11:08
8/3/2012

ACTA, nowelizacja IPRED2, wcześniej polski projekt nowelizacji ustawy hazardowej wprowadzający cenzurę sieci, to tylko niektóre z przykładów prawa mającego na celu wzmocnienie kontroli przepływu treści w internecie. O nowym zagrożeniu dla internautów, którym jest dyrektywa dotycząca ataków na systemy informatyczne pisze Łukasz Jachowicz.

Ten artykuł jest autorstwa Łukasza “honey’a” Jachowicza. Początkowo ukazał się na łamach 7thguard.net. Został przedrukowany za pozwoleniem.

Dyrektywa dot. ataków na systemy informatyczne

Od pewnego czasu Komisja Europejska pracuje nad projektem dyrektywy dotyczącej ataków na systemy informatyczne. Jej cel wydaje się szczytny — ograniczenie ataków na systemy informatyczne. W praktyce powstaje prawo, które może stać się pretekstem do kontrolowania przepływu informacji oraz blokowania dostępu do narzędzi służących do powstrzymywania ataków.

Co możemy znaleźć w projekcie?

Pozorny “bezpiecznik”, znany nam chociażby z ACTA:

10. Dyrektywa nie służy ustanowieniu odpowiedzialności karnej za czyny popełniane w celach nieprzestępczych, takie jak dozwolone testowanie lub zabezpieczanie systemów informatycznych.

(co istotne, zawarty w tzw recitalu, wstępie do dyrektywy, a nie w jej zasadniczej treści. Państwa teoretycznie powinny implementować również recitale, w praktyce często tego nie robią).

Delegalizację legalnego dystrybuowania oprogramowania i sprzętu, który służy do monitorowania sieci, do przeprowadzania pentestów, a przy odpowiednio szerokiej interpretacji, wielu typowych programów komputerowych.

Do więzienia za nmapa, nessusa i metasploita

Artykuł 7 Narzędzia używane do popełniania przestępstw.
Państwa członkowskie podejmują środki niezbędne do zagwarantowania, by wytwarzanie, sprzedaż, dostarczanie w celu użycia, przywóz, posiadanie, rozpowszechnianie lub udostępnianie w inny sposób następujących elementów było karalne jako przestępstwo, jeżeli zostało dokonane umyślnie i bezprawnie w celu popełnienia przestępstw, o których mowa w art. 3-6:
a) urządzenia, w tym programu komputerowego, zaprojektowanego lub przystosowanego głównie do celu popełniania przestępstw, o których mowa w art. 3-6;
b) hasła komputerowego, kodu dostępu lub podobnych danych umożliwiających dostęp do całości lub części systemu informatycznego;

Blokuje się w ten sposób również systemy typu BugMeNot, a także pociąga do odpowiedzialności czytelników Niebezpiecznika (ci ostatni są również męczeni przez kolejny akapit).

Zakazuje się wymiany informacji między osobami zajmującymi się badaniem ataków komputerowych (pomocnictwo):

8.1. Państwa członkowskie zapewniają, by podżeganie do przestępstw, o których mowa w art. 3-7, oraz pomocnictwo w tych przestępstwach, było karane jako przestępstwo.

Co da ta dyrektywa?

Jaki będzie rezultat wprowadzenia nowego prawa? Czy poprawi ono bezpieczeństwo, skoro niszczenie systemów informatycznych i włamywanie się na nie od dawna może być i jest karane w każdym kraju Unii Europejskiej? Nie — bo w tym zakresie nie ma praktycznie żadnych zmian. Czy spowoduje, że znikną systemy wymiany informacji między włamywaczami i cyberwandalami? Również nie. Co więc się zmieni?

European Union Censorship

Przede wszystkim pojawi się kolejne poczucie dobrze spełnionego obowiązku — skoro wprowadzono prawo zakazujące przestępstw, to nie trzeba już walczyć z samymi przestępstwami. Po drugie, zwiększy się niepewność prawna osób zajmujących się ochroną systemów informatycznych lub uczących tego, bo nigdy nie będzie wiadomo, czy ich działanie nie zostanie podciągnięte pod pomocnictwo. Po trzecie, wprowadza się kolejny system mający kontrolować obieg informacji — bo czym innym jest delegalizacja pewnego rodzaju treści, które mogą — tak jak nóż w mojej kuchni — zostać użyte do popełnienia przestępstwa.

Prace nad projektem w Komisji Europejskiej można śledzić w systemie Prelex, a parlamentarne — w systemie oeil.

Przeczytaj także:



51 komentarzy

Dodaj komentarz
  1. Wspaniale. Niedługo każde skorzystanie z internetu będzie złem. Dalej dalej UE..

    • Takie różne rewelacje są tworem nie tylko UE ale i USA. Unia robi w wypadku ACTA to co jej przemysł fonograficzny,filmowy każe i żaden sprzeciw tu w niczym nie pomrze

    • Może wyjazd na pomorze w czymś pomoże…

    • To zależy jedynie od wielkości protestu. Wyprowadźmy ludzi na ulice.

  2. Trochę stara ta dyrektywa, propozycja legislacyjna z 30 września 2010, ostatnia debata na jej temat w Radzie KE z 9 czerwca 2011

  3. Takie rzeczy wymyślają ludzie, którzy cierpią na nadmiar wolnego czasu. Jak ktoś już wcześniej mówił: niech “autorzy” i rządy wezmą się za zrozumienie sieci i dostosowanie się do jej realiów, a nie na odwrót – próbują podporządkować sieć pod siebie, sami będąc 100 lat za murzynami w wielu kwestiach z szeroko pojętego społeczeństwa informacyjnego.

  4. I myślą, że im to się uda – jak to mówią, przestępczy są już dawno z przodu,a internet się nie podda…

  5. Idąc tym tokiem studia nad bezpieczeństwem sieci będą nielegalne :)

  6. To kiedy wychodzimy na ulice?

    • Jak tylko wszystkie te ustawy wejda w zycie i nie bedzie bezpiecznie przy komputerze… (albo jak sie zrobi cieplej :-) )

    • Ja przed chwilą byłem ale wróciłem. Chociaż w sumie, większość czasu spędziłem na chodniku. Czy to też się liczy?

  7. A co z systemem indect o którym też się zbytnio nie mówi?
    http://pl.wikipedia.org/wiki/INDECT

  8. U nas to już jest, nawet jeszcze ostrzejsze. Przeczytajcie art. 269b k.k. Ten art. jest implementacją Konwencji o cyberprzestępczości z 2005 r. Tyle że w Konwencji zabrania się pozyskiwania urządzeń i programów ‘przystosowanych przede wszystkim’, a w naszym prawie występuje o wiele szersza klasa urządzeń ‘przystosowanych’ do popełnienia przestępstwa. Czyli m.in. zwykłych komputerów, bo na komputerze będzie działać każdy program, również łamacz haseł, więc komputer jest urządzeniem ‘przystosowanym’ do łamania haseł.

  9. no jak to przejdzie to Piotrek masz niezly interes utopiony :(

  10. Dołożyć do tych przepisów odpowiednią kampanię medialną i ludzie już nie wyjdą na ulicę jak w przypadku ACTA (które było ‘za grube’, jeśli będą chcieli to przepchną zapisy z ACTA w kilku/kilkunastu innych ‘ustawach’).
    Swoją drogą przypomina to trochę problem broni palnej.

  11. hehe to za udzial w EC-LPT niedługo pójdę siedzieć bo zaraz prawo wstecz zacznie działać.
    przed samym szkoleniem trzeba juz było papierki do FBI podpisać

  12. Słuchajcie, co wy się tam przejmujecie, założyc jakąś religię (jak piraci) a wszystkie takie prawa i praweczka krytykować jako fanatyzm religijny i spokój:)

  13. Łatwiej jest zakazać narzędzi niż łapać przestępców. Wg. rządzących zakazywanie narzędzi poskutkuje zmniejszenie się przestępstw co zapewne będzie w minimalnym stopniu. Przypomina to mi trochę prawidłowe poczucie “sprawiedliwości”.

  14. problem ACTA i całej “własności intelektualnej”, to problem monopolu – a monopol zawsze odkąd istnieje cywilizacja był najchętniej uprawianą metodą korupcji w białych rękawiczkach – nadawany przez łaskawego “Króla” uznaniowo, by nałogowo uzależnić “wybrańców” od okradania innych z własności materialnej (a dziś nas wszystkich już na masową skalę) w majestacie złodziejskiego prawa podważającego odwieczne prawo własności materialnej, w zamian za lojalność, no i haracz dla “Króla” od tego procederu oraz obronę złodziejskiego systemu…, jak niepodległości…, więc beneficjenci tego systemu i ci, którym się wydaje, że mogą nimi być, bronią tego systemu złodziejskiej korupcji, jak niepodległości, bo pewnie wydaje się im, że coś im z tego skapnie…, a w gruncie rzeczy, to nic ich nie różni od złodziei, skoro taką kradzież popierają…,

    a ACTA jest tylko jednym ze skutków.., musimy jak najszybciej usunąć z polskiego i europejskiego prawa tą złodziejską @merykańską pseudo “własność intelektualną” z systemem złodziejskich monopoli, których tylko wtórnymi, choć nieuchronnymi następstwami są już te wszystkie neo-f@szystowskie narzędzia śledzenia, cenzury, kontroli niepokornych, policyjnego dozoru, karania i bezpardonowego zamordyzmu, jak ACTA, SOPA, PIPA, TRIPS, TPP, ECHELON czy INDECT i również GMO, a to przecież nic innego jak “globalny, totalny us@uschwitz w budowie”, lecz to tylko skutki IP, czyli korupcyjnego, złodziejskiego monopolu, stąd jeśli szybko nie usuniemy tej pseudo “własności intelektualnej” z prawa polskiego i europejskiego, to cały czas będziemy walczyć pozornie, tylko z wiatrakami wymachując na próżno rękami i krzykami na prawo i lewo, itp…, prawo nie może być wewnętrznie sprzeczne, gdyż wówczas prowadzi do bezprawia…, czas się ocknąć i przejrzeć na oczy…

  15. Jak w tym dowcipie “Jeszcze za gwałt mnie zamknijcie, bo interes też mam…” ;)

  16. Ta weźcie zamiast wyciągać takie sensacje z szafy
    poczytajcie polski kodeks karny
    To właśnie jest najzabawniejsze w tym wszystkim że te “ustawki” przy prawie które obowiązuje w Polsce to kupa haha ha i he he he

  17. wszyscy spali i śnili o sukcesie “polskiej demokracji” teraz wielki raban się podnosi
    a u nas koledzy jest już gdzieś “15 lat” musztarda po obiedzie
    Jestem tego żywym przykładem ;=

  18. A to znacie http://www.youtube.com/watch?v=kHLSl9He0vU ?

  19. Do łopaty, drogi budować, a nie nowe prawa wymyślać. Co z pracą administratorów? Mają się wynieść poza UE?

  20. 1. “(…)Państwa członkowskie podejmują środki(…)”

    Ok, jeżeli “kupię serwer” w kraju, gdzie to prawo nie będzie obowiązywać,
    a klikać będę z Polski (:wq wpisuję np “w Brazylii na shellu”).

    “Które” prawo obowiązuje? Kraju w którym jestem, czy “kraju, w którym tworzę plik”?

    2. Co z proxy/torami?

    3. ACTA-sraka. tam siedzi jeszcze kilka innych pomysłow w papierach, nie martwcie się. :)
    Nie ACTA, to coś innego, boczkiem, boczkiem… ;]

    4. Nati: “Mają się wynieść poza UE?”
    “Niech Bozia da”. :)

  21. “Zepsute państwo mnoży ustawy.”
    Tacyt

  22. I taki musiał być finał zmasowanych ataków hakerskich. Teraz będą chcieli penalizować wszystko, co je ułatwia. Będzie to przypominało paroksyzmy prawne i miotanie się w absurdach, choć trudno sobie wyobrazić, że w obliczu rosnącego zagrożenia cyberterrorem (bo tak należy nazwać zmasowane ataki na firmy czy rządy) prawodawcy nie będą chcieli podjąć kroków penalizujących narzędzia mogące służyć do ataków. Z drugiej strony wolno sprzedawać noże, tasaki czy siekiery mimo, że da się nimi ciężko ranić a nawet skutecznie zabić. Przyjmuje się jednak, że takie narzędzia używane zgodnie z przeznaczeniem nie spowodują krzywdy a odsetek użytkowników noża używających ich do zastraszenia, zranienia czy morderstwa jest na tle wszystkich użytkowników jednak dość znikomy. W przypadku pewnych narzędzi IT trudniej będzie przekonać społeczeństwo że używane zgodnie z przeznaczeniem nie są groźne, bo ludzie będą mocno bali się hakerów (trudno się dziwić klientom e-banków, systemów pocztowych czy portali społecznościowych) i poprą takie obostrzenia (a zwłaszcza poprą je poszkodowani w atakach czy oszukani w sklepach internetowych lub na aukcjach, a tych przybywa). Przykładem takiego stanu niech będzie fakt, że osoby które nawet bardzo dawno temu doznały krzywdy (np. napadu) są skłonne poprzeć karę śmierci mimo iż nie załatwia ona problemu przestępczości (w Chinach można dostać karę główną za korupcję czy zdefraudowanie państwowych pieniędzy na hazard, jednak od lat najmniej skorumpowane są kraje skandynawskie, a nie Chiny).
    Moim zdaniem powinni raczej iść w kierunku utrudnienia prania pieniędzy, bo im łatwiej to robić tym większa pokusa dokonania przestępstwa (przykładem niech będzie wysyłanie pieniędzy z przekrętu przez Western Union poza Unię zlecane zwykle słupom, którzy w razie wykrycia przekrętu w pierwszej kolejności są łapani). Czyli trzeba byłoby odważnie zlikwidować raje podatkowe i ujednolicić przepisy finansowe na nieco bardziej restrykcyjne, ale utrudniające ukrycie środków finansowych niewiadomego pochodzenia. Tyle, że wówczas także politycy i korporacje pozbawiliby się tych narzędzi.

    • Paweł, odwal się od moich pieniędzy. Ja nie zamierzam dzielic się moimi pieniędzmi z zalegalizowaną mafią wyłudzającą haracze. Także odczep sie od azylów podatkowych, bo to głównie za ich pomocą spółki mogą prężnie się rozwijać i napędzać światową gospodarkę.
      Bo na pewno nie robi to Państwo swoim uciskiem fiskalnym

    • Super, oprócz likwidacji rajów podatkowych, proponuje zdelegalizowania jakiejkolwiek wolności, a jedynym prawem niech zostanie ucisk, jako uniwersalne prawo uniemożliwiające pranie pieniędzy oraz jakąkolwiek potencjalnie niebezpieczną aktywność człowieka. VIVA LA OPRESION!!!

  23. Co najwyżej, wszystko wyniesie się w lochy pod TOR’a i co najwyżej będzie trochę bardziej utrudniony dostęp, ale poprzez te prawo nic z sieci nie zniknie i powinni to zrozumieć. Odnośnie programów to również co najwyżej szyfrowanie dysku ostrym hasłem. Tak, jak ktoś już wcześniej wspomniał – studia, szkolenia z bezpieczeństwa będą podchodzić pod paragraf wedle woli. Kurewski kraj!

    • Żebyś się nie zdziwił: RPKI

    • @fghutwjvsfd: poważnie uważasz, że RPKI coś zrobi TORowi? :)

    • @Mistiqe: Tak, bardzo poważnie. Powszechne wdrożenie RPKI grozi koniecznością zbudowania całkowicie własnej, niezależnej infrastruktury.

    • Rozwińcie temat RPKI. Btw, połaczenia z infr. TOR można skutecznie maskować

  24. takie newsy sklaniaja mnie coraz czesciej do myslenia o kraju wolnosci podatkowej, serwerowej i korupcyjnej .. ale tam ponoc juz jacys marsjanie sa z czym wiaze sie ryzyko wpakowania sie w kolejne spoleczne zagmatwanie :)

    ps. no i? kiedys nie bylo internetu i tez byla wolnosc
    pps. polecam lekture starych ksiazek i historii .. to juz bylo :) .. tylko ze skonczylo sie rewolucja .. we francji .. brrrrrrrr po paru dynastiach dopiero

  25. Parafrazując bohaterki internetu “Zalegizować pentesty? W żadnym wypadku! A komu to potrzebne? A dlaczego? ” :)

  26. Interpretacja pkt. 8.1 to spore nadużycie ze strony autora. Obawiam się, że cokolwiek nie uchwalą to będzie ogólne starszenie ACTA i mitycznym “podciąganiem” jakiegoś prawa….paranoja chyba ogrania co niektórych? Dzieci internetu próbowano odciąć od filmów i skończyło się demonstracjami….

  27. INDECT to nie próba zmiany prawa tylko narzędzie, a tak naprawdę “research project”. Także prostest przeciwko temu możesz porównać do chęci zakazania rozwijania nmap’a.

  28. […] » Nowa ACTA? Dyrektywa dot. ataków na systemy informatyczne — Niebezpiecznik.pl –. […]

  29. Ludzie co wy, Western Union i słupy? Teraz forsę się pierze inwestując w Bitcoin.

    • Paweł wie lepiej, haha :D Przeciez prężnie udziela się na grupie BZWBK więc zna te nasze wszystkie “sztuczki kruczki”, ba nawet ma wypracowane schematy działań prewencyjnych.
      Nie zdziw się jak w kantorze BTC nie długo zapytają Ciebie o skan dowodu, utility bills, tel. weryfikacje przeprowadzą, KYC i AML’a wdrożą, ojej co to będzie :)

  30. chyba już najwyższa pora przesiąść się na alternatywny internet
    albo chociaż i2p czy freenet

    na normalnych wówów -kach to już nawet nie będzie można poczytać o zabezpieczeniu własnej aplikacji przed włamaniami, bo kto wie czy czasem ta wiedza nie posłuży nam
    do włamu… na pentagon

  31. Katastrofa! Kolejna gałąź branży IT zostanie ucięta. Niebezpieczniku, czym będziesz się zajmować, jeśli już nie będzie potrzeba specjalistów od bezpieczeństwa? No bo skoro nie można uczyć/rozpowszechniać informacji na temat (nie)bezpieczeństwa w systemach informatycznych, to nie będzie ich nikt popełniał i nie będzie się trzeba zabezpieczać ;)

  32. Mnie tam już nic nie zdziwi… ostatecznie w Polsce trzeba mieć pozwolenie na dwa kijki połączone sznurkiem, bo to już broń.

  33. potrzeba matką wynalazków, powstał internet, powstanie coś nowego, czego nie będzie można monitorować i blokować globalnie, na początek nowe protokoły sieciowe, potem nowa infrastruktura oparta o…. (no właśnie ciekawe o co)

  34. Drogi Autorze

    Następnym razem przed zasianiem fermentu cytowaniem nowatorskiej interpretacji przepisów radziłbym się dobrze zastanowić. I przeczytać jeszcze raz. I się zastanowić raz jeszcze.

    W powyższym artykule sugeruje się, że tytuł “Do więzienia za nmapa, nessusa i metasploita” jest dobrym streszczeniem artykułu 7 proponowanej dyrektywy.

    Sugeruje się także, że dyrektywa zakazuje w artykule 8 wymiany informacji między osobami zajmującymi się badaniem ataków komputerowych.

    Otóż o ile pierwsze jest po prostu dosyć bzdurną interpretacją, to drugie jest już bzdurą pozbawiającą ten artykuł jakiejkolwiek wiarygodności. Mogę wyjaśniać dlaczego, ale na razie wydaje mi się, że wystarczy wzięcie głębszego oddechu i ponowne przyjrzenie się treści dyrektywy.

    Wydaje mi się, że warto byłoby poddać cudze artykuły większej kontroli przed ich wysłaniem w świat.

    Proszę wybaczyć lekką napastliwość…

    • Zgadzam się – nadinterpretacja. Bo to oprogramowanie służy do testowania zabezpieczeń. Ale mając w genach brak zaufania do interpretacji urzędniczych śmiem twierdzić, że jakość precyzji tych sformułowań jest do dupy. Bo Ja nie mam najmniejszej ochoty być zmuszany do udowadniania że nie jestem wielbladem. Czy za to że napisałem moduł do Metasploita i podzielilem się z kolegami, a któryś z nich dokona przestępstwa odpowiadać man Ja?

    • @Bartek

      Ale te przepisy wcale nie są tak nieprecyzyjne. I daleko im do naszego artykułu 269b z kodeksu karnego.

      Po pierwsze jest tam wyraźnie zaznaczone, że urządzenie, w tym programe komputerowy musi być zaprojektowany lub przystosowany GŁÓWNIE do celu popełniania przestępstw – nmap i nessus odpadają całkowicie, a metasploit raczej też (piszę raczej, bo o metasploit wiem raczej niewiele poza notką z wiki)

      Fakt, że to jak rozumieć słówko “głównie” jest jeszcze kwestią sądowej interpretacji i może wprawiać niektórych w niepokój. Ale w projekcie dyrektywy jest napisane, że ich posiadanie, wytwarzanie itd. ma być karane tylko gdy miało miejsce UMYŚLNIE W CELU POPEŁNIENIA PRZESTĘPSTWA. A takie coś trzeba już udowodnić. Dobrze udowodnić, inaczej prokuratura nie ma specjalnych szans w sądzie.

      Można oczywiście dyskutować po co karać za posiadanie programu w celu popełnienia przestępstwa skoro wystarczy karać za przestępstwa, ale to zupełnie inna rozmowa niż histeryczne bicie na alarm na podstawie fałszywych przesłanek.

      I skoro już bić na alarm to bardziej radziłbym przyjrzeć się art. 269b i zastanowić się czego on właściwie zakazuje (ja nie wiem). Proszę zwrócić uwagę, że nie ma tam słów “głównie” ani “w celu popełnienia przestępstwa”. Z drugiej strony nie ma też “posiadania”. Wydaje mi się to wszakże ciekawsze niż jakiś tam projekt dyrektywy (tym bardziej, że w przeciwieństwie do projektu kodeks karny boleśnie obowiązuje).

    • — Prawnicy —
      Myślę, że się trochę zagalopowałeś określając to “histerycznym biciem piany”, bo takie teoretyczne dla Ciebie rozwiązania dotykają naszą praktykę.
      Nie ma co dyskutować na temat posiadania, bo to się tu tego nie da sensownie zastosować.
      Na moje oko ludzie, którzy to projektują wykoleili się próbując trochę na siłę wprowadzić rozwiązania przez analogię do “posiadania” narkotyków.
      Co z tymi, którzy będą twierdzili, że stworzyli do oprogramowanie dla nauki, w celach testowych, rekreacyjnych, dostali przypadkiem itp itd…
      Każdy szanujący się bezpiecznik (lub firma antywirusowa) ma tony różnego oprogramowania, które można uznać za złośliwe, które do tego celu służyło i zostało zabezpieczone na przykład na potrzeby analizy, testowania rozwiązań itp itd.
      Ale to samo oprogramowanie może też służyć przestępstwu na przykład jak się je “wyśle” do “potencjalnego klienta” , a potem będzie brało pieniądze za “leczenie”.
      Ale czy to znaczy, że pod “pretekstem” posiadania ktoś powinien przeszukiwać moje dane?
      Mam kolegę, który każdy projekt trzyma w osobnym kontenerze TrueCrypt, niech straci/zapomni jakieś hasło i nie odszyfruje na przesłuchaniu – przestępca gotowy.

      — Głównie —
      Na wszystkie adresy internetowe/firmy mogę legalnie testować w danym momencie max kilka. Przeciw pozostałym odpalenie oprogramowania vulnDisco,Core, Metasploit, Armitage,w3af,z różnymi łącznikami XML Nmap i Nessus oraz wielu innych –
      będzie przestępstwem.
      Czyli na moje oko patrząc statystycznie służy głównie do popełniania przestępstwa.

      Chyba, że ocieramy się o wielkiego brata ale wtedy pytam jeszcze raz, czemu karać za posiadanie skoro wszystko i tak sprowadza się do wykorzystania?

      — Niewinny —
      Może i na końcu (po kilku miesiącach/latach – bo trudno w tej branży o biegłych/kumatych) okażę się niewinny (czyt. uda mi się udowodnić swoją niewinność) ale do tego czasu moja firma zdąży upaść, klienci się wycofają, kontrakty przepadną.
      Raz tak było w sektorze IT w Polsce?

  35. Lecimy terraformować Marsa i zakładamy kolonię, w której te prawa nie będą miały znaczenia. Ktoś ze mną? :)

    • Po co terraformować… Prawdziwy informatyk do życia potrzebuje tylko kompa i kawy a niska temperatura usunie problem przegrzewania się piecyka. :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: