| Hacking, wardriving - ostrzejsze prawo? |
| 19 Maja 2007 |
 Do Sejmu wpłynął projekt zmian w Kodeksie Karnym, jeżeli wejdzie w życie prawo będzie mogło skuteczniej chronić użytkowników komputerów, a hackerzy i wardriverzy przestaną być bezkarni. Wreszcie z Ministerstwa Sprawiedliwości wypłynęły jakieś konkretne pomysły, a przepisy dotyczące nowych technologii ruszyły we właściwym kierunku. Polskie prawo może zacząć spełniać standardy, jakie już dawno obowiązują w UE.
Po tym jak policja zatrzymała osoby związane z napisy.org, wszystkie serwisy informacyjne się o tym rozpisywały. Padła też strona www Komendy Głównej Policji. Chyba dla każdego internauty oczywiste jest, że było to następstwo gigantycznej ilości wejść na policyjne strony (99% informacji o napisy.org odsyłało właśnie tam). Ale KGP swoje wie i podała, że był to... atak hakerów, wobec którego jednak pozostaje bezbronna, bo prawo nie reguluje ataków polegających na zablokowaniu serwera przez skierowanie na niego olbrzymiego ruchu (DoS). W każdym razie, krótko po tym jak KGP zaczęła żalić się mediom, a dziennikarze zaczęli pisać i mówić o zemście hackerów (w tej chwili właśnie słyszę w radiu wypowiedź rzecznika KGP), MSWiA ujawniła, że zmieni prawo. I faktycznie, po kilkunastominutowych poszukiwaniach (a strony MS do czytelnych nie należą), znalazłem stosowny projekt zmiany ustawy (w końcu istnieje w tym kraju jeszcze prawo dostępu do informacji publicznej). Zajrzałem do środka i porównałem z tym co jest teraz. Muszę przyznać, że wprowadzono kilka cennych zmian, które tak naprawdę już dawno powinny zostać wprowadzone. W tej chwili karalność „hackingu” określana jest na podstawie Art. 267 kodeksu karnego: Kodeks Karny, Art. 267. § 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym. § 3. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1 lub 2 ujawnia innej osobie. § 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego. Przepis ten pozwalał tylko na penalizacje czynu tylko w wypadku gdy hacker „przełamie zabezpieczenia elektroniczne”, np. złamie hasło do sieci metodą brute force. W rzeczywistości więc przepis nie karze samego uzyskania informacji, a jedynie sposób w jaki to uczyniono. Co więcej „przełamanie zabezpieczeń” musi realnie nastąpić, jeżeli uzyska się dostęp do sytemu wykorzystując lukę w oprogramowaniu, bądź wyłudzając hasło (stosując socjotechnikę, dostęp do informacji uzyskiwał m.in. Kevin Mitnick). Nie można mówić też o przełamaniu zabezpieczeń, gdy jest to tylko informacja, o ograniczeniu dostępu – zabezpieczenie musi być realne, np. hasło. Polskie prawo nie kara więc samego obejścia zabezpieczeń lub wejścia do systemu przez osobę nieuprawnioną. Jeżeli więc nielojalny pracownik wykorzystując znane mu hasła wejdzie do systemu i naruszając swoje kompetencje uzyska informacje dla niego nie przeznaczone, nie narusza on dyspozycji Art. 267. § 1. Taka sama sytuacja będzie miała miejsce jeżeli ktoś nie znając hasła „wyłudzi” je, a następnie wykorzysta. Co więcej artykuł ten mówi o „uzyskaniu informacji”, a hacker nie zawsze zamierza uzyskać informacje. zazwyczaj chodzi np. o sprawdzenie swoich umiejętności, bądź wyrządzenie szkody. Jeżeli więc zamiarem sprawcy (choćby ewentualnym) nie było zdobycie informacji, Art. 267. nie ma w tym wypadku zastosowania. Prof. dr hab. Andrzej Adamski już w 2000 roku pisał o tym, iż polskie prawo w tej materii jest dziurawe (patrz: Prawo Karne Komputerowe, W-wa 2000). Rok później, porównując ustawodawstwo polskie do projektu Konwencji Rady Europy zwrócił uwagę na fakt, iż przepisy KK nie odpowiadają standardom Europejskim: Istnieje potrzeba zmiany Kodeksu karnego i uzupełnienia art. 267 k.k. o przepis przewidujący odpowiedzialność karną za uzyskanie dostępu do systemu komputerowego przez osobę nieuprawnioną. Przepis ten mógłby przybrać następujące brzmienie: „Kto, nie będąc do tego uprawnionym, uzyskuje dostęp do zapisu informacji w systemie komputerowym, który jest zabezpieczony za pomocą hasła lub w inny szczególny sposób, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku”. Uwzględnienie tej propozycji byłoby równoznaczne z implementacją standardu normatywnego, jaki zawiera art. 2 projektu Konwencji RE do ustawodawstwa polskiego A. Adamski, Przestępczość w cyberprzestrzeni – Prawne środki przeciwdziałania zjawisku w Polsce na tle projektu konwencji Rady Europy, Toruń 2001, s. 23-24 Moim zdaniem, prof. Adamski zastosował tutaj ciekawą technikę. Użył zwrotu „zapis informacji”, co oznacza mniej więcej tyle, iż hacker nie musi zapoznać się z treścią samej informacji, wystarczy, iż miał taką możliwość. Niestety nie dysponuję informacją czy propozycja ta była brana pod uwagę jako możliwa do zastosowania, co jest możliwe. W końcu prof. Andrzej Adamski był przedstawicielem Ministerstwa Sprawiedliwości i w 2000 roku brał udział w pracach nad projektem wspomnianej konwencji, dlatego zastosowanie się do jego sugestii przez ustawodawcę byłoby jak najbardziej na miejscu. Niestety, żadne zmiany nie zostały wprowadzone. Mimo upływu kilku lat polskie prawo cały czas pozostaje daleko w tyle za standardami europejskimi. Dlatego też cieszy mnie, że coś się w tej materii ruszyło. Zaproponowana przez Ministerstwo Sprawiedliwości zmiana nadaje Art. 267 nowe brzmienie (nową jakość?): Projekt zmian w Kodeksie Karnym, Art. 267. § 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nie przeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. § 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem specjalnym. § 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1-3 ujawnia innej osobie. § 5. Ściganie przestępstwa określonego w § 1-4 następuje na wniosek pokrzywdzonego. Już na pierwszy rzut oka widać, iż dyspozycja w § 1. uległa znacznej przebudowie. Przede wszystkim ważne jest, że przewidziano także karalność omijania zabezpieczeń, co więcej ich katalog także został rozszerzony o zabezpieczenia informatyczne. Zmieniono także „uzyskanie informacji” na „uzyskanie dostępu do informacji”. O wiele bardziej znamienne jednak niż zmiana dyspozycji § 1 jest dodanie § 2, przewidującego penalizację samego uzyskania dostępu do sytemu lub jego części choćby nie wiązało się to w żaden sposób z dostępem do informacji. Przepis ten nie przewiduje nawet łamania zabezpieczeń. Ma to olbrzymie znaczenie przy karaniu tzw. wardrivingu czyli włączania się do niezabezpieczonej sieci bezprzewodowej. Nieodłącznie wiąże się to z podłączeniem do systemu komputerowego lub jego części w postaci punktu dostępowego. Niedawno pisałem, że jest to karane m.in. w Wielkiej Brytanii, teraz być może i Polska dołączy do wąskiego wciąż grona państw chroniących „mir sieci komputerowej”. Nie ukrywam, że zmiana taka jak najbardziej mnie satysfakcjonuje. Wreszcie polskie prawo zaczyna chronić użytkowników internetu. Do tej pory ochronie podlegali tylko ci, który swe komputery, sieci wi-fi, zabezpieczyli. W związku z tym część użytkowników była pokrzywdzona, nikt nie ma przecież obowiązku zamykania drzwi do mieszkania czy samochodu. Natomiast co do wspomnianych ataków DoS (polegających na utrudnieniu dostępu do sytemu, przez obciążenie go znaczną ilością zapytań, np. wejść na stronę www), ich penalizacja ma być karana dzięki zmianie dyspozycji Art. 269: Projekt zmian w Kodeksie Karnym, Art. 269a. Kto nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. Prawdę powiedziawszy, aż dziw bierze, że zmiany te zaproponowało ministerstwo kierowane przez pana Z. Nie wiem jednak jak z resztą projektu (podobno jest ostro krytykowana, przez środowiska akademickie), ale część omawiająca prawo nowych technologii idzie naprawdę w dobrym kierunku (do dobrych rozwiązań jej jeszcze sporo brakuje). |
Powiązane: |
|---|
Komentarze
co za kraj, tworzyc prawo i przepisy w obliczu faktow ktore nie istnieja!? chyba ze moze tylko w pingwinarium.pl zostalo to tak niudolnie przedstawione.
\\\"W związku z tym część użytkowników była pokrzywdzona, nikt nie ma przecież obowiązku zamykania drzwi do mieszkania czy samochodu\\\" jesli nikt takiego obowiazku nie ma to dlaczego wszystkie auta na parkingu sa pozamykane podobnie jak mieszkania w bloku skoro NIE MA PRZECIEŻ OBOWIĄZKU ZAMYKANIA DRZWI DO MIESZKANIA CZY SAMOCHODU. to, dlaczego wszyscy zamykaja???
Coraz czesciej odnosze wrazenie ze pingwinarium.pl to doszukiwanie sie propozycji prawa dla totalnego idioty ktory pojecie nie ma o niczym, natomiast -prawo nowych technologii v.0.5.1- chroniloby z kazdej strony takie bezradne ciele, zamiast najporsciej w swiecie uswiadomic w pewnych realiach i zaleznosciach.
jesli wlasciciel mieszkania czy auta mimo braku obowiazku zamykania drzwi jednak skutecznie i systematycznie tego dokonoje, to nie robmy z uzytkownika komputera osoby niepelnosprawnej umyslowo, pewne fakty wynikaja poprostu z logiki i konsekwencji.
Ktoz to taki tak strasznie krzywdzi tych biednych uzytkownikow? bo najbardziej to wydaje mi sie ze oni sami siebie krzywdza swoim brakiem wiedzy. moze poprostu wypadaloby zrobic cos w formie obowiazkowego komputerowego prawa jazdy internetowego. dzisiaj zeby moc poruszac sie autem po drogach publicznych trzeba wczesniej nabyc okreslone ustawowo uprawnienia, zdobyc wiedze umniejetnosci. moze w przypadku nabywania stalego dostepu do internetu tez wypadaloby wykazac sie jakas elementarna wiedza nie tylko z tego jakie korzysci daje uzytkownikowi internet, ale jakie niesie ze soba potencjalne zagrozenia. wyraznie okreslic jakie prawa chronia dana osobe a w obliczu jakich praw latwo jest dokonac czynu zabronionego prawnie.
pingwinarium.pl/.../...
Kanał RSS z komentarzami do tego postu.