Botnety a prawo karne. Dr hab. Andrzej Adamski, prof. UMK Katedra Prawa Karnego i Polityki Kryminalnej

Transkrypt

1 Botnety a prawo karne Dr hab. Andrzej Adamski, prof. UMK Katedra Prawa Karnego i Polityki Kryminalnej

2 Malware Malware jest głównym źródłem zagrożenia bezpieczeństwa użytkowników Internetu, w szczególności tzw. malware dynamiczny (dynamic malware). Dynamiczny złośliwy kod umożliwia: zdalną kontrolę nad zainfekowanymi nim komputerami, łączenie komputerów w sieci (tworzenie botnetów), wykorzystywanie botnetów do skoordynowanych działań przestępczych na skalę masową. Sprzężenie zwrotne : SPAM-BOTNET jest obecnie jednym z głównych czynników wzrostu zagrożenia cyberprzestępczością. SPAM jest często nośnikiem malwaru, BOTNETY są zaś wykorzystywane do rozsyłania spamu. W 2011 r. 83% spamu na świecie rozesłały botnety (wzrost w stosunku do 2010 r. o 6%). Na niebezpieczeństwa efektu synergicznego SPAM-MALWARE-BOTNETY kryminolodzy zwracają uwagę od połowy pierwszej dekady lat 2000.

3 Schematic the botnet infection cycle Ratware mass-mailing viruses quickly delivering large amounts of Malware Trojan Horses delivered by Ratware deliver Malcode Botnets networks of zombies deliver DDOS attacks but also more spam Malcode Trojans deliver viruses / worms. Worms create Zombie PCs Zombies infected PCs surrendered to infectors From: D. Wall, Repelling the invasion of botnets, ESC Conference, Cracow, 2005

4 Botnet- platforma podziemnej ekonomii w Internecie Wg szacunków, co 10 -ty komputer na świecie jest zainfekowany malwarem. Komputery zombie są wykorzystywane przez cyberprzestępców głównie do zarabiania pieniędzy. SYMANTEC (Four Ways Cybercriminals Profit from Botnets) do pospolitych form zarabiania pieniędzy przy użyciu botnetów zalicza: (a) spam niewielki botnet (10 tys. zainfekowanych komputerów) może wysłać w ciągu godziny 360 mln i. Taka masa spamu oferującego (podrabiane) farmaceutyki generuje średnio 28 zamówień po 100 USD każde. Roczny dochód szacuje się na ok. 3,5 mln USD. (b) phishing w październiu 2010 r. agenci FBI aresztowali członków gangu, którzy przy pomocy malwaru Zeus uszczupli depozyty posiadaczy bankowych rachunków internetowych na kwotę 70 mln USD. (c) racketeering haracz za zaniechanie ataku DDoS na witrynę sklepu internetowego w okresie zakupów przedświątecznych waha się od do USD. (d) okradanie gier internetowych z wirtualnych przedmiotów w Azji gangi specjalizujące się w kradzieży wirtualnych przedmiotów z gier internetowych MMORPG czerpią zyski sięgające setek tysięcy USD.

5 za: Rik Ferguson, The Botnet Chronicles, A Trend Micro White Paper November 2010

6 Bredolab charakterystyka botnetu Utworzony wiosną 2009 r. przez G. A. 27-letniego obywatela Armenii pochodzenia rosyjskiego który działał na terytorium Armenii i zarządzał botnetem przy pomocy 143 serwerów zlokalizowanych w Holandii i Francji. Główne przeznaczenie softwaru : kradzież haseł dostępu do kont bankowych i innych poufnych informacji umożliwiających nielegalne przechwytywanie danych (keylogery) i transferowanie środków pieniężnych. Zainfekowane komputery otrzymywały polecenie znalezienia haseł do serwera webowego. Umożliwiało to instalowanie malwaru na stronie internetowej. Jej odwiedziny mogły powodować zarażenie malwarem komputer odwiedzającego stronę. Reakcja łańcuchowa powodowała szybki wzrost liczby zainfekowanych komputerów w botnecie. G.A. wynajmował botnet cyberprzestępcom do rozpowszechniania malwaru, wysyłania spamu i prowadzenia ataków DDoS. Ze świadczonych usług czerpał korzyści majątkowe, które wg ustaleń prokuratury sięgały ok. 125 tys. USD miesięcznie. Bredolab został poddany oględzinom (sinkholing) przez wyspecjalizowaną jednostkę policji holenderskiej, która przejęła kontrolę nad botnetem w październiku 2010 r.

7 Bredolab - identyfikacja i skazanie botmastera Identyfikacja podejrzanego : podsłuch i analiza danych serwera VPN wykazała, że G.A. używał serwera również w celach nieprzestępczych ( np. korzystając z poczty elektronicznej, swojego konta na Facebooku oraz dostępu do rachunków bankowych). Aresztowany na lotnisku w Erewaniu na podstawie międzynarodowego listu gończego wystawionego przez NHTCU. Oskarżony o napisanie oprogramowania i zbudowanie botnetu składającego się z 30 mln komputerów na świecie. Skazany 21 maja 2012 r. wyrokiem sądu I instancji Armenii za kwalifikowany typ przestępstwa sabotażu komputerowego (art. 253 (3) k. k. ) na cztery lata kary bezwzględnego pozbawienia wolności.

8 Bredolab - podstawa kwalifikacji prawnej Article 253. Computer sabotage 1. Obliteration (sabotage) of computer data or software, isolation or making it unusable, spoilage of computer equipment or destruction of the computer system, network or on storage media, is punished with a fine in the amount of 300 to 500 minimal salaries, or with correctional labor for the term of up to 1 year, or with arrest for the term of 1-3, or with imprisonment for the term of up to 2 years. 2. The same action: 1) accompanied with access (penetration) into a computer system or network without permission; 2) negligently caused grave consequences, is punished with correctional labor for the term of up to 2 years, or with imprisonment for the term of up to 4 years. 3. The acts envisaged in part 1 or 2 of this Article which willfully caused severe consequences, are punished with imprisonment for 3-6 years. Początkowo liczba zarzutów była większa i obejmowała przestępstwa z art. 252 k.k. (ingerencja w dane), art. 254 k.k. (nielegalne uzyskanie danych) i art. 255 k.k. (tworzenie lub sprzedaż specjalnych narzędzi do nielegalnej penetracji systemów lub sieci komputerowych). Na skutek ogłoszonej w maju 2011 r. abolicji z okazji 20 rocznicy odzyskania niepodległości przez Armenię postępowanie karne w tym zakresie zostało umorzone.

9 Konwencja Rady Europy o cyberprzestępczości Art. 6. Nadużycie narzędzi (misuse of devices) 1. Każda Strona podejmie takie środki prawne i inne, jakie okażą się niezbędne dla uznania za przestępstwo w jej prawie wewnętrznym, umyślnych i bezprawnych: a. produkcji, sprzedaży, pozyskiwania z zamiarem wykorzystania, importowania, dystrybucji lub innego udostępniania: i. urządzenia, w tym także programu komputerowego, przeznaczonego lub przystosowanego przede wszystkim dla celów popełnienia któregokolwiek z przestępstw określonych zgodnie z artykułami 2-5; ii. hasła komputerowego, kodu dostępu lub podobnych danych, dzięki którym całość lub część systemu informatycznego jest dostępna z zamiarem wykorzystania dla celów popełnienia któregokolwiek z przestępstw określonych zgodnie z artykułami 2-5; oraz b. posiadania jednostki wymienionej powyżej w punktach a. i. lub ii. z zamiarem wykorzystania w celu popełnienia któregokolwiek z przestępstw określonych zgodnie z artykułami 2-5. Strona może w swoim prawie wprowadzić wymóg, że odpowiedzialność karna dotyczy posiadania większej ilości takich jednostek.

10 Mariposa Botnet o szerokim spektrum zastosowań. Głównie przeznaczony do gromadzenia danych umożliwiających kradzież tożsamości (hasła i loginy, numery kart płatniczych, kody dostępu do kont na serwisach społecznościowych), również do wysyłania spamu i prowadzenia ataków typu DDoS. Autor oprogramowania 25 letni M.S. (aka Iserdo ) student medycyny ze Słowenii sprzedał licencję na program Mariposy m.in. trzem obywatelom Hiszpanii (aka Netkairo, Ostiatori Johnyloleante), którzy zainfekowali malwarem 13 mln komputerów, gromadząc dane osobowe 800 tys. użytkowników Internetu. Rozpoczęte w maju 2009 r. dochodzenie przez specjalną grupę operacyjną (policja hiszpańska, FBI, Panda Security, Defence Intelligence, Georgia Tech) doprowadziło w grudniu 2009 r. do odcięcia serwerów C&C Mariposy i aresztowania jej hiszpańskich botmasterów. Kilkanaście miesięcy później w Słowenii zatrzymano Iserdo, który odrzucił propozycję dobrowolnego poddania się odpowiedzialności w zamian za współpracę z organami ścigania. Wniosek rządu USA o ekstradycję Iserdo nie został uwzględniony przez władze Słowenii z uwagi na konstytucyjny zakaz wydawania obywateli tego kraju obcemu państwu.

11 Przestępstwo nadużycia narzędzi w kodeksach karnych Słowenii i Polski Art. 309 k.k. Słowenii (2) Kto wytwarza lub oferuje innej osobie podrobiony klucz, wytrych lub inne narzędzie służące do włamania, wiedząc o tym, że będzie ono wykorzystane do popełnienia przestępstwa, podlega karze pozbawienia wolności na czas nie dłuższy od roku. (3) Kto posiada, wytwarza, sprzedaje, udostępnia do używania, eksportuje, importuje lub w inny sposób dostarcza narzędzia służące do włamania się lub uzyskania nieuprawnionego dostępu do systemu informatycznego z zamiarem popełnienia przestępstwa, podlega tej samej karze. Art. 269b k.k. 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art pkt 4, art , art. 268a 1 albo 2 w związku z 1, art albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.

12 Coreflood Działał kilka lat, zainfekował 2 mln komputerów, głównie w USA. wyszukiwał dane osobowe i finansowe użytkowników zainfekowanych komputerów, instalował keyloger, przechwytywał sesje klient- bank, przelewał skradzione środki za granicę, najwyższa wartość jedn. szkody 900 tys. USD. sprawcy NN system przejęty przez Departament Sprawiedliwości i FBI w kwietniu 2011 r. procedura: pozew cywilny p-ko 13 nieznanym sprawcom ( John Doe ), sądowy nakaz przeszukania i zajęcia serwerów C&C w 29 domenach amerykańskich, zarządzenie tymczasowe sądu zezwalające organom ścigania na odpowiadanie na sygnały (ping) wysyłane przez zainfekowane komputery - cel: zatrzymanie pracy programu Coreflood na zarażonych komputerach (ochrona użytkowników przed dalszym ewentualnym pokrzywdzeniem), zablokowanie automatycznej aktualizacji Coreflood (umożliwienie producentom programów antywirusowych opracowanie sygnatur wirusa rozpoznających ostatnią wersję Coreflood) -- zawiadomienie ofiar Coreflood o zainfekowaniu komputerów przez FBI + instrukcja usunięcia szkodliwego programu z komputera. -- przekazanie przez FBI zagranicznych adresów IP komputerów zainfekowanych Coreflood organom policji odpowiednich państw.

13 Coreflood the U.S. Attorney's Office said the number of "beacons," or requests, from Coreflood in the U.S. dropped from about 800,000 on April 13 to just under 100,000 on April 22.

14 Artykuł 7 Wniosek Dyrektywa PARLAMENTU EUROPEJSKIEGO I RADY dotycząca ataków na systemy informatyczne i uchylająca decyzję ramową Rady 2005/222/WSiSW Narzędzia używane do popełniania przestępstw Państwa członkowskie podejmują środki niezbędne do zagwarantowania, by wytwarzanie, sprzedaż, dostarczanie w celu użycia, przywóz, posiadanie, rozpowszechnianie lub udostępnianie w inny sposób następujących elementów było karalne jako przestępstwo, jeżeli zostało dokonane umyślnie i bezprawnie w celu popełnienia przestępstw, o których mowa w art. 3-6: a) urządzenia, w tym programu komputerowego, zaprojektowanego lub przystosowanego głównie do celu popełniania przestępstw, o których mowa w art. 3-6; b) hasła komputerowego, kodu dostępu lub podobnych danych umożliwiających dostęp do całości lub części systemu informatycznego;

15 Wniosek Dyrektywa PARLAMENTU EUROPEJSKIEGO I RADY dotycząca ataków na systemy informatyczne i uchylająca decyzję ramową Rady 2005/222/WSiSW Artykuł 10 Okoliczności obciążające Państwa członkowskie podejmują środki niezbędne do zagwarantowania, by przestępstwa, o których mowa w art. 3-6, podlegały karom kryminalnym o maksymalnej wysokości nie mniejszej niż pięć lat pozbawienia wolności, jeżeli zostały popełnione z wykorzystaniem narzędzia zaprojektowanego do przeprowadzania ataków dotykających znacznej liczby systemów informatycznych lub ataków powodujących znaczne szkody, takie jak zakłócenie usług systemowych, straty finansowe lub utrata danych osobowych.

16 Wnioski Botnety są elementem infrastruktury informatycznej wykorzystywanym do popełniania cyberprzestępstw na skalę masową. Stanowią poważne wyzwanie dla organów ścigania i wymiaru sprawiedliwości. Przede wszystkim ze względu na: problemy techniczne związane z identyfikacją administratorów botnetów, problemy prawne związane z pociągnięciem do odpowiedzialności karnej osób zaangażowanych w tworzenie i używanie botnetów, problemy techniczne i prawne związane z likwidacją botnetów będących źródłem zagrożenia dla użytkowników Internetu. Sygnalizowane problemy wymagają badań w celu sformułowania wniosków i postulatów de lege lata i de lege ferenda.