AGENDA. Prawne aspekty systemów pułapek. Obrona przez atak

Transkrypt

1

2 AGENDA Prawne aspekty systemów pułapek Obrona przez atak

3 TYTUŁEM WSTĘPU gospodarka oparta na wiedzy prawo nie nadąża za rozwojem techniki

4 HONEYPOT TO Prawidłowo przygotowany honeypot jest odpowiednio skonfigurowanym hostem, który udaje prawdziwy. Ma normalne zabezpieczenia, a dodatkowo pracuje na nim zwykle specjalne, oprogramowanie monitorujące wszelką aktywność.

5 OPROGRAMOWANIE Zgodnie z art. 74 ust. 1 prawa autorskiego: programy komputerowe podlegają ochronie na gruncie prawa autorskiego jak utwory literackie, o ile przepisy działu ich dotyczącego nie stanowią inaczej

6 OPROGRAMOWANIE ZAKRES OCHRONY SAS Institute Inc. przeciwko World Programming Ltd. wyrok Trybunału Sprawiedliwości UE z dnia 2 maja 2012 r. C-406/10 Kod źródłowy oraz wynikowy podlegają ochronie prawnoautorskiej, lecz zbiór funkcjonalności, język programowania, i format plików używanych w programie komputerowym nie są wyrażeniem programu i poprzez to nie podlegają ochronie prawno-autorskiej.

7 OPROGRAMOWANIE Co z graficznym interfejsem (GUI)?

8 PRAWA AUTORSKIE DO PROGRAMÓW KOMPUTEROWYCH 1. trwałego lub czasowego zwielokrotnienia programu komputerowego w całości lub w części jakimikolwiek środkami i w jakiejkolwiek formie; w zakresie, w którym dla wprowadzania, wyświetlania, stosowania, przekazywania i przechowywania programu komputerowego niezbędne jest jego zwielokrotnienie, czynności te wymagają zgody uprawnionego; 2. tłumaczenia, przystosowywania, zmiany układu lub jakichkolwiek innych zmian w programie komputerowym, z zachowaniem praw osoby, która tych zmian dokonała; 3. rozpowszechniania, w tym użyczenia lub najmu, programu komputerowego lub jego kopii.

9 PRAWA AUTORSKIE DO PROGRAMÓW KOMPUTEROWYCH Klasyczny model dystrybucji (egzemplarz / online) Licencje niezbędne, aby móc korzystać z programu komputerowego bez łamania praw autorskich jego twórcy (producenta) Dziesiątki rodzajów licencji (swoboda umów) od komercyjnych, przez freeware i beerware, po wolne oprogramowanie

10

11

12 HONEYPOT VS. PRAWO KARNE

13 ODPOWIEDZIALNOŚĆ ATAKUJĄCEGO Art kodeksu karnego Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

14 ODPOWIEDZIALNOŚĆ ATAKUJĄCEGO Wśród penalizowanych przez art. 267 zachowań interesujące nas dziś jest zachowanie określane potocznie hackingiem (nieuprawnione uzyskanie dostępu do informacji przez przełamanie lub ominięcie zabezpieczeń magnetycznych, elektronicznych lub informatycznych).

15 ODPOWIEDZIALNOŚĆ ATAKUJĄCEGO Art kodeksu karnego Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

16 ODPOWIEDZIALNOŚĆ ATAKUJĄCEGO Brak uprawnień Sąd Najwyższy w uchwale z dnia 22 stycznia 2003 r. (sygn. akt I KZP 43/02): dysponent informacji jest władny mniej lub bardziej szeroko określić krąg podmiotów, dla których informacja jest przeznaczona. Każdy spoza tego kręgu, kto uzyskałby taką informację, swoim działaniem wyczerpuje znamiona czynu z art. 267.

17 ODPOWIEDZIALNOŚĆ ATAKUJĄCEGO Brak uprawnień Uprawnienie to, jako wyjątek od reguły, którą jest tajemnica dostępu do informacji przeznaczonej dla innej osoby, powinno być wyrażone w sposób jednoznaczny i konkretny.

