwi "pukamy". Jakoś dziwnym zjawiskiem w internecie jest zasada, że "wolnoć Tomku w swoim domku", a tym domkiem jest przestrzeń internetu.

Przyrównując analogię do ulic miasta. Tymi ulicami są łącza. Po nich wolno każdemu chodzić. "Pukanie" zaś to już odwiedzanie konkretnego adresu, a to już niekoniecznie wolno każdemu. Dziwne, że analogia adresu IP do adresu np. mieszkania, jakoś nie potrafi się przebić w świadomości internautów. To zadziwiające rozumowanie.

"Analogizując" dalej, to adres IPv4 można by przyrównać do:

  1. -szy oktet to kraj
  2. -gi oktet to miasto
  3. -ci oktet to ulica
  4. -ty oktet to numer posesji

Numery portów to już określone wejścia do danej posesji.
Czy mając pierwsze 3 oktety, jesteśmy w stanie powiedzieć coś więcej o wejściach do posesji stojących przy takiej "ulicy" ?? Jak widzać spacerować sobie po "ulicy" wolno, nikt nie zabrania.

Podczas gdy jednak w realnym świecie. W momencie gdy jednak zaczynamy "pukać" do "wejść" dowolnej realnie istniejącej posesji, to może się okazać, że posesja jest monitorowana i "szybka brygada" przybędzie, parę pał przyłoży za stawianie oporu. Może być nawet niemiło, a także boleśnie. Zaiste dziwnym jest, że w świecie realnych miast, ulic i domów ochrona i odpowiedzialność karna za naruszanie terenu prywatnego jest rozumiana. W internecie natomiast wszelkie zasady nie istnieją choć powinny bo bywają analogiczne. Co więcej, próby przypominania o tym skutkują szyderstwem albo pukaniem się w czoło :)

Ciekawe dlaczego moja sugestia o wszczęcie rozmów w temacie sprawdzania została prawie, że przyrównana do szantażu ??

Jest coś takiego jak Audyt zewnętrzny i każda firma trudniąca się takim zadaniem ma prawo zaoferować swoje usługi. To czy zostanie przyjęta to problem odbiorcy usług. A dziura w sieci komputerowej? No cóż. To problem techników nią zarządzających. Jeśli są tak dobrzy jak sądzą o sobie to mogą spać spokojnie. Jeśli nie, to gdy ktoś "skompromituje" ich sieć, powinni stracić pracę ze stosownym wpisem do akt. Wiele by to uprościło na rynku pracy "informatyków" :)

A co do odkryć dla siebie. A po kiego mi grzebać w cudzej sieci?

Ze swoją mam i tak dużo pracy. Zwłaszcza, że technologia "pukania" się dynamicznie rozwija :)

Poza tym, ja pukam do jasno wskazanych portów na serwerach http lub ftp. Inne mnie nie interesują o ile nie należą do sieci, którą mam zarządzać.

A osobiście nie mam nic do firm czy ludzi, którzy otwarcie oferują mi pomoc w kompromitacji tego co zabezpieczam. W sumie to w moim interesie aby wiedzieć gdzie są dziury w płocie o których nie mam świadomości. Inną kwestią jest jak to udostępnię. To już zagadnienie jak wspomniałem wcześniej m. in. Polityki Bezpieczeństwa Sieci Informatycznej.

A co do tematu obecnego mojego wpisu.

Kiedyś na jednym ze szkoleń usłyszałem zdanie prawnika.

Prawnik i przepisy prawa są potrzebne dopiero wtedy gdy trzeba rozstrzygnąc spór

Gdyby zatem w internecie postępowano jak w życiu, to mniej byłoby dywagacji na temat "dozwolone bo nie zabronione". Zwyczajowo zawsze nadużywane i nadinterpretowane. Skutkiem tego powstają coraz to nowe przepisy regulujące obszary, gdzie wystarczyłaby zwykła kultura obycia. Czyżbyśmy byli aż tak mało kulturalni wobec innych?

Widocznie w charakterze osobowości ludzkiej jest jakaś atawistyczna żądza szperania w cudzych sprawach. Ewidentnie to widać w internecie gdzie nie można dostać pałką czy gazem jak to może się przydarzyć w realnym świecie gdy zacznie się szukać innych wejść niż to dozwolone.

Pozdrawiam

Takie analogie są niedobre

VaGla's picture

Dziwne, że analogia adresu IP do adresu np. mieszkania, jakoś nie potrafi się przebić w świadomości internautów.

Ja akurat z tego się cieszę, gdyż uważam, że analogia realnych instytucji (gdzie istnieją fizyczne rzeczy) do obiegu informacji, sama taka analogia już stanowi pewne uproszczenie, które nie sprzyja zrozumieniu różnic. A te różnice są, więc postulowanie stosowania analogii uważam za niepożądane.

W przypadku portów próbowałbym sobie wyobrazić raczej abstrakcyjną nieco grę w kropki, gdzie na zakratkowanym papierze stawia się punkt czekając na ruch przeciwnika. Wszystkie pola są potencjalnie dostępne, a przeciwnik może na niektórych już postawić własną kropkę. Taka analogia też nie jest dobra. Niestety o to właśnie chodzi - nie ma dobrych analogii.

Proszę sobie na chwilę wyobrazić, że istnieją takie regulacje, które zakazują Panu myśleć o określonych sprawach. To też jest niedoskonała analogia, chociaż myślenie to też przetwarzanie informacji.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Usługi bluetooth

A ja niedawno w ramach pracy przejściowej napisałem applet na telefon komórkowy do wyszukiwania aktywnych urządzeń bluetooth, łączenia się z nimi i komunikacji.

Przy komunikacji przez bluetooth istnieje coś takiego jak "usługi" oferowane przez dane urządzenie. Niestety, telefony komórkowe nie mają zaimplementowanej możliwości odpytania urządzenia o to jakie usługi oferuje. Można za to sprawdzać po kolei. Opukiwanie bluetootha.

Co do analogii - najczęściej są stronnicze i służą udowodnieniu czyjejś racji. Ale kiedy przyjdzie co do czego (sąd i coś więcej niż dobrowolne przyznanie się do winy) to pewnie właśnie takimi analogiami trzeba będzie się posługiwać. Jeśli już przyrównujemy to do miasta, to ja opukiwanie portów przyrównałbym do spojrzenia na posesję. Może nawet oświetlenia, jak jest ciemna noc i nic nie widać.

Ale w Polsce potrafią zatrzymywać tłumaczących filmy, to nigdy nic nie wiadomo. A propos - ktoś wie, jak się sytuacja rozwinęła?

Rozumiem sprzeciw co do analogii.

Ale skoro zła analogia pomiędzy IP a np. mieszkaniem, to zadam przewrotne pytanie.
Czy byłby Pan szczęśliwy gdyby żartowniś dzwonił na Pana numer telefonu domowego o dowolnej porze dnia i nocy? Ot tak dla zabawy bo "puka" sobie pod wirtulany adres jakim jest numer telefonu. Przecież to też cyferki. Jak pamiętam, to swego czasu był temat zakazu użytkowania automatów telefonicznych wydzwaniających pod losowy numer celem krzewienia reklamy.

Wiem, że analogie są złe. Zwłaszcza gdy komuś się dzieje krzywda, bo nas to nie boli. Ale gdy krzywda dotknie kogoś osobiście, to natychmiast powstają setki analogii uzasadniających niesłuszność, a nawet bezprawność czynu którego stano się ofiarą.

I jak było tu także napisane. Gdy stanie się coś niestosownego i sprawa trafi do sądu, to sąd orzeka na podstawie swej wiedzy i doświadczenia. Trudno jest zatem nie przyjąć, że sąd w swej mądrości nie zastosował sobie tylko znanej analogii wynikającej z wiedzy i doświadczenia.

Z innej strony. Stosując proces edukacji w pewnych obszarach możemy jedynie używać analogii. Dlaczego nie trzeba wyjaśniać. I tam jest to słuszne, a najskuteczniejsze gdy analogia jest najbardziej zbliżona do czegoś co jest znane i rozumiane przez zdobywających wiedzę.

Ale jak dostrzegam, to w przypadku zagadnień internetowych czy informatycznych analogie są złe, nawet jeśli w swej niedoskonałości mogą spełnić rolę edukacyjną.

Jeśli zaś chodzi o analogię do "oświetlania posesji". To o ile pamiętam, za pomocą wiązki światła jeszcze nikomu nie udało się wtargnąć na posesję. Choć jak kiedyś żartowano, to dwóch speców chciało wiać przez mur po promieniu światła od latarki. Nie uciekli, bo jeden się bał, że jak drugi zgasi latarkę to on spadnie na ziemię i się potłucze. :)

W przypadku zaś skanowania portów. Choć to czyn wirtualny to efekty może mieć wymierne materialnie. Coś jak dualizm korpuskularno-falowy, jak to ze światłem bywa. Niby fala elektromagnetyczna, a oddziaływuje jak obiekt obdarzony masą. Przepraszam. Znów znalazłem analogię.

Zaczynam poniekąd rozumieć czemu informatyzacja tak kuleje. Niewielu potrafi poruszać się w wirtualnych światach, bo niewielu jest mistyków. Większości słuchaczy potrzeba odniesień realnych, a tu przydatne bywają analogie. A skoro ich nie stosujemy, to zrozumienie zagadnienia bywa niewielkie. Stąd pewnie także problemy np. z serwisami BIP polegającymi na ich niezgodności z ustawą.

Tylko jak mają być zgodne, skoro do zapytania o to czy portal BIP oferowany przez firmę, spełnia wymogi ustawy i rozporządzeń zmusza się informatyków? Bo przez analogię => BIP to internetowy serwis, a to informatyka, zatem problem natury prawnej mają rozwiązywać informatycy. Tu mamy do czynienia ze swoistą analogią. Analogią słów.

Internetowy = sieć komputerowa = informatyka => problem rozwiązują informatycy! Szkoda, że problem natury prawnej, a nie technicznej.

Tyle tylko, że BIP jest tworem prawnym i ściśle opisany jak ma wyglądać. Zatem tylko pod dyktando prawników, informatycy mogą brać udział w tworzeniu kodu portalu. Praktyka jednak pokazuje odwrotną praktykę. Zapewne dlatego, że inni też tak robią.

Napisałem o tym celowo. Bo w rozmowie ze znajomym dowiedziałem się, że w jego instytucji informatyk ma być włączony do zespołu redakcyjnego BIP. Ponoć ma odpowiadać za koordynację informacji zamieszczanych na stronie BIP i stronie podmiotowej. Czyli wychodzi na to, że znów zadziałała analogia słów. Internetowy = Informatyk. Szkoda. Wynika bowiem z tego, że informatyk ma być biegłym specjalistą w analizie zapisu prawa obowiązującego daną instytucję. Czy to aby nie pomyłka organizacyjna?

Może by tak prześledzić jak w skali kraju wygląda udział prawników np. jednostek publicznych w interpretowaniu obowiązującej wykładni prawa dotyczącego zastosowania technik komputerowych do przepisów regulujących funkcjonowanie i organizację jednostki publicznej.
Jak wiem autor vortalu jest prawnikiem i nie zaprzeczy, że wyrywkowo realizowana ustawa czy rozporządzenie (realizowane przez informatyka bo dotyczy czegoś tam z komputerami), może nie być właściwym posunięciem w zderzeniu z pełną wykładnią prawa dla danego podmiotu.
Taka analiza zapewne szybko ujawniłaby powody rozchwiania procesów informatyzacji także urzędów.

Ja rozumiem jedno. Prawnik jest od analizowania prawa i jego wdrażania nawet jeśli w temacie są aspekty informatyczne. Informatyk jest od zrealizowania aspektów techniczno-informatycznych, zgodnie z wykładnią określoną przez prawnika czyli osobe kompetentną do analizowania zapisów prawnych. Wtedy każdy robi swoje w sposób kompetentny i właściwy. Nie ma mniemalogii stosowanej, tudzież oglądania się na to jak inni mają, bo mogą mieć niekoniecznie dobrze. Chociaż z demokratycznego punktu widzenia, to większość ma rację nawet jeśli jest w błędzie. Szkoda.

Przepraszam wszystkich jeśli zanudziłem. Ale czasem zbyt wiele ciśnie się na klawiaturę.

Pozdrawiam

P.S.
A może to właśnie dzięki analogiom różnego rodzaju, ludzie nie popełniają przestępstw. Możliwe, że dzieki analogiom potrafią przewidzieć następstwa tego czy innego czynu.

ICMP i porty

"Skanowanie portów to działanie polegające na wysyłaniu pakietów ICMP ...

W protokole ICMP nie ma pojęcia "port" więc nie można mówić o skanowaniu portów za pomocą protokołu ICMP.
Cytowanie Wikipedii to nie jest zbyt dobry pomysł.

Całe szczęście

VaGla's picture

Całe szczęście - można liczyć na komentarze i to, że ktoś wyłapie takie wpadki jak ta. Dziękuje zatem za komentarz.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Otwarte porty = dostępne usługi

Pojęcie portu w protokole TCP oznacza identyfikator aplikacji (typu aplikacji) na zadanym adresie IP. Aplikacja taka udostępnia usługi sieciowe poprzez wymianę pakietów protokołu TCP z danymi.

Otwarcie portu oznacza udostępnienie usługi.
Dostęp do usługi można ograniczać na wielu poziomach:
- firewall - software'owe lub hardware'owe filtry pakietów, które umożliwiają kontrolę ruchu IP, TCP/IP,..
- zabezpieczenia kryptograficzne na poziomie protokołu IP takie jak IPSEC oraz zabezpieczenia w warstwie aplikacji takie jak SSL.
- mechanizmy uwierzytelniania - software'owe zabezpieczenie na w warstwie aplikacji udosŧępnianego serwisu - aplikacja po prostu jest tak skonstruowana, że aby uzyskać do niej dostęp należy przedstawić dane umożliwiające uwierzytelnianie (hasło, response w protokole challenge-response + certyfikat, ...)

Ten kto otwiera port, udostępnia serwis. Jeśli serwis nie powinien być dostępny, należy zastosować jedno z w.w. zabezpieczeń. Skanowanie portów to jedynie odkrywanie udostępnionych na danym hoście serwisów.

Jeśli urząd publiczny udostępnia port bazy danych, to należy zastanowić się nad przemyśleniem architektury rozwiązania informatycznego w urzędzie i wyciągnięciu konsekwencji wobec jej pracowników technicznych. Zastanawianie się w takim momencie nad zmianą prawa to próba przerzucenia odpowiedzialności z osób administrujących na użytkowników.

Cały problem polega na tym, że bardzo łatwo w sposób nieświadomy zacząć wysyłać pakiety na różne porty innej maszyny ("skanować porty") poprzez na przykład wpisanie nieprawidłowych adresów w jakiegoś klienta p2p lub instant message. Takie oprogramowanie może podejmować próby wielokrotnego łączenia się na różne porty w zadanym zakresie na różnych hostach.

To mi trochę przypomina wytaczanie procesu domowi handlowemu za to że złamałem sobie nogę na ich marmurowej podłodze w czasie zakupów.
Przerzucanie odpowiedzialności to zjawisko istniejące w głowie każdego człowieka i całych instytucji - niestety.

Temat był już przerabiany

Temat był już przerabiany wielokrotnie przy okazji różnych wyczynów mniej lub bardziej pomysłowych misiaczków.

Po pierwsze za pomocą skanera portów nie da się wykryć tego typu luki. Skaner portów może poinformować nas o otwartych portach, rodzaju systemu operacyjnego (i wersji) oraz o wersjach oprogramowania działającego na poszczególnych portach. Żeby stwierdzić istnienie luki (jak opisał autor maila) trzeba by przynajmniej spróbować się zalogować do tej bazy. Sam fakt, że otwarty jest port przykładowo 3306 (MySQL) może świadczyć jedynie o kiepskich praktykach bezpieczeństwa, a nie o samej podatności. Jeśli autor maila domniemuje, że luka istnieje (np. porównał wersję z CVE), a nie próbował jej zweryfikować, to raczej nie ma się czego obawiać.

Przez ostatnie dwa lata miałem okazje pracować z zespołem PIONIER CERT i nie przypominam sobie jakiegokolwiek przypadku, żeby ścigano kogoś za skanowanie portów.

Ważniejszą kwestią jest działalność polegająca na szukaniu dziur w cudzych serwisach i późniejsze zgłaszanie jej właścicielom. O ile dobra praktyka (i moje doświadczenie) mówi, że właściciel powinien podziękować, wyrazić uznanie (nie, wcale nie w sposób materialny) i dziurę załatać, to czasami jednak zdarza się, że sprawa trafia do sądu. Ponieważ nie mamy chyba żadnego spójnego orzecznictwa, więc w tym przypadku wszytko zależy od sądu i biegłego sądowego.

Zainteresowanym polecam ten wątek, a w szczególności wypowiedzi lcamtufa, który jest prawdziwym głosem rozsądku :].

c.

Krótka analiza prawna

Informacja uzyskana dzięki przeskanowaniu portów może być cenniejsza niż posiadany przez hakera słownik haseł - to fakt nie podważalny.

Nie jestem informatykiem więc nie wiem jak można zabezpieczyć przed niepowołanymi osobami informację o otwartych portach. Z punktu widzenia art. 267 to jest ważny problem, bo gdy coś jest publicznie dostępne to czy mogę popełnić przestępstwo? Chyba nie. Czytelnik - autor listu chyba skanując porty nie uzyskał zaszyfrowanej lub w inny sposób zabezpieczonej informacji. Więc jak czytam instrukcję wejścia do jakiegoś komputera wywieszoną obok rozkładu jazdy mpk czy jest to przestępstwo?

Owszem na gruncie pierwszego zdania w tym poście można pomyśleć, że wynik skanowania to i tak cenna informacja, ale czy wystarczająco zabezpieczona aby mogła podlegać ochronie prawnokarnej. Niech wypowiedzą się technicy.

Paragraf drugi art. 267, według komentarzy doktryny odpada bowiem dotyczy przede wszystkim rzeczy - kamer, mikrofonów itd. Ustawa posługuje się pojęciem urządzenia, za takie trudno uznać program komputerowy. Problem nazywania programów komputerowych rzeczami szeroko jest omawiany w literaturze dotyczącej prawa autorskiego. Choć jak wiadomo są wyjątki w doktrynie np. Prof. Adamski uważa, że użycie słowa narzędzia może być wykorzystane dla narzędzi komputerowych więc skoro włącza do katalogu narzędzi password sniffery to pewnie byłby bliski skanerom portów.

Przepis art. 269b jest niejako uzupełnieniem innych przestępstw bowiem wskazuje, iż pewna forma przygotowania do ich popełniania jest już samym przestępstwem. O przestępczości czynu w postaci wytworzenia oprogramowania do skanowania portów będzie decydować nie tylko przeznaczenie programu, ale i umiejętność jego praktycznego użycia i cel działania.

Z przedstawionego w artykule powyżej stanu faktycznego nie wynika konieczność odwołania sie do art. 269b w celu oceny karalności czynu, ale można wspomnieć na marginesie że pominięcie zarówno art. 267 par. 1 i 2 w znamionach 269b jest nieporozumieniem.

2 lata temu jak przygotowywałem pracę mgr o art. 267 KK to nie było na ten temat za dużo literatury. To co było dotyczyło abstrakcyjnych teoretycznych rozważań nie popartych wnioskami z praktyki w szczególności żadnym orzecznictwem. Może praktyka przychyli się do potrzeb świata elektroniki, szczególnie po zmianach art. 267 które są w komisji kodyfikacyjnej w ramach ministerstwa sprawiedliwości przygotowywane.

Jeszcze krótko o statystykach. Próżno szukać statystyk przestępczości na bazie art. 267. Kiedyś na stronie internetowej komendy głównej policji można było wyczytać kilka cyferek, ale bez żadnej analizy i rozbicia na szczegóły np. jaka z tego część dotyczy otwierania tradycyjnej korespondencji, a jaka hackingu sensu stricto. Trzeba by było obejrzeć akta postępowań karnych aby móc mówić o jakiejś utrzymującej się tendencji na najniższym szczeblu (stawianiu zarzutów czy akty oskarżenia, metody wykrywcze i przypadki umorzeń postępowania bądź wręcz odmowy wszczęcia). Bo Sąd Najwyższy się na ten temat chyba jeszcze nie wypowiadał.

Niestety nie śledzę już tych zmian, choć to czym się zajmuję obecnie zawodowo nie jest na szczęście odcięte od prawa komputerowego :)

Swoją drogą autor serwisu to pewnie bardzo zajęty człowiek bo już trzeci dzień czekam na założenie konta, szkoda że trzeba pisać jako osoba anonimowa i czekać z komentarzem aż temat nieco straci wobec wysypu kilku nowych. jak na razie otrzymałem mejla z informacją o wysłanej prośbie do autora strony i od tej pory cisza... Przy czym mój podpis posta nie jest tożsamy z nickiem i nazwą konta.

Owszem, zajęty. Ale...

VaGla's picture

Złożył Pan aplikację o konto nie trzy dni temu, a 1 dzień 18 godz. temu i ani razu nie próbował się Pan zalogować, a konto było aktywne jakieś 4 godziny po złożeniu aplikacji. Proszę spróbować.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Witam,

Witam,

Przyłączając się do dyskusji nasuwa mi się jedno pytanie. Otóż, skanując porty otrzymuje się informacje o otwartych, filtrowanych i zamkniętych portach. Nie jest to wiedza, za którą grożą jakieś sankcje. Ale, co jeśli osoba podejmuje dalsze kroki. Np, port 3306 - czyli mysql jest otwarty. Następuje próba zalogowania się do serwera. Jedno z kont ma standardowe hasło, lub brak tego hasła. Taka osoba dostając się do serwera, przegląda dane do jakich się dostał. Następnie wyciąga jakieś rekordy w celu zdobycia dowodu :).

Czy w takiej sytuacji sprawcy danego czynu grożą jakieś konsekwencje? Jeżeli jest to karalne, to z urzędu czy trzeba poinformować osobiście odpowiednie organy ścigania? I czy w takim przypadku są różnice między rozpatrywanie sytuacji w Agencji rządowej, jak to określił autor listu, a firmą prywatną?

OT

Problem już lekko OT, problem wykrywania luk i błędów przy pomocy czegoś więcej niż skanera został poruszony w tym artykule (i poprzednich):
Ciąg dalszy w sprawie, w której kajdanek użyto po podpisaniu klauzuli poufności

porty

Maciej_Szmit's picture

Jak słusznie Pan pisze skanowanie portów nie wypełnia hipotezy żadnego z obu paragrafów. Skanowanie portów to - jakby próbować być ścisłym - uzyskiwanie metainformacji (informacji o tym jaka usługa informatyczna jest dostępna na danym hoście, a dokładniej - czy na danym porcie jest jakaś usługa dostępna w standardowy sposób). To tak, jakby chodził Pan po klatce schodowej i łapał za kolejne klamki sprawdzając, które drzwi są otwarte a które zamknięte (i tylko tyle, jeśli byłyby otwarte, grzecznie szedłby Pan dalej do drzwi następnego mieszkania). Trudno to uznać za "próbę włamania" (a nawet obejścia). Natomiast istnieją zabezpieczenia oparte o niestandardowy sposób dostępu do portu (tzw. port knocking), co polega - mówiąc obrazowo - na tym, że drzwi się otworzą, jeśli się np za klamkę pociągnie raz długo i dwa razy krótko a potem jeszcze przy użyciu pogrzebacza pociągnie za klamkę u sąsiadów (kombinacja znana wtajemniczonym), więc teoretycznie można sobie wyobrazić narzędzie, które próbowałoby takie zabezpieczenia łamać (szarpiąc za klamki, tj skanując porty, losowo albo według jakichś wymyślnych schematów). Ale to czysta teoria. Nie widzi mi się żeby tradycyjne skanowanie portów jakiś sąd potraktował to jako czynność przygotowawczą do przestępstwa (chyba że za takową uznać również np fakt założenia butów przez przestępcę przed wyjściem z domu albo wejście do banku, który zamierzał obrabować). Ale jak wiadomo sądy robią różne rzeczy... Coś mi się majaczy, że w niektórych krajach były jakieś przepisy zabraniające skanowania portów, ale szczegółów nie pamiętam.

W Polsce przygotowani karane tylko jeśli ustawa tak stanowi

VaGla's picture

Na gruncie polskiej ustawy karnej (art. 16 § 2. kodeksu karnego) przygotowanie jest karalne tylko wtedy, gdy ustawa tak stanowi:

Art. 16. Kodeksu karnego
§ 1. Przygotowanie zachodzi tylko wtedy, gdy sprawca w celu popełnienia czynu zabronionego podejmuje czynności mające stworzyć warunki do przedsięwzięcia czynu zmierzającego bezpośrednio do jego dokonania, w szczególności w tymże celu wchodzi w porozumienie z inną osobą, uzyskuje lub przysposabia środki, zbiera informacje lub sporządza plan działania.

§ 2. Przygotowanie jest karalne tylko wtedy, gdy ustawa tak stanowi.

--
[VaGla] Vigilant Android Generated for Logical Assassination

To ja - Admin z administracji państwowej

Witam,

Nie pisząc zbyt dużo i zbyt wylewnie, umyka z całej tej dyskusji jeden bardzo wątek, a mianowicie fakt że skanowanie było wykonane z sieci innej jednostki administracji państwowej a nie np. z Azerbejdżanu, skanowania dokonał inny administrator jednostki administracji państwowej, poinformował o tym odpowiednich ludzi w miejscu gdzie znaleziono lukę. Tracimy z całości dyskusji intencje!

Jeżeli chodzi o pracowników technicznych u których wykryto lukę to wygląda to tak że po prostu mają za dużo dumy żeby powiedzieć dziękujemy już zamknięte.

Jeżeli chodzi o analogie to tak jakby komuś zagrozić zgłoszeniem na policje za to że nam powiedział że mamy otwarte drzwi w samochodzie.

Po co robi się taki rzeczy jak skanowanie sieci w administracji państwowej przez innych admin-ów w administracji państwowej? Ano po to, aby nie zrobił z tego użytku na przykład jakiś młodziak który potem na chat-cie wp.pl wrzuci 2000 rekordów z bazy danych osobowych i po to, aby ktoś inny nie napisał o tym w gazetach jak to źle są zabezpieczone serwery, chociażby po to. Jeżeli chodzi o prace na stanowisku administratora sieci to ktoś kiedyś mi powiedział jak coś źle zrobiłem na serwerze - "Jak nie potrafisz nie pchaj się na afisz - to nie jest zabawka"

intencje

Maciej_Szmit's picture

Jeśli idzie o intencje to trudno je intersubiektywnie zweryfikować. Od audytu bezpieczeństwa jest audytor bezpieczeństwa, a od testów penetracyjnych - informatyk wchodzący w skład zespołu audytującego (zachęcam do lektury ISO 27001). A już minimum przyzwoitości to umówienie się z kolegą - jeśli pozwolisz to sprawdzę Ci sieć w taki to a taki sposób, w tych a tych godzinach. Proszę pamiętać, że zawsze w trakcie audyt coś się może posypać. Dlatego termin audytu powinno się wyznaczyć tak, żeby w razie czego nie zakłócić ciągłości działania firmy...

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>