20:45
9/12/2013

Zaczynamy nowy cykl postów — Poniedziałki z Prawnikiem. Na pierwszy ogień idą pytania dotyczące wykonywania nieautoryzowanych testów penetracyjnych. Opinie na temat innych, powiązanych z bezpieczeństwem aspektów prawnych będziemy publikowali niebawem. Gdybyście Wy mieli jakieś pytania do prawnika — umieśćcie je w komentarzach, postaramy się zdobyć na nie odpowiedzi.

Na pytania odpowiada Jarosław Góra – prawnik, szef departamentu Nowych Technologii i IP w kancelarii Ślązak, Zapiór i Wspólnicy, autor ipbloga.

Nieautoryzowane wykonywanie testów penetracyjnych

Niebezpiecznik: Niektórzy z naszych czytelników, posiadający wiedzę dotyczącą bezpieczeństwa teleinformatycznego, korzystając z różnych serwisów internetowych, czasem nie mogą się oprzeć sprawdzeniu, czy nie są one podatne na ataki np. SQL injection. Czy takie testowanie jest dopuszczalne i zgodne z prawem?

Jarosław Góra: Tego rodzaju „testowanie” będzie dozwolone jedynie za zgodą właściciela takiego serwisu/systemu. W przeciwnym wypadku osoby dokonujące takiego „sprawdzenia”, narażają się na odpowiedzialność karną np. z tytułu art. 267 § 1 i 2 kodeksu karnego.

Samo odnalezienie podatności, bez przełamania zabezpieczeń lub uzyskania dostępu do systemu (o ile to w ogóle możliwe z technicznego punktu widzenia), nie będzie jeszcze niezgodne z prawem. Jednak jeśli „sprawdzanie” polega na próbach uzyskania dostępu do systemu lub przełamania zabezpieczeń, to odnalezienie podatności może już stanowić przestępstwo.

Warto pamiętać, że karalny jest już sam czyn, którego skutkiem jest uzyskanie bez uprawnienia dostępu do systemu informatycznego lub jego części, nawet bez złamania jakiegokolwiek zabezpieczenia.

Osobom, które chcą sprawdzać serwisy w zakresie ich podatności na ataki i nie narażać się na odpowiedzialność karną polecam całą masę serwisów stworzonych właśnie w takim celu.

Jeśli właściciel serwisu/systemu zleci wykonanie tego rodzaju testów, to uprawnienie sięga tak daleko, jak ustalą to strony umowy. Bez zgody właściciela uzyskanie dostępu do informacji, systemu może podlegać karze.

 
Jaki jest wymiar kary za wykonywanie takich testów?


Kodeks karny przewiduje za to przestępstwo karę grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2.

A co, jeśli mamy dobre intencje – tzn. znalezione błędy będziemy chcieli zgłosić autorowi?

Wtedy musimy liczyć, że ten się na nas nie pogniewa, podziękuje za nasz trud i nie zawiadomi policji o popełnionym przestępstwie. Tak jak pisałem wyżej, przestępstwem jest każde nieuprawnione uzyskanie dostępu, więc bez zgody właściciela nie powinno się prowadzić tego typu działań.

Trzeba dodać, że jest to przestępstwo ścigane na wniosek pokrzywdzonego, więc dopóki ten nie złoży wniosku o ściganie sprawa nie zostanie wszczęta.

Jarosław Góra

Jarosław Góra

Jarosław Góra, absolwent UJ, fascynat kwestii związanych z twórczością i nowymi technologiami. W pracy zawodowej rozwija specjalizację IP oraz zajmuje się prawem funkcjonującym w otaczającej nas cyberprzestrzeni i kwestiami związanymi z dowodami elektronicznymi i informatyką śledczą. Stara się burzyć utarty do przesady poważny i nudny obraz adwokata.

PS. Jeśli macie tematy związane z bezpieczeństwem IT i prawem, na które chcielibyście uzyskać odpowiedzi, zadajcie je w komentarzach. Spróbujemy zadać je w kolenych odcinkach cyklu Poniedziałki z Prawnikiem.


Przeczytaj także:



62 komentarzy

Dodaj komentarz
  1. A jak się ma sprawa z dostępem do miejsc, gdzie właściciel ciągle korzysta ze standardowego hasła? W sieci można znaleźć pełno routerów, które mają włączony zdalny dostęp do panelu administracyjnego, a użytkownicy nie zmienili domyślnego hasła. To samo z serwisami opartymi o jakieś CMSy. Teoretycznie można to porównać do otworzenia drzwi, kiedy ktoś zapomniał wyciągnąć klucza z zamka.

    • A jak przechodzisz obok jakiegoś domu i widzisz że drzwi są otwarte to od razu tam wchodzisz? :P Tak samo jest z tymi routerami i podobnymi rzeczami. Co nie twoje to nie ruszasz.

    • @Michalv8
      Logika tak podpowiada. Po przeczytaniu tego dość znanego wyroku, to nie jest takie oczywiste: http://prawo.vagla.pl/node/8154

    • włam to włam, nawet jeśli drzwi były otwarte. Na tym to polega. Włamałeś się gdzieś gdzie nie miałeś pozwolenia to twoja dupa należy do właściciela domeny. Artykuł tłumaczy to jasno, ja Ci tłumaczę krótko. Nie ma żadnych ale i wyjątków.

    • @atom:
      Nie masz racji. Przeczytaj uzasadnienie sędziego z vagla.pl (link podał Krzysiu i ja w innym komentarzu).
      Biorąc pod uwagę analogię z drzwiami: Chcesz wejść do banku przed godzinami jego otwarcia, bo po prostu pomyliły Ci się. Dzień wcześniej pracownik zapomniał zamknąć drzwi. Próbujesz otworzyć drzwi – otwierają się, wchodzisz, uruchamia się cichy alarm, rozglądasz się i widzisz, że nie ma pracowników – coś jest zdecydowanie nie tak. Jako praworządny człowiek dzwonisz na policję. Zanim wszystko się wyjaśni leżysz skuty kajdankami przez ochronę/policję. Pytanie za 100 pkt. – włamałeś się?

  2. Proponuję nawiązać do tych odpowiedzi zadając pytanie o korzystanie z owoców wykonywania niezamówionych testów przez innych. Jest wielu chętnych do zaglądania w różne miejsca typu pastebin ;) Może ich liczba zmaleje :)

  3. “Warto pamiętać, że karalny jest już sam czyn, którego skutkiem jest uzyskanie bez uprawnienia dostępu do systemu informatycznego lub jego części, nawet bez złamania jakiegokolwiek zabezpieczenia.”

    Czyli jak znajde plik “w głebokim ukryciu” zaindeksowany przez google to jestem hakzorem i ide do paki? (tak jak sytuacja z PZU czy tam PKO – przecierz temu kolesiowi wytoczyli sprawe – jak to sie skonczylo?)

    To jest paranoja.

    • Prawnik, jak to prawnik – odpowie tak, że wiesz mniej niż przed pytaniem. Jest już za to wyrok w sprawie niezamówionych testów z użyciem SQL Injection: cyt.: “Nie można przełamać czegoś, co nie istnieje” http://prawo.vagla.pl/node/8154

    • Przełamywanie zabezpieczeń to jedno (Art.167 par. 1), a uzyskanie nieuprawnionego dostępu do systemu to coś innego (Art. 167 par. 2).

    • Szybki edit: oczywiście w obu przypadkach chodziło mi o Art 267 KK, omsknięcie klawiaturowe…

    • @WronX
      Przeczytałeś uzasadnienie sędziego z artykułu na vagla.pl, który linkowałem?
      Cyt.: “Zatem nie będzie ponosiła odpowiedzialności karnej osoba, która uzyskała dostęp do chronionych informacji, ale nie przełamała jej zabezpieczenia”

    • Jarku, ale od tamtego wyroku zmieniło sie prawo… była nowela KK.

    • No, właśnie przydałoby się wiedzieć co można zrobić, żeby zmienić ten durny przepis. Przecież jak coś jest publicznie dostępne to jest publiczne i kropka.

    • O, dzięki Piotr, nie śledzę tych zagadnień za bieżąco – sprawdzę.

  4. Link do kancelarii jest błędny, chyba komuś zjadło http.

  5. “Warto pamiętać, że karalny jest już sam czyn, którego skutkiem jest uzyskanie bez uprawnienia dostępu do systemu informatycznego lub jego części, nawet bez złamania jakiegokolwiek zabezpieczenia.”

    Czyli generalnie moge sobie trzymac wszystkie panele, bazy danych i ogolne wszystko co jest zabezpieczone, pod jakims linkiem na stronie glownej, przy ktorym bedzie pisac, ze nieupowaznionym wstep wzbroniony? Teoretycznie kazde klikniecie w ten link bedzie przestepstwem! Wiec moge spokojnie zaufac ludziom, ze nie beda w niego klikali bo nie lamia prawa, a ja bede bezpieczny i nie musze sie meczyc z lataniem systemu! :)

    • “Zatem nie będzie ponosiła odpowiedzialności karnej osoba, która uzyskała dostęp do chronionych informacji, ale nie przełamała jej zabezpieczenia”
      Wyrok sądu

      “Warto pamiętać, że karalny jest już sam czyn, którego skutkiem jest uzyskanie bez uprawnienia dostępu do systemu informatycznego lub jego części, nawet bez złamania jakiegokolwiek zabezpieczenia.”
      Niebezpiecznik

    • Zawsze możesz ich pozywać do sądu, prawo akurat nie wnosi nic z bezpieczeństwa informatycznego poza tym że część osób będzie świadoma konsekwencji i nie kliknie w link

  6. Oczywiście, że jest możliwe odnalezienie podatności bez podpadania pod art. 267 par. 2 (czyli bez uzyskania dostępu). Ot, choćby szukanie i znajdowanie XSS. Albo sprawdzanie bannerów ssh i w ogóle sprawdzanie wersji softu w poszukiwaniu podatnych wersji.

    A miały być pytania… to się zapytam o skanowanie portów. Czy można je podciągnąć pod jakiś paragraf, zakładając że nie zakłócają pracy systemu (żeby nie podpaść pod art. 268 i 268a)? I idąc dalej tym tropem, czy można uznać za nielegalne sprawdzanie wersji ssh lub wersji aplikacji webowych? (mnie się wydaje, że nie, ale nie jestem prawnikiem).

    • Też jestem ciekaw jak nasze prawo patrzy na skanowanie.

    • Też jestem ciekaw. Bardzo dobre pytanie.

  7. zglaszanie bledow sie nie oplaca, osoby to robiace sa tepione a to przez adminow czy tez pracownikow admininistracji, slowa dziekuje nie zaznasz za co mozesz liczyc na przeszukanie mieszkania w asyscie policji i prokuratora, konfiskate sprzetu komputerowego, wszelich plyt i nosnikow danych , nawet mp3ki

  8. Fajnie, że będzie taki cykl :)
    PS zjadło “http://” przed adresem kancelarii.

  9. Co do tych niezamówionych testów. Uczciwy znalazca zgłosi to Adminowi a ten naśle Policję. A spryciarz zostawi backdora/wyciagnie bazę/whatever i zażąda okupu w BTC. Jak mawiał Sokrates: prawo to gęsta cienka sieć w którą wpadają płotki. Rekinom nie stanowi przeszkody.

  10. A jaka jest juryzdykcja sądów :
    w zakresie lokalizacji fizycznej serwera:
    – serwery w części znajdują się fizycznie pzoa granicami PL np sławne serwery www polskiego gov we francji na fizycznych serwerach ovh na które dokonano włamania

    w zakresie lokalizacji fizycznej ‘testującego’ który posiada obywatelstwo Polskie
    – test z poza granic fizycznych kraju np punkt dostepowy w Chinach czyli test wykonany poza granicami kraju ale czy juryzdyckcji sądów ?

  11. Mnie interesuje, jaka jest prawna droga ścigania włamywaczy z innych krajów? Jaka jest oficjalna droga (i co dalej się z tym dzieje) w przypadku nieautoryzowanego dostępu z serwerów np. z Pakistanu?

  12. Będąc pracownikiem jak i również adminem czy pracodawca ma prawo do “sledzenia” moich czynności (co robię, piszę, otwieram, etc) bez mojej wiedzy?
    Dodatkowo jeśli stworzę jakiś program do ułatwienia swojej pracy administracyjnej (skrypty, programy) które nie są zlecone przez pracodawcę (napisane na sprzęcie pracodawcy) to czy muszę przekazywać kod źródłowy czy podlegam już w jakimś stopniu pod prawa autorskie i należy mi się dodatkowe wynagrodzenia :)

    • “Będąc pracownikiem jak i również adminem czy pracodawca ma prawo do “sledzenia” moich czynności (co robię, piszę, otwieram, etc) bez mojej wiedzy?”
      Tylko za zgodą/lub wiedzą pracownika, można kontrolować komputer pracownika (np: teamviewer).

      ‘Śledzenie’ ma różne formy, i np śledzenie ruchu na ruterze nie podlega pod ‘zgodę’ (transparent-proxy), czytanie email, np też nie jeżeli jest to ‘firmowy serwer’ (wszak dane są tylko do pracy prawda?), i parę innych.

      Konkretnych paragrafów nie podam, ale pisze takie oprogramowanie w firmie, więc coś nie coś, wiem ;)

      “Dodatkowo jeśli stworzę jakiś program do ułatwienia swojej pracy administracyjnej (skrypty, programy) które nie są zlecone przez pracodawcę (napisane na sprzęcie pracodawcy) to czy muszę przekazywać kod źródłowy czy podlegam już w jakimś stopniu pod prawa autorskie i należy mi się dodatkowe wynagrodzenia :)”

      Jeżeli w pracy napiszesz kod ‘dla siebie’ to prawa autorskie oczywiście ci przysługują (nie można się zrzec całkowicie praw autorskich).

      Pracodawca może nałożyć karę (o ile jest to zawarte w umowie), lub ‘naganę’ (to pewnie jest – standardowo), że sprzęt jest tylko do ‘pracy’, to czy ktoś sobie napisze po godzinach czy jeszcze gorzej w godzinach pracy, i nie jest to część jego obowiązków może powodować kłopoty, tylko na linii – pracownik – pracodawca. Nie spotkałem się osobiście z takimi zapisami w prawie (ale być może jestem w błędzie).

      Co do ‘dodatkowego wynagrodzenia’ – jeżeli szef nie będzie jakoś smutny że nadużywasz czasu w pracy, i to co robisz ‘jest przydatne’/’przyspiesza prace’ – może być dobrą kartą w rozmowie o podwyżkę, wiele zależy od dyrekcji ;)

    • Koleżanka (z innej branży) miała podobny problem, usłyszała coś takiego:
      W miejcu pacy Pracownik > pracuje, czyli wykonuje czynności zlecone przez pracodawcę, więc każde działanie, które Pracownik wykonuje w miejscu pracy rozumie się jako wykonywanie obowiązków służbowych, a takie podlegają kontroli i weryfikacji przez Pracodawcę.
      Wszystkie pliki kazali Jej zostawić bo powiedzieli że były stworzone na firmowym sprzęcie, który został udostępniony w celu wykonywania obowiązków służbowych – pracy, której właścicielem jest Pracodawca.
      Dostała odprawę i się nie wykłócała, więc nie wiem czy tylko Ja nastraszyli, czy może mieli rację.

    • o ile kontrakt nie stanowi inaczej [ pracodawca jest wlascielem wszystkich praw autorskich do kazdego projektu / programu ] to z tego co mi wiadomo prawa autorskie przysluguja osobie ktora tego dokonala, i sorki ale walenie ze pisze na kompie sluzbowym to jest troche ze tak powiem z dupy, pracodawca ja strolowal a ona sie glupia zgodzila na to

  13. niezła propaganda niebezpiecznik; mniej “domorosłych” testerów, więcej zleceń dla Was :D

    P.S.
    dlaczego e-mail przy komentarzu jest wymagany?

    • Raczej mniej testerów w więzieniach, mniej problemów z szukaniem pracowników do naszego zespołu. Każdego testera z chęcią przyjmiemy. Zapraszam do podesłania CV i przykładowego raportu z testów (lub opisu 1 podatności).

  14. Jak wygląda temat podłączania się do otwartych sieci WiFi, które nie są zabezpieczone nawet hasłem? Mowa o sieciach niepublicznych, a raczej takich, gdzie ktoś ich nie zabezpieczył?

    Pozdrawiam

    • Nie jestem prawnikiem, ale nie tylko w PL jest to nielegalne. W UK poszli dalej i niezabezpieczenie własnej sieci jest przestępstwem. Blog Jarosława Góry pokazuje kilka przykładów konsekwencji udostepnienia niezabezpieczonej sieci http://www.ipblog.pl/2013/08/hotspot-otwarte-sieci-wi-fi-potencjalna-odpowiedzialnosc-wlasciciela/. Z lektury bloga wynika, że siec Wi-Fi musi być zabezpieczona przynajmniej hasłem, nawet jeśli w PL prawo jeszcze tego nie wymaga. Jak dla mnie nawet sieć dla gości warto zabezpieczyć choćby łatwym hasłem, bo inaczej zwyczajnie każdy będzie właził do sieci.

      Swoją droga istnieją usługi typu Fon czy Orange FunSpot. Opierają się one na udostępnieniu części swojego pasma innym userom zarejestrowanym w usłudze Fon lub – w przypadku FunSpotu – klientom Orange, ale bez dostępu do sieci lokalnej. Dostawcy tych usług zapewniają brak odpowiedzialności karnej za to, co zrobi korzystający z łącza, bo to nie jest dokładnie to samo, co niezabezpieczona sieć (żeby skorzystać trzeba najpierw zostać Fonero lub być klientem Orange).

  15. Chciałbym zapytać eksperta, jak wygląda status prawny sieci TOR?

  16. W nawiązaniu do nieautoryzowanych pentestów, pytanie niejako “od drugiej strony”. Jak wiadomo, mamy różne rodzaje danych – dane osobowe, tajemnice handlowe, informacje niejawne i tajne. Komu, na jakiej podstawie i w jaki sposób powinniśmy zgłaszać sytuacje, gdy te dane są łatwo dostępne – niezabezpieczone lub zabezpieczone w sposób umożliwiający łatwy dostęp?

    Z tego, co wiem, kwestie naruszenia ochrony danych osobowych zgłasza się do GIODO, naruszenie tajemnicy handlowej (np. kopie umów na rapidshare – widziałem już takie rzeczy) można zgłosić do dyrekcji/kierownictwa danej firmy, co w pozostałych przypadkach? I jakie zachowanie jest tym właściwym, poprawnym?

  17. Na bieżąco nie dam rady odpowiadać na liczne stawiane przez Was pytania (pojawiające się zarówno tutaj, jak i na FB), czas nie pozwala, ale obiecuję, że te pytania wciągniemy do następnych części, ok?
    pozdrawiam
    http://www.ipblog.pl

    • Panie Jacku, uwazam, ze zdecydowanie nie powinien Pan odpowiadac na pytania w komentarzach. Nie mam czasu sledzic, czy pojawil sie jakis nowy komentarz pod tym artykulem czy nie, a jesli odpowiedzi padna w kolejnych artykulach serii, to napewno tego nie przegapie. Mozna to by np. zrobic jako zbiorczy artykul z kilkoma pytaniami i odpowiedziami naraz.
      Pozdrawiam

  18. Bardzo fajny pomysł z takim cyklem. To ja od razu zapytam jak to jest z posiadaniem narzędzi do wykonywania zamówionych testów. Czy posiadanie takich programów jak sniffery, programy do mapowania sieci, programy do kraftowania pakietów programy do wykrywania podatności i skanery etc. jest w Polsce legalne?

    • Zgodnie z prawem jest nielegalne – “od zawsze”.

      PS. tak, wszyscy jesteśmy potencjalnymi przestępcami mając linuxa (tcpdump, nmap, etc etc.)

    • @BloodMan
      No ale firmy zajmujące się oficjalnymi pentestami musza posiadać taki soft. Być może można kupić soft, który pozwala jedynie sprawdzać podatności, ale np. nie pozwala wykraść danych i dzięki temu może być legalnie używany do pracy pentestera, który wykonuje zlecenie testu. Swoja drogą ciekaw jestem, czy oficjalni pentesterzy muzą mieć jakieś uprawnienia, zdać egzaminy i otrzymać certyfikaty (choćby potwierdzające znajomość systemów IT, z wiedzy w zakresie prawa) itp. pozwalające podpisać umowę na legalne pentesty.

    • Paweł Nyczaj: z tego co rozumiem kodeksy (prawnikiem nie jestem, może troszke bardziej się musiałem znać niż inni – i dlatego w ogóle o tym gadam); brak konkretnych zapisów – tylko ogólniki które można sobie dowolnie interpretować w zależnie od widzimisie sądu (czyli klasyka polskiego sądownictwa). Są przepisy o obrocie, wytwarzaniu, posiadaniu urządzeń służących do przełamywania zabezpieczeń fizycznych oraz inne o przełamywaniu zabezpieczeń teleinformatycznych [1] oraz związanych z piractwem (obchodzenie zabezpieczeń kopiowania[2] etc.).

      Ale ten klasyczny zapis (Art. 269b):
      “§ 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. [lista] a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.”

      …pozwala na zrobienie nam z dupska fajnych rzeczy (typu obraz JesieńŚredniowiecza albo hangar dla kopa-w-dupe-z-fajnej-pracy). Wystarczy że jakiś sędzina źle na nas spojrzy. Zresztą warto sobie spojrzeć na statystyke:

      http://statystyka.policja.pl/st/kodeks-karny/przestepstwa-przeciwko-14

      Jeden wyciek danych z odpowiedniego miejsca i możemy mieć 7 paragrafów. Mało tego, jeśli nie-daj-bozia jesteśmy adminem jakiegoś serwera i ktoś nam zrobił psikusa i znajdą u nas wspomniane “hakerskie” programy jak [1] i pare innych i jakiś radosny sądowy specjalista ekspert (taki co bierze 10k za ekspertyze, a im bardziej bzdurna tym lepiej) to mamy pozamiatane.
      Oczywiście że takie rzeczy sie nie dzieją (a może o tym po prostu nie wiemy) ale “odpowiednie mechanizmy” aby z prawie każdego zrobić przestępce są gotowe ;d

      [1] tcpdump, nmap, telnet, ncat, curl, snmp*, john, md5sum :)
      [2] dd, vi … ;d

  19. Dzień dobry,
    Mnie interesuje kwestia pobierania treści przez skrypt z innych stron. Sprawa wydaje się być jasna jeśli ktoś udostępnia RSS, ale co jeśli mój serwer pobiera stronę i ją parsuje? Czy dopóki nikomu nie wyświetlam treści objętych prawami autorskimi, to łamię prawo korzystając z ogólnie dostępnych treści?

    • Jeśli treści są ogólniedostępne – a kod strony jest – jest OK. Natomiast jeśli kod strony by był zabezpieczony (zaszyfrowany nawet poprzez jakiś crypt w javascript), to wg niektórych byłoby już obejście zabezpieczeń. Kiepskich jak barszcz, ale jednak.

  20. “Warto pamiętać, że karalny jest już sam czyn, którego skutkiem jest uzyskanie bez uprawnienia dostępu do systemu informatycznego lub jego części, nawet bez złamania jakiegokolwiek zabezpieczenia.”
    @Jarek Góra
    Zdefiniuj “uprawnienia dostępu”. Jeśli nie ma żadnych zabezpieczeń(nie chodzi mi o nieskuteczne, chodzi mi o jakiekolwiek), to system jest ogólnodostępny i o uprawnieniach dostępu (za wyjątkiem powszechnych i nieograniczonych) nie może być mowy.

    BTW. nie udzieliłem Ci uprawnień na dostęp do tego komentarza:)

  21. Pytanie:
    czy wyszukanie w google: backup rozmiar intitle:”index of” site:.pl, a potem kliknięcie w wynik jest już przestępstwem? A co jeśli kliknę i wybiorę google cache?

  22. “Warto pamiętać, że karalny jest już sam czyn, którego skutkiem jest uzyskanie bez uprawnienia dostępu do systemu informatycznego lub jego części, nawet bez złamania jakiegokolwiek zabezpieczenia.”
    Tiaaa :D
    Zaskarżcie amerykańską NSA … za niezamówione pentesty :)
    A tak na poważnie to mamy w polsce prawo oraz interpretacje do tego prawa czyli praktycznie panuje u nas podwójne prawodawstwo. Można je “interpretować” na różne sposoby w zależności od potrzeb. Posadzić za kratkami można każdego , wystarczy odpowiednio “zinterpretować” prawo … :D

  23. To ja mam pytanie a propo WI-FI, jak wygląda sprawa pod kątem karnym kiedy stawiam własny Access Point w oparciu o publiczny internet albo własny? (Atak man in the middle) i daje sobie możliwość zapisywania obrazów wyszukiwanych przez podłączonych? Oczywiście sieć nie zabezpieczona o nazwie np. “na własne ryzyko”.

    Oraz pochodne: czy stawianie AP stawianie dowolnego AP które przypadkiem podchodzi pod evil-twin jest złamaniem prawa w jakiejś kwestii?

  24. Czy istnieje przedawnienie takiego czynu?
    powiedzmy znalazlem blad. powiadomilem wlasciciela i ten sie ucieszyl. ale za 2 lata napisze donos i bedzie sprawa karna. czy istnieje jakis termin po ktorym po ujawnieniu moze to zrobic?

  25. “Warto pamiętać, że karalny jest już sam czyn, którego skutkiem jest uzyskanie bez uprawnienia dostępu do systemu informatycznego lub jego części, nawet bez złamania jakiegokolwiek zabezpieczenia. ”
    Tak sobie myślę… raz nie byłam uprawniona do części systemu, ale nic nie złamałam – dostałam admina przez przypadek/błąd ludzki/błąd w systemie.
    Więc…
    Czy przypadkowy błąd ze strony samego serwisu/obsługi serwisu i wykorzystanie dodatkowych możliwości przez usera (który nie zauważa, że to jakieś wyższe uprawnienia i uznaje to za jakiś feature) też się do tego zalicza?
    Ja błąd zgłosiłam, ale nieco przejrzałam panel najpierw – dzięki temu chociażby wiedziałam jaką rangę do konta miałam doklejoną, bo najpierw rzeczywiście myślałam, że dodali jakieś ficzery, że mogę sobie kolejność menu przestawić, lista userów jest publiczna etc… ale jednak opcje serwera i opcje przy tej liście userów wydały mi się podejrzane. Czy takie postępowanie też jest niezgodne z prawem?
    Zgłaszając, podałam żeby też sprawdzili innych userów – bo a nuż więcej osób dostało uprawnienia/ktoś się włamał rzeczywiście i rozdał adminy żeby namieszać etc. Jaka będzie odpowiedź do dwóch powyższych pytań w kontekście drugiej z tych sytuacji (jakaś osoba nieuprawniona dokleja randomom uprawnienia, by namieszać/zatrzeć, że sama coś kombinowała/etc.)?

  26. Bylibyście w stanie pokazać , jak wygląda przykładowy formularz o testy penetracyjne?

  27. A ktoś mi zabroni wybrać nazwę użytkownika ” apostrof średnik select gwiazdka from users średnik apostrof ” ? Albo takie hasło do konta?

  28. A ktoś mi zabroni wybrać nazwę użytkownika ” apostrof średnik select gwiazdka from users średnik apostrof ” ? Albo takie hasło do konta?

    P.S.
    W komentarzu nie mogłem użyć znaków średnika i apostrofu – wyskakiwał e404. Sorry panowie za nieautoryzowany pentest. Nie chciałem, na prawdę.

    • Niepoważne podejście do ‘wolności’. Zupełnie przekręcone.

      A ktoś ci zabroni sprawić sobie idealną replike broni i skierować ją w strone policjanta w geście przypominającym strzał? Nie zabroni. Ale jemu też nikt nie zabroni zastrzelenia cie ;)

    • @BloodMan
      A jak ty sobie teraz wyobrażasz “poważne podejście do wolności”?
      Jeśli coś nie jest zabronione, to jest dozwolone, czy na odwrót? Chyba na odwrót, skoro moje jest “przekręcone”. Czyli jeśli coś nie jest jednoznacznie dozwolone, to jest zabronione. Czyli szanowny userze, wybierz sobie nazwę z listy dozwolonych, hasło z listy dozwolonych jedynie słusznych, komentarz na niebezpieczniku – też z listy zaaprobowanych, w żadnym wypadku nie pisz samodzielnie. Czy tak?

      Replika kałacha będzie karabinem, replika noża nożem a replika dżinsów levi’sa dżinsami. Działającymi. A hasło jest wg ciebie repliką czego? Albo spójrz co napisałem w PS’ie. Pisałem komentarz, który pierwotnie zawierał znaki takie jak cudzysłów, apostrof… Wolno? Można? Karalne? Czy należy mnie z tego powodu zastrzelić? Musiałem te znaki zamienić na ich reprezentację słowną, bo post w pierwotnej formie powodował… no w każdym razie coś złego się działo. SKĄD MIAŁEM WIEDZIEĆ? Mimo najszczerszych chęci nie do przewidzenia, tym bardziej, że znaki te jak i użyte słowa kluczowe są słowami i znakami używanymi w mowie i piśmie codziennym (no akurat nie w naszym języku, ale póki co – wolno nam używac innych języków i kontaktować się z cudzoziemcami).

  29. […] Poniedziałki z Prawnikiem. Tydzień temu przedstawiliśmy opinię prawną dotyczącą wykonywania nieautoryzowanych testów penetracyjnych. Ponieważ mieliście wiele dodatkowych pytań, w tym tygodniu nasz prawnik, Jarosław Góra […]

  30. […] z prawnikiem“. W poprzednich odcinkach Jarek Góra udzielał porad związanych z nieautoryzowanym wykonywaniem testów penetracyjnych a następnie odpowiadał na wasze pytania. W tym tygodniu poruszamy temat tzw. […]

  31. […] na koniec, wszystkim wykonującym nieautoryzowane testy penetracyjne przypominamy o ryzyku z tym związanym. Jest wiele sposobów na to, aby robić to co się lubi legalnie i za pieniądze (np. nasz zespół […]

  32. […] nie zastosowaliście się do naszych rad — wykonywaliście niezamówione testy penetracyjne, a na dodatek po godzinach spamowaliście — do tego “wasz kolega” ściągał z […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: