Był sobie uzdolniony muzycznie, ale chorowity chłopiec. Bardzo chciał sobie pograć na skrzypkach, a te znajdowały się w dworze. Zakrada się więc chłopak i... łapią go, posądzają o kradzież (...). Wiadomo jak to wszystko się skończyło. Później na lekcjach, przynajmniej za dawnych czasów, były rozważania co zrobiliby "państwo", gdyby wrócili wcześniej, jak to zaopiekowali się Jankiem i jaki wspaniały byłby z niego skrzypek.
Jankomuzykantyzm
Wczoraj zakończyła się sprawa o odszkodowanie dla rodziców zastrzelonego przez Policję motocyklisty. Miał chłopak pecha, znalazł się w nieodpowiednim czasie w nieodpowiednim miejscu, ale przede wszystkim usiłował uciec przed Policją i nie zatrzymał się do kontroli. Sąd uznał, że odszkodowanie się nie należy.
Kilka dni temu hakerzy (haker vs. cracker) włamali się na stronę UW, uczelnia sprawę zgłosiła prokuraturze. Podobnie jak w przypadku innych tego typu spraw, tak i tym razem rozległy się głosy typu: Wsadzajmy do więzienia ludzi za to że pokazują błędy w systemach komputerowych. Brak słów... albo (...), Uniwersytet zamiast składać doniesienie do prokuratury, powinien być wdzięczny hakerom, że pokazali jego władzom wadliwość zabezpieczeń.
I w tym właśnie momencie wkracza jankomuzykantyzm. Bo przecież to tacy zdolni młodzi(?) ludzie, a tu zły świat się na nich tak uwziął... Zamiast wdzięczności, kłody pod nogi... Główne argumenty "obrońców" są zwykle mniej więcej takie:
- włamują się tylko po to, by pokazać, że można,
- robią to w celach edukacyjnych,
- nikomu nie dzieje się krzywda,
Warto zastanowić się, czy rzeczywiście nikomu nie dzieje się krzywda. Utrata wizerunku, utrata zaufania (potencjalnych) klientów, koszty poniesione na odtworzenie działania aplikacji. Zdecydowanie nie jest to "nic", więc twierdzenie, że "nikomu nie dzieje się krzywda" jest oderwane od rzeczywistości. Wcale się nie dziwię, że "uszczęśliwieni" niechcianą usługą wcale nie są nią zachwyceni i decydują się na złożenie wniosku o ściganie przestępstwa, do czego mają pełne prawo. Z dostępnych informacji dotyczących zdarzenia wynika, że przestępstwo prawdopodobnie zostało popełnione, ale decyzja w tej sprawie należy do prokuratury i sądu. Można również dyskutować, czy można ominąć zabezpieczenia, których nie ma, ale to zupełnie inna kwestia.
Pokazanie, że aplikacja jest podatna wcale nie musi zawierać w sobie umieszczania "charakterystycznych wpisów" oraz informowania mediów o całej sprawie. Podejrzewam, że uczelnia zareagowałaby inaczej, gdyby została o problemie poinformowana w nieco bardziej cywilizowany sposób. Pewności w tym względzie mieć jednak nie można, więc we własnym interesie lepiej trochę uważać, bo konsekwencje takiej "edukacji" mogą być dość nieprzyjemne. Może nie w tak gwałtowny sposób jak, przykładowo, domowe zabawy "edukacyjne" z niewybuchami, ale jednak uciążliwe.
"Edukować się" można na wiele sposobów, poczynając od wykorzystania aplikacji typu OWASP WebGoat, różnych hackme (tu wspomnę o moim przewodniku po podstawach bezpieczeństwa aplikacji internetowych), a na testowaniu dostępnych aplikacji (co za problem zainstalować sobie WordPress, Drupal, Xyz, FooShmu, ... albo skorzystać z moth) kończąc.
W kodeksie karnym istnieją (między innymi) dwa artykuły: 267 i 268, o których warto pamiętać. W obu przypadkach ściganie przestępstwa następuje w wyniku wniosku pokrzywdzonego. Trzeba po prostu przyjąć do wiadomości, że "pokazywanie wadliwości zabezpieczeń" bez wiedzy i zgody zainteresowanego (właściciela) może skończyć się ograniczeniem wolności do lat dwóch/trzech/(...), w zależności od tego, pod jakie paragrafy zostanie to ostatecznie podciągnięte. Do tego można jeszcze dodać ewentualne problemy z zatrudnieniem tam, gdzie wymagane jest zaświadczenie o niekaralności, przynajmniej do czasu zatarcia skazania. Trzeba znać potencjalne konsekwencje swoich czynów. Nie ważne czy jest to ucieczka przed Policją (pechowo w czasie obławy), czy "tylko" edukacyjne włamanie na serwer, które, zgodnie z obowiązującym prawem, jest przestępstwem.
A jeśli ktoś dysponuje zbyt dużą ilością wolnego czasu i bardzo chce pokazać, że można, to proszę bardzo, ma okazję: Live Labs Web Sandbox.
Na zakończenie spojrzenie z nieco innej strony - nie można zakładać, że jakiekolwiek przepisy powstrzymają "prawdziwych" włamywaczy, w związku z czym aplikacje i systemy powinny być bezpieczne. Przynajmniej tak bezpieczne, by potencjalni intruzi znaleźli sobie inne, łatwiejsze obiekty ataku.
wydaje mi sie, ze w tym przypadku mamy jednak do czynienia z art 268a (a nie 267), poniewaz kluczowa sprawa jest zmiana danych.
Nie jestem prawnikiem, wiec moze ktos z wieksza wiedza w tym zakresie odniesie sie do tej kwestii.