Haker: Czarny, Szary, a może Biały. Co to jest "white hacking" i czy jest legalny?

&lt![CDATA[

Za najbardziej trywialny przykład „hakerstwa” uznawane jest używanie systemowych loginów i haseł (np. „user”, „admin”, „password123”) lub ich odgadywanie w celu dostania się do danego systemu. Warto podkreślić, iż ten poziom „hakerstwa” nie wymaga żadnej szczególnej wiedzy technicznej czy umiejętności, które konwencjonalnie zwykło się przypisywać młodym