9:02
28/2/2017

Advertisement

Zaostrzenie kar za tworzenie narzędzi weryfikujących bezpieczeństwo systemów IT wydaje się nieuniknione. W ubiegły piątek Sejm przyjął przepisy o tzw. konfiskacie rozszerzonej, a wraz z nimi zaostrzył brzmienie już dziś kłopotliwego art. 269b Kodeksu karnego. Pentesterzy i osoby biorące udział w bug bounty narażają się na większą stratę niż obecnie, a dodatkowo łatwiej będzie ich podsłuchiwać.

Kuriozalny obrazek do kuriozalnego prawa

Kuriozalny obrazek do kuriozalnego prawa

Miało być złagodzenie, jest zaostrzenie…

W Niebezpieczniku już dwa razy pisaliśmy o tym, że prawo obejmujące szukanie luk powinno być złagodzone, ale będzie dokładnie na odwrót. Obecnie każde zgłoszenie dziury (nawet w dobrej wierze) może się skończyć zgłoszeniem sprawy do prokuratury. Wynika to z treści z art. 269b Kodeksu karnego, który obecnie brzmi tak.

Art. 269b. § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3

Problem w tym, że jeśli chcesz wykryć i/lub nagłośnić lukę bezpieczeństwa, musisz naruszyć tak brzmiący przepis. Nie ważne, że może chciałeś pomóc. Problem jest nie tylko teoretyczny. Pisaliśmy już o tym, jak to odkrywcę luki na stronach urzędu wojewódzkiego zatrzymała policja.

Nowe brzmienie art. 269b

Na ostatnim posiedzeniu Sejmu, 24 lutego, przyjęto przepisy o tzw. konfiskacie rozszerzonej. Chodzi o to by skazanemu zabrać majątek jakiego dorobił się na przestępstwach. Idea sama w sobie nie jest zła, ale w projekcie ustawy pojawiła się właśnie propozycja zaostrzenia tego nieszczęsnego art. 296b. Zaproponowano zwiększenie wymiaru kary i tym samym wprowadzono możliwość przepadku rozszerzonego wobec przestępstwa umyślnego wytwarzania, sprzedaży dostarczania narzędzi do popełniania przestępstw komputerowych.

Na stronie Sejmu znajdziecie wersję ustawy uchwaloną już przez Sejm i przekazaną do Senatu. W tej wersji projektu, nowe brzmienie art. 269b. jest następujące (wytłuściliśmy zmiany):

§ 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Teraz to dopiero będzie strasznie.

Niektórzy chcieli dobrze, ale wyszło jak zwykle

Niebezpiecznik nie kwestionuje potrzeby zaostrzenia kar dla przestępców. Zwracamy jedynie uwagę, że art. 269b może zaszkodzić ludziom dbającym o nasze bezpieczeństwo. Możnaby w tym zakresie znacznie poprawić Kodeks karny i jest już gotowy pomysł jak to zrobić. Ten pomysł w listopadzie ub.r. przedstawiła minister cyfryzacji Anna Streżyńska. Zaproponowała ona wprowadzenie do kodeksu karnego tzw. kontratypów, czyli przepisów wyłączających karalność “szukania dziur” w określonych okolicznościach. Niestety jak dotąd nie widzieliśmy żadnego projektu ustawy, który wprowadzałby te kontratypy.

W obliczu ostatnich decyzji Sejmu powinno się podjąć starania o jak najszybsze naprawienie art. 269b. Niestety pentesterzy i bugbounterzy w większości polityków nie obchodzą. Wiemy, że minister Streżyńska się nami przejmuje, ale tutaj konieczna jest reakcja ministra sprawiedliwości.

Łatwiejszy podsłuch pentesterów i osób biorących udział w bug bounty

Nawiasem mówiąc projekt przepisów o konfiskacie rozszerzonej wzbudza kontrowersje również z innego powodu. Rozszerza on możliwość stosowania podsłuchów. Prokurator będzie mógł o tym zdecydować jeśli tylko uzna, że podsłuch jest konieczny do zidentyfikowania mienia zagrożonego przepadkiem. O zagrożeniach związanych z takim prawem donosiła już m.in. Fundacja Panoptykon.

Omawiany projekt ma ogromne szanse na wejście w życie. W obecnej kadencji Sejmu ponad 3/5 ustaw przyjmowana jest bez poprawek Senatu, a Prezydent jak na razie podpisuje wszystko.

Przeczytaj także:

90 komentarzy

Dodaj komentarz
  1. Bo jest tylko czarne i białe. Nie ma miejsca na logikę rozmytą ;)

    • chciałbym, żeby w ogóle była logika.

    • @Przelacz na “górze” jest logika, a niżej są”pożyteczni” idioci. Nie ma przypadków w polityce. Gra słów jest dobra dla naiwnego motłochu, a liczy się tylko skutek.

    • jest tylko prawo albo sprawiedliwosc…
      szkoda, ze jedno wyklucza drugie w obecnej kadencji ;)
      ciekawe tylko, kiedy wszystkie sluzby pojda siedziec. Bo przeciez o ile podsluchiwanie itd. jest legalne to kazdy dostep ( nieuprawniony, czyli taki o ktorym wlasciciel nie wie) jest karalny, czyz nie?

  2. Czy w obliczy tych zmian wszystkie prywatne firmy wytwarzające oprogramowanie udostępnianie i sprzedawane m. in. rządom do szpiegowania ludzi (sprawa telefonu terrorysty z San Bernardino) na działające na terytorium Polski staną się nielegalne?

  3. Putin i ekipa otwierają szampana ;D A my odpalamy TORa i VPN. Juz nikt nic nie zglosi organą, żadnego błędu… skorzystają Ci który będą te błędy wykorzystywać.

    • Ano właśnie, bezpieczniej będzie sprzedać informacje o luce obcym mocarstwom niż zgłosić w dobrej wierze, kiedy to prawo i tak traktuje cię jako przestępcę. Wracamy do czasów komuny…

    • W Polszy nie opłaca się ujawniać luk ich właścicielom, jedyne co dostaniesz to poszczucie “prokuraturom”. Sprzedawajcie ruskim ;)

    • niestety. Polska to przywara. Gdybysmy mieli wojne, to pewnie bysmy walczyli z wrogiem, a tak to musimy sami ze soba. Co za narod!

  4. Porażka :) Zgaduję, że ktoś przedstawił dobre strony szukania bugów, programy bug bounty itp. a polskie cebule jak usłyszały, że można na bugach zarabiać od razu uznały to za jeszcze większe przestępstwo a jednocześnie znalazły genialny sposób na wzbogacenie się. Kraj w którym nie opłaca cię nic, bo w najlepszym wypadku cię częściowo okradną…

  5. A mi się taka zmiana podoba. Wiele osób może nie mieć świadomości, że w korporacjach działają prywatne zespoły ds. bezpieczeństwa – złożone nie tylko z pentesterów, ale generalnie z osób o bardzo różnych specjalizacjach, które na skalę masową łamią prawo.

    Tak, po prostu łamią prawo.

    Pracując w jednej z poznańskiej korporacji zajmujących się szeroko pojętym e-commerce, wielokrotnie rozmawiałem z paroma takimi osobami, widziałem też stosowane narzędzia – i prawda jest taka, że oni wykonują czynności, na które monopol ma państwo. Ergo, łamią prawo.

    Przykładowo przetwarzając dane osobowe na skalę masową w sposób, którego prawo nie dopuszcza, głównie w celu szukania powiązań pomiędzy “podejrzanymi” kontami.

    Co więcej, dowiedziałem się też (i chętnie to zeznam pod przysięgą), że wg moich rozmówców niejednokrotnie dochodziło do nieoficjalnej wymiany informacji pomiędzy osobami z takich zespołów, zatrudnionymi w *różnych organizacjach*, rzekomo w celu ogólnej poprawy bezpieczeństwa. Wymiany, która wg wiedzy samych zainteresowanych jest nielegalna i w żadnym wypadku nie mogła by zachodzić oficjalnie.

    Więc o ile nie lubię PiS i nie zgadzam się z nimi wielu sprawach prawno-światopoglądowych, o tyle mam nadzieję, że zdołają ukrócić działalność różnych prywatnych bezpiek poinstalowanych w różnych korporacjach.

    • W artykule jest mowa o karaniu za poinformowanie właściciela wadliwego softu, a nie osób trzecich.

    • Tomasz, współpraca pomiędzy organizacjami jest oficjalna i biorą w niej udział zarówno instytucje europejskie, jak i polskie – państwowe – np. NASK.
      https://www.enisa.europa.eu/topics/national-csirt-network/csirt-inventory/certs-by-country-interactive-map
      Mapowanie powiązań między danymi w celu eliminacji przestępców czy naciągaczy to część normalnej działalności Banków, Biur Informacji Gospodarczej etc.
      Co więcej, robią to też np. dziennikarze, czy działacze polityczni – niegdyś np. prof. Zybertowicz (związany z PiS) chwalił się w mediach, że gromadzi dane i wylicza powiązania, szukając tzw. “układu” – i korzysta z podobnych rozwiązań co korporacje. Może warto zgłosić go na policję?

    • boze slyszeysz i nie grzmisz, az normalnie mi sie krew zagotowala jak przeczytalem twoj tekst, to ze czegos nie rozumiesz nie znaczy wcale ze masz prawo sie wypowiadac w tym temacie, ja pierdole, i wlasnie tacy “geniusze” tworza prawo w Polsce albo sa kadra zarzadzajaca

      proponuje najpierw sie douczyc a dopiero pozniej pieprzyc glupoty
      a zanim cos powiesz, tak, wiem do kogo mowie, po twoim CV widac ze latajac od jednej firmy do drugiej zajmowales sie “wszystkim”, czyli tak naprawde czym ? specjalista od wszystkiego, kufa jego mac

    • aż mi się przypomniał pewien tekst który był komentarzem do innej sprawy, ale tutaj też dobrze pasuje

      “Nie wiem, o co chodzi, ale to oburzające”

    • Nie wiem o co chodzi, więc się wypowiem. Brawo!
      Oczywiście, że większość osób zajmujących się bezpieczeństwem na podstawie obecnych przepisów również łamała prawo. Zaostrzenie prawa jedynie zwiększy ryzyko zajmowania się tą działką. I nie chodzi tylko o bug Bounty i pentesterów. Praktycznie każda osoba zajmująca się bezpieczeństwem posiada tego typu narzędzia. Jeśli trzymać się literalnie prawa, to de facto w Polsce nie wolno bronic się przed atakami informatycznymi. Bo o ile atakujący ma prawo w dupie, o tyle pracownik odpowiadający za bezpieczeństwo naraża się na odsiadkę. Idiotyzm tej konstrukcji prawnej jest przerażający.

    • Zaraz, zaraz – jeśli ci ludzie faktycznie, jak napisałeś – łamią prawo – to w jaki niby sposób kolejne prawo miało temu zapobiegać? Jeśli zaś nie łamią prawa, a według ciebie to, co robią, powinno być nielegalne – należy stworzyć regulację, która precyzyjnie ukróci tego typu praktyki. Ty zaś przyklaskujesz zmianie, która powoduje, że bezpieczniej jest informacje sprzedać na ruskim forum niż przekazać właściwym instytucjom/organom, zaś każdy geek rozwijający jakiekolwiek narzędzia wspomagające testy (nieważne, czy to wtyczka do Burpa, exploit, czy jakiś skrypcik ułatwiający generowanie słowników haseł) może trafić pierdla. Nic, tylko zmienić kraj zamieszkania. Zacytowałbym chętnie pana Stonogę, ale wtedy komentarz nie przeszedłby moderacji.

    • Boze, widzisz i nie grzmisz! a nie… sory nie widzisz, bo przeciez to niezgodne z prawem. Przeciez w zasadzie autor powinien poinformowac organy scigania, chyba ze to on sam lamie prawo, albo jego bliscy…

  6. “As software architect, I built biggest Polish e-commerce payment platform “Pay with Allegro” (currently known as “PayU”).”
    :)

  7. A w przepisach jest mowa o karach za podejmowanie określonych czynności, zaś kwestia informowania czy nawet intencji jest tak naprawdę w ogóle drugorzędna.

    • Tak, skoncentrujmy się na zapisach Ustawy. Jest w niej mowa na przykład o karze za wytwarzanie i pozyskiwanie programów i urządzeń przystosowanych do popełnienia przestępstw wymienionych w określonych paragrafach KK.

      Weźmy więc “na warsztat” przykładowo wymieniony w nowej ustawie art. 268a § 1 KK, czyli “Kto nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia, lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie, lub przekazywanie takich danych, podlega karze (…)”.

      – zniszczyć, uszkodzić, usunąć, zmienić dane informatyczne można m. in. edytorem tekstu, narzędziami do zarządzania bazą danych, elektromagnesem,
      – utrudnić dostęp można przede wszystkim każdym systemem uprawnień użytkowników,
      – zakłócić lub uniemożliwić automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych można programem antywirusowym, wtyczką blokującą skrypty, kombinerkami (przecinając kabel),
      – narzędziem mogącym posłużyć do wszystkich czynności wymienionych w art. 268a § 1 KK jest także oczywiście komputer ;)

      Jeśli traktować literalnie nowe brzmienie art.269b § 1, to w połączeniu z niezmieniającym się art. 268a § 1 KK, to można nałożyć karę na osobę pozyskującą lub wytwarzającą te programy i urządzenia.

      Można sobie tłumaczyć, że intencją Ustawodawcy było ustanowienie kary za pozyskiwanie lub wytwarzanie programów lub urządzeń, których jedynym przeznaczeniem jest nieuprawniona ingerencja w system informatyczny (sztandarowym przykładem może być skimmer). Ale, jak słusznie napisałeś, kwestia intencji jest drugorzędna, liczy się działanie.

      Działaniem w przypadku Ustawodawcy jest tworzenie przepisów. Ten konkretny przepis jest wadliwy, ponieważ daje niemal nieskończone możliwości interpretacji, co w konsekwencji umożliwia wybiórcze stosowanie prawa.

  8. I bardzo dobrze, nie będą zgłaszać bugów, administratorzy będą mieli święty spokój.

  9. Serio? XXI wiek, ludzie z IT rządzący infrastrukturami a oni srają nam do gniazd? Założyć pora związki zawodowe IT, i wyłączać w bankach serwery w ramach protestów, to się nauczą. W Erze cyfryzacji to It ma władzę.

    • I co to zmieni ? kotoglaszczacy wodz nawet konta nie ma w banku :P
      Majatku partii tez nie trzymaja zapewne w polskich bankach.

  10. Przecież suweren chciał dobrą zmianę to o co chodzi? :)

  11. Czyżby pelikan, który łyka wszystko? Jak można wszystko podpisywać? Ja już się boję ŻYĆ w tym kraju.

    Proszę o sekcję jak ŻYĆ, gdy RZYĆ lub “co robić, jak RZYĆ”.

  12. Pierwsza wersja przepisu karała za podanie żonie swojego hasła do maila :) Ten stary i nowy przepis wiele mówi o kretynach generujących nam prawo. Urzędasy tworzące bezmyślne przepisy, parobki w garniturach i słomą w butach głosujący w sejmie i maliniak, który to podpisuje bez czytania. Koniec jest bliski.

    • Poczekaj jeszcze trochę i dokumenty u prawników i u tych urzędasów będą chronione jedynie tajemnicą adwokacką, a ta daje 10000% bezpieczeństwa.

  13. zamiast:
    “a także hasła komputerowe, kody …”
    powinno być:
    “a także zbywa lub udostępnia hasła komputerowe, kody …”

    obecny projekt ustawy jest po prostu błędny – bo jak można karać za “wytwarzanie i pozyskiwanie”?

  14. beton, siedzą tam ludzie którzy nie mają pojęcia (o niczym) jak funkcjonuje internet i komputer, myślą, że zakażą i będzie spokój

    ostatnia akcja z drzewami; dlaczego w przepisach jak ktoś chce przeprowadzić wycinkę jako firma nie może tego zrobić? aa bo tylko LP ma monopol na sprzedaż drewna!

    dlaczego ja jako jednoosobowy przedsiębiorca który obsługuje różne firmy mam pisać na fakturach ile godzin poświęciłem na wykonanie zadania? aa bo pisząc tą ustawę skupili się tylko na “samo zatrudnionych” w firmach!

  15. @wojtekk @Angelus może uściślę kilka spraw:

    1. Tak się składa, że uzyskałem *z pierwszej ręki* kilka informacji nt. działalności zespołów bezpieczeństwa w korporacjach, nie tylko w mojej macierzystej. Nie ukrywam, że pozyskałem je m.in. umiejętnie ciągnąc za język odpowiednie osoby, z którymi nawiązałem też relacje prywatne.

    Powtórzę więc raz jeszcze: pomiędzy co najmniej niektórymi zespołami bezpieczeństwa zachodzi m.in. wymiana danych osobowych, wykraczająca poza to, na co pozwala polska Ustawa o ochronie danych osobowych. I żadne porozumienia nie są w stanie tego zmienić.

    Co więcej, *doskonale zdają sobie z tego sprawę co najmniej niektórzy członkowie takich zespołów* i wiedzą, że muszą działać bardzo ostrożnie, w tym dokładnie weryfikując osoby po drugiej stronie – jednakże z różnych powodów nie przyznają się do niczego oficjalnie.

    2. Doskonale rozumiem cel tej wymiany, jak i używane metody. Ba, powiem więcej: współtworzyłem niektóre ze stosowanych narzędzi. I widziałem kilka kolejnych narzędzi w akcji. Więc wiem dokładnie, jakie techniki są stosowane (chociaż najprawdopodobniej znam mimo wszystko tylko niewielki wycinek).

    Po prostu wraz z wiekiem zmądrzałem i nie uważam za właściwe wspierania organów państwowych. W czymkolwiek. A już tym bardziej kosztem łamania prawa.

    • Rozumiem, o czym piszesz. Jednak nie potrafię zrozumieć, w jaki sposób nowy przepis miałby zapobiec omawianym przez Ciebie praktykom.

    • Tomasz, powiedzmy ze ja jestem informatykiem, który oferuje usługę deszyfrowania dysków komputerów zainfekowanych ransomware. Dla uproszczenia, ludzie wysyłają mi swoje dyski, ja dokonuje analizy (za 200 lub 280 netto) i zaleznie od rezultatów deszyfruje bądź nie, dany dysk.
      W myśl tego przepisu, w momencie gdy ktoś prześle mi zainfekowany dysk, ja pozyskuje program przeznaczony do łamania prawa, ponieważ na dysku jest ransomware. Wtedy podpadam pod paragraf.

    • 1.
      powiedz to raczej otwarcie: zamiast ” z wiekiem zmadrzalem” powiedz ” widze jaki bylem glupi”.
      2.
      skoro cieszysz sie z obecnego brzmienia, to powinienes isc doniesc na siebie samego, bo sam mowisz, ze “brales udzial”.

      Ad 1
      niestety musze Cie rozczarowac: dalej nie jestes zbyt madry, bo “zaosztrzanie” (niemadre skadinad) przepisow niestety nie spowoduje, ze ludzie beda nagle praworzadnie ich przestrzegac. Skoro jestes juz taki stary, to powinienes zauwazyc, ze swiat jest zbudowany na kompromisach. Dopoki prawo nie bedzie sie oplacalo, nie bedzie sprawiedliwosci.
      Niemcy nie sa praworzadni (ordnung muss sein), bo lubia, lecz dlatego, ze ich prawo jest tak skonstruowane, ze oplaca sie byc (w miare) praworzadnym. Wilk syty, owca cala, a Angeli w to graj.

  16. Uwaga, uwaga!!! Właśnie uzyskałem i teraz wszystkim udostępniam hasło umożliwiające dostęp do ok. 17% systemów informatycznych, tj.

    123456

    :)

    – źródło https://www.techworm.net/2017/01/123456-common-password-2016-reveals-study.html

    Czy po wprowadzeniu nowych przepisów grozi mi odpowiedzialność karna ? Czy tak uzyskanego hasła nie będę mógł użyć do swojej poczty?

    Przy tak sformułowanym przepisie to chyba mogę już pakować szczoteczkę do zębów.

    “…a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej…”

  17. Czyż szkolenia z bezpieczeństwa, wykrywania luk w systemach, omawianie sposobów wykorzystywanych przez przestępców w brzmieniu nowej ustawy nie będą już takim narzędziem?

  18. Panowie, rozsadku. Siejecie bezsensowna panike. Czy ktos sie pofatygowal przeczytac przepisy czy tylko opracowanie panopticonu?

    zeby nawet czlowiek nie mogl w spokoju poczytac Niebezpiecznika bez napotykania powklejanych kawalkow biuletynow partyjnych.

    ATSD jak chcecie zrobic cos pozytecznego to zajmijcie sie moze tym jak bedzie wprowadzane rozporzadzenie dotyczace ochrony danych osobowych w postaci adresow IP w logach serwerow. Powinniscie wiedziec co to oznacza dla wszystkich ‘malych’ uslugodawcow sieciowych, blogerow, serwisow www itd… A wy ‘zwalczacie pis…’ Zabawa w piaskownicy…

    • Oświeć mnie proszę co wyczytałeś w przepisach, że uważasz, że nie jest tu sianie bezsensownej paniki? Poprzedni przepis (praktycznie niezmieniony) był idiotyczny. Obecny przepis zmienił się o tyle, że zwiększa kary za wskazane “przewinienia”. Zamiast iść w kierunku ucywilizowania tego obszaru, wprowadza się jeszcze większą głupotę niż była. Owszem – warto o tym pisać i protestować. Panoptykon jest zafiksowany za śledzeniu, inwigilacji, itd (wiadomo dlaczego – to ich działka). Akurat dla mnie ten aspekt jest mniej istotny.

      A rozporządzenie o ochronie danych osobowych to takie bagno, że nawet nie wiadomo jak się za to zabrać, żeby nie utonąć. Większość firm nigdy nie spełni tych wymogów. IPki na serwerach to tylko jeden z kwiatków. I duże firmy będą tak samo leżały. Na konkurencyjnym portalu jest kilka artykułów na ten temat, ale też niczego praktycznego nie poradzili (bo i co?).

  19. Powinniście się cieszyć, że nie pójdziecie siedzieć za posiadanie np. Kali linuxa. Ale to kwestia czasu, bo jak wiadomo PAŃSTWO wie lepiej czego potrzeba obywatelom i jak o nich dbać.

  20. Przegłosowana wersja przepisu (podobnie jak poprzednia) jest idiotyzmem pokazującym tylko zacofanie i kompletny brak zrozumienia zagadnienia ze strony autorów. Kulawa, nie rozwiązująca zbyt wiele, propozycja rzucona przez minister Strzeżyńską z kontratypami była chociaż jakimś krokiem w dobrym kierunku.
    O ile przyjąć bardziej życiową interpretację przepisu (tzn sama komenda wget, czy nc nie jest traktowana jako narzędzie “hackerskie”), to i tak jakieś 90% osób zajmujących się zawodowo, hobbystycznie, czy naukowo bezpieczeństwem reglarnie podpada pod art 269b. Co więcej – jest to warunek konieczny otrzymywania kasy (jeśli ktoś zajmuje się bezpieczeństwem zawodowo), więc patrząc na to literalnie – jest to równoważne ze zdelegalizowaniem tej profesji w Polsce. Moim zdaniem:

    – audyt haseł – narzędzia hackerskie
    – testy wifi – narzędzia hackerskie
    – OpenVAS, Nessus, NMAP z wtyczkami – narzędzia hackerskie
    – Metasploit do testów bezpieczeństwa – nic z tego
    – skrypty do pentestów – zapomnij
    – projektowanie algorytmów/urządzeń do np faktoryzacji liczb na czynniki – przecież to tool wprost z arsenału zła
    – wireshark – już sama nazwa jest podejrzana ;) ale można go używać do nieautoryzowanego pozyskania np. haseł

    Oczywiście wystarczy przeprowadzić się do UK i można już spokojnie wykonywać usługi dla polskich firm w tym zakresie. Uczelni jednak nie przeniesiemy za granice. Jednocześnie nie słychać jakoś o tym, żeby przestępcy z zagranicy się przejmowali tym, jakie mamy w Polsce prawo.

    Aha – łamią prawo też osoby pracujące w służbach walczących z przestępczością informatyczną i/lub zajmujący się reagowaniem na incydenty. Taka schizofrenia naszego ustawodawcy.

    Osoby z takimi śmiesznymi certyfikatami jak np CISA, czy CISSP – powiedzcie proszę jak łączycie zobowiązanie do przestrzegania zasad etycznego zachowania do nagminnego łamania prawa obowiązującego w Polsce? :)

    • Zauważ, że dla “organów uprawnionych” jest potworzonych mnóstwo wyjątków od różnych zakazów. Na tym właśnie polega monopol państwa na wszelkiego rodzaju zwalczanie przestępczości – można to robić, zatrudniając się w “organie uprawnionym”, np. policji, ABW lub innym.

      Oczywiście za cenę zarabiania 3500-4000 zł/mc brutto, bycia obserwowanym i paru innych atrakcji.

    • Po pierwsze – bezpieczeństwo systemów informatycznych to nie tylko zwalczanie przestępczości, zatem ograniczenie możliwości działania w tym obszarze tylko do służb państwowych jest absurdem. Niby czemu państwo miało by dbać o bezpieczeństwo systemów IT prywatnych instytucji?

      Po drugie – państwo poprzez swoje instytucje nierzadko narzuca konieczność zapewnienia odpowiedniego poziomu bezpieczeństwa systemom informatycznym różnych prywatnych podmiotów. Zapewnienie tego bezpieczeństwa leży po stronie tychże podmiotów (vide infrastruktura krytyczna, rekomendacje KNF dla sektora finansowego, regulacje telekomów).

      Po trzecie – wyłączeń stosowania KK o których piszesz nie ma. Są różne drobne wyjątki, ale to nie jest tak, że jak pracujesz w ABW, to już przepisy prawa Cię nie obowiązują.

      Po czwarte – przepis ten blokuje też prace badawcze na polskich uczelniach.

      Po piąte – narzędzia o których mowa rozwijane są i używane na całym świecie. Atakujący i tak będą z nich korzystać w takim samym stopniu jak obecnie. Rosyjski haker ma głęboko w poważaniu to, co polscy posłowie uchwalą w sejmie. Przepis uderza głównie w osoby zajmujące się bezpieczeństwem legalnie. No właśnie – żeby zajmować się nim na poważnie, trzeba korzystać z narzędzi wyczerpujących na pierwszy rzut oka w pełni opis z art 269b.

      Na marginesie – reklamujesz się na swojej stronie usługę odzyskiwania plików zaszyfrowanych przez ransomeware. Pewnie z połowa narzędzi, które w tym celu powinny być zastosowane podpadają pod definicje z KK. Od widzi mi się policji i prokuratury zależy, czy zruinują Ci życie. Takie prawo wg Ciebie jest dobre? Wg mnie jest złe.

    • @Tomasz Klim
      skoro z wiekiemś taki mądry, to zechciej objaśnić, proszę najuprzejmiej, dlaczego monopol państwowy na bezpieczeństwo jest dobry wg Ciebie? Ciekawe czy pamiętasz czasy monopolu państwowego na dobra wymierne… przypomnę jedynie, że oprócz ewidentnych minusów, były też plusy.

  21. Zamiast się przekrzykiwać odpowiadajcie sobie w tych pożal się “komentarzach”, zachowujecie się gorzej niż ci co pisali tą ustwą.

  22. Hihi
    1. Kto wytwarza (producent) , pozyskuje (np. dział zamówień publicznych) , zbywa lub udostępnia (HR, urzędy) innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2 albo art. 269a

    Wg mnie POD TĄ DEFINICJĘ PODPADA KAŻDE URZĄDZENIE Z MS WINDOWS, LINUX, OSX

    Bosko :D

  23. hmmmm… czyli lepiej kogoś zgwałcić, niż informować podmioty o dziurach w ich systemach teleinformatycznych, mniejsza kara :)

  24. Czyli ściągnięcie z internetu np. programu Cain and Abel grozi karą 3 lat więzienia? Co za kretyni na to wpadli??

    • Teoretycznie teraz do 3, a jeśli wejdzie nowa wersja to od 3mcy do 5 lat.

  25. Trochę strach natknąć się przypadkiem na treści w głębokim ukryciu.

    • Dla tych treści to właściwe określenie brzmi: dane [osobowe] w d*pie – tam mają bezpieczeństwo osoby, które tak postępują. Nie istnieje coś takiego jak ukrycie danych. Ale teraz dzięki omawianej ustawie NIE WOLNO CI TEGO ZGŁASZAĆ, a czy to wykorzystasz do czegoś to twoja sprawa. Bezpieczeństwo więc przestało istnieć permanentnie.

  26. A co jeśli jest w tym głębszy plan rządzących na pozyskanie ekspertów od bezpieczeństwa całkowicie za darmo…
    Co jeśli za jakiś czas rozpoczną się masowe aresztowania i ultimatum “więzienie albo pracujesz dla nas”…

  27. Strach WireSharka włączyć :|

    • Jeśli masz Windows 10 który za parę update’ów będzie pewnie raportował do Redmond każdą zmianę zawartości rejestru CPU, to może i tak…

  28. W zasadzie to nie jest takie głupie. I niekoniecznie groźne.
    Poszukiwanie dziur na zlecenie na pewno nie skończy się źle dla poszukującego, któremu powierzono takie zadanie na zasadzie umowy (np. bank – firma zajmująca się bezpieczeństwem systemów tego banku). Sam przepis wymusza działania potajemne, wewnętrzne, prowadzone poufale, bez rozgłosu zewnętrznego. Rzeczywiście – ne ma tutaj miejsca dla naiwnego altruizmu. Zawsze można podpisać umowę, zaoferować swoje usługi, odpowiednio je sprzedać i wtedy wykazać swoją wartość. Myślę, że sam przepis nie godzi w działania biznesowe.

    • I na jakiej podstawie tak twierdzisz? Przecież narzędzia niezależnie od tego, czy robisz to za kasę, czy nie- są te same.

  29. @mmatja bezpieczeństwo systemów informatycznych dzieli się, jak to ktoś ładnie ujął, na “security” i “safety”.

    Security, czyli bezpieczeństwo stricte w ujęciu IT – czyli naprawianie dziur w oprogramowaniu, zabezpieczenie przed awariami sprzętu i inne tego typu działania. Za to oczywiście powinny być odpowiedzialne bezpośrednio firmy, które dostarczają daną usługę.

    Safety, czyli bezpieczeństwo w ujęciu bardziej osobowym – czyli m.in. wyłapywanie nieuczciwych użytkowników danej usługi, aby nie szkodzili tym uczciwym. I w Polsce monopol na całokształt tego typu działań ma państwo. Czy się to komuś podoba, czy nie.

    Natomiast problemem jest to, że istnieją firmy, którym wydaje się, że na swoim poletku mogą to robić na własną rękę, ignorując ograniczenia nakładane przez m.in. Ustawę o ochronie danych osobowych.

    • Pytanie za 100 punktów – co to ma do rzeczy? Czyli do tematu tego wpisu niebezpiecznika? I podnoszonych w innych komentarzach argumentów?

      Twoje doświadczenia (jak rozumiem zle) z działami bezpieczeństwa nie mają tu absolutnie żadnego znaczenia. Co więcej – Twoja teza o rozgraniczeniu odpowiedzialności (firma za łatanie bugów, a policja za ściganie nieuczciwych użytkowników) jest kompletnie nie do obrony. Ale nie tego dotyczy ustawa i jej zapisy mają się nijak do tematu który podniosłeś. To byłby nawet fajny temat na dyskusję w innym wątku, bo wydaje się, jakbyś żył w jakiejś alternatywnej rzeczywistości.

      Wracając do meritum obecnego (i proponowanego) zapisu KK: Otóż do właściwego zabezpieczenia systemów (m.in. od strony czysto technicznej) wykorzystujesz narzędzia, które mogą zostać również wykorzystane do popełnienia przestępstwa (są do tego przystosowane). Nie ma “nielegalnych, undergroundowych” narzędzi informatycznych stosowanych tylko przez hackerów vs “oficjalne, bezpieczne” narzędzia stosowane przez działy IT.

      Aha – i super byłoby gdybyś używał opcji odpowiedzi na komentarz.

    • Nie mam złych doświadczeń z działami bezpieczeństwa. Skąd ten pomysł? Po prostu jestem legalistą i praworządnym obywatelem.

    • Nie wiem, kto zdefiniował “safety” jako wyłapywanie nieuczciwych użytkowników.

      Definicje, które znam, to:
      “security” – uniemożliwienie dostępu osobom nieuprawnionym,
      “safety” – zagwarantowanie dostępu osobom uprawnionym (np. backup w razie awarii).

      Analogicznie do systemów “failsafe” i “failsecure”.

    • Dla mnie “security” oznaczało zawsze zabezpieczanie się przed szerokopojętymi “atakami”, tj. zagrożeniami wynikającymi z (zazwyczaj umyślnego) szkodliwego działania osób, natomiast “safety” zabezpieczanie się przed “wypadkami”, czyli przykrymi w skutkach zdarzeniami mniej lub bardziej losowymi. Spotkałem się z sytuacją, w której pewna osoba użyła określenia “security” w odniesieniu do tego, czym zajmują się przepisy BHP, i moim zdaniem strzeliła kulą w płot, bo BHP traktuje właśnie o bezpieczeństwie w rozumieniu “safety”.

  30. A co z narzędziami deweloperskimi w przeglądarkach. Przecież zmiana “password” na “text” gdy kropki są to też chyba pod paragraf leci.

  31. Możliwe, że jest siana zbyt duża panika. Pod tym adresem jest analiza prawna wykonana na zlecenie MC i MŚ: http://kipk.pl/dokumenty/Kwiatkowski_Malecki_bug_bounty_ekspertyza.pdf

    Wynika z niej, że przepisów wspomnianych wyżej nie należy brać dosłownie. Według wspomnianej analizy prawnej wykonanie tych czynności bynajmniej nie podlega pod karę o ile:
    1. Jest robione na zlecenie właściciela systemu (testy penetracyjne)
    2. Jest robione w celu zgłoszenia problemu dla właściciela, ale bez szantażowania go.

    Ale wiadomo – ta analiza w sądzie pewnie i pomoże, ale ciągać się pewnie będzie trzeba jakby co po tych sądach :(

    • taaa – ale ta ekspertyza jest do przeprowadzania testów, a ustawa zakazuje pozyskiwania oraz wytwarzania narzędzi. To w takim razie jak przeprowadzić testy? Paragraf 22 się kłania.

      PS. a tak przy okazji jak spełniać wymagania KRI – audyty robimy tylko na papierze? Nie weryfikujemy czy zabezpieczenia są skuteczne?

    • @Krzysiek – ogólnie się z Tobą zgadzam, ale chyba nie przeczytałeś dokładnie tej analizy. Jest w niej napisane, że tych paragrafów nie należy czytać literalnie i dosłownie, a brać pod uwagę motyw działania.
      Według tej analizy, w przypadku braku motywu działania w celu przestępczym, nie można uznać działań opisanych w tych artykułach za wyczerpujące kryteria czynu karalnego. Więc i par 22, który wymieniłeś, też pod to podpada.
      Ale nie zmienia to faktu, że taka analiza wcale ni musi być w sądzie wzięta pod uwagę i to jest najbardziej smutne w tym wsyzstkim :(

    • To jest właśnie Polska… “przepisów nie należy brać dosłownie”… Jak śpiewał Rojek, “ten kraj jest jak psychodeliczny lot, czujesz, że nie zmienisz nic”.

    • Za to prokuratura bedzie je czytac przesadnie literalnie ;)

    • rozumiem, ze proboszcz jak papiez: nieomylny w sprawach duchowych, ale czy Ty czytales, co napisales?

      Tlumaczenie na polski:
      Przepisow nie nalezy traktowac na powaznie, ale jakby co to zawsze mamy za co kogos posadzic.

    • Rzeczona analiza jest pewną (z wielu możliwych) interpretacją zadeklarowaną przez wykonawców tejże analizy. Nie ma absolunie żadnej gwarancji, że inne grupy/strony będą interpretowały przepisy podobnie.

      Swoja drogą, ciekawe ilu pentesterów w przyszłości po wykonaniu zlecenia usłyszy od zleceniodawcy, że wystarczajączą “zapłatą” za ich usługi powinno być… niezgłoszenie ich na policję.

  32. Analiza analizą, a Sąd i tak stosuje swobodną ocenę dowodów i nie jest zobowiązany do uwzględniania takich “analiz”.

    Przepisy są bardzo ogólne, więc paragraf zawsze się da podpiąć, i jest sprawa karna.

    Sąd nie musi odróżniać dobrego bug bounty od złego “włamania z szantażem” i stosując obowiązujący paragraf spokojnie klepnie 3 latka aby sprawę mieć z wokandy i z głowy.

  33. Czyli Windows 10 będzie teraz u nas nielegalny? Super! :)

    • Jeżeli ustawa przejdzie, to Windows10 stanie się nielegalny w Polsce, co za szczęście :)
      Na dodatek wysyła wrażliwe dane do USA i to sam z siebie. Tak oto nasz rząd załata dziurę budżetową, no Bill G. szykuj kasę.

  34. Właśnie uwaliłem jedną spora firmę w ZUS’ie na sporą karę pieniężną! Odmówiłem pani kadrówce odzyskania hasła do płatnika za pomocą aplikacji która właśnie została za łamiąca prawo. wolę aby firma popadła w finansowe kłopoty, niż ja admin, poszedł za to siedzieć!

    • Właściwie to może będzie dobra droga. Zaprzestajmy resetowania ludziom haseł, itp., itd. Szczególnie w urzędach i ministerstwach. Wtedy może się opamiętają co robią…

    • Prawidłowo. W Polsce wszyscy są karani oprócz kasty urzędniczej, bo ci mają “nagrody” często przyznaną sobie samemu. Pożyteczna praca jest karana wysokimi podatkami. Teraz nawet rolnikowi grozi 3 lat więzienia i przepadek majątku za zabicie świni. To co się wyrabia wygląda jak powrót komuny i na moje to jest właśnie komuna w nowym opakowaniu.

  35. Lubie takie podejście. Zamknijmy oczy i problem znika.

  36. Anna Streżyńska obiecała działać w tej sprawie, mam nadzieję że jak zwykle nie zawiedzie.

    https://twitter.com/AnnaStrezynska/status/836650643263717380

  37. “Art. 269b. § 1” czyli na podstawie tego artykułu będzie można pozwać komórki policji wyznaczone do walki z cyberprzestępcami gdyż zgodnie z celem swojego działania muszą takie programy mieć u siebie.

    • W praktyce wszelkie działania organów państwowych są albo za założenia legalne, albo “legalizowane” doraźnie, w myśl zasady “co wolno wojewodzie…”.

  38. Podsumowując wszystkie wątpliwości sygnalizowane w powyższych komentarzach, warto jeszcze zacytować obowiązujące przepisy:

    Ustawa o Policji

    Art. 144a. Nie popełnia przestępstwa, kto, będąc do tego uprawnionym, wykonuje czynności określone w art. 19a ust. 1 i 2, a także kto wykonuje czynności określone w art. 19b ust. 1.

    Kodeks karny

    Art. 1. § 2. Nie stanowi przestępstwa czyn zabroniony, którego społeczna szkodliwość jest znikoma.

    Art. 27. § 1. Nie popełnia przestępstwa, kto działa w celu przeprowadzenia eksperymentu poznawczego, medycznego, technicznego lub ekonomicznego, jeżeli spodziewana korzyść ma istotne znaczenie poznawcze, medyczne lub gospodarcze, a oczekiwanie jej osiągnięcia, celowość oraz sposób przeprowadzenia eksperymentu są zasadne w świetle aktualnego stanu wiedzy.

    • No dobrze, ale jak ustalic aktualny stan wiedzy jesli prawo jest pisane przez dyletantow?

  39. Chyba redakcja nie przepada za bardzo za nowym rządem, bo artykół trochę naciągany – robicie z igły widły

    • A może warto przeczytać komentarze pod artykułem i zorientować się, że to nie sama redakcja ma problem z rządem, tylko rząd ma problem ze zrozumieniem świata i dopasowaniem prawa do nowoczesnych technologii.

  40. A co z bug-bounty ? W mojej interpretacji tych przepisow nie jest przestepstwem szukanie luk w produktach objętych takimi programami, myle się?

    Co do samego przepisu to chyba nie będzie egzekwowalny i używany przez sady na tak zwana doczepkę np. jak złapią gościa na szantażu banku. Cos na zasadzie przeszukiwan komputerów pod kątem pirackiego softu i mp3. Jak dowieść że wireshark to narzędzie do pozyskiwania hasel ?

    • W praktyce to zwróć uwagę na art. 1. § 2. Kodeksu Karnego, który zacytowałem wyżej. Generalnie sąd powinien na tej podstawie umorzyć postępowanie.

      Niemniej jednak w polskim prawie nie ma czegoś takiego jak “bug bounty”. I bardzo dobrze. Bo, per analogiam, jeśli ktoś ma w drzwiach wejściowych do domu zamek, który potrafisz otworzyć, albo choćby dziurę na pół drzwi, to też byś mu chciał robić “bug bounty”?

      Odnośnie drugiego akapitu – generalnie służby podchodzą jednak zdroworozsądkowo i jeśli ktoś ma jakieś zabronione narzędzia (i nie jest to np. broń palna), a udowodni, że korzysta z nich zawodowo, to po łącznie 3 przesłuchaniach będzie miał po prostu umorzone postępowanie. I tyle. No chyba, że będzie w danym przypadku potrzeba znalezienia kozła ofiarnego, albo podpadnie komuś osobiście, ew. będzie zapotrzebowanie polityczne – ale wtedy to już całkiem inna bajka.

  41. Legaliści? prawo? litości – jak można wierzyć grupie osób, która swym działaniem prawnie usprawiedliwi nawet największa głupotę jaką można sobie wymarzyć? dla legalisty takie działanie zawsze będzie prawe i uzasadnione, a znamy pewne systemy totalitarne, które w ten sam sposób usprawiedliwiały swoje niecne czyny. Zbyt bezpiecznie jest tylko w państwie bezpieczniackim, a najbezpieczniejszym krajem to było ponoć ZSRR.

  42. Hi I am not polish speaker, do you know if there is any english language link about this polish law?

    dzięki :)

  43. no przecież jak informatyk na państwowej posadce dostanie 2200 netto/brutto to zrobienie narzędzi zabezpieczających spowoduje że bidaczyna co najwyżej łomem włamie się do monopolowego, a nie do komputerów firmowych.. Śmiech na sali – w pOLSCE chcą karać, a Niemcy zatrudniają polaków za tony Euro, aby tylko chcieli robić….

  44. w sumie to jak się wczytać i brać na serio – to admin nie może przekazać hasła do komputera użytkownikowi, który ma go używać.. powinien mieć system bez haseł bo do założenia profilu musiałby podać swoje, a nie może, nie może też udostępniać swojej klawiatury, w sumie to i sieci… no to cóż – ja nie pozwolę sobie na zdjęcie haseł u siebie w domu, a co dopiero w pracy… w sumie to muszę udać się do urzędu pracy i zarejestrować się jako bezrobotny, wyłączyć wifi i zmienić na kable… bo hasło, bo sieć… a no i do każdego komputera oddzielny net… przebiliśmy 7 świat głupotą, ciekaw jestem co jeszcze te d3b1l3 wymyślą ???

  45. hurtownie danych, przetwarzanie równoległe, sczytywanie danych z cookies, flashcookies, łączenie danych pomiędzy serwisami…. ___urwa, GEMIUS, BANKI, ZUS, US – toż to trzeba ich pozamykać….

    w sumie to najbardziej mnie ciekawi Art. 27. § 1 Nie popełnia przestępstwa, kto działa w celu przeprowadzenia eksperymentu poznawczego, medycznego, technicznego lub ekonomicznego….

    ciekawe jaki będzie skutek obalenia rządu ? Bo wg. powyższego będzie to eksperyment poznawczy medyczno-ekonomiczny :)

  46. Zniszczyli gospodarke, handel, ekonomie, edukacje, służbę zdrowia, wojsko, teraz pora na hackerów i uzbrojonych obywateli. Tak samo było przed wojną. Rozbrajają nas bo co? Chcą nas chronić? To się nazywa Nowy Porządek Świata, a to co widzicie teraz, to dopiero początek. Pozdrawiam pentesterów :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: