Co dzieje się, gdy ktoś popełni przestępstwo wykorzystując niezabezpieczoną sieć WiFi? Czy jej właściciel ma obowiązek zapewnić identyfikację użytkowników? Ciekawy wyrok w tej sprawie wydał niedawno sąd okręgowy w Słupsku.
Gazeta Prawna opisuje ciekawy przypadek wyroku związanego z bezpieczeństwem informacji wydanego przez polski sąd. Co prawda w Polsce nie obowiązuje system prawa precedensowego, jednak wyrok i jego uzasadnienie kształtują interesująca praktykę.
Rada Gminy i gabinet rehabilitacji
Przed Sądem Okręgowym w Słupsku toczyła się ciekawa sprawa. Jak możemy dowiedzieć się z wyroku, przewodniczący pewnej Rady Gminy był jednocześnie pracownikiem gabinetu rehabilitacyjnego znajdującego się w pomieszczeniach dzierżawionych od gminy. Warunkiem przedłużenia kontraktu z NFZ był remont pomieszczeń gabinetu. Jesienią 2012 Rada Gminy podjęła decyzję o przekazaniu gminnych środków na remont pomieszczeń, w których miał funkcjonować gabinet rehabilitacyjny. Wkrótce na lokalnym forum internetowym pojawił się wpis o treści:
Dwa miesiące później na forum pojawił się kolejny wpis wpis mówiący o tym, że Przewodniczący Rady Gminy „załatwił” swojej szefowej pieniądze w kwocie 300.000 zł za co miał otrzymać podwyżkę zarabiając 8.200 zł.
Przewodniczący Rady Gminy poczuł się tymi wpisami urażony i złożył wniosek o ściganie sprawców. Autorów ostatniego komentarza nie próbowano nawet ustalić („operatorami sieci telekomunikacyjnej są podmioty zagraniczne z Niemiec i Szwecji”), jednak adres IP, z którego nadano pierwszy komentarz udało się przypisać do siedziby firmy należącej do byłego przewodniczącego tej samej Rady Gminy, poprzednika poszkodowanego na tym stanowisku.
Ruter był, ale już nie ma
Sąd powołał biegłego, by ten określił, czy możliwym jest, że wpisów dokonał ktoś, kto włamał się do komputera firmy lub do jej sieci WiFi. Biegły ustalił jednak, że zarówno komputer jak i ruter firmy zostały fizycznie wymienione między datą umieszczenia komentarza a datą badania, zatem brak jest możliwości technicznych ustalenia, w jakim stanie znajdowały się ich zabezpieczenia w momencie dokonania czynu. Ponadto biegły stwierdził, że:
Zatem lokalizacja rutera i zasięg sieci WiFi sugerują, że gdyby ruter nie był zabezpieczony, to ktoś niepowołany mógł z niego skorzystać.
Przykładowy ruter ;)
Najciekawszy jest ten fragment uzasadnienia sądu:
Wynika z niego, że nie można zarzucać właścicielowi firmy braku zabezpieczeń sieci, ponieważ nie ma ku temu podstaw prawnych. Nawet jeśli istniał związek między jego zaniechaniem a naruszeniem praw innej osoby, to brak wskazówek, że kierowała nim chęć pomocy nieustalonym osobom, które dokonały naruszenia.
Podsumowanie
Tak jak zaznaczyliśmy na początku, polski system prawny nie wywodzi z tego wyroku żadnych bezpośrednich skutków w innych sprawach o podobny charakterze. Można jednak obstawiać, że sposób rozumowania sądu może znaleźć naśladowców także w innych postępowaniach, co prawdopodobnie sprawi, że także linia obrony oskarżonego może zyskiwać na popularności. Jeśli usłyszycie o podobnej sprawie, dajcie znać – polskie prawodawstwo powoli wchodzi w epokę internetu i wszelkie tego typu wyroki są cennym materiałem do analizy.
Komentarze
A znacie może sygnaturę wyroku?
W tekście na żółto świeci się słowo „wyrok” :)
oops :)
pardon. Dzięki, ominąłem. Ciekawy news.
BTW z jednej strony to prawda, że nie ma u nas wiążących precedensów, ale tak jak sygnalizujecie – taki wyrok (biorąc pod uwagę, że pochodzi od SO) będzie miał duże znaczenie dla sędziów z tego samego okręgu (w pewnym zakresie „brak prawa precedensowego” to fikcja).
Symptomatyczne jest, że to sprawa cywilna. Ciekawe jak by to wyszło w sądzie karnym.
Tu jeszcze podobne: http://orzeczenia.ms.gov.pl/content/$N/154015000001006_II_Ka_000037_2014_Uz_2014-03-20_001
Bez znaczenia, czy sieć otwarta czy nie, czy z hasłem 123456 czy na WPA/WEP, w każdym z tych przypadków nie da się zidentyfikować osoby korzystającej z tej sieci sugerując się wyłącznie logami. Jeżeli ktoś ma router na 15 piętrze bloku, to jego obszar rażenia jest ogromny dla osoby z anteną panelową czy gridem.
Tak naprawdę dopóki ktoś ma wystawione wifi i nie ma odpowiednio złożonego hasła to złamanie zabezpieczeń jest proste. Ciekawe ile jest wyroków skazujących w takich wypadkach.
Najgorsze ustawienia domyślnie w tych urządzeniach pospolicie nazywanych „routerami WiFi”. Prawie zawsze jest tam uruchomiony serwer DHCP ze sporą pulą adresów, do tego wyłączone filtrowanie MAC, pusta lista ACL, wyłączone QoS:) Jak tu nie skorzystać i nie dokonać przestępstwa?
też no bądźmy szczerzy, nikt nie będzie statycznie przydzielał adresów w sieci domowej, filtrowanie MAC to przecież żadne zabezpieczenie, ACLe zależą od tego jak vendor się przyłoży. Routerki domowe to nie jest sprzęt nad którym trzyma pieczę admin i monitoruje, tylko przychodzi „Janusz” podpina go zgodnie z instrukcją i zapomina o nim dopóki się nie zepsuje ;)
najlepiej właśnie mieć sieć niezabezpieczoną ! a co do zasady łączyć się przez sieć sąsiada np. do z3s :))) i po co ten tor ? i po co ten cały hałas ?? i o co ta cała sprawa ??? a ile ja z tego będę miał ??? a da się na tym coś zarobić ??? bo ja Panom napisze że wszędzie da się zarobić …
Biegły raczej nie domniemywał, że router był niezabezpieczony, bo przecież nawet out-of-the-box jako-takie hasła są. Ktoś chyba zeznał, że haseł nie było.
Pytanie, czy do spółki, która była właścicielem routera/ABI w spółce nie mogłoby się przyczepić giodo. U nas hasło eifi jest regularnie zmieniane co 30 dni – właśnie przez ABI i giodo, i to mimo fileservera na sambie z odpowiednio skonfigurowanymi poświadczeniami.
„biegły z zakresu informatyki” naprawdę o niczym nie świadczy.
.
Adamie, sprawdź sobie proszę, że biegłym – z prawie każdej dziedziny, na której ekspertyzę powoła się sąd – można zostać bez problemu. Nikt tego nie weryfikuje!!! No może za wyjątkiem medycyny sądowej, mechanoskopii – tam nie przejdą pseudoeksperci, ale to muszą być już naukowe lub resortowe jednostki.
.
Już dziś możesz się więc wpisać do rejestru „biegłych” sądowych, tak po prostu. Nie wierzyłem w to, dopóki nie powiedział mi tego mój wykładowca z badań poligraficznych, notabene biegły sądowy, ale akurat w tym wypadku to prawdziwy ekspert, który na Dolnym Śląsku badał na poligrafie większość zabójców przez ostatnie 30 lat.
.
Tak to w Polsce funkcjonuje!
To horror, bo jeśli trafisz na kołnusa, któremu się wydaje że jest ekspertem, to jego pseudoekspertyza może cię pogrążyć na procesie!
Bo sędziami zostają najczęściej prawnicze durnie, które prócz onanizowania się Kodeksem, na niczym innym się znają. Przyklepią każdy wyrok, jeśli wpłynie nań (pseudo)ekspertyza!
Rzygać się chce, ale to prawda!
Masz sporo racji w tym co piszesz i dlatego mamy w PL taka mizerię w wymiarze sprawiedliwości. Po przeczytaniu kilku art na ten temat, wyłania się czarny obraz, który nie rokuje pozytywnie na przyszłość.
Odnośnie wpisu: pitu pitu, ale jakby ktoś napisał na forumie przez tamto rzekomo niezabezpieczone WI-FI, że jest zamieszany dajmy na ten przykład w sprawę Iwony Wieczorek, od razu przystąpiliby do działania i sprawdziliby monitoring, rozpytali kilkuset świadków, posprawdzali logi z nadajników GSM i okazałoby się raptownie, że jednak da się namierzyć taką osobę :)
Sprawa Iwony powinna teraz trafić do policyjnego Archiwum X, może do krakowskiego (KWP Kraków) bo tam są bardzo dobrzy śledczy.
.
Na pewno nie wszystko podczas śledztwa opowiedziało koleżeństwo Iwony, i jej chłopak. Tam było coś, co wyraźnie ukrywano przed śledczymi. Powinno się ich jeszcze raz porządnie przesłuchać i posadzić na wariograf – wynik badania poligraficznego mógłby się okazać bardzo ciekawy…
.
Dodatkowo, powienien swoją pracę wykonać policyjny profiler (psycholog kryminalny). Najlepszym w Polsce jest Pan dr Bogdan Lach z KWP Katowice.
Jakiś czas temu moja znajoma wygrała podobną sprawę w Szamotułach (Wielkopolskie) i użyła podobnej argumentacji o niezabezpieczonej sieci WI-FI. Sąd podzielił argumentację obrońcy tak jak w tym przypadku.
To, że u nas jeszcze zadziała matoda obrony „na niezabezpieczoną sieć Wi-Fi” to tylko pewna luka w przepisach, która najpewniej wkrótce zniknie. W Niemczech juz ją usunięto, nie ma dyskusji, konsekwencje użycia w przestępstwie niezabezpieczonego Wi-Fi ponosi właściciel. Kara za brak zabezpieczenia to 100Eur. Do tego dochodzi odpowiedzialność za ewnetualne przestępstwa. Kilka lat temu była głośna sprawa małżeństwa emerytów, którzy dostali kilkadziesiąt EUR grzywny za „życzliwego” sasiada, który ściągał za pośrednictwem ich routera mp3 (sic).
Prawo nie nadąża za techonologiami.
Nawet jak zabezpieczysz tę wifkę, to złamanie hasła jest nadal proste. Nie trzeba być tu super userem: script kiddie i gimbaza odpalą Hydrę, uzyskają hasło, włamią się do routera i narobią szkód. A potem ty będziesz wzywany do sądu, gdzie gęsto się będziesz tłumaczył że nie ściągałeś plików, nie włamywałeś się gdzieś lub nie wysłałeś emaila lub SMSa z bramki że w budynku jest bomba.
.
Zaskoczę Cię, ale poziom wiedzy technologicznej w przypadku polskich sądów, jest porażający. Profesor prawa (z długim już stażem) na jednym z lepszych uniwerków, był bardzo zakoczony gdy mu uświadomiłem że IMEI w telefonie/srajfonie/modemie GSM, można zmienić. I tacy ludzie edukują przyszłych prawników i sędziów…
.
Współczuję osobie, której router WiFi przechwycą jacyś cyberkryminaliści, i która potem będzie miała nieprzyjemność być ciągana po prokuraturach i sądach, w któych pracują tak niedouczeni prokuratorzy i sędziowie.
Na wstępie Adamie dzięki za świetną robotę i za ciekawe wpisy nie ma to jak wieczorkiem gdy dzieci śpią sobie siąść i poczytać z3s
A wracając do tematu. Ominięcie zabezpieczeń sieci WIFI jak się co niektórym wydaje to wcale nie jest taka prosta sprawa żeby było jasne pomijam sytuacje w których router jest wyciągnięty z pudełka i bez żadnej konfiguracji podłączany do sieci lub gdy hasło WIFI jest ustawione na proste hasło które w żaden sposób nie jest odporne na użycie metody z wykorzystaniem słownika.
Dobrze ustanowione hasło o odpowiednim stopniu skomplikowania wcale nie tak łatwo złamać i na pewno nie sprowadza się to do użycia jednego programu. Trzeba naprawdę mieć solidną wiedzę by poradzić sobie ze złamanie zabezpieczeń WPA2 (WEP nie jest żadnym wyzwaniem). Łamanie tego typu zabezpieczeń wymaga czasu i odpowiedniego przygotowania. Należy mieć kartę, która ma możliwość wstrzykiwania pakietów (packet injection) dodatkowo trzeba znać kilka programów (aireplay-ng, genpmk, Cowpatty, Pyrit) orientować się jak przeprowadzić ataki typu Caffe Latte, Hirte i jeszcze parę innych a nie mówiąc już o wprawnym posługiwaniu się Linuxem (narzędzia na Windows są lecz jest to spory wydatek) czy np. Wiresharkiem celem analizy pakietów. Kto choć raz nie zmierzył się z tematem i próbą pokonania zabezpieczeń WIFI i mówi, że jest to łatwe to sorry ale plecie bzdury. Dla ciekawskich polecam te dwa wpisy bo dosyć ciekawie mówią o specyfice ominięcia zabezpieczeń sieci bezprzewodowej (dobry wstęp do tematu):
http://www.slow7.pl/sieci-komputerowe/item/35-atak-na-wlan-metodologia-narzedzia-i-praktyka oraz
http://www.slow7.pl/sieci-komputerowe/item/38-sniffing-w-sieciach-bezprzewodowych
Pzdr i życzę wytrwałości i materiałów na ciekawe tematy
Znajdziesz jeszcze stare LiveBoxy z WEPem.
WPA2 faktycznie jest trudniej złamać.
Kartę do wstrzyknięcia pakietów np. ALFA AWUS036H kupisz nową na Allegro za 160 PLN, to nie jest jakiś wielki koszt.
Włam do WiFi, jeśli hasło nie jest długie, skomplikowane i często zmienianie, to stosunkowo prosta sprawa.
To orzeczenie nic nowego. Sądy tak orzekają od lat w podobnych sprawach.
Szkoda, że za kolejnym razem w sprawie tego samego IP nikt już nie będzie taki pobłażliwy…
Witam, Mam delikatnie mówiąc podejrzanych „sąsiadów” nagle pojawił się b. blisko otwarty wifi SA9800_501b22 jakby kuszący by z niego skorzystać (a potrzebuję by coś przesłać na dysk google). Dodam iż mają moje wszystkie dane osobowe z powodu kłamliwego pomówienia mnie, a to wystarczy by je pozyskać, np. dzielnicowy pisząc na zlecenie notatkę służbową do których mają wgląd wpisuje dosłownie wszystkie dane osobowe.
Czy można sprawdzić do kogo należy? chcę się upewnić że to oni, chcą pozyskać hasła itp.