Jankomuzykantyzm

Był sobie uzdolniony muzycznie, ale chorowity chłopiec. Bardzo chciał sobie pograć na skrzypkach, a te znajdowały się w dworze. Zakrada się więc chłopak i... łapią go, posądzają o kradzież (...). Wiadomo jak to wszystko się skończyło. Później na lekcjach, przynajmniej za dawnych czasów, były rozważania co zrobiliby “państwo”, gdyby wrócili wcześniej, jak to zaopiekowali się Jankiem i jaki wspaniały byłby z niego skrzypek.

Wczoraj zakończyła się sprawa o odszkodowanie dla rodziców zastrzelonego przez Policję motocyklisty. Miał chłopak pecha, znalazł się w nieodpowiednim czasie w nieodpowiednim miejscu, ale przede wszystkim usiłował uciec przed Policją i nie zatrzymał się do kontroli. Sąd uznał, że odszkodowanie się nie należy.

Kilka dni temu hakerzy (haker vs. cracker) włamali się na stronę UW, uczelnia sprawę zgłosiła prokuraturze. Podobnie jak w przypadku innych tego typu spraw, tak i tym razem rozległy się głosy typu: Wsadzajmy do więzienia ludzi za to że pokazują błędy w systemach komputerowych. Brak słów... albo (...), Uniwersytet zamiast składać doniesienie do prokuratury, powinien być wdzięczny hakerom, że pokazali jego władzom wadliwość zabezpieczeń.

I w tym właśnie momencie wkracza jankomuzykantyzm. Bo przecież to tacy zdolni młodzi(?) ludzie, a tu zły świat się na nich tak uwziął... Zamiast wdzięczności, kłody pod nogi... Główne argumenty “obrońców” są zwykle mniej więcej takie:

Warto zastanowić się, czy rzeczywiście nikomu nie dzieje się krzywda. Utrata wizerunku, utrata zaufania (potencjalnych) klientów, koszty poniesione na odtworzenie działania aplikacji. Zdecydowanie nie jest to “nic” , więc twierdzenie, że “nikomu nie dzieje się krzywda” jest oderwane od rzeczywistości. Wcale się nie dziwię, że “uszczęśliwieni” niechcianą usługą wcale nie są nią zachwyceni i decydują się na złożenie wniosku o ściganie przestępstwa, do czego mają pełne prawo. Z dostępnych informacji dotyczących zdarzenia wynika, że przestępstwo prawdopodobnie zostało popełnione, ale decyzja w tej sprawie należy do prokuratury i sądu. Można również dyskutować, czy można ominąć zabezpieczenia, których nie ma, ale to zupełnie inna kwestia.

Pokazanie, że aplikacja jest podatna wcale nie musi zawierać w sobie umieszczania “charakterystycznych wpisów” oraz informowania mediów o całej sprawie. Podejrzewam, że uczelnia zareagowałaby inaczej, gdyby została o problemie poinformowana w nieco bardziej cywilizowany sposób. Pewności w tym względzie mieć jednak nie można, więc we własnym interesie lepiej trochę uważać, bo konsekwencje takiej “edukacji” mogą być dość nieprzyjemne. Może nie w tak gwałtowny sposób jak, przykładowo, domowe zabawy “edukacyjne” z niewybuchami, ale jednak uciążliwe.

“Edukować się” można na wiele sposobów, poczynając od wykorzystania aplikacji typu OWASP WebGoat, różnych hackme (tu wspomnę o moim przewodniku po podstawach bezpieczeństwa aplikacji internetowych), a na testowaniu dostępnych aplikacji (co za problem zainstalować sobie WordPress, Drupal, Xyz, FooShmu, ... albo skorzystać z moth) kończąc.

W kodeksie karnym istnieją (między innymi) dwa artykuły: 267 i 268, o których warto pamiętać. W obu przypadkach ściganie przestępstwa następuje w wyniku wniosku pokrzywdzonego. Trzeba po prostu przyjąć do wiadomości, że “pokazywanie wadliwości zabezpieczeń” bez wiedzy i zgody zainteresowanego (właściciela) może skończyć się ograniczeniem wolności do lat dwóch/trzech/(...), w zależności od tego, pod jakie paragrafy zostanie to ostatecznie podciągnięte. Do tego można jeszcze dodać ewentualne problemy z zatrudnieniem tam, gdzie wymagane jest zaświadczenie o niekaralności, przynajmniej do czasu zatarcia skazania. Trzeba znać potencjalne konsekwencje swoich czynów. Nie ważne czy jest to ucieczka przed Policją (pechowo w czasie obławy), czy “tylko” edukacyjne włamanie na serwer, które, zgodnie z obowiązującym prawem, jest przestępstwem.

A jeśli ktoś dysponuje zbyt dużą ilością wolnego czasu i bardzo chce pokazać, że można, to proszę bardzo, ma okazję: Live Labs Web Sandbox.

Na zakończenie spojrzenie z nieco innej strony – nie można zakładać, że jakiekolwiek przepisy powstrzymają “prawdziwych” włamywaczy, w związku z czym aplikacje i systemy powinny być bezpieczne. Przynajmniej tak bezpieczne, by potencjalni intruzi znaleźli sobie inne, łatwiejsze obiekty ataku.

Oryginał tego wpisu dostępny jest pod adresem Jankomuzykantyzm

Autor: Paweł Goleń