przestępczość

Jeden z czytelników Dziennika Internautów zainteresował redakcję problemem "pirackiego oprogramowania" działającego w Ministerstwie Finansów, a ściślej rzecz ujmując - chodzi o zamieszanie, które pojawiło się, gdy jeden z użytkowników Systemu Zarządzania Budżetami Jednostek Samorządu Terytorialnego BeSTi@ próbował pobrać dokumentację wyjścia wejścia. W komentarzu umieszczonym w pliku XML odkrył on "ślad" wykorzystania oprogramowania do edycji plików XML z małym dodatkiem wskazującym na serwis warezowy. Ministerstwo zapytane przez redakcje odpowiedziało, że "niezwłocznie podjęto odpowiednie działania w celu wyjaśnienia zaistniałej sytuacji i wystosowano pismo do Wykonawcy z prośbą o bardzo pilne zajęcie stanowiska w przedmiotowej sprawie". Nie jestem pewny, czy chodzi tu o budowę systemu. Tu chodzi raczej o wykorzystanie narzędzia - edytora plików XML za pomocą ktoś przygotowywał pliki dla potrzeb Systemu.

W prasie pojawiło się, albo zaraz się pojawi kilka tekstów, które mają za zadanie promować ideę "dowodów cyfrowych". Wiadomo, że chodzi o rynek i o klientów. Dziennikarze oczywiście nie będą pisali tekstów reklamowych, a jedynie podchwycą temat. Tak mi się wydaje. Do tego jeszcze kilka konferencji i cel zostanie osiągnięty. To zagadnienie - jak większość mu podobnych - ma więcej niż jedną stronę. Z jednej: każde wątpliwości należy interpretować na korzyść ewentualnego oskarżonego, z drugiej: organy ścigania potrzebują narzędzi do skutecznego ścigania przestępców. Na razie mało kto zastanawia się, czy system prawny, zwłaszcza prawnokarny, w sposób poprawny zdefiniował czyny karalne w cyber-świecie. Być może kiedyś ktoś uzna, że nie ma czegoś takiego jak przestępstwa przeciw informacjom, ktoś powie może kiedyś, że nie ma "kradzieży tajemnic", a skoro informacja wycieka prawie jak woda (przeciśnie się najmniejszymi szczelinami i zgodnie z siłą ciążenia), to próby penalizowania pewnych działań są wbrew obserwowanym stosunkom społecznym. Może ktoś tak powie. Na razie walczymy o cyfrowe dowody.

Jeden z czytelników serwisu domaga się ochrony prawnej związanej z działaniem "Serwisu towarzyskiego", prowadzonego przez Polską Telefonię Cyfrową sp. z o.o. Temat jest interesujący z wielu powodów. Po pierwsze są w tej sprawie stanowiska zarówno Prezes Urzędu Komunikacji Elektronicznej jak również Krajowej Rady Radiofonii i Telewizji. Po wtóre - zagadnienie związane jest z możliwością publikowania treści w sposób anonimowy i z ponoszeniem odpowiedzialności za takie treści (por. m.in. Niemożność wskazania sprawcy przed Europejskim Trybunałem Praw Człowieka, ale też dział phishing). Wreszcie - chodzi o usługi o premium rate services (por. dział PRS).

W Wielkiej Brytanii "istnieje potrzeba" stworzenia centralnej bazy danych zawierającej informacje o wszystkich wysłanych listach elektronicznych, informacje o wszystkich odwiedzonych przez obywateli stronach internetowych, o każdym połączeniu telefonicznym... Władze pracują nad nowym projektem, który opinia publiczna zaczęła nazywać "Orwellian". Proponując nową ustawę władze twierdzą, że jest ona konieczna ze względu na implementacje przepisów dyrektywy 2006/24/WE, tj. Dyrektywy Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniająca dyrektywę 2002/58/WE.

Ministerstwa Spraw Wewnętrznych i Administracji - m.in. za pośrednictwem mediów - zapowiada, że przed zwiększeniem uprawnień Policji należy przeprowadzić wielką debatę na temat tych zagadnień. A chodzi o projekt nowelizacji ustawy o Policji (wraz z uzasadnieniem - 79 stron), który przewiduje szersze stosowanie technik operacyjnych (m.in. - kolokwialnie mówiąc - podsłuchów, ale też prowokacji w szerszym niż do tej pory zakresie). W samym uzasadnieniu napisano, że "projekt zostanie poddany dyskusji na forach internetowych". Zachęcam do takiej debaty i do komentarzy (oczywiście wcześniej należy przeczytać projekt; proponuję również sięgnięcie do materiałów zebranych w dziale retencja danych niniejszego serwisu).

DarkMarket.ws to serwis, który wykorzystywany był do kontaktów pomiędzy osobami sprzedającymi i kupującymi różne dane klientów banków, instytucji finansowych, firm telekomunikacyjnych. Hasła, kody dostępów, numery kart kredytowych, kompletne rekordy pozwalające na dokonywanie przeróżnych przesunięć finansowych "na cudzy rachunek". Na wielu konferencjach dot. bezpieczeństwa informacji serwis ten był pokazywany jako siedlisko wszelkiego zła i straszono nim bankowców, bezpieczników i polityków. No i cóż się okazuje? DarkMarket.ws był założony przez FBI. To nie powinno dziwić. Zastanawiam się jednak nad coraz wyraźniej widocznymi relacjami między "stróżami prawa" a pracownikami przedsiębiorstw o "specjalnym znaczeniu strategicznym".

To już było: Autopornografia dziecięca (2004 rok). Teraz zaś mamy kolejny przypadek: w USA piętnastolatka przesłała do swoich kolegów swoje roznegliżowane zdjęcia. W związku z tym może zostać uznana za przestępcę na tle seksualnym i zostać wpisana do specjalnego rejestru.

Gdy już nowelizacja Kodeksu karnego, nad którą teraz pracuje Senat, zostanie przyjęta i przesłana do Prezydenta, to wówczas Prezydent RP ma możliwość przesłania takiej ustawy do Trybunału Konstytucyjnego. Mam na myśli te, nowelizowane właśnie przepisy, które dotyczą tzw. "hackingu", ale nie tylko tego (por. Tak, tak, nowelizują kodeks karny... wizerunki małoletnich, hacking, 269b...). Warto może uruchomić burzę mózgów na temat argumentów, które przekonywałyby Pana Prezydenta do przesłania takiego projektu do oceny z wzorcami konstytucyjnymi przyjętych przez Parlament przepisów.

Przypuszczam, że również w kontekście ostatniego tekstu, tj. "Nie można przełamać czegoś, co nie istnieje" - polski wyrok w sprawie SQL Injection, można analizować doniesienie o "wycieku" danych około 17 milionów klientów Deutsche Telekom. Cały czas aktualne jest pytanie o odpowiedzialność twórcy informatycznego systemu za bezpieczeństwo przechowywanych danych. Podobno operator miał poinformować, że "od czasu wykrycia kradzieży znacznie wzmocnił ochronę danych" (więc być może właśnie wcześniejsza słabość systemu była powodem, dla którego dane trafiły do "domeny publicznej"?). Zwracam uwagę, że komunikaty posługują się określeniem "kradzież", chociaż nie wiemy jak dane klientów wydostały się spod "opieki" przedsiębiorstwa...

Sąd Rejonowy w Głogowie VI Wydział Grodzki w dniu 11 sierpnia 2008 r. wydał ważny wyrok w sprawie mężczyzny oskarżonego o to, że używając komputerów nie będąc do tego uprawnionym, po przełamaniu elektronicznego zabezpieczenia, serwera pewnej firmy, uzyskał informacje - dane osobowe - dla niego nie przeznaczone, działając tym samym na szkodę tej firmy, a więc w sprawie oskarżonego o czyn z art. 267 §1 kodeksu karnego. Sąd wyrokiem (sygn. akt VI K 849/07) uniewinnił oskarżonego od zarzutu, nakazał zwrócić oskarżonemu dowody rzeczowe wymienione w wykazie dowodów, a na podstawie art. 632 pkt 2 KPK orzekł, że koszty procesu ma ponieść Skarb Państwa. Wyrok jest prawomocny. To bardzo ważne rozstrzygnięcie (sygnalizowałem, że opublikuję informację na ten temat przy tekście Pochwalił się internetowi, pochwali się wnukom), a dotyczy m.in. granic możliwości przeprowadzania "audytu bezpieczeństwa" serwisów internetowych, a także spraw związanych z tzw. SQL Injection.