08.09.2015 | 21:02

Adam Haertle

Według sądu niezabezpieczone WiFi może być przesłanką do uniewinnienia

Co dzieje się, gdy ktoś popełni przestępstwo wykorzystując niezabezpieczoną sieć WiFi? Czy jej właściciel ma obowiązek zapewnić identyfikację użytkowników? Ciekawy wyrok w tej sprawie wydał niedawno sąd okręgowy w Słupsku.

Gazeta Prawna opisuje ciekawy przypadek wyroku związanego z bezpieczeństwem informacji wydanego przez polski sąd. Co prawda w Polsce nie obowiązuje system prawa precedensowego, jednak wyrok i jego uzasadnienie kształtują interesująca praktykę.

Rada Gminy i gabinet rehabilitacji

Przed Sądem Okręgowym w Słupsku toczyła się ciekawa sprawa. Jak możemy dowiedzieć się z wyroku, przewodniczący pewnej Rady Gminy był jednocześnie pracownikiem gabinetu rehabilitacyjnego znajdującego się w pomieszczeniach dzierżawionych od gminy. Warunkiem przedłużenia kontraktu z NFZ był remont pomieszczeń gabinetu. Jesienią 2012 Rada Gminy podjęła decyzję o przekazaniu gminnych środków na remont pomieszczeń, w których miał funkcjonować gabinet rehabilitacyjny. Wkrótce na lokalnym forum internetowym pojawił się wpis o treści:

W pełni się z tym zgadzam. ale kto czyta protokoły z sesji chociażby ostatniej to wie dokładnie, że dieta to nic przy pozostałych profitach. I tak na przykład nasz Przewodniczący Rady Gminy ma zapewniona premię u swojej pracodawczyni za załatwienie ponad 300.000zł na gabinety rehabilitacji…… Gdyby dietę zabrano zaraz 3/4 by zrezygnowało.

Dwa miesiące później na forum pojawił się kolejny wpis wpis mówiący o tym, że Przewodniczący Rady Gminy „załatwił” swojej szefowej pieniądze w kwocie 300.000 zł za co miał otrzymać podwyżkę zarabiając 8.200 zł.

Przewodniczący Rady Gminy poczuł się tymi wpisami urażony i złożył wniosek o ściganie sprawców. Autorów ostatniego komentarza nie próbowano nawet ustalić („operatorami sieci telekomunikacyjnej są podmioty zagraniczne z Niemiec i Szwecji”), jednak adres IP, z którego nadano pierwszy komentarz udało się przypisać do siedziby firmy należącej do byłego przewodniczącego tej samej Rady Gminy, poprzednika poszkodowanego na tym stanowisku.

Ruter był, ale już nie ma

Sąd powołał biegłego, by ten określił, czy możliwym jest, że wpisów dokonał ktoś, kto włamał się do komputera firmy lub do jej sieci WiFi. Biegły ustalił jednak, że zarówno komputer jak i ruter firmy zostały fizycznie wymienione między datą umieszczenia komentarza a datą badania, zatem brak jest możliwości technicznych ustalenia, w jakim stanie znajdowały się ich zabezpieczenia w momencie dokonania czynu. Ponadto biegły stwierdził, że:

… w przypadku braku odpowiednich zabezpieczeń i biorąc pod uwagę ukształtowanie terenu, to, że na parterze budynku w którym mieszkają pozwani umiejscowiony jest sklep spożywczy, a przed lokalem znajduje się parking, sposobność umiejscowienia innego sprzętu w odległości kilkunastu metrów rutera, jest możliwość dostępu do sieci…

Zatem lokalizacja rutera i zasięg sieci WiFi sugerują, że gdyby ruter nie był zabezpieczony, to ktoś niepowołany mógł z niego skorzystać.

Prawdopodobnie podatny model E4200

Przykładowy ruter ;)

Najciekawszy jest ten fragment uzasadnienia sądu:

Bezspornie jak ustalono to już na etapie postępowania prowadzonego przez Prokuraturę wpis z dnia 5 listopada 2012r. został zamieszczony z komputera o adresie IP należącym do firmy Handlowo- Usługowej (…) z B., jednak potencjalny krąg osób, jak wskazał to biegły z zakresu informatyki, transakcji internetowych i bezpieczeństwa danych, który mógł dokonać czy zamieścić w Internecie kwestionowany wpis jest szeroki i oczywiście niemożliwy do ustalenia, podany bowiem adres IP mogły wykorzystać także osoby pozostające poza budynkiem, korzystające z sieci. Nie jest zdaniem Sądu bezprawne i nie prowadzi do naruszenia dóbr osobistych powoda działanie strony pozwanej polegające na braku dostatecznego zabezpieczenia swojej sieci teleinformatycznej i tym samym bezwiedne udostępnieniu adresu IP osobom trzecim na zasadach uniemożliwiających zidentyfikowanie osoby zamieszczającej wpis w Internecie. Nie ma również podstaw do przyjęcia odpowiedzialności strony pozwanej jako pomocnika za naruszenie w ten sposób dóbr osobistych powoda ponieważ zgodnie z art. 422 k.c. pomocnik jest odpowiedzialny za szkodę tylko o tyle o ile swoim własnym działaniem lub zaniechaniem, polegającym na udzieleniu pomocy sprawcy szkodę tę wyrządził. Musi zatem istnieć normalny związek przyczynowy między działaniem pomocnika a szkodą, a związek taki zachodzi tylko wtedy, gdy działanie pomocnika skierowane jest na dokonanie czynu niedozwolonego. W rozpoznawanej sprawie taka sytuacja niewątpliwie nie zachodzi, nie była też przedmiotem zarzutu powoda.

Wynika z niego, że nie można zarzucać właścicielowi firmy braku zabezpieczeń sieci, ponieważ nie ma ku temu podstaw prawnych. Nawet jeśli istniał związek między jego zaniechaniem a naruszeniem praw innej osoby, to brak wskazówek, że kierowała nim chęć pomocy nieustalonym osobom, które dokonały naruszenia.

Podsumowanie

Tak jak zaznaczyliśmy na początku, polski system prawny nie wywodzi z tego wyroku żadnych bezpośrednich skutków w innych sprawach o podobny charakterze. Można jednak obstawiać, że sposób rozumowania sądu może znaleźć naśladowców także w innych postępowaniach, co prawdopodobnie sprawi, że także linia obrony oskarżonego może zyskiwać na popularności. Jeśli usłyszycie o podobnej sprawie, dajcie znać – polskie prawodawstwo powoli wchodzi w epokę internetu i wszelkie tego typu wyroki są cennym materiałem do analizy.

Powrót

Komentarze

  • 2015.09.08 21:05 kar

    A znacie może sygnaturę wyroku?

    Odpowiedz
    • 2015.09.08 21:09 Adam

      W tekście na żółto świeci się słowo „wyrok” :)

      Odpowiedz
      • 2015.09.08 21:17 kar

        oops :)
        pardon. Dzięki, ominąłem. Ciekawy news.

        BTW z jednej strony to prawda, że nie ma u nas wiążących precedensów, ale tak jak sygnalizujecie – taki wyrok (biorąc pod uwagę, że pochodzi od SO) będzie miał duże znaczenie dla sędziów z tego samego okręgu (w pewnym zakresie „brak prawa precedensowego” to fikcja).
        Symptomatyczne jest, że to sprawa cywilna. Ciekawe jak by to wyszło w sądzie karnym.

        Odpowiedz
  • 2015.09.08 21:52 ciastkowy

    Bez znaczenia, czy sieć otwarta czy nie, czy z hasłem 123456 czy na WPA/WEP, w każdym z tych przypadków nie da się zidentyfikować osoby korzystającej z tej sieci sugerując się wyłącznie logami. Jeżeli ktoś ma router na 15 piętrze bloku, to jego obszar rażenia jest ogromny dla osoby z anteną panelową czy gridem.

    Odpowiedz
  • 2015.09.08 21:54 Lorek

    Tak naprawdę dopóki ktoś ma wystawione wifi i nie ma odpowiednio złożonego hasła to złamanie zabezpieczeń jest proste. Ciekawe ile jest wyroków skazujących w takich wypadkach.

    Odpowiedz
    • 2015.09.09 08:32 Duży Pies

      Najgorsze ustawienia domyślnie w tych urządzeniach pospolicie nazywanych „routerami WiFi”. Prawie zawsze jest tam uruchomiony serwer DHCP ze sporą pulą adresów, do tego wyłączone filtrowanie MAC, pusta lista ACL, wyłączone QoS:) Jak tu nie skorzystać i nie dokonać przestępstwa?

      Odpowiedz
      • 2015.09.09 16:05 Lorek

        też no bądźmy szczerzy, nikt nie będzie statycznie przydzielał adresów w sieci domowej, filtrowanie MAC to przecież żadne zabezpieczenie, ACLe zależą od tego jak vendor się przyłoży. Routerki domowe to nie jest sprzęt nad którym trzyma pieczę admin i monitoruje, tylko przychodzi „Janusz” podpina go zgodnie z instrukcją i zapomina o nim dopóki się nie zepsuje ;)

        Odpowiedz
  • 2015.09.08 22:04 :)

    najlepiej właśnie mieć sieć niezabezpieczoną ! a co do zasady łączyć się przez sieć sąsiada np. do z3s :))) i po co ten tor ? i po co ten cały hałas ?? i o co ta cała sprawa ??? a ile ja z tego będę miał ??? a da się na tym coś zarobić ??? bo ja Panom napisze że wszędzie da się zarobić …

    Odpowiedz
  • 2015.09.08 22:17 nonqu

    Biegły raczej nie domniemywał, że router był niezabezpieczony, bo przecież nawet out-of-the-box jako-takie hasła są. Ktoś chyba zeznał, że haseł nie było.

    Pytanie, czy do spółki, która była właścicielem routera/ABI w spółce nie mogłoby się przyczepić giodo. U nas hasło eifi jest regularnie zmieniane co 30 dni – właśnie przez ABI i giodo, i to mimo fileservera na sambie z odpowiednio skonfigurowanymi poświadczeniami.

    Odpowiedz
  • 2015.09.08 22:24 Duży Pies

    „biegły z zakresu informatyki” naprawdę o niczym nie świadczy.
    .
    Adamie, sprawdź sobie proszę, że biegłym – z prawie każdej dziedziny, na której ekspertyzę powoła się sąd – można zostać bez problemu. Nikt tego nie weryfikuje!!! No może za wyjątkiem medycyny sądowej, mechanoskopii – tam nie przejdą pseudoeksperci, ale to muszą być już naukowe lub resortowe jednostki.
    .
    Już dziś możesz się więc wpisać do rejestru „biegłych” sądowych, tak po prostu. Nie wierzyłem w to, dopóki nie powiedział mi tego mój wykładowca z badań poligraficznych, notabene biegły sądowy, ale akurat w tym wypadku to prawdziwy ekspert, który na Dolnym Śląsku badał na poligrafie większość zabójców przez ostatnie 30 lat.

    .
    Tak to w Polsce funkcjonuje!
    To horror, bo jeśli trafisz na kołnusa, któremu się wydaje że jest ekspertem, to jego pseudoekspertyza może cię pogrążyć na procesie!
    Bo sędziami zostają najczęściej prawnicze durnie, które prócz onanizowania się Kodeksem, na niczym innym się znają. Przyklepią każdy wyrok, jeśli wpłynie nań (pseudo)ekspertyza!
    Rzygać się chce, ale to prawda!

    Odpowiedz
    • 2015.09.09 05:35 tenbit

      Masz sporo racji w tym co piszesz i dlatego mamy w PL taka mizerię w wymiarze sprawiedliwości. Po przeczytaniu kilku art na ten temat, wyłania się czarny obraz, który nie rokuje pozytywnie na przyszłość.

      Odnośnie wpisu: pitu pitu, ale jakby ktoś napisał na forumie przez tamto rzekomo niezabezpieczone WI-FI, że jest zamieszany dajmy na ten przykład w sprawę Iwony Wieczorek, od razu przystąpiliby do działania i sprawdziliby monitoring, rozpytali kilkuset świadków, posprawdzali logi z nadajników GSM i okazałoby się raptownie, że jednak da się namierzyć taką osobę :)

      Odpowiedz
      • 2015.09.09 09:15 Duży Pies

        Sprawa Iwony powinna teraz trafić do policyjnego Archiwum X, może do krakowskiego (KWP Kraków) bo tam są bardzo dobrzy śledczy.
        .
        Na pewno nie wszystko podczas śledztwa opowiedziało koleżeństwo Iwony, i jej chłopak. Tam było coś, co wyraźnie ukrywano przed śledczymi. Powinno się ich jeszcze raz porządnie przesłuchać i posadzić na wariograf – wynik badania poligraficznego mógłby się okazać bardzo ciekawy…
        .
        Dodatkowo, powienien swoją pracę wykonać policyjny profiler (psycholog kryminalny). Najlepszym w Polsce jest Pan dr Bogdan Lach z KWP Katowice.

        Odpowiedz
  • 2015.09.09 12:18 Maciek

    Jakiś czas temu moja znajoma wygrała podobną sprawę w Szamotułach (Wielkopolskie) i użyła podobnej argumentacji o niezabezpieczonej sieci WI-FI. Sąd podzielił argumentację obrońcy tak jak w tym przypadku.

    Odpowiedz
  • 2015.09.10 08:53 Gosc

    To, że u nas jeszcze zadziała matoda obrony „na niezabezpieczoną sieć Wi-Fi” to tylko pewna luka w przepisach, która najpewniej wkrótce zniknie. W Niemczech juz ją usunięto, nie ma dyskusji, konsekwencje użycia w przestępstwie niezabezpieczonego Wi-Fi ponosi właściciel. Kara za brak zabezpieczenia to 100Eur. Do tego dochodzi odpowiedzialność za ewnetualne przestępstwa. Kilka lat temu była głośna sprawa małżeństwa emerytów, którzy dostali kilkadziesiąt EUR grzywny za „życzliwego” sasiada, który ściągał za pośrednictwem ich routera mp3 (sic).

    Odpowiedz
    • 2015.09.10 11:28 Duży Pies

      Prawo nie nadąża za techonologiami.
      Nawet jak zabezpieczysz tę wifkę, to złamanie hasła jest nadal proste. Nie trzeba być tu super userem: script kiddie i gimbaza odpalą Hydrę, uzyskają hasło, włamią się do routera i narobią szkód. A potem ty będziesz wzywany do sądu, gdzie gęsto się będziesz tłumaczył że nie ściągałeś plików, nie włamywałeś się gdzieś lub nie wysłałeś emaila lub SMSa z bramki że w budynku jest bomba.
      .
      Zaskoczę Cię, ale poziom wiedzy technologicznej w przypadku polskich sądów, jest porażający. Profesor prawa (z długim już stażem) na jednym z lepszych uniwerków, był bardzo zakoczony gdy mu uświadomiłem że IMEI w telefonie/srajfonie/modemie GSM, można zmienić. I tacy ludzie edukują przyszłych prawników i sędziów…
      .
      Współczuję osobie, której router WiFi przechwycą jacyś cyberkryminaliści, i która potem będzie miała nieprzyjemność być ciągana po prokuraturach i sądach, w któych pracują tak niedouczeni prokuratorzy i sędziowie.

      Odpowiedz
  • 2015.09.10 23:45 Bartosz

    Na wstępie Adamie dzięki za świetną robotę i za ciekawe wpisy nie ma to jak wieczorkiem gdy dzieci śpią sobie siąść i poczytać z3s

    A wracając do tematu. Ominięcie zabezpieczeń sieci WIFI jak się co niektórym wydaje to wcale nie jest taka prosta sprawa żeby było jasne pomijam sytuacje w których router jest wyciągnięty z pudełka i bez żadnej konfiguracji podłączany do sieci lub gdy hasło WIFI jest ustawione na proste hasło które w żaden sposób nie jest odporne na użycie metody z wykorzystaniem słownika.

    Dobrze ustanowione hasło o odpowiednim stopniu skomplikowania wcale nie tak łatwo złamać i na pewno nie sprowadza się to do użycia jednego programu. Trzeba naprawdę mieć solidną wiedzę by poradzić sobie ze złamanie zabezpieczeń WPA2 (WEP nie jest żadnym wyzwaniem). Łamanie tego typu zabezpieczeń wymaga czasu i odpowiedniego przygotowania. Należy mieć kartę, która ma możliwość wstrzykiwania pakietów (packet injection) dodatkowo trzeba znać kilka programów (aireplay-ng, genpmk, Cowpatty, Pyrit) orientować się jak przeprowadzić ataki typu Caffe Latte, Hirte i jeszcze parę innych a nie mówiąc już o wprawnym posługiwaniu się Linuxem (narzędzia na Windows są lecz jest to spory wydatek) czy np. Wiresharkiem celem analizy pakietów. Kto choć raz nie zmierzył się z tematem i próbą pokonania zabezpieczeń WIFI i mówi, że jest to łatwe to sorry ale plecie bzdury. Dla ciekawskich polecam te dwa wpisy bo dosyć ciekawie mówią o specyfice ominięcia zabezpieczeń sieci bezprzewodowej (dobry wstęp do tematu):
    http://www.slow7.pl/sieci-komputerowe/item/35-atak-na-wlan-metodologia-narzedzia-i-praktyka oraz
    http://www.slow7.pl/sieci-komputerowe/item/38-sniffing-w-sieciach-bezprzewodowych
    Pzdr i życzę wytrwałości i materiałów na ciekawe tematy

    Odpowiedz
    • 2015.09.11 07:54 Duży Pies

      Znajdziesz jeszcze stare LiveBoxy z WEPem.
      WPA2 faktycznie jest trudniej złamać.
      Kartę do wstrzyknięcia pakietów np. ALFA AWUS036H kupisz nową na Allegro za 160 PLN, to nie jest jakiś wielki koszt.
      Włam do WiFi, jeśli hasło nie jest długie, skomplikowane i często zmienianie, to stosunkowo prosta sprawa.

      Odpowiedz
  • 2015.09.13 15:16 tomek

    To orzeczenie nic nowego. Sądy tak orzekają od lat w podobnych sprawach.

    Odpowiedz
  • 2015.10.02 21:50 Waldek

    Szkoda, że za kolejnym razem w sprawie tego samego IP nikt już nie będzie taki pobłażliwy…

    Odpowiedz
  • 2019.02.03 20:23 Maria

    Witam, Mam delikatnie mówiąc podejrzanych „sąsiadów” nagle pojawił się b. blisko otwarty wifi SA9800_501b22 jakby kuszący by z niego skorzystać (a potrzebuję by coś przesłać na dysk google). Dodam iż mają moje wszystkie dane osobowe z powodu kłamliwego pomówienia mnie, a to wystarczy by je pozyskać, np. dzielnicowy pisząc na zlecenie notatkę służbową do których mają wgląd wpisuje dosłownie wszystkie dane osobowe.
    Czy można sprawdzić do kogo należy? chcę się upewnić że to oni, chcą pozyskać hasła itp.

    Odpowiedz

Zostaw odpowiedź do Duży Pies

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Według sądu niezabezpieczone WiFi może być przesłanką do uniewinnienia

Komentarze