9:20
29/3/2017

W Polsce testowanie bezpieczeństwa lub szukanie dziur, wedle kodeksu karnego, jest zawsze przestępstwem, nawet jeśli robisz to w dobrej wierze. Na szczęście to się zmieni i jest w tym zasługa Senatu, który poprawił kiepski projekt na samym finiszu prac legislacyjnych.

Sejm zakończył już pracę nad przepisami o tzw. konfiskacie rozszerzonej i przy okazji dokonał istotnego — jak to określono — “uporządkowania przepisów o przestępstwach komputerowych“. Do tej pory w Polsce groziła kara każdemu, kto tworzył narzędzia do weryfikowania bezpieczeństwa lub po prostu używał ich (określał to “słynny” art. 269b Kodeksu karnego, z którego do 2014 roku, bo do tego roku sięgają policyjne statystyki, wszczęto 237 postępowań i w 246 przypadkach stwierdzono przestępstwo). Teraz jesteśmy bliżej naprawdę… hmm… dobrej zmiany (w tym zakresie).

Trochę się naczekaliśmy

Zanim opiszemy co się stało w końcówce ubiegłego tygodnia, przypomnijmy wydarzenia z ostatnich lat i miesięcy. Od dawna mówiono o tym, że polskie prawo jest niebezpieczne dla pentesterów i bugbounterów. Art 269b Kodeksu karnego przewidywał bezwzględne karanie za “wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie innym” urządzeń lub programów przystosowanych do popełnienia “przestępstw komputerowych”. Wszyscy z branży zdają sobie sprawę jak szeroka i kontrowersyjna może być interpretacja tych słów. SQL injection można wykonać przy pomocy zwykłej przeglądarki Firefox lub Google Chrome.

Kuriozalny obrazek do kuriozalnego prawa

Kuriozalny obrazek do kuriozalnego prawa

Nikt się tym jednak przez lata nie przejmował, bo kogo obchodzą problemy pentesterów? Owszem, niektórzy aktywiści walczyli o zmianę prawo, ale szło to kiepsko. Dopiero w listopadzie 2016 minister Streżyńska zaproponowała wprowadzenie do prawa tzw. kontratypu — okoliczności, w których określone zachowanie nie będzie przestępstwem.

Zapowiedź Pani minister bardzo nas ucieszyła, ale potem do Sejmu wpłynął projekt zaostrzający, a nie łagodzący to prawo i to w dodatku bez zapowiadanych i potrzebnych kontratypów. Tym samym podniesiono możliwe kary do poziomu umożliwiającego nawet konfiskatę majątku. Co gorsza Sejm poparł te niekorzystne zmiany.

Senat zrobił co trzeba

Obawialiśmy się, że Senat może bezrefleksyjnie poprzeć ustawę. Przecież chodziło o ważną nowelizację, w której “przestępstwa komputerowe” były tylko jednym, mniej znaczącym wątkiem. Stało się inaczej! Zwykle niedostrzegana i mniej medialna izba Parlamentu zaproponowała, by do art. 269b dodać §1a w brzmieniu:

§ 1a. Nie popełnia przestępstwa określonego w §1, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej przed popełnieniem przestępstwa wymienionego w tym przepisie albo opracowania metody takiego zabezpieczenia.

oraz stworzyć art. 269c:

Art. 269c. Nie podlega karze za przestępstwo określone w art. 267 §2 lub art. 269a, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody.

Przywołane w Art. 269c. artykuły 267 §2 i 269a dotyczą sabotażu i nieuprawnionego dostępu, a dokładnie brzmią tak:

Art. 269a. Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Art. 267 §2. Tej samej karze [grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2 — dop. red.] podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.

Według senatorów, nowe brzmienie przepisów powinno wyłączyć karalność w trzech sytuacjach:

  • jeżeli działania objęte znamionami przestępstwa miały na celu zabezpieczenie systemu lub sieci teleinformatycznej przed popełnieniem przestępstwa,
  • jeżeli ktoś działał za uprzednią zgodą i nie wyrządza szkód,
  • jeżeli “sprawca” niezwłocznie powiadomił dysponenta o stwierdzonych zagrożeniach, a jego działanie nie spowodowało szkód.

Ustawa wróciła więc do Sejmu. Komisja Sprawiedliwości i Praw Człowieka zaproponowała przyjęcie wszystkich poprawek. I w piątek, jak poinformowała nas na Twitterze Pani Minister Anna Streżyńska, posłowie zagłosowali tak jak podpowiedziała Komisja — wszystko dla naszej branży, tj. pentesterów i bughunterów, skończyło się dobrze. Ustawa idzie jeszcze do podpisania przez Prezydenta.

Nasza opinia? Jest bardzo dobrze. Jednym słowem, Pani Minister, dziękujemy! Daje się nawet zauważyć stworzenie dobrych fundamentów pod, miejmy nadzieję nadchodzący niebawem, projekt rządowego bug bounty. Jesteśmy pewni, że wiele osób byłoby zainteresowanych szukaniem i zgłaszaniem błędów w publicznie dostępnych systemach państwowych. I pewnie nie chcieliby za to wynagrodzenia, jakie za tego typu pracę zazwyczaj się wypłaca, a na jakie na pewno Polska nie może sobie pozwolić.

Co dalej?

Wprowadzenie kontratypów powinno zapobiec sytuacjom takim jak ta, gdy odkrywcę luki po jej zgłoszeniu podmiotowi, na wniosek tego podmiotu zatrzymuje policja. Warto jednak zauważyć, że poza tym, przestępstwa komputerowe mogą być karane surowiej niż dotychczas. Wprowadzono bowiem odbieranie skazanym majątku, jakiego przestępcy mogli się dorobić na przestępstwach. W czasie prac nad projektem pojawiły się zastrzeżenia do przepisów, gdyż pozwolą one także na szersze stosowanie podsłuchów w celu wykrywania mienia zagrożonego przepadkiem.

Mamy nadzieję, że Prezydent podpiszę ustawę tak sprawnie jak zwykle. Damy wam znać gdy wszystko będzie załatwione i poinformujemy kiedy ustawa wejdzie w życie.

Hakerzy dostali prezent

Hakerzy (etyczni) dostali prezent od Senatu :)

PS. Z kronikarskiego obowiązku, przytaczamy aktualne brzmienie art. 269b kk:

Art. 269b. § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej,podlega karze pozbawienia wolności do lat 3.

§ 2. W razie skazania za przestępstwo określone w § 1, sąd orzeka przepadek określonych w nim przedmiotów, a może orzec ich przepadek, jeżeli nie stanowiły własności sprawcy.

Proponowane zaostrzone brzmienie, które poparł Sejm z wytłuszczonymi zmianami:

§ 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

I wreszcie zasugerowane przez Senat i zaakceptowane przez Sejm poprawki:

Art. 269 §1a. Nie popełnia przestępstwa określonego w §1, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej przed popełnieniem przestępstwa wymienionego w tym przepisie albo opracowania metody takiego zabezpieczenia.

Art. 269c. Nie podlega karze za przestępstwo określone w art. 267 §2 lub art. 269a, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody.

To teraz możecie już świętować. Ale z puszczaniem nmapa i sqlmapa na strony urzędów poczekajcie jeszcze na podpis Prezydenta ;)

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

51 komentarzy

Dodaj komentarz
  1. “wszczęto 237 postępowań i w 246 przypadkach stwierdzono przestępstwo” niezłe statystyki, skuteczność ponad 100% :D

    • Jedno postępowanie może dać wynik w postaci naruszenia prawa w kilku różnych przypadkach.

    • Co w sytuacji, kiedy ktoś zrobi to w dobrej wierze i nie będzie mógł niezwłocznie zgłosić błędu, bo go nie znajdzie? Kryminał?

      Co w sytuacji, gdy system na nieprzewidywalny telegram, np z innego protokołu niż spodziewany: “7E A0 07 03 21 93 0F 01 7E” wysypie się i szkody będą duże? Też kryminał?

      Co na to Piotr K.?

  2. “Nie podlega karze za przestępstwo” – oznacza tylko brak kary, jednak przestępcą się zostaje?
    “W razie skazania za przestępstwo określone w § 1, sąd orzeka przepadek określonych w nim przedmiotów, a może orzec ich przepadek, jeżeli nie stanowiły własności sprawcy.” – ktoś włamie się na serwer, uruchomi tam węzeł tor’a/www z nielegalnymi informacjami/cokolwiek innego i poszkodowany może stracić sprzęt?
    W ostateczności: co z przypadkiem, gdy udostępniam choćby rzeczonego Firefoxa, Nowak otworzy na nim stronę banku, jednak przez błędy w bankowości uzyska “nieuprawniony dostęp do informacji”, np. wyświetlą mu się dane innych osób. Zostanę przestępcą? ;) Pomijam teraz karę.

  3. Ja nie chciałbym, aby ktoś bez mojej zgody testował moje systemy, nawet w dobrej wierze.

    • Jak masz je wystawione do internetu, to powinieneś zakładać, że wciąż je ktoś testuje.

    • Zawsze możesz na otwartych portach wywiesić tabliczke, uwaga zły pies.

    • Zajrzyj kiedyś w logi ;)

    • Ale nie każdy pies jest zły (patrz np.: Grahamka) ;-P

    • Miałem podobny problem – ciągle obawiałem się, że ktoś będzie chciał testować moje zabezpieczenia i co gorsze – znajdzie jakąś lukę i się włamie. Próbowałem wszystkiego: od próśb umieszczanych na stronie internetowej o nie włamywanie się do moich systemów, po odmawianie 10-tek binarnych do św. Intela… nic nie pomagało. A ostatnio przez przypadek odkryłem banalną metodę i moje życie uległo diametralnej poprawie. Wystarczyło tylko… wyciągnąć RJ-45 z gniazdka i śmiać się ze wszystkich pentesterów, że nie potrafią obejść tak banalnego zabezpieczenia! szach-mat!
      P.S.: Minusem jest to, że coraz trudniej znaleźć muzeum z działającym telegrafem ( ͡° ͜ʖ ͡°)

  4. Super! Oby tak zostało!

  5. Czekam na szybkie info z aktualizacją że to już – bo farma skanerów czeka… :D

  6. prezydęt podpiszĘ ustawę, statystyki policyjne powyżej planu towarzysze. poza tym słowem komentarza to idzie ku lepszemu i oby ten trend zachować

  7. Dobrze rozumiem? Ktos kto chodzi po osiedlu i “testuje” zamki w samochodach nie jest przestepcą. Przeciez w kazdej chwili moze zglosic slabosc zabezpieczenia wlascicielowui.(no chyba, ze zmieni zdanie i samochodem odjedzie) ;)

    • A przeczytaj kodeks karny – nie jest. Dopóki nie ukradniesz czegoś, nie zniszczysz, nie spróbujesz odjechać to jest to legalne. Zresztą “przywłaszczenie mienia” jest zdefiniowane jako:
      “Kto zabiera **w celu przywłaszczenia** cudzą rzecz ruchomą” – możesz otworzyć drzwi samochodu, wziąc telefon który tam leżał i naapisać na nim “zamykaj drzwi” – legalnie. Ale jak przypadkiem znajdziesz lukę w systemie informatycznym (powiedzmy przypadkiem trafiłeś ‘ naciskając enter) to zgłoszenie może cię narazić na karalność w myśl aktualnych przepisów.

      “Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej,” – żadnych wyłączeń.

      Tak samo jak ktoś ma drzwi zamknięte na skobel

    • Jeśli tak to porównujesz to chyba nie wiesz jak działa internet ;-(

    • “Dobrze rozumiem? Ktos kto chodzi po osiedlu i “testuje” zamki w samochodach nie jest przestepcą. Przeciez w kazdej chwili moze zglosic slabosc zabezpieczenia wlascicielowui.”

      Zły przykład! Chodzi o to, że testowanie polega na spoglądaniu na samochody, spoglądanie na to, czy auto jest zabezpieczone czy nie. Samym wzrokiem! Idziesz sobie ulicą i spoglądasz na samochody! Czy to ma być karane? Bo wysłanie pinga, to jeszcze nie dotykanie! To tylko spoglądanie! Więc jak najbardziej słaby argument. Ale w necie nawet jak wejdziesz i zalogujesz się, cóż, to tak samo gdy właściciel samochodu pozostawi go otwartym i każdy będzie mógł do niego wejść, ale nawet to jest mało właściwe, bo w necie serwisy otwarte zapraszają do wejścia, więc właściciel musiałby wywiesić kartkę i zaprosić do korzystania z niego. Tu naprawdę trzeba spojrzeć głębiej i w odpowiedni sposób to uargumentować. Inaczej to nie ma żadnego sensu. Pozdrawiam.

    • źle rozumiesz. swoje zamki i tym którzy chcą sprawdzenia zamka…
      jak ktoś nie zechce też mu zamek stestują hakiery z Albanii i nic nie zrobisz, o ile wogóle sie zorientujesz :ściana:

    • Nie można porównywać tych dwóch rzeczy do siebie, sieci internetu do samochodów. W taki sposób można udowodnić wszystko. A jeśli już to robisz, to zrób to właściwie. W internecie wykorzystuje się dziury, które są właściwie otwartymi furtkami. Samochody z zasady są zamykane, nie maja furtek, by wleźć trzeba albo mieć klucz, który będzie pasował do zamka, czyli będzie to synonim otwartej furtki; albo rozwalić zamek, a taka sytuacja nie występuje w informatyce. Rozumiesz teraz dlaczego twoje myślenie jest niepoprawne?

      W informatyce nie występuje coś takiego jak niszczenie kodu, można to zrobić nieco później po włamaniu, ale tu już włamanie nastąpiło! To znaczy człowiek znalazł otwarta furtkę i sobie przez nią po prostu wszedł. Jak zostawiasz otwarte auto i ktoś ci coś w nim zrobi, coś ukradnie, to do kogo będziesz miał pretensję? Do złodzieja, który po prostu sobie do niego wszedł? Czy do siebie, bo zostawiłeś otwarte auto?

      A jeśli zamykasz swoje auto, złodziej nie będzie mógł do niego się dostać bez rozwalenia przykładowego zamka. W informatyce nie występuje potrzeba rozwalania kodu, to jest po prostu niemożliwe! Takie sytuacje w informatyce nie występują! Rozumiesz? W informatyce używa się do tego takich właśnie dziur, błędów programistycznych itp, które w zasadzie są otwartymi furtkami. Niczego nie trzeba wyważać, niczego nie trzeba niszczyć. Po prostu jak wiesz jak, wchodzisz do środka.

    • Takie pytanie do rozumiejących temat nieco lepiej :-)
      Ponieważ dane można kopiować wciąż zostawiając ich nienaruszoną “oryginalną” kopię ;-) na swoim miejscu, trzeba to przecież traktować nieco inaczej od kradzieży fizycznego przedmiotu np. wspomnianego już samochodu, gdzie wiąże się to z faktem że właściciel niechybnie został pozbawiony z możliwości dalszego dotykania czy używania tegoż przedmiotu. Długie to zdanie było…
      PYTANIE:
      Jak powinniśmy traktować sytuację, gdy wchodzę sobie na serwer bazodanowy taką otwartą furtką i kopiuję sobie jakieś tam poufne/prywatne dane?

      Dziękuję :-)

    • @ Bartek,

      Uzyskujesz dostęp do danych do których nie masz uprawnienia, co jest nie zgodne z prawem.

  8. “Wszystko co w internecie co nie jest zabronione, jest dozwolone.”

    czemu tu nie zastosować tej przepięknej zasady? Otwierasz port, wystawiasz jakiś serwis w necie, ktoś inny ma prawo wejść. Nie chcesz by wchodził, nie otwierasz portu! Proste?
    Inna rzecz się ma w używaniu badziewia! Np. taki Microsoft Windows i wszystkie jego produkty! System tak dziurawy i przez to mają tracić ludzie? Zapłacili, kupili gówno, napisali swoje gówno i teraz mają pretensje? Do kogo? Do ludzi, którzy wchodzą, bo można? Tak trudno stworzyć JAKOŚĆ? Za dużo kosztuje? No przepraszam! Zamiast pójść na jakość, to lepiej stworzyć prawo i wsadzać za kratki.

    Gdzie tu jest sens? Gdzie logika?

  9. @ciekawy
    ‘Ktos kto chodzi po osiedlu i “testuje” zamki w samochodach nie jest przestepcą’ – o ile się orientuję, to właśnie tak jest (oczywiście, jeżeli nie ma wytrychów i nic nie uszkadza). Różnica się robi w momencie podjęcia decyzji, co robić dalej po znalezieniu “podatnego” zamka.

    • Rozumiem, że nie przeszkadza Ci, że ktos majstruje przy twoim zamku – zareagujesz dopiero jak samochodem odjedzie?
      powodzenia :)

  10. Mam wrażenie, że w myśl przepisów nadal przestępcą pozostaje ktoś, kto przypadkowo odkrywa jakiś błąd (np. wykonując zwykłe operacje na swoim koncie w banku nagle widzi dane osobowe innego człowieka) i niezwłocznie poinformuje o tym zarządcę systemu. Przecież nie działał “wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia “

    • co wiecej jesli zmienił numerek w linku jak w sąsiednim artykule dotyczącym millennium to nie był spełniony warunek “a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody” ponieważ szkoda (ujawnienie danych osoby trzeciej) się zadziała i może być na to dowód w logach serwisu czyli z otwieraniem szampana bym poczekał

  11. To tak jak mieć samochód postawiony w publicznym miejscu i nie mieć nic przeciwko, gdy ktoś nam majstruje przy zamku, by sprawdzić szereg podatności. Przecie takie “penautesty” też raczej nie powinny być karalne, no w przypadku wykrycia błędów, osoba, co je dostrzegła, może, np. powiadomić właściciela, że jeździ zbugowanym autem, czy coś. xD

    • Tylko do samochodu nie masz backupów.
      Hmm… wolałbym, żeby ktoś majstrował przy samochodzie i mi powiedział, że łatwo go ukraść niż bym obudził się rano bez niego. Szczególnie istotne jest to, że w necie jest znacznie więcej złodziei takich “samochodów”, więc jeśli są tacy, co zwiększą moją czujność i bezpieczeństwo bez strat, jestem za.

      Mam tą sposobność, że wiem jak to jest być na miejscu i testującego “samochody” i właściciela “samochodu”. Nierzadko bywa też, że ten testujący staje się zawodowym “strażnikiem samochodu”.

    • No właśnie nie masz pojęcia kto ci przy tym samochodzie majstruje i jakie on ma intencje, więc jest jednak bardzo duże prawdopodobieństwo, że jak się obudzisz to już tego samochodu nie będzie, zwłaszcza jeśli jest on coś wart. Problem z tą całą sytuacją jest taki, że taka osoba zawsze może powiedzieć, że “chciała się tylko przejechać i sprawdzić czy pojazd nie ma czasem innych bugów”, no bo przecież nie chciałbyś się znaleźć w takiej sytuacji, że hamulce wysiałby w trakcie jazdy na wakacje czy coś. xD

  12. Nie rozumiecie niczego ludzie. Informatyka to nie samochodowa dżungla! W informatyce nie można niczego zepsuć, jeśli się nie ma dostępu. W samochodach zaś ten dostęp należy sobie wypracować, czyli coś zniszczyć, zepsuć itd. W informatyce wykorzystuje się dziury, błędy w programach. Nie ma dziury – nic nie zrobisz! Jest dziura – po prostu sobie wchodzisz! Kapewu? Jak nie rozumiecie różnicy, to może zajmijcie się czymś prostszym, bo to własnie dzięki takim ludziom jak wy ten świat zapełnia się coraz większymi paradoksami!

    • No właśnie nie kapewu. Co jak zostawię otwarte drzwi w samochodzie i kluczyki w stacyjce? Zasada jest prosta — nie masz upoważnienia do robienia pentestów, nie możesz ich przeprowadzać. W przeciwnym razie będziesz miał całą falę nadużyć.

    • Jeżeli ukradną ci auto, bo było otwarte i kluczyki w drzwiach, to żaden myślący ubezpieczyciel nie wypłaci ci odszkodowania, bo wina jest tylko i wyłącznie twoja. A ewentualne postępowanie będzie umorzone ze względu na niską szkodliwość społeczną.

      Podobnie zatem i tutaj – jeżeli tester wykorzysta lukę nie niszcząc danych/systemu i powiadomi właściciela/twórcę o błędach, to na co mamy mu tu jeszcze stresów prawnych dokładać?

      Mówię to z perspektywy twórcy paru poważnych zintegrowanych systemów sprzętowo-programowych – jeżeli ktokolwiek znajdzie błąd w jakimkolwiek naszym systemie i nas o nim poinformuje, to oprócz całkowitej dyskrecji może liczyć na wyeliminowanie błędu u wszystkich (!) Klientów korzystających z tego systemu w terminie D+2 (maksymalnie do 48 godzin po wprowadzeniu łatki do systemu dystrybucji) poprzez system cyfrowo podpisanych automatycznych aktualizacji.

  13. NIEDZĄDNICY!

    ZAMIAST ZAMYKAĆ LUDZI DO WIĘZIEŃ TYLKO DLATEGO, ŻE MACIE W GŁĘBOKIM POWAŻANIU WIEDZĘ INFORMATYCZNĄ I DOBRE INTENCJE ZWYCZAJNYCH LUDZI FASCYNATÓW ITD ITP, ZACZNIJCIE SIĘ UCZYĆ I TWORZYĆ JAKOŚCIOWO DOBRY KOD! ZA WASZĄ NIEWIEDZĘ NIE POWINNI PŁACIĆ LUDZIE, KTÓRZY TA WIEDZĘ MAJĄ!

    • o tototototo, tylko znajdź mi takiego Policjanta lub prokuratora który to zrozumie, bo oni wykonują te przepisy, a ze ich nie znaj to inna rzecz, dlatego tak ważne jest w każdym przypadku w którym policja jest uwikłana, dostać konkretnie na miejscu, na piśmie, z jakiego paragrafu ” im się wydaje” [ najczęściej ] cie zatrzymują / dają mandat

    • Tak mi się przypomniało:
      A: [coś tam pisze DUŻYMI LITERAMI]
      B: Wciśnij Caps Lock.
      A: DZIĘKI. O WIELE ŁATWIEJ SIĘ PISZE.

  14. “Ciekawe” macie podejscie ;)
    Złodziej który sie włamuje i niczego nie zepsuje jest uczciwym człowiekiem ;)
    Złodziejem nie jest ten kto sie włamuje, ale jeszcze nic wam nie zabrał – to tester ;)
    Wiec życze Wam powodzenia, jak bedziecie mieli samochody z cyfrowymi zamkami i codziennie bedzie ktos sie kolonich krecic i testowal zabezpieczenia. Nic wam nie zniszczy, ale nie bedziecie wiedzieli czy i kiedy samochod zmieni wlasciciela.
    Oczywiscie zawsze jest nadzieja, ze to bedzie tester, ktory po wlamaniu poda Wam informacje o slabosci zabezpieczen, bedziecie go mogli nawet zatrudnic do pilnowania samochodu ;)

    A teraz na powaznie. Dla mnie kazdy kto bez mojej zgody grzebie w moim mieniu jest przestepca. Potencjalnym zlodziejem lub innym bandyta.
    Podobno w USA, kazdy kto wkroczy na teren prywatny bez zgody wlasciciela, moze byc zastrzelony bez konsekwencji. Nie wazne, czy “cos testowal” czy mial gorsze zamiary.
    Moim zdaniem podobnie powinno byc w informatyce.
    Jak ktos chce szukac dziur w systemach – prosze bardzo – ale niech najpierw o tym powiadomi wlasciciela podajac swoje dane i uzyska zgode.
    A tak to niczym sie to nie rozni od “testowania” wiernosci zony naszego kumpla.
    Chcieli byscie aby ciagle ktos “testowal” czyu wasza kobieta jest wierna? ;)
    Ja nie, i w pierdol dostalby kazdy, kto by sie do niej zblizyl.
    Jezeli wolicie stac z boku i patrzec jak sie sytuacja rozwinie to wasza sprawa..

    • Tesli nie da się tak łatwo “ukraść” – przypisana jest do konta chmurowego i do telefonu właściciela, który może ją zdalnie unieruchomić w takiej sytuacji i sprawdzić lokalizację. A offline to ten samochód nie wystartuje bez wizyty w serwisie, gdzie pierwsza rzecz to sprawdzenie właściciela ;)

    • Trochę to jak porównanie co lepsze rower czy samochód.
      Dla jednego rower dla drugiego samochód.

      I ważniejsze, co innego jest RÓŻNICA jest od tego jak uważasz, że powinno być IDEALNIE a od tego jest RZECZYWIŚCIE. Jeśli PRAWO narzucone jest PRZECIW naturze ludzkiej lub jest trudne lub niemożliwe do wykrycia to wprowadzone na zasadzie tak masz robić i już a jak nie, to jak Cię złapię to wpierd….l. = nie działa w zamierzony sposób.

      Co do obowiązku zgłoszenia przed “testami” (bez obowiązku zgody) dobry pomysł, nie dostarcza czasowych problemów i od razu odkrywa intencje oraz daję szanse na obserwację “właścicielowi”.

      Co do wierności żony – to mogę się o skrzynkę dobrej whisky założyć, że tak to nie działa. I chujowa to relacja, jak wierność zależy od tego kto silniejszy mąż czy potencjalny kochanek.
      PS, jak jest atrakcyjna, to tak czy siak jest “testowana”, jedynie małe pieski się mogą bać. Jak babcia moja żyła to mi 1000 razy powtarzała, jak suka (sunia – samica psa) to pies nie weźmie (może to nie jest na 100% prawda zawsze i wszędzie, ale coś w tym jest).

      Pozdrawiam.

    • @Lukasz032 – tylko, że w przypadku aut ilość elektroniki działa na ich niekorzyść. Poza psuciem się dochodzą kwestie kradzieży właśnie – kiedyś aby ukraść auto trzeba było wybić szybę lub rozwalić zamek, następnie złamać mechanicznie blokadę kierownicy, zamrozić blokadę skrzyni biegów i puknąć ją dużym młotkiem, po czym rozryć kable pod deską rozdzielczą i wiedzieć które kable połączyć aby uruchomić silnik. Dziś, w dobie systemów chmurowych, zamków Hands Free i odpalania na guzik wystarczy mieć kompa i dobre oprogramowanie – 99% aut kradnie się poprzez podłączenie do gniazda diagnostycznego i wydaniu odpowiednich poleceń.

    • @Marek: Twoja babcia nie słyszała nigdy o córkach alkoholików, kobietach molestowanych w dzieciństwie i innych osobach psychicznie niezdolnych do powiedzenia “nie”? Słyszała, nie słyszała — żyła w takich czasach, że przeżycie było sukcesem. Ale może chociaż ty jesteś się w stanie wznieść na wyższy poziom?

  15. :facepalm:
    nie wiem kto tu komentuje, ale z tymi samochodami to przesadzacie. ( w sumie mam nadzieje, ze to jedna osoba, bo trudno mi uwierzyc, ze tylu z Was nie widzi roznicy miedzy samochodem a internetem :facepalm: )
    Mozna porownywac jablka i pomarancze do woli. I tylko dyletanci beda sie wciaz mylic. Dobrze ze senatorzy zapytali kogos, kto jest przy zmyslach ( smak, kolor, zapach, dotyk pozwalaja odroznic jablko od pomaranczy w miare szybko; niestety rzucenie o ziemie, zeby sprawdzic dzwiek – po ktorym nota bene mozna je tez rozroznic – spowoduje szkode ).

    • Porownanie zawsze bedzie mialo wady. jedo bedzie blizsze, inne mniej trafne. Ale tu nie chodzi o szukania roznic miedzy samochodem a internetem.
      Chodzi o prawo wlasnosci.
      Zaden sysyem nie jest doskonaly i mozna sie wlamac. To kwestia czasu i umiejetnosci.
      Prawo ktore pozwala na “testowanie” systemow, jest jak przyzwolenie do grzebania w zamkach przy drzwiach.
      W tej chwili kiedy stwierdze chrobotanie w zamku, moge wezwac policje i zapobiec wlamaniu.
      Prawo ktore pozwala na “terstowanie” systemow, jest jak przyzwolenie do grzebania w zamku moich drzwi. nie moge tego zglosic bo “testerowi” wolno, mam czekac, az drzywi otworzy i zareagowac dopiero kiedy mi meble wynosi?
      Wczesniej nie moge, bo moze dzialal z dobrej woli i chce mi pokazac, jak zamek byl slaby?
      Sory, ale nawet jezeli “tester” ma dobre intencje, nie wyobrazam sobie aby robiol cokolwiek bez mojej zgody.
      Testowanie systemow moze byc dopuszczalne, ale tylko i wylacznie po uzyskanie zgody wlasciciela systemu.
      Kazde zlamanie systemu wykonane bez uzyskania zgody, nawet jezeli bylo slabe a intencje “testera” szczytne, powinno byc karalne.

      Nie wiem gdzie sie wychowaliscie, ale u mnie nikt nie wchodzi do obcego mieszkania bez pytania o zgode.
      Najpierw sie puka/dzwoni a dopiero po uzyskaniu zaproszenia – wchodzi do srodka.
      Jezeli nikt nie zaprosil, nie wchodze, chcbym wiedzial, ze ktos jest w srodku a drzwi byly otwarte.
      To kwestia kultury i poszanowania czyjejs wlasnosci.
      Moim zdaniem, do osob ktore wchodza na teremn prywatny bez pytania powinno sie strzelac, a wlamywaczy (komputerowych tez) karac, zanim narobia strat.

    • A jakaż to jest różnica między samochodem a “internetem”, gdy chodzi o nieuprawniony dostęp do “nieswojego”? xD

    • @ciekawy
      lasy (rezerwaty) też mogą być prywatne (cudze) i jeśli nie są ogrodzone (oznakowane) to możesz je testować do woli, co innego jeśli są odpowiednie informacje. Widocznie wychowywałeś się daleko od lasów/rezerwatów. Dajmy na to, że mieszkasz w bloku na 10 piętrze i nie myślisz (bo nie masz po co), żeby bronić się przed włamem przez okno od strony ogródka należącego do wspólnoty mieszkaniowej. Ale ktoś kto mieszka na parterze chce sprawdzić czy da się włamać do niego wchodząc (w nieuprawniony sposób przez kotłownię od strony ogródka). Oczywiście zabronicie mu jako wspólnota, bo dziewięciu pięter na dziesięć to nie dotyczy. On legalnie nie będzie mógł sprawdzić (bo pójdzie siedzieć – w końcu nieuprawniony dostęp); wy śpicie spokojnie (do czasu) a włamywacz na wszystko leje, bo i tak mu wisi. Takiego porównania chciałeś? A nie… bo wy o samochodach tylko…. :facepalm:

    • @Morfik powiedz mi jakiej różnicy nie ma jak dotkniesz internetu, poliżesz go, powąchasz itp. I nie, nie chodzi o prawa autorskie, bo nie to jest tutaj kwestią sporną. Jeśli powiem gdzieś, że to ja jestem Morfik, to dopóki nie poniesiesz przez to żadnej szkody nie możesz mnie pociągnąć do odpowiedzialności. To jest właśnie różnica między testowaniem a działaniem na szkodę/kradzieżą tożsamości. Różnic między internetem a wszystkim innym jeśli chodzi o “własność prywatną” jest tak dużo, że brak jakichkolwiek podobieństw. internet jest narzędziem i w pierwszej mierze należy użytkowników szkolić jak z niego korzystać.

    • @uolaboga

      Czasem jak czytam wasze wypociny, to krew mnie zalewa. xD Czy widzisz różnicę między:

      “Ale ktoś kto mieszka na parterze chce sprawdzić czy da się włamać do niego…”
      i
      “Ale ktoś kto mieszka gdziekolwiek i chce sprawdzić czy da się włamać do CIEBIE…”

      KPW? xD

      Czy ja kiedykolwiek komukolwiek odmawiałem prawa do włamania się do swojego systemu, swojej sieci, swojego domu, swojego samochodu? Ja po prostu nie wiem dlaczego ktoś legalizuje np. włamanie do cudzej sieci bez uprzedniego otrzymania od właściciela stosownego upoważnienia. Masz sobie Google, czy Mozilla, które dają nagrody dla bughunterów. Nie mam nic przeciwko ale jeśli chcesz sobie testować czyjeś zabezpieczenia nieproszonym, to powinna za to grozić surowa kara, mniej więcej taka jak za próbę morderstwa. xD No bo przecie ten człowiek, może nie chciał cię zabić, może tylko sprawdzał czy nie masz czasem zbugowanych reakcji na zagrożenie? It’s a prank bro!!! xD

      Jeśli ten paragraf wejdzie w życie, to da przestępcom władzę do orzekania o swojej winie, a to już jest patologia. xD Jak ktoś uważa inaczej to ja zawsze mogę się z nim pobić na argumenty ale póki co nic sensownego nie wyczytałem.

      “Jeśli powiem gdzieś, że to ja jestem Morfik, to dopóki nie poniesiesz przez to żadnej szkody nie możesz mnie pociągnąć do odpowiedzialności.” — eee ale ja mam klucz GPG. Spróbuj teraz uzyskać ten klucz. Dasz radę to zrobić w sposób legalny? Raczej wątpię, że zgodnie z prawem dałbyś radę podpisać np. commity na GitHubie. Jak tylko byś próbował ten klucz wykraść, to nie myśl, że będę czekał aż mi szkodę wyrządzisz, np. psując jakiś projekt. xD Podobnie jest z kradzieżą dowodu osobistego. Nikogo nie obchodzi czy ty go wykorzystałeś czy nie i w jakim celu. Można co prawda domniemywać, że ty ten dowód znalazłeś i chciałeś go zwrócić ale czy tak faktycznie było, to już ustalą organy ścigania. xD Natomiast nie ma czegoś takiego, że ktoś znajdzie przy tobie 20 dowodów osobistych różnych ludzi i uzna “eee, po prostu je znalazł i szedł na komisariat je oddać”. xD Widzisz różnicę?

    • @Morfik
      Niby dobrze gadasz, ale chyba ta krew Ci ogranicza widzenie (take it easy, it’s a joke).
      Masz klucz i ok. Tylko, ze bez tego co ja powiedzialem i tak znajdzie sie ktos kto uwierzy mi bez Twojego klucza zanim Ty mu powiesz, ze ja to nie Ty. Juz widzisz co jest dla mnie wazne? szkolenie uzytkownikow. Wg starej ustawy tak przez Ciebie zachwalanej, mozna bowiem byc ukaranym za posiadanie siekiery (firefox) bo mozna nia wylamac drzwi (sql injection). Wszystkiego daloby sie uniknac gdyby budowlancy montowali drzwi metalowe zamiast drewnianych (glowa mi paruje od tych debilnych porownan). Jesli na swoim serwerze dasz tabliczke, ze nie chcesz by tam wchodzono, to masz prawo (zgodnie z prawem i nic wiecj) oczekiwac, ze nikt nie bedzie robil tam niechcianych testow. Widzisz juz roznice miedzy samochodem/domem a internetem. Hint: tabliczka przybita gwozdziem do drzwi i okien.
      Ale to wszystko jest malo wazne, bo zasadniczo rozumiem Twoj punkt widzenia (mimo, ze sie z nim nie zgadzam) i ma on swoje mocne strony. Nie zrozumiales jednak absolutnie mojej durnej metafory z wspolnota mieszkaniowa i ogrodkiem: tam gdzie pisalem o “nim” pisalem o “mnie” i o “Tobie”. Jesli nie widzisz roznicy miedzy danymi prywatnymi w sieci i prywatna wlasnoscia fizyczna to pewnie urodziles sie 10-15 lat po mnie i Ci to wisi. Twoje prywatne dane -chcesz czy nie- sa zarzadzane przez agencje rzadowe i prywatne przedsiebiorstwa. Odmawiasz sobie samemu prawa do sprawdzenia jak dobrze sa strzezone i pokladasz nieograniczone zaufanie w bandach zle lub gorzej oplacanych dyletantow, wiedzac, ze prawdziwi bandyci maja wszystkie ustawy w “glebokim ukryciu” – masz absolutnie do tego prawo. Tyle ze klasycznie raczej sie ktos pod Ciebie podszyje i kupi sobie wyspe na Atlantyku pozyskujac zle strzezone dane od operatora kablowki, niz podpisze sie pod Twoim projektem na GitHubie, co nie watpliwie byloby szkodliwe, ale jak sam powiedziales Ty masz klucz i to dobry, bo dbasz sam o swoje bezpieczeństwo.
      Ja natomiast uwazam, ze krytyczne systemy powinny byc jak najlepiej zabezpieczone przez osoby odpowiednie i odpowiedzialne. W ten sposob system nie stanie sie celem ataku scriptkiddies ani jakiejs masowki, a przed celowanym atakiem i tak rzadko kto jest sie w stanie uchronic. Zakazy i surowe kary za duperele to szeroka droga do spolecznego niezadowolenia. Nieuniknionosc (jest takie slowo w ogole?) kary (nawet malej) to dobra droga do praworzadnego (statystycznie) spoleczenstwa.
      Tyle w temacie – jasniej pisemnie nie potrafie, mozemy sie ustawic na piwo.

      PS
      Przepraszam za brak znakow diakrytycznych, ale pisze z tableta i nie mam sily.

  16. Takie pytanie do rozumiejących temat nieco dogłębniej.

    Ponieważ dane można kopiować wciąż zostawiając ich nienaruszoną “oryginalną” kopię ;-) na swoim miejscu, należałoby to przecież traktować nieco inaczej od kradzieży fizycznego przedmiotu np. wspomnianego już samochodu, gdzie wiąże się to już z niechybnym pozbawieniem możliwości dalszego dotykania czy używania tegoż przedmiotu przez jego właściciela. Długie to zdanie było…

    PYTANIE:
    Jak powinniśmy traktować sytuację, gdy wchodzę sobie na serwer bazodanowy taką otwartą furtką i kopiuję sobie jakieś tam poufne/prywatne dane?

    Dziękuję :-)

  17. (Traktuj moją odpowiedź jako filozoficzną a nie prawną)
    jako nieuprawniony dostęp do danych źle strzeżonych acz zastrzeżonych. Ni mniej ni więcej. W zasadzie ten który zostawił otwartą furtkę powinien ponieść odpowiedzialność. Tak jest przecież z samochodami – jeśli nie masz kluczyków to nici z ubezpieczenia, hehe (to sarkazm jest). Świat się zmienia i odpowiednia kategoria prawna powinna zostać stworzona, jeśli jeszcze wciąż nie istnieje.

  18. czyli co? będzie można próbować hackować, jak wykryją d*** chroniona, jak się uda złamać to korzyści?

  19. […] decyzjami wokół Protego Safe straciło bardzo dużo z zaufania, o które przez ostatnie lata ostro walczyło. A zaufania nie odbudowuje się z dnia na […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: