autor: Ivellios » 2007-06-10, 18:25
Licencja na podglądanie
Organy ścigania nielegalnie śledzą nas w sieci
Burza w Niemczech: rząd w Berlinie przyznał, że od dwóch lat tamtejsze tajne służby przeszukują przez internet komputery obywateli. Bez nakazu, bez wiedzy inwigilowanych i nawet bez konkretnych podejrzeń. Czy podobnie postępują polskie organa ścigania i służby specjalne? Zebraliśmy dość poszlak, żeby stwierdzić: tak. Z tą różnicą, że w Niemczech się o tym ostro dyskutuje. W Polsce nie.
Bomba wybuchła nagle, tuż przed długim majowym weekendem. Na rutynowym posiedzeniu komisji spraw wewnętrznych Bundestagu pojawił się przedstawiciel Urzędu Kanclerskiego. Urząd ten (jego polski odpowiednik to Kancelaria Premiera) nadzoruje pracę służb specjalnych.
I gdy posłowie myśleli już chyba tylko o nadchodzącym urlopie, urzędnik oświadczył, że chciałby jeszcze odpowiedzieć na zaległe poselskie zapytanie.
Życie na podsłuchu
Jak relacjonowała potem reporterka branżowego tygodnika "Das Parlament”, posłowie nie mogli uwierzyć własnym uszom. Przedstawiciel rządu przyznał bowiem z niespodziewaną szczerością, że od dwóch lat niemiecki wywiad i kontrwywiad stosują metodę, która po niemiecku nazywa się Online-Durchsuchungen: rewizje online.
Czyli przeszukania twardych dysków komputerów obywateli prowadzone na odległość, potajemnie, bez wiedzy ich właścicieli oraz bez nakazu sądowego. Prowadzone także wobec osób o nic nie podejrzewanych, ale z jakichś powodów (enigmatycznie określanych jako "bezpieczeństwo narodowe") pozostających w zainteresowaniu tajnych służb. Wszystko w imię bezpieczeństwa i wszystko – rzekomo – zgodnie z prawem.
Kwestia rewizji online jest od miesięcy przedmiotem publicznej debaty w Niemczech. To element szerszej dyskusji, którą wywołał chadecki minister spraw wewnętrznych Wolfgang Schäuble, który opowiada się za poszerzeniem uprawnień instytucji państwowych w walce z międzynarodowym terroryzmem. Niektóre propozycje Schäublego – w tym rewizje online – spotkały się z krytyką nie tylko ze strony opozycji, ale również socjaldemokratów tworzących z chadekami koalicję rządową. Oponenci Schäublego powoływali się na orzeczenie Federalnego Trybunału Konstytucyjnego, który na początku roku orzekł, że jeśli policja chce przeprowadzić taką rewizję, potrzebuje podstawy prawnej. Czyli nakazu.
I oto teraz, nagle, okazało się, że to, co posłowie – a także prawnicy czy media – dopiero rozważają, jest praktykowane od dawna, jako metoda operacyjna tajnych służb. Szok był tym większy, że reprezentant Urzędu Kanclerskiego przyznał, iż na stosowanie takiej metody zgodził się już lewicowy rząd Gerharda Schrödera, który współtworzyła partia Zielonych. Dokładnie: zgodził się w 2005 r. minister spraw wewnętrznych, któremu podlega kontrwywiad (Urząd Ochrony Konstytucji); był nim wtedy Otto Schily z SPD. W przypadku wywiadu (BND), podlegającego służbowo kanclerzowi, pozwalać na rewizje online miała ustawa o BND.
Nieszczęsny urzędnik, zasypany gradem pytań – przede wszystkim o podstawy prawne – tłumaczył, że wedle rządowej interpretacji rewizje online nie naruszają konstytucji, gdyż przeszukiwane są tylko twarde dyski, a nie komunikacja mailowa (czyli nie łamie się tajemnicy korespondencji); nienaruszona pozostaje też nietykalność mieszkań obywateli, skoro czyjś laptop może być używany np. w pociągu czy w ogródku.
Wybuchła taka burza, że już następnego dnia minister Schäuble nakazał Urzędowi Ochrony Konstytucji wstrzymać proceder i oświadczył, iż ponownie sprawdzone będą podstawy prawne tej metody.
A jak jest u nas?
Wykorzystywanie internetu do rewidowania komputerów swoich obywateli Niemcy tłumaczą "wojną z terroryzmem". Czy podobne metody stosują tajne służby i organa ścigania innego kraju, który jest bliskim sojusznikiem USA w tej wojnie? Czy "hakerskie" metody stosują polskie służby specjalne i policja?
– Nie znam zapisu prawnego pozwalającego na takie działania – odpowiada ppłk Magdalena Stańczyk, rzeczniczka Agencji Bezpieczeństwa Wewnętrznego. – Agencja prowadzi działania wyłącznie opierając się na ustawie regulującej jej pracę. Jeśli chce prowadzić inwigilację przez internet, szef Agencji musi złożyć pisemny wniosek, zatwierdzony przez prokuratora generalnego i weryfikowany przez sąd okręgowy w Warszawie – wyjaśnia. Dodaje, że w ABW istnieje departament zajmujący się przestępczością komputerową, ale jego zadania i struktura są już informacją niejawną.
– Absolutnie nie, policja nie prowadzi takich działań – mówi równie stanowczo rzecznik prasowy Komendy Głównej Policji komisarz Zbigniew Urbański. – Zgodnie z prawem możemy prowadzić podsłuch wyłącznie za zezwoleniem sądu. Oprócz zwykłego podsłuchu możemy uzyskać zgodę także na tzw. "podsłuch internetowy". Musimy wówczas złożyć wniosek do sądu, mocno uzasadniając go dowodowo.
Taką możliwość regulują Ustawa o Policji i Prawo Telekomunikacyjne. Na pisemny wniosek komendanta głównego lub wojewódzkiego policja może się zwrócić do operatora telekomunikacyjnego lub dostawcy internetu o tzw. logi, czyli rejestry połączeń. Prawo każe przechowywać je operatorom przez dwa lata (planuje się przedłużenie tego okresu do pięciu lat).
W przypadku internetu logi rejestrują, kiedy i z jakim miejscem w sieci łączono się z danego komputera lub jakie pliki ściągano. Każdemu komputerowi w sieci przypisany jest unikatowy adres, tzw. IP. Wprawdzie część dostawców internetu nadaje użytkownikom inne IP za każdym kolejnym połączeniem z siecią, ale informacja o tym, do którego abonenta jakie IP przypisano w danym momencie figuruje właśnie w logach. Efekt: w sieci nie jest się anonimowym. Jednak nie ma to jeszcze nic wspólnego z przeglądaniem zawartości komputera, a tylko z rejestrowaniem jego połączeń z siecią. Urbański tłumaczy, że jeśli policja powiąże z danym numerem IP przestępstwo, może łatwo zidentyfikować abonenta. Jeśli oczywiście nie korzysta on z nietrudno dostępnych metod mylenia tropów (np. tzw. serwerów proxy).
Ustawa o policji stanowi też, w jakich przypadkach organa ścigania mogą prowadzić niejawnie tzw. kontrolę operacyjną, np. ów podsłuch internetowy. Podobnie jak w przypadku ABW, komendant główny musi złożyć wniosek zatwierdzony przez prokuratora generalnego (lub komendant wojewódzki – przez prokuratora okręgowego), a potwierdzenie wydaje właściwy dla danego miejsca sąd okręgowy.
Poważne wątpliwości ma jednak Piotr "VaGla" Waglowski, prawnik, który założył znany portal internetowy zajmujący się prawnymi aspektami społeczeństwa informacyjnego (vagla.pl): – Próbuję dociekać stanu faktycznego, bo prawo w wielu związanych z siecią przypadkach jest miałkie – mówi. – Nie ma np. mechanizmów regulujących to, co dzieje się, zanim organa ścigania zwrócą się do dostawcy usługi o dane abonenta, do którego przypisane jest IP.
Innymi słowy, jak ten adres IP zdobywają.
Skąd obywatel ma wiedzieć?
Nazwijmy go: John Doe (to amerykański odpowiednik Jana Kowalskiego). Tak się, puszczając oko, sam przedstawia.
John Doe używając bazy danych programu "PeerGuardian" dla lokalizacji geograficznej "Polska", za pomocą witryny "whois", informującej, kto zarejestrował dany adres internetowy, sprawdza przypisania do zidentyfikowanych numerów IP np. policji czy organizacji ochrony praw autorskich (RIAA, BSA). Najprawdopodobniej najbliższy zakres podobnych numerów będzie przypisany tym samym organizacjom. Uruchamia program, który automatycznie sprawdzi podobne numery i wskaże te, w opisach których pojawią się słowa kluczowe, takie jak "KGP", "policja", BSA itp.
– No i już wiemy, pod jakimi numerami będzie w sieci widać policyjnych czy innych speców – śmieje się John Doe. Bo też to żadna wielka sztuczka.
Doe jest Polakiem (nazwiska oczywiście nie poda). Z zawodu informatyk, zajmuje się bezpieczeństwem sieci. To dla chleba. A z pasji zajmuje się łamaniem zabezpieczeń.
– Przecież organa ścigania zatrudniają informatyków, a ci nie zajmują się tam podłączaniem myszek – mówi już poważnie. Sam zna takich czterech. Dwóch, jak zaznacza, świetnych fachowców.
Piotr Waglowski obawia się, że społeczeństwu informacyjnemu grozi zanik prawa do anonimowości. – Kto kontroluje tych, którzy kontrolują nas? – pyta. – Jak obywatel ma się dowiedzieć o tym, że ktoś prowadzi wobec niego jakieś działania?
Przeszukanie musi być jawne. Natomiast metody inwigilacji (tzw. operacyjne) mogą być niewykrywalne. Niemieckie służby starały się o legalizację metody nazwanej przez prasę "Federal Trojan". Trojan (od "konia trojańskiego") to program, który przemycany jest do komputera i służy do podglądania jego zawartości, podsłuchiwania komunikacji z niego prowadzonej czy przejmowania nad nim kontroli w inny sposób. Dzięki trojanowi można przejrzeć zawartość dysku, monitorować aktywność w sieci albo podpiąć się do obrazu z kamery internetowej.
Jak przemyca się trojana na komputer, który chce się kontrolować? – Na przykład w ładnym wygaszaczu ekranu – uśmiecha się John Doe. – Albo w spreparowanym pliku tekstowym Worda, "cracku" (programie łamiącym zabezpieczenia płatnego programu) czy programie do usuwania simlocków z komórek.
Ale do wejścia na podłączony do sieci komputer wcale nie jest potrzebny trojan.
– W większości przypadków włamanie do komputera polega na wykorzystaniu błędów w oprogramowaniu w nim zainstalowanym – opowiada Piotr Szeptyński, ekspert od bezpieczeństwa w sieci. – Na listach dyskusyjnych codziennie pojawiają się nowe tzw. "exploity", czyli sposoby na wykorzystanie dziury w programie czy systemie.
Szeptyński dodaje, że odpowiedzialni poszukiwacze luk w oprogramowaniu najpierw informują jego twórcę, dopiero potem publikują "exploit". – Ale tu nie ma spisanych zasad. Istotne są "0-day exploits", czyli te ujawnione w dniu wykrycia. Wtedy dostawca oprogramowania nie ma czasu na udostępnienie poprawki – tłumaczy. – Wydaje mi się, że sposobem na uzyskanie dostępu do komputera, który chce przeszukać policja, jest właśnie wykorzystanie dziury 0-day.
– Podstawowa sprawa to zidentyfikować zabezpieczenia – mówi nasz John Doe. Wystarczy więc zrobić podstawioną stronę, a potem przejrzeć jej rejestry. Są tam informacje o tym, jaką wersję systemu ma komputer, z którego ją odwiedzono. A wiadomo, jakich luk można się w danej wersji spodziewać. W ostateczności wystarczy dotrzeć do logów jakiejś innej strony słabo zabezpieczonej przez administratora. Strony włączające w przeglądarkach dodatki, takie jak tzw. kontrolki ActiveX czy Javę, bardzo ułatwiają zmanipulowanie komputera. Dla bardzo leniwych zalecić zaś można wykorzystanie mechanizmów Google.
John Doe ma całą płytę DVD programów do łamania zabezpieczeń, podsłuchiwania, przechwytywania numerów kart kredytowych itp.
Szeptyński mówi, że takie programy są ogólnie i za darmo dostępne w internecie. Ale jeśli ktoś wie, czego szuka, najczęściej pisze programy sam.
– A co do niewykrywalności, istnieją mało znane programy, tzw. "rootkity". Podpinają się pod oprogramowanie systemowe, a służą do przejęcia całkowitej lub częściowej kontroli nad komputerem – tłumaczy John Doe. – Instaluje się je z pendrive’a, przez pocztę albo przez lukę w najpopularniejszej, a pełnej dziur przeglądarce Internet Explorer. Na koniec kasuje się logi, trojana i program, który go aktywował. I śladu nie ma.
Bez różnicy: taką samą metodę zastosują organa ścigania, tajne służby, jak i np. internetowy włamywacz. To narzędzie, tak samo jak pistolet.
Poszlaki i uśmiechy
– Policja nie wchodzi do podpiętego do sieci komputera i nie czyta np. poczty – zastrzega komisarz Urbański. – To nie tak, nie na tym polega podsłuch internetowy. Niestety, nie mogę zdradzić, na czym, to tajemnica służbowa.
Łatwo się jednak domyślić, że chodzi o tzw. sniffing ("węszenie"), czyli stosowanie programów przechwytujących dane, które przepływają w sieci. Podpatruje się dane, które opuszczają śledzony komputer bądź do niego zmierzają. Komputery komunikują się z siecią poprzez tzw. porty. W każdym jest ich ponad 65 tys., a do wielu z nich standardowo przypisane są różne funkcje. Np. wysyłka poczty zwykle odbywa się przez port o numerze 110.
– Jak się tropi np. pedofilów? – pyta John Doe. – Otóż instaluje się sniffer przy serwerze, który udostępnia pedofilskie materiały i rejestruje adresy IP użytkowników, którzy na niego wchodzili, coś ściągali.
– A akcje przeciw piratom? – pyta retorycznie. Przy pomocy sniffingu można stwierdzić, choć to trudne, że dane, które ktoś ściąga, są pirackim filmem. – W sieciach P2P (do wymiany plików) z natury rzeczy to, co się ściąga, jest także udostępniane i jest to łatwiejsza metoda ścigania tego typu przestępstw. Ci, którzy z piractwa na szeroką skalę uczynili sobie źródło pieniędzy, korzystają choćby z serwerów proxy czy szyfrowania.
Co jednak wtedy, gdy chodzi o serwer poza granicami Polski, a tak jest bardzo często? Problem tym większy, że stosując podobne metody, uzyskuje się informacje o wielu innych osobach, nie tylko o tej, na podsłuch której sąd wydał ewentualne zezwolenie. Dla organów ścigania obie sytuacje oznaczają przekroczenie uprawnień. A sieć nie uznaje geografii politycznej i często się z tego korzysta. Jak polskie służby mają więc ścigać kogoś, kto łączył się z rosyjskim serwerem przez Chiny?
Są twarze, na których uśmieszek drwiny budzi pytanie o proceduralne zwrócenie się z pisemnym wnioskiem o podsłuch internetowy do sądu.
Informatyk, o którym dowiadujemy się, że współpracuje z organami ścigania, nie potwierdza tego ani nie zaprzecza. Nie udzieli żadnych informacji. Tylko podpowiedź: – Są tacy, co działają w ramach prawa, i tacy, co działają obok – mówi. – Ci drudzy to tacy, co albo umoczyli, albo mają w tym swój interes, albo są cywilnymi specjalistami, którzy robią coś, bo lubią takie zabawy. I między nimi a organami ścigania są różnego rodzaju nieoficjalne układy. Ta druga grupa formalnie nie jest w policji. Ale policja może korzystać z umiejętności, talentów i z wiedzy tak zdobytej.
Według naszego źródła policja korzysta z usług bądź to informatyków, którzy zostali przyłapani na włamaniach do sieci i poszli na współpracę, bądź hakerów. Ci ostatni eksplorują sieć z zamiłowania.
Gdyby informatyk zatrudniony przez organa ścigania został przyłapany na internetowej inwigilacji bez zgody sądu, oznaczałoby to wpadkę całej instytucji. W opisanej przez nasze źródło sytuacji nie ma dowodów, że nielegalne działania były prowadzone na zlecenie organów ścigania.
– Słyszałem o tej praktyce – potwierdza Piotr Niemczyk, który na początku lat 90. współtworzył Biuro Analiz i Informacji Urzędu Ochrony Państwa, a później był zastępcą dyrektora Zarządu Wywiadu UOP, ekspertem sejmowej komisji służb specjalnych i doradcą ministra spraw wewnętrznych. – To forma pracy operacyjnej, logicznie się zgadza: jest informator, tajny współpracownik. Nie widzę dużej różnicy między paserem, który jest policyjnym informatorem, a tajnym współpracownikiem tego rodzaju.
Komisarz Urbański: – Już samo posiadanie programów do podsłuchiwania jest przestępstwem. Policjantowi nie wolno korzystać z usług osób popełniających przestępstwo. Jeśli policjant namawiałby osobę posiadającą specjalną wiedzę informatyczną do takich działań, stałby się wspólnikiem w przestępstwie.
A więc policja nie ma swoich informatorów w półświatku? Np. owych paserów?
– Policja stosuje wszelkie dozwolone prawem metody zwalczania przestępstw, ma też swoich informatorów. Nie możemy jednak korzystać z metod uzyskiwania materiału dowodowego na drodze przestępstwa – odpowiada Urbański. – Gdyby taka sytuacja się zdarzyła, policjant, który jest za to odpowiedzialny, poniósłby karę.
– Czasem organa ścigania tolerują mniejsze przestępstwa, żeby wykryć większe – stwierdza Niemczyk. – Inna sprawa, że taka działalność ma krótkie nogi, bo w razie wpadki ów haker powie, że współpracował z policją, licząc na uniknięcie odpowiedzialności. Zresztą, czy takie działania prowadzi policjant, czy ktoś za niego, nie zmienia to oceny ich legalności. To na tyle legalne, na ile możemy powiedzieć, że legalne są metody operacyjne, gdzie wchodzi w grę informator.
Czyli czasem półlegalne. A czasem nielegalne.
Czasem, jak wynika z posiadanych przez nas informacji, śledczy nie pyta, skąd wziął się materiał dowodowy, tylko włącza go do akt sprawy.
Tym bardziej że – jak podkreśla Piotr Waglowski – sądy w Polsce kierują się zasadą swobodnej oceny dowodów. – Nie jest tak, jak oglądamy na filmach amerykańskich – mówi. – U nas nie ma zasady odrzucania owoców zatrutego drzewa, mówiącej, że dowód zdobyty nielegalnie nie liczy się w sprawie.
Prywatna policja
– Ale – zastrzega prawnik Waglowski – trzeba wziąć pod uwagę konstytucję. Ostatni wyrok Trybunału Konstytucyjnego w sprawie ustawy lustracyjnej mówi, już w odniesieniu do czasów współczesnych, że państwo nie może zdobywać o obywatelach informacji niezgodnie z prawem.
Waglowski wskazuje też na orzeczenie Sądu Najwyższego z 26 kwietnia 2007 r., zgodnie z którym informacje z podsłuchu mogą być dowodem tylko wobec osób, co do których sąd wydał zgodę na jego zastosowanie, i to wyłącznie wobec przestępstw ściśle określonych w art. 19 ust. 1 Ustawy o policji. Sąd zajmował się pytaniem prokuratora generalnego, który wnioskował, by za dowód uznawać również te informacje, które organa ścigania pozyskały przy okazji danego podsłuchu: np. jeśli ktoś zadzwonił do podsłuchiwanego i przyznał się do przestępstwa, i to innego niż wymienione we wspomnianej ustawie. Według Sądu Najwyższego, to wykluczone. – Być może zasada konstytucyjna, jako nadrzędna, rozstrzygnie niejasności – mówi Waglowski.
– Co ważniejsze – ciągnie prawnik – adres IP to nie konkretny człowiek. Identyfikuje on tylko komputer przyłączony do sieci. A z tego komputera może korzystać więcej niż jedna osoba.
Przypomina procesową zasadę in dubio pro reo: wątpliwości mają działać na korzyść oskarżonego. – Szwedzki sąd drugiej instancji uniewinnił człowieka, którego skazano na podstawie adresu IP – mówi.
Zwłaszcza że, o czym przypomina John Doe, nietrudno włamać się do sieci bezprzewodowej i prowadzić nielegalne działania z adresu IP należącego do Bogu ducha winnego abonenta.
Waglowskiego martwią inne niejasne prawnie działania organów ścigania. Przykład: 17 kwietnia policja weszła do akademików Politechniki Koszalińskiej, konfiskując ogromną liczbę sprzętu, na którym miały się znajdować pirackie materiały. Towarzyszyli im eksperci Związku Producentów Audio-Video i Fundacji Ochrony Twórczości Audiowizualnej.
– Takie przestępstwa ściga się na wniosek, a więc najpierw ZPAV taki wniosek składa, a potem deleguje ekspertów. Policja ma obowiązek szukać dowodów również na korzyść podejrzewanego, a ci eksperci raczej nie byli tym zainteresowani – irytuje się Waglowski. – To prywatyzacja organów ścigania. Dodajmy, że ZPAV ustanowił nagrodę dla zasłużonych w ściganiu piractwa policjantów: "Złote blachy". To nie jest w porządku.
Jak się zabezpieczać
Według prowadzonych przez Komendę Główną Policji statystyk przestępczości komputerowej, w zeszłym roku wykryto 370 przypadków uzyskania informacji dla siebie nieprzeznaczonej (art. 267 Kodeksu Karnego), czyli przeszło o sto więcej niż w 2005 r.
– Wiedza i umiejętności nie znaczą jesz-cze, że jest się złodziejem – mówi gorzko John Doe. – A w prawie polskim jest to tożsame: uzyskanie nieuprawnionego dostępu.
Szeptyński zwraca uwagę, żeby nie mylić hakera z przestępcą. – Hakerowi chodzi o poszerzanie swoich umiejętności. Nikomu nie szkodzi, chociaż czasem jego działalność może budzić wątpliwości prawne i moralne – tłumaczy. – Internetowy włamywacz to cracker. Od hakera różni go podejście: on chce szkodzić.
Według fińskiego filozofa Pekki Himanena, autora "Etyki hakerskiej", praca dla hakera jest pasją, a pasja – pracą. Robi to, bo lubi, a nie dlatego, że musi. Haker to także rodzaj Robin Hooda: jeśli wykryje lukę, to po to, żeby zdobyć uznanie w środowisku. Następnie zawiadamia o niej producenta oprogramowania albo właściciela wyciągniętych przez lukę danych. Cracker wykorzysta ją, żeby ukraść dane bądź sprzedać informację, jak tej luki użyć.
– Są ludzie, którzy płacą spore pieniądze za 0-day exploits – mówi Szeptyński. Bo luki, przez które można się dostać do zgromadzonych na komputerach informacji, interesują też nieuczciwą konkurencję czy zwykłych złodziei.
A pole do popisu jest ogromne.
– Kiedyś puściłem na żywioł skaner i przez 10 minut znalazłem 30 komputerów, do których potencjalnie można się było włamać – opowiada John Doe.
Piotr Szeptyński wylicza znane sobie efekty pracy hakera: – Wykryte poważne błędy wielu dużych firm i korporacji, w tym banków, telekomów, instytucji administracji państwowej, także istotnych dla obronności kraju – mówi. – Np. wyjęte przez lukę, i to za pomocą zwykłej przeglądarki WWW, bez żadnych dodatkowych programów, prawie 25 tys. numerów kart kredytowych i danych klientów z jednego ze sklepów internetowych znanego zespołu muzycznego z Finlandii. Dane wszystkich użytkowników, razem z – wprawdzie zaszyfrowanymi – hasłami jednego z największych serwisów społecznościowych w Polsce. Dane wszystkich zarejestrowanych użytkowników wraz z niezaszyfrowanymi hasłami serwisu rekrutacyjnego jednej z największych firm na świecie.
Szeptyński mówi również o wykrytej przez hakera możliwości wykonywania poleceń na serwerze WWW jednego z największych banków w Polsce. – Był to wprawdzie serwer z portalem tego banku, nie z systemem bankowości internetowej – tłumaczy. – Ale mając możliwość wykonywania poleceń na tym serwerze, miało się dostęp do sieci przedsiębiorstwa. A w niej są też inne serwery, w tym bazy danych dla bankowości internetowej. Zdajmy sobie sprawę ze skali zjawiska. Mówi się o 97 proc. niezabezpieczonych stron WWW. I to prawda.
W tamtych wypadkach działał haker i pierwsze o błędach dowiedziały się zainteresowane firmy. Nie zawsze ma się takie szczęście. John Doe opowiada o włamaniu na serwer jednej z firm handlujących sprzętem RTV/AGD. Zginęła cała lista kontrahentów. Dwa tygodnie później powstała firma konkurencyjna.
– Są też goście, którzy dobrze żyją z tzw. "farm zombie" – ciągnie Doe. – Infekuje się masowo komputery trojanem, który na żądanie łączy się ze wskazanym adresem. Armię tysiąca takich zombie odpala się jednym klawiszem. Jeśli wszystkie te komputery połączą się z jednym serwerem, ten na pewno padnie. Pozwala to załatwić np. sieć konkurencji, która akurat w konkretnym momencie musi wysłać kluczowe dane.
Szeptyński: – Bywa też, że pozornie z dobrej woli informuje się o luce, grożąc, że informacja może ujrzeć światło dzienne. Tak było w przypadku głośnego niedawno wykrycia "krytycznej luki" w systemach firmy Home.pl, która udostępnia miejsce na strony WWW, a jej klientem jest m.in. ministerstwo edukacji. Dwaj redaktorzy portalu Hack.pl wykryli lukę i wysłali do firmy list, w którym pisali m.in.: "Dobrze byłoby, gdyby na łamach Hack.pl pojawił się news dotyczący luki w home.pl, ale też rozumiemy Państwa sytuację. Koszt informacji szacujemy wstępnie na 200 tys. złotych".
Szeptyński ocenia to jako zwykły szantaż. – Niestety, znane są z drugiej strony przypadki, kiedy mimo naprawdę dobrej woli firmy chcą wyciągać konsekwencje wobec osoby, która chce im tylko pomóc – dodaje.
Zapytany o siedem grzechów głównych użytkownika, które narażają go na włamanie, Szeptyński siedem razy powtarza: ignorancja i głupota. – To razem czternaście – uśmiecha się. – A poważnie, użytkownicy nie czytają komunikatów na ekranie. Np. przy akceptowaniu certyfikatu serwera WWW, który budzi wątpliwości przeglądarki. Nie można otwierać załączników, uruchamiać programów i wchodzić na wątpliwe strony.
Według przeprowadzonych właśnie przez Google badań, co dziesiąta strona WWW zawiera szkodliwy kod pozwalający na zaatakowanie komputera użytkownika, który ją odwiedzi.
– Wreszcie – kończy Szeptyński – ważna jest zwykła czujność. Socjotechnika pozwala na więcej niż najlepiej napisany "exploit". Chcąc uzyskać potrzebne do wejścia informacje, można zadzwonić do firmy i podać się za przedstawiciela kontrahenta. Włamywacz uzyska to, co chce, i jeszcze usłyszy "dziękuję".
– Z bezpieczeństwem komputerowym jest jak z bezpiecznym seksem – uśmiecha się Doe. – Niezabezpieczony zawsze coś złapie, nie wiadomo tylko kiedy i co. A całkowita skuteczność zabezpieczeń...
Ciąg dalszy trwa
W Niemczech trwa na razie sprawdzanie legalności rewizji online. Minister Schäuble obstaje, że są one konieczne, a nawet należy je rozszerzyć. Powtórzył to w miniony wtorek, 15 maja, podczas prezentacji raportu Urzędu Ochrony Konstytucji za rok 2006: dokumentu, w którym niemiecki kontrwywiad co roku informuje o swej pracy oraz o zagrożeniach dla bezpieczeństwa kraju.
Schäuble ostrzegł, że w chwili, gdy internet staje się dla terrorystów "platformą komunikacyjną, narzędziem propagandy, korespondencyjnym uniwersytetem, obozem treningowym i think-tankiem w jednym", instytucje państwowe muszą dysponować takim narzędziem operacyjnym jak potajemne rewizje komputerów podłączonych do sieci. Co więcej, Schäuble uważa, że prócz tajnych służb prawo do prowadzenia takich rewizji powinien mieć także Federalny Urząd Kryminalny (odpowiednik polskiego CBŚ).
– Walka z terroryzmem? – prycha Doe. – Terroryści nie wysyłają sobie e-maili. Zaszyfrowany tekst bez trudu zaszywa się w obrazku przy pomocy programów do tzw. steganografii – tłumaczy. – Obrazek umieszcza się np. jako zdjęcie z wakacji na publicznym serwerze. Miliony osób go zobaczą, ale tylko jedna będzie wiedzieć, jak rozkodować informację. To się ma nijak do tłumaczenia, że trzeba dać organom ścigania większe możliwości inwigilacji, żeby mogły walczyć z terroryzmem.
Waglowski: – Może stosowanie zasad konstytucyjnych i procesowych pozwoli nie dać się zwariować?
Źródło: Onet.pl / Tygodnik Powszechny
Tekst: Michał Kuźmiński. Współpraca Wojciech Pięciak
Licencja na podglądanie
Organy ścigania nielegalnie śledzą nas w sieci
Burza w Niemczech: rząd w Berlinie przyznał, że od dwóch lat tamtejsze tajne służby przeszukują przez internet komputery obywateli. Bez nakazu, bez wiedzy inwigilowanych i nawet bez konkretnych podejrzeń. Czy podobnie postępują polskie organa ścigania i służby specjalne? Zebraliśmy dość poszlak, żeby stwierdzić: tak. Z tą różnicą, że w Niemczech się o tym ostro dyskutuje. W Polsce nie.
Bomba wybuchła nagle, tuż przed długim majowym weekendem. Na rutynowym posiedzeniu komisji spraw wewnętrznych Bundestagu pojawił się przedstawiciel Urzędu Kanclerskiego. Urząd ten (jego polski odpowiednik to Kancelaria Premiera) nadzoruje pracę służb specjalnych.
I gdy posłowie myśleli już chyba tylko o nadchodzącym urlopie, urzędnik oświadczył, że chciałby jeszcze odpowiedzieć na zaległe poselskie zapytanie.
Życie na podsłuchu
Jak relacjonowała potem reporterka branżowego tygodnika "Das Parlament”, posłowie nie mogli uwierzyć własnym uszom. Przedstawiciel rządu przyznał bowiem z niespodziewaną szczerością, że od dwóch lat niemiecki wywiad i kontrwywiad stosują metodę, która po niemiecku nazywa się Online-Durchsuchungen: rewizje online.
Czyli przeszukania twardych dysków komputerów obywateli prowadzone na odległość, potajemnie, bez wiedzy ich właścicieli oraz bez nakazu sądowego. Prowadzone także wobec osób o nic nie podejrzewanych, ale z jakichś powodów (enigmatycznie określanych jako "bezpieczeństwo narodowe") pozostających w zainteresowaniu tajnych służb. Wszystko w imię bezpieczeństwa i wszystko – rzekomo – zgodnie z prawem.
Kwestia rewizji online jest od miesięcy przedmiotem publicznej debaty w Niemczech. To element szerszej dyskusji, którą wywołał chadecki minister spraw wewnętrznych Wolfgang Schäuble, który opowiada się za poszerzeniem uprawnień instytucji państwowych w walce z międzynarodowym terroryzmem. Niektóre propozycje Schäublego – w tym rewizje online – spotkały się z krytyką nie tylko ze strony opozycji, ale również socjaldemokratów tworzących z chadekami koalicję rządową. Oponenci Schäublego powoływali się na orzeczenie Federalnego Trybunału Konstytucyjnego, który na początku roku orzekł, że jeśli policja chce przeprowadzić taką rewizję, potrzebuje podstawy prawnej. Czyli nakazu.
I oto teraz, nagle, okazało się, że to, co posłowie – a także prawnicy czy media – dopiero rozważają, jest praktykowane od dawna, jako metoda operacyjna tajnych służb. Szok był tym większy, że reprezentant Urzędu Kanclerskiego przyznał, iż na stosowanie takiej metody zgodził się już lewicowy rząd Gerharda Schrödera, który współtworzyła partia Zielonych. Dokładnie: zgodził się w 2005 r. minister spraw wewnętrznych, któremu podlega kontrwywiad (Urząd Ochrony Konstytucji); był nim wtedy Otto Schily z SPD. W przypadku wywiadu (BND), podlegającego służbowo kanclerzowi, pozwalać na rewizje online miała ustawa o BND.
Nieszczęsny urzędnik, zasypany gradem pytań – przede wszystkim o podstawy prawne – tłumaczył, że wedle rządowej interpretacji rewizje online nie naruszają konstytucji, gdyż przeszukiwane są tylko twarde dyski, a nie komunikacja mailowa (czyli nie łamie się tajemnicy korespondencji); nienaruszona pozostaje też nietykalność mieszkań obywateli, skoro czyjś laptop może być używany np. w pociągu czy w ogródku.
Wybuchła taka burza, że już następnego dnia minister Schäuble nakazał Urzędowi Ochrony Konstytucji wstrzymać proceder i oświadczył, iż ponownie sprawdzone będą podstawy prawne tej metody.
A jak jest u nas?
Wykorzystywanie internetu do rewidowania komputerów swoich obywateli Niemcy tłumaczą "wojną z terroryzmem". Czy podobne metody stosują tajne służby i organa ścigania innego kraju, który jest bliskim sojusznikiem USA w tej wojnie? Czy "hakerskie" metody stosują polskie służby specjalne i policja?
– Nie znam zapisu prawnego pozwalającego na takie działania – odpowiada ppłk Magdalena Stańczyk, rzeczniczka Agencji Bezpieczeństwa Wewnętrznego. – Agencja prowadzi działania wyłącznie opierając się na ustawie regulującej jej pracę. Jeśli chce prowadzić inwigilację przez internet, szef Agencji musi złożyć pisemny wniosek, zatwierdzony przez prokuratora generalnego i weryfikowany przez sąd okręgowy w Warszawie – wyjaśnia. Dodaje, że w ABW istnieje departament zajmujący się przestępczością komputerową, ale jego zadania i struktura są już informacją niejawną.
– Absolutnie nie, policja nie prowadzi takich działań – mówi równie stanowczo rzecznik prasowy Komendy Głównej Policji komisarz Zbigniew Urbański. – Zgodnie z prawem możemy prowadzić podsłuch wyłącznie za zezwoleniem sądu. Oprócz zwykłego podsłuchu możemy uzyskać zgodę także na tzw. "podsłuch internetowy". Musimy wówczas złożyć wniosek do sądu, mocno uzasadniając go dowodowo.
Taką możliwość regulują Ustawa o Policji i Prawo Telekomunikacyjne. Na pisemny wniosek komendanta głównego lub wojewódzkiego policja może się zwrócić do operatora telekomunikacyjnego lub dostawcy internetu o tzw. logi, czyli rejestry połączeń. Prawo każe przechowywać je operatorom przez dwa lata (planuje się przedłużenie tego okresu do pięciu lat).
W przypadku internetu logi rejestrują, kiedy i z jakim miejscem w sieci łączono się z danego komputera lub jakie pliki ściągano. Każdemu komputerowi w sieci przypisany jest unikatowy adres, tzw. IP. Wprawdzie część dostawców internetu nadaje użytkownikom inne IP za każdym kolejnym połączeniem z siecią, ale informacja o tym, do którego abonenta jakie IP przypisano w danym momencie figuruje właśnie w logach. Efekt: w sieci nie jest się anonimowym. Jednak nie ma to jeszcze nic wspólnego z przeglądaniem zawartości komputera, a tylko z rejestrowaniem jego połączeń z siecią. Urbański tłumaczy, że jeśli policja powiąże z danym numerem IP przestępstwo, może łatwo zidentyfikować abonenta. Jeśli oczywiście nie korzysta on z nietrudno dostępnych metod mylenia tropów (np. tzw. serwerów proxy).
Ustawa o policji stanowi też, w jakich przypadkach organa ścigania mogą prowadzić niejawnie tzw. kontrolę operacyjną, np. ów podsłuch internetowy. Podobnie jak w przypadku ABW, komendant główny musi złożyć wniosek zatwierdzony przez prokuratora generalnego (lub komendant wojewódzki – przez prokuratora okręgowego), a potwierdzenie wydaje właściwy dla danego miejsca sąd okręgowy.
Poważne wątpliwości ma jednak Piotr "VaGla" Waglowski, prawnik, który założył znany portal internetowy zajmujący się prawnymi aspektami społeczeństwa informacyjnego (vagla.pl): – Próbuję dociekać stanu faktycznego, bo prawo w wielu związanych z siecią przypadkach jest miałkie – mówi. – Nie ma np. mechanizmów regulujących to, co dzieje się, zanim organa ścigania zwrócą się do dostawcy usługi o dane abonenta, do którego przypisane jest IP.
Innymi słowy, jak ten adres IP zdobywają.
Skąd obywatel ma wiedzieć?
Nazwijmy go: John Doe (to amerykański odpowiednik Jana Kowalskiego). Tak się, puszczając oko, sam przedstawia.
John Doe używając bazy danych programu "PeerGuardian" dla lokalizacji geograficznej "Polska", za pomocą witryny "whois", informującej, kto zarejestrował dany adres internetowy, sprawdza przypisania do zidentyfikowanych numerów IP np. policji czy organizacji ochrony praw autorskich (RIAA, BSA). Najprawdopodobniej najbliższy zakres podobnych numerów będzie przypisany tym samym organizacjom. Uruchamia program, który automatycznie sprawdzi podobne numery i wskaże te, w opisach których pojawią się słowa kluczowe, takie jak "KGP", "policja", BSA itp.
– No i już wiemy, pod jakimi numerami będzie w sieci widać policyjnych czy innych speców – śmieje się John Doe. Bo też to żadna wielka sztuczka.
Doe jest Polakiem (nazwiska oczywiście nie poda). Z zawodu informatyk, zajmuje się bezpieczeństwem sieci. To dla chleba. A z pasji zajmuje się łamaniem zabezpieczeń.
– Przecież organa ścigania zatrudniają informatyków, a ci nie zajmują się tam podłączaniem myszek – mówi już poważnie. Sam zna takich czterech. Dwóch, jak zaznacza, świetnych fachowców.
Piotr Waglowski obawia się, że społeczeństwu informacyjnemu grozi zanik prawa do anonimowości. – Kto kontroluje tych, którzy kontrolują nas? – pyta. – Jak obywatel ma się dowiedzieć o tym, że ktoś prowadzi wobec niego jakieś działania?
Przeszukanie musi być jawne. Natomiast metody inwigilacji (tzw. operacyjne) mogą być niewykrywalne. Niemieckie służby starały się o legalizację metody nazwanej przez prasę "Federal Trojan". Trojan (od "konia trojańskiego") to program, który przemycany jest do komputera i służy do podglądania jego zawartości, podsłuchiwania komunikacji z niego prowadzonej czy przejmowania nad nim kontroli w inny sposób. Dzięki trojanowi można przejrzeć zawartość dysku, monitorować aktywność w sieci albo podpiąć się do obrazu z kamery internetowej.
Jak przemyca się trojana na komputer, który chce się kontrolować? – Na przykład w ładnym wygaszaczu ekranu – uśmiecha się John Doe. – Albo w spreparowanym pliku tekstowym Worda, "cracku" (programie łamiącym zabezpieczenia płatnego programu) czy programie do usuwania simlocków z komórek.
Ale do wejścia na podłączony do sieci komputer wcale nie jest potrzebny trojan.
– W większości przypadków włamanie do komputera polega na wykorzystaniu błędów w oprogramowaniu w nim zainstalowanym – opowiada Piotr Szeptyński, ekspert od bezpieczeństwa w sieci. – Na listach dyskusyjnych codziennie pojawiają się nowe tzw. "exploity", czyli sposoby na wykorzystanie dziury w programie czy systemie.
Szeptyński dodaje, że odpowiedzialni poszukiwacze luk w oprogramowaniu najpierw informują jego twórcę, dopiero potem publikują "exploit". – Ale tu nie ma spisanych zasad. Istotne są "0-day exploits", czyli te ujawnione w dniu wykrycia. Wtedy dostawca oprogramowania nie ma czasu na udostępnienie poprawki – tłumaczy. – Wydaje mi się, że sposobem na uzyskanie dostępu do komputera, który chce przeszukać policja, jest właśnie wykorzystanie dziury 0-day.
– Podstawowa sprawa to zidentyfikować zabezpieczenia – mówi nasz John Doe. Wystarczy więc zrobić podstawioną stronę, a potem przejrzeć jej rejestry. Są tam informacje o tym, jaką wersję systemu ma komputer, z którego ją odwiedzono. A wiadomo, jakich luk można się w danej wersji spodziewać. W ostateczności wystarczy dotrzeć do logów jakiejś innej strony słabo zabezpieczonej przez administratora. Strony włączające w przeglądarkach dodatki, takie jak tzw. kontrolki ActiveX czy Javę, bardzo ułatwiają zmanipulowanie komputera. Dla bardzo leniwych zalecić zaś można wykorzystanie mechanizmów Google.
John Doe ma całą płytę DVD programów do łamania zabezpieczeń, podsłuchiwania, przechwytywania numerów kart kredytowych itp.
Szeptyński mówi, że takie programy są ogólnie i za darmo dostępne w internecie. Ale jeśli ktoś wie, czego szuka, najczęściej pisze programy sam.
– A co do niewykrywalności, istnieją mało znane programy, tzw. "rootkity". Podpinają się pod oprogramowanie systemowe, a służą do przejęcia całkowitej lub częściowej kontroli nad komputerem – tłumaczy John Doe. – Instaluje się je z pendrive’a, przez pocztę albo przez lukę w najpopularniejszej, a pełnej dziur przeglądarce Internet Explorer. Na koniec kasuje się logi, trojana i program, który go aktywował. I śladu nie ma.
Bez różnicy: taką samą metodę zastosują organa ścigania, tajne służby, jak i np. internetowy włamywacz. To narzędzie, tak samo jak pistolet.
Poszlaki i uśmiechy
– Policja nie wchodzi do podpiętego do sieci komputera i nie czyta np. poczty – zastrzega komisarz Urbański. – To nie tak, nie na tym polega podsłuch internetowy. Niestety, nie mogę zdradzić, na czym, to tajemnica służbowa.
Łatwo się jednak domyślić, że chodzi o tzw. sniffing ("węszenie"), czyli stosowanie programów przechwytujących dane, które przepływają w sieci. Podpatruje się dane, które opuszczają śledzony komputer bądź do niego zmierzają. Komputery komunikują się z siecią poprzez tzw. porty. W każdym jest ich ponad 65 tys., a do wielu z nich standardowo przypisane są różne funkcje. Np. wysyłka poczty zwykle odbywa się przez port o numerze 110.
– Jak się tropi np. pedofilów? – pyta John Doe. – Otóż instaluje się sniffer przy serwerze, który udostępnia pedofilskie materiały i rejestruje adresy IP użytkowników, którzy na niego wchodzili, coś ściągali.
– A akcje przeciw piratom? – pyta retorycznie. Przy pomocy sniffingu można stwierdzić, choć to trudne, że dane, które ktoś ściąga, są pirackim filmem. – W sieciach P2P (do wymiany plików) z natury rzeczy to, co się ściąga, jest także udostępniane i jest to łatwiejsza metoda ścigania tego typu przestępstw. Ci, którzy z piractwa na szeroką skalę uczynili sobie źródło pieniędzy, korzystają choćby z serwerów proxy czy szyfrowania.
Co jednak wtedy, gdy chodzi o serwer poza granicami Polski, a tak jest bardzo często? Problem tym większy, że stosując podobne metody, uzyskuje się informacje o wielu innych osobach, nie tylko o tej, na podsłuch której sąd wydał ewentualne zezwolenie. Dla organów ścigania obie sytuacje oznaczają przekroczenie uprawnień. A sieć nie uznaje geografii politycznej i często się z tego korzysta. Jak polskie służby mają więc ścigać kogoś, kto łączył się z rosyjskim serwerem przez Chiny?
Są twarze, na których uśmieszek drwiny budzi pytanie o proceduralne zwrócenie się z pisemnym wnioskiem o podsłuch internetowy do sądu.
Informatyk, o którym dowiadujemy się, że współpracuje z organami ścigania, nie potwierdza tego ani nie zaprzecza. Nie udzieli żadnych informacji. Tylko podpowiedź: – Są tacy, co działają w ramach prawa, i tacy, co działają obok – mówi. – Ci drudzy to tacy, co albo umoczyli, albo mają w tym swój interes, albo są cywilnymi specjalistami, którzy robią coś, bo lubią takie zabawy. I między nimi a organami ścigania są różnego rodzaju nieoficjalne układy. Ta druga grupa formalnie nie jest w policji. Ale policja może korzystać z umiejętności, talentów i z wiedzy tak zdobytej.
Według naszego źródła policja korzysta z usług bądź to informatyków, którzy zostali przyłapani na włamaniach do sieci i poszli na współpracę, bądź hakerów. Ci ostatni eksplorują sieć z zamiłowania.
Gdyby informatyk zatrudniony przez organa ścigania został przyłapany na internetowej inwigilacji bez zgody sądu, oznaczałoby to wpadkę całej instytucji. W opisanej przez nasze źródło sytuacji nie ma dowodów, że nielegalne działania były prowadzone na zlecenie organów ścigania.
– Słyszałem o tej praktyce – potwierdza Piotr Niemczyk, który na początku lat 90. współtworzył Biuro Analiz i Informacji Urzędu Ochrony Państwa, a później był zastępcą dyrektora Zarządu Wywiadu UOP, ekspertem sejmowej komisji służb specjalnych i doradcą ministra spraw wewnętrznych. – To forma pracy operacyjnej, logicznie się zgadza: jest informator, tajny współpracownik. Nie widzę dużej różnicy między paserem, który jest policyjnym informatorem, a tajnym współpracownikiem tego rodzaju.
Komisarz Urbański: – Już samo posiadanie programów do podsłuchiwania jest przestępstwem. Policjantowi nie wolno korzystać z usług osób popełniających przestępstwo. Jeśli policjant namawiałby osobę posiadającą specjalną wiedzę informatyczną do takich działań, stałby się wspólnikiem w przestępstwie.
A więc policja nie ma swoich informatorów w półświatku? Np. owych paserów?
– Policja stosuje wszelkie dozwolone prawem metody zwalczania przestępstw, ma też swoich informatorów. Nie możemy jednak korzystać z metod uzyskiwania materiału dowodowego na drodze przestępstwa – odpowiada Urbański. – Gdyby taka sytuacja się zdarzyła, policjant, który jest za to odpowiedzialny, poniósłby karę.
– Czasem organa ścigania tolerują mniejsze przestępstwa, żeby wykryć większe – stwierdza Niemczyk. – Inna sprawa, że taka działalność ma krótkie nogi, bo w razie wpadki ów haker powie, że współpracował z policją, licząc na uniknięcie odpowiedzialności. Zresztą, czy takie działania prowadzi policjant, czy ktoś za niego, nie zmienia to oceny ich legalności. To na tyle legalne, na ile możemy powiedzieć, że legalne są metody operacyjne, gdzie wchodzi w grę informator.
Czyli czasem półlegalne. A czasem nielegalne.
Czasem, jak wynika z posiadanych przez nas informacji, śledczy nie pyta, skąd wziął się materiał dowodowy, tylko włącza go do akt sprawy.
Tym bardziej że – jak podkreśla Piotr Waglowski – sądy w Polsce kierują się zasadą swobodnej oceny dowodów. – Nie jest tak, jak oglądamy na filmach amerykańskich – mówi. – U nas nie ma zasady odrzucania owoców zatrutego drzewa, mówiącej, że dowód zdobyty nielegalnie nie liczy się w sprawie.
Prywatna policja
– Ale – zastrzega prawnik Waglowski – trzeba wziąć pod uwagę konstytucję. Ostatni wyrok Trybunału Konstytucyjnego w sprawie ustawy lustracyjnej mówi, już w odniesieniu do czasów współczesnych, że państwo nie może zdobywać o obywatelach informacji niezgodnie z prawem.
Waglowski wskazuje też na orzeczenie Sądu Najwyższego z 26 kwietnia 2007 r., zgodnie z którym informacje z podsłuchu mogą być dowodem tylko wobec osób, co do których sąd wydał zgodę na jego zastosowanie, i to wyłącznie wobec przestępstw ściśle określonych w art. 19 ust. 1 Ustawy o policji. Sąd zajmował się pytaniem prokuratora generalnego, który wnioskował, by za dowód uznawać również te informacje, które organa ścigania pozyskały przy okazji danego podsłuchu: np. jeśli ktoś zadzwonił do podsłuchiwanego i przyznał się do przestępstwa, i to innego niż wymienione we wspomnianej ustawie. Według Sądu Najwyższego, to wykluczone. – Być może zasada konstytucyjna, jako nadrzędna, rozstrzygnie niejasności – mówi Waglowski.
– Co ważniejsze – ciągnie prawnik – adres IP to nie konkretny człowiek. Identyfikuje on tylko komputer przyłączony do sieci. A z tego komputera może korzystać więcej niż jedna osoba.
Przypomina procesową zasadę in dubio pro reo: wątpliwości mają działać na korzyść oskarżonego. – Szwedzki sąd drugiej instancji uniewinnił człowieka, którego skazano na podstawie adresu IP – mówi.
Zwłaszcza że, o czym przypomina John Doe, nietrudno włamać się do sieci bezprzewodowej i prowadzić nielegalne działania z adresu IP należącego do Bogu ducha winnego abonenta.
Waglowskiego martwią inne niejasne prawnie działania organów ścigania. Przykład: 17 kwietnia policja weszła do akademików Politechniki Koszalińskiej, konfiskując ogromną liczbę sprzętu, na którym miały się znajdować pirackie materiały. Towarzyszyli im eksperci Związku Producentów Audio-Video i Fundacji Ochrony Twórczości Audiowizualnej.
– Takie przestępstwa ściga się na wniosek, a więc najpierw ZPAV taki wniosek składa, a potem deleguje ekspertów. Policja ma obowiązek szukać dowodów również na korzyść podejrzewanego, a ci eksperci raczej nie byli tym zainteresowani – irytuje się Waglowski. – To prywatyzacja organów ścigania. Dodajmy, że ZPAV ustanowił nagrodę dla zasłużonych w ściganiu piractwa policjantów: "Złote blachy". To nie jest w porządku.
Jak się zabezpieczać
Według prowadzonych przez Komendę Główną Policji statystyk przestępczości komputerowej, w zeszłym roku wykryto 370 przypadków uzyskania informacji dla siebie nieprzeznaczonej (art. 267 Kodeksu Karnego), czyli przeszło o sto więcej niż w 2005 r.
– Wiedza i umiejętności nie znaczą jesz-cze, że jest się złodziejem – mówi gorzko John Doe. – A w prawie polskim jest to tożsame: uzyskanie nieuprawnionego dostępu.
Szeptyński zwraca uwagę, żeby nie mylić hakera z przestępcą. – Hakerowi chodzi o poszerzanie swoich umiejętności. Nikomu nie szkodzi, chociaż czasem jego działalność może budzić wątpliwości prawne i moralne – tłumaczy. – Internetowy włamywacz to cracker. Od hakera różni go podejście: on chce szkodzić.
Według fińskiego filozofa Pekki Himanena, autora "Etyki hakerskiej", praca dla hakera jest pasją, a pasja – pracą. Robi to, bo lubi, a nie dlatego, że musi. Haker to także rodzaj Robin Hooda: jeśli wykryje lukę, to po to, żeby zdobyć uznanie w środowisku. Następnie zawiadamia o niej producenta oprogramowania albo właściciela wyciągniętych przez lukę danych. Cracker wykorzysta ją, żeby ukraść dane bądź sprzedać informację, jak tej luki użyć.
– Są ludzie, którzy płacą spore pieniądze za 0-day exploits – mówi Szeptyński. Bo luki, przez które można się dostać do zgromadzonych na komputerach informacji, interesują też nieuczciwą konkurencję czy zwykłych złodziei.
A pole do popisu jest ogromne.
– Kiedyś puściłem na żywioł skaner i przez 10 minut znalazłem 30 komputerów, do których potencjalnie można się było włamać – opowiada John Doe.
Piotr Szeptyński wylicza znane sobie efekty pracy hakera: – Wykryte poważne błędy wielu dużych firm i korporacji, w tym banków, telekomów, instytucji administracji państwowej, także istotnych dla obronności kraju – mówi. – Np. wyjęte przez lukę, i to za pomocą zwykłej przeglądarki WWW, bez żadnych dodatkowych programów, prawie 25 tys. numerów kart kredytowych i danych klientów z jednego ze sklepów internetowych znanego zespołu muzycznego z Finlandii. Dane wszystkich użytkowników, razem z – wprawdzie zaszyfrowanymi – hasłami jednego z największych serwisów społecznościowych w Polsce. Dane wszystkich zarejestrowanych użytkowników wraz z niezaszyfrowanymi hasłami serwisu rekrutacyjnego jednej z największych firm na świecie.
Szeptyński mówi również o wykrytej przez hakera możliwości wykonywania poleceń na serwerze WWW jednego z największych banków w Polsce. – Był to wprawdzie serwer z portalem tego banku, nie z systemem bankowości internetowej – tłumaczy. – Ale mając możliwość wykonywania poleceń na tym serwerze, miało się dostęp do sieci przedsiębiorstwa. A w niej są też inne serwery, w tym bazy danych dla bankowości internetowej. Zdajmy sobie sprawę ze skali zjawiska. Mówi się o 97 proc. niezabezpieczonych stron WWW. I to prawda.
W tamtych wypadkach działał haker i pierwsze o błędach dowiedziały się zainteresowane firmy. Nie zawsze ma się takie szczęście. John Doe opowiada o włamaniu na serwer jednej z firm handlujących sprzętem RTV/AGD. Zginęła cała lista kontrahentów. Dwa tygodnie później powstała firma konkurencyjna.
– Są też goście, którzy dobrze żyją z tzw. "farm zombie" – ciągnie Doe. – Infekuje się masowo komputery trojanem, który na żądanie łączy się ze wskazanym adresem. Armię tysiąca takich zombie odpala się jednym klawiszem. Jeśli wszystkie te komputery połączą się z jednym serwerem, ten na pewno padnie. Pozwala to załatwić np. sieć konkurencji, która akurat w konkretnym momencie musi wysłać kluczowe dane.
Szeptyński: – Bywa też, że pozornie z dobrej woli informuje się o luce, grożąc, że informacja może ujrzeć światło dzienne. Tak było w przypadku głośnego niedawno wykrycia "krytycznej luki" w systemach firmy Home.pl, która udostępnia miejsce na strony WWW, a jej klientem jest m.in. ministerstwo edukacji. Dwaj redaktorzy portalu Hack.pl wykryli lukę i wysłali do firmy list, w którym pisali m.in.: "Dobrze byłoby, gdyby na łamach Hack.pl pojawił się news dotyczący luki w home.pl, ale też rozumiemy Państwa sytuację. Koszt informacji szacujemy wstępnie na 200 tys. złotych".
Szeptyński ocenia to jako zwykły szantaż. – Niestety, znane są z drugiej strony przypadki, kiedy mimo naprawdę dobrej woli firmy chcą wyciągać konsekwencje wobec osoby, która chce im tylko pomóc – dodaje.
Zapytany o siedem grzechów głównych użytkownika, które narażają go na włamanie, Szeptyński siedem razy powtarza: ignorancja i głupota. – To razem czternaście – uśmiecha się. – A poważnie, użytkownicy nie czytają komunikatów na ekranie. Np. przy akceptowaniu certyfikatu serwera WWW, który budzi wątpliwości przeglądarki. Nie można otwierać załączników, uruchamiać programów i wchodzić na wątpliwe strony.
Według przeprowadzonych właśnie przez Google badań, co dziesiąta strona WWW zawiera szkodliwy kod pozwalający na zaatakowanie komputera użytkownika, który ją odwiedzi.
– Wreszcie – kończy Szeptyński – ważna jest zwykła czujność. Socjotechnika pozwala na więcej niż najlepiej napisany "exploit". Chcąc uzyskać potrzebne do wejścia informacje, można zadzwonić do firmy i podać się za przedstawiciela kontrahenta. Włamywacz uzyska to, co chce, i jeszcze usłyszy "dziękuję".
– Z bezpieczeństwem komputerowym jest jak z bezpiecznym seksem – uśmiecha się Doe. – Niezabezpieczony zawsze coś złapie, nie wiadomo tylko kiedy i co. A całkowita skuteczność zabezpieczeń...
Ciąg dalszy trwa
W Niemczech trwa na razie sprawdzanie legalności rewizji online. Minister Schäuble obstaje, że są one konieczne, a nawet należy je rozszerzyć. Powtórzył to w miniony wtorek, 15 maja, podczas prezentacji raportu Urzędu Ochrony Konstytucji za rok 2006: dokumentu, w którym niemiecki kontrwywiad co roku informuje o swej pracy oraz o zagrożeniach dla bezpieczeństwa kraju.
Schäuble ostrzegł, że w chwili, gdy internet staje się dla terrorystów "platformą komunikacyjną, narzędziem propagandy, korespondencyjnym uniwersytetem, obozem treningowym i think-tankiem w jednym", instytucje państwowe muszą dysponować takim narzędziem operacyjnym jak potajemne rewizje komputerów podłączonych do sieci. Co więcej, Schäuble uważa, że prócz tajnych służb prawo do prowadzenia takich rewizji powinien mieć także Federalny Urząd Kryminalny (odpowiednik polskiego CBŚ).
– Walka z terroryzmem? – prycha Doe. – Terroryści nie wysyłają sobie e-maili. Zaszyfrowany tekst bez trudu zaszywa się w obrazku przy pomocy programów do tzw. steganografii – tłumaczy. – Obrazek umieszcza się np. jako zdjęcie z wakacji na publicznym serwerze. Miliony osób go zobaczą, ale tylko jedna będzie wiedzieć, jak rozkodować informację. To się ma nijak do tłumaczenia, że trzeba dać organom ścigania większe możliwości inwigilacji, żeby mogły walczyć z terroryzmem.
Waglowski: – Może stosowanie zasad konstytucyjnych i procesowych pozwoli nie dać się zwariować?
Źródło: Onet.pl / Tygodnik Powszechny
Tekst: Michał Kuźmiński. Współpraca Wojciech Pięciak