18 ODPOWIEDZIALNOŚĆ ATAKUJĄCEGO Art kodeksu karnego Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

19 ODPOWIEDZIALNOŚĆ ATAKUJĄCEGO Zapoznanie się z informacją? Po wejściu w życie ustawy nowelizującej z 2008 r. czynem zabronionym nie jest uzyskanie informacji, lecz samo uzyskanie dostępu do niej

20 ODPOWIEDZIALNOŚĆ ATAKUJĄCEGO Art kodeksu karnego Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

21 POZIOM ZABEZPIECZEŃ? Czy system musi posiadać aktywne (nie tylko zainstalowane), poprawnie działające oraz prawidłowo skonfigurowane zabezpieczenia? Użycie hasła SQL Injection

22 ODPOWIEDZIALNOŚĆ ATAKUJĄCEGO Przełamywanie wiąże się z ingerencją w system zabezpieczeń i częstokroć kończy się ich zniszczeniem, zaś ominięcie to takie ich pokonanie, któremu nie towarzyszy ingerencja.

23 ODPOWIEDZIALNOŚĆ ATAKUJĄCEGO Przez przypadek Wyrok Sądu Najwyższego z dnia 2 czerwca 2003 r., (sygn. akt II KK 232/02, LEX nr 78373): wprawdzie przepis art k.k. nie zawiera charakterystycznego zwrotu, który redukowałby w stronie podmiotowej umyślność do zamiaru bezpośredniego, jednak cała konstrukcja tego typu przestępstwa, a w szczególności znamię czasownikowe "uzyskuje" i znamiona określające bliżej sposób owego uzyskania, eliminują w istocie możliwość popełnienia tego występku w zamiarze wynikowym.

24 ODPOWIEDZIALNOŚĆ ATAKUJĄCEGO Art kodeksu karnego Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.

25 ODPOWIEDZIALNOŚĆ ATAKUJĄCEGO Art kodeksu karnego Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.

26 ODPOWIEDZIALNOŚĆ ATAKUJĄCEGO Urządzenie podsłuchowe, wizualne albo inne (np. oprogramowanie w rozumieniu art to każde urządzenie, za pomocą którego można uzyskać informację (kamera, telefon, dyktafon, program komputerowy itd.). Penalizowane jest samo założenie lub posługiwanie się urządzeniem i nie jest konieczne wykazanie, by sprawca uzyskał dostęp do informacji (musi jednak działać w celu jej uzyskania).

27 ODPOWIEDZIALNOŚĆ ADMINA? Przesłanki art spełnione Brak uprawnienia? Naruszenie praw atakującego?

28 ODPOWIEDZIALNOŚĆ ADMINA? Przesłanki art spełnione Nie popełnia przestępstwa, kto w obronie koniecznej odpiera bezpośredni, bezprawny zamach na jakiekolwiek dobro chronione prawem. Przestępstwo ścigane na wniosek

29 ODPOWIEDZIALNOŚĆ ATAKUJĄCEGO Art kodeksu karnego Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

30 ODPOWIEDZIALNOŚĆ ATAKUJĄCEGO Istotna informacja Istotność informacji należy generalnie oceniać obiektywnie (rozstrzygać powinny jej waga, treść, znaczenie informacji). Nie w każdym jednak przypadku sam obiektywny wymiar informacji będzie przesądzać o jej kwalifikacji z punktu widzenia znamion czynu z art. 268, konieczne jest uzupełnienie osądu o elementy subiektywizujące, zwłaszcza interesy osoby uprawnionej [P. Kardas, Prawnokarna ochrona informacji w polskim prawie karnym z perspektywy przestępstw komputerowych

31 ODPOWIEDZIALNOŚĆ ATAKUJĄCEGO Istotna informacja Logi systemowe honeypotów

32 ODPOWIEDZIALNOŚĆ ATAKUJĄCEGO Art. 268a 1 kodeksu karnego Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3.

33 ODPOWIEDZIALNOŚĆ ATAKUJĄCEGO Art. 269a kodeksu karnego Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

34 ELEKTRONICZNY MATERIAŁ DOWODOWY Prawidłowe zabezpieczenie elektronicznego materiału dowodowego informatyka śledcza

35 ZAWIADOMIENIE O POPEŁNIONYM PRZESTĘPSTWIE? Obowiązek zawiadomienia o działaniach atakującego

36 POLICYJNY HONEYPOT Dopuszczalność Czynności operacyjno-rozpoznawcze zmierzające do sprawdzenia uzyskanych wcześniej wiarygodnych informacji o przestępstwie oraz ustalenia sprawców i uzyskania dowodów przestępstwa

37 FAQ Czy samo wejście na honeypota może być podstawą do ukarania kogoś Czy z danych, które pozyskamy od atakującego (są to często jego autorskie programy/exploity oraz dane dostępowe do innych kont) można korzystać

38 FAQ Obrona przez atak Haker też człowiek, ale

39 DZIĘKUJĘ ZA UWAGĘ JAROSŁAW GÓRA