Wygląda na to, że Sejm przyjął wczoraj poprawki do zmian w kodeksie karnym, które pozwalają bezpiecznikom posiadać narzędzia do hakowania a pentesterom przeprowadzać testy bezpieczeństwa bez zagrożenia odpowiedzialnością karną.
Przez pewien czas przepisy kodeksu karnego nie wyglądały zbyt różowo dla bezpieczników i pentesterów. Przez wiele lat obowiązywał art. 269b, którego brzmienie narażało wiele osób na odpowiedzialność karną,
Choć nie słyszeliśmy, by ktokolwiek został z tego artykuł skazany, to samo jego istnienie było sporym ryzykiem dla osób z branży bezpieczeństwa działających w Polsce. W ramach szykowanych zmian w kodeksie karnym niestety Sejm postanowił zaostrzyć brzmienie tego przepisu, między innymi zmieniając zakres sankcji na „od 3 miesięcy do lat 5.” Na szczęście mamy jednak dla Was dobre, a nawet bardzo dobre wiadomości.
Skuteczna interwencja
Minister Anna Streżyńska już od pewnego czasu obiecywała, że walczy o modyfikację przepisu tak, by możliwe było wykonywanie pracy związanej z bezpieczeństwem informacji bez ryzyka spędzenia kilku miesięcy w więzieniu. Słowa dotrzymała – Senat zaproponował odpowiednie poprawki, a jak sama pani minister napisała na Twitterze, zostały one wczoraj przez Sejm przyjęte.
Jak brzmią poprawki senackie? Oto pierwsza z nich:
Jest to wprost wyłączenie odpowiedzialności osób zajmujących się zabezpieczaniem systemów w zakresie wytwarzania i posiadania „narzędzi hakerskich”. Zatem nikt nie powinien już być oskarżony o posiadanie nmapa czy przeglądarki na komputerze. Juppi! Ale to nie wszystko!
Senat zaproponował, a Sejm przyjął także kolejną poprawkę o treści:
Dla przypomnienia przywołane paragrafy:
Oznacza to de facto „zgodę” na testy penetracyjne – pod warunkiem, że spełniają one kryteria opisane w poprawce – czyli:
- działanie w celu zabezpieczenia systemu,
- powiadomienie właściciela o wykrytych zagrożeniach,
- brak wyrządzonej szkody.
Pewnie prawnicy pochylą się nad nowymi przepisami i rozwiną ich interpretację, ale tak czy inaczej jest to duży prezent dla całej branży – dziękujemy pani minister i wszystkim osobom zaangażowanym w przepchnięcie tych poprawek!
Komentarze
Czyli mogę wsiąść dowolny system w sieci i testowac go i tylko jeżeli cos znajdę powiadomić właściciela? Oczywiście nie zaklucajac jego pracy.
„Nie podlega karze” != „nie popełnia przestępstwa”. Sądząc jednak po tym, jak piszesz, lepiej nie zabieraj się za to w ogóle.
ciiii bo sie zorietuja i zepsuja :P
Najlepiej znajść słownik jp w bibliotece, i nie zakłucająć ciszy, zabrać się za lekturę.
Kurczę – człowiek napisze coś raz z komórki, i nauczyciele języka polskiego z liceum się nawet na forum o tematyce bezpieczeństwa informatycznego znajdą.
Pozdrawiam Was serdecznie… znaczy się nie bardzo ale wiecie…
Od kiedy pisanie na telefonie tłumaczy popełnienie błędów ortograficznych? Wręcz przeciwnie, wszystkie nowe telefony właśnie idą w tym kierunku, że nas poprawiają :)
Tak, dokładnie tak Sławek, już teraz przynajmniej nie trzeba będzie spinać dupy przy testach u dawnego klienta, że nagle coś mu się nie spodoba że znaleźliśmy błąd na stronie którą teraz ktoś inny zarządza i zgłosimy mu błąd bezpieczeństwa.. (po co to robię? :D Czasem dla fanu, czasem z czystej ciekawości xD)
Mi chodziło raczej o taką sytuację, że biorę sobie jakiś system w sieci i go sobie testuję – jak coś znajdę to zgłaszam, jak nie to zapominam o sprawie i nie ubieram się do łóżka żeby jak przyjdą o 6 rano nie wlekli mnie w samych slipkach po klatce.
Jak ty nic nie znajdziesz, skończysz i zapomnisz o sprawie (nie poinformujesz sprawdzanego) to może się okazać, że zostaniesz namierzony jako próba ataku. A może się mylę?
I taką „dobrą zmianę” to rozumiem. Brawo Sejm.
No i pięknie ;)
Super, bo kilka razy już widziałem ,żenujące błędy na stronach administracji publicznej (jak id strony przy przeglądaniu dokumentów, brane dosłownie, bez sprawdzania… = code injection) i bałem się ich powiadomić xD
Teraz przynajmniej będzie można zgłaszać bez strachu takie rzeczy.
@Marcin: (pół żartem) „[…] jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody”. Żebyś się nie zdziwił, jak wiele interesów możesz naruszyć i jak wiele szkód (np. wizerunkowych) możesz wyrządzić, ujawniając błąd.
Bardzo dobrze, oby tylko niektórzy nie zaczęli tego niefajnie wykorzystywać…
Np. „powiadomienie właściciela o wykrytych zagrożeniach,”
-> tutaj sporo normalnych programów bug bounty ma jakieś ograniczenia – np. trzeba powiadomić do tygodnia od znalezienia.
A to po to żeby ktoś nie nazbierał siebie 0-dayów na system X – a powiadomił dopiero za rok (jak ktoś go zacznie namierzać, w każdym razie przed zgłoszeniem do organów ścigania).
„Bardzo dobrze, oby tylko niektórzy nie zaczęli tego niefajnie wykorzystywać…”
Nie no skąd. Teraz każdy sqli każdego systemu jest legalny, bo wszyscy są fajni i chcą bezpiecznej cyberpolski. Nikt nie wpitala się do systemów banku czy instytucji państwowych. Ciekawi mnie jak teraz będzie wyglądała procedura zgłoszenia próby włamania.
– Paaaanie, to nie włamanie, oskarżony mówi że to je 'pentesting’ a on jest legalny i lepiej pan cicho siedź, bo oskarżony wniesie sprawe o zniesławienie.
po czym posterunkowy Wrzos umarza kolejny wniosek o ukaranie sprawcy zamykając teczke z poczuciem dobrze spełnionego obowiązku.
To jaką masz propozycję? Uważasz, że tak jak do tej pory było lepiej?
Ja osobiście jestem za dużą liberalizacją przepisów. Wolę mieć dostęp do narzędzi i móc przetestować rozwiązanie, które ktoś mi daje niż liczyć się z przepisami. Wolę np. mieć wytrych i przetestować własne zamki zanim zrobi to przestępca i do wiem się, że to jest do niczego. Tym bardziej wolę mieć oprogramowanie i możliwości, które pozwoli mi sprawdzić systemy z których korzystam skoro zawierają moje wrażliwe dane. Przestępcy nie będą się przejmować naszymi przepisami i zakazami, podobnie osoby z zagranicy a my do tej pory nie mogliśmy sami zgłosić prostych błędów w prosty sposób (nie bawiąc się w alladyna2).
Ponadto uważam, że firmy powinny ponosić konsekwencje tworzenia dziurawych rozwiązań – np. kary za rażące zaniedbania oraz uwzględnianie liczby takich błędów przy kolejnych przetargach IT.
A Ty, Misiek, jaki masz na to pomysł? Czy może uważasz, że do tej pory było fantastycznie?
Czyli jeżeli ktoś będzie miał wirusa i z tego komputera nastąpi atak to wtedy właściciel komputera pójdzie do więzienia.
W tej materii nic się nie zmieniło. Zawsze istniało takie ryzyko.
Raczej skromny uśmiech, a nie fajerwerki. Art. 6 ust. 2 Konwencji nadal nie jest zaimplementowany. Poprawka nie wyłącza odpowiedzialności w przypadku nie używania narzędzi do działań nielegalnych, a jedynie zezwala na ich pozyskiwanie/posiadanie/użycie w bardzo konkretnym, wąskim przypadku. Co gorsze: ta poprawka prawdopodobnie zablokuje jakiekolwiek późniejsze zmiany, bo „przecież już jest”.
Można ją porównać do zmiany takiej: nielegalne jest posiadanie noża, ale mogą go posiadać kucharze, którzy będą nim wyłącznie kroili jedzenie i niezwłocznie podadzą jedzenie klientowi w restauracji.
A przepraszam, po co Ci w innym celu?
Po to, że nie wiem jak Ty ale ja nie urodziłem się pentesterem. Jeśli chcę zmienić branżę na ITsec to muszę najpierw się tego bezpieczeństwa nauczyć. A teraz, z tego co rozumiem, jak ktoś u mnie znajdzie nmapa (albo obrazek z Kali) to idę siedzieć, bo nigdy przecież nie brałem udziału w testach penetracyjnych – więc jestem hakierem, ergo – „zamknijcie go w tej celi co w niej siedzą gwałciciel sodomita, truciciel i ten psychopata co wyżera ludziom oczy jak śpią…”.
@kaper
Np. jako programista, żeby pobrać sobie źródła i je przeanalizować, bo zawierają interesujący mnie kawałek kodu albo implementację algorytmu, który próbuję zrozumieć.
Np. jako badacz (niezwiązany z bezpieczeństwem), żeby wykorzystać funkcję takiego oprogramowania. Pamiętaj, że nie mówimy tylko o zabawkach dla script kiddie w stylu LOIC-a, ale poważniejszych narzędziach. Analizę korelacji kolejny liczb można użyć równie dobrze do ataku na generator pseudolosowy serwera, co do ustalenia cech pewnego zbioru swoich własnych wartości.
Np. jako developer, żeby zrobić stress-testy własnego oprogramowania (niezwiązane z jego zabezpieczaniem).
Nóż może też zostać wykorzystany w celu opracowania receptury potrawy, tak jak programy lub urządzenia mogą być wykorzystane w celu opracowania metody zabezpieczenia systemu informatycznego (jakiegokolwiek, bez wskazania konkretnego właściciela, instalacji itp.). W szczególności możesz powiedzieć, że używasz nmap-a w celu opracowania metody zabezpieczania własnego systemu.
A producenci / sprzedawcy takich programów i urządzeń będą zamieszczać klauzulę „wyłącznie do zabezpieczania systemów” :-)
to co teraz będzie Amnestia :)
Prawo nie działa wstecz :P
A co z legalnością kopania bitcoinów w grach? Czekamy na przełom!
Dziekuję. „To mi wystarczy” do spokojnego funkcjonowania. Pani Minister szczerze 'dziękuję’, ponieważ nie spodziewałem się takiego obrotu spraw. Mam nadzieję, że nie jest to wisienka – tyle, że zgniła – na jakimś zatrutym torcie. Jeśli jest to faktycznie odpowiednia Pani na odpowiednim miejscu… „zobaczymy”.
Raz jeszcze „dzięki”.
Nie ciesz się za wcześnie. Przy obecnie nam panującej władzy jestem w stanie sobie wyobrazić sytuację, w której będziesz musiał rejestrować swoją działalność jako pentester czy inny white hat, a później dostać łaskawe pozwolenie od władz na takie działanie lub meldować się im za każdym razem, gdy to robisz, by móc robić to spokojnie i legalnie. Bo przecież ustawa nie precyzuje jakie warunki trzeba spełniać, by było to uznane za legalne działanie, w jaki sposób ma się odbywać to „powiadamianie” itd.
Z tego co wiem, przyjętym jest aby testy penetracyjne były wykonywane na zlecenie i za zgodą zlecającego – wszystkie inne są po prostu nielegalne. Z tego co piszecie jednak wynika, że mogę bezkarnie poskanować sobie wieczorem kilka serwisów bankowych, rządowych, może jakąś ifrastrukture krytyczną. Grzyb że swoimi działaniami moge zdestabilizować prace systemów, zawiesić centralki, doprowadzić do nieszczęścia – Wolno mi !
„a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody.”
Więc nie bardzo…
– Tak jeszcze przez chwile możesz, przy takim wyścigu, takiej presji i tempie zrób to dziś, bo jutro może być już a późno i ktoś Cię uprzedzi.
Marku, musisz doczytać do końca treść paragrafu:)
„…niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody.”.”;
Proponuję też dokładnie i Tobie to zrozumieć. Niestety ale nigdy nie przewidzisz czy możesz zdestabilizować system. Skąd wiesz czy wysyłając telegram „7E A0 07 03 21 93 0F 01 7E” w miejscu innego protokołu nie spowodujesz awarii, np. zawieszenia czy resetu urządzenia/systemu docelowego?
Poza tym co napisałam niżej w komentarzu jeszcze masz taką dziurę – zaś pamiętaj, że nieprzychylny „złym hakierom” sąd może rozpatrzyć przepis literalnie, a żeby to inaczej rozpatrzył to musi być dodatkowo „techniczny”.
W ustawach, w przeciwieństwie do umów nie analizuje się zamiaru/kontekstu w jakim była zawarta umowa lecz bardzo czesto się tą ustawę używa wręcz mocno literalnie. Stąd kłótnie na forach czy „lub” i „albo” to to samo czy nie i jaki ma zasięg w zdaniu.
Jeśli zrzucę ten głaz ze skarpy to nie wiem, czy trafi kogoś i zabije czy nic się nie stanie. Więc mogę rzucać!
— Do roboty…
.
Polepszmy te statystyki… przynajmniej na Nasz DOT.
Cały czas nie mogę wyjść ze zdziwienia, że partia prezentująca się tak, a nie inaczej wystawiła pierwszego ministra cyfryzacji z prawdziwego zdarzenia. Takiego kompetentnego, ogarniętego i z branży. No normalnie cuda. Tylko niech inne ministerstwa nie podpatrują, bo jeszcze 3RP nam zacznie działać jak należy ;)
A co jeżeli ktoś użył narzędzia hakerskiego w celu zabezpieczenia systemu przez wykrycie podatności i nie udało mu się znaleźć żadnej dziury i przez to nie może zgłosić błędu? Czy wtedy więzienie?
Ja to tu tylko zostawię:
http://statystyka.policja.pl/st/kodeks-karny/przestepstwa-przeciwko-14/63633,Wytwarzanie-programu-komputerowego-do-popelnienia-przestepstwa-art-269b.html
Pozdr.