20:04
16/12/2013

Witamy w drugim odcinku z cyklu Poniedziałki z Prawnikiem. Tydzień temu przedstawiliśmy opinię prawną dotyczącą wykonywania nieautoryzowanych testów penetracyjnych. Ponieważ mieliście wiele dodatkowych pytań, w tym tygodniu nasz prawnik, Jarosław Góra odpowiada właśnie na nie.

@narm A jak się ma sprawa z dostępem do miejsc, gdzie właściciel ciągle korzysta ze standardowego hasła? W sieci można znaleźć pełno routerów, które mają włączony zdalny dostęp do panelu administracyjnego, a użytkownicy nie zmienili domyślnego hasła. To samo z serwisami opartymi o jakieś CMSy. Teoretycznie można to porównać do otworzenia drzwi, kiedy ktoś zapomniał wyciągnąć klucza z zamka.

Jarosław Góra: Pozostawienie otwartych drzwi, albo nawet kluczy w zamku nie oznacza jeszcze, że właściciel zaprasza nas do środka. Podobnie jest z sieciami WiFi, CMS-ami, gdzie nikt nie zmienił hasła „admin” na inne, albo w ogóle ich nie zabezpieczył. Jeśli nie mamy zgody na wejście, wchodzić nie powinniśmy.
Możemy się zastanawiać, czy w takiej sytuacji będziemy mieli do czynienia z przełamaniem zabezpieczeń, czy nie. Rzeczywiście w przypadkach, gdzie zabezpieczenia okażą się całkowicie, obiektywnie nieefektywne, gdzie trudno odczytać wolę właściciela polegającą na chęci ochrony danej rzeczy, skłaniałbym się do przyjęcia, że do przełamania zabezpieczeń nie dojdzie. Jednak pamiętajmy o art. 267 § 2 kodeksu karnego, który penalizuje nieuprawnione uzyskanie dostępu do systemu nawet bez przełamywania zabezpieczeń.

@jarek: Nie masz racji. Przeczytaj uzasadnienie sędziego z vagla.pl (link podał Krzysiu i ja w innym komentarzu). Biorąc pod uwagę analogię z drzwiami: Chcesz wejść do banku przed godzinami jego otwarcia, bo po prostu pomyliły Ci się. Dzień wcześniej pracownik zapomniał zamknąć drzwi. Próbujesz otworzyć drzwi – otwierają się, wchodzisz, uruchamia się cichy alarm, rozglądasz się i widzisz, że nie ma pracowników – coś jest zdecydowanie nie tak. Jako praworządny człowiek dzwonisz na policję. Zanim wszystko się wyjaśni leżysz skuty kajdankami przez ochronę/policję. Pytanie za 100 pkt. – włamałeś się?

Jarosław Góra: Wyrok, o którym mowa, zapadł w sierpniu 2008 roku i rozstrzygał przede wszystkim problem przełamywania zabezpieczeń – kiedy mamy z tym do czynienia, a kiedy nie. Sąd uniewinnił oskarżonego i stwierdził, że co prawda uzyskał on dostęp do systemu, ale nie doszło do przełamania zabezpieczeń, a to niezbędna przesłanka przypisania odpowiedzialności z art. 267 § 1 kodeksu karnego.
Ważne jest jednak to, że w tamtym czasie w kodeksie karnym nie było jeszcze obecnego art. 267 § 2, który wprowadzono nowelizacją w grudniu 2008 r., a który penalizuje nieuprawniony dostęp do systemu, również bez przełamania jakichkolwiek zabezpieczeń.

Przykład z bankiem, ciekawy, ale raczej nieprzydatny dla interesującego nas tematu cyberprzestrzeni. Przede wszystkim zarzut włamania w takim „tradycyjnym ujęciu” (włamanie celem kradzieży jakiejś rzeczy) można postawić tylko osobie, która obejmowała takie zachowanie swoim zamiarem, tzn. chciała się włamać i coś ukraść. W przykładzie z bankiem i klientem, który pomylił godziny takiego zamiaru nie widzę. Przyjmując natomiast, że ktoś rzeczywiście chciał się włamać do banku i wyjść z workiem pieniędzy, a drzwi okazały się otwarte, to włamania również nie będzie. Dla przyjęcia kradzieży z włamaniem konieczne jest bowiem istnienie zabezpieczeń, z których wynika wola właściciela zabezpieczenia rzeczy przed kradzieżą. Także w podanym przykładzie włamania nie będzie. 100 punktów dla mnie? :-)

@troll: A miały być pytania… to się zapytam o skanowanie portów. Czy można je podciągnąć pod jakiś paragraf, zakładając że nie zakłócają pracy systemu (żeby nie podpaść pod art. 268 i 268a)? I idąc dalej tym tropem, czy można uznać za nielegalne sprawdzanie wersji ssh lub wersji aplikacji webowych? (mnie się wydaje, że nie, ale nie jestem prawnikiem).

Jarosław Góra: Zdania prawników na ten temat są podzielone. Skanując porty jakieś informacje jednak uzyskamy (w przypadku otwartych portów), które nie są dla nas przeznaczone. Z drugiej strony nie przełamujemy w ten sposób zabezpieczeń i nie uzyskujemy bezpośredniego dostępu do systemu, a jedynie informacje o tym, że taki dostęp byłby ewentualnie możliwy.
Jeśli nie zakłócamy pracy systemu, to art. 268 i 268a kodeksu karnego bym się nie bał. Zastanowić się należy natomiast, czy zasadny byłby zarzut z art. 267 § 3 (kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem) albo z art. 269b (posiadanie narzędzia, które umożliwia popełnienie niektórych przestępstw komputerowych, o których tu rozmawiamy).
Moim zdaniem samo skanowanie portów nie wypełnia jeszcze przesłanek wskazanych wyżej czynów zabronionych i nie słyszałem, żeby komuś postawiono z tego tytułu zarzuty, ale temat jest rzeczywiście problematyczny.

@Artur: A jaka jest juryzdykcja sądów w zakresie lokalizacji fizycznej serwera:
— serwery w części znajdują się fizycznie pzoa granicami PL np sławne serwery www polskiego gov we francji na fizycznych serwerach ovh na które dokonano włamania w zakresie lokalizacji fizycznej ‘testującego’ który posiada obywatelstwo Polskie
— test z poza granic fizycznych kraju np punkt dostepowy w Chinach czyli test wykonany poza granicami kraju ale czy juryzdyckcji sądów?

Jarosław Góra: Przestępstwa, o których tu dyskutujemy mają to do siebie, że geograficzne granice nie mają znaczenia. Popełnić je można z każdego miejsca na ziemi z dostępem do sieci, a ich skutki mogą powstać zupełnie gdzie indziej. Sprawa jurysdykcji jest skomplikowana i różnie to wygląda w różnych państwach. Generalnie jednak ściganie mogą podjąć zarówno organy państwa, w którym sprawca działał, jak i państwa, gdzie nastąpiły skutki takiego działania. Pamiętajmy również o tym, że rozwinęła się dość sprawnie działająca współpraca ponadnarodowa w ściganiu tego rodzaju przestępstw.

@krzyszp: Mnie interesuje, jaka jest prawna droga ścigania włamywaczy z innych krajów? Jaka jest oficjalna droga (i co dalej się z tym dzieje) w przypadku nieautoryzowanego dostępu z serwerów np. z Pakistanu?

Jarosław Góra: Tak jak pisałem wyżej, organy ścigania podejmują w takich przypadkach współpracę z „kolegami” z innych państw.

@Michał: Jak wygląda temat podłączania się do otwartych sieci WiFi, które nie są zabezpieczone nawet hasłem? Mowa o sieciach niepublicznych, a raczej takich, gdzie ktoś ich nie zabezpieczył?

Jarosław Góra: Jeśli wyraźnie nie są one udostępnione dla wszystkich, jak np. hot spoty, to korzystanie z nich nie jest dozwolone. Pisałem kiedyś o tym na blogu, zatem zainteresowanych odsyłam tutaj.

@Bogumił Wiatrowski: W nawiązaniu do nieautoryzowanych pentestów, pytanie niejako “od drugiej strony”. Jak wiadomo, mamy różne rodzaje danych – dane osobowe, tajemnice handlowe, informacje niejawne i tajne. Komu, na jakiej podstawie i w jaki sposób powinniśmy zgłaszać sytuacje, gdy te dane są łatwo dostępne – niezabezpieczone lub zabezpieczone w sposób umożliwiający łatwy dostęp?
Z tego, co wiem, kwestie naruszenia ochrony danych osobowych zgłasza się do GIODO, naruszenie tajemnicy handlowej (np. kopie umów na rapidshare – widziałem już takie rzeczy) można zgłosić do dyrekcji/kierownictwa danej firmy, co w pozostałych przypadkach? I jakie zachowanie jest tym właściwym, poprawnym?

Jarosław Góra: Generalnie nie musimy tego zgłaszać nikomu. Co prawda ciąży na nas społeczny obowiązek powiadamiania organów ścigania o przestępstwach, o których mamy informacje, jednak nikt nic nam nie zrobi, jeśli z tego obowiązku się nie wywiążemy – chyba, że jesteśmy z organizacji państwowej.
Natomiast jeśli zdecydujemy się jednak kogoś powiadomić, to jest dokładnie tak jak Pan napisał. W przypadku danych osobowych najwłaściwszy będzie GIODO, który potem zawiadomi organy ścigania. Jeśli chodzi o tajemnicę handlową, najlepiej zawiadomić jej właściciela. W przypadku innych informacji, np. tajnych, sugerowałbym zgłosić to na policję/prokuraturę.

@Mat: Bardzo fajny pomysł z takim cyklem. To ja od razu zapytam jak to jest z posiadaniem narzędzi do wykonywania zamówionych testów. Czy posiadanie takich programów jak sniffery, programy do mapowania sieci, programy do kraftowania pakietów programy do wykrywania podatności i skanery etc. jest w Polsce legalne?

Jarosław Góra: Jest z tym rzeczywiście spory problem, jednak nie demonizowałby przepisu art. 269b kodeksu karnego, który penalizuje posiadanie takich narzędzi. Redakcja omawianego przepisu jest moim zdaniem niefortunna i opierając się na literalnym brzmieniu rzeczywiście wszystkie osoby posiadające takie programy musiałyby się obawiać. Jednak wiele programów może teoretycznie posłużyć do popełnienia jakiegoś przestępstwa komputerowego i absurdalne byłoby ściganie osób, które je posiadają. Wydaje mi się, że ustawodawcy chodziło o narzędzia, które zostały stworzony tylko i wyłącznie dla celów niezgodnych z prawem.

@Maciej: Dzień dobry,
Mnie interesuje kwestia pobierania treści przez skrypt z innych stron. Sprawa wydaje się być jasna jeśli ktoś udostępnia RSS, ale co jeśli mój serwer pobiera stronę i ją parsuje? Czy dopóki nikomu nie wyświetlam treści objętych prawami autorskimi, to łamię prawo korzystając z ogólnie dostępnych treści?

Jarosław Góra: Dzień dobry :-) Jeżeli pobiera Pan dane ogólnie dostępne to nie widzę problemu. Jeśli natomiast dane te stanowią przedmiot ochrony prawa autorskiego, to rzeczywiście może się Pan jedynie z nimi zapoznać, bowiem udostępnianie takich treści dalej stanowiłoby naruszenie praw autorskich uprawnionego podmiotu.

@Wojciech: To ja mam pytanie a propo WI-FI, jak wygląda sprawa pod kątem karnym kiedy stawiam własny Access Point w oparciu o publiczny internet albo własny? (Atak man in the middle) i daje sobie możliwość zapisywania obrazów wyszukiwanych przez podłączonych? Oczywiście sieć nie zabezpieczona o nazwie np. “na własne ryzyko”.

Jarosław Góra: Podsłuchiwanie w ten sposób osób, które „na własne ryzyko” połączyły się z siecią za pośrednictwem naszego AP jest dość ryzykowne. Jeśli takie osoby nie zostałyby wyraźnie uprzedzone, że ich aktywność będzie monitorowana, to mogą mieć zasadne oczekiwanie prywatności. W grę wchodzi wtedy łamanie dóbr osobistych takich osób, np. prawa do prywatności, prawa do tajemnicy korespondencji itp.

@gee: Czy istnieje przedawnienie takiego czynu? powiedzmy znalazlem blad. powiadomilem wlasciciela i ten sie ucieszyl. ale za 2 lata napisze donos i bedzie sprawa karna. czy istnieje jakis termin po ktorym po ujawnieniu moze to zrobic?

Jarosław Góra: Tak jak w przypadku większości przestępstw, również te, o których mówimy ulegają przedawnieniu. Jeśli chodzi o przestępstwa przeciwko bezpieczeństwu informacji, to mamy tutaj do czynienia z występkami. Karalność takich czynów zabronionych ustaje, jeżeli od czasu ich popełnienia minie 15 lat (w przypadku występków zagrożonych karą pozbawienia wolności przekraczającą 5 lat – np. art. 269 kodeksu karnego – cyberterroryzm), 10 lat (w przypadku występków zagrożonych karą pozbawienia wolności przekraczającą 3 lata – np. niszczenie danych informatycznych pociągających za sobą znaczną szkodę majątkową) albo 5 lat (w przypadku występków zagrożonych karą pozbawienia wolności nieprzekraczającą 3 lat – np. nieuprawniony dostęp do systemu, albo przełamanie zabezpieczeń).
Zatem po upływie 3 lat od znalezienia błędu, zakładając, że stanowiło to przestępstwo, karalność ustaje.

Jarosław Góra

Jarosław Góra

Jarosław Góra, absolwent UJ, fascynat kwestii związanych z twórczością i nowymi technologiami. W pracy zawodowej rozwija specjalizację IP oraz zajmuje się prawem funkcjonującym w otaczającej nas cyberprzestrzeni i kwestiami związanymi z dowodami elektronicznymi i informatyką śledczą. Stara się burzyć utarty do przesady poważny i nudny obraz adwokata. Prowadzi bloga ipblog.pl.

PS. Za tydzień kolejny temat prawny związany z bezpieczeństwem. Jeśli jednak macie pytania związane z poruszonymi dzisiaj zagadnieniami, zadajcie je w komentarzach. Co miesiąc będziemy wybierać najciekawsze z zadawanych przez Was pytań i publikować je wraz z odpowiedziami prawnika.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

58 komentarzy

Dodaj komentarz
  1. Według mnie stosowanie literalne “art. 267 § 2 kodeksu
    karnego, który penalizuje nieuprawnione uzyskanie dostępu do
    systemu nawet bez przełamywania zabezpieczeń” jest błędem.
    Informacja cyfrowa sama się w internecie czyli miejscu
    przeznaczonym do udostępniania i wymiany informacji , nie znajduje
    przypadkowo,ponieważ aby uzyskać do niej dostęp trzeba OTRZYMAĆ
    PRAWA co najmniej do odczytu, można jeszcze do edycji , a nawet
    usunięcia ! Prawa nadaje osoba mająca prawa do obsługi systemu
    przez właściciela. Ponaddto niektórzy nadają prawo wszystkim
    użytkownikom , w tym z sieci globalnej :) cóż… . Więc nic bez
    uprawnienia nie znajduje się w internecie. Podważałbym pomijany, a
    istotny element ” bez uprawnienia “. PDF i inne cyfrowy treści to
    nie listy poczty tradycyjnej, które można znaleźć na ulicy, taka
    interpretacja w mojej opinii jest błędna i wynika z braku
    technicznej wiedzy opiniujących i orzekających. Proszę zapozanać
    się co oznacza nadawanie praw w systemie komputerowym ,
    udostępnianie zasobów i usług ( czasami trzeba naprawde się
    napracować aby takie prawa skutecznie nadać ). Więc termnin “bez
    uprawnienia” nie jest oczywisty. Zapraszam do ewentualnej
    konstruktywnej polemiki.

    • W pełni się zgadzam.

      Cytat z jednego z podlinkowanych artykułów, również pana Jarasłowa Góry: “A jak ktoś zostawi otwarte drzwi do swojego mieszkania to znaczy, że zaprasza wszystkich do środka :) ?”. Moim skromnym zdaniem, porównanie jest tak samo nie na miejscu jak porównywanie piractwa do fizycznej kradzieży. Systemy informatyczne są z goła odmienne od materialnych odpowiedników i często ciężko ocenić czy ktoś pozostawił niezabezpieczony zasób intencjonalnie czy też nie.

      Wiem, że to trochę nie na miejscu uwaga, ale przepisy są skonstruowane źle. Jeśli zgodnie z literą prawa każdy, kto wejdzie np. na zindeksowany przez wyszukiwarkę zasób jest potencjalnym przestępcą to coś tu jet nie tak. Tak naprawdę zwykła przeglądarka internetowa a nawet plików może być narzędziem do wykonania testu penetracyjnego a są to narzędzia często “wbudowane” w system operacyjny. Czy, wy, prawnicy staracie się coś robić z takimi bublami, chociaż piętnować?

    • @Sebastian
      No pewnie że jest wszystko źle. Ci wiejscy kretyni (czyli wiadomo o kogo chodzi) nie mają pojęcia o przepisach ruchu pieszych a co dopiero o prawie (a tym bardziej jego ustanawianiu).
      Ta możliwość z indeksowaniem którą opisałeś to pikuś. Tak samo można zostać potencjalnym przestępcą jeśli podam tu coś niedobrego (powiedzmy rozkodowane passwd z nazwiskami+shadow) a wy to przeczytacie. Też weszliście w posiadanie danych do których nie macie prawa. Potem jeszcze drobna interpretacja “chorego prawa” że nasze komputery uczestniczyły do popełnienia tego przestępstwa (ha! przepadek mienia!) i skarb państwa jest bogatszy. No genialne w swojej prostocie. Pure evil & zuooo. ;) ;) ;)

    • “Jarosław Góra: Przestępstwa, o których tu dyskutujemy mają to do siebie, że geograficzne granice nie mają znaczenia.” Jest to naprawdę ciekawe podejscie naukowe ponieważ osoba wyrażająca takie opinie jednoznacznie wskazuje na PRZESTĘPCZY charakter opisywanych działań. Wątpię aby takie nastawienie rokowało jakies konstruktywne podejście. NADMIENIAM iż kilku mędrców już podobne problemy dyskutowało szczególnie na niwie prawa anglosaskiego i ciekawe jest, że doszli do wniosku, że karale jest otware udostępnianie wifi , a nie ocenianie i penalizowanie korzystania z udostepnionych już i otwarych. :) Panie Jarosławie stan umysłu dyskutujących nie pozostaje bez wpływu na rezultat ! Oczywiście brak doswiadczenia nie pozostaje bez znaczenia, ale po to dyskutujemy aby poszerzać choryzonty … proszę elementy wykładów pozostawić poza sobą … i dziękuję za zainteresowanie ponieważ starsza generacja nie łapie niuansów a to jest szanas dla Pana …

    • Piotr: “Jarosław Góra: Przestępstwa, o których tu
      dyskutujemy mają to do siebie, że geograficzne granice nie mają
      znaczenia.” Jest to naprawdę ciekawe podejscie naukowe ponieważ
      osoba wyrażająca takie opinie jednoznacznie wskazuje na PRZESTĘPCZY
      charakter opisywanych działań. Wątpię aby takie nastawienie
      rokowało jakies konstruktywne podejście”. Nie za bardzo wiem, jak
      mógłbym przyjąc nieprzestępczy charakter czynów zabronionych
      opisanych w kodeksie karnym :) Owszem, opisane w kodeksie karnym
      działania niedozwolone jednoznacznie widzę, jako mające charakter
      przestępczy. Co innego stany faktyczne, o którcyh dyskutujemy, o
      których wielokrotnie pisałem, że jednoznacznie stwierdzenie ich
      charakteru, przestępczego albo nie, jest problematyczne :)

  2. Od dawna mnie ciekawi pewna kwestia – nawiązując do Art. 269b. § 1, czy legalne jest tworzenie exploitów (czy też mówiąc white-hat’owo ‘proof of concepts’) do security advisories zamieszczanych na popularnych mailing listach typu bugtraq lub full-disclosure? Czy jeśli mówimy o otwartym oprogramowaniu, gdzie w grę nie wchodzi złamanie licencji, to możliwe jest oskarżenie nas przez twórców tego oprogramowania lub jego użytkowników o przełamanie zabezpieczeń lub umożliwienie przełamania zabezpieczeń przez osoby trzecie?

    • A czy legalnym jest udostępnianie przestrzeni userom takiego np. chomika – gdzie wrzucają TB nielegalnych treści na godzinę a serwis za to nie odpowiada, “bo za dane umieszczane na serwerze odpowiedzialni są wrzucający” 0.o A więc gdy ty, de facto twórca exploita, udostępnisz go za darmo – to za to nie odpowiesz, a jak ktoś go użyje to najwyżej będą go ścigać a nie Ciebie. Czy gdy ktoś zabija nożem to ścigają producenta ? A poza tym prawo jest takie: gdy robisz coś co przeszkadza: a) państwu b) bogatym ludziom/firmom c) innym bu**m – to zawsze narazisz się na konsekwencje, nawet jeżeli będzie to tylko skanowanie portów :-) Babcię chcieli wsadzić do pierdla na 8 lat za kradzież jogurtu [gdzieś tam za granicą] a mordercy wychodzą po 1/2 latach za dobre sprawowanie – i bądź tu k**** mądry…

    • @Cal, serwer Chomikuj znajduje się w USA i głównie dzięki temu jeszcze działają. Mimo polskiej domeny działają wg prawa USA. Np. w pl masz zakaz udostępniania i co do pobierania potrafią ścigać, choć w przypadku pobierania tylko oprogramowanie się zalicza (chyba że jako kopia zapasowa) – a oni działają na zasadzie, że userzy mają skasować materiały po 24h (haha). Etc.
      Więc zły przykład. ;P
      Ale uogólniając – jak właściciel strony miałby odpowiadać za wszystkie materiały? Musiałby każdy przesłany plik sprawdzać. Materiały niezgodne z regulaminem/prawem są usuwane po zgłoszeniu (czy to na Chomikuj, czy innych stronach).

      Ale tak, karanie za posiadanie/tworzenie programów, które _mogłyby_ posłużyć do złamania prawa… Dobra, to zamknijmy wszystkich, którzy noże posiadają, bo mogą nimi kogoś zabić! I jeszcze producentów tych noży. I producentów wszelkich sznurków i podobnych (możliwe powieszenie/uduszenie)… o! I producentów poduszek (mało to było przypadków uduszenia kogoś poduszką?)! I oczywiście każdego, kto poduszkę, kabel, skakankę, sznurówki, cokolwiek ciężkiego (…) posiada, bo może popełnić przestępstwo!
      Nasze prawo jest po prostu piękne czasami…

  3. “Zatem po upływie 3 lat od znalezienia błędu (…)
    karalność ustaje.” Chyba po 5-ciu? A czy istnieją jakieś zasady ile
    sąd/prokuratura może przetrzymywać nośniki danych zarekwirowane w
    związku z podejrzeniem popełnienia przestępstwa? I jeżeli
    przetrzymywanie ich np. przez rok powoduje utratę wartości
    zarekwirowanego sprzętu, to czy można złożyć wniosek np. o zwrot
    utraconej wartości od sądu/prokuratury?

    • oczywiście 5 :) a jeśli chodzi o temat dotyczące przetrzymywania nośników, to organy ścigania mogą to robić tak długo, jak długo trwa postępowanie. dobrą praktyką jest sporządzanie kopii binarnych i zwrot nośników właścicielowi, ale czasem służby tego nie robią. wydaje mi się, że zasadne będzie roszczenie o zwrotu utraconej wartości, jednak w praktyce się z tym nie spotkałem i podejrzewam, że sprawa byłaby problematyczna.

  4. Mam wrazenie ze jest tu pewna rozbieznosc. Z jednej strony jesli ktos wejdzie do mojej nie zabezpieczonej sieci to popelnia przestepstwo(nie zabezpieczona bo ufam ludzkiej praworzadnosci :)), z drugiej zas, jesli ja podsluchuje ludzi w mojej sieci to tez lamie prawo? gdzie tu logika? Co jesli np. stworze siec na ktorej bede prowadzil nasluch w “celach badawczych” ? Trzeba to jakos uargumentowac/ miec odpowiedni papierek?
    Pozdrawiam
    .svr

    • co jesli w celach badawczych chcialbym wykorzystywac social engineering i np. gromadzic statystyki skutecznosci w roznych srodowiskach, grupach spolecznych? Oczywiscie bez ich wiedzy, w przeciwnym wypadku eksperyment nie ma prawa sie udac

  5. “Jeśli wyraźnie nie są one udostępnione dla wszystkich, jak np. hot spoty, to korzystanie z nich nie jest dozwolone.”
    To jak odróżnić te wyraźnie udostępnione od niewyraźnie udostępnionych? Wydaje się, że najprościej właśnie po haśle: wymaga hasła – nie udostępniona, nie wymaga – znaczy udostępniona. Jeśli nie to jak? Znajduję np. sieć o nazwie JakaśFirma – skąd mam wiedzieć czy to publiczny hotspot tej firmy czy wewnętrzna sieć której przez przypadek ktoś zapomniał zabezpieczyć? Nie każdy “wyraźny” hotspot ma w nazwie “hotspot”.

    • Chociazby po defaultowej nazwie — “siec_6de943”, “dlink”, itp.

    • myślę, że osoby, które rzeczywiscie chcą udostępniać sieć, oznaczają to wyraźnie. z ostrozności nie powinnismy wchodzić na inne i tyle.

    • Są urządzenia które podłączają się automatycznie do nowych sieci – a w każdym razie mają taką opcję. Więc niekoniecznie trzeba chcieć się dostać do każdej otwartej sieci.

      Sieć zamknięta, powinna być – jak nazwa wskazuje – zamknięta, czyli zabezpieczona hasłem. Wszystkie inne są publiczne (jak nazwa wskazuje – publicznie otwarte).

      Analogia do życia realnego: O ile nikt normalny nie wchodzi (nawet dla kaprysu) do każdego otwartego mieszkania (prywatne), o tyle niektórzy wchodzą (dla kaprysu) do każdego sklepu – bo są one z definicji otwarte (publiczne).

      I taka powinna być jedyna słuszna interpretacja sieci otwartej lub zamkniętej. Jeśli prawo chce (lub już to robi) interpretować to inaczej – robi to źle. Nawet mnie to nie zdziwi.

  6. Pytanie pewnie na kolejne odcinki, ale zadaję tutaj: szyfruję dyski (pewnie nie ja jeden). W przypadku konfiskaty sprzętu, czy mam obowiązek podawać hasła/klucze, czy nie? Jakie niesie to konsekwencje (podanie/nie podanie). Czy np nieujawnienie ww nie spowoduje uznanie mnie z góry ‘za winnego’?

    • W polskim prawie nie ma obowiązku ujawniania haseł/kluczy. Oskarżony może także odmówić składania zeznań, jeśli te obciążają jego, lub jego najbliższych. Policjant na pewno wspomni o tym, że jest to utrudnianie śledztwa, ale ciężko utrudnianiem śledztwa nazwać np. brak możliwości przypomnienia sobie hasła spowodowany stresem… albo po prostu tym, że dawno się go nie wprowadzało…

    • Ja to bym chciał skorzystać z 5 poprawki …
      :)

    • Żeby było śmieszniej – ja mam kilka kontenerów TrueCrypta do których naprawdę zapomniałem hasła, mają po parę giga i w sumie mógłbym je wywalić, ale mi się literalnei nie chce. W razie wjazdu będzie afera :|

  7. http://technologie.gazeta.pl/internet/1,104530,15102139,Poznaj_Rosjanina__ktory_przejal_kontrole_nad_Twoim.html#Cuk
    A o tym coś napiszecie? Złapano kolejnego hakiera… ;]

  8. W takim razie jak wygląda sprawa ze stronami typ chomikuj ?
    Każdy wie, że prawo jest w tym przypadku łamane na kilka sposobów, lecz nic w tej kwestii tak na dobrą sprawę nie zrobiono.
    Czy naprawdę wystarczy mieć serwer za granicą i bezkarnie w Polsce zarabiać pieniądze na “ludzkiej głupocie”, albo piractwie ?
    Bynajmniej tak to teraz wygląda i jest to, dobry sposób na biznes…

    • Hm… chomikuj nie ma chyba nic wspólnego z testami penetracyjnymi ;-) Szczęśliwie dla Ciebie, tematykę “piractwa” będziemy poruszali za tydzień.

  9. Czy przebywając na terenie Stanów Zjednoczonych mam obowiązek udostepniania służbom hasła do komputera znajdującego się fizycznie na terytorium Polski, z którym łączę się poprzez SSH?

    • “Nie jestem prawnikiem, ale”
      Nie masz takiego obowiązku (no chyba że jesteś obywatelem USA i przyszli z kwitem).
      Inna sprawa że udostępnienie haseł może być warunkiem twojego dalszego/kolejnego pobytu (ci chorzy na paranoje ludzie przecież stwierdzą że nie współpracujesz i jesteś wrogiem narodu, klik w system i żegnaj wizo) lub możliwości połączenia się z twoim komputerem. Ale to nie neguje pierwszego zdania.

  10. Czy moglibyście poprawiać błędy ortograficzne i inne w pytaniach przed publikacją? Tego bełkotu nie da się czytać. Z góry dziękuję :)

    • moglibyśmy, ale tylko za zgodą autorów :) te treści można uznać za utwory chronione prawem autorskim i ingerencja w ich formę mogłaby naruszać prawa twórców :P dlatego przeklejamy je kropka w kropkę, jak je napisano.

  11. Wobec odpowiedzi zamieszczonych powyzej, a w szczególności “Wydaje mi się, że ustawodawcy chodziło o narzędzia, które zostały stworzony tylko i wyłącznie dla celów niezgodnych z prawem”, moje pytanie brzmi oczywiście: co to za narzedzia które zostały stworzone wyłącznie do celów niezgodnych z prawem? Przecież to już dyskusja o intencjach autora narzędzi, a nawet narzędzie ktore ktos mogł stworzyć w celu łamania prawa, ktoś inny może używać w zupełnie innym celu. Nie podoba mi się, że tak wiele aspektów prawa podlega interpretacji. Orzeczenie twojej winy lub niewinności w takim prypadku sprowadza się do tego na jak dobrego adwokata Cię stać…

  12. Oni też robili takie testy i teraz mają problemy :) http://www.tvn24.pl/biznes-gospodarka,6/przeglad-prasy-chcieli-s przedac-w-sieci-dane-setek-tysiecy-klientow-orange,380306.html

  13. W nawiązaniu do pytania użytkownika @@krzyszp i odpowiedzi prawnika chciałbym zapytać, co wtedy gdy obce państwo, z którego pochodzi atak (niekoniecznie sprawca pochodzi z tego kraju, bo jak wiadomo można użyć do ataku zagranicznych serwerów) odmawia współpracy z policją w Polsce. Wiadomo, że są państwa o wysokim poziomie korupcji, gdzie ściganie przestępców jest – delikatnie mówiąc – niewystarczające. Poza tym część państw dość luźno podchodzi do tych spraw (tolerują internetowe piractwo i tym samym mogą niewystarczająco ścigać poważniejsze naruszenia prawa w cyberprzestrzeni), więc pomoc prawna z ich strony może nie być sprawą prostą. Czy wówczas polski organ może w jakiś sposób wymusić ściganie sprawcy, który spowodował szkody w polskim podmiocie

    • Można się pożalić na fejsiku czy innych wykopach. I zablokować ich zakres adresów na ogniomurku.

      Nawet jeśli takie państwo podpisało jakąś konwencję/umowę/traktat to i tak nie ma skutecznej metody zmuszenia ich do działania.

  14. Z tym Giodo to pierdzielenie jest jakieś dwa lata do tylu znalazlem Cv przechowywane na serwerach jednego z powiatowych urzędów pracy kilkadziesiąt sztuk cv dostepnych w sieci w katalogu publiczny zadzwoniłem do Giodo i jakos szczerze się tym nie przejeli maja wyrabane na to

    • To prześlij anonima do UKE. Ten zawiadomi GIODO i wtedy muszą zadziałać. Opcją też jest napisanie do GIODO z własnymi danymi osobowymi i zapłacenie za postępowanie jakiejś śmiesznie małej kwoty.

  15. A jak wygląda kwestia maili przedstawianych w sądzie? Można je uznać za dowód w sprawie? Oczywiście chodzi o maile z wszelkimi nagłówkami. Czy i kto może wystąpić z wnioskiem o sprawdzenie autentyczności takich maili na serwerze, z którego te maile wypłynęły? Dodatkowo jaka jest szansa na to, że autor danych maili się ich “wyprze”?

    • Oczywiście wiadomości mailowe mogą być dowodem w sprawie.
      Jeśli druga strona nie będzie podnosić zarzutów, że takich
      wiadomości nie wysyłała, albaci o że były innej treści, to
      teoretycznie wystarczyłby ich wydruk (przynajmniej w praktyce sądy
      nie mają nic przeciwko). Żeby natomiast móc odeprzec ewentualne
      zarzuty drugiej strony, co do autentycznosci takich wiadomości,
      powinny one zostać odpowiednio zabezpieczone na elektronicznym
      nośniku danych i w tej postaci przesłane do sądu. Zbadaniem
      autentyczności zająłby się biegły.

    • Serdecznie dziękuję za odpowiedź. Mam jeszcze jedno pytanie- jak wygląda kwestia tłumaczenia się osoby, że to nie ona wysłała te maile, tylko “komputer był włączony i ktoś wysłał”? Dodam, że chodzi o komputer osobisty, a nie firmowy. Czy taka osoba może wykręcić się tłumacząc i pokazując, że np ma na komputerze trojana?

  16. Witam,

    Czy można odmówić giodo/policji wydania danych użytkowników? (Załóżmy, że jesteśmy adminem forum.) Co za to grozi? Czy giodo może się do nas przyczepić o to, że mamy ‘niezarejestrowaną bazę danych osobowych’? Czy można zastrzec, że rejestrujący się użytkownik ‘oddaje’ swoje dane w taki sposób, że giodo nie może się do nich dobrać?

    Czy w przypadku odmowy mogą zarekwirować sprzęt, na którym znajduje się baza danych?

    Pozdrawiam.

  17. Czy jeżeli posiadanie programów do łamania zabezpieczeń jest nielegalne, to czy posiadanie keygenów, programów do crackowania jest legalne, oczywiście nie używając ich? Idąc dalej tym tropem czy posiadanie np seriali do programów, ale nadal nie używając ich jest nielegalne? Cy posiadanie wirusów komputerowych, źródeł czy nawet skompilowanych, jest nielegalne, w końcu można je wykorzystać w złych celach, anie tylko do sprawdzania antywirusów?

    • tak. posiadanie wszystkich tych elementów, o ktorych pan
      pisze, może zostać uznane za niezgodne z prawe.

  18. Witam, chciałbym się zapytać o bazy danych osobowych. W jakich przypadkach należy takie bazy zgłaszać do GIODO?
    Z tego, co zrozumiałem ze strony GIODO (p. niżej), to typowe forum z bazą użytkowników należałoby zarejestrować. Dobrze to zrozumiałem?
    Czy jest jakiś inny wyznacznik, poza informacjami, które zawiera, np. dostępność do informacji o użytkownikach (?kto może korzystać z wyszukiwarki użytkowników czy przeglądać profile użytkowników) albo minimalna ilości rekordów w bazie (np. od 100 rekordów czy coś)?

    Czy niezarejestrowanie bazy, która powinna być zarejestrowana, jest przestępstwem i może mnie ktoś za to ścigać?

    [informacja ze strony GIODO]
    Żeby jakikolwiek zestaw danych zaklasyfikować jako zbiór (…), wystarczające jest kryterium umożliwiające odnalezienie danych osobowych w zestawie. Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. imię, nazwisko (…)) lub nieosobowego (np. data zamieszczenia danych w zbiorze) (…) umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych.
    [/]

    • “Nie jestem prawnikiem, ale… [tm]”
      Powinieneś zgłaszać bazy (zbiory) które zawierają dane osobowe.
      Jeśli masz forum, a na nim loginy, hasła, emaile – to nie są dane osobowe. Dane osobowe to takie, które jednoznacznie i bezspornie określają jakąś osobe (bo jan.kowalski@dupa.com to może być jeden z “miliona” Janów Kowalskich). Natomiast jeśli masz baze z imionami, nazwiskami, adresami zamieszkania, emailami i peselami – peszek.
      ALE jeśli masz sklep lub e-sklep i nie robisz z danymi osobowymi nic innego oprócz wystawiania faktur, jesteś zwolniony z obowiązku rejestracji (o ile mnie pamięć nie myli art.43 ustawy o ochronie danych). Warto jeszcze pamiętać o retencji danych.

  19. Pisze się “jurysdykcja”, nie “juryzdykcja”… ;)

  20. A ja miałbym pytanie do tematu nieautoryzowanych pentestów. Istnieją programy bug bounty, dzięki którym można zgłaszać znalezione w systemach podatności i oczekiwać podziękowań/sławy/kasy/innych. Tak się zastanawiam, na ile taki program jest wiążący dla firmy, która go prowadzi. Jaką mam gwarancję, że zgłaszając błąd bezpieczeństwa np. Googlowi, dostanę pieniądze, a nie wizytę smutnych panów w garniturach.

  21. Jarek Góra jest wporzo gośc +1 Niebezpiecznik za spoko
    lekture.

  22. to zazwyczaj oficjalne programy, gdzie
    właściciel/administrator/producent itp. wyraźnie wyraża zgodę i
    wręcz zachęca do szukania bugów. w takim wypadku nie działamy
    niezgodnie z prawem.

  23. Czy osoba posiadająca zaszyfrowany dysk twardy w celu ukrycia danych przed innymi osobami musi udostępnić hasło organom ścigania jeśli one tego zażądają; i jak ta kwestia wygląda w przypadku innych państw?

    • “Nie jestem prawnikiem, ale…”
      Po pierwsze art.183 $1 KPK.
      Po drugie nie musisz pomagać w śledztwie przeciwko sobie, nie jest to także utrudnianie.
      Po trzecie jeśli to śledztwo przeciwko komuś lub czemuś a są tam dane które Tobie by mogły zrobić psikusa to: “Odmawiam ponieważ ujawnienie tych danych mogłoby narazić mnie, lub osobę mi najbliższą, na odpowiedzialność cywilną, prawną bądź skarbową” itd. (jak Rywin).
      Po czwarte musisz podać jeśli mają nakaz a dane nie świadczą przeciw Tobie (czyli np. to nie twoje dane). W takim wypadku musisz inaczej sobie nawet możesz posiedzieć…

  24. Oraz drugie pytanie dotyczące prawa autorskiego w informatyce: Czy mogę w parsować czyjeś strony internetowe w celu pozyskania danych, a następnie prezentować je innym za pomocą własnej strony/aplikacji, jeśli dane te nie są cytowane / kopiowane / wykorzystywane wprost, a dopiero po ich głębokim przetworzeniu lub statystycznej obróbce.

    Przykład 1.
    Strona A publikuje wyniki meczów, a moja strona czyta te wyniki, a następnie zbiera statystyki i publikuje duzo bardziej skomplikowane dane, jak np średnia ilość wygranych przez drużynę, średnia ilość punktów na spotkanie etc.

    Przykład 2.
    Czy mogę przetworzyć każdą stronę dostępną w internecie, w celu budowania korpusu / zbioru danych dla systemu NLP (modelowanie języka naturalnego na podstawie przykładowych tekstów)

    Przykład 3.
    Aplikacja mobilna prezentująca w sobie dane, pobierane ze strony np. wyniki losowania loterii lub kurs waluty wprost (informacje publicznie dostępne i nie wnoszące zbyt wiele autorskiego ujęcia tematu). Jak zmienia sytuację fakt zamieszczenia źródła cytowania

    • “Nie jestem prawnikiem, ale…”
      Ogólnie mówiąc “3x nie możesz”.
      Powinieneś uzyskać zgodę na użycie danych w celu ich dalszego przetworzenia. Odstępstwem jest jasne napisanie w warunkach użytkowania / disclaimerze / regulaminie itd. że dane są GPL / PD / wolnodostępne. Czyli za każdym razem (stroną) musisz co najmniej spojrzeć w “warunki użytkowania”, czy są “copyrajty” itd.

      A jeśli chcesz bawić się mniej formalnie (czyt. prywanie) to przynajmniej powinieneś umieścić informację skąd używane dane pochodzą (to ci da co najmniej argument że podawałeś źródło). Spójrz np. na waluty.onet.pl – nawet tam jest “Dane dostarcza: EFix DM”.

  25. Proponuję poruszyć temat portalu http://www.plikostrada.pl, którzy z dniem na dzień naciągają ludzi. Znajoma dostała wezwanie do zapłaty nic na nic nie wyrażając zgodny, jak tego typu temat ma się prawnie? Czy należy zapłacić na wezwanie do zapłaty?
    https://www.plikostrada.pl/
    Problem został tutaj doskonale przedstawiony: http://www.infor.pl/prawo/forum/thread/195250,PLIKOSTRADA-PLACIC-CZY-NIE.htm

    • Akurat tym nie warto się zajmować w ogóle. Ile można, toć kolejny pobieraczek ;)

  26. Wydaje mi się, że pojawiła się pewna nieścisłość w odpowiedziach.
    Najpierw Pan Jarosław mówi o dostępie do sieci WiFi, że “jeśli wyraźnie nie są one udostępnione dla wszystkich, jak np. hot spoty, to korzystanie z nich nie jest dozwolone”.
    Natomiast przy kolejnym pytaniu pisze już o potrzebie zapewnienia prywatności dla osób mimo wszystko korzystających z naszej sieci, “jeśli takie osoby nie zostałyby wyraźnie uprzedzone, że ich aktywność będzie monitorowana, to mogą mieć zasadne oczekiwanie prywatności”.
    W takim razie jak to ostatecznie jest? Nie mamy prawa korzystać z otwartej sieci jeśli nie jest wyraźnie dla nas udostępniona, ale jeśli jednak postanowiliśmy z niej skorzystać to możemy domagać się poszanowania naszej prywatności w ramach działania w niej?

    • Brzmi jak:

      “Nie masz prawa wejść do czyjegoś prywatnego domu i zjeść czyjejś zupy. Ale jeśli już wlazłeś i zjadłeś, to masz prawo żądać solidnej miłej i uniżonej obsługi oraz odszkodowania gdyby zupa była za słona”.

  27. Mnie by również interesował temat pobieraczków itd, ale w drugą stronę.

    Czy normalny portal nie może uzyskać abonamentu po okresie rozliczeniowym ? Dlaczego wszyscy uznają tylko i wyłącznie prepaid ?

    Jeśli mam w regulaminie wyraźny zapis dot. opłaty po miesiącu korzystania z mojego oprogramowania, czy to w chmurze, czy to na komputerze użytkownika. Dlaczego szkodnika chroni się skoro zaakceptował on ten zapis ?

    I jeszcze jedno, załóżmy że piszę program. Czy mogę w nim umieścić zabezpieczenie antypirackie które po wykryciu zmian w kodzie programu / prób obejścia zabezpieczeń spowoduje zaszyfrowanie dysku pirata ? Oczywiście w EULA będę miał o tym zapis.

    • Jeśli użytkownik tego programu złapie jakieś malware które dopisze swój kod do pików np:
      .exe .dll i zadziała twój mechanizm anty piracki. Klient nie przyczynił się modyfikacji programu ale jego dysk zostanie zaszyfrowany, co wtedy?

    • Sadze, ze nie ma problemu z tym, ze np. korzystanie z konta na portalu staje sie platne po uplynieciu jakiegostam okresu czasu, lecz nie jest (nie powinno byc?) dozwolone wystawianie faktur/rachunkow np. za sciagniecie pliku po x tygpdniach. Chyba, ze o takiej mozliwosci wczesniej WYRAZNIE poinformowano. Troche jak przeniesienie zasady “prawo nie dziala wstecz”.

      To troche tak, jakbys zostawil na ulicy np. ksiazke, wyraznie zachecil szczesliwego znalzce, aby ja sobie wzial, a po miesiacu oznajmil mu, ze ma za nia jednak zaplacic i wyslal mu poczta rachunek.

  28. […] PS. Jeśli nie wykonujecie testów bezpieczeństwa myjni, to nie zachęcamy do ww. prób. Raz, że myjnie są monitorowane, a dwa, że nieautoryzowane testy penetracyjne to przestępstwo. […]

  29. […] jest wiele programów Bug Bounty. Przestrzegamy jednak przed drogą jaką obrał Raz — nieautoryzowane testy penetracyjne to ryzykowna zabawa, nie mówiąc już na to, że szantaż to dość kontrowersyjny i nielegalny model […]

Odpowiadasz na komentarz .svr

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: