Szukać luk, nie łamiąc prawa

05-08-2009, 22:50

W związku z napływem do Dziennika Internautów informacji o lukach na różnych stronach internetowych postanowiliśmy wypytać prawnika, czy można upubliczniać informacje o błędach bez poinformowania o nich właściciela serwisu, co grozi za wykorzystanie ich do własnych celów itp.

Czas zwiększonych wydatków zbliża się nieubłaganie.

>> Sprawdź konto z kartą otwartą na dzisiaj <<

0 zł za prowadzenie rachunku, użytkowanie karty debetowej i wypłaty gotówki!


W ostatnich dniach lipca serwis brytyjskiego kontrwywiadu padł ofiarą ataku XSS (ang. cross-site scripting). Zdawałoby się, że MI5 nie powinno mieć problemów z zabezpieczeniem swojej strony, ale osoba podpisująca się jako [-TE-]-Neo udowodniła co innego. Czytelnicy Dziennika Internautów, przeglądając forum grupy dokonującej ataków, zauważyli, że podobne manipulacje zostały wykonane także na kilku polskich stronach. Należą do nich m.in. Polska Agencja Prasowa, Bank Polskiej Spółdzielczości i Nordea Bank Polska.

Poszukiwaczy luk bezpieczeństwa nie brakuje i na naszym rodzimym gruncie. W tym roku Dziennik Internautów pisał o błędach znalezionych w serwisie społecznościowym Nasza-Klasa, geolokalizatorze Zumi i poczcie Onet.pl. Niemal co tydzień otrzymujemy e-maile z informacjami o dziurach umożliwiających np. osadzanie skryptów w treści atakowanej strony. Jak to wygląda z prawniczego punktu widzenia?

Na pytania Dziennika Internautów odpowiedział Marcin Błaszyk - prawnik SLC, współautor bloga blaszyk-jarosinski.pl.

DI: Czy osoba, która znalazła lukę, zobowiązana jest do poinformowania o niej właściciela serwisu?

MB: Nie istnieje taki prawny obowiązek. Jednak należy przyjąć, że ze względu na normy moralne i w imię ochrony interesów użytkowników serwisu należałoby poinformować serwis o istniejącej luce.

DI: Czy można upublicznić informację o luce bez wcześniejszego skontaktowania się z podmiotem, którego ona dotyczy?

MB: Zauważmy, że z reguły nie ma winy serwisu w tym, że jest on wykonany w sposób, który umożliwia dokonanie ataku. Większe aplikacje niemal zawsze zawierają jakieś luki, które mogą być wykorzystane w celu dokonania ataku. A skoro tak, to ujawnienie takiej informacji może być zakwalifikowane jako naruszenie dobrego imienia - renomy serwisu. W takim przypadku serwis mógłby żądać zadośćuczynienia pieniężnego, a w przypadku powstania szkody majątkowej także odszkodowania.

Zwróciłbym jednak uwagę na postanowienia art. 52 ustawy o ochronie danych osobowych. Przepis ten reguluje odpowiedzialność karną za choćby nieumyślne naruszenie nałożonego na administratora danych osobowych obowiązku zabezpieczenia danych przed ich zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. Czyn taki kwalifikowany jest jako przestępstwo ścigane z urzędu, zagrożone karą grzywny, ograniczenia wolności lub pozbawienia wolności do roku.

Z kolei zgodnie z art. 304 § 1 Kodeksu postępowania karnego każdy, kto dowiedział się o popełnieniu przestępstwa ściganego z urzędu, ma społeczny obowiązek zawiadomić o tym prokuratora lub policję. Jednak obowiązek jest społeczny, tak więc nie ma żadnej sankcji za jego niespełnienie. W związku z powyższym, jeżeli poweźmiemy wiedzę o luce, która umożliwia nielegalne pobranie danych osobowych użytkowników serwisu, mamy obowiązek powiadomić o tym fakcie organa ścigania.

DI: Czy można przeprowadzić atak demonstracyjny w celu udowodnienia, że luka istnieje? Jak to zrobić, by nie złamać przepisów prawa?

MB: Trudno jednoznacznie odpowiedzieć na tak zadane pytanie. Jeżeli działanie takie prowadzone byłoby w ramach tzw. prowokacji dziennikarskiej, sąd rozstrzygając w ewentualnej sprawie musiałby podjąć trudną decyzję, czy wykonanie takiego ataku demonstracyjnego mieściłoby się w tym nieostrym pojęciu, czy też nie.

DI: Co grozi za wykorzystanie znalezionej luki?

MB: W rozdziale XXXIII Kodeksu karnego znajdziemy cały katalog przestępstw przeciwko ochronie informacji, w przypadku ataków na serwer można także rozważać kwalifikację ze względu na przepis art. 287 Kodeksu karnego. W zależności od kwalifikacji prawno-karnej czyn polegający na wykorzytaniu luki w celu przeprowadzenia ataku, w zależności od skutków i celu samego ataku, mógłby być zagrożony karą pozbawiania wolności nawet do lat 8.


Źródło: DI24.pl


Sprawdź, który bank może zaproponować Ci najtańsze kredyty gotówkowe, najlepsze kredyty hipoteczne, kredyty dla firm, bezpłatne konta osobiste, konta firmowe czy najlepiej oprocentowane lokaty >>
Przepisy na coś słodkiego z kremem Nutella
To warto przeczytać








Tematy pokrewne:  

tag XSStag prawotag lukitag cross-site scriptingtag ataki
  
znajdź w serwisie

RSS  
RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
Jak czytać DI?
RSS
Copyright © 1998-2021 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.