"Nie można przełamać czegoś, co nie istnieje" - polski wyrok w sprawie SQL Injection

wirtualna klawiaturaSąd Rejonowy w Głogowie VI Wydział Grodzki w dniu 11 sierpnia 2008 r. wydał ważny wyrok w sprawie mężczyzny oskarżonego o to, że używając komputerów nie będąc do tego uprawnionym, po przełamaniu elektronicznego zabezpieczenia, serwera pewnej firmy, uzyskał informacje - dane osobowe - dla niego nie przeznaczone, działając tym samym na szkodę tej firmy, a więc w sprawie oskarżonego o czyn z art. 267 §1 kodeksu karnego. Sąd wyrokiem (sygn. akt VI K 849/07) uniewinnił oskarżonego od zarzutu, nakazał zwrócić oskarżonemu dowody rzeczowe wymienione w wykazie dowodów, a na podstawie art. 632 pkt 2 KPK orzekł, że koszty procesu ma ponieść Skarb Państwa. Wyrok jest prawomocny. To bardzo ważne rozstrzygnięcie (sygnalizowałem, że opublikuję informację na ten temat przy tekście Pochwalił się internetowi, pochwali się wnukom), a dotyczy m.in. granic możliwości przeprowadzania "audytu bezpieczeństwa" serwisów internetowych, a także spraw związanych z tzw. SQL Injection.

O sprawie, w której rozstrzygnął sąd, wcześniej pisałem w tekstach Fuszerka wykonawcy, szukanie luki, oferta naprawy i kajdanki i Ciąg dalszy w sprawie, w której kajdanek użyto po podpisaniu klauzuli poufności. Przypominam, że oskarżony nie zgodził się na dobrowolne poddanie się karze, które mu zaproponowano, początkowo bronił się sam. W ramach "programu" pro bono tego serwisu (por. VaGla.pl dla działalności pro bono) obrony mężczyzny podjął się mec. Artur Kmieciak. Po wydaniu wyroku zarówno prokuratura jak i obrona poprosiły sąd o uzasadnienie wyroku, co byłoby niezbędne do złożenia ewentualnej apelacji. Prokuratura nie złożyła jednak apelacji (wyrok jest uniewinniający, więc obrona również apelacji nie składała) i wyrok się uprawomocnił.

Co znajdziemy w uzasadnieniu wyroku Sądu Rejonowego w Głogowie w sprawie oskarżonego? W pierwszej kolejności opis podjętych przez niego działań. Odwiedził on stronę internetową i stwierdził, że serwis zawiera błędy. Następnie w formularz logowania wpisał ciąg znaków "' or 1=1" (powtarzając tą czynność również w polu hasła), co spowodowało, że został "zalogowany" na konto losowego użytkownika. To zaś spowodowało, że mężczyzna uzyskał dostęp do kilku kont użytkowników z jednoczesnym dostępem do ich danych osobowych. Mężczyzna postanowił wykorzystać ten fakt, a to w ten sposób, iż skontaktował się z przedstawicielami przedsiębiorstwa prowadzącego serwis internetowy i poinformował ich, że "wykrył lukę umożliwiającą wejście do bazy danych marketingowych firm należących lub związanych właścicielsko" z przedsiębiorstwem. W międzyczasie mężczyzna sprawdził również inne strony i serwisy internetowe stworzone przez autora witryny użytkowanej przez przedsiębiorstwo. Zauważył, że wszystkie te strony internetowe zawierały podobne błędy (zostały skonstruowane z wykorzystaniem tego samego systemu zarządzania treścią). Mężczyzna, by uwiarygodnić swoją propozycję, wysyłając list elektroniczny do przedsiębiorstwa umieścił tam dane jednego z pracowników, które uzyskał w wyniku opisywanych wyżej działań. Nie uzyskał żadnej odpowiedzi na propozycję współpracy postanowił wysłać listy bezpośrednio do zainteresowanych firm, których dane były w ramach serwisu przetwarzane.

Doszło do nawiązania kontaktu i mężczyzna został zaproszony do współpracy. W czasie spotkania, na które mężczyzna został zaproszony miała zostać podpisana umowa o dzieło, na podstawie której miał rozpocząć prace w celu usunięcia luk w zabezpieczeniach. Mężczyzna przyjechał na umówione spotkanie, tam podpisał przedstawione mu zobowiązanie do zachowania poufności (z datą sprzed wykrycia błędów), a następnie został zatrzymany przez współpracującą z przedsiębiorstwem Policję.

W trakcie postępowania przygotowawczego biegły sądowy z dziedziny informatyki sporządził ekspertyzę z zakresu badań danych, a wynikało z niej, że mężczyzna posłużył się "jedną z form ataku na bazy danych o nazwie SQL Injection, którego celem jest wydobycie poufnych informacji z bazy danych i zakłócenie jej funkcjonowania". W toku postępowania przed sądem, Sąd - mając na uwadze wątpliwości wynikające z doświadczenia życiowego oraz wniosek obrońcy oskarżonego - dopuścił dowód z opinii innego biegłego. Z tej opinii zaś wynikało, że poprzez wprowadzenie ciągu znaków "' or 1=1" mężczyzna nie dokonał złamania zabezpieczeń bazy danych. Nie złamano żadnego hasła dostępowego do bazy danych, nie wpisano kodu programowego, a mężczyzna w żaden sposób nie wpłynął na funkcjonowanie zabezpieczeń bazy danych. Nie usunął również zabezpieczenia, a także nie zmienił haseł dostępowych, nie założył konta dostępowego do bazy danych. Z opinii biegłego wynikało, że wprowadzenie tego ciągu znaków należy uznać za wykorzystanie SQL Injection w celu obejścia zabezpieczeń, na co pozwoliło niewłaściwe zabezpieczenie bazy danych. Formularz logowania i serwis internetowy był tak skonstruowany, że podany przez mężczyznę ciąg znaków był dopuszczalnym ciągiem danych wejściowych dla tego typu pól formularza. Poprawność zaś tego ciągu znaków powinna zweryfikować aplikacja sprawdzając, czy w bazie danych jest zapisany użytkownik o takiej nazwie lub posiadający takie hasło i wygenerować odpowiedni komunikat o błędzie.

Obrona nie kwestionowała faktów, a mężczyzna składał wyjaśnienia zgodnie z ustalonym przez sąd stanem faktycznym. Obrona kwestionowała jednak, że działania mężczyzny zawierały wszystkie znamiona czynu zabronionego z art. 267 §1 KK, w szczególności zdaniem obrony nie wypełniono znamienia "przełamania zabezpieczeń". Dodatkowo mężczyzna wyjaśniał, że nie używał programu służącego do łamania zabezpieczeń.

Sąd pod przewodnictwem Sędziego SR Andrzeja Molisaka zważył co następuje:

Na podstawie zgromadzonego w aktach sprawy materiału dowodowego nie można uznać oskarżonego za winnego popełnienia czynu zarzucanego mu aktem oskarżenia. Sąd przyjął taki wniosek w oparciu o wyjaśnienia oskarżonego oraz w oparciu o zebrane w sprawie dokumenty w postaci korespondencji e-mailowej między oskarżonym a przedstawicielem firmy (...), jak również w oparciu o opinię biegłego sądowego Tomasza Jagiełło [opinia wydana na wniosek obrony - dopisek mój, VaGla] i częściowo w oparciu o opinię biegłego sądowego Tomasza Mikosia [opinia przygotowana w postępowaniu przygotowawczym - dopisek mój, VaGla].

Sąd nie znalazł podstaw, by w jakiejkolwiek części kwestionować wyjaśnienie oskarżonego. Okoliczności faktyczne podawane przez oskarżonego w pełni korespondują z zeznaniami pracowników (...) [chodzi o pracowników przedsiębiorstwa, z którym mężczyzna się kontaktował - dopisek mój, VaGla], nadto znajdują potwierdzenie w dołączonej do akt sprawy korespondencji e-mailowej wysyłanej przez oskarżonego. Zdaniem sądu nie ma żadnych racjonalnych przesłanek do zakwestionowania wyjaśnień oskarżonego, tym bardziej, że podany przez niego sposób działania został potwierdzony przez opinie biegłych sądowych.

Z tych samych powodów Sąd uznał za wiarygodne w całości zeznania świadków (...). Należy jednak zwrócić uwagę, że zeznania te w zasadzie dotyczą okoliczności związanych z zatrzymaniem oskarżonego w siedzibie firmy (...) i prowadzeniem korespondencji e-mailowej z oskarżonym.
(...)
Przy tak ustalonym stanie faktycznym Sąd uznał, że działania oskarżonego nie wypełniły znamion ustawowych czynu z art. 267 §1 kk. Zgodnie z treścią art. 267 §1 kk odpowiedzialności karnej podlega ten, kto bez uprawnienia uzyskuje informacje dla niego nie przeznaczoną przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie. Z treści przepisu jednoznacznie wynika, że odpowiedzialność karna sprawcy statuuje łącznie wykonanie następujących czynności: uzyskanie informacji bez uprawnienia i przełamanie w tym czasie jej elektronicznego, magnetycznego lub innego szczególnego zabezpieczenia. Przełamanie zabezpieczenia następuje wtedy, gdy sprawca niszczy, usuwa zabezpieczenia, lub kiedy oddziałując na zabezpieczenie chwilowo niweluje jego funkcję zabezpieczającą. Zatem nie będzie ponosiła odpowiedzialności karnej osoba, która uzyskała dostęp do chronionych informacji, ale nie przełamała jej zabezpieczenia (Włodzimierz Wróbel - "Komentarz do art. 267 kk" w "Kodeks karny. Część szczególna t. III, Zakamycze 2006"). Co więcej, zgodnie z poglądami doktryny, jeżeli sprawca wykorzystuje błąd programisty i wchodzi do systemu przez "dziurę" w konfiguracji lub oprogramowaniu systemowym po to, by uzyskać znajdującą się w systemie informację, to nie można mu nawet przypisać usiłowania przestępstwa, o którym mowa w art. 267 §1 KK. Jeżeli "przechodzenie przez dziurę" nie wymaga od hackera ingerencji w zapis na komputerowym nośniku informacji lub korzystania ze specjalnego oprogramowania, zachowanie takie w ogóle nie jest karalne (por. Andrzej Adamski "Przegląd sądowy" 1998 nr 11-12, poz. 149). Podobne stanowisko zajmuje Piotr Kardas ("Czasopismo Prawa Karnego i Nauk Penalnych" 2000 r., nr 1, poz. 25) i Sebastian Bukowski ("Przegląd Sądowy" 2005 r., nr 4, poz. 134). Taka interpretacja przepisu art. 267 §1 kk jest też uzasadniona w świetle proponowanych zmian treści tego właśnie przepisu. Według projektu zmiany art. 267 §1 kk ma brzmieć: "kto bez uprawnienia uzyskuje dostęp do informacji dla niego nie przeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie podlega grzywnie, karze ograniczenia wolności, albo pozbawienia wolności do lat 2 (...) zmiany dotyczące przepisu art. 267 § 1 K.k. oraz przepisu art. 269a K.k. mają na celu implementację do polskiego porządku prawnego Decyzji ramowej Rady 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne. Powołana Decyzja ramowa ustanawia szereg prawnokarnych mechanizmów zmierzających do wzrostu skuteczności działań służących zwalczaniu ataków na systemy informatyczne, zawierając w szczególności zobowiązanie do pena­lizacji czynów polegających na nielegalnym dostępie do systemu infor­matycznego, nielegalnej ingerencji w taki system oraz nielegalnej ingerencji w dane. Nie wszystkie z tych zachowań są aktualnie penalizowane w polskim prawie karnym, co czyni konieczną modyfikację niektórych przepisów w sposób prowadzący do pełnej ich zgodności z wymaganiami wynikającymi z Decyzji ramowej. W tym celu, zgodnie z proponowanym brzmieniem przepisu art. 267 § 1 K.k. dotyczącego przestępstwa tzw. hackingu, za zabronione pod groźbą kary uznaje się już samo nieuprawnione uzyskanie dostępu do informacji. Poszerzony zostaje w ten sposób zakres penalizacji w stosunku do zakresu wynikającego z obecnego brzmienia przepisu, który przewiduje odpo­wiedzialność karną dopiero wówczas, gdy sprawca uzyska informację dla niego nie przeznaczoną, nie zaś sam do niej dostęp. Tymczasem, zgodnie z art. 2 Decyzji ramowej, już nieuprawnione uzyskanie dostępu do informacji powinno skutkować odpowiedzialnością karną. Wskazać trzeba również, że projektowana zmiana zapewni jednocześnie zgodność przepisów polskich z Konwencją o cyberprzestępczości, podpisaną przez Rzeczpospolitą Polską w dniu 23 listopada 2001 r. (...) Projekt poszerza także opis czynu z art. 267 § 1 K.k. o sformułowanie „albo omijając” (umieszczone po wyrazie „przełamując”), z uwagi na okoliczność, że zgodnie ze stanowiskiem specjalistów zajmujących się prawem infor­matycznym jest możliwe uzyskanie dostępu do zabezpieczonej informacji bez przełamywania, lecz przez ominięcie jej zabezpieczeń (...)".

W przedmiotowej sprawie nie ma żadnych wątpliwości, że oskarżony uzyskał informacje dla niego nieprzeznaczone bez uprawnienia. Jak wynika z jego e-maila (...) zdobył on informacje na temat danych osobowych pracownika spółki (...). Natomiast podstawowego znaczenia, z punktu widzenia określenia odpowiedzialności karnej, nabiera ustalenie czy podczas zdobycia tych informacji doszło do przełamania elektronicznego zabezpieczenia bazy danych. Innymi słowy należy ustalić, czy wpisanie przez oskarżonego określonego ciągu znaków i zastosowanie SQL Injection jest przełamaniem zabezpieczenia programu w rozumieniu art. 267 § 1 K.k.

By odpowiedzieć na takie pytanie oskarżyciel publiczny powołał biegłego sądowego Tomasza Mikosia, który określił zachowanie oskarżonego jako atak na bazę danych zawartych w serwisie za pomocą SQL Injection. Również takie same wnioski zawarł biegły w ustnej opinii uzupełniającej. Sąd, mając na uwadze powołane wyżej wątpliwości co do interpretacji obecnej treści art. 267 § 1 Kk, jak również doświadczenie życiowe, powołał z urzędu innego biegłego, Tomasza Jagiełłę. W przedłożonej opinii (...) doprecyzowuje pojęcie na bazę danych, podając, że w tym przypadku atak polegał na wykorzystaniu tzw. "luki" w zabezpieczeniach będącej wynikiem błędu programisty. Stwierdzenie to jest niezwykle istotne ze względu na ocenę, czy zachowanie oskarżonego wypełniło znamiona czynu z art. 267 § 1 Kk. Czym innym jest bowiem przełamanie fizycznie istniejącego zabezpieczenia programu, a czym innym jest znalezienie luki w zabezpieczeniu programu, która powstała w wyniku błędu twórcy zabezpieczeń albo braku jego wyobraźni - czyli ominięcie zabezpieczenia. Jak wynika z opinii biegłego Tomasza Jagiełły oskarżony działał właśnie w taki sposób - poprzez wprowadzenie ciągu znaków, które w zasadzie każdy z użytkowników bazy mógł wprowadzić - uzyskał dostęp do danych poprzez istniejącą lukę w zabezpieczeniu programu.

Zdaniem Sądu, mając na uwadze obecną treść art. 267 § 1 Kk, ustawodawcy chodzi o przełamanie istniejącego zabezpieczenia. Nie można przełamać czegoś, co nie istnieje. Za taką interpretacją przemawia chociażby słownikowa definicja bezokolicznika "przełamywać" jako "łamanie czegoś, przezwyciężanie czegoś, zwalczanie czegoś" ("Popularny słownik języka polskiego", Wydawnictwo Wilga, Warszawa 2000). Zupełnie czymś innym jest ominięcie zabezpieczenia poprzez znalezienie w nim luki. Za takim wnioskiem przemawia powołany proponowany projekt zmiany 267 § 1 Kk, gdzie rozszerza się katalog czasownikowych zachowań sprawcy również i o ominięcie elektronicznego zabezpieczenia.

Reasumując należy stwierdzić, że w niniejszej sprawie, na gruncie obecnie obowiązującego prawa, oskarżony swoim zachowaniem nie wypełnił znamion czynu z 267 § 1 Kk, gdyż nie dokonał złamania zabezpieczeń bazy danych, nie złamał żadnego hasła dostępowego, nie wykorzystał żadnego specjalistycznego oprogramowania i nie wpłynął na funkcjonowanie zabezpieczeń tej bazy danych. Wprowadzenie przedmiotowego ciągu znaków należy uznać za wykorzystanie SQL Injection w celu obejścia zabezpieczeń, na co pozwoliło niewłaściwe zabezpieczenie bazy danych. (...)
Mając powyższe na uwadze Sąd uniewinnił oskarżonego od popełnienia zarzucanego mu czynu.
(...)

Wypada jeszcze raz przypomnieć słowa uzasadnienia: "Nie można przełamać czegoś, co nie istnieje" i zaproponować rozważenie, czy jeśli nie można przełamać, to - na podobnej zasadnie - nie da się "obejść" czegoś, co nie istnieje. Poszukując informacji na temat jednej z obecnie procedowanej "ścieżek nowelizacji" Kodeksu karnego można sięgnąć do tekstu Tak, tak, nowelizują kodeks karny... wizerunki małoletnich, hacking, 269b.... Ustawa nowelizująca m.in. treść art. 267 § 1 Kk została uchwalona na sejmowym posiedzeniu nr 22 dnia 19 września 2008 r. 22 września ustawę przekazano Prezydentowi i Marszałkowi Senatu. Proces legislacyjny dla tej nowelizacji jeszcze nie jest zakończony.

Poproszony przez właśnie uniewinnionego o możliwość umieszczenia przy tej relacji paru słów - oddaję mu głos:

Chciałbym serdecznie podziękować Panu Mecenasowi Arturowi Kmieciakowi za pomoc jaką mi udzielił, za poświęcony czas i ogromną wiedzę, którą chętnie się dzielił.

Chciałbym również podziękować autorowi tego serwisu, Panu Piotrowi Waglowskiemu za to, iż umożliwił mi opublikowanie informacji o mojej sprawie i zainteresował nią wielu ludzi.
Na koniec podziękowania dla Pana Bartosza Kwiatkowskiego za udzieloną pomoc i wsparcie.

Dziękuję!
Mateusz M.

Przeczytaj również:

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Wytrych vs. SQL Incjection

"Wytrych jest par exellence narzędziem SŁUŻĄCYM do pokonywania zabezpieczeń. Jego użycie jest 100% włamaniem."

SQL Injection nie służy do niczego innego jak pokonywania zabezpieczeń. W takim razie jego użycie byłoby w 100% włamaniem. Zgadza się? Pewnie nie...

np

SQL Injection nie służy do niczego innego jak pokonywania zabezpieczeń. W takim razie jego użycie byłoby w 100% włamaniem.

Nie zgadza.

SQL Injection nie polega na przełamaniu zabezpieczeń. Przynajmniej w tej formie z jaką mamy do czynienia w tej sprawie. Nie każdy dostęp bez upoważnienia do bazy danych polega na przełamaniu elektronicznych albo innych szczególnych zabezpieczeń.

Jeśli ma Pan inne zdanie to proszę wskazać to przełamane zabezpieczenie.

W takim wypadku narzędziem

W takim wypadku narzędziem przestępstwa jest komputer, przy pomocy którego pokonano zabezpieczenie. System poszkodowanej strony sam z siebie nie "otworzył się" i nie "wypluł danych" (takie przypadki też się trafiają).

Poszkodowanej?

System poszkodowanej strony sam z siebie nie "otworzył się" i nie "wypluł danych" (takie przypadki też się trafiają).

Gdyby firma poniosła jakiś uszczerbek (zmiana danych/kasowanie) to byłaby całkiem inna sprawa i inny paragraf. W tym wypadku strona nie została "poszkodowana" .

Na podstawie tego, co

Na podstawie tego, co przedstawiono, jestem w stanie dowieść próbę włamania metodą brute force (takim geniuszem nie jest, żeby za pierwszym razem znaleźć odpowiedni kod SQL injectu. Musiał wypróbować kilka, aż w końcu się udało), widzę jasno motyw (uzyskanie korzyści majątkowej), widzę także błąd programistów po stronie serwisu (zaniedbanie).

To było w mojej opinii włamanie. Jeśli sądy będą przymykać na takie wypadki oko i czynić włamywaczy niewinnymi - to twórcom, administratorom i właścicielom serwisów grozi kompletne zablokowanie możliwości tworzenia usług w sieci.

Nie istnieją 100% zabezpieczenia. Zestawienia sposobów zabezpieczeń są otwartymi listami. Jeśli ktoś uważa że potrafi w 100% zabezpieczyć serwis - to niestety, nie zna się na swojej robocie.

nie istnieją 100% zabezpieczenia

ksiewi's picture

Rozumiem, że ponieważ żaden serwis nie może zostać w 100% zabezpieczony technicznie, to domaga się Pan istnienia normy prawnej, która będzie nakładała sankcję na każdego, kto zapozna się z informacjami zawartymi w serwisach niezależnie od tego, czy informacje te były w jakikolwiek sposób zabezpieczone.

Innymi słowy, do zastosowania tej sankcji wobec osoby A wystarczyłoby wykazać tylko dwie rzeczy: (1) osoba A uzyskała informację, (2) osoba B uważa tę informację za nieprzeznaczoną dla osoby A. Norma dla "twórcy, administratorów i właścicieli serwisów" moim zdaniem idealna - wszystkie dane mogą publikować czystym tekstem w index.html, bez ponoszenia kosztów wprowadzania zabezpieczeń, a policja (czyli podatnicy) zapłacą za nich te koszty poprzez ściganie osób, które przeczytają ten dokument dalej niż linijka zaznaczona "informacje poniżej przeznaczone tylko dla administratora".

Mamy co najmniej trzy grupy osób korzystających z systemów IT (jakimi są np. strony internetowe), które mogą dostać dostęp do "informacji dla nich nieprzeznaczonych": (1) zwykli użytkownicy, którzy przypadkowo wpisali coś nie tak (albo wręcz po prostu weszli na daną stronę), (2) użytkownicy, którzy z ciekawości badają różne zestawy danych wejściowych, (3) użytkownicy, świadomie starają się wydobyć informacje.

Jak rozumiem wszystkie te grupy mają zostać karane za dostęp do informacji, o których właściciele serwisów myślą, że są przed nimi schowane? No, bo w innym przypadku "twórcom, administratorom i właścicielom serwisów grozi kompletne zablokowanie możliwości tworzenia usług w sieci"?

Jest jeszcze przynajmniej jedna grupa

VaGla's picture

Uzupełniając niezamknięty katalog zaproponowany przez Krzysztofa warto chyba dodać jeszcze grupę czwartą (a to pewnie też nie wyczerpuje możliwości), czyli członków stada, którzy wchodzą przez dziurę po sprytnej krowie. Przykład skrzynki poczty elektronicznej kandydatki na wiceprezydenta (por. Hackerska lustracja poczty kandydatki na wiceprezydenta USA (w stylu 4chan)), ale też inne (por. Stado może przejść przez dziurę po sprytnej krowie, czyli CSS nie jest "skutecznym" zabezpieczeniem) pokazują, takie sytuacje: ktoś "świadomie" lub "nieświadomie" uzyskał informacje i podzielił się z "publicznością" sposobem dotarcia do niej i w efekcie tego członkowie tej publiczności zapoznają się z informacją, chociaż ani nie przełamali zabezpieczenia, ani nie musieli wiedzieć, że zabezpieczenie tam jakiekolwiek było.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Do tego katalogu dopiszmy

kravietz's picture

Do tego katalogu dopiszmy jeszcze wyszukiwarki, które bezczelnie włażą w "poufne" podstrony, pomimo że webmaster wcale nie chciał ich podlinkować tylko jakoś tak samo wyszło i indeksują np. raporty finansowe albo cennik partnerskie.

--
Podpis elektroniczny i bezpieczeństwo IT
http://ipsec.pl/

"ponieważ żaden serwis nie

"ponieważ żaden serwis nie może zostać w 100% zabezpieczony technicznie, to domaga się Pan istnienia normy prawnej, która będzie nakładała sankcję na każdego, kto zapozna się z informacjami" oznaczonymi przez administratora jako niejawne w dokumencie Polityki prywatności serwisu, oraz np. deklaracji zgłoszonej inspektorowi danych osobowych, jeśli z takimi danymi mamy do czynienia. Z drugiej strony istnieje wymóg dochowania należytej staranności przez administratora. Jeśli w postępowaniu zostanie dowiedzione, że administrator dopuścił się rażącego zaniedbania swoich obowiązków (np. nie patche'ował skryptów w zalecany przez twórcę skryptu sposób, jak np. Grzegorz Marczak), jego pracodawca ma prawo wystąpić na drogę sądową przeciwko własnemu administratorowi.

Nie widzę w tym nic nielogicznego, ani wychodzącego znacznie poza obecne rozwiązania prawne. Wbrew pozorom, prawne obowiązki administratorów i twórców skryptów są już znaczne. A to, że spora część ich nie zna - to inna sprawa.

ksiewicz

"Rozumiem, że ponieważ żaden serwis nie może zostać w 100% zabezpieczony technicznie, to domaga się Pan istnienia normy prawnej, która będzie nakładała sankcję na każdego, kto zapozna się z informacjami zawartymi w serwisach niezależnie od tego, czy informacje te były w jakikolwiek sposób zabezpieczone."

Właśnie.
Idealnie to Pan ujął.
Niektórzy z dyskutantów chcieliby spenalizować wpisywanie pewnych ciągów znaków do pola formularzy.

Ciekawe jak taki przepis miałby wyglądać.

"Kto w polu formularza wpisuje ciąg znaku rozpoczynający się od apostrofu...
podlega karze do 3 lat pozbawienia wolności lub grzywny"

Kto, będąc do tego

Kto, będąc do tego nieuprawnionym, wpisuje w polach formularza ograniczającego dostęp do danych (formularz logowania) ciąg znaków mający umożliwić dostęp do chronionych danych podlega karze ...

Drogi incognitus

No ooo wtedy to taaak....
Wtedy można rozważyć czy w tej sprawie sprawca rzeczywiście dopuścił się czynu zabronionego. problem w tym, że przepisu takiego nie ma. I nie będzie.

Widzi Pan różnicę między swoim pomysłem a redakcją art. 267 par. 1? Jeśli tak to bardzo się cieszę. Mała rzecz ale zawsze...

Skoro jednak przy Pańskim wybornym projekcie jesteśmy, to czy sprawca wypełniłby znamiona czyny wprowadzając jako "nieuprawniony", ciąg znaku w postaci - '

Znaku apostrofu aby było jaśniej.

A jakby jakimś zbiegiem okoliczności takim ciągiem znaków umożliwiającym dostęp do danych byłby ciąg "dupa" to czy w takiej sytuacji łaskawy Pan także przewidywał ściganie sprawcy?

Po drugie, proszę mnie zwykłemu praktykowi wyjaśnić, tak na mój nieprzywykły do teorii rozum, jak można być nieuprawnionym do wprowadzenia w polu formularza, na moim własnym komputerze, jakiegokolwiek ciągu znaków?

Z czego ma to niby wynikać? Z tego, że jakiś informatyczny partacz pisze aplikacje tak, że dane dostępne są po wpisaniu kilku znaków? To z jego partactwa ma wynikać, że jakieś ciągi są zabronione?

Wie Pan, że istnieje coś takiego, taki akt prawny, jak Konstytucja? Obawiam się, że bez jej zmiany Pański projekt nie przejdzie.

I dobrze radzę - proszę już nie eksperymentować z kodeksem karnym. Przynajmniej w Unii Europejskiej, myślę, że Korea Północna byłaby do Pańskich eksperymentów bardziej odpowiednia choć i tego to pewny nie jestem.

Spokojnie

Wydaję mi się, że przedpiścy po prostu brakło precyzji i słowo nieuprawniony chciał odnieść do dostępu do danych a nie do wpisywania czegokolwiek.

Ja jednak o czymś innym tutaj:

jakiś informatyczny partacz pisze aplikacje tak, że dane dostępne są po wpisaniu kilku znaków?

To się łatwo mówi, ale technologia jest potwornie skomplikowana. Zależności w aplikacji są nieporównywalne z niczym w realnym świecie. Nowe istotne wektory ataków pojawiają się co kilka miesięcy. Architekci bazują na doświadczeniach kilku tysięcy lat i stałych prawach fizyki. Nikt nie odkrywa co chwila, że jak się np. zadzwoni do drzwi jednocześnie zatykając komin to z kranów zacznie lecieć woda.

Są sytuacje, kiedy można uzyskać dane bez wysyłania żadnych "szczególnych" (specjalnie przygotowanych) danych a jedynie modyfikując czas/prędkość przesyłania zwykłych danych (tzw. race condition). Ba, nawet samo mierzenie czasów odpowiedzi serwera może pozwolić na uzyskanie informacji, do których nie mamy dostępu.

Wydaję mi się, że

Wydaję mi się, że przedpiścy po prostu brakło precyzji i słowo nieuprawniony chciał odnieść do dostępu do danych a nie do wpisywania czegokolwiek.

Tu o nie brak precyzji chodzi, bo nasz oryginalny legislator nie przez przypadek wstawił tego "nieuprawnionego". Bez niego jest jeszcze gorzej, choć z nim z pewnością ciekawiej.

To się łatwo mówi, ale technologia jest potwornie skomplikowana. Zależności w aplikacji są nieporównywalne z niczym w realnym świecie. Nowe istotne wektory ataków pojawiają się co kilka miesięcy.

Ależ zapewniam Pana, że mam tego świadomość. Sam pisałem o naszych, prawnikach trudnościach już na poziomie języka.

Ale trywialne błędu w kodzie i to błędy w ilościach masowych to przyzna Pan zupełnie inna bajka.

Są sytuacje, kiedy można uzyskać dane bez wysyłania żadnych "szczególnych" (specjalnie przygotowanych) danych a jedynie modyfikując czas/prędkość przesyłania zwykłych danych (tzw. race condition).

Tak wiem. Słyszałem nawet o wyspecjalizowanej grupie hakerskiej w Niemczech. I jestem ciekaw czy takie uzyskiwanie danych można traktować jako "omijanie" zabezpieczeń w rozumieniu nowej przesłanki art. 267 kk, bo co do tego, że nie jest to "przełamywanie" to chyba między nami zgoda?

Ciekaw jestem Pańskiej opinii z tym "omijaniem".

Nie wiem

Prawdę mówiąc nie mam pojęcia jak o tym myśleć (jeśli chodzi o atak przez pomiar czasu) - trochę mi to wygląda jak taki social engeeniering wobez systemu (a nie wobec żywej osoby).

Jeśli chodzi o klasyczny systemowy race condition to atak takiej samej klasy jak SQL injection - system daje się oszukać przez niedostateczną weryfikację i zabezpieczenie (w przypadku SQL injection - danych wejściowych, w przypadku race condition - np. środowiska, plików)

Przy okazji - czy KK mówi coś kradzieży przez wprowadzenie w błąd osoby?

Każdy podmiot świadczący

Każdy podmiot świadczący usługi drogą elektroniczną jest zobowiązany do sporządzenia regulaminu świadczenia usługi oraz dokumentu polityki prywatności.
W tym drugim dokumencie przedstawia zakres oraz sposób przetwarzanych danych. Nic nie stoi na przeszkodzie, aby część ze zbieranych danych od razu nazwać "jawnymi" a część "niejawnymi".

Każdą próbę nieautoryzowanego dostępu (nie tylko na poziomie html, ale na poziomie protokołów, sprzętu itd) należy uznać za przestępstwo. W świecie realnym, można to przyrównać do grzebania śrubokrętem w zamku. Jest to próba włamania.

Problem z kwalifikacją czynu zaczyna się w innym miejscu. Np. czy odpytanie portu serwera o to czy jest otwarty jest przestępstwem? Nie? A jeśli odpytamy wszystkie porty serwera 5x na sekundę? Dopiero jeśli zrozumiemy, że jest to próba nieautoryzowanego dostępu do niejawnych danych - kwalifikacja zaczyna się rozjaśniać.

Ręce po prostu opadają

"Każdą próbę nieautoryzowanego dostępu (nie tylko na poziomie html, ale na poziomie protokołów, sprzętu itd) należy uznać za przestępstwo."

A może Pan łaskawie wskazać podstawę prawną? Byłbym wdzięczny.

Dwie sprawy:

"Każdą próbę nieautoryzowanego dostępu (nie tylko na poziomie html, ale na poziomie protokołów, sprzętu itd) należy uznać za przestępstwo. W świecie realnym, można to przyrównać do grzebania śrubokrętem w zamku. Jest to próba włamania."

1)Ja bym to jednak przyrownal do grzebania kluczem w zamku (gdyz zaproponowany ciag znakow jest zgodnym z wymaganiami ciagiem znakow)...

2)Jedna rzecza jest wlamanie sie do kiepsko zabespieczonego sklepu ktorego zawartosc jest wlasnoscia osoby "sponsorujacej" zabezpieczenia, inna kiedy zeby zredukowac koszty zabezpieczenia sa smiesznie nieskuteczne:
"bo to przeciez nie jest wlasnosc firmy i nie ona bedzie miala problemy kiedy zabezpieczenia zostana przelamane".

Natomiast co do odkrywania luk w zabezpieczeniach i chwalenia sie wlascicielowi - po co sie narazac ostrzegajac jej tworce? (jakby mi ktos powiedzial, ze moj samochod da sie otworzyc i odpalic przy pomocy universalnego kluczyka ktory w kazdej chwili kazdy wzglednie inteligentny przestepca moze zrobic - bez wachania zaplacil bym mu za poprawienie tego bledu a pieniadze sciagnal od wykonawcy - jakby niebylo dosc powaznie wadliwego produktu).

Proponuje inne rozwiazanie zakladamy konto na wadliwej stronie i od razu idziemy do sadu z pozwem, przy okazji upubliczniamy informacje o luce w zabezpieczeniach - bo jakie sa inne opcje?
Jesli sie przyznamy - to mozemy skonczyc jak ten mlody czlowiek.
Jesli nie - to mozemy skonczyc jak ten mlody czlowiek (z tym ze wlasciciel zapewne zorientuje sie zaraz po tym jak jakies dane zostana skradzione -> logi -> my)
Jesli zas wogole nie sprawdzimy tak banalnego/oczywistego bledu - sami narazamy swoje dane (znowu problemy)

polityka prywatności hipotezą normy karnej?

ksiewi's picture

A z czego wynika obowiązek sporządzenia "polityki prywatności", (regulaminu świadczenia usług zresztą też) jeśli można wiedzieć?

W każdym razie proponuję następujący eksperyment. Regulamin niniejszego komentarza jest taki, że może się z nim zapoznać ja i VaGla. Osoby trzecie nie są uprawnione do zapoznania się z tym komentarzem. Niniejszy komentarz jest zabezpieczony poprzez umieszczenie go w serwisie prawo.vagla.pl.

Strona podmiotowa

przepla's picture

Warto jeszcze w dyskusji skupić się na tzw. stronie podmiotowej czynu z art. 267 § 1 kk.

Sprawca musi działać umyślnie wyłącznie w zamiarze bezpośrednim. Oznacza to, że osoba która użyła w komentarzu ciągu znaków "--" jako pauzy i przez to dostała się do bazy danych nie popełnia przestępstwa; oznacza to, że osoba, która weszła w posiadanie danych klikając w link z Googla nie popełnia przestępstwa, oznacza to, że w zależności od stanu faktycznego osoba oglądający konto mailowe Sary Palin poprzez kliknięcie w link na 4chan nie popełnili przestępstwa.

Nie popełni przestępstwa też ten, kto złamie zabezpieczenie aby dostać się do jutrzejszego menu w szkolnej stołówce, ponieważ szkodliwość społeczna takiego czynu jest znikoma.

Poza częścią szczególną kodeks karny ma jeszcze część ogólną, sprawcy trzeba przypisać umyślność, ustalić szkodliwość społeczną, zbadać czy sprawca był świadomy bezprawności swojego czynu a jeśli nie czy błąd był usprawiedliwiony...

Wpisal "ciag znakow" w pole przeznaczone na "ciag znakow"

Tyle co do zlamania.

Natomiast co do umyslnosci - jesli ktos sie nie przyzna ze celowo wpisal "bardzo bardzo zly" ciag znakow - to jak mu to udowodnisz?

Odpowiedzialność karna programistów

Witam,

piszę odnośnie odpowiedzialności programistów za takie (karygodne - to dobre słowo) błędy jak ten pozwalający na atak SQL Injection.

Czy poszkodowany właściciel strony (nie mówię konkretnie o tym przypadku) może starać się o wyrównanie strat od programisty, który popełni taki błąd przy tworzeniu serwisu (i zostanie on przez kogoś wykorzystany)?
Oczywiście z założeniem, że sprawca ataku nie zostanie wykryty?

Czy musi być odpowiedzialność karna zawarta np. w umowie o stworzenie strony?

Pozdrawiam,
Jerzy Zawadzki

A co serwisami ograniczającymi dostęp po nr IP?

A co z serwisami ograniczającymi dostęp po nr IP (Pandora, Hulu, etc.)? Czy użycie proxy czy sieci Tor do uzyskania dostępu do takiego serwisu jest penalizowane?

A przy okazji co serwisami typu Experts Exchange do których zasobów można dostać się przez cache googla lub surfując z User Agent Googlebota?

Z jednej strony uzyskujemy dostęp do informacji dla nas nie przeznaczonych, z drugiej możemy nie mieć o tym pojęcia.
Z jednej strony pokonujemy/obchodzimy zabezpieczenie, z drugiej możemy nie wiedzieć o jego istnieniu.

Idąc po bandzie

art. 267 KK
Art. 267. § 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

art. 3 pkt. 2 ustawy o informatyzacji
dokument elektroniczny - stanowiący odrębną całość znaczeniowa zbiór danych uporządkowanych w określonej strukturze wewnętrznej i zapisany na informatycznym nośniku danych

pismo w szczególności jest dokumentem elektronicznymdokument elektroniczny w szczególności jest pismem

Z tego można wysnuć wniosek, że bez uprawnienia
otwierając dokument elektroniczny i uzyskuje informację dla niego nie przeznaczoną narusza art. 267 kk
Ale to tak absolutnie po bandzie.

W mojej ocenie Sąd (a właściwie biegły - Sąd dopuścił dowód z opinii innego biegłego. Z tej opinii zaś wynikało, że poprzez wprowadzenie ciągu znaków "' or 1=1" mężczyzna nie dokonał złamania zabezpieczeń bazy danych ) mylnie rozpoznał stan faktyczny. Właściciel danych przedsięwziął środki w celu zachowania danych w dyskrecji. Zrobił to nieudolnie, nie zachowując należytej staranności. Ale czy to upoważnia do testowania zabezpieczeń? Według mnie nie.

Idąc tokiem rozumowania Sądu, to czy są zabezpieczenia czy nie, będzie wynikać z wiedzy i umiejętności administratora, środków przeznaczonych na zabezpieczenie (polityka bezpieczeństwa i analiza ryzyka), a nie od wyraźnego oznajmienia (logowanie), że dane są chronione.

Hmm... Zastanawiam się, jak

Hmm... Zastanawiam się, jak w takim razie haker który wykryje błąd w zabezpieczeniach ma o tym powiadomić zainteresowanych? Ja bym to zrobił tak:

Szanowni Państwo!

Warto sprawdzić, czy Państwa serwis nie jest podatny na atak typu SQLInjection, np. przez wpisanie w pole logowania '1=1

Z poważaniem,

Incognitus

Niechże potem się wysilają w udowadnianiu, że to nadawca emaila uzyskał wcześniej nieuprawniony dostęp.

Proszę o korektę

Napisałem "pismo w szczególności jest dokumentem elektronicznym", a powinno być "dokument elektroniczny w szczególności jest pismem"

P.S.
Linki do komentarzy w "Ostatnie komentarze" są działają. Chyba chodzi o to, że wskazują one na drugą stronę tekstu.

korekta

VaGla's picture

Poprawiłem tekst w opublikowanym wcześniej komentarzu. System komentarzy istotnie nie jest doskonały. Komentarze nie są w systemie odrębnymi "jednostkami" i linkowane są za pomocą znacznika #. Efekt jest taki, że gdy pod danym tekstem pojawi się więcej komentarzy i komentarze są "stronicowane" - link ze strony głównej nie prowadzi w odpowiednie "miejsce". Zdaję sobie sprawę z tego i zastanawiam się jak temu zaradzić.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Eee... moduł parsujący URL

Eee... moduł parsujący URL i sprawdzający, czy podany anchor (#....) opisuje komentarz pod żądaną stroną, a jeśli nie to redirect pod ten sam URL z ustawionym dodatkowo parametrem page=x?

Skrótowo, ale chyba zrozumie Pan o co chodzi.

Po przeczytaniu wszystkich

Po przeczytaniu wszystkich komentarzy dochodzę do wniosku, że dla większości dyskutantów, zwłaszcza tych zgadzających się z wyrokiem sądu problem sprowadza się do nieszczęsnego pojęcia "przełamania", które na gruncie informatyki/prawa rodzi same problemy. Żaden z nich nie zadaje sobie natomiast pytania czy wyrok jest słuszny, skoro sprawca zamieszania jest winny złamania pewnych reguł społecznych.
Przecież:

1. intencje właściciela serwisu co do ochrony informacji są oczywiste, pomimo jego niewiedzy o nieskuteczności zabezpieczenia,

2. wiedza sprawcy o technikach omijania zabezpieczeń jest bezsporna i sam się do niej przyznaje,

3. sprawca nie miał konta w serwisie więc był nieuprawniony do przeglądania danych i był tego świadomy,

4. każdy rozsądny człowiek jest świadom tego, że pewnych rzeczy nie wolno robić, skoro dysponent dóbr sobie tego nie życzy.

W tej sytuacji wina sprawcy jest wg. mnie oczywista. Można oczywiście nie nakładać na niego kary uwzględniając fakt, że poinformował właściciela o lukach i szkodliwość czynu może jest niewielka. Złamał natomiast oczywiste reguły współżycia społecznego, które w każdym wypadku powinny być uzupełnieniem nieprecyzyjnego przepisu i stanowić kontekst dla jego interpretacji. Życie wykazało że "przełamanie" nie było wystarczająco precyzyjnym wyrazem woli ustawodawcy, więc przepis jest nowelizowany. Jego nowe brzmienie uwzględniające "omijanie", wyraża tą wolę już bardziej precyzyjnie, pozwalając moim zdaniem ocenić "hacking" bardziej zdroworozsądkowo.

Ciekaw jestem opinii Mateusza i jego obrońcy w kwestii winy.

Pozdrawiam

Nie tylko przełamanie, tu chodzi o etykę i świadomość

Jeżeli chodzi o kwestie czysto etyczne, to chciałbym zapytać od strony osoby poszkodowanej czyli właściciela serwisu. Czy ktoś zachowuje się etycznie jeżeli zauważy, że kupiłem bubel zamiast pełnowartościowego produktu i nie poinformuje mnie? Co jeżeli sprawdzi, czy rzeczywiście ma rację nie uszkadzając trwale tego bubla? Oczywiście jest to bardzo nie na rękę wytwórcom bubla, którzy będą za karaniem wszystkich wytykających wady ich produktu.

1. intencje właściciela serwisu co do ochrony informacji są oczywiste

Nie znamy nazwy firmy, o którą chodzi w sprawie (NDA), więc nic nie jest oczywiste. Często trafiałem na strony firmowe, na których można było znaleźć przycisk zaloguj (okazywało się, że to logowanie dla pracowników a nie klientów).

2. wiedza sprawcy o technikach omijania zabezpieczeń jest bezsporna i sam się do niej przyznaje,

Moja wiedza o tym, że dziesięciokrotne dźgnięcie kogoś nożem w klatkę piersiową jest śmiertelne też jest bezsporna. Czy to oznacza, że jestem podejrzany we wszystkich sprawach gdzie morderstwa dokonano ostrym narzędziem?

3. sprawca nie miał konta w serwisie więc był nieuprawniony do przeglądania danych i był tego świadomy

Przepraszam bardzo, ale według opisu sytuacji uprawnione są wszystkie osoby autoryzowane przez system (nigdzie nie było napisane, że osoby postronne nie mogą wysyłać danych do firmy za pomocą tego formularza, a firma udostępniła system całemu światu za pomocą sieci Internet). Pan Mateusz jest wobec tego jak najbardziej uprawniony (został autoryzowany).

4. każdy rozsądny człowiek jest świadom tego, że pewnych rzeczy nie wolno robić, skoro dysponent dóbr sobie tego nie życzy.

Jeszcze nie posiadłem umiejętności czytania w myślach innych dysponentów witryn internetowych (vide sprawa Precious, czy PeKaO S.A.). To nie jest świat rzeczywisty, a właściwie jest, tylko my mówimy o domenie informacji a nie przedmiotów. Poinformowanie mnie, że wysyłam w świat informacje potencjalnie nie przeznaczone dla adresatów jest jak najbardziej poprawnym społecznie zachowaniem.

Jeżeli chodzi o kwestie

Jeżeli chodzi o kwestie czysto etyczne, to chciałbym zapytać od strony osoby poszkodowanej czyli właściciela serwisu. Czy ktoś zachowuje się etycznie jeżeli zauważy, że kupiłem bubel zamiast pełnowartościowego produktu i nie poinformuje mnie? Co jeżeli sprawdzi, czy rzeczywiście ma rację nie uszkadzając trwale tego bubla? Oczywiście jest to bardzo nie na rękę wytwórcom bubla, którzy będą za karaniem wszystkich wytykających wady ich produktu.

Nie dyskutujemy o moralnych aspektach funkcjonowania firmy i moralnych aspektach karania jej za nieetyczne funkcjonowanie, więc uwagi uważam za bezprzedmiotowe.

Nie znamy nazwy firmy, o którą chodzi w sprawie (NDA), więc nic nie jest oczywiste. Często trafiałem na strony firmowe, na których można było znaleźć przycisk zaloguj (okazywało się, że to logowanie dla pracowników a nie klientów).

Ja również nie znam firmy - z opisu sprawy nie wynika, żeby firma zachęcała do sprawdzania skuteczności swojego systemu logowania. W omawianym przypadku nie mamy samego przycisku ale formularz wymagający podania pewnych danych, znanych (w założeniu) tylko uprawnionemu użytkownikowi serwisu. Formularz logowania jest nie tylko interfejsem dla użytkownika ale również znakiem istnienia pewnej strefy zastrzeżonej (podobnie jak kłódka na drzwiach, czy płot wokół ogródka). Każdy średnio rozgarnięty człowiek wie co to oznacza, ponieważ nauczono go tego w procesie socjalizacji.

Moja wiedza o tym, że dziesięciokrotne dźgnięcie kogoś nożem w klatkę piersiową jest śmiertelne też jest bezsporna. Czy to oznacza, że jestem podejrzany we wszystkich sprawach gdzie morderstwa dokonano ostrym narzędziem?

Pański argument oznacza tylko tyle, że nie skupia się Pan na omawianej sprawie. Z jej opisu wynika jasno że sprawca wiedział co to SQL Injection i jak można go użyć, aby sprawdzić działanie zabezpieczenia. Wyłącznie to miałem na myśli. Technika ta nie jest znana powszechnie (choć nietrudno dotrzeć do informacji o niej) i nie każdy może jej ŚWIADOMIE użyć, co miało miejsce w tym przypadku.

Przepraszam bardzo, ale według opisu sytuacji uprawnione są wszystkie osoby autoryzowane przez system (nigdzie nie było napisane, że osoby postronne nie mogą wysyłać danych do firmy za pomocą tego formularza, a firma udostępniła system całemu światu za pomocą sieci Internet). Pan Mateusz jest wobec tego jak najbardziej uprawniony (został autoryzowany).

Uprawnione są te osoby, którym ktoś (podmiot) takie uprawnienie przyznał. W tym wypadku pracownicy otrzymali uprawnienie dostępu do zastrzeżonej części serwisu od firmy. Otrzymali też narzędzie do skorzystania z tego uprawnienia, jakim jest system logowania. Zna Pan jeszcze jakieś przypadki, w których narzędzie przyznaje uprawnienia?

Jeszcze nie posiadłem umiejętności czytania w myślach innych dysponentów witryn internetowych (vide sprawa Precious, czy PeKaO S.A.). To nie jest świat rzeczywisty, a właściwie jest, tylko my mówimy o domenie informacji a nie przedmiotów.

Myślę, że nie posiądzie pan tych umiejętności :). Ale jako istota społeczna, która przechodzi skomplikowany i nieprzerwany proces socjalizacji, może Pan jeszcze spróbować posiąść umiejętność interpretowania znaków napływających z otoczenia, w którym Pan żyje (dla ułatwienia przypominam płotek i kłódkę). Formularz jest niczym innym jak znakiem, jednoznacznie wskazującym że coś jest chronione. Świat znaków jest jak najbardziej rzeczywisty - Internet jest tylko kolejnym narzędziem komunikacji, czyli wzajemnej wymiany tych znaków. Oczywiście jest wiele osób, które nie radzą sobie z komputerem i tym "nierzeczywistym światem", ale o tych ludziach nie mówimy. Rozmawiamy o zachowaniu człowieka, który radzi sobie z nimi doskonale, a jak wskazują okoliczności, posiada nawet wiedzę szerszą od przeciętnego zjadacza chleba.

"Domena informacji a nie przedmiotów" - ładnie powiedziane :) Człowiek posługuje się informacją od zarania dziejów, ale obecnie ma po prostu większe możliwości w tym zakresie.

Poinformowanie mnie, że wysyłam w świat informacje potencjalnie nie przeznaczone dla adresatów jest jak najbardziej poprawnym społecznie zachowaniem.

Proszę o wyjaśnienie sensu tego zdania. Skoro wysyła Pan jakieś informacje to domyślam się, że zna Pan adresata. Dlaczego ktokolwiek miałby Pana informować że nie są przeznaczone dla jakichkolwiek adresatów? :)

Pozdrawiam

Etyka w Matrixie

Nie dyskutujemy o moralnych aspektach funkcjonowania firmy i moralnych aspektach karania jej za nieetyczne funkcjonowanie, więc uwagi uważam za bezprzedmiotowe.

Według mnie właśnie o tym rozmawiamy, mówimy o etyce przeciętnego obywatela względem weryfikacji jakości produktu, co jest trochę powiązane z etyką firmy, która notabene nie zachowała się w tej sytuacji odpowiednio. Nie wiem czy etykę można partycjonować i rozmawiać o każdym jej aspekcie zupełnie oddzielnie.

Uprawnione są te osoby, którym ktoś (podmiot) takie uprawnienie przyznał.

Tak by było, gdyby istniał regulamin korzystania z witryny określający kto może logować się do serwisu np. "Z serwisu korzystać mogą tylko pracownicy firmy X oraz osoby, które otrzymały odpowiednie uprawnienia od działu osobowego."

Formularz logowania jest nie tylko interfejsem dla użytkownika ale również znakiem istnienia pewnej strefy zastrzeżonej (podobnie jak kłódka na drzwiach, czy płot wokół ogródka).

Już było w tym serwisie wielokrotnie pisane, że formularz ma się nijak do kłódki, zamka czy gumowej kaczki. Obecnie nie rozmawiamy nawet o kwestii dostania się do chronionych zasobów (bo tyle można rzeczywiście wyinterpretować), tylko o sprawdzaniu działania produktu, który okazał się działać wadliwie. To, że przy okazji ktoś się do tych zasobów dostał, wynika tylko i wyłącznie z wadliwego działania produktu. Z drugiej istnieją osoby, którym zależy tylko i wyłącznie na zasobach i wykorzystają błędne działanie produktu przeciwko właścicielowi.

Dla mnie ocena zachowania przy znanych intencjach jest jasna, dla sądu ocenianie w drugą stronę wcale łatwe być nie musi, mimo wszystko skłaniałbym się w kierunku tworzenia prawa pozwalającego na takie zachowanie jak w opisywanej sprawie (za luki we własnym systemie powinien odpowiadać właściciel lub osoba przez niego wyznaczona, jakiś podwykonawca). Ogólnodostępność zabezpieczeń jest według mnie jednym z najtańszych sposobów na ich poprawienie (każdy może wytknąć błąd), taką metodologię stosuje się od lat w kryptografii. I właśnie do takiego bezpieczniejszego świata IT chcę dążyć.

Człowiek posługuje się informacją od zarania dziejów, ale obecnie ma po prostu większe możliwości w tym zakresie.

Tu chodzi bardziej o to, że pod tym wszystkim co widzimy na ekranie komputera nie ma "formularzy", "stron" czy "haseł" jest tylko informacja, przesyłana tam i spowrotem automatycznie między komputerami. Właśnie to nie pozwala na analogie do świata fizycznego.

Skoro wysyła Pan jakieś informacje to domyślam się, że zna Pan adresata. Dlaczego ktokolwiek miałby Pana informować że nie są przeznaczone dla jakichkolwiek adresatów?

Wszystko w Internecie jest informacją przesyłaną od nadawcy do adresata. To mój serwer internetowy wysyła informacje (prezentuje strony, arkusze kalkulacyjne, bazy danych itp.) w sposób automatyczny, na podstawie tego co zostanie przysłane jako zapytanie, najlepiej z danymi wpisanymi do formularza (np. POST) zawierającego dwa pola tekstowe nazwane "login" i "haslo". Czyli to system decyduje czy ktoś jest uprawnionym adresatem (nadaje uprawnienia), nie ma osoby nadającej uprawnienia rzeczywiste równoważne zamierzonym. Jest tylko osoba, która napisała system i go skonfigurowała tak, aby uprawnienia nadawane przez system zgadzały się z zamierzonymi, jak tej osobie to wyszło wpływa na działanie systemu. Jeżeli ktoś się domyśli, że otrzymał jako adresat arkusz kalkulacyjny przeznaczony tylko dla księgowości i mnie o tym poinformuje, to będę bardzo szczęśliwy i osoba konfigurująca lub pisząca system dostanie po uszach.

Podsumowując, ja bym się bardzo ucieszył z maila pod tytułem "Luki bezpieczeństwa w serwisie internetowym". Pan najwyraźniej nie. I tu dochodzimy do clou programu, czyli do podziału społeczności pracującej w szeroko pojętym bezpieczeństwie IT (oraz osób świadomych istnienia czegoś takiego jak zabezpieczenia w IT). Jedni są za full disclosure, inni za responsible disclosure, jeszcze inni za informowaniem tylko właściciela/autora o lukach, a część nikogo nie informuje jeżeli coś przez przypadek wykryje.
Oczywiście upowszechnianie informacji o lukach w serwisie WWW nie opartym o popularny CMS mija się z celem, ale mówię ogólnie o problemie bezpieczeństwa produktów IT.

Pozdrawiam

Według mnie właśnie o tym

Według mnie właśnie o tym rozmawiamy, mówimy o etyce przeciętnego obywatela względem weryfikacji jakości produktu, co jest trochę powiązane z etyką firmy, która notabene nie zachowała się w tej sytuacji odpowiednio. Nie wiem czy etykę można partycjonować i rozmawiać o każdym jej aspekcie zupełnie oddzielnie.

Od początku rozmawiamy o zachowaniu konkretnej osoby w konkretnej sytuacji, które to zachowanie było oceniane przez sąd. Nie mówimy też o etyce - podjąłem temat winy, a wina jest kwestią świadomości tego, czy dane zachowanie jest bezprawne czy nie. Odsyłam Pana do prawa karnego i zagadnień związanych z winą i jej wyłączeniem. Wałkowanie tematu etyki firmy uważam za odwracanie uwagi od zasadniczej kwestii.

Tak by było, gdyby istniał regulamin korzystania z witryny określający kto może logować się do serwisu np. "Z serwisu korzystać mogą tylko pracownicy firmy X oraz osoby, które otrzymały odpowiednie uprawnienia od działu osobowego."

Cytuję fragment orzeczenia sądu w omawianej sprawie:

W przedmiotowej sprawie nie ma żadnych wątpliwości, że oskarżony uzyskał informacje dla niego nieprzeznaczone bez uprawnienia.

Już było w tym serwisie wielokrotnie pisane, że formularz ma się nijak do kłódki, zamka czy gumowej kaczki.

Ma się dokładnie tak jak napisałem wcześniej - świadczy o woli ograniczenia dostępu do informacji dla wybranej grupy osób.

Dla mnie ocena zachowania przy znanych intencjach jest jasna, dla sądu ocenianie w drugą stronę wcale łatwe być nie musi, mimo wszystko skłaniałbym się w kierunku tworzenia prawa pozwalającego na takie zachowanie jak w opisywanej sprawie (za luki we własnym systemie powinien odpowiadać właściciel lub osoba przez niego wyznaczona, jakiś podwykonawca).

Wygląda na to że ustawodawca nowelizując ostatnio art. 267 kk nie podzielał Pańskiego punktu widzenia. W pełni natomiast utrafił w moje gusta.

Ogólnodostępność zabezpieczeń jest według mnie jednym z najtańszych sposobów na ich poprawienie (każdy może wytknąć błąd), taką metodologię stosuje się od lat w kryptografii. I właśnie do takiego bezpieczniejszego świata IT chcę dążyć.

W pełni się zgadzam - dlatego istnieją projekty Open Source takie jak Acegi Security. Różnimy się w ocenie metod sprawdzania skuteczności tych zabezpieczeń. Ja proponuję np. zakład o skrzynkę piwa, dla tego kto złamie moje zabezpieczenia. Pan proponuje grzebanie w danych należących do osób czy firm postronnych.

Tu chodzi bardziej o to, że pod tym wszystkim co widzimy na ekranie komputera nie ma "formularzy", "stron" czy "haseł" jest tylko informacja, przesyłana tam i spowrotem automatycznie między komputerami. Właśnie to nie pozwala na analogie do świata fizycznego.

Jako praktykujący informatyk doskonale wiem co funkcjonuje pod spodem - to jest jednak tylko kwestia techniczna, istotna dla znających się na rzeczy. Dla osób korzystających z narzędzi informatycznych, a w szczególności z Internetu (jako medium komunikacyjnego), istotne jest to co widzą, a więc interfejs. A interfejs to nic innego jak zestaw znaków mających określone znaczenie.
Obecność formularza czy konieczność podania hasła mówi mi jasno, że mam do czynienia ze strefa zastrzeżoną. Identycznym znakiem jest płot czy kłódka - wskazuje, że właściciel nie życzy sobie żebym wkraczał w jego strefę. Zatem analogie do świata fizycznego są jak najbardziej właściwe. Nie chodzi tutaj natomiast o porównanie mechanizmów działania kłódki i formularza logowania - to właśnie mechanizmy są pod spodem i w tym zakresie analogia do świata fizycznego jest nie na miejscu.

Czyli to system decyduje czy ktoś jest uprawnionym adresatem (nadaje uprawnienia), nie ma osoby nadającej uprawnienia rzeczywiste równoważne zamierzonym. Jest tylko osoba, która napisała system i go skonfigurowała tak, aby uprawnienia nadawane przez system zgadzały się z zamierzonymi, jak tej osobie to wyszło wpływa na działanie systemu.

Ponownie odsyłam do orzeczenia sądu w kwestii uprawnienia sprawcy do informacji.

Podsumowując, ja bym się bardzo ucieszył z maila pod tytułem "Luki bezpieczeństwa w serwisie internetowym". Pan najwyraźniej nie.

Proszę założyć firmę i sprawdzić, czy ucieszy się Pan z maila popartego wyciągiem danych, obejmujących tajemnice Pańskiej firmy. Gwarantuję że się Pan nie ucieszy :)

I tu dochodzimy do clou programu...

Otóż nie dochodzimy :) A to dlatego że bohater naszej historii nie należy do żadnej z wymienionych przez Pana grup. Odsyłam do jego posta z "So, 2008-10-11 16:33 by Mateusz.M", z którego jasno wynika, że kierowała nim chęć zarobienia pieniędzy a nie wartości wyższe w postaci poprawienia jakości bezpieczeństwa. Jego działanie nie było przypadkowe, ale oczywiście celowe i ukierunkowane na zdobycie klienta na własne usługi. Powoływane przez Pana argumenty o etycznych aspektach funkcjonowania firm i ogólnym problemie bezpieczeństwa IT wydają się być w tej sytuacji nieadekwatne do rzeczywistej sytuacji.

Pozdrawiam

Odsyłam do jego posta z

Odsyłam do jego posta z "So, 2008-10-11 16:33 by Mateusz.M", z którego jasno wynika, że kierowała nim chęć zarobienia pieniędzy a nie wartości wyższe w postaci poprawienia jakości bezpieczeństwa.

Chyba przesadził Pan z nadinterpretacją tego komentarza albo nie czytał wielu pozostałych. Czas potrzebny do wywiązania się z umowy zlecenia został oceniony przez dyrektora firm na 3 miesiące. Jeśli Pan jest takim altruistą, że wykonałby ją Pan, jak praktykujący informatyk, za darmo to chętnie podeślę kilka serwisów ;-) Choć pisałem to już wcześniej to napiszę jeszcze raz. Nie wpadłem do nich w kominiarce i z pistoletem ale z umową, którą oni wcześniej mi wysłali. Wystarczyło powiedzieć "nie jesteśmy zainteresowani - poradzimy sobie sami" i sprawa byłaby zakończona. Takie zdanie nigdy nie padło, natomiast została przesłana umowa.

Oczywiście że niczego nie

Oczywiście że niczego nie wykonałbym za darmo - nikomu nie zarzucam, że żąda pieniędzy za swoją wiedzę i pracę. Nie zrzuciłem tego również Panu.

Z mojego punktu widzenia nie do przyjęcia jest sposób zdobywania klienta jaki Pan przyjął - sposób na granicy prawa, a wg. mnie z jego naruszeniem, ale to oczywiście moja prywatna opinia.

Nie wpadłem do nich w kominiarce i z pistoletem ale z umową, którą oni wcześniej mi wysłali. Wystarczyło powiedzieć "nie jesteśmy zainteresowani - poradzimy sobie sami" i sprawa byłaby zakończona. Takie zdanie nigdy nie padło, natomiast została przesłana umowa.

Oczywiście, że Pan nie wpadł w kominiarce, ale swoim działaniem wymusił Pan takie, a nie inne działanie ze strony tej firmy, którego elementem było wysłanie do Pana umowy. Pańskie działanie było celowe i był Pan świadom tego, że odpowiedź firmy może być dla Pana niekoniecznie przyjemna.

Wróćmy zatem do tematu

Nie mówimy też o etyce - podjąłem temat winy, a wina jest kwestią świadomości tego, czy dane zachowanie jest bezprawne czy nie.

To rozmawiamy o ocenie tej sytuacji na bazie obowiązującego prawa czy może

Żaden z nich nie zadaje sobie natomiast pytania czy wyrok jest słuszny, skoro sprawca zamieszania jest winny złamania pewnych reguł społecznych.

na bazie "reguł społecznych", bo rzeczywiście się pogubiłem. Jeżeli mówimy o regułach społecznych to najpierw przydałoby się ustalić jakie reguły społeczne obowiązują, co próbowałem uczynić w poprzednich postach, bo niestety nie są one takie "oczywiste".

Jeżeli chodzi o odniesienie się do wyroku sądu. To też nie mam wątpliwości, że dzięki producentowi serwisu informacje niejawne zostały udostępnione osobie nieupoważnionej (winę za udostępnienie w tym konkretnym przypadku ponosi IMO wykonawca serwisu - bardzo znany i podstawowy błąd w oprogramowaniu, co innego gdyby wykorzystano nieznaną wcześniej lukę silnika PHP).

Ma się dokładnie tak jak napisałem wcześniej - świadczy o woli ograniczenia dostępu do informacji dla wybranej grupy osób.

Według mnie jest to spora nadinterpretacja tagu <form> :)

Wygląda na to że ustawodawca nowelizując ostatnio art. 267 kk nie podzielał Pańskiego punktu widzenia. W pełni natomiast utrafił w moje gusta.

I ustawodawcy wyszedł bubel prawny, którego nie da się dobrze napisać, bo o legalności dostępu nie decydują realne zabezpieczenia tylko widzimisię właściciela/autora systemu informatycznego.

Proszę założyć firmę i sprawdzić, czy ucieszy się Pan z maila popartego wyciągiem danych, obejmujących tajemnice Pańskiej firmy. Gwarantuję że się Pan nie ucieszy :)

Co prawda własnej działalności nie mam, ale jestem pracownikiem etatowym dość dużej firmy. Z maila się ucieszę, bo lepiej wiedzieć niż nie wiedzieć. To, że mój szef nie będzie zadowolony z pracy wykonawcy i rozpocznie się postępowanie reklamacyjne, a w związku z tym wykonawca nie będzie zadowolony z maila to już inna sprawa. Pomijam fakt, że w moim miejscu pracy taki serwis nie przeszedłby audytu bezpieczeństwa przed wdrożeniem.

I to jest właśnie różnica między firmą typowo informatyczną, a innym przedsiębiorstwem. Przeciętne przedsiębiorstwo nie wie nic o wdrażaniu serwisu internetowego (bo de facto po co im to), a wykonawców na naszym rynku trudno nazwać profesjonalnymi (vide komentarz w innym wątku). BTW danych krytycznych (pracownicy, klienci, rozliczenia fiskalne) nigdy nie trzymałbym na ogólnodostępnym serwerze (intranet, jeżeli dostęp z zewnątrz to przez VPN z silną kryptografią), bo to głupota.

Odsyłam do jego posta z "So, 2008-10-11 16:33 by Mateusz.M", z którego jasno wynika, że kierowała nim chęć zarobienia pieniędzy a nie wartości wyższe w postaci poprawienia jakości bezpieczeństwa.

Ja nic takiego tam nie znalazłem.

Jeżeli mówimy o regułach

Jeżeli mówimy o regułach społecznych to najpierw przydałoby się ustalić jakie reguły społeczne obowiązują, co próbowałem uczynić w poprzednich postach, bo niestety nie są one takie "oczywiste".

Ano obowiązują - jak Pan może wie, system prawa nie składa się z pojedynczego artykułu, ani nawet pojedynczej ustawy, ale tworzy złożoną hierarchię, począwszy od konstytucji. Kto tego nie rozumie i nie stosuje w praktyce, interpretuje przepis chwytając się pojedynczych słówek, w rodzaju "przełamania" zamiast nadać mu prawdziwe i pożądane znaczenie, wynikające z szerszego kontekstu systemowego.

Według mnie jest to spora nadinterpretacja tagu

A ja myślę że nadal nie dociera do Pana mój przekaz - niestety nie jestem w stanie wyartykułować go jaśniej niż dotąd.

I ustawodawcy wyszedł bubel prawny, którego nie da się dobrze napisać, bo o legalności dostępu nie decydują realne zabezpieczenia tylko widzimisię właściciela/autora systemu informatycznego.

Nie chciałbym brnąć w analizę przepisu, ponieważ nasza ocena się diametralnie różni - zwracam tylko uwagę że nie jest to bubel naszego ustawodawcy, ale implementacja wytycznych dyrektywy unijnej.
Czyje widzimisię powinno decydować o legalności dostępu do tajemnic mojej firmy?

I to jest właśnie różnica między firmą typowo informatyczną, a innym przedsiębiorstwem. Przeciętne przedsiębiorstwo nie wie nic o wdrażaniu serwisu internetowego...

Nie wie również o wielu innych rzeczach, które nie leżą w kręgu jej zainteresowania i świadczonych przez nią usług. To zupełnie normalne i wynika z rynkowej specjalizacji. Serwis internetowy jest zwykłym narzędziem komunikacji ze światem. Takim samym narzędziem jest samochód, którego działania nikt w firmie nie musi znać. Po prostu go używa, zakładając że jest OK. Nikt z zewnątrz nie ma prawa do ingerencji, polegającej na samowolnym sprawdzeniu hamulców czy silnika celem zaproponowania naprawy, nawet gdy istnieje jakiś defekt fabryczny. To chyba dla wszystkich oczywiste? Czy Pańska firma udostępnia swoje samochody wszem i wobec do sprawdzenia przez postronne osoby? A może jakieś inne narzędzia?

Pozdrawiam

Wiele rzeczy rozumiem

Ano obowiązują - jak Pan może wie, system prawa nie składa się z pojedynczego artykułu, ani nawet pojedynczej ustawy, ale tworzy złożoną hierarchię, począwszy od konstytucji. Kto tego nie rozumie i nie stosuje w praktyce, interpretuje przepis chwytając się pojedynczych słówek, w rodzaju "przełamania" zamiast nadać mu prawdziwe i pożądane znaczenie, wynikające z szerszego kontekstu systemowego.

Prosto z konstytucji z wątku obok "Nullum crimen sine lege", dlatego właśnie słówka są ważne i nie wolno nam nadawać znaczenia "wynikającego z szerszego kontekstu". Różne osoby mogą pożądać różnych znaczeń, także nie można zakładać, że istnieje jakieś pokrewne "prawdziwe" znaczenie odmienne od słownikowego lub definicyjnego.

A ja myślę że nadal nie dociera do Pana mój przekaz - niestety nie jestem w stanie wyartykułować go jaśniej niż dotąd.

Z tego co zrozumiałem chodzi Panu o to, że formularz logowania jest równoważny tabliczce "Teren prywatny, wstęp wzbroniony". Ja pozostaję ciągle przy moim zdaniu, że nie jest. Osobiście nie odpalam nessusa na losowych stronach, chociaż niektórzy mają takie hobby, ale jeżeli wykryję jakąś lukę to co mam z tym zrobić? Czy moje niepoinformowanie właściciela serwisu wpłynie pozytywnie na poziom bezpieczeństwa tego serwisu?

Czyje widzimisię powinno decydować o legalności dostępu do tajemnic mojej firmy?

Niczyje, powinien o tym decydować jasny i jednoznacznie interpretowalny przepis. Dostawcy oprogramowania musieliby dostosować poziom zabezpieczeń do wymogów przepisu (zabezpieczenie musiałoby istnieć), aby ewentualnym włamywaczom móc postawić zarzuty.

zwracam tylko uwagę że nie jest to bubel naszego ustawodawcy, ale implementacja wytycznych dyrektywy unijnej

Jeżeli chodzi o decyzję ramową 2005/222/WSiSW to chciałbym zauważyć, że art. 2 ust. 2 mówi wyraźnie o możliwości zastosowania warunku "naruszenia zabezpieczenia", w nowym art. 267 §2 takiego warunku nie ma i to sprawia, że nasz system sprawiedliwości będzie podatny na DoS jak i wykorzystanie do oskarżenia i potencjalnie skazania kogokolwiek, kto stał blisko "całości lub części systemu informatycznego". Bubel jest nasz własny, a nie europejski.

Takim samym narzędziem jest samochód, którego działania nikt w firmie nie musi znać.

Mimo tego, większość osób uznałoby brak hamulców, czy dymienie spod maski za nienaturalne. Jeżeli chodzi o rynek serwisów WWW to słyszałem już różne rzeczy na temat tego, że szyfrowanie, czy zabezpieczenie przed XSS to fanaberie, a nie wyposażenie obowiązkowe.

Czy Pańska firma udostępnia swoje samochody wszem i wobec do sprawdzenia przez postronne osoby?

Firma, w której pracuję nie zajmuje się sprzedażą samochodów :), ale z tego co mi wiadomo, jazda próbna jak i zajrzenie pod maskę jest standardową praktyką przed zakupem danego samochodu. Osoby postronne mogą naocznie sprawdzić stan ogumienia i stwierdzić czy zdołam się zatrzymać na czerwonym.

Prosto z konstytucji z

Prosto z konstytucji z wątku obok "Nullum crimen sine lege", dlatego właśnie słówka są ważne i nie wolno nam nadawać znaczenia "wynikającego z szerszego kontekstu". Różne osoby mogą pożądać różnych znaczeń, także nie można zakładać, że istnieje jakieś pokrewne "prawdziwe" znaczenie odmienne od słownikowego lub definicyjnego.

Znaczenie wynikające z kontekstu nie jest znaczeniem dowolnym, ale zdeterminowanym przez cel przepisu i ten cel stanowi również kryterium, na podstawie którego można przyjętą interpretację zweryfikować. Podejście stricte słownikowe prowadzi do absurdów - w kontekście jeszcze obowiązującego art 267 takim absurdem jest, postulowana przez niektórych doktrynerów (m.in. powoływany w orzeczeniu sądu A. Adamski), konieczność zapoznania się z treścią informacji. A więc po przełamaniu zabezpieczeń i wykradzeniu informacji, wymaga się jeszcze żeby szanowny złodziej zapoznał się z ich treścią. Nawet jeśli je sprzeda i nieźle na tym zarobi, nie zostanie pociągnięty do odpowiedzialności bo nie raczył przeczytać co ukradł. Dokładnie to samo tyczy się przesłanki przełamywania. Wg mnie to po prostu śmieszne i sprzeczne ze zdrowym rozsądkiem.

Z tego co zrozumiałem chodzi Panu o to, że formularz logowania jest równoważny tabliczce "Teren prywatny, wstęp wzbroniony". Ja pozostaję ciągle przy moim zdaniu, że nie jest. Osobiście nie odpalam nessusa na losowych stronach, chociaż niektórzy mają takie hobby, ale jeżeli wykryję jakąś lukę to co mam z tym zrobić? Czy moje niepoinformowanie właściciela serwisu wpłynie pozytywnie na poziom bezpieczeństwa tego serwisu?

Poziom bezpieczeństwa serwisu to generalnie sprawa (m.in. odszkodowawcza) między jego dysponentem i twórcą. Nie twierdzę, że poinformowanie zainteresowanych o PRZYPADKOWO odkrytym problemie jest czymś nagannym. Uważam że naganne jest CELOWE działanie tego typu, ukierunkowane na zdobycie klienta, jak to miało miejsce w omawianym przypadku. O celowości świadczy m.in. fakt że Mateusz sprawdzał kolejne serwisy wykonane przez tą samą firmę i oferował swoje usługi.

Niczyje, powinien o tym decydować jasny i jednoznacznie interpretowalny przepis. Dostawcy oprogramowania musieliby dostosować poziom zabezpieczeń do wymogów przepisu (zabezpieczenie musiałoby istnieć), aby ewentualnym włamywaczom móc postawić zarzuty.

Potrafi Pan wskazać jakikolwiek przepis stawiający tego typu wymagania o charakterze ogólnym? Np. "zamykajcie swoje drzwi na kłódki o określonym standardzie, niezaleznie od tego co macie w domu, w przeciwnym razie złodziej nie będzie karany"? Każda firma we własnym zakresie określa wartość swoich informacji i stosuje adekwatne do tego (wg własnej wiedzy oczywiście) zabezpieczenia, informując o tym wprost lub w sposób pośredni. Pomijam sytuację kiedy przepis wprost narzuca określony standard zabezpieczeń, jak np. w przypadku danych osobowych - zakładam, że w omawianym przypadku takiego wymogu nie było, przynajmniej nie wynika to z opisu sytuacji.

Jeżeli chodzi o decyzję ramową 2005/222/WSiSW to chciałbym zauważyć, że art. 2 ust. 2 mówi wyraźnie o możliwości zastosowania warunku "naruszenia zabezpieczenia", w nowym art. 267 §2 takiego warunku nie ma i to sprawia, że nasz system sprawiedliwości będzie podatny na DoS jak i wykorzystanie do oskarżenia i potencjalnie skazania kogokolwiek, kto stał blisko "całości lub części systemu informatycznego". Bubel jest nasz własny, a nie europejski.

Słuszna uwaga - mówi o MOŻLIWOŚCI a więc jest fakultatywne. Zaś zasadniczy cel dyrektywy i przez to jej implementacji w krajowym porządku prawnym jest następujący:
"Każde Państwo Członkowskie podejmuje niezbędne środki
celem zapewnienia, że umyślny BEZPRAWNY DOSTĘP do całości
lub części systemu informatycznego jest karalny jako przestępstwo, przynajmniej w przypadkach, które nie są przypadkami mniejszej wagi."
Przy czym bezprawnośc definiowana jest w sposób jednoznaczny jako "dostęp lub ingerencja, na którą WŁAŚCICIEL, inny POSIADACZ PRAWA do systemu lub jego części nie udzielił zgody lub która nie jest dozwolona na mocy prawa krajowego." - to tak w kontekście naszej wcześniejszej wymiany poglądów dot. bezprawności :)

Cel do zrealizowania został postawiony jednoznacznie - penalizacja najwcześniej jak to możliwe (czyli sam dostęp), z opcją łagodniejszą polegającą na dodaniu warunku "naruszenia zabezpieczenia". Nasz ustawodawca wybrał do implementacji opcję bardziej restrykcyjną, uznając to za rozwiązanie lepsze, z czym ja się osobiście zgadzam. Proszę o szczegółowe wyjaśnienie na czym polega w tym przypadku bubel prawny? Czy na wyborze jednej z dwóch jasno określonych opcji?

Mimo tego, większość osób uznałoby brak hamulców, czy dymienie spod maski za nienaturalne.

Święte słowa, ale w omawianym przypadku mamy do czynienia z celowym zaglądnięciem pod maskę bez zgody właściciela auta, w celu sprawdzenia czy przypadkiem coś się nie zepsuło :) O celowości świadczy w omawianej sytuacji sposób działania sprawcy i jego wypowiedzi na forum. Bądźmy realistami - kreowanie się na Janosika i zmanipulowaną, oszukaną ofiarę w tej sytuacji jest po prostu najlepszą możliwą linią obrony. Istniejąca od dawna praktyka wykrywania błędów i informowania o nich jest oczywiście pożyteczna, ale są pewne kwestie, które "tester" powinien wziąć pod uwagę:
1. praktyka ta funkcjonuje na granicy prawa i należy się liczyć z reakcją dysponenta taką jak w omawianym przypadku, bo nie dla każdego takie działanie jest akceptowalne, ale zawsze jest bezprawne jeśli odbywa się wbrew woli dysponenta - każdy rozsądny człowiek powinien sobie z tego zdawać sprawę
2. praktyka ta kieruje się pewnymi zasadami, m.in. powinna mieć charakter bezinteresowny - a w omawianej sytuacji o sprawcy nie możemy tego powiedzieć.
Powoływanie się na te praktykę w linii obrony gwarantuje, że przynajmniej część obserwatorów, w tym również Pan, będzie ze sprawcą sympatyzowało. Inni, odbierają to po prostu jako cwaniactwo i wypaczanie idei wspomnianej praktyki.

Firma, w której pracuję nie zajmuje się sprzedażą samochodów :), ale z tego co mi wiadomo, jazda próbna jak i zajrzenie pod maskę jest standardową praktyką przed zakupem danego samochodu. Osoby postronne mogą naocznie sprawdzić stan ogumienia i stwierdzić czy zdołam się zatrzymać na czerwonym.

Miałem na myśli po prostu samochody wykorzystywane w firmie - założyłem że duża firma, o której Pan wspominał, posiada takowe :). Samochód jest w tym przypadku niczym innym, jak narzędziem pracy podobnie jak firmowy serwis internetowy. Ponawiam więc pytanie - czy Pańska firma udostępnia swoje samochody czy inne narzędzia pracy wszem i wobec do sprawdzenia przez postronne osoby?

Pozdrawiam

Znaczenie wynikające z

Znaczenie wynikające z kontekstu nie jest znaczeniem dowolnym, ale zdeterminowanym przez cel przepisu i ten cel stanowi również kryterium, na podstawie którego można przyjętą interpretację zweryfikować.

Cel przepisu musi być dokładnie opisany w odpowiedniej ustawie (w tym przypadku KK). Nie można sobie interpretować celu jak się komu podoba, czy dointerpretowywać celu z brzmienia przepisu. Trzeba się oprzeć na brzmieniu przepisu, nawet jeżeli cel wprowadzenia przepisu opisano w komentarzach, czy innym piśmie. Prawo w tym przypadku działa jak komputer, robi to co w nim zapiszemy, a nie to co chcemy żeby robiło. Jeżeli czynność nie jest określona jako zabroniona w przepisie to nie ma mowy o przestępstwie. Zawsze można się ciągać po sądach z pozwu cywilnego.

... Nawet jeśli je sprzeda i nieźle na tym zarobi, nie zostanie pociągnięty do odpowiedzialności bo nie raczył przeczytać co ukradł.

Jeżeli nawet ktoś zacznie stosować takie absurdalne interpretacje, to sprzedaż pasuje do "Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1 lub 2 ujawnia innej osobie".

Poziom bezpieczeństwa serwisu to generalnie sprawa (m.in. odszkodowawcza) między jego dysponentem i twórcą.

Tu się zupełnie nie zgodzę, dochodzą jeszcze co najmniej roszczenia pracowników, klientów oraz innych podmiotów których dane (niekoniecznie osobowe) są przetwarzane w danym serwisie.

Nie twierdzę, że poinformowanie zainteresowanych o PRZYPADKOWO odkrytym problemie jest czymś nagannym. Uważam że naganne jest CELOWE działanie tego typu, ukierunkowane na zdobycie klienta, jak to miało miejsce w omawianym przypadku.

Ja uważam, że bez wiedzy absolutnej nie jestem w stanie odróżnić czy ktoś działał celowo, czy odnalazł błąd przypadkowo, szczególnie w tym konkretnym przypadku, gdy dane zostały wysłane o serwera zgodnie ze specyfikacją w formularzu.

O celowości świadczy m.in. fakt że Mateusz sprawdzał kolejne serwisy wykonane przez tą samą firmę

Szczerze mówiąc, też bym się starał określić skalę zjawiska, na które trafiłem.

Potrafi Pan wskazać jakikolwiek przepis stawiający tego typu wymagania o charakterze ogólnym?

Proszę zostawić nieoznakowane 300PLN w przezroczystej kopercie na ulicy. Wrócić za kilka godzin, a następnie zgłosić kradzież na Policję (proponuję spisać numery seryjne, aby można było udowodnić, że rzeczywiście banknoty należą do Pana). Nie szukałem przepisów na ten temat, ale coś czuję że w tym przypadku Policja bardzo szybko by coś wymyśliła. W przypadku świata IT mało kto zauważy absurd takiego zgłoszenia.

Słuszna uwaga - mówi o MOŻLIWOŚCI a więc jest fakultatywne.

Była to decyzja naszych prawodawców.

dostęp lub ingerencja, na którą WŁAŚCICIEL, inny POSIADACZ PRAWA do systemu lub jego części nie udzielił zgody lub która nie jest dozwolona na mocy prawa krajowego

W tym przypadku właściciel systemu wyraził zgodę na korzystanie z opublikowanego formularza w celu wysłania odpowiednio sformatowanych danych do serwera. Użytkownik, który posiadał prawa do odczytu pliku HTML z formularzem (który zawiera opis sposobu przesłania danych), skonfigurował serwer tak, aby każdy użytkownik internetu miał prawo skorzystać z formularza oraz wysyłać dane do przetworzenia przez serwer. Po wysłaniu odpowiednich ciągów znaków (uwierzytelnienie) użytkownikowi jest NADAWANE PRAWO (autoryzacja) odczytu danych niepublicznych.

Proszę o szczegółowe wyjaśnienie na czym polega w tym przypadku bubel prawny?

Bubel polega na tym, że w polskim prawie nie ma takiej definicji bezprawności. Nie ma nawet wymogu oznaczania dokumentów jako niepublicznych. O tym już dużo napisałem w innym wątku. Tam też przywołuję inne przepisy chroniące informacje.

Czy na wyborze jednej z dwóch jasno określonych opcji?

Bubel istnieje niezależnie tego, kto zdecydował. Natomiast wytwórcą bubla jest osoba, która dokonała ostatecznego wyboru implementacyjnego.

Święte słowa, ale w omawianym przypadku mamy do czynienia z celowym zaglądnięciem pod maskę bez zgody właściciela auta, w celu sprawdzenia czy przypadkiem coś się nie zepsuło :)

Pierwsze słyszę, żeby pan Mateusz miał dostęp o kodu źródłowego aplikacji, on ocenił jej sprawność na podstawie cech wystawionych na widok publiczny.

Istniejąca od dawna praktyka wykrywania błędów i informowania o nich jest oczywiście pożyteczna, ...

Praktyka wynika głównie ze stanu prawnego i podejścia klientów do osób, które oferują naprawienie usterki. Jeżeli stan prawny mamy opierać na tej praktyce to ja widzę pętlę, której być nie powinno. Realne potrzeby w tym zakresie (a nie praktyki wymuszone przez dziwne otoczenie prawne) wypełnia m.in. Zero Day Initiative, które pośredniczy w przekazywaniu informacji o lukach w oprogramowaniu i wynagrodzeń dla testerów.

Ponawiam więc pytanie - czy Pańska firma udostępnia swoje samochody czy inne narzędzia pracy wszem i wobec do sprawdzenia przez postronne osoby?

Ponawiam więc odpowiedź.

Osoby postronne mogą naocznie sprawdzić stan ogumienia i stwierdzić czy zdołam się zatrzymać na czerwonym.

Cel przepisu musi być

Cel przepisu musi być dokładnie opisany w odpowiedniej ustawie (w tym przypadku KK). Nie można sobie interpretować celu jak się komu podoba, czy dointerpretowywać celu z brzmienia przepisu. Trzeba się oprzeć na brzmieniu przepisu, nawet jeżeli cel wprowadzenia przepisu opisano w komentarzach, czy innym piśmie. Prawo w tym przypadku działa jak komputer, robi to co w nim zapiszemy, a nie to co chcemy żeby robiło. Jeżeli czynność nie jest określona jako zabroniona w przepisie to nie ma mowy o przestępstwie. Zawsze można się ciągać po sądach z pozwu cywilnego.

Jeśli Pan nie zauważył, sąd powołuje w swoim orzeczeniu nie tylko poglądy doktryny w rozstrzyganej kwestii ale nawet poszukuje znaczenia obowiązującego przepisu odnosząc go do dyrektywy i nowej implementacji przepisu. Czy świadczy to o jednoznaczności przepisu? Gdyby prawo działało jak komputer, zamiast sądu już dawno rozstrzygałby komputer :)
Taki punkt widzenia na funkcjonowanie prawa wydaje mi się cokolwiek niedojrzały.

Jeżeli nawet ktoś zacznie stosować takie absurdalne interpretacje, to sprzedaż pasuje do "Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1 lub 2 ujawnia innej osobie".

Jedną z tych interpretacji (wg. mnie oderwanej trochę od rzeczywistości) sąd zastosował, powołując się np. na poglądy A. Adamskiego.

Tu się zupełnie nie zgodzę, dochodzą jeszcze co najmniej roszczenia pracowników, klientów oraz innych podmiotów których dane (niekoniecznie osobowe) są przetwarzane w danym serwisie.

Ależ oczywiście że dochodzą - nikt tego nie kwestionuje. Przywołałem tylko dwie główne strony ew. konfliktu interesów. Ale nawet fakt że istnieją inni potencjalni poszkodowani, nie implikuje prawa do samowoli w kwestii ingerencji w czyjeś interesy.

Ja uważam, że bez wiedzy absolutnej nie jestem w stanie odróżnić czy ktoś działał celowo, czy odnalazł błąd przypadkowo, szczególnie w tym konkretnym przypadku, gdy dane zostały wysłane o serwera zgodnie ze specyfikacją w formularzu.

Chętnie poznam dziedzinę, w której uzyskał Pan wiedzę absolutną :) Ja osobiście w ocenie faktów polegam na obserwacji i życiowym doświadczeniu. Tego samego wymaga się od sądu.

Szczerze mówiąc, też bym się starał określić skalę zjawiska, na które trafiłem.

Odwołując się do Pańskiego przykładu - rozumiem, że po napotkaniu łysych opon sprawdza Pan opony wszystkich samochodów firmowych? :)

Proszę zostawić nieoznakowane 300PLN w przezroczystej kopercie na ulicy. Wrócić za kilka godzin, a następnie zgłosić kradzież na Policję (proponuję spisać numery seryjne, aby można było udowodnić, że rzeczywiście banknoty należą do Pana). Nie szukałem przepisów na ten temat, ale coś czuję że w tym przypadku Policja bardzo szybko by coś wymyśliła. W przypadku świata IT mało kto zauważy absurd takiego zgłoszenia.

Proszę o wyjaśnienie i odniesienie tego co Pan napisał do omawianej sytuacji, bo nie nadążam :)

Była to decyzja naszych prawodawców.

Oczywiście że była, a czyja miała być?

... Po wysłaniu odpowiednich ciągów znaków (uwierzytelnienie) użytkownikowi jest NADAWANE PRAWO (autoryzacja) odczytu danych niepublicznych.

Dla ścisłości:
1. po wysłaniu ciągu znaków nastepuje autentykacja, czyli identyfikacja użytkownika
2. po autentykacji następuje autoryzacja, czyli sprawdzenie uprawnienia zidentyfikowanego użytkownika do określonych danych - uprawnienia są nadawane wcześniej i przechowywane zwykle w bazie danych.
Nadawanie uprawnień do podglądu okreslonych danych, a tym samym przyznawanie ich na gruncie prawnym, następuje wczesniej, tj. w momencie zakładania konta i weryfikacji osoby dla której to konto jest zakładane. Cały proces, który Pan opisał nie ma nic wspólnego z przyznawaniem uprawnień - po zalogowaniu następuje jedynie odczyt uprawnień już istniejących, czyli ich WERYFIKACJA.

Bubel polega na tym, że w polskim prawie nie ma takiej definicji bezprawności.Nie ma nawet wymogu oznaczania dokumentów jako niepublicznych. O tym już dużo napisałem w innym wątku. Tam też przywołuję inne przepisy chroniące informacje.

Nie ma też wymogu oznaczania roweru na ulicy jako niepublicznego, co nie zmienia faktu że jego kradzież jest bezprawna :)
Nadal nie wyjasnił Pan na czym polega ów bubel.

Pierwsze słyszę, żeby pan Mateusz miał dostęp o kodu źródłowego aplikacji, on ocenił jej sprawność na podstawie cech wystawionych na widok publiczny.

Dobrze powiedziane, bo OCENA ze swojej istoty ma charakter świadomy i ukierunkowany, a nie przypadkowy jak Pan ciągle utrzymuje.

Realne potrzeby w tym zakresie (a nie praktyki wymuszone przez dziwne otoczenie prawne) wypełnia m.in. Zero Day Initiative, które pośredniczy w przekazywaniu informacji o lukach w oprogramowaniu i wynagrodzeń dla testerów.

Zgadzam się i to jest podejście pożądane, bo gwarantujące pewną bezstronność. Ma ono zapobiegać sytuacjom, jak ta o której mówimy i którą należy eliminować.

Osoby postronne mogą naocznie sprawdzić stan ogumienia i stwierdzić czy zdołam się zatrzymać na czerwonym.

Słusznie - moga sprawdzić i ocenić cechy zewnętrzne samochodu, ale nie o takich tutaj rozmawiamy.

Pozdrawiam

Pozwoli Pan, że ze względu

Pozwoli Pan, że ze względu na wcinanie komentarzy zamieszam trochę w hierarchii odpowiedzi.

Gdyby prawo działało jak komputer, zamiast sądu już dawno rozstrzygałby komputer

W powyższej analogii nie chodziło mi o to, że prawo da się w pełni zalgorytmizować, tylko o to, że prawo nie musi wypełniać woli prawodawców jeżeli źle swoją wolę zaimplementują. W przeciwnym przypadku do ustawy musielibyśmy czytać eseje prawodawców o tym jak dobrze dla nas chcieli, ale im nie wyszło, więc przepis należy interpretować zupełnie inaczej.

Odwołując się do Pańskiego przykładu - rozumiem, że po napotkaniu łysych opon sprawdza Pan opony wszystkich samochodów firmowych?

Jeżeli wszystkie samochody stoją obok siebie, do sprawdzenia kilku samochodów wystarczy przejście się wzdłuż parkingu.

Proszę o wyjaśnienie i odniesienie tego co Pan napisał do omawianej sytuacji

Odpowiedź jest w linku, ale proszę zamienić "300PLN" na "informację", "ulicę" na "serwer HTTP", a reszta tak samo. Po nowelizacji będzie można zgłaszać nielegalny dostęp do pliku index.html w głównym katalogu dowolnej domeny (bo nie trzeba niczym zabezpieczać ani oznaczać, że to nie jest do informacji publicznej).

Cały proces, który Pan opisał nie ma nic wspólnego z przyznawaniem uprawnień - po zalogowaniu następuje jedynie odczyt uprawnień już istniejących, czyli ich WERYFIKACJA.

Tutaj chciałbym zwrócić uwagę, że wola właściciela co do nadawania uprawnień konkretnej osobie może mieć się nijak do nadawania tych uprawnień przez system (czy to na poziomie uwierzytelniania - ang. authentication - czy autoryzacji). To właściciel systemu pozwala systemowi decydować o uprawnieniach, a system często (jak i w tym przypadku) nawala i uznaje każdego, kto wpisał 'or 1=1' za pierwszego z brzegu użytkownika (błąd uwierzytelnienia). To system wewnętrznie powinien zostać tak skonfigurowany, aby nadawane przezeń uprawnienia były zbieżne z wolą dysponenta informacji. Jeżeli komuś taki system nie odpowiada, to może wystawić stronę WWW z treścią "Aby uzyskać dostęp do listy naszych klientów, należy przesłać drogą mailową skan dowodu osobistego" i nadawać uprawnienia osobiście.

a nie przypadkowy jak Pan ciągle utrzymuje.

Ja nie utrzymuję, że przypadkowy, ale dla mnie nie ma specjalnej różnicy między celowym, a przypadkowym odnalezieniem błędu. Głównie dlatego, że jeżeli w jednym i drugim przypadku otrzymam ingormację o wadzie, to będę mógł ją poprawić. Jeżeli w jednym bądź drugim przypadku osoba, która znalazła błąd, okaże się nieuczciwa, to pobierze wszystkie informacje i sprzeda je konkurencji nikogo nie informując.

Ma ono zapobiegać sytuacjom, jak ta o której mówimy i którą należy eliminować.

Tyle, że prawo po nowelizacji może skutecznie utrudnić wykrywanie błędów, do etapu zgłaszania do serwisu typu ZDI może nie dojść (vide "programy komputerowe przystosowane do popełnienia przestępstwa").

Słusznie - moga sprawdzić i ocenić cechy zewnętrzne samochodu, ale nie o takich tutaj rozmawiamy.

Jeżeli opublikowane na serwerze HTTP strony HTML oraz interfejs webowy aplikacji otwarty na świat (podejrzewam, że dane z formularza były przesyłane metodą POST) nie są cechami zewnętrznymi serwisu internetowego, to nie wiem co można za takie cechy uznać.

pozwoliłem sobie przenieśc

pozwoliłem sobie przenieśc wątek wyżej, żeby lepiej nam się pisało

"2. wiedza sprawcy o

2. wiedza sprawcy o technikach omijania zabezpieczeń jest bezsporna i sam się do niej przyznaje,

Moja wiedza o tym, że dziesięciokrotne dźgnięcie kogoś nożem w klatkę piersiową jest śmiertelne też jest bezsporna. Czy to oznacza, że jestem podejrzany we wszystkich sprawach gdzie morderstwa dokonano ostrym narzędziem?

Wiedząc o tym nie będę nikogo dźgał nożem niechcąc go zabić, a jeśli to uczynie zostanie mi postawiony zarzut UMYŚLNEGO ZABÓJSTWA, więc wykorzystanie wiedzy o SQL Injection jest ŚWIADOMYM działaniem mającym na celu uzyskanie dostępu.

Kwestie moralne każdy

Kwestie moralne każdy rozstrzyga sam, zgodnie w własnym sumieniem. Ja nie uważam, że zrobiłem coś złego.

intencje właściciela serwisu co do ochrony informacji są oczywiste, pomimo jego niewiedzy o nieskuteczności zabezpieczenia

Wcale takie oczywiste to nie jest. Nie pamiętam czy o tym już informowałem ale moduły zawierające błędy zostały wyłączone przez firmy po około miesiącu od mojego zgłoszenia, pomimo że wielokrotnie ich ponaglałem i uświadamiałem niebezpieczeństwo, wskazując zagrożone moduły. Daje to trochę do myślenia... Pokazuje w jaki sposób podchodzą do ochrony danych klientów - bardzo szczegółowych danych.

Resztę pozostawię bez komentarza bo było już to omawiane.

Kwestie moralne każdy

Kwestie moralne każdy rozstrzyga sam, zgodnie w własnym sumieniem. Ja nie uważam, że zrobiłem coś złego.
Oczywiście, że każdy rozstrzyga je sam. Pan jednak posunął się dalej i wkroczył w sferę podmiotu, który tego sobie nie życzył. I dlatego wystawił na świat mechanizm logowania.

Wcale takie oczywiste to nie jest. Nie pamiętam czy o tym już informowałem ale moduły zawierające błędy zostały wyłączone przez firmy po około miesiącu od mojego zgłoszenia, pomimo że wielokrotnie ich ponaglałem i uświadamiałem niebezpieczeństwo, wskazując zagrożone moduły. Daje to trochę do myślenia...

Rozumiem (bez ironii z mojej strony), że stawia się Pan w roli herosa, który stawia sobie za cel bezinteresowne sprawdzenie bezpieczeństwa wszystkich serwisów firmowych dostępnych w sieci w trosce o klientów tych firm? Czy to jakaś współczesna forma Janosika?

Jak Pan zapewne wie, są firmy które oferowały niemałe nagrody pieniężne za pokonanie zabezpieczeń ich serwisów internetowych. Jak by Pan te dwie sytuacje porównał?

Pokazuje w jaki sposób podchodzą do ochrony danych klientów - bardzo szczegółowych danych.

Proszę mnie poprawić jeśli się mylę, ale czy z opisu sytuacji nie wynika, że dostęp miał chronić dane pracowników a nie klientów? Czy to nie dane jednego z pracowników wysłał Pan aby uwiarygodnić informacje o słabym zabezpieczeniu serwisu?

Resztę pozostawię bez komentarza bo było już to omawiane.

Wielka szkoda, bo liczyłem na poznanie rzeczywistych motywów Pańskiego zachowania. Pozostaje mi się jedynie domyślać, że cała sytuacja była po prostu wymyślną próbą pozyskania "klienta" na usługi informatyczne, w postaci podniesienia poziomu bezpieczeństwa jego serwisu.

:-) Znalazłem luki,

:-)

Znalazłem luki, poinformowałem właścicieli, zaproponowałem że systemy poprawie i oczekiwałem za to zapłaty. Umowa zlecenie która miała być podpisana obejmowała poprawienie bezpieczeństwa i dostosowanie do W3C pięciu serwisów internetowych i bynajmniej nie były to "wizytówki" ze stroną główną i kontaktem, a serwisy o dość znacznej złożoności. Nie uważam, że takie rzeczy należy robić za darmo. Szczególnie wtedy gdy firma z którą rozmawiałem wzięła duże pieniądze za przygotowanie tych serwisów. Mogli się na to zgodzić lub nie. Nie zgłosiłem się do nich w kominiarce ale przyszedłem z umową, którą mi wysłali.

Jak Pan zapewne wie, są firmy które oferowały niemałe nagrody pieniężne za pokonanie zabezpieczeń ich serwisów internetowych. Jak by Pan te dwie sytuacje porównał?

Chodzi Panu o to, że w pierwszej sytuacji firma sama zachęca do testowania zabezpieczeń a w drugiej nie?

Doskonale zdaję sobie sprawę z tego, że firma, która te serwisu napisała nie była zadowolona z tego co zrobiłem. Dostali maile od swoich pięciu flagowych klientów z informacjami o problemach. Mieli dylemat - albo przyznać się do winy i ponieść konsekwencje albo nazwać mnie przestępcą i wyjść z tego bez szwanku.

Proszę mnie poprawić jeśli się mylę, ale czy z opisu sytuacji nie wynika, że dostęp miał chronić dane pracowników a nie klientów? Czy to nie dane jednego z pracowników wysłał Pan aby uwiarygodnić informacje o słabym zabezpieczeniu serwisu?

Baza danych zawierała dane osobowe klientów firm. Po wpisaniu znanego wszystkim ciągu znaków zostałem zalogowany na konto pierwszego użytkownika, którym okazał się być pracownik firmy - zapewne "testował" system, stąd jego obecność w BD. Dane tej osoby zostały przesłane do firmy razem z informacja o lukach.
Pozdrawiam

Fajnie, że Pan opisał

Fajnie, że Pan opisał wszystko wprost - sedno sprawy z mojego punktu widzenia tkwi tutaj:

Doskonale zdaję sobie sprawę z tego, że firma, która te serwisu napisała nie była zadowolona z tego co zrobiłem. Dostali maile od swoich pięciu flagowych klientów z informacjami o problemach. Mieli dylemat - albo przyznać się do winy i ponieść konsekwencje albo nazwać mnie przestępcą i wyjść z tego bez szwanku.

Taki trochę szantaż, czy się mylę? ;-) Rozumiem że nie widzi Pan nic zdrożnego w próbie uszczęśliwienia na siłę dysponenta serwisu poprzez de facto wymuszenie swoich usług?

Pytam z czystej chęci poznania Pańskiego zdania jako sprawcy tej całej zabawy i dlatego, że w myśl art. 267 kk po nowelizacji (m.in. uzyskanie dostępu przez ominięcie zabezpieczeń), takie pozyskiwanie klientów już by się Panu nie upiekło :)

Pozdrawiam

Taki trochę szantaż, czy

Taki trochę szantaż, czy się mylę? ;-) Rozumiem że nie widzi Pan nic zdrożnego w próbie uszczęśliwienia na siłę dysponenta serwisu poprzez de facto wymuszenie swoich usług?

Dysponenci serwisu, choć nie wszyscy, zainteresowani byli rozmowami ze mną. Jednak firma, która zbudowała serwisy skontaktowała się ze mną i uzgodniliśmy, że nie będę kontaktował się więcej z poszczególnymi firmami - dysponentami poszczególnych serwisów, tylko bezpośrednio z nimi. Zapewne chodziło o to żeby nie narażać ich wizerunku na szwank. Domyślam się, że po podstępnym wymuszeniu podpisania umowy o poufności rozesłali ją do klientów z informacją, że sprawa jest załatwiona a ja zostałem zatrzymany przez policję. W tej sytuacji byli czyści a każdy z klientów zapewne jest przekonany, że doszło do włamania i firma projektująca serwisy nie zawiniła tu w żadnym stopniu. Motywy działań firmy projektującej są dla mnie jasne. Chcieli uniknąć utraty klientów, utraty wizerunku i poniesienia kosztów. Przez swoją naiwność zostałem przez nich wykorzystany, zmanipulowany i oszukany.

Myślę, że jeśli byłby to szantaż to poza zarzutami z art. 267 prokuratura postawiłaby mi inny (jeśli się nie mylę to art. 286 KK). Prokuratura, która prowadziła postępowanie przygotowawcze była nastawiona do mnie bardzo niechętnie i jestem pewien, że jeśli byłyby podstawy to taki zarzut pojawiłby się w AO.

W moim przekonaniu również nie doszło do szantażu. Co innego porwać komuś dziecko i żądać pieniędzy za uwolnienie, a co innego dowiedzieć się o porwaniu i oczekiwać zapłaty za uwolnienie. To nie ja błędnie napisałem te serwisy i to nie ja spowodowałem, że luki w tych serwisach się pojawiły. Firma doskonale zdawała sobie sprawę w jakiej sytuacji się znajduje i doskonale zdawała sobie sprawę z tego, że popełnili błędy, jednak ich klienci już tego nie wiedzieli i zapewne do tej chwili nie wiedzą.

Nigdzie nie napisano jakie

Nigdzie nie napisano jakie były intencje dysponentów serwisu względem Pana - mogły być identyczne jak w przypadku twórcy serwisu.

Nie kwalifikuję tego "szantażu" na gruncie KK - pytałem raczej o Pańskie odczucia - ale wygląda na to że nie widzi Pan niczego niestosownego w takim sposobie działania i tutaj się mocno różnimy :)

Firma doskonale zdawała sobie sprawę w jakiej sytuacji się znajduje i doskonale zdawała sobie sprawę z tego, że popełnili błędy, jednak ich klienci już tego nie wiedzieli i zapewne do tej chwili nie wiedzą.

Łzy wzruszenia mi płyną, kiedy wyraża Pan głęboką troskę o klientów firmy :) Źle zrobiony serwis to sprawa między wykonawcą i jego klientem.

Przez swoją naiwność zostałem przez nich wykorzystany, zmanipulowany i oszukany.

Tym razem zrywam boki :)
I tym optymistycznym akcentem kończę wątek - przypadek owszem był ciekawy do przedyskutowania, ale niestety Pańska zabawa była również kosztowna dla podatników.

Pozdrawiam

Z życia wzięte

Czy swoim komentarzem z błędnie zamkniętym tagim ("/cite>") właśnie nie złamałeś prawa? Poprzez umieszczenie go zmodyfikowałeś wszak istniejące dane, nie będąc do tego uprawnionym - wszystkie komentarze poniżej Twojego wyświetlane są kursywą, niezależnie od intencji ich autorów. Wykorzystałeś błąd w blogu VaGli, zapewne bez takiej intencji i nawet o nim nie wiedząc, ale czy sąd podzieliłby ten argument?

No i Vagla popsuł przykład

No i Vagla popsuł przykład domykając tag :)

Info dla postronnych post factum: autor komentarza, na który odpowiadałem, użył tagu "cite" w celu oznaczenia cytatu, ale błędnie zapisał tag kończący cytat, przez co system vagla.pl nie zanotował zakończenia cytatu. Ponieważ najwyraźniej system nie ma w sobie ograniczenia typu "koniec komentarza oznacza również koniec cytatu, nawet jeśli explicite nie użyto tagu końca cytatu", to jechał dalej jak leci i wszystkie komentarze poniżej też wyświetlał w stylu "cytat" (kursywą).

Notka dla Vagli: jeśli uznasz, że powyższy opis błedu nie powinien się pojawić publicznie, to tnij bez wahania, w pełni zrozumiem. Decyzja zależy od Ciebie (nie to, żeby i tak nie zależała :) ).

Po przeczytaniu wszystkich

Drogi Panie,

pyta mnie Pan o zdanie w kwestii winy Mateusza, która to wina, Pańskim zdaniem, jest oczywista. Problem w tym, że te wszystkie cztery punkty, które Pan raczył wymienić mają się kompletnie, ale to kompletnie, nijak do kwestii odpowiedzialności karnej.

Mogę zrozumieć, że w Pana ocenie, czyn Mateusza winien skutkować odpowiedzialnością karną ale - proszę mi wierzyć to przekonanie jest oparte na tak samo mocnych przesłankach jak postulat represji karnej powiedzmy, że za herezję.

Dlaczego?

Nie można karać ludzi tylko z tego powodu, że nie podobają się nam ich postępki. Nie możemy karać ludzi tylko dlatego, że jesteśmy przekonani, że są winni "złamania pewnych reguł społecznych."

Inaczej musielibyśmy ścigać karnie dziennikarzy tabloidów, ściągających na egzaminach studentów, zdradzających małżonków, fachowców od PR i reklamy, niewdzięczne wobec rodziców dzieci, wiarołomnych polityków i, czemu nie? - wykonawców systemów informatycznych miernej jakości.

Tym ostatnim zdarza się przecież wziąć duże pieniądze za system bazy danych i zapewniać zamawiającego, że gromadzone w nim dane są bezpieczne, podczas gdy nie spełniają one nawet e l e m e n t a r n y c h wymogów bezpieczeństwa. Zapewniam Pana, że inżynier innych specjalności miałby w analogicznej sytuacji wielkie kłopoty.

A co to jest Pana zdaniem? Czy czasem nie jest to złamaniem "pewnych reguł społecznych"? Osobiście uważam, ze daleko więcej niż tylko to.

Wie Pan, pierwszy przepis jaki Pan przeczyta jak tylko otworzy Pan kodeks karny brzmi tak: "Art. 1. § 1. Odpowiedzialności karnej podlega ten tylko, kto popełnia czyn zabroniony pod groźbą kary przez ustawę obowiązującą w czasie jego popełnienia."

Czyn musi być zabroniony pod groźbą kary. Czynem zabronionym jest zachowanie się człowieka o znamionach określonych w ustawie karnej.

Bez wypełnienia przez sprawcę owych znamion, takich jak np. "przełamanie zabezpieczeń" nie można w ogóle mówić o czynie zabronionym przez ustawę co oznacza, że nie można mówić o winie.

Wina składa się na tzw. podmiotową stronę przestępstwa a my cały czas poruszamy się w zupełnie innym obszarze - strony przedmiotowej czyli dyskutujemy czy mamy w ogóle do czynienia z czynem zabronionym. Wina to zupełnie inna kwestia bo przecie są sytuacje, że ktoś czynu zabronionego dokonał ale winy np. z racji wieku przypisać mu nie sposób.

'; DROP TABLE comments; Czy

'; DROP TABLE comments;

Czy już mogę w skrzynce szukać pozwu?

Tak się zastanawiam, jak do całej kwestii łamania zabezpieczeń ma się sytuacja gdy ktoś wpisuje jako login/hasło: admin/admin i ma pełny dostęp do panelu administracyjnego? Czy złamał zabezpieczenia? Czy wpisał niedozwolony ciąg znaków? Czy ciąg ' or 1=1 jest dużo groźniejszy od \x27\x20\x6f\x72\x20\x31\x3d\x31, który też mógłby zadziałać?

I jeszcze jedna sprawa. Czy na stronie można było założyć konto? Jeśli tak to czy nie warto było spróbować założyć konta o nazwie/haśle: ' or 1=1

Czytając to wszystko widzę

Czytając to wszystko widzę, że jak zwykle prawnicy potrafią wszystko zamotać. W świecie wirtualnym należy stosować analogie do świata rzeczywistego. Jak najbardziej.
Tylko należy sobie zdawać sprawę z rzeczywistych mechanizmów.

Generalnie nie ma czegoś takiego jak zdalne 'włamanie'!
Analogie SQL Injection czy innych exploitow do podrobionych kluczy, wytrychów, zamków i drzwi są chybione!

Trzeba sobie zadać pytanie co się tak naprawdę dzieje w takim jak w/w przypadku. Ludzie piszą, że podajesz login, hasło i "wchodzisz do systemu". Bzdura. Nigdzie nie wchodzisz.

Informacja którą wpisałeś na klawiaturze jest przetwarzana w twoim komputerze i WYSYŁANA do innego komputera. Tamten z kolei komputer ją przetwarza i WYSYŁA ją do twojego komputera!

Jedyną analogią do informatycznych 'włamów' jest sytuacja w której człowiek zacznie krzyczeć pod blokiem "Mamo,Tato!"
i ktoś się przez okno wychyli, a człowiek stojący pod blokiem przekona werbalnie osobę w oknie że jest jej synem i żeby mu przez to okno wyrzuciła 1000PL na piwo!
a w zasadzie powiedziała pod którym kamieniem w parku ukryła tego tysiaka.

Jeżeli ze swojego komputera wysyłasz do innego komputera , ciąg bajtów a ten w odpowiedzi odsyła ci inny ciąg bajtów który możesz zinterpretować jako listę płac firmy X, to gdzie tu przestępstwo. Chyba po stronie tego co wysyła informacje osobom nieupoważnionym!

To jest dokładnie taka sytuacja jakbym zadzwonił do działu kadr firmy X i poprosił o przesłanie pocztą w/w listy.
Człowiek czasami oprócz wytyczonych procedur kieruje się zdrowym rozsądkiem. Od maszyny nie możemy tego wymagać.
Ale od programisty już tak. Jedynym winnym w tej sprawie jest PROJEKTANT systemu (lub programista jeśli napisał kod niezgodnie z projektem!)

Generalnie nie ma czegoś

Generalnie nie ma czegoś takiego jak zdalne 'włamanie'! Analogie SQL Injection czy innych exploitow do podrobionych kluczy, wytrychów, zamków i drzwi są chybione!

Nie ma mowy o dostawaniu się gdziekolwiek, ale o uzyskaniu informacji po pokonaniu zabezpieczeń. Art. 267 tak to właśnie definiuje. Sprawca nie musiał nigdzie się dostawać ponieważ pokonał (w tym wypadku ominął) zabezpieczenie i informacja dotarła do niego dokładnie w taki sposób, jak opisał Pan w dalszej części swojego postu, a więc od komputera o komputera :)

No i to jest właśnie

No i to jest właśnie przykład prawa pisanego przez prawników, tak by pole do interpretacji było jak najszersze i najmniej logiczne. W zasadzie zastanawiam się dlaczego prawo nie jest napisane metaforycznym wierszem...

Wedle w/w zapisu pokonaniem zabezpieczeń jest wejście do pałacu prezydenckiego przekonując panów z BOR-u że się jest prezydentem, pomimo odmiennego wyglądu, pomimo faktu że prezydent wyjechał w delegację do Kongo. Jeśli coś takiego by się zdarzyło, to powinno się sądzić tego kto 'przełamał zabezpieczenia' a nie jak do tej pory BOR-owików...

chciałem jeszcze dodać

chciałem jeszcze dodać, że idąc za prawniczymi interpretacjami dotyczącymi 'włamań komputerowych' można by o 'włamanie' oskarżyć prowokację dziennikarzy dot. jakiegoś tam polityka (czy urzędnika). Dziennikarz dzwoniąc podał się za pracownika ministerstwa - przełamał zabezpieczenia dot. autoryzacji. Urzędnik był przekonany że rozmawia z osobą upoważnioną to otrzymania określonej informacji i ją podał.
Tym samym dziennikarz dokonał 'włamania' i powinien być oskarżony o hacking. Prokuratura powinna mu zatrzymać w depozycie telefon (być może i krtań... :) )jako 'dowód w sprawie'.

kontynuując wątek ...

W powyższej analogii nie chodziło mi o to, że prawo da się w pełni zalgorytmizować, tylko o to, że prawo nie musi wypełniać woli prawodawców jeżeli źle swoją wolę zaimplementują. W przeciwnym przypadku do ustawy musielibyśmy czytać eseje prawodawców o tym jak dobrze dla nas chcieli, ale im nie wyszło, więc przepis należy interpretować zupełnie inaczej.

Jasne. Jednak bądźmy świadomi tego, że z racji wieloznaczności języka nawet "poprawna" implementacja niesie za sobą konieczność interpretacji. Prawo karne pomimo postulatu jednoznaczności musi się posługiwać w opisie czynu zabronionego pojęciami ogólnymi, żeby móc objąć pewną KATEGORIĘ sytuacji. Stąd zawsze pozostaje pewien margines oceny, w ramach którego sędzia musi się odwołać nie tylko do brzmienia przepisu, ale też do jego celu, już istniejących orzeczeń, poglądów doktryny, a także do własnego doświadczenia, a nawet poczucia zdrowego rozsądku i słuszności. Tak więc uważam że to nie jest kwestia bubla prawnego.

Jeżeli wszystkie samochody stoją obok siebie, do sprawdzenia kilku samochodów wystarczy przejście się wzdłuż parkingu.

:) Zgrabnie powiedziane, niemniej uważam że u tzw. "normalnych" ludzi rzadko spotykane, więc nie do końca można uznać takie zachowanie za normę i punkt odniesienia

Odpowiedź jest w linku, ale proszę zamienić "300PLN" na "informację", "ulicę" na "serwer HTTP", a reszta tak samo. Po nowelizacji będzie można zgłaszać nielegalny dostęp do pliku index.html w głównym katalogu dowolnej domeny (bo nie trzeba niczym zabezpieczać ani oznaczać, że to nie jest do informacji publicznej).

Jak rozumiem Pana wniosek wypływa z brzmienia paragrafu 2?
"Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego."
Zarówno w par. 1 jak i 2 jest mowa o braku uprawnienia - co wg. mnie stanowi wystarczające kryterium rozróżnienia. Brak wymogu wyraźnego oznaczania, "że to nie jest do informacji publicznej" niczego nie zmienia - wszystkie informacje nie zabezpieczone w żaden WIDOCZNY po prostu sposób nie podlegają ochronie.

Tutaj chciałbym zwrócić uwagę, że wola właściciela co do nadawania uprawnień konkretnej osobie może mieć się nijak do nadawania tych uprawnień przez system (czy to na poziomie uwierzytelniania - ang. authentication - czy autoryzacji).

Podkreslam jeszcze raz - system uprawnień nie nadaje, ale je weryfikuje.

To właściciel systemu pozwala systemowi decydować o uprawnieniach, a system często (jak i w tym przypadku) nawala i uznaje każdego, kto wpisał 'or 1=1' za pierwszego z brzegu użytkownika (błąd uwierzytelnienia). To system wewnętrznie powinien zostać tak skonfigurowany, aby nadawane przezeń uprawnienia były zbieżne z wolą dysponenta informacji.

Owszem system powinien być tak skonfigurowany - ale fakt istnienia w nim błędu nie implikuje uprawnienia dla osoby testującej.

Jeżeli komuś taki system nie odpowiada, to może wystawić stronę WWW z treścią "Aby uzyskać dostęp do listy naszych klientów, należy przesłać drogą mailową skan dowodu osobistego" i nadawać uprawnienia osobiście.

Przykład chociażby mBanku świadczy, że można. Różnica między mBankiem a firmą, która oskarżyła Mateusza, jest tylko taka, że firma zabezpieczyła swoje informacje bez wyraźnego komunikatu, ale w sposób zrozumiały dla każdego użytkownika - umieszczając mechanizm logowania. Nie przekonują mnie argumenty że można tego nie zrozumieć i przypadkowo wykryć błąd. Taki mechanizm wymaga już nieco większego zaangażowania niz przypadkowe kliknięcie.

Ja nie utrzymuję, że przypadkowy, ale dla mnie nie ma specjalnej różnicy między celowym, a przypadkowym odnalezieniem błędu. Głównie dlatego, że jeżeli w jednym i drugim przypadku otrzymam ingormację o wadzie, to będę mógł ją poprawić. Jeżeli w jednym bądź drugim przypadku osoba, która znalazła błąd, okaże się nieuczciwa, to pobierze wszystkie informacje i sprzeda je konkurencji nikogo nie informując.

Zgadza się, ale jak pisałem wczesniej - celowe działanie, jest w tym wypadku działaniem na granicy prawa i "tester" w razie ujawnienia, powinien się liczyć conajmniej z niezadowoleniem ze strony dysponenta serwisu. Jak to niezadowolenie zostanie wyrażone to już inna sprawa :)

Tyle, że prawo po nowelizacji może skutecznie utrudnić wykrywanie błędów, do etapu zgłaszania do serwisu typu ZDI może nie dojść (vide "programy komputerowe przystosowane do popełnienia przestępstwa").

Proszę o rozwinięcie tematu

Jeżeli opublikowane na serwerze HTTP strony HTML oraz interfejs webowy aplikacji otwarty na świat (podejrzewam, że dane z formularza były przesyłane metodą POST) nie są cechami zewnętrznymi serwisu internetowego, to nie wiem co można za takie cechy uznać.

Nieprecyzyjnie się wyraziłem - pisząc że "nie o takich tutaj rozmawiamy" miałem na myśli, że rozmawiamy o aktywności wykraczającej poza obserwację i ocenę cech zewnętrznych (interfejs webowy, opony), czyli ogólnie dostępnych z woli dysponenta.

Stąd zawsze pozostaje

Stąd zawsze pozostaje pewien margines oceny, w ramach którego sędzia musi się odwołać nie tylko do brzmienia przepisu, ale też do jego celu, już istniejących orzeczeń, poglądów doktryny, a także do własnego doświadczenia, a nawet poczucia zdrowego rozsądku i słuszności.

OK, ale w swej ocenie sędzia choćby bardzo chciał nie może sobie ot, tak usunąć żadnego warunku z przepisu. Jeżeli w tym konkretnym przepisie znajduje się zapis, że trzeba przełamać zabezpieczenia, to nie można stwierdzić, że "Niby zabezpieczeń nie przełamał, ale na podstawie doświadczeń stwierdzam, że i tak trzeba go ukarać.". Bez wyraźniej granicy poszerzania można dojść do zupełnego wypaczenia prawa, dlatego właśnie istnieją takie a nie inne zasady interpretacji prawa karnego.

wszystkie informacje nie zabezpieczone w żaden WIDOCZNY po prostu sposób nie podlegają ochronie

To jest założenie każdego rozsądnego człowieka. Przychodzi naturalnie, bo to przecież oczywiste. Niestety nie można przyjąć takiego założenia, należy je ująć w przepisie. Proszę spojrzeć chociaż na sprawę wycieku danych kandydatów na pracowników z PeKaO S.A. Dokumenty nie były zabezpieczone w żaden widoczny sposób, zostały nawet zaindeksowane przez Google. Mimo tego bank upiera się, że osoby, które je pobrały nie miały do tego uprawnień. Takich sytuacji będzie coraz więcej. O ile liczę na to, że sądy będą uniewinniać, to już samo zajęcie sprzętu w celach dowodowych jest bardzo uciążliwe.

Podkreslam jeszcze raz - system uprawnień nie nadaje, ale je weryfikuje.

Ja pozostaję przy swoim :) uprawnienia w systemie informatycznym nie bez powodu nazywają się uprawnieniami. To system dokonuje autoryzacji, a autoryzacja wg. PWN to "1.zezwolenie autora na wydanie...;2.zezwolenie osoby udzielającej wywiadu na jego opublikowanie;3.zezwolenie producenta na prowadzenie działalności...;". Jeżeli autoryzować to w ogólności zezwalać, to właśnie system zezwala.

Później będzie trzeba rozważać, czy osoba, która pobrała z serwera plik HTML z prawami rwxrwxrwx nie złamała przepisu, bo administrator chciał nadać prawa do pliku tylko użytkownikowi o UID 777, ale mu nie wyszło. Firmy bardzo chętnie będą korzystać z takich absurdalnych sytuacji, szczególnie jeżeli zwolni je to z odpowiedzialności za bezpieczeństwo danych.

umieszczając mechanizm logowania

Dla mnie nie jest to dosć oczywiste, może głównie dlatego, że używam na co dzień własnego oprogramowania do automatycznego przetwarzania stron WWW i szukanie oraz sprawdzanie, czy to jest formularz logowania, czy może jakaś ankieta, zupełnie mi nie pasuje :) Jest to dla mnie równoznaczne z umieszczeniem nagrania administratora serwisu wyrażającego swoje poglądy na temat dostępu użytkowników przez taniec nowoczesny. Jeżeli sam formularz jest wystarczającym zabezpieczeniem z prawnego punktu widzenia (wyraża wolę dysponenta danych), to czy nie możnaby było po prostu zrobić statycznego linku "Zaloguj" pod formularzem, prowadzącego prosto do chronionych zasobów? Kolejny sposób na oszczędzenie podczas pisania serwisów WWW.

Proszę o rozwinięcie tematu

Nie ma definicji programu przystosowanego do popełnienia przestępstwa. Ja w systemie Windows z racji tego, że często piszę kod, mam zainstalowany debugger, który może przechwycić każdy krytyczny wyjątek (just-in-time debugging). Czy jest to normalne oprogramowanie? Czy może jest to oprogramowanie przystosowane do reverse engineeringu, co najczęściej łamie licencję? Akurat tak się składa, że nie jest to debugger dostarczany w pakiecie z komercyjnym środowiskiem programistycznym. Kwestia interpretacji i stosunku biegłego do debugowania, bo może być "niezadowolony" z nasłuchującego w tle debuggera.

rozmawiamy o aktywności wykraczającej poza obserwację i ocenę cech zewnętrznych

Chyba mamy rzeczywiście różną wizję, tego co należy do cech zewnętrznych :) Dla mnie jest to wszystko do czego ma dostęp każdy użytkownik internetu, korzystający ze współczesnej przeglądarki lub innego programu i/lub wykorzystujący powszechnie używane dane do uwierzytelnienia jako użytkownik anonimowy (np. przy FTP) poza elementami określonymi wyraźnie w regulaminie danego serwisu, który został przez tego użytkownika zaakceptowany.

OK, ale w swej ocenie

OK, ale w swej ocenie sędzia choćby bardzo chciał nie może sobie ot, tak usunąć żadnego warunku z przepisu. Jeżeli w tym konkretnym przepisie znajduje się zapis, że trzeba przełamać zabezpieczenia, to nie można stwierdzić, że "Niby zabezpieczeń nie przełamał, ale na podstawie doświadczeń stwierdzam, że i tak trzeba go ukarać.". Bez wyraźniej granicy poszerzania można dojść do zupełnego wypaczenia prawa, dlatego właśnie istnieją takie a nie inne zasady interpretacji prawa karnego.

Jak Pan może zauważyć (http://sjp.pwn.pl/lista.php?co=prze%B3amanie) termin o którym rozmawiamy odnosi się co najmniej do kilku, kompletnie nie związanych ze sobą sfer. Czy fakt, że nie ma tu znaczenia odnoszacego się do sfery bezpieczeństwa w informatyce znaczy, że przepisu mamy nie stosować w ogóle? Ustawodawca posłużył się po prostu możliwie ogólnym i pojemnym pojęciem ze świata fizycznego, zapewne dlatego, że w momencie uchwalania brak było doświadczeń w tym zakresie. Jeżeli przepis ma pełnić swoją funkcję, to należy mu nadać znaczenie zgodnie z jego funkcją i celem. A celem jest tu penalizowanie zachowań, w których sprawca podejmuje pewną ukierunkowaną aktywność i pewien wysiłek (polegający na pokonaniu zabezpieczenia) żeby zdobyć informacje. Ja myślę że takie znaczenie: "przezwyciężyć coś, co stanowiło przeszkodę w czymś" mieści w sobie zarówno ingerowanie w zabezpieczenie jak i wykrzystanie jego słabości, z czym mamy do czynienia w omawianej sytuacji.

Niestety nie można przyjąć takiego założenia, należy je ująć w przepisie.

Jest wiele aktywności życiowych, w których konsekwencje prawne następują w sposób domniemany i są oczywiste, np. zawarcie umowy przewozu osób poprzez skasowanie biletu w tramwaju, czy zobowiązania ustne. Wystarczy, że oświadczenia stron są wystarczająco jasno uzewnętrznione.
Nie ma potrzeby ujmowania ich w przepisie bo są oczywiste i wynikają z normalnej życiowej aktywności ludzkiej. Taką samą aktywnością jest obecnie surfowanie po internecie i znajomość pewnych reguł funkcjonowania w tym obszarze należy przyjąć jako oczywistą, zwłaszcza w przypadku osób które zawodowo się tym zajmują, jak Mateusz.

Proszę spojrzeć chociaż na sprawę wycieku danych kandydatów na pracowników z PeKaO S.A. Dokumenty nie były zabezpieczone w żaden widoczny sposób, zostały nawet zaindeksowane przez Google. Mimo tego bank upiera się, że osoby, które je pobrały nie miały do tego uprawnień.

Zgadzam się, że takich sytuacji będzie coraz więcej. Proszę jednak zauważyć, jaka w dzisiejszych czasach jest świadomość społeczna nt. ochrony danych osobowych, a jaka była 10 lat temu. Obecnie nagłaśnia się tyle tego typu przypadków i każdy spotyka się z tym zjawiskiem prawie na każdym kroku (nawet kupując sprzęt AGD - jak niedawno w moim przypadku). Podsumowując - uważam, że świadomość społeczna jest na tyle duża, że od osoby która natyka się na takie informacje w sieci, nawet nie zabezpieczone, można by wymagać przynajmniej zastanowienia się nad legalnością ich kopiowania. O legalności udostępniania informacji świadczą coraz częściej okoliczności ich udostepniania.
Ale to moje zdanie i nie chcę rozpoczynać tutaj kolejnego wątku :)

Ja pozostaję przy swoim :) ...

Ja również :), a to dlatego że znaczenie pewnych słów jest bardzo często specyficzne w danej dziedzinie i czasami wręcz odmienne od powszechnie przyjętego. Swego czasu spotkałem się z określeniem w jakimś przepisie Rynku Głównego w Krakowie jako "teren zielony". :)

Podpieram się linkami - m.in. również z PWN:
http://sjp.pwn.pl/lista.php?co=autoryzacja
http://pl.wikipedia.org/wiki/Autoryzacja_(informatyka) - w tym przypadku "sprawdzane jest CZY dany podmiot (o ustalonej właśnie tożsamości) MA PRAWO DOSTĘPU do zasobów" :)

Firmy bardzo chętnie będą korzystać z takich absurdalnych sytuacji, szczególnie jeżeli zwolni je to z odpowiedzialności za bezpieczeństwo danych.

Proszę zauważyć, że firma w omawianym przypadku nie może wyłączyć swojej odpowiedzialności względem klientów poprzez znalezienie winnego - niezadowolony klient może, oczywiście po udowodnieniu powstania szkody, domagać się odszkodowania.

Dla mnie nie jest to dosć oczywiste, może głównie dlatego, że używam na co dzień własnego oprogramowania do automatycznego przetwarzania stron WWW i szukanie oraz sprawdzanie, czy to jest formularz logowania, czy może jakaś ankieta, zupełnie mi nie pasuje :)

Dotyka Pan trochę innego ciekawego problemu - przetwarzania automatycznego. Proszę zauważyć, że umieszczenie (zgodnie z Pana sugestiami z poprzednich postów) wyraźnego zastrzeżenia o dostępie do informacji, bynajmniej nie uprościłoby Panu pracy z tym narzędziem :)

Jeżeli sam formularz jest wystarczającym zabezpieczeniem z prawnego punktu widzenia (wyraża wolę dysponenta danych), to czy nie możnaby było po prostu zrobić statycznego linku "Zaloguj" pod formularzem, prowadzącego prosto do chronionych zasobów? Kolejny sposób na oszczędzenie podczas pisania serwisów WWW.

Oczywiście, że można. Ale taka forma nie stanowiłaby realnego zabezpieczenia informacji, a to jest zakładanym celem jej dysponenta. Wiadomo że nie ma zabezpieczeń nie do pokonania, ale nie można argumentować (a priori) że przyjęte zabezpieczenie jest trywialne i niewystarczające. Wg. wiedzy dysponenta informacji jest wystarczające, dopóki nie zostanie pokonane. Jeśli zostanie pokonane i on się o tym dowie, to można mu czynić zarzut niedbalstwa. Ale to wszystko oczywiście nie implikuje prawa do ingerencji z zewnątrz.

Nie ma definicji programu przystosowanego do popełnienia przestępstwa...

Zgadza się i dlatego właśnie w każdym indywidualnym przypadku należy okreslić kontekst i cel funkcjonowania przepisu :) Przywołany przez Pana debugger może służyć zarówno do pracy, jak i do popełnienia przestępstwa. Sąd ocenia w jakim kontekście i w jakim celu został użyty - jeśli w tym drugim przypadku, to nalezy go zakwalifikować jako "program przystosowany do popełnienia przestępstwa". Wydaje mi się że nie ma tutaj nic wyjątkowego - można przytoczyć cały szereg przykładów z życia wziętych, które dokładnie temu odpowiadają. Można przcież zabić człowieka długopisem, patelnią i samochodem - w takim kontekście będą one "narzędziem zbrodni", mimo że ich zasadnicza funkcja jest odmienna.
W tym wypadku biegły po prostu by się ośmieszył - proszę zauwazyć, że zawsze można powołać innego, aby zweryfikować wcześniejszą opinię.

Chyba mamy rzeczywiście różną wizję, tego co należy do cech zewnętrznych :) Dla mnie jest to wszystko do czego ma dostęp każdy użytkownik internetu, korzystający ze współczesnej przeglądarki lub innego programu i/lub wykorzystujący powszechnie używane dane do uwierzytelnienia jako użytkownik anonimowy (np. przy FTP) poza elementami określonymi wyraźnie w regulaminie danego serwisu, który został przez tego użytkownika zaakceptowany.

Fajna definicja, ale skąd wymóg istnienia regulaminu? Czy Pańskie oprogramowanie do automatycznego przetwarzania stron zrozumie regulamin? Czy nie bardziej jednoznaczne byłoby dla niego zweryfikowanie, czy w ramach napotkanego znacznika FORM istnieje znacznik INPUT typu "password"? :) Dla mnie istnienie takiego znaku (ale już w postaci wyrenderowanego interfejsu), jest jednoznaczne z powiedzeniem "nie jesteś zarejestrowany, to nie wchodź".

Pozdrawiam

art. 269b KK

Przywołany przez Pana debugger może służyć zarówno do pracy, jak i do popełnienia przestępstwa. Sąd ocenia w jakim kontekście i w jakim celu został użyty - jeśli w tym drugim przypadku, to nalezy go zakwalifikować jako "program przystosowany do popełnienia przestępstwa". Wydaje mi się że nie ma tutaj nic wyjątkowego - można przytoczyć cały szereg przykładów z życia wziętych, które dokładnie temu odpowiadają. Można przcież zabić człowieka długopisem, patelnią i samochodem - w takim kontekście będą one "narzędziem zbrodni", mimo że ich zasadnicza funkcja jest odmienna.

Obawiam się, że w tym miejscu kompletnie nie rozumie Pan, o czym Pan pisze. Paragraf 1 art. 269b KK, do którego odwoływał się Pański przedpiśca brzmi następująco:

Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 2, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a (...) podlega karze pozbawienia wolności do lat 3.

Jak widać przepis ten nie dotyczy programów komputerowych, które RZECZYWIŚCIE POSŁUŻYŁY DO POPEŁNIENIA PRZESTĘPSTWA, ale takich, które TEORETYCZNIE MOGĄ DO TEGO POSŁUŻYĆ. Karalne jest np. samo ściągnięcie takiego programu z sieci, nawet jeżeli użytkownik nie zdążył go w ogóle zainstalować.

Odwołując się do zaproponowanej przez Pana analogii, to trochę tak, jakby zakazać wytwarzania, pozyskiwania, zbywania lub udostępnia innym osobom długopisów, patelni i samochodów, ponieważ (jak sam Pan słusznie zauważył) są to narzędzia przystosowane do popełnienia przestępstwa określonego w art. 148 KK.

Zgadza się, ale moje

Zgadza się, ale moje wyjasnienia nie dotyczyły tego konkretnego przepisu ale interpretacji pojęcia jako takiego. Ponieważ ciągle obracamy się wokół interpretacji "przełamania", ten przykład miał posłużyć jedynie zobrazowaniu mojego podejścia do interpretacji z uwzględnieniem kontekstu, okoliczności itd.

Za dużo optymizmu

Jak Pan może zauważyć (http://sjp.pwn.pl/lista.php?co=prze%B3amanie) termin o którym rozmawiamy odnosi się co najmniej do kilku, kompletnie nie związanych ze sobą sfer.

Za normą PN-I-02000:2002

przełamanie zabezpieczenia - rezultat skutecznego ataku na system teleinformatyczny

Kolejny argument za uwolnieniem Polskich Norm.

Proszę zauważyć, że firma w omawianym przypadku nie może wyłączyć swojej odpowiedzialności względem klientów poprzez znalezienie winnego

Wystarczy przekonać klienta, że system był bezpieczny, no bo przecież hakier został skazany, to on uszkodził system. Większość klientów nie potrafi ocenić (ani znaleźć osoby, która rzetelnie oceni) czy w ogóle warto występować o odszkodowanie. Tylko dlaczego ja to piszę po raz trzeci :).

Nie ma potrzeby ujmowania ich w przepisie bo są oczywiste i wynikają z normalnej życiowej aktywności ludzkiej.

Niestety na podstawie dotychczasowego sposobu prowadzenia podobnych spraw (gdy ktoś posądził kogoś o rozpowszechnianie danych udostępnionych publicznie przez autora/dysponenta) muszę stwierdzić, że wymaganie istnienia zabezpieczenia w przepisie (tak jak to zasugerowano w decyzji ramowej) jest konieczne. Gdyby było to oczywiste, to wymieniony wcześniej bank powiedziałby "przepraszamy, to my zawiniliśmy", a usłyszeliśmy "to blogger uzyskał dostęp do informacji, my jesteśmy czyści". Jeszcze raz polecam przeczytanie mojej dyskusji w wątku Pierwszego kwietnia rząd przyjął projekt nowelizacji kodeksu karnego.

Proszę jednak zauważyć, jaka w dzisiejszych czasach jest świadomość społeczna nt. ochrony danych osobowych, a jaka była 10 lat temu.

Jest lepiej niż 10 lat temu, ale nie dość dobrze. No i mówimy o informacji w ogóle a nie tylko osobowych. Chodzi także o prawa autorskie, czy "prawa" do informacji (które pojawiają się znikąd, bo w nowela ochrania także informację nie będącą pod szczególną ochroną). Ktoś może sobie nie życzyć, aby osoby postronne miały dostęp do informacji, że jego ulubionym bohaterem książek A.A. Milnego jest Tygrys i będzie miał pełne prawo zgłosić popełnienie przestępstwa, jeżeli ktoś pobierze z jego serwera plik z taką informacją, nie wiem ile osób uzna to za informację wrażliwą (absurdalizacja celowa, ale może to być dowolna informacja). Do tego dochodzi też problem tego, że musiałbym się najpierw zapoznać z informacją, aby ocenić czy jest dla mnie przeznaczona (już sam dostęp do informacji będzie karalny po nowelizacji). Skuteczne zabezpieczenie niweluje ten problem (mam dostęp tylko do strony opisującej błąd 403).

Wydaje mi się że nie ma tutaj nic wyjątkowego - można przytoczyć cały szereg przykładów z życia wziętych, które dokładnie temu odpowiadają.

Jak już ktoś wcześniej napisał, nie ma przepisu który pozwalałby na skazanie za samo posiadanie długopisu czy patelni w zależności od tego co dziś jadł na śniadanie biegły.

Fajna definicja, ale skąd wymóg istnienia regulaminu?

Nie ma wymogu, jeżeli ktoś chce wprowadzić ograniczenia dodatkowe obok systemu informatycznego może przedstawić każdemu użytkownikowi do zaakceptowania regulamin, dla botów wystarczy robots.txt.

Czy Pańskie oprogramowanie do automatycznego przetwarzania stron zrozumie regulamin.

Moje oprogramowanie sygnalizuje wykrycie potencjalnych zakazów (po stemmingu wystarczy analiza wcześniej spisanych synonimów "zakaz", spisanych z różnych regulaminów, akurat analiza tekstów jest częścią funkcjonalności mojego bota), najczęściej jednak przed odpaleniem bota szukam w stopce strony linku "regulamin", "ToS" i sprawdzam ręcznie, czy bot nie naruszy regulaminu.

Czy nie bardziej jednoznaczne byłoby dla niego zweryfikowanie, czy w ramach napotkanego znacznika FORM istnieje znacznik INPUT typu "password"?

Mój bot nie używa formularzy (nie wysyła nawet zapytań typu POST), więc nie interesują mnie formularze. Natomiast kilka razy udało mu się zebrać informacje niedostępne linkiem bezpośrednim ze strony głównej (podejrzewam, że część "zabezpieczona" formularzem), głównie dlatego, że przeglądanie zaczyna od odpytania Yahoo (Google zabraniają automatycznego wykorzystywania ich wyszukiwarki). Ktoś mógłby się kłócić, że bot omija wyraźnie oznaczone zabezpieczenie.

Za normą

Za normą PN-I-02000:2002
przełamanie zabezpieczenia - rezultat skutecznego ataku na system teleinformatyczny

1. Z mojej wiedzy wynika że na gruncie kk posługiwac się należy znaczeniem potocznym
2. norma mówi o REZULTACIE, nie o CZYNNOŚCI przełamywania - a chyba raczej o tym rozmawiamy

Wystarczy przekonać klienta, że system był bezpieczny, no bo przecież hakier został skazany, to on uszkodził system. Większość klientów nie potrafi ocenić (ani znaleźć osoby, która rzetelnie oceni) czy w ogóle warto występować o odszkodowanie. Tylko dlaczego ja to piszę po raz trzeci :)

Jeśli uważa Pan temat za wyczerpany wystarczy zamknąć wątek :)
Zdaje się że przekonanie klienta nie wyłącza jednak odpowiedzialności na gruncie prawnym, a jedynie oddala skorzystanie przez klienta z ew. roszczeń.

Skorzystałem z linku i w pierwszym Pańskim poście czytam o dziwo:
"Przy jakichkolwiek zabezpieczeniach można się było jeszcze domyślić, że wyskakujące okienko z zapytaniem o hasło po kliknięciu linku oznacza "tylko dla uprawnionych""
Jak to się ma do Pańskich twierdzeń z tego wątku, że mechanizm logowania wcale nie oznacza tego samego?

Jest lepiej niż 10 lat temu...

Zgadzam się - dlatego też żadne kategoryczne stwierdzenie z mojej strony nie padło. Wydaje mi się poprostu, że można przeciętnemu uzytkownikowi Internetu postawić poprzeczkę nieco wyżej, z racji jego "obycia" z pewnymi tematami. Ale to temat na odrębną dykusję, której nie chciałbym tutaj rozpoczynać.

Jak już ktoś wcześniej napisał, nie ma przepisu który pozwalałby na skazanie za samo posiadanie długopisu czy patelni w zależności od tego co dziś jadł na śniadanie biegły.

Pisałem w innym kontekście, zajawiony kwestią interpretacji "przełamywania" - proszę nie odnosić tego do przepisu art. 269b KK. Wyjasniam to również w odpowiedzi dla Pig Star'a.

W kwestii Pańskiego bota wiemy już nieco więcej, ale nie zmienia to faktu, że w omawianym przypadku działał człowiek, zdolny do takiej samej oceny jak Pan - wspomagający swojego bota w analizie regulaminu. A sedno sprawy tkwi właśnie w ocenie i świadomości tego, czy można coś robić czy nie.

Przy jakichkolwiek

Przy jakichkolwiek zabezpieczeniach można się było jeszcze domyślić, że wyskakujące okienko z zapytaniem o hasło po kliknięciu linku oznacza "tylko dla uprawnionych"

Wypowiedź dotyczyła sytuacji dopuszczanej przez nowelizację (bo rozmawiamy obecnie o tym jak powinno być, a nie jak jest), w której nie ma nawet takich sygnałów pośrednich jak formularz logowania. Po drugie "można" od "trzeba" sporo się różni, a w przypadku prawa karnego nie można przyjąć norm społecznych jako rozszerzenia przepisu. Co więcej, osobiście uważam, że karanie za korzystanie z opublikowanego formularza (nawet nie wiem jak takie przekroczenie formalnie sformułować) byłoby kompletnie bez sensu. Także nic się nie zmieniło jeżeli chodzi o moją pozycję.

przeciętnemu uzytkownikowi Internetu

Obawiam się, że przeciętny użytkownik internetu po boomie n-k jest sporo poniżej opisywanego przez Pana poziomu. Mówi Pan obecnie o 20-30% (proporcje na podstawie mojego otoczenia) użytkowników internetu, którzy potrafią np. odróżnić sesję http od sesji https.

Zgadza się, ale moje wyjasnienia nie dotyczyły tego konkretnego przepisu ale interpretacji pojęcia jako takiego.

Moja wypowiedź dotyczyła konkretnych kroków podjętych przez prawodawcę, czyli w tym przypadku nowelizacji. O pojęciach możemy dyskutować tak długo aż VaGli się nie skończy miejsce na dysku, albo nas nie przegoni. :)

W kwestii Pańskiego bota wiemy już nieco więcej, ale nie zmienia to faktu, że w omawianym przypadku działał człowiek, zdolny do takiej samej oceny jak Pan

Niestety nie możemy się skupiać na jednym przypadku i rozmawiać o tym jak powinny wyglądać przepisy (za co powinno się karać, a za co nie) na podstawie tego jednego przypadku. Ja podejmuję swoje decyzje w oparciu o stan prawny i własne zasady. Co do stanu prawnego nie powinno być żadnych wątpliwości, a jeżeli ktoś sobie dodatkowo ograniczy działania swoimi zasadami to jego sprawa.

A sedno sprawy tkwi właśnie w ocenie i świadomości tego, czy można coś robić czy nie.

Jeżeli chodzi o określenie, czy można coś robić, czy nie, to właśnie po to jest prawo. Jeżeli chodzi o ocenę moralną, można co najwyżej powiedzieć "Ja bym tego nie zrobił", ale nie można mówić "Przecież to jest oczywiste wykroczenie przeciwko zasadom współżycia społecznego". Zasady społeczne różnią się i to bardziej niż się na pierwszy rzut oka wydaje. Ta sama czynność w jednym mieście w tej samej sytuacji może zostać odebrana jako uprzejmość, 300km dalej jako afront. Chociaż mój afront (ustąpienie miejsca w autobusie starszej osobie) nie był aż tak krytyczny (tzn. nie było wątpliwości, że nie naruszyłem żadnego przepisu).

Jeżeli dalsza dyskusja nie ma dotyczyć nowelizacji (ew. jeszcze obecnego stanu prawnego) w kwestii ochrony systemów informatycznych, to ja podziękuję :)

Wypowiedź dotyczyła

Wypowiedź dotyczyła sytuacji dopuszczanej przez nowelizację (bo rozmawiamy obecnie o tym jak powinno być, a nie jak jest), w której nie ma nawet takich sygnałów pośrednich jak formularz logowania.

Świadczy jednak o tym, że istnienie formularza jest sygnałem coś nam przekazującym.

Po drugie "można" od "trzeba" sporo się różni, a w przypadku prawa karnego nie można przyjąć norm społecznych jako rozszerzenia przepisu.

Prawo karne nie jest wolne od tego typu norm i sformułowań stricte ocennych. Choćby pojęcie znikomej szkodliwości społecznej, każe się do nich odwoływać i uwzględniać m.in. tzw. elementy podmiotowe, w tym motywy i cele działania sprawcy.

Pojawiają się również konstrukcje zupełnie abstrakcyjne, mające uzupełnić "braki systemowe" - taką konstrukcją jest "zawinienie na przedpolu czynu zabronionego". Racją jego funkcjonowania jest właśnie istnienie pewnych norm społecznych, które nakazują karanie mimo braku winy sprawcy, który "wyłączył" swoją świadomość np. alkoholem.

Co więcej, osobiście uważam, że karanie za korzystanie z opublikowanego formularza (nawet nie wiem jak takie przekroczenie formalnie sformułować) byłoby kompletnie bez sensu.

Moim zdaniem również byłoby bez sensu, pod warunkiem gdyby było przypadkowe, a wg. mnie wszystko wskazuje na to że nie było.

Także nic się nie zmieniło jeżeli chodzi o moją pozycję.

Nie zamierzałem Pańskiej pozycji podważać - próbuję po prostu przekopać temat możliwie szczegółowo, coby uzupełnić własne braki :) Może i chwytam się słówek nawiązując do czyjejś wypowiedzi, ale wyłącznie dlatego, żeby dojść do możliwie precyzyjnych wniosków, a niestety posługujemy się językiem, który ze swojej natury jest nieostry.

Obawiam się, że przeciętny użytkownik internetu po boomie n-k jest sporo poniżej opisywanego przez Pana poziomu. Mówi Pan obecnie o 20-30% (proporcje na podstawie mojego otoczenia) użytkowników internetu, którzy potrafią np. odróżnić sesję http od sesji https.

Tutaj się nie zgodzę - zdolność do rozpoznawania prostych znaków z otoczenia (w tym Internetu) posiada każdy przeciętny użytkownik i nawet on wie, że aby korzystać z pewnych funkcjonalności n-k trzeba być tam zarejestrowanym. Znajomość technicznych aspektów zagadnienia nie ma tu kompletnie znaczenia - po to istnieje graficzny interfejs użytkownika, żeby mógł się on porozumieć z maszyną za pomocą znanych sobie el. komunikacji - języka i znaków.

Niestety nie możemy się skupiać na jednym przypadku i rozmawiać o tym jak powinny wyglądać przepisy (za co powinno się karać, a za co nie) na podstawie tego jednego przypadku. Ja podejmuję swoje decyzje w oparciu o stan prawny i własne zasady. Co do stanu prawnego nie powinno być żadnych wątpliwości, a jeżeli ktoś sobie dodatkowo ograniczy działania swoimi zasadami to jego sprawa.

Jeżeli chodzi o określenie, czy można coś robić, czy nie, to właśnie po to jest prawo. Jeżeli chodzi o ocenę moralną, można co najwyżej powiedzieć "Ja bym tego nie zrobił", ale nie można mówić "Przecież to jest oczywiste wykroczenie przeciwko zasadom współżycia społecznego". Zasady społeczne różnią się i to bardziej niż się na pierwszy rzut oka wydaje.

Czy tego chcemy czy nie, nasz stan prawny zdeterminowany jest przez to w jakim kręgu kulturowym funkcjonujemy i to krąg kulturowy wyznacza system wartości podlegający ochronie na podstawie prawa. Zasady współżycia społecznego mimo że niedookreślone dadzą się wyprowadzić w kontekście okreslonej sytuacji - nie są moim osobistym wymysłem, ale wyznaczają cały porządek pozaprawny.

Jeżeli dalsza dyskusja nie ma dotyczyć nowelizacji (ew. jeszcze obecnego stanu prawnego) w kwestii ochrony systemów informatycznych, to ja podziękuję :)

Chętnie porozmawiam o nowelizacji, ale musimy mieć konkretny rzeczywisty problem do rozważenia - bez tego dyskusja pozostaje bezcelowa, bo trzeba się jednak odnieść do rzeczywistości. Skoro uważa Pan bieżący temat za wyczerpany, pozostaje mi również podziękować :)

wniosek do całej tej

wniosek do całej tej dyskusji:

Kochani prawnicy!
Zostawcie nas, programistów, nasze błędy i rynek w spokoju. Wszystko będzie się toczyło swoim życiem i dalej firmy które się szanują i liczą sobie za każde zlecenie będą dbały o audyt bezpieczeństwa, a firmy i ludzie, którzy robią wszystko po kosztach lub jeszcze taniej - będą pomijać wiele potencjalnych bezpieczeństwa. Klienci, którzy będą kupować najtańsze i najmniej dopracowane produkty będą zwiększać ryzyko swojego niepowodzenia. Zdolni będą szukać takie niedoróbki i wykorzystywać je, by zarobić na swój chleb. I wszystko będzie w największym porządku. Bez gmatwania i gmerania, czy nastąpiło złamanie, czy tylko ominięcie zabezpieczenia, albo czy treść była przeznaczona, czy też nieprzeznaczona dla odbiorcy :)

Pozdrawiam
mt3o

Zwracam uwagę, że sprawa

Zwracam uwagę, że sprawa wszczęta została z inicjatywy firmy z branży przeciw przedstawicielowi tejże branży.
Kto kogo powinien zatem zostawic w spokoju? :)

Jeżeli inżynier źle

Jeżeli inżynier źle zaprojektuje samochód, i kierowca przyciśnie pedał hamulca pod złym kątem (wbrew woli inżyniera;)) i spowoduje to przyśpieszenie zamiast zwolnienia, kto za to powinien odpowiedzieć? Wrolowany nabywca jakiegoś złomu? Niestety feralny kierowca wjechał w wystawę sklepową....

Oczywiście właściciel sklepu pierwsze co zrobi to wezwie policję w celu zatrzymania kierowcy.

Dlaczego ludzie odpowiedzialni za projekty hal zjadają zęby przy sprawdzaniu bezpieczeństwa? Bo tak nakazuje logika,

Świat IT jest bardziej wirtualny niż nam się zdaje....
Tu wszelka odpowiedzialność jest wręcz eteryczna :D

Kolejna analogia

bqb's picture

Zanim Pan to napisał, to wpadła mi do głowy podobna analogia, za którą to przepraszam, bo miało być bez:
Mechanik samochodowy widzi samochód, który ma pod tablicą rejestracyjną "serwisowany w ABC" z ciekawości zagląda do koła chwyta za jarzmo zacisku hamulcowego i widzi, że śruby zostały niedbale dokręcone, wobec czego może ktoś specjalnie odkręcić i to może być przyczyną wypadku. Dzwoni do firmy ABC i mówi, że w takim samochodzie kiepsko to jest zrobione i on może sam to naprawić. Na potwierdzenie tego wysyła kilka zdjęć. Odpowiadają OK, naprawimy, po miesiącu ten mechanik i auto są w tym samym miejscu, mechanik sprawdza, czy to zostało naprawione. Nie zostało, więc czeka na kierowcę i mówi - Panie, masz kiepsko zabezpieczone hamulce, ktoś może odkręcić śrubę ręką i tragedia gotowa, mogę to Panu zrobić za tyle.

Pan mechanik jest przestępcą, bo wytknął firmie i pokazał klientowi, że hamulce są niedbale zabezpieczone przed ingerencją.

Ja bym dziękował za takie coś i pytał mechanika za ile to zrobi.

Czy to jest ta sama sprawa?

Witam

Dzisiaj na wykopie:
http://www.wykop.pl/link/237061/jak-zostalem-hakerem

Niestety post na blogu został usunięty. Może pojawi się mirror.

Linki powiązane z wykopu:
http://tinyurl.com/kul83t
http://tinyurl.com/mfn9dt

Pozdrawiam

Z innej perspektywy

Witam,
Jeśli to nie problem chciałbym się dowiedzieć jakie przepisy obowiązują w poniższych przypadkach i czy mają zastosowanie w kwestii oprogramowania na dzień dzisiejszy (gdyż nie jestem zbyt biegły w tym temacie).

Czy jako klient(choćby potencjalny) mam prawo przetestować te funkcje które są w specyfikacji bądź zagwarantowane przez wymogi prawne to czy mogę jako klient sprawdzić czy produkt je spełnia? Czy są na to jakieś odpowiednie przepisy i czy mają zastosowanie do oprogramowania?
Więc jeśli serwis jakiś gwarantuje odporność na ataki DDOS wiec jako klient:

  • czy mam prawo przeprowadzić taki atak aby sprawdzić czy nie zostałem wprowadzony w błąd.
  • mogę zakładać, że taki test nie jest atakiem skoro dostawca gwarantuje, że nie zostanie wyrządzona szkoda.

Jak to się dzieje, że człowiek który znalazł coś nie jest karany za kradzież w przypadku kiedy zgłosił się ze zgubą. Dodatkowo: Można domagać się wypłaty tzw. znaleźnego - 10 proc. wartości rzeczy. Dlaczego więc ktoś kto znalazł lukę w zabezpieczeniach nie jest objęty tym przepisem?

Gdyż wynika z niego, że osoba znajdująca lukę ma prawo do znaleźnego (tu można zadać pytanie o wartość danych osobowych itp.).

Dodatkowo gdy jesteśmy dajmy na to aresztowani w sytuacji gdy mamy w ręku nóż to który przepis decyduje o tym, że jeśli na zawołanie policjanta odłożymy go to nie zostajemy oskarżeni o atak na policjanta? I tak samo czy może mieć to zastosowanie w przypadku oprogramowania.

Mam nadzieję, że zadawanie pytań odnośnie starszych tematów nie jest tu wielkim przestępstwem.

Pozdrawiam.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>