Jak pewien duży hotel zignorował nasze zgłoszenie – a było co zgłaszać

dodał 11 czerwca 2018 o 07:17 w kategorii Prawo, Wpadki  z tagami:
Jak pewien duży hotel zignorował nasze zgłoszenie – a było co zgłaszać

Gdy informujecie nas o lukach odkrytych w jakimś systemie, kontaktujemy się z jego administratorem i zanim coś napiszemy, staramy się doprowadzić do ich załatania. Zdarza się jednak, że administratorzy nasze sugestie ignorują.

Jeden z naszych Czytelników zameldował się jakiś czas temu w dużym hotelu na południu Polski. Jak wielu gości – przed nim i po nim – chciał skorzystać z Wi-Fi. Znalazł sieć, która wyglądała na hotelową, wpisał najbardziej prawdopodobne hasło (tak, było takie samo jak nazwa sieci) i zadziałało. Uruchomił Netdiscover – prosty program, który potrafi pasywnie (prowadząc nasłuch) i aktywnie (wysyłając żądania) wykrywać podłączone do sieci hosty. Zidentyfikował kilka podsieci.

Wtedy sięgnął po nmapa i przeskanował nim porty. Uzyskanie dostępu do hotelowych kamer CCTV nie stanowiło problemu, wystarczyło posłużyć się domyślnym hasłem, dostępnym choćby w dokumentacji sprzętu (admin/12345). W podobny sposób (admin i brak hasła) dało się przejąć kontrolę nad kamerami w salonie jubilerskim, który chwali się na swojej stronie internetowej bogatym asortymentem biżuterii z kryształami Swarovskiego i perłami hodowlanymi różnych barw.

Okazało się, że równie łatwo można otrzymać dostęp do ustawień konfiguracyjnych urządzeń sieciowych, takich jak switche 3Com (admin/admin) i Cisco (cisco/cisco), co obrazują dwa kolejne zrzuty ekranu.

„Chciałbym coś z tym zrobić, ale nie pójdę do recepcji, mówiąc: dzień dobry, wszystko macie w domyślnej konfiguracji albo wcale niezabezpieczone… Co robić, jak żyć?” – dopytywał się Czytelnik w wysłanym do nas e-mailu. Jak zwykle w podobnych sytuacjach, zaproponowaliśmy, że powiadomimy administratorów systemu o odkrytych lukach.

Podatny na atak okazał się jeszcze serwer LDAP postawiony na starej wersji Windowsa. Czytelnik eksperymentalnie uruchomił Esteemaudit-Metasploit, jedno z narzędzi, które wyciekło z NSA i po jakimś czasie zostało zintegrowane z popularnym pakietem ułatwiającym testy penetracyjne. „Ku mojemu wielkiemu zdziwieniu zadziałało” – przeczytaliśmy w mailu od Czytelnika, który dalszy rekonesans systemu przeprowadził przy użyciu Meterpretera.

Na domiar wszystkiego dostępny był również RDP (Remote Desktop Protocol). Podłączenie pulpitu zdalnego dało Czytelnikowi dostęp do Płatnika, który umożliwia firmom komunikację z ZUS-em, a także systemu zarządzania bazą danych MS SQL, usługi Active Directory (AD) itd. „Dodałem się do domeny, mogłem się zalogować do kilku innych komputerów w sieci po RDP” – wyjaśnił Czytelnik, który na tym zakończył swoje pentesty.

Informację o podatnościach wysłaliśmy na adres e-mail hotelu, pytając, kiedy znalezione przez Czytelnika błędy zostaną załatane. Uprzedziliśmy, że szykujemy artykuł na ten temat. Nasza wiadomość została zignorowana, a sprawa trafiła na kilka tygodni do szuflady.

Po drugim e-mailu, do którego dołączyliśmy parę zrzutów ekranu, skontaktował się z nami jeden z pracowników. W rozmowie telefonicznej starał się nas przekonać, że problem nie jest tak poważny, jak się nam wydaje. A gdyby nawet był, to nie możemy go opisać, bo informacje o lukach zostały przecież uzyskane w wyniku przestępstwa. Czy rzeczywiście? Postanowiliśmy skonsultować się w tej sprawie z prawnikiem.

Okiem prawnika

Komentarza udzielił nam radca prawny Rafał Cisek, ekspert w zakresie prawa nowych technologii współpracujący z Kancelarią Prawa Gospodarczego i E-commerce SynergyPRO.pl oraz twórca serwisu NoweMEDIA.org.pl

Komentarz eksperta

W opisywanej sytuacji mamy do czynienia z zatroskanym obywatelem, którego zapewne można określić modnym ostatnio słowem „sygnalista”. Jeszcze do niedawna, przed wprowadzeniem odpowiednich wyłączeń do kodeksu karnego, ów sygnalista mógłby zostać ukarany za „obywatelską nadgorliwość”. Jego „ciekawość” można bowiem teoretycznie kwalifikować jako co najmniej bezprawne uzyskanie informacji z systemu informatycznego (art. 267 § 2 Kodeksu karnego).

Art. 267. [Bezprawne uzyskanie informacji]
§ 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.

Natomiast w przypadku zaistnienia jakiejś ingerencji w system informatyczny, można by mówić o przestępstwie zakłócenia systemu komputerowego.

Art. 269a. [Zakłócenie systemu komputerowego]
Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej,
podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Warto zauważyć, że w fachowej literaturze tematu uznaje się, że przepis art. 267 § 2 k.k. będzie znajdował zastosowanie w przypadkach, gdy głównym elementem czynu sprawcy było samo już tylko uzyskanie dostępu do całości lub części systemu informatycznego, a nie uzyskanie dostępu do jakichkolwiek informacji (tak na przykład w: Radoniewicz Filip, Odpowiedzialność karna za przestępstwo hackingu. Pr.w Dział. 2013/13/121-174).

Opisywane przestępstwo ma zatem charakter formalny i nawet jak osoba uzyskująca dostęp do danego systemu nie „wyciągnie” z niego żadnych informacji, to i tak mamy do czynienia z czynem karalnym, gdyż ważny jest przede wszystkim sam fakt uzyskania dostępu do całości lub części systemu.

Powyższe ujęcie prowadziło do absurdalnej sytuacji, w której za złe zabezpieczenie systemu ukarana mogła zostać teoretycznie osoba, która przypadkowo się do niego „dostała” – np. bo zabezpieczenia były słabe lub wcale ich nie było. A jak nie było, to przecież wcale nie znaczy, że ktoś miał uprawnienia do dostępu do systemu (choć taki pogląd jest akurat kontrowersyjny i można się spierać).

W każdym razie, oczywiście w opisywanej sytuacji, wszelkie „pentesty” czy obywatelskie interwencje „sygnalistów” byłyby również karalne. Za sam fakt penetracji systemów bez stosownych uprawnień. I przez chwilę były, dopóki ustawodawca nie wprowadził stosownego wyłączenia (tzw. kontratypu przestępstwa), które ma na celu chronienie osób, których celem była nie przestępcza działalność, ale troska o bezpieczeństwo systemów.

Wprowadzono zatem do Kodeksu karnego stosowny kontratyp działania w celu wykrycia błędów w zabezpieczeniach systemów informatycznych. Zgodnie z art. 269c Kodeksu karnego, „nie podlega karze za przestępstwo określone w art. 267 § 2 lub art. 269a, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody”.

Kontrowersje może budzić fakt, że Czytelnik poinformował o lukach z3s, a nie bezpośrednio administratora hotelowej sieci. Nie mamy jednak wątpliwości, że działał w dobrej wierze.

Do hotelu na południu Polski wysłaliśmy kolejnego e-maila z prośbą o stanowisko, które moglibyśmy zamieścić w artykule. Niestety nie otrzymaliśmy żadnej odpowiedzi. Jeśli nadejdzie, na pewno się nią z Wami podzielimy.