Hacking ? Najpierw to przeczytaj...
„Kodeks karny - akt normatywny stanowiący zbiór przepisów regulujących odpowiedzialność karną obywateli danego państwa…”
Jak to wszystko ładnie brzmi, nieprawdaż ? Szkoda tylko że nie wszyscy pamiętają o istnieniu KK, a także o stosowaniu się do przepisów w nim ustalonych, ale to chyba norma... ;)
Postanowiłem więc poruszyć najważniejsze artykuły, które ściśle określają normy prawne dotyczące bezpieczeństwa informacji, danych, oprogramowania, systemu komputerowego.
Art. 267 Bezprawne uzyskanie informacji
§1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne,informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. § 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem. § 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1-3 ujawnia innej osobie. § 5. Ściganie przestępstwa określonego w § 1-4 następuje na wniosek pokrzywdzonego.
Art. 267 określa przepisy prawne w przypadku nieuprawnionego dostępu do np. serwera Wikipedii, sieci wewnętrznej Pentagonu, albo po prostu do panelu strony internetowej Premiera.
Innym przykładem, który Art. 267 może regulować – to podsłuchiwanie sieci bezprzewodowej na rzecz zdobycia hasła do jakiejś usługi (np. poczta, facebook) przesyłanej w obrębie sieci.
Tak samo, karalne jest ujawnienie zdobytej nielegalnie informacji osobie trzeciej.
Art. 268 Utrudnianie zapoznania się z informacją
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. Jeżeli czyn określony w § 1 dotyczy zapisu na informatycznym nośniku danych, sprawca podlega karze pozbawienia wolności do lat 3. § 3. Kto, dopuszczając się czynu określonego w § 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. § 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.
Odnośnie Art. 268 przykładem może być „popularny” sabotaż pracowników w firmie. Dany pracownik usuwa po prostu istotne dla firmy dane (typu – umowy z kontrahentem, partnerem etc.) robiąc to umyślnie.
Podobnym przykładem może być zniszczenie, uszkodzenie bądź zmiana zawartych informacji na nośniku danych – typu dysk twardy, pendrive etc. – umyślnie wykonana operacja, mająca na celu „odegranie się na prezesie” jak najbardziej podlega pod artykuł 268.
Art. 268a Niszczenie informacji w bazach danych
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3. § 2. Kto, dopuszczając się czynu określonego w § 1, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. § 3. Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek pokrzywdzonego.
Art. 268a jest bardzo podobny do art. 268 – tyle że 268a omawia aspekt umyślnego zniszczenia, uszkodzenia, usunięcia, zmiany bądź utrudnienia dostępu – bazy danych.
Art. 269 Uszkodzenie danych informatycznych
§ 1. Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności od 6 miesięcy do lat 8. § 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo wymieniając informatyczny nośnik danych lub niszcząc albo uszkadzając urządzenie służące do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych.
Art. 269 – omawia czynności, które mają znaczenie ogólne. Np. dla obronności kraju, bezpieczeństwa w komunikacji, albo funkcjonowaniu administracji rządowej.
Oznacza to, że jeżeli włamiemy się do sieci wewnętrznej Biura Bezpieczeństwa Narodowego i usuniemy bądź zmienimy istotne dla bezpieczeństwa kraju dane, to grozi nam odpowiedzialność karna z art. 269, a także z art. 267 – za nieuprawniony dostęp do sieci telekomunikacyjnej.
Art. 269a Zakłócenie pracy systemu komputerowego
Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
Art. 269a – powinien być dobrze znany polskiemu Gimbus-Anonymous – albowiem art. 269a reguluje odpowiedzialność karną w przypadku zakłócenia pracy systemu komputerowego. Czyli jeżeli wykonamy atak DoS/DDoS na stronę internetową Prezydenta – to grozi nam właśnie odpowiedzialność karna z art. 269a.
Art. 269b Bezprawne wykorzystanie programów komputerowych
§ 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165, inne niebezpieczeństwa, § 1 pkt 4, art. 267, bezprawne uzyskanie informacji, § 3, art. 268a, niszczenie informacji w bazach danych , § 1 albo § 2 w związku z § 1, art. 269, uszkodzenie danych informatycznych, § 2 albo art. 269a, zakłócenie pracy systemu komputerowego, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3. § 2. W razie skazania za przestępstwo określone w § 1, sąd orzeka przepadek określonych w nim przedmiotów, a może orzec ich przepadek, jeżeli nie stanowiły własności sprawcy.
Art. 269b – według mnie jest trochę pustym przepisem. Gdyż, wedle tego artykułu, dystrybucja Linuksa „Backtrack” jest oprogramowaniem przystosowanym do popełnienia przestępstwa, ponieważ zawiera w sobie dużo narzędzi przystosowanych do testowania bezpieczeństwa. Aczkolwiek ów artykuł jest jak najbardziej adekwatny w przypadku rozpowszechniania np. programów LOIC albo HOIC, które pozwalają na wykonanie ataku DDoS.
Mam nadzieję, że ów wpis trochę uświadomi o konsekwencjach prawnych osoby, które nie do końca wiedzą co robią ;)
Pozdrawiam, GBM