24.03.2017 | 10:08

Adam Haertle

Pentesterzy i bezpiecznicy – możecie już spać spokojnie, nie pójdziecie siedzieć

Wygląda na to, że Sejm przyjął wczoraj poprawki do zmian w kodeksie karnym, które pozwalają bezpiecznikom posiadać narzędzia do hakowania a pentesterom przeprowadzać testy bezpieczeństwa bez zagrożenia odpowiedzialnością karną.

Przez pewien czas przepisy kodeksu karnego nie wyglądały zbyt różowo dla bezpieczników i pentesterów. Przez wiele lat obowiązywał art. 269b, którego brzmienie narażało wiele osób na odpowiedzialność karną,

Art. 269b. § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej,podlega karze pozbawienia wolności do lat 3.

Choć nie słyszeliśmy, by ktokolwiek został z tego artykuł skazany, to samo jego istnienie było sporym ryzykiem dla osób z branży bezpieczeństwa działających w Polsce. W ramach szykowanych zmian w kodeksie karnym niestety Sejm postanowił zaostrzyć brzmienie tego przepisu, między innymi zmieniając zakres sankcji na „od 3 miesięcy do lat 5.” Na szczęście mamy jednak dla Was dobre, a nawet bardzo dobre wiadomości.

Skuteczna interwencja

Minister Anna Streżyńska już od pewnego czasu obiecywała, że walczy o modyfikację przepisu tak, by możliwe było wykonywanie pracy związanej z bezpieczeństwem informacji bez ryzyka spędzenia kilku miesięcy w więzieniu. Słowa dotrzymała – Senat zaproponował odpowiednie poprawki, a jak sama pani minister napisała na Twitterze, zostały one wczoraj przez Sejm przyjęte.

Jak brzmią poprawki senackie? Oto pierwsza z nich:

w art. 1 w pkt 8 w poleceniu nowelizacyjnym po wyrazach „w art. 269b” dodaje się dwukropek, pozostałą treść oznacza się jako lit. a oraz dodaje się lit. b w brzmieniu: „b) po § 1 dodaje się § 1a w brzmieniu: „§ 1a. Nie popełnia przestępstwa określonego w § 1, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej przed popełnieniem przestępstwa wymienionego w tym przepisie albo opracowania metody takiego zabezpieczenia.”;”;

Jest to wprost wyłączenie odpowiedzialności osób zajmujących się zabezpieczaniem systemów w zakresie wytwarzania i posiadania „narzędzi hakerskich”. Zatem nikt nie powinien już być oskarżony o posiadanie nmapa czy przeglądarki na komputerze. Juppi! Ale to nie wszystko!

Senat zaproponował, a Sejm przyjął także kolejną poprawkę o treści:

w art. 1 dodaje się pkt 9 w brzmieniu: „9) po art. 269b dodaje się art. 269c w brzmieniu: „Art. 269c. Nie podlega karze za przestępstwo określone w art. 267 § 2 lub art. 269a, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody.”.”;

Dla przypomnienia przywołane paragrafy:

Art. 269a.  Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Art. 267.  §2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.

Oznacza to de facto „zgodę” na testy penetracyjne – pod warunkiem, że spełniają one kryteria opisane w poprawce – czyli:

  • działanie w celu zabezpieczenia systemu,
  • powiadomienie właściciela o wykrytych zagrożeniach,
  • brak wyrządzonej szkody.

Pewnie prawnicy pochylą się nad nowymi przepisami i rozwiną ich interpretację, ale tak czy inaczej jest to duży prezent dla całej branży – dziękujemy pani minister i wszystkim osobom zaangażowanym w przepchnięcie tych poprawek!

Powrót

Komentarze

  • 2017.03.24 10:26 Slawek

    Czyli mogę wsiąść dowolny system w sieci i testowac go i tylko jeżeli cos znajdę powiadomić właściciela? Oczywiście nie zaklucajac jego pracy.

    Odpowiedz
    • 2017.03.24 11:00 gotar

      „Nie podlega karze” != „nie popełnia przestępstwa”. Sądząc jednak po tym, jak piszesz, lepiej nie zabieraj się za to w ogóle.

      Odpowiedz
    • 2017.03.24 11:02 pawel

      ciiii bo sie zorietuja i zepsuja :P

      Odpowiedz
    • 2017.03.24 13:04 Adam

      Najlepiej znajść słownik jp w bibliotece, i nie zakłucająć ciszy, zabrać się za lekturę.

      Odpowiedz
    • 2017.03.24 21:53 Sławek

      Kurczę – człowiek napisze coś raz z komórki, i nauczyciele języka polskiego z liceum się nawet na forum o tematyce bezpieczeństwa informatycznego znajdą.

      Pozdrawiam Was serdecznie… znaczy się nie bardzo ale wiecie…

      Odpowiedz
      • 2017.07.25 01:34 Dawid

        Od kiedy pisanie na telefonie tłumaczy popełnienie błędów ortograficznych? Wręcz przeciwnie, wszystkie nowe telefony właśnie idą w tym kierunku, że nas poprawiają :)

        Odpowiedz
  • 2017.03.24 10:48 Rodzyn

    Tak, dokładnie tak Sławek, już teraz przynajmniej nie trzeba będzie spinać dupy przy testach u dawnego klienta, że nagle coś mu się nie spodoba że znaleźliśmy błąd na stronie którą teraz ktoś inny zarządza i zgłosimy mu błąd bezpieczeństwa.. (po co to robię? :D Czasem dla fanu, czasem z czystej ciekawości xD)

    Odpowiedz
    • 2017.03.24 21:55 Sławek

      Mi chodziło raczej o taką sytuację, że biorę sobie jakiś system w sieci i go sobie testuję – jak coś znajdę to zgłaszam, jak nie to zapominam o sprawie i nie ubieram się do łóżka żeby jak przyjdą o 6 rano nie wlekli mnie w samych slipkach po klatce.

      Odpowiedz
      • 2017.07.24 13:45 bbb

        Jak ty nic nie znajdziesz, skończysz i zapomnisz o sprawie (nie poinformujesz sprawdzanego) to może się okazać, że zostaniesz namierzony jako próba ataku. A może się mylę?

        Odpowiedz
  • 2017.03.24 10:50 Radosław

    I taką „dobrą zmianę” to rozumiem. Brawo Sejm.

    Odpowiedz
  • 2017.03.24 11:27 Michał

    No i pięknie ;)

    Odpowiedz
  • 2017.03.24 12:27 Marcin

    Super, bo kilka razy już widziałem ,żenujące błędy na stronach administracji publicznej (jak id strony przy przeglądaniu dokumentów, brane dosłownie, bez sprawdzania… = code injection) i bałem się ich powiadomić xD

    Teraz przynajmniej będzie można zgłaszać bez strachu takie rzeczy.

    Odpowiedz
    • 2017.03.24 13:20 mpan

      @Marcin: (pół żartem) „[…] jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody”. Żebyś się nie zdziwił, jak wiele interesów możesz naruszyć i jak wiele szkód (np. wizerunkowych) możesz wyrządzić, ujawniając błąd.

      Odpowiedz
  • 2017.03.24 12:45 Michał Sajdak

    Bardzo dobrze, oby tylko niektórzy nie zaczęli tego niefajnie wykorzystywać…

    Np. „powiadomienie właściciela o wykrytych zagrożeniach,”

    -> tutaj sporo normalnych programów bug bounty ma jakieś ograniczenia – np. trzeba powiadomić do tygodnia od znalezienia.

    A to po to żeby ktoś nie nazbierał siebie 0-dayów na system X – a powiadomił dopiero za rok (jak ktoś go zacznie namierzać, w każdym razie przed zgłoszeniem do organów ścigania).

    Odpowiedz
    • 2017.03.25 22:29 Misiek

      „Bardzo dobrze, oby tylko niektórzy nie zaczęli tego niefajnie wykorzystywać…”

      Nie no skąd. Teraz każdy sqli każdego systemu jest legalny, bo wszyscy są fajni i chcą bezpiecznej cyberpolski. Nikt nie wpitala się do systemów banku czy instytucji państwowych. Ciekawi mnie jak teraz będzie wyglądała procedura zgłoszenia próby włamania.

      – Paaaanie, to nie włamanie, oskarżony mówi że to je 'pentesting’ a on jest legalny i lepiej pan cicho siedź, bo oskarżony wniesie sprawe o zniesławienie.
      po czym posterunkowy Wrzos umarza kolejny wniosek o ukaranie sprawcy zamykając teczke z poczuciem dobrze spełnionego obowiązku.

      Odpowiedz
      • 2017.03.27 11:40 Marcin, ale inny niż ten wyżej w tym temacie

        To jaką masz propozycję? Uważasz, że tak jak do tej pory było lepiej?

        Ja osobiście jestem za dużą liberalizacją przepisów. Wolę mieć dostęp do narzędzi i móc przetestować rozwiązanie, które ktoś mi daje niż liczyć się z przepisami. Wolę np. mieć wytrych i przetestować własne zamki zanim zrobi to przestępca i do wiem się, że to jest do niczego. Tym bardziej wolę mieć oprogramowanie i możliwości, które pozwoli mi sprawdzić systemy z których korzystam skoro zawierają moje wrażliwe dane. Przestępcy nie będą się przejmować naszymi przepisami i zakazami, podobnie osoby z zagranicy a my do tej pory nie mogliśmy sami zgłosić prostych błędów w prosty sposób (nie bawiąc się w alladyna2).

        Ponadto uważam, że firmy powinny ponosić konsekwencje tworzenia dziurawych rozwiązań – np. kary za rażące zaniedbania oraz uwzględnianie liczby takich błędów przy kolejnych przetargach IT.

        A Ty, Misiek, jaki masz na to pomysł? Czy może uważasz, że do tej pory było fantastycznie?

        Odpowiedz
  • 2017.03.24 12:50 Leszq

    Czyli jeżeli ktoś będzie miał wirusa i z tego komputera nastąpi atak to wtedy właściciel komputera pójdzie do więzienia.

    Odpowiedz
    • 2017.03.24 13:17 Mateusz

      W tej materii nic się nie zmieniło. Zawsze istniało takie ryzyko.

      Odpowiedz
  • 2017.03.24 13:15 mpan

    Raczej skromny uśmiech, a nie fajerwerki. Art. 6 ust. 2 Konwencji nadal nie jest zaimplementowany. Poprawka nie wyłącza odpowiedzialności w przypadku nie używania narzędzi do działań nielegalnych, a jedynie zezwala na ich pozyskiwanie/posiadanie/użycie w bardzo konkretnym, wąskim przypadku. Co gorsze: ta poprawka prawdopodobnie zablokuje jakiekolwiek późniejsze zmiany, bo „przecież już jest”.

    Można ją porównać do zmiany takiej: nielegalne jest posiadanie noża, ale mogą go posiadać kucharze, którzy będą nim wyłącznie kroili jedzenie i niezwłocznie podadzą jedzenie klientowi w restauracji.

    Odpowiedz
    • 2017.03.24 17:14 x

      A przepraszam, po co Ci w innym celu?

      Odpowiedz
      • 2017.03.24 17:46 wiesio

        Po to, że nie wiem jak Ty ale ja nie urodziłem się pentesterem. Jeśli chcę zmienić branżę na ITsec to muszę najpierw się tego bezpieczeństwa nauczyć. A teraz, z tego co rozumiem, jak ktoś u mnie znajdzie nmapa (albo obrazek z Kali) to idę siedzieć, bo nigdy przecież nie brałem udziału w testach penetracyjnych – więc jestem hakierem, ergo – „zamknijcie go w tej celi co w niej siedzą gwałciciel sodomita, truciciel i ten psychopata co wyżera ludziom oczy jak śpią…”.

        Odpowiedz
      • 2017.03.27 03:11 mpan

        @kaper
        Np. jako programista, żeby pobrać sobie źródła i je przeanalizować, bo zawierają interesujący mnie kawałek kodu albo implementację algorytmu, który próbuję zrozumieć.

        Np. jako badacz (niezwiązany z bezpieczeństwem), żeby wykorzystać funkcję takiego oprogramowania. Pamiętaj, że nie mówimy tylko o zabawkach dla script kiddie w stylu LOIC-a, ale poważniejszych narzędziach. Analizę korelacji kolejny liczb można użyć równie dobrze do ataku na generator pseudolosowy serwera, co do ustalenia cech pewnego zbioru swoich własnych wartości.

        Np. jako developer, żeby zrobić stress-testy własnego oprogramowania (niezwiązane z jego zabezpieczaniem).

        Odpowiedz
    • 2017.03.24 17:37 kaper

      Nóż może też zostać wykorzystany w celu opracowania receptury potrawy, tak jak programy lub urządzenia mogą być wykorzystane w celu opracowania metody zabezpieczenia systemu informatycznego (jakiegokolwiek, bez wskazania konkretnego właściciela, instalacji itp.). W szczególności możesz powiedzieć, że używasz nmap-a w celu opracowania metody zabezpieczania własnego systemu.

      A producenci / sprzedawcy takich programów i urządzeń będą zamieszczać klauzulę „wyłącznie do zabezpieczania systemów” :-)

      Odpowiedz
  • 2017.03.24 13:42 lolek

    to co teraz będzie Amnestia :)

    Odpowiedz
    • 2017.03.24 22:32 hadouken

      Prawo nie działa wstecz :P

      Odpowiedz
  • 2017.03.24 20:48 Doktor

    A co z legalnością kopania bitcoinów w grach? Czekamy na przełom!

    Odpowiedz
  • 2017.03.24 21:47 jiuygfgxyuyhygh

    Dziekuję. „To mi wystarczy” do spokojnego funkcjonowania. Pani Minister szczerze 'dziękuję’, ponieważ nie spodziewałem się takiego obrotu spraw. Mam nadzieję, że nie jest to wisienka – tyle, że zgniła – na jakimś zatrutym torcie. Jeśli jest to faktycznie odpowiednia Pani na odpowiednim miejscu… „zobaczymy”.

    Raz jeszcze „dzięki”.

    Odpowiedz
    • 2017.04.17 18:01 TenPester

      Nie ciesz się za wcześnie. Przy obecnie nam panującej władzy jestem w stanie sobie wyobrazić sytuację, w której będziesz musiał rejestrować swoją działalność jako pentester czy inny white hat, a później dostać łaskawe pozwolenie od władz na takie działanie lub meldować się im za każdym razem, gdy to robisz, by móc robić to spokojnie i legalnie. Bo przecież ustawa nie precyzuje jakie warunki trzeba spełniać, by było to uznane za legalne działanie, w jaki sposób ma się odbywać to „powiadamianie” itd.

      Odpowiedz
  • 2017.03.25 22:15 marek

    Z tego co wiem, przyjętym jest aby testy penetracyjne były wykonywane na zlecenie i za zgodą zlecającego – wszystkie inne są po prostu nielegalne. Z tego co piszecie jednak wynika, że mogę bezkarnie poskanować sobie wieczorem kilka serwisów bankowych, rządowych, może jakąś ifrastrukture krytyczną. Grzyb że swoimi działaniami moge zdestabilizować prace systemów, zawiesić centralki, doprowadzić do nieszczęścia – Wolno mi !

    Odpowiedz
    • 2017.03.26 00:44 Fergun

      „a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody.”

      Więc nie bardzo…

      Odpowiedz
    • 2017.03.26 07:08 @DonkeyJJLove

      – Tak jeszcze przez chwile możesz, przy takim wyścigu, takiej presji i tempie zrób to dziś, bo jutro może być już a późno i ktoś Cię uprzedzi.

      Odpowiedz
    • 2017.03.26 08:07 Bartosz

      Marku, musisz doczytać do końca treść paragrafu:)
      „…niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody.”.”;

      Odpowiedz
      • 2017.03.27 14:39 Xn

        Proponuję też dokładnie i Tobie to zrozumieć. Niestety ale nigdy nie przewidzisz czy możesz zdestabilizować system. Skąd wiesz czy wysyłając telegram „7E A0 07 03 21 93 0F 01 7E” w miejscu innego protokołu nie spowodujesz awarii, np. zawieszenia czy resetu urządzenia/systemu docelowego?

        Poza tym co napisałam niżej w komentarzu jeszcze masz taką dziurę – zaś pamiętaj, że nieprzychylny „złym hakierom” sąd może rozpatrzyć przepis literalnie, a żeby to inaczej rozpatrzył to musi być dodatkowo „techniczny”.

        W ustawach, w przeciwieństwie do umów nie analizuje się zamiaru/kontekstu w jakim była zawarta umowa lecz bardzo czesto się tą ustawę używa wręcz mocno literalnie. Stąd kłótnie na forach czy „lub” i „albo” to to samo czy nie i jaki ma zasięg w zdaniu.

        Odpowiedz
        • 2017.04.01 07:53 adf88

          Jeśli zrzucę ten głaz ze skarpy to nie wiem, czy trafi kogoś i zabije czy nic się nie stanie. Więc mogę rzucać!

          Odpowiedz
  • 2017.03.26 07:05 @DonkeyJJLove

    — Do roboty…
    .
    Polepszmy te statystyki… przynajmniej na Nasz DOT.

    Odpowiedz
  • 2017.03.26 21:07 Cyrk

    Cały czas nie mogę wyjść ze zdziwienia, że partia prezentująca się tak, a nie inaczej wystawiła pierwszego ministra cyfryzacji z prawdziwego zdarzenia. Takiego kompetentnego, ogarniętego i z branży. No normalnie cuda. Tylko niech inne ministerstwa nie podpatrują, bo jeszcze 3RP nam zacznie działać jak należy ;)

    Odpowiedz
  • 2017.03.26 23:26 Xn

    A co jeżeli ktoś użył narzędzia hakerskiego w celu zabezpieczenia systemu przez wykrycie podatności i nie udało mu się znaleźć żadnej dziury i przez to nie może zgłosić błędu? Czy wtedy więzienie?

    Odpowiedz

Zostaw odpowiedź do Rodzyn

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Pentesterzy i bezpiecznicy – możecie już spać spokojnie, nie pójdziecie siedzieć

Komentarze