10:54
14/4/2017

I stało się. Pentesterzy i bugbounterzy nie będą “domyślnymi przestępcami” w świetle polskiego prawa. 11 kwietnia Prezydent Andrzej Duda podpisał nowelizację kodeksu karnego uchwaloną przez Sejm 23 marca, a dzień później ustawa została opublikowana w Dzienniku Ustaw. Jest to bardzo ważne dla pentesterów i bugbounterów, mimo iż ta nowelizacja dotyczy tzw. konfiskaty rozszerzonej, czyli odbierania majątków przestępcom.

Hakerzy dostali prezent

Hakerzy (etyczni) dostali prezent od Senatu :)

Zmiany w art. 269b

Jak zapowiadaliśmy w poprzednich artykułach, ustawa zmieni art. 269b Kodeksu karnego, który do tej pory przewidywał bezwzględne karanie za “wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie innym” urządzeń lub programów przystosowanych do popełnienia “przestępstw komputerowych”. Tak sformułowany przepis sprawiał, że w Polsce można być ukaranym za tworzenie narzędzi weryfikujących bezpieczeństwo systemów IT lub za znalezienie i zgłoszenie luki bezpieczeństwa, nawet jeśli zrobiono to w dobrej wierze.

Podpisana przez Prezydenta ustawa wprowadzi tzw. kontratypy, czyli okoliczności, w których takie zachowanie nie będzie przestępstwem. Kluczowy będzie nowy §1a, który dodano do art. 269b.

§ 1a. Nie popełnia przestępstwa określonego w §1, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej przed popełnieniem przestępstwa wymienionego w tym przepisie albo opracowania metody takiego zabezpieczenia.

To bardzo ważna zmiana dla wszystkich, którzy zajmują się bezpieczeństwem systemów IT. Dodajmy, że była to zmiana oczekiwana od wielu lat, ale jej wprowadzenie nie przyszło całkiem łatwo. Jeśli chcecie się dowiedzieć jak do tego doszło, przeczytajcie tekst pt. Pentesterzy i bugbounterzy jednak nie będą przestępcami. Senat czasem się przydaje :).

Jeszcze raz dziękujemy minister Streżyńskiej i Senatowi RP. No i oczywiście Prezydentowi :-). Ustawa została opublikowana w Dzienniku Ustaw przedwczoraj, a wchodzi w życie po 14 dniach od ogłoszenia (czyli 27 kwietnia).

Inne zmiany

Na marginesie dodamy dwie rzeczy. Po pierwsze, choć nowelizacja wprowadza potrzebne kontratypy, po jej wdrożeniu przestępstwa komputerowe mogą być karane surowiej niż dotychczas. Podniesiono progi kar za takie przestępstwa i wprowadzono możliwość odbierania majątków sprawcom takich czynów.

Po drugie, zmiany są kontrowersyjne, gdyż rozszerzają możliwość stosowania podsłuchów na sytuacje związane z poszukiwaniem mienia zagrożonego przepadkiem. W czasie prac nad ustawą zgłaszano obawy, że służby będą miały możliwość podciągania pewnych sytuacji pod poszukiwanie mienia, by zastosować podsłuch w sytuacji, w której do tej pory nie było to możliwe.

Przeczytaj także:


19 komentarzy

Dodaj komentarz
  1. Ale mi zimno będzie w nos bez. I chatroullette już nie będzie takie samo :/

    • Zawsze możesz założyć szalik. Np. swojej ulubionej drużyny.

    • Ja tu czegoś nie rozumiem . Kto normalny, bezpłatnie byłby na tyle głupi żeby poświęcać swój cenny czas na szukanie dziur ?
      Na czarnym rynku posiadanie takich informacji jest wysoce opłacalne:)

    • Ale jak mam szalik na nosie to nie mogę pić kawy. Co robić jak żyć?

  2. Nie do końca wyobrażam sobie praktyczne zastosowanie tego paragrafu.

    Wpada do mnie policja, łapie “na gorącym uczynku”, a ja spokojnie mówię: “Tylko testowałem, szukałem dziur. Po czym jakbym coś znalazł to bym powiedział administratorowi serwisu”. Wtedy panowie policjanci przeproszą mnie za zamieszanie, pogratulują wzorowej postawy obywatelskiej i bezinteresownej pomocy innym. Po czym wrócą na komisariat i wystosują list do prezydenta RP o uhonorowanie mnie orderem?

    Jak dla mnie ten kontratyp trochę słabo ochrania interesy testerów. Albo masz umowę na testowanie i to jest dowodem działania w celu zabezpieczenia systemu. Albo lepiej przypadkowo nie zmieniaj adresów URL w przeglądarce bo jeszcze niechcący nie proszony przetestujesz czyjś serwis i i tak pójdziesz siedzieć.

  3. Intencjonalnie piszę osobny komentarz aby ewentualne odpowiedzi nie mieszały się.

    Czy w świetle nowego prawa byłoby to legalne czy karalne:

    Wchodzę do bankowości internetowej swojego banku. Na jednej z podstron coś się wywala, dostaje stack trace. Próbuję dowiedzieć się z czystej ciekawości o co chodzi, wysyłam kilka podobnych zapytań do serwera manualnie.

    Zakończenie A. Nic nie znalazełm, ale admin zauważył te kilka (tysięcy) zapytań ;)
    Zakończenie B. Znalazłem mało istotny bła i zgłosiłem go bankowi.
    Zakończenie C. Niechcący wpisałem w pole kwoty przelewu ‘; drop table users’ i się wszystko wyje…. Spanikowany że nieintencjonalnie skasowałem bank rozłączam vpn’a, tora, nadpisuję pamięć routera sąsiada co użycza mi nieświadomie net, w Krakowskim piecu na pożegnanie zimy rozpalam ostatni raz ogień podsycając go jednorazowym laptopem. I mam nadzieję że się nie wyda.

    Jakie konsekwencje prawne mogą z każdego zakończenia wyniknąć?

    • Napiszę serio, dlaczego chcesz robić dobrze i za darmo swojemu bankowi. To samo dotyczy innych przypadków.
      Nie chcę się rozpisywać ale w skrócie prowadzi to do tego, że takie portale jak niebezpiecznik zaczną mieć jeszcze bardziej na znaczeniu jak dokładnie “ruchy oddolne uświadomionego społeczeństwa obywatelskiego” jako punkty zbierania takich informacji.
      Ty jako klient nic więcej z tym nie robisz. No może poza zgłoszeniem tego adminowi i jeżeli admin banku g…o z tym zrobi zmiany banku.
      Sorry, taki mamy klimat prawny.

      Chcesz mieć miękkie serce to licz się z tym, że musisz mieć twardą d…ę.

      Spokojnego okresu Swiat.

    • C. mandat za spalanie śmieci :)

  4. ciekawe czy prokuratorzy jeszcze rzutem na tasme nie beda chcieli wykorzystac do konca tego prawa. maja jeszcze 13 dni :)

  5. Jedna jaskółka wiosny nie czyni. Prezydentowi można by dziękować, jeśli zawetowałby skandaliczną ustawę “antyterrorystyczną”, ustawę o policji i ustawę o centralnym rejestrze kont bankowych. Na razie zachowuje się jak klakier podpisujący wszystko, co mu podsuną.

    Wdzięczność należy się tylko p. Streżyńskiej. Nie wszystkie jej pomysły są dobre, ale i tak to jedyny ogarnięty człowiek w tym rządzie.

  6. Niestety muszę zakładać kominiarkę do komputera bo szef każe. Dziwne, u nas wszyscy w kominiarkach w zespole. Ale dobrze że szef nieźle płaci i to gotówką :D

  7. Mam pytanie: Czy jak np. “włamię” się na jakąś stronę a następnie bez żadnych szkód zgłoszę problem adminowi to będą mogli mnie ścignąć czy nadal tylko “dobrowolne” pentesty będą legalne?

  8. Czyli teraz wszyscy będziemy pentesterami ;-)

  9. Hej, jakiś błąd macie na stronie:

    “Wszelkie prawa zastrzeżone © 2009- echo date(“Y”);”

    • Kolega nowy tutaj? ;-)

  10. No wygląda na to, że posiadanie Kali to już przestępstwo.

  11. Brawo

  12. Witam, rozumiem, że mam np. stronę abcd.pl i znalazłem niezabezpieczony adres /administrator gdzie jest logowanie do panelu. Mogę im to zgłosić i zaoferować pomoc czy to już nie podchodzi pod 1a?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: