21:20
20/10/2014

W ramach dzisiejszej edycji cyklu Poniedziałek z Prawnikiem odpowiadamy na pytanie, które podesłał nam przedstawiciel jednej z serwerowni, która ma problem z “abuserem”. Serwerownia podejrzewa, że jej klient działa na szkodę innych internautów i zastanawia się na ile może sobie pozwolić w ramach prywatnego śledztwa…

BsxkUiJCMAEBNRk

Oto pełne pytanie z serwerowni:

Czy jako firma hostingowa możemy “dobrać się” do danych klienta VPS?

Technicznie oczywiście nie mamy z tym problemu, ale chodzi o aspekty prawne; czy sami z siebie możemy podejrzeć dane klienta, jeśli mamy podejrzenia, że osoba ta niezgodnie z naszym regulaminem zarządza serwerem tak, aby działać na szkodę innych klientów oraz naszej serwerowni?

Jeśli po przejrzeniu danych klienta zauważymy, iż rzeczywiście działał on na szkodę innych (uda nam się zebrać np. logi z ataków) chcielibyśmy zgłosić sprawę na prokuraturę. Czy możemy? Na co zwrócić uwagę?

A oto odpowiedź Mateusza Borkiewicza, aplikanta adwokackiego w Kancelarii Olesiński & Wspólnicy z kancelarii Olesiński i Wspólnicy:

W przypadku świadczenia usług hostingowych może się okazać, że przechowywane dane lub działalność klienta z nimi związana są bezprawne (dot. np. treści pedofilskich, pirackich utworów, złośliwego oprogramowania). Czy usługodawca ma prawo monitorowania takich danych, ich usunięcia, zabezpieczenia na potrzeby postępowania karnego? Przy rozważeniu możliwości ingerencji hostingodawcy w dane klienta należy przede wszystkim odwołać się do ustawy o świadczeniu usług drogą elektroniczną z dnia 18 lipca 2002 r. (Dz.U. z 2013 r. poz. 1422) [„ustawa”] oraz przeanalizować (ew. zmodyfikować) funkcjonujący w firmie regulamin hostingu (ww. ustawa nakłada bowiem obowiązek jego utworzenia).

W pierwszej kolejności trochę przewrotnie należy powołać przepis ustawy, z którego wprost wynika, że hostingodawca nie ma obowiązku monitorowania danych swoich klientów.

Art. 15 ustawy
Podmiot, który świadczy usługi (…), nie jest obowiązany do sprawdzania przekazywanych, przechowywanych lub udostępnianych przez niego danych (…).

Ustawodawca nie nakłada na hostingodawców ogólnego obowiązku kontrolowania (filtrowania/usuwania) informacji, które przechowują, ani tym bardziej obowiązku stałego poszukiwania faktów dokumentujących bezprawną działalność klientów. W praktyce mogłoby to bowiem prowadzić do powstania tzw. efektu chłodzenia (chilling effect), czyli ograniczenia możliwości przekazywania danych za pośrednictwem sieci – obciążenie dostawców nadmiernymi obowiązkami przy jednoczesnej daleko idącej ingerencji w „prywatną” sferę klientów, mogłoby stanowić hamulec rozwoju usług on-line.

Skąd zatem dla hostingodawcy może wynikać możliwość ingerencji w dane swoich klientów? Pomimo braku obowiązku monitorowania danych, art. 14 ustawy wskazuje jednocześnie, w jakich okolicznościach provider może ingerować w informacje klientów – w wypadku otrzymania „urzędowego zawiadomienia” lub uzyskania „wiarygodnej wiadomości” o bezprawnym charakterze danych lub związanej z nimi działalności. Co prawda głównym celem tego przepisu jest wyłączenie odpowiedzialności hostingodawcy za bezprawne rekordy klienta przechowywane na serwerze, natomiast jego dodatkową rolą jest właśnie kształtowanie procesu zwalczania niezgodnych z prawem działań/danych klientów.

Art. 14 ustawy
1. Nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych.
2. Usługodawca, który otrzymał urzędowe zawiadomienie o bezprawnym charakterze przechowywanych danych dostarczonych przez usługobiorcę i uniemożliwił dostęp do tych danych, nie ponosi odpowiedzialności względem tego usługobiorcy za szkodę powstałą w wyniku uniemożliwienia dostępu do tych danych.
3. Usługodawca, który uzyskał wiarygodną wiadomość o bezprawnym charakterze przechowywanych danych dostarczonych przez usługobiorcę i uniemożliwił dostęp do tych danych, nie odpowiada względem tego usługobiorcy za szkodę powstałą w wyniku uniemożliwienia dostępu do tych danych, jeżeli niezwłocznie zawiadomił usługobiorcę o zamiarze uniemożliwienia do nich dostępu.

Czy jednak zapisy ustawy są na tyle jednoznaczne, że w prosty i pełny sposób chronią przypadki ingerencji providera w dane klientów w każdym przypadku? Odpowiedź na to pytanie jest niestety negatywna.

Krótko należy wskazać, że przepis wskazuje na dwa rodzaje wyłączeń odpowiedzialności podmiotu świadczącego usługę hostingu: 

    – wyłączenie każdego rodzaju odpowiedzialności, m.in. na gruncie prawa cywilnego, prawa karnego, prawa administracyjnego (art. 14 ust. 1 ustawy);
    – wyłączenie odpowiedzialności kontraktowej wobec klienta za niewykonanie lub nienależyte wykonanie umowy hostingu, spowodowane koniecznością zablokowania przechowywanych danych (ingerencja w dane) (art. 14 ust. 2 i 3 ustawy).

W uproszczeniu – provider będzie ponosić odpowiedzialność za przechowywane dane, jeśli wie o ich bezprawnym charakterze/związanej z nimi działalności i godzi się na ich dalsze przechowywanie lub jeśli uniemożliwi dostęp do danych klienta bez uzasadnionej przyczyny. Swoją odpowiedzialność wyłącza jednak, gdy po otrzymaniu urzędowego zawiadomienia lub uzyskaniu wiarygodnej wiadomości niezwłocznie uniemożliwi dostęp do bezprawnych danych. Należy zwrócić uwagę, aby zarówno urzędowe zawiadomienie, jak i wiarygodna wiadomość ściśle wskazywały, które dane są bezprawne/z jakimi danymi jest związana niezgodna z prawem działalność klienta.

Ustawa nie jest jednak jednoznaczna i w przypadku ingerencji hostingodawcy w dane klienta może narażać go na odpowiedzialność odszkodowawczą. Zawiera bowiem określenia nieostre i w takim przypadku celowe może być szersze zabezpieczenie interesów hostingodawcy w regulaminie. Jakkolwiek bowiem rozumienie istoty urzędowego zawiadomienia nie powinno przysparzać problemów, tak termin „wiarygodna wiadomość” w praktyce może stwarzać trudności interpretacyjne. Pojęcie to nie zostało skonkretyzowane w ustawie. Co do zasady rozumie się przez nie subiektywne odczucia providera (uznanie przez niego wiadomości za wiarygodną) oraz wymóg aby „każdy rozsądny człowiek” doszedł do takiego samego wniosku. Nie dla każdego jednak dana wiadomość może być równie wiarygodna. Jest to nie tylko bowiem podejrzenie, lecz pewien stan bliższy pewności. Co istotne, nadawcą „wiarygodnej wiadomości” może być każdy – poszkodowany, osoba trzecia. Także sam provider może uzyskać „wiarygodną wiadomość” po prostu w toku wykonywanej działalności.

Skoro zatem „wiarygodna wiadomość” co do zasady może zostać uzyskana przez samego providera, aby wykluczyć pomyłki interpretacyjne i nie narażać się na odpowiedzialność związaną z ingerencją w dane klientów w przypadku samego „podejrzenia” bezprawnego działania, celowe może okazać się wprowadzenie do regulaminu zapisów, zgodnie z którymi hostingodawcy przysługiwałoby prawo do sprawdzania przechowywanych danych klientów w przypadku jakichkolwiek podejrzeń niezgodności z prawem (i/lub regulaminem) danych klienta lub działań z nimi związanymi.

Należy jednak zwrócić uwagę, aby przyznane uprawnienie do monitorowania danych nie stanowiło znacznej ingerencji w dane użytkownika – mogłoby to w istocie sprawić, że czynności providera wykroczą poza czysto techniczny charakter przechowywania danych i przestaną mieścić się w rozumieniu pojęcia hostingu przez sądy (charakteryzującego się co do zasady biernością i brakiem aktywnego decydowania o kształcie danych) i skutkować rozszerzeniem przypadków ponoszenia odpowiedzialności przez providera. Wydaje się jednak, że uprawnienie do monitorowania danych ex post – czyli już umieszczonych, nie zaś uprzednie decydowanie, czy określone dane mogą w ogóle zostać umieszczone na serwerze, nie stanowi ingerencji, która zaburzałaby istotę hostingu. Takie regulaminowe uprawnienie do sprawowania późniejszej kontroli umieszczonych już na serwerze informacji w przypadku jakichkolwiek podejrzeń, byłoby swego rodzaju rozszerzeniem obowiązku uniemożliwienia dostępu do danych wynikającego z postanowień art. 14 ustawy.

Przy modyfikacji postanowień regulaminu szczególną ostrożność należy jednak zachować w relacjach z konsumentami. Jakikolwiek zapis modyfikujących/zwiększających uprawnienia providera w takich przypadkach (ograniczanie uprawnień konsumentów) nie powinien być zbyt daleko idący, może bowiem skutkować uznaniem za abuzywny.

W kontekście powyższego, w przypadku powzięcia wiarygodnej wiadomości (od osób trzecich lub na skutek monitoringu danych przeprowadzonego zgodnie z regulaminem) o bezprawności danych/działań z nimi związanych i zablokowania dostępu do informacji celowe może okazać się także zawiadomienie organów ścigania.

Art. 304 ustawa z dnia 6 czerwca 1997 r. kodeks postępowania karnego (Dz.U. Nr 89, poz. 555) [„k.p.k.”]
§ 1. Każdy dowiedziawszy się o popełnieniu przestępstwa ściganego z urzędu ma społeczny obowiązek zawiadomić o tym prokuratora lub Policję (…).

Powyższy obowiązek nie jest co prawda zagrożony żadną sankcją (chyba, ze dotyczy przestępstw wskazanych wprost przez ustawodawcę, np. związanych z terroryzmem, zamachem stanu etc.), zawiadomienie organów ścigania może jednak wskazywać na podjęcie przez hostingodawcę szczególnej staranności celem zwalczania bezprawnych postaw swoich klientów. Ustawa nie przewiduje szczególnej formy, w jakiej ma zostać złożone zawiadomienie o przestępstwie Zawiadomienie może zostać złożone zarówno na policji, jak i w prokuraturze, tak w formie pisemnej, jak i ustnej do protokołu. Zawiadomienie może zostać złożone nawet anonimowo. Powinno ono jednak możliwie szczegółowo wskazywać bezprawny proceder użytkownika – dotyczyć konkretnych danych/działań klienta.

Niezależnie od powyższego, w przypadku braku zawiadomienia policji przez usługodawcę i przy jednoczesnym powzięciu informacji o bezprawności danych/działań klienta przez organy ścigania, one same mogą się zwrócić do hostingodawcy o udostępnienie danych/informacji dotyczących konkretnych naruszeń prawa.

Art. 15 k.p.k.
§ 3. Osoby prawne lub jednostki organizacyjne niemające osobowości prawnej inne niż określone w § 2, a także osoby fizyczne są obowiązane do udzielenia pomocy na wezwanie organów prowadzących postępowanie karne w zakresie i w terminie przez nie wyznaczonym, jeżeli bez tej pomocy przeprowadzenie czynności procesowej jest niemożliwe albo znacznie utrudnione.

Podsumowując, do rozważenia hostingodawców, głównie pod kątem biznesowym, pozostaje sprawa, czy rozszerzać swoje uprawnienia do monitorowania danych w regulaminie, a także czy np. wprost wprowadzić odpowiedni zapis o możliwości zawiadomienia odpowiednich służb przez providera w przypadku jakichkolwiek podejrzeń o bezprawnym działaniu/danych klienta. Kwestia monitorowania danych przez hostingodawcę podlega jedynie szczątkowej regulacji ustawowej i w tym kontekście pomocne może okazać się uregulowanie tej kwestii właśnie w regulaminie. Do uznania przez providera pozostaje kwestia, czy zainteresowany jest inicjowaniem i aktywnym uczestniczeniem w postępowania karnym, czy chce jedynie pozostać jego ew. biernym uczestnikiem.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

42 komentarzy

Dodaj komentarz
  1. Teraz weźmy np. klienta, któremu strona nie działa poprawnie bo ma coś skopane w kodzie strony (php czy cokolwiek innego). Trywialna poprawka mu ową stronę poprawi… ale czy wolno firmie hostingowej taką poprawkę wprowadzić bez zgody klienta?

    Pewnie jak zwykle… może wprowadzić ale musi się liczyć z odpowiedzialnością. Kto wie, może klient chciał mieć zepsute?

    • Boże chroń nas przed przyjaciółmi, z wrogami sami sobie poradzimy.

      Znalazłbym tłuczek i bym Cię zatłukł. Potem, jak tłuczek by się rozwalił, to waliłbym Cię trzonkiem. Jak trzonek by się rozwalił to waliłbym Cię Twoją własną nogą. Na koniec urwałbym Ci głowę i nasikał do szyi. Potem bym pozwał providera, a najlepiej zorganizowałbym pozew zbiorowy. A gdybym już wygrał, to w nocy bym obrzucał kamieniami szyby siedziby. Być może wtedy zrozumiesz jak bardzo się pomyliłeś.

    • Ty byś chciał, żeby ktoś Ci grzebał w kodzie?

    • Bez zgody nie wolno, ale za zgodą już tak :)

    • Żartujesz? Oczywiście, że nie wolno. Chyba, że określił to wyraźnie w regulaminie, ale kto wtedy chciałby cokolwiek hostować w takiej firmie ;>

    • Home.pl często zmienia nazwy plikom na serwerze. Przykładowo niektóre exe zamienili mi na exe_niebezpieczny czy coś w tym stylu bo jakiś ich filtr uznał pliki za niebezpieczne. Niektórzy użytkownicy mieli problem, bo pozmieniali (podobno bez ostrzeżenia) nazwę pliku wp-admin.php, przez co nie można było się zalogować do postawionego na serwerze WordPressa. Miałem też sytuację, że zablokowali pewien skrypt php w pliku .htaccess, bo generował zbyt duże obciążenie. Mimo wszystko nie jestem niezadowolony z oferowanego przez tę firmę hostingu.

  2. “Kodeks postępowania cywilnego [„k.p.k.”]”? ;-)

  3. NSA/Rosja interesuje kto i co robi wewnątrz sieci TOR.
    Sieć TOR ma więcej zastosowań, niż tylko proxy.

    • Przeglądarka mi zapamiętała ten post i przypadkiem mi się dodał.

      Zawsze myślałem że hostingi i provaiderzy muszą gromadzić logi.
      Uwielbiań te poniedziałki z prawnikiem, bo zawsze czegoś nowego dowiem się.

      Proszę o usunięcie obu postów, bo nie są na temat.

    • Ależ logi to zupełnie inna bajka. Poczytaj ustawę o prawie telekomunikacyjnym, konkretnie art 162 oraz 180a – wynika z tego że logi o połączeniach trzeba przechowywać do roku czasu. Swoją drogą, być może jest to dobry temat na następny poniedziałek z prawnikiem? Często tutaj pojawiają się różne wątpliwości.

      Niebezpieczniku: Czy operatorzy telekomunikacyjni muszą przechowywać logi i jak długo? Czy taki obowiązek spoczywa również na firmach prowadzących serwisy internetowe? Czy prywatna osoba prowadząca np bloga również musi przechowywać tego rodzaju logi?

    • adrb@

      ” (…) Niebezpieczniku: Czy operatorzy telekomunikacyjni muszą przechowywać logi i jak długo? Czy taki obowiązek spoczywa również na firmach prowadzących serwisy internetowe? Czy prywatna osoba prowadząca np bloga również musi przechowywać tego rodzaju logi? ”

      +1 za pomysł art. dot. przechowywania logów, praw i obowiązków ISP.

      A z tego co wiem to dawniej obowiązkiem było przechowywanie logów przez 2 lata, zapewnienie dostępu do serwera/logów odpowiednim służbom przez 24/7 oraz zapewnienie specjalnego pomieszczenia w którym to wcześniej wspomniany pracownik służb miałby do serwera/logów dostęp. A dodatkowo zezwolenie na posiadanie sieci komputerowej oraz zezwolenie na udostępnianie połączenia internetowego.
      Jak jest obecnie -nie wiem i również jestem ciekaw.

    • “zezwolenie na posiadanie sieci komputerowej” – cóż miałoby być przez to rozumiane? Jeśli ktoś ma jakiś router podłączony do ISP a za nim wewnętrzną sieć/sieci warstwy drugiej/podsieci IP, to potrzebuje zezwolenia? Jest mi znane, że dostawcy usług usiłują wtykać nos w to ile hostów odbiorcy prywatni mają w swoich sieciach i narzucać jakieś ograniczenia, ale “zezwolenie na posiadanie sieci” to dla mnie novum.

  4. W art. 15 to się ustawodawca nie przyłożył, bo wychodzi na to, że usuwając, zmieniając lub kopiując dane, już do ich sprawdzania będziemy zobowiązani. W każdym razie patrząc na ilość form przetwarzania o których mówi odo jest zdecydowanie większa, dlatego musielibyśmy przyjąć, że zwolnienie dostawcy obejmuje rzeczywiście tylko te trzy przypadki.
    Jak na razie wszyscy podchodzą do art. 15 zdroworozsądkowo, ale może się zdarzyć, że sąd go kiedyś przeczyta dokładnie i zastosuje się do litery…

  5. Co w przypadku, jak pracownik serwerowni pomyśli, że trzymam sobie jakieś pliki zakazane a ich obejrzeniu okaże się, że to nagie zdjęcia mojej żony? Gdzie tu moja prywatność?

    • > Gdzie tu moja prywatność?

      Trzymanie nagich fotografii żony na cudzym komputerze nie ma nic wspólnego z prywatnością.

    • Czym, w tym wypadku, różni się wynajęty hosting od wynajętego mieszkania?

  6. A czy proste zgłoszenie na policję podejrzenia o popełnieniu przestępstwa przez danego klienta nie wystarczy? Wtedy organy mogą zażądać dostępu do logów i VPS’a i to one przejmują na siebie całe śledztwo, a provider ma tylko zabezpieczyć materiał dowodowy.
    Choć z drugiej strony, zanim Oni zaczną działać, to może być już po ptakach!

    • chyba najlepszye wyjście z tej sytuacji (dla hostingodawcy) to podejrzenie –> zrzut VMa –> zawiadomienie organów. I materiał zabezpieczony i szczególna staranność dochowana i prywatność klienta nienaruszona, bo to organa se będą w obrazie tego VMa grzebać, jeśli uznają za stosowne.

    • ktru@

      A nie lepiej po cichu przejrzeć co koleś tam przechowuje, co tworzy i na czym polega problem z nim związany, a jak już wszystko będzie jasne to stworzenie odpowiedniej wiarygodnej wiadomości do usługodawcy (czyli do samego siebie)? Po otrzymaniu której ew. zawiadomienie organów ścigania / wyłączenie hostowanej treści / powiadomienie abususer’a o fakcie wyłączenia treści..

    • dawciobiel @

      zależy jak do sprawy podchodzić. samodzielne wgryzanie się w temat to dla hostingodawcy extra alokacja sił i środków. Przedstawiona powyżej propozycja zabezpiecza hostingodawcę przed konsekwencjami prawnymi – jak by co to jest czysty, bo : zauwazył, zabezpieczył materiał dowodowy , poinformował a z drugiej strony nie grzebał nikomu w prywatnych danych, co więcej nie podpada pod składanie fałszywych zeznań informując anonimowo sam siebie a następnie organa ścigania o anonimowym donosie. Jednocześnie nakład kosztów jet tez minimalny, a hostingodawca prowadzi przecież biznes i ma zarabiać . Oczywiście, podejscie sprawdza się jedynie w sytuacji, kiedy podejrzany nie działa wprost przeciwko hostingodawcy (jakkolwiek miał by to robić na VPS)

  7. Przewrotnie powiem, że… przecież kto im udowodni, że sprawdzili? Tylko nie zgłaszać do prokuratury (bo wtedy to już faktycznie trzeba być umocowanym prawnie), a normalnie bez żadnego powodu wypowiedzieć umowę o hosting, zasłonić się przeciążeniem infrastruktury – nikt nic im nie udowodni.

    Usługodawcy hostingowi zdecydowanie ZA RZADKO kontrolują swoich klientów i reagują dopiero jeśli ktoś przeciąża serwer i wyskakuje w okolicach maksimum zasobów. A powinno być tak, że jeśli ktoś w siedzi działa na szkodę kogokolwiek innego, to usługodawcy powinni z miejsca blokować konto i prosić najpierw właściciela o uporządkowanie sprawy (bo może ktoś mu się włamał), a jak nie zareaguje powiedzmy po miesiącu – wszystko do /dev/null/, wypowiedzenie jednostronne umowy o hosting i tyle.

    Oczywiście chodzi tu tylko o sytuacje szkodzenia innym – ataki z serwerów, używanie kont do DDoS, spam itp.

    Dodatkowo to samo powinno też być po stronie usługodawców oferujących dostęp do sieci. Teraz tak naprawdę z abuserami nie da się nic zrobić – użeram się choćby z gościem z Vectry. Wyposażony w jego IP-ki i logi uderzyłem do Vectry i co? Jajco. Maile abuse olewają (po co w ogóle podają?), a po kontakcie telefonicznym stwierdzili że nic nie będą robić bez zaangażowania policji.

    A jak się pójdzie na policję? To jeśli to nie jest wystarczająco gruba sprawa – też spuszczają do kanału. I co z tego, że przez działania gościa mam straty finansowe, bo musiałem choćby wzmocnić zasoby sprzętowe. W porywach jakbym dręczył policję to by może w końcu zadziałali i skończyłoby się znikomą szkodliwością, natomiast ja bym zmarnował na to ciężkie godziny.

    Za małe zaangażowanie usługodawców przeciw abuserom powoduje, że mamy śmietnik jaki mamy.

    • Popieram w całej rozciągłości.
      A co się dzieje jak się pójdzie na policje? Z reguły “sprawa umorzona z powodu braku możliwości ustalenia sprawcy”. Bo logi niby są, ale ich nie ma, lub są niekompletne, lub ktoś się komuś nagle włamał (ah te domowe wifi), albo “to nie ja – nie było mnie w domu” itd. itp. Porażka systemu.

    • BloodMan@

      ” A co się dzieje jak się pójdzie na policje? Z reguły “sprawa umorzona z powodu braku możliwości ustalenia sprawcy”. Bo logi niby są, ale ich nie ma, lub są niekompletne, lub ktoś się komuś nagle włamał (…) Porażka systemu. ”

      Dokładnie!! porażka systemu.
      (ah te domowe wifi), albo “to nie ja – nie było mnie w domu” itd. itp.
      Ja miałem lekko inny problem.
      Znajoma mi osoba podczas imprezy domowej zrobiła mi zdjęcie. Niby nic – tym bardziej, że zdjęcie jest w 100% poprawne społecznie i bez wygłupów. Potem to zdjęcie zostało umiesczone na jego koncie hostingowym przez co mógł on udostępniać linka do zdjęcia osobom przeze mnie niepowołanym. Sytuacja mi nie pasowała, więc zwróciłem się z prośbą do firmy hostingowej – OVH. Mówię im w mejlach tak:
      – wiem kto to zrobił,
      – znam właściciela konta hostingowego,
      – zdjęcie wykonane bez mojej zgody,
      – umieszczone bez mojej zgody
      – nie wyrażam zgody na “publikowanie” zdjęcia
      – chcę żeby zdjęcie zostało usunięte

      Oni mi na to, że nie wykonują czynności jeżeli nie toczy się w tej sprawie postępowanie i jeżeli nie otrzymają polecenia od policji/prokuratury to nic z tym nie zrobią.

      I to było na tyle mojej walki z nimi, bo powiem szczerze nie chce mi się lecieć na komisariat czy do prokuratury i zawracać sobie tym głowy. Mógłbym spróbować nawet wytoczyć proces z powództwa cywilnego, że bez mojej zgody (ble ble ble…) – tylko, że znaczki skarbowe kosztują (przypuszczam, że około 10-50zł) do tego podanie, czas i nerwy.

      Tak wygląda prawo w naszym kraju.

      A teraz wyobraźmy sobie, co by było, jeżeli osoba wynajmująca hosting nie mieszka w Polsce, tylko obecnie za granicą. Mogli by mu wtedy zrobić wielkie G.

  8. To ja postawie pytanie do tej serwerowni inaczej:
    A co jak przekopiecie wszystkie logi, przeczytacie prywatne informacje, maile itd… I nie znajdziecie nic ?
    Dobrowolnie pójdziecie do pierdla czy klient będzie musial was skarżyć ?

    • Chyba nikt normalny nie czyta cudzej korespondencji (nie przegląda plików) ot tak sobie po prostu. Zresztą komu by się chciało. Trzebaby być chorym psychicznie dewiantem – a tacy raczej nie pracują w serwerowniach (tzn. pracują, ale są kopnięci inaczej :D )…
      Więc jak (jeśli) przeglądają to na podstawie czegoś i z konkretnym zamiarem znalezienia w miare czegoś konkretnego. Jest tyle metod na przeglądanie danych bez ich czytania że hoho
      (typu grep).

  9. Pan mecenas zdecydowanie zapomniał o art. 267 KK

    Art. 267. Bezprawne uzyskanie informacji
    §1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie,
    podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
    § 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.
    § 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.
    § 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1-3 ujawnia innej osobie.
    § 5. Ściganie przestępstwa określonego w § 1-4 następuje na wniosek pokrzywdzonego.

  10. Oj, cienka jest granica, po przekroczeniu której będziemy mówili o ograniczeniu wolności.
    Można zwrócić uwagę oficjalnym pismem do tego konkretnego usera, podając za argument wykrytą aktywność na poziomie infrastruktury, jednoznacznie dając do zrozumienia “wiemy co robisz”. Albo się wycofa, albo składacie zawiadomienie o podejrzeniu popełnienia przestępstwa. Da się to rozwiązać bez własnych wewnętrznych śledztw i zgrywania jedynego prawilnego providera w okolicy.

  11. >Jeśli po przejrzeniu danych klienta zauważymy, iż rzeczywiście działał on na szkodę innych (uda nam się zebrać np. logi z ataków) chcielibyśmy zgłosić sprawę na prokuraturę.

    można zapytać czemu nie podano co to za provider? Przecież to żaden wstyd, powinno się premiować takie obywatelskie oddolne ruchy.

    • A chciałbyś się hostować w firmie, o której wiadomo, że z własnej inicjatywy zagląda klientom do VPS-ów?

    • nie no to oczywiscie troll był xD

      tak serio to się zastanawiam komu takie bzdury do głowy przychodzą, aby społeczniacko bez nakazów robić za szeryfa (vel T.W., konfidenta, MO czy jak zwał)

      …no i trochę liczyłem, że się pochwalą xD

  12. Nie wiem, co próbuje atakować “niesforny” klient.

    Jeśli są to systemy zewnętrzne, to sprawa chyba jest prosta – provider i tak ma obowiązek przechowywać logi połączeń w sieci (metadane). Jeśli z analizy logów wynika, że prowadzone są ataki (np. DOS), to zgłosić do organów ścigania, a one zażądają zabezpieczenia dowodów (o ile się je odpowiednio zmotywuje, żeby nie odłożyły sprawy ad acta).

    Jeśli atakuje systemy wewnętrzne hostingu (np. zarządania zasobami, klientami), to jeszcze łatwiej: zebrać logi z własnych systemów, zamknąć mu konto (chyba jest taki zapis w regulaminie?) i do organów.

    Jeśli atakuje “sąsiadów” w ramach hostingu, to nieco trudniej. Niekoniecznie może być obowiązek logowania ruchu w takich relacjach, może też nie być zapisu w regulaminie o możliwości monitorowania, więc może być trudniej uzyskać “dupochron” na analizę ruchu. Możnaby delikatnie zasugerować ofiarom ataków, żeby zgłosiły sprawę do organów. Na przykład w formie ogłoszenia, że firma obserwuje ataki na systemy takie a takie związane z podatnością taką a taką i oferuje pomoc zaatakowanym klientom. Tylko w ten sposób można odstraszyć “niesfornego” – może wysłać “przez pomyłkę” tylko wybranym klientom? :-P

    Jeśli prónuje jakichś lokalnych eksplojtów, albo zużywa nadmiernie zasoby, to już cyba tylko kwestia regulaminu, który ewentualnie mógłby zakazywać takich praktych pod groźbą zerwania umowy.

    • Aha, jest jeszcze jedna “taktyka”, której ostatnio padłem ofiarą z własnej winy – zamilczeć klienta.

      Eksperymentując na VPSie popełniłem błąd (najlepszemu może się głupi błąd zdarzyć) – niezbyt przemyślane parametry do netcata i ruch pooooooszedł… albo zatkałem kompletnie łącze albo jakiś IDS wypalił i kompletnie ucięło łączność. Nie mogłem się dostać ani do VPSa ani do strony zarządzania, żeby VPSa zrebootować albo co. Na dodatek był piątek wieczór :-)

      Napisałem gościom maila, opisałem, co zrobiłem, przyznając się do “winy”, przeprosiłem. Po weekendzie serwis wstał, odpisali mi, że niby sprawdzają co się stało… i dalej nic. VPS chodził. Nadszedł koniec miesiąca – płatność automatyczna za następny okres się zrobiła. Za kilka dni przychodzi email, że nie zapłacona faktura. Ręczna płatność też nie pomogła, dalej status, że nie zapłacone. Na tickety nie odpisują, po tygodniu automat zawiesił usługę. Do tej pory cisza. Mogę się zalogować na stronę zarządzania, ale dalej nic, tickety wiszą, faktura nie zapłacona, VPS zawieszony.

      Nie wiem, czy ich przez nieuwagę kompletnie wysłałem w kosmos, czy po prostu ignorują mnie. Czekam na pozew :-P

      Dane mam zbackupowane, więc większego problemu dla mnie nie było, musiałem tylko wszystko od nowa postawić gdzie indziej.

  13. czy poczta na interii przetwarzajac zalaczniki do permanent linkow postaci (https://ud.interia.pl/html/getattach,mid,,mpid,3,uid,?f=.jpg) dostepne nawet po skasowaniu poczty z zalacznikiem narusza jakies prawa?

  14. Przykład “pirackiego utworu”: http://www.youtube.com/watch?v=IBH4g_ua5es . Takie określenia podtrzymują obecne i powszechne niezrozumienie zagadnień prawnoautorskich. Na Latającego Potwora Spaghetti, skończmy ze zbiorczym określaniem mianem “piractwa” przestępstw prawnoautoskich i legalnego używania kultury.

  15. Jako specjalista, domorosły prawnik amator po jednym arktykule śmialo mogę śmiało powiedzieć co provider powinien zrobić w tej sytuacji:

    http://pl.memgenerator.pl/mem-image/skladam-wniosek-do-prokuratury-pl-ffffff

    z art. Art. 304

    A czy to faktycznie podpada czy nie, to juz provider nie wie bo nie moze ingerować w dane klienta bez wniosku prokuratury :-). (teraz juz tylko czekać na wsniosek prokuratury o dostarczenie materiału dowodowego).

  16. Jeśli chodzi o wspomniane na wstępie artykułu pirackie treści to zdecydowanie polecam obejrzenie “Kapitana Philipsa”.

  17. Przecież sami pisaliście, że przechowywanie pirackich utworów nie jest niezgodne z prawem. Z roku na rok coraz gorzej.

    • Pod tym “redakcja” ktoś się tam kryje, i najwidoczniej się troche zapędził aka nie sprecyzował…

      Ponieważ wyjątkiem jest oprogramowanie. A jak wiemy dla większości komercyjnego oprogramowania nie można tworzyć kopii w postaci plików – dozwolone jest jedynie sklonowanie nośnika. Poza tym cracki, keygeny etc. wg nomenklatury jest narzędziem do przełamywania zabezpieczeń – czyli pirackie. Więc… w sumie jest to jakiś typ pirackiego utworu…

    • “Pod tym “redakcja” ktoś się tam kryje, i najwidoczniej się troche zapędził, znany również jako (also known as) nie sprecyzował…”
      BloodMan, bądź łaskaw nie używać akronimów, których nie rozumiesz. No chyba, że ten skrót ma jeszcze jakieś inne znaczenie, jeśli tak to przepraszam.

  18. Dodajcie sobie do pliku css linijkę .postmeta span { word-wrap: break-word;} z uwagi na fakt że na stronie głównej tagi wyjeżdżają poza szerokość witryny w artykule “4 nowe i krytyczne dziury w Windows – jedna użyta przez szajkę Rosjan atakujących polskie firmy”

  19. Operator przechowuje logi przez 12 mcy. Niedawno to zmieniono a co do tego pokoju to bym dyskutowal :) już to widzę jak w tp jest tajny pokój odczytu logów

  20. To ja w takim razie mam inne pytanie:
    Na ile legalne jest scrapowanie stron internetowych korzystając z takich narzędzi jak selenium + tor, proxy dla zanonimizowania ruchu? Wiem, że nie jest to ładna praktyka, ale czasem wygodniej jest mi napisać skrypt który przeszuka kilka stronek kilkoma tysiącami zapytań rozłożonymi w czasie niż robić to ręcznie.

Odpowiadasz na komentarz whatever

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: