13:53
14/11/2016

Zgodnie z obecnie obowiązującym polskim prawem, możemy zostać ukarani za znalezienie i zgłoszenie luki bezpieczeństwa. Nawet, jeśli robimy to w dobrej wierze (por. Poniedziałek z Prawnikiem: (nie)autoryzowane testy bezpieczeństwa). O zmiany w prawie od dawna starali się aktywiści, ale dopiero teraz minister cyfryzacji postanowiła ich wysłuchać i …zaproponowała rozwiązanie!

Zgłaszasz lukę? Możesz beknąć!

Polskie prawo dotyczące “hackingu” nie bierze pod uwagę wszystkich sytuacji. Problemem dla ekspertów od bezpieczeństwa jest zwłaszcza ten jeden przepis:

Art. 269b. § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.

Jeśli chcesz wykryć i/lub nagłośnić lukę bezpieczeństwa, to najczęściej musisz zrobić dokładnie to, o czym mowa w tym przepisie. Problem znany jest nie od dziś i teoretycznie można liczyć na to, że mądre sądy i prokuratury nie będą ścigać eksperta, który po prostu chciał ostrzec przed luką, który działał w dobrej wierze i który nie szantażował w żaden sposób “ofiary”. W praktyce… no cóż, gwarancji nie ma. Poza tym wszyscy znamy te historie, gdy ktoś wie o luce od dłuższego czasu, zgłosił ją już dawno właścicielowi systemu, ale zgłoszenie jest ignorowane. Wreszcie odkrywca luki decyduje się więć na tzw. “full-disclosure”, czyli ogłasza to wszystkim publicznie i mówi “stop, tak dalej być nie może”. Obecnie, taka osoba może narazić się właścicielom systemy i władzom, gdyż te mają do dyspozycji gotowe narzędzie do ukarania “testera”.

A zresztą, co tu dużo mówić. Zajrzyjcie do naszego tekstu z 2013 roku o tym, jak to odkrywcę luki zatrzymała policja. Czy trzeba coś dodawać?

Karol Breguła wkracza do akcji…

Ostatnio aktywista Karol Breguła postanowił znów przypomnieć o tej sprawie Ministerstwu Cyfryzacji.

14446133_560732647447300_6105247085347218147_n

Warto odnotować, że Breguła już w roku 2013 pisał do Prokuratury Generalnej i Rzecznika Praw Obywatelskich i otrzymał ciekawą odpowiedź, ale sprawa — choć Karol doczekał się odpowiedzi od Prokuratury — ciągle nie wzbudzała większego zainteresowania, bo właściwie kogo to miałoby obchodzić?

odpowiedz-prokuratury

Obecnie mamy minister cyfryzacji, która rozumie i przejmuje się kwestiami bezpieczeństwa. Rozważa się nawet rządowe bug-bounty (2 dni temu bug-bounty uruchomiła armia USA). Czy zatem nie nadszedł właściwy moment, aby poprawić prawo?

Konkretna propozycja Pani Minister

Minister Streżyńska przyznała, że trzeba to zrobić. Na Facebooku pod wpisem Karola Breguły napisała:

Po konsultacjach z Ministerstwem Sprawiedliwości dostrzegamy zasadność zmiany art. 269b Kodeksu karnego (…) Po rozmowach z MS czekamy na propozycję ze strony MS w zakresie wprowadzenia do tego przepisu „kontratypów” ww. przestępstw, czyli przepisów wyłączających karalność wytwarzania i posiadania ww. urządzeń lub programów komputerowych w celach prowadzenia badań naukowych związanych z cyberbezpieczeństwem (pierwszy kontratyp) oraz w celu testowania systemów komputerowych za zgodą ich administratora (drugi kontratyp).

asnafb

Redakcja Niebezpiecznika została dołączona do korespondencji e-mail między Karolem Bregułą, a Anną Streżyńską. Pani minister była w komunikacji rozbrajająco szczera:

Panowie, zajmujemy się tym, bo to się okazało jednym z najciekawszych tematów ostatnich miesięcy, a jednocześnie kompletnie nie ruszonych, wymagających zarówno dokładnej analizy prawa jak i pogłówkowania nad wykonaniem takiego rozwiązania (…) ale wolę odpowiedzieć Wam coś konkretnego jak będzie już wiadomo, co możemy z tym zrobić, niż odpisywać jakieś dyrdymały w stylu „głębokiej troski MC”.

No i właśnie teraz mamy ten konkret! Trwają rozmowy między Ministerstwem Sprawiedliwości i Ministerstwem Cyfryzacji. Jest pomysł co i jak zrobić. Ba! Przygotowano już nawet ekspertyzę prawną, którą Karol Breguła może ujawnić jako informację publiczną i na której ujawnienie się zgodził. Oto jej treść.

Co wynika z ekspertyzy “Analiza Bug Bounty”

Polecamy zapoznać się z pełną treścią analizy. Na stronie 5. i dalszych możecie poczytać o tym jak do obecnego prawa i odpowiedzialności za przestępstwa komputerowe mają się programy typu “bug bounty”.

Z uwagi na powyższe wydaje się, iż nie dojdzie do przestępstwa w sytuacji, gdy uczestnik programu „bug bounty” wyłącznie zidentyfikuje błąd systemu i podejmie próbę jego wykorzystania, lecz jednocześnie nie doprowadzi do istotnych zmian w systemie lub zniszczenia danych. Zawsze jednak należy mieć na uwadze, iż polskie prawo karne odpowiada wprowadza penalizację nie tylko „dokonania” przestępstwa, lecz także jego „usiłowania”. W tym miejscu zwrócić należy uwagę na dodatkową okoliczność jaką jest ewentualne rozważenie przez organy wymiaru sprawiedliwości wystąpienia przesłanki „znikomej szkodliwości czynu”, która wyłącza karalność zachowania zabronionego ustawą karną. Zgodnie bowiem z art. 1 § 2 kodeksu karnego nie stanowi przestępstwa czyn zabroniony, którego społeczna szkodliwość jest znikoma. Należy jednak zauważyć, iż orzecznictwo i literatura wskazuje na wyjątkowość ww. przesłanki i jej ograniczone zastosowanie w praktyce.

(…)

Należy też wskazać na art. 9 Kodeksu karnego, zgodnie z którym czyn zabroniony popełniony jest umyślnie, jeżeli sprawca ma zamiar jego popełnienia, to jest chce go popełnić albo przewidując możliwość jego popełnienia, na to się godzi. Tym samym intencja sprawcy w postaci dokonania przełamania zabezpieczenia lub jego ominięcia a następnie ewentualnego wskazania dysponentowi systemu informatycznego ww. skutków swojej działalności (w dobrej wierze) i w celu poprawienia stanu bezpieczeństwa systemu nie wyłącza odpowiedzialności karnej. Wskazana „intencja” może mieć wyłącznie znaczenie do ewentualnego określenia zakresu odpowiedzialności.

I właśnie dlatego dobrze będzie zmienić obowiązujące prawo… Czy niebawem doczekamy się nowelizacji kodeksu karnego w zakresie tzw. “prawa komputerowego”?

Przeczytaj także:

27 komentarzy

Dodaj komentarz
  1. Wymuszone testy penetracyjne oprate głównie na szantażu powinny być karane
    Takie cwaniaczki znajdują jakiś niewarty uwagi badziew i oczekują jakieś formy zapłaty albo nagłośnią sprawę, podczas gdy przedmiot takich “pentestów” nie tylko ich nie zamawiał ale nie jednokrotnie wie o danych “zagrożeniach”

    • Jak wie, to niech poprawia – bo znajdzie się ktoś kto rozwali system za darmo lub dla zabawy. A wtedy będzie płacz wielki że przecież mógł zgłosić i że by się zapłaciło nawet…
      ;-) Czyli *pierdzielenie* po polsku – za każdym razem i wszystko źle, oprócz wersji że hackery załatają i jeszcze zapłacą.

    • Szacowanie ryzyka podstawą bezpieczeństwa !! Widziałeś taki baner na zjazdach partii ?
      Prawda jest taka że rozbuchana rola marketingu w bezpieczeństwie IT bierze się stąd że zwłaszcza w ostatnich latach poprzeczka została ustawiona już na tyle wysoko że duża część ludzi z bezp. poczuła się chyba trochę zagubiona, więc zaprzęga się marketing i chamską promocję żeby przekonać ludzi że to bardzo poważne rzeczy gdy w realu nikt się nawet nie będzie zastanawiał nad tym czy tego typu błędy istnieją w systemie czy nie dobrym przykładem są portale pseudo-walut, chyba we wszystkich przypadkach znanych ataków nikt nie wykorzystywał OWASP TOP-10.
      To pozornie abstrachowanie od tematu, bug-bounty ok, chociaż nie do końca bo moim zdaniem rozpowszechnienie tego typu programów przyczyniło się trochę do powstania panującego absurdu (masy ludzi których życiowym celem jest jakiś HoF “bo później będzie kariera” więc szukają tych XSS-ów w firmach o których inaczej nawet byś nie usłyszał), nie-zamawiane penetsty nie !

    • BloodMan
      Czego ty oczekujesz od Polski państwa kolonijnego pozbawionego własnych struktur, w całości uzależnionego od towarzyszy USA i UE ?
      Tu nie ma sensu cokolwiek zgłaszać, robić , bo jak cię nie osądzą to przynajmniej oskarżą.

      Ostatnio google prowokacyjnie zmieniło granicę Polski i nic się nie stało.
      FB zablokował profile prawicowych działaczy – nic się nie stało.
      Podpisano CETA — nic się nie stało…

    • @BloodMan a co ciebie obchodzi jak się zabezpieczają dorośli ludzie. Jak zostanie system rozwalony, to będą ICH straty, a nie twoje. Tak samo państwa i urzędników nie powinno obchodzić jak się zabezpieczają prywatne firmy.

    • @John Sharkrat
      Ty tak na serio? Większość firm obraca danymi osobowymi swoich klientów. TY jesteś ich klientem. Jak ONI zostaną złamani to TY masz problem bo TWOJE dane latają po sieci. Abstrahując od strat firm, w wielu przypadkach jednak to klient prędzej czy później obrywa rykoszetem…

    • @John Sharkrat: obchodzi i to więcej niż myślisz. I w sumie to co ciebie obchodzi czemu mnie obchodzi? Obchodzi i tyle.
      Ale powiem ci: Bo to moje pieniądze są w bankach, bo to moje dane są w urzędach, bo na końcu zawsze obywatel (czyli przysłowiowy ja) jest bity w dupe a firma ABC czy XYZ się wykpi zganiając winę za swoją nieodpowiedzialność i niekompetencję na złych haxiorów albo na “ruskich”.

      I ty, piszący o “dorosłych ludziach” chyba nie wiesz co się z firemkami “dorosłych ludzi” dzieje, jak inny “dorosły człowiek” wyciągnie z nich milionowe odszkodowanie – a ten moment nastąpi w naszym kraju prędzej czy później – ale nastąpi. I wtedy “dorosły człowieku” dowiesz się co znaczy dorosłe życie. Bo na razie to sądy i urzędy się jeszcze nabierają na cwaniactwo. Ale wystarczy maleńka zmiana w przepisach i umowach i już te twoje firemki “dorosłych ludzi” będą odpowiadały za straty spowodowane wyciekiem danych. Jedna. I to nastąpi. Więc ciesz się póki możesz i cwaniakuj dalej.

    • BloodMan 2016.11.18 17:50 | # |
      Polska to nie jest jedyne państwo gdzie można prowadzić/ założyć działalność gospodarczą , świadcząc przy tym usługi globalnie ,dlatego teorie spiskowe „ o milionowych odszkodowaniach” śmieszą mnie .

      Taa
      Już widzę jak google, FB płaci miliardowe odszkodowania ha ha ha …
      Ps
      W normalnym państwie osoby zgłaszające dziury w systemie winny otrzymać nagrodę pieniężną . W każdym bądź razie zgłaszanie za frii i jeszcze problemy , to tylko w wirtualnej Polsce …

  2. Oby z tycb rozmów cos wyszlo, nietylko klapanie dziobem.

  3. A za chwilę zrobią prawo dla służb specjalnych, będą mogli wszędzie “sprawdzać zabezpieczenia” i jak ktoś wykryje to nic nie zrobi, bo zalegalizowane, przecież intencje są ważne “a nuż każdy jest terrorystą”…

  4. Czyli zapowiada się na to, że wywołując niezaplanowany “błąd” omijający zabezpieczenia “np. na uczelni, banku itp” i zgłoszenie go do właściwych organów spowoduje, że w końcu będziemy łowcami “bugów”, a nie tylko natrętnymi obywatelami szukającymi rozrywki, gdzie państwo i firmy za pomocą prawa mogą nas tylko karać. Ciekawe jest tylko jak ograniczą możliwości penetracji – czy badania naukowe będzie mogła prowadzić tylko osoba fizyczna, a może tylko ktoś na działalności lub firma działająca w dziedzinie cyberbezpieczeństwa?

    Oby tak dalej pani minister :)
    W końcu, ktoś kto to próbuje naprostować.

    • Ja odczytuje tak, że propozycje wskazują, że wymagana będzie zgoda właściciela systemu komputerowego. Ta zgoda może mieć formę indywidualną (umowa o audyt) z firmą, czy kimkolwiek, albo formę zbiorową (regulamin programu bug-bounty). Jak regulamin ustali, że badać ich może tylko firma to legalnie będzie badać mogła tylko firma. Jak regulamin ustali, że badać może tylko osoba pełnoletnia – tylko osoba pełnoletnia. Natomiast jak regulaminu nie będzie – badać wciąż nie będzie wolno. To dla mnie trochę słabość, że nie ma prac nad zbiorczym regulaminem dla całej administracji, ale wszystko przed nami.

    • @Adam Dobrawy
      Jeśli tak będzie to słabo – nic to nie zmieni, bo takie prawo mamy przecież teraz. Dlatego wierzę że jednak nie masz racji i będzie inaczej, tzn. zgłoszenie buga do właściciela systemu nie będzie mogło nosić znamion przestępstwa. Już ciul z kasą bo w końcu nie było konkursu, ale niech chociaż karać nie będą mogli to szybko zobaczymy zalew takich zgłoszonych błędów. Zaś za brak reakcji w przypadku instytucji klasy bank, instytucja państwowa czy inna przechowująca choćby dane wrażliwe powinna być kara ustawowa – bez tego nic się nie zmieni.

  5. Poważnie?
    Czy nie wystarczy na serio podejść do zdefiniowania “uprawniony”? Jeśli dowolny dostawca oprogramowania uruchamia program bug-bounty to nie wystarczy w tym regulaminie zapisać przesłanek i warunków takiego “upoważnienia”? A dla pentestów nie można w umowie z pentesterem zapisać czarno na białym do czego się go upoważnia?
    Tak samo dla “badań naukowych” których ramy można zdefiniować tj. określić co i na jakich warunkach jest “uprawnione” a co nie.
    Mam wrażenie, że polskie prawo jest już dość skomplikowane i wprowadzanie kontratypów da Twardowskym 2.0 możliwość unikania odpowiedzialności pomimo udowodnionej szkody.
    Nie ma na kim się wzorować? To że my w Polsce ruszamy z cyfryzacją, nie oznacza, że jesteśmy pierwsi na świecie postawieni przed tym problemem prawnym.

  6. Czyli karze pozbawienia wolności podlega każdy kto posiada program notatnik, ponieważ może wyedytować w nim kod, każdy kto posiada gcc, bo może zrobić wirusa i każdy kto posiada jakikolwiek debugger, bo może przechwycić program i zmienić mu np. wskaźnik wykonania lub dane w pamięci. I wiele, wiele innych.

  7. A co po zmianach z systemami, gdzie okaże się, że już sama próba komunikacji z systemem spowoduje jego padnięcie i utratę danych? Z doświadczenia z kupionym urządzeniem wiem, że takie rzeczy potrafią się zdarzyć. Jeden niecelowo zmieniony bajt i dwa wycięte z powodu błędu w dokumentacji. Urządzenie się zresetowało i utraciło dane.

    Podobnie może być z systemami rządowymi online.

  8. doczekamy zaraz po zamknięciu tematów okołoaborcyjnych, dokopujących wolnych zawodom i prosmoleńskich… czyli gdzieś pod koniec 2019 r….

  9. Miałem kiedyś sytuację a właściwie sprawę w sądzie…. (prowadzę serwis i konkurencja doniosła że sprzedaję piraty na mieście to mi milicja wpadła na sklep i zabrała kompy…. śmieszne …. naprawdę….). Mimo wyjaśnienia sprawy na moją korzyść (przecież jestem za poważny na rynkową sprzedaż piratów :) ), sąd, władze czy ktoś tam, aby nie płacić mi odszkodowania za straty (zabór sprzętu i trzymanie 4 lata! plus problemy w prowadzeniu działalności), powołali z czterech biegłych aby coś znaleźli! no i znaleźli. Programy typu koala do odzysku haseł z Płatnika, jakieś softy do odzysku haseł z dokumentów, spakowanych plików, wejść do systemów kiedy to klient zapomniał hasła, do poczty, gg, odczytu kluczy itd. W myśl tego cytowanego tu przepisu chcieli mi dowalić ostro karę za haking…. no sorry ale na tym polega serwis, aby ludziom pomóc w potrzebie! Aby dać dostęp do ich własnych zasobów, odzyskać loginy, hasła itp. Uratował mnie w większości brak dostępu do licencji tych programów :) – sąd nie wiedział na jakich warunkach można go używać w firmie, nie miał kontaktu z producentem :). Powinni ten przepis poprawić bo dziś każdy Administrator powinien pójść siedzieć do pierdla za swoją wiedzę i umiejętności…. tak jak zwykły ślusarz otwierający zablokowane drzwi!

    • Trzeba było zezwolić na zabezpieczenie dowodów przez służby, ale w siedzibie firmy. Skopiowaliby tylko dyski i niech się męczą potem z nimi u siebie, a sprzęt nadal byłby do użytku. Czy ktoś “mądry” w mundurowych w ogóle słyszał o nieinwazyjnym zabezpieczaniu dowodów?

  10. Dzięki uśmiałem się :)
    w skrócie wyglądało to tak:
    7-8 debili w dresach i dżinsach ;p wpadło na serwis drąc się policja….
    machnęli świstkiem prokuratorskim o natychmiastowym nakazie zajęcia wszystkiego.
    jakiś koleś wsadzał dyskietkę do kompów włączonych na serwisie i próbował odpalić jakiś audyt. Zdziwiony był że pod linuksem nie chodziło ;), dwa komy z wina tylko coś mu zadziałały.
    stwierdził że nie da rady i zabieramy.
    po czym banda debili rwała wszystko co stało z serwisu! kompy moje firmowe, KLIENTÓW (SIC !!!) i niektóre sprzęty z półek. Na pytanie po co rekwiruje mi z półki nowe zamknięte głośniki creative – odpowiedź debila “bo ma pan tam empetrójki pirackie!”….
    nie było plombowania, spisu sprzętu itd. (no mazakiem czarnym po obudowach nr 1,2,3…. super qwa super!)
    brak słów.
    to było z 10 lat temu i tak to wtedy wyglądało.
    przy okazji przetrzepali mi chatę (w kajdanch z serwisu przed klientami i do domu….) pełna qwa profeska.
    za to że konkurencja “zażartowała” donosem o rzekomej działalności niezgodnej z przepisami….
    oczywiście wszystko im przez to legło na sali sądowej. ale trwało do chyba 4 lata, nerwów i kasy nie liczę… no i nie wspominam o jazdach jakie miałem z klientami zarekwirowanych jednostek.
    więc co Ty wiesz o przeszukaniu…. :)

    • tu macz emołszon i tak nikt tego nie czyta, nikt warty uwagi poza moimi kolegami zią

    • Doskonały przykład na to jak w tym kraju prześladuje się opozycje !! Absolutnie, chcieli cię zniszczyć bo jesteś wyjątkowy ! Dobrze że wyjaśniłeś całą sprawę w komentarzu, powiem ci więcej wszystkie niusy w wiadomościach na tvp również dotyczą ciebie !
      teraz tableteczka i spać

    • Dzięki takim jak Ty “kipklamandsitdałn”, i Ty “DoktorJan”, powstały niektóre wiersze Norwida, ale i tak nie zrozumiecie. A szkoda.

  11. Proponuję trochę ochłonąć. Nie wierzę, że cokolwiek się zmieni w temacie z kilku powodów.

    1. Pani ministrantka należy raczej do tych bez pleców a jej głównym zadaniem jest pilnowanie aby się wszystko nie posypało (a jak się posypie to będzie winny) a przy okazji ma do obsadzenia kilkanaście etatów dla “Miesiewiczów”.

    2. Dla obecnej władzy (dla uczciwości napiszę, że dla poprzedniej też), temat hakerowania, audytów itp. jest… no jakby to powiedzieć… – nie istnieje? Co to kogo obchodzi w ministerstwie sprawiedliwości?

    3. Pan Zbyszek raczej lansuje się na zwolennika zaostrzenia przepisów i jakby mógł to by wsadzał na dożywocie za kradzież rowera zatem pomysł złagodzenia przepisów raczej nie wchodzi w grę.

    4. Procedura legislacyjna, którą ma ochotę zacząć Pani Minister potrwa co najmniej kilka lat, chyba, że sama ministra się w to zaangażuje na półetatu (tylko w ten temat) co jest wątpliwe. Do takich zmian trzeba mieć lobby aby z rządu do sejmu coś poszło.

    5. Efekt finalny, czyli to co znajdzie się w ustawie, będzie jakby to napisać – daleki od opisywanych propozycji, bo posłowie ze swoją znajomością prawa i materii tak przerobią przepis, że zamiast zluzować, to dokręcą śrubę.

    Zatem, zapraszam na ziemię i póki co polecam pilnować segregatora z umowami na pentesty a jak coś znajdziecie “bez zamówienia” to exploitujcie na swoją korzyść i milczcie jak sfinksy.

    • “3. Pan Zbyszek raczej lansuje się na zwolennika zaostrzenia przepisów i jakby mógł to by wsadzał na dożywocie za kradzież rowera zatem pomysł złagodzenia przepisów raczej nie wchodzi w grę.”

      Dożywocie to nie, ale obciąć rękę, albo w przypadku roweru nogę, to brzmi całkiem rozsądnie. I ma duży potencjał wychowawczy.
      Z ciekawości: ile rowerów ukradłeś a ile Tobie skradziono?

  12. Eurobank ma tygodniowe opóźnienie w wysłaniu wyciągów, które nadal nie są wysłane pomimo monitów na infolinii. Czy ktoś ma informacje o jakiejś awarii, haku itp?

  13. No, ale czego się spodziewaliście? Że nagle zezwolą na hackowanie wszystkich na lewo i prawo? A jak kogoś złapią za rękę to powie, że to były pentesty pro bono? Obecne przepisy są słabe, ale to, że zabrania się “niezamówionych testów penetracyjnych” jest co do zasady jak najbardziej słuszne. Żadne tam “chciałem dobrze i znalazłem Wam dziurę przy okazji wywalając system produkcyjny”.

    A na marginesie – “badania naukowe” w tym kontekście to jakaś lipa. To, żeby pracować legalnie nad np. softem do testów muszę się wkręcić gdzieś na doktorat? A to przecież podpada pod tworzenie oprogramowania do potencjalnego przełamywania zabezpieczeń – tutaj jeszcze element “zamówione”/”niezamówione”, czy “uprawnione”/”nieuprawnione” nie wchodzi w rachubę.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: