bezpieczeństwo

Sąd Rejonowy w Głogowie VI Wydział Grodzki w dniu 11 sierpnia 2008 r. wydał ważny wyrok w sprawie mężczyzny oskarżonego o to, że używając komputerów nie będąc do tego uprawnionym, po przełamaniu elektronicznego zabezpieczenia, serwera pewnej firmy, uzyskał informacje - dane osobowe - dla niego nie przeznaczone, działając tym samym na szkodę tej firmy, a więc w sprawie oskarżonego o czyn z art. 267 §1 kodeksu karnego. Sąd wyrokiem (sygn. akt VI K 849/07) uniewinnił oskarżonego od zarzutu, nakazał zwrócić oskarżonemu dowody rzeczowe wymienione w wykazie dowodów, a na podstawie art. 632 pkt 2 KPK orzekł, że koszty procesu ma ponieść Skarb Państwa. Wyrok jest prawomocny. To bardzo ważne rozstrzygnięcie (sygnalizowałem, że opublikuję informację na ten temat przy tekście Pochwalił się internetowi, pochwali się wnukom), a dotyczy m.in. granic możliwości przeprowadzania "audytu bezpieczeństwa" serwisów internetowych, a także spraw związanych z tzw. SQL Injection.

Jak się kupi używany dysk twardy, całego laptopa, telefon z jakąś pamięcią (coraz częściej smartphone), albo aparat fotograficzny, a jeszcze lepiej cyfrową kamerę, to warto spędzić nad nowym nabytkiem nieco czasu, by sprawdzić jakie skarby skrywa w swojej pamięci. Zakupiony na eBay aparat okazał się zawierać w sobie zdjęcia osób podejrzewanych przez MI6 o terroryzm. Była tam też dokumentacja systemu wykorzystywanego przez agentów. Teraz Policja zastanawia się, jak taki aparat trafił na rynek. Chciałem napisać jakiś złośliwy komentarz na temat potrzeby zaostrzenia przepisów antyterrorystycznych, ale zrezygnowałem.

"W piątek sprawdzono serwery i komputery pracowników izb skarbowych w Gdańsku, Łodzi i Poznaniu. Tylko w Poznaniu nie znaleziono nielegalnych plików. Na serwerach w Gdańsku i Łodzi było w sumie pół terabajta nielegalnie sprowadzonego oprogramowania, filmów oraz muzyki"

Nie wdając się na razie w analizowanie sytuacji odnotuję włamanie do serwisu Antyweb, prowadzonego przez Grzegorza Marczaka (pozdrowienia dla Hazana). Poniżej nie będę analizował sytuacji, gdyż za chwilę, za kilka dni opublikuję informacje na temat pewnego postępowania, które będzie lepiej nadawało się do tego, by prowadzić dyskusje na podobne tematy (to będzie - jak uważam - naprawdę ważne doniesienie). Tu jedynie napiszę, że osoba, która - korzystając z luki w systemie zarządzania treścią WordPress - opublikowała w Antywebie notatkę, sama się następnie do tego przyznała w swoim blogu.

Prokuratura umorzyła postępowanie w sprawie nagrania, jakiego miał dokonać były minister sprawiedliwości Zbigniew Ziobro (por. m.in. Skryte nagrania w praktyce sprawowania władzy publicznej oraz Gdzie są media w sporach o technologię?). Powód umorzenia? "Brak danych dostatecznie uzasadniających podejrzenie przestępstwa", a to m.in. dlatego, że "nie udało się odnaleźć pliku dźwiękowego, zawierającego pierwotne nagranie rozmowy". Eksperci mieli wątpliwości dotyczące nawet tego, czy dostarczony dyktafon był tym urządzeniem, za pomocą którego dokonano nagrania. W ekspertyzach nie udało się zamieścić wniosków, "które ponad wszelką wątpliwość wykluczałyby jakiekolwiek próby modyfikacji nagranego pliku". I to jest właśnie przykład sytuacji, z którą muszą się zmierzyć osoby lansujące wszelkie "dowody cyfrowe".

W sąsiednim tekście pt. Pakiet telekomunikacyjny i okolice wczoraj w Parlamencie Europejskim obiecałem przywołanie komentarzy po wczorajszych głosowaniach w Brukseli. W grudniu zeszłego roku (jak ten czas leci) opublikowałem tekst Propozycja sporej nowelizacji dyrektyw "elektronicznych". Wypada podlinkować aktualne materiały źródłowe, gdyż wcześniej opublikowałem tylko oficjalne komunikaty. W Brukseli dzieje się polityka dotycząca "społeczeństwa informacyjnego". Ten, kto sprawniej potrafi umieścić w różnych raportach przeróżne propozycje poprawek, a potem jeszcze je przeforsować - istotnie wpływa na kształt tworzącego się na poziomie ponadkrajowym porządku. Są różne wektory sił, ale wydaje się, że społeczeństwo jest nieco oderwane od tego, co eurodeputowani, Komisja i rządy dla niego przygotowują w odległym centrum politycznym Europy. Wielu deputowanych również nie zdaje sobie sprawy na czym polega gra. A gra dotyczy m.in. ograniczenia prawa do prywatności internautów na rzecz lepszej ochrony własności intelektualnej.

Z tej okazji wypada odnotować nieco oficjalnych komunikatów na ten temat (w kolejnej odsłonie przyjdzie czas na komentarze). Sprawa jest skomplikowana. Zacznę może zatem od lakonicznego podsumowania przygotowanego przez służby prasowe Parlamentu Europejskiego: "Pakiet telekomunikacyjny: prawa użytkowników, uczciwa konkurencja i dywidenda cyfrowa. Parlament przyjął projekt dyrektyw i rozporządzenia stanowiących część pakietu telekomunikacyjnego, który ma poprawić pozycję użytkowników na rynku usług elektronicznych. Parlament proponuje, aby uwolnione w wyniku przejścia na cyfrowe nadawanie sygnału telewizyjnego częstotliwości radiowe zostały przeznaczone na rozwój nowych usług, takich jak szerokopasmowy dostęp do Internetu lub mobilna telewizja. Posłowie zmienili również zapisy dotyczące wspólnotowego regulatora rynku telekomunikacyjnego". Gdyby ktoś poprzestał na takim opisie - sporo by go ominęło. Wczoraj w Parlamencie Europejskim działo się wiele: ochrona prywatności użytkowników, poszanowania praw podstawowych, terroryzm, walka ze spamem, serwisy społecznościowe (i ochrona prywatności ich użytkowników), wspólna regulacja rynku, prawa osób niepełnosprawnych...

Ministerstwo Spraw Wewnętrznych i Administracji podjęło prace nad opracowaniem projektu ustawy o zmianie ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne. Projekt trafił do uzgodnień międzyresortowych (z datą 17 września na piśmie przewodnim), chociaż od kilku dni krążył w różnych środowiskach. W BIP MSWiA projektu jeszcze nie widzę. Szykują się zmiany: już nie "gwarantowanie" otwartości standardów, a ich "promowanie". Pojawiła się definicja "otwartego standardu" i "interoperacyjności". Szkoły wyższe i sądy będą musiały stosować ustawę? Zobaczymy. Pojawia się pojęcie "profil zaufania ePUAP", zobaczymy jak zadziała "bezpieczny podpis elektroniczny opatrzony ważnym kwalifikowanym certyfikatem". Wydaje się, że Plan informatyzacji będzie "kroczył", Rada Informatyzacji nie będzie "tłumaczyła" norm. Zmiany dotyczą również kodeksu postępowania administracyjnego (doręczenie pism), ustawy o podpisie elektronicznym (uchylenie art. 58 ust. 3) i kilku innych ustaw...

"Widziałeś nowelizację KK?" Jabber się zagotował po tym, jak telewizja i serwisy internetowe podały informację, że "sejm przyjął nowelizację karnego, która zabrania anime/hentai" - upraszczam. Sejm pracuje nad rządowym projektem ustawy o zmianie ustawy - Kodeks karny oraz niektórych innych ustaw. Pisałem o tym w tekście Pierwszego kwietnia rząd przyjął projekt nowelizacji kodeksu karnego. Potem sprawa trafiła do Sejmu (druk 458), przeszły trzy czytania i dziś rano było głosowanie nad "Sprawozdaniem Komisji o projekcie ustawy o zmianie ustawy - Kodeks karny oraz niektórych innych ustaw - trzecie czytanie". Efekt: "Głosowało - 425 Za - 425 Przeciw - 0 Wstrzymało się - 0 Nie głosowało - 35". Ustawa trafiła teraz do Senatu. Potem znów trafi do Sejmu i potem podpisze ją Prezydent RP. Nowelizacja nie dotyczy tylko "anime". Przedmiotem nowelizacji jest również przepis, w którym stypizowane jest przestępstwo nazywane w niektórych komentarzach "hackingiem" (chodzi o 267 KK), nowelizowany jest też osławiony art. 269b KK

Interesujące doniesienie dotyczące prywatności osoby publicznej, piastującej publiczny urząd i ubiegającej się o kolejny. Ktoś dostał się na "prywatno-publiczne" konto poczty elektronicznej p. Sary Palin (gubernator Alaski, kandydatki na wiceprezydenta USA z ramienia Republikanów). Treść listów pozyskanych w wyniku włamania dostępna jest w internecie (w rzeczywistości wykorzystano portalowy mechanizm przypominania o zapomnianym haśle). Jest afera, która umila Amerykanom (ale i całemu światu) przebieg kampanii wyborczej na urząd prezydenta USA. Znów dał o sobie znać ktoś ze społeczności (subkultury?) 4chan...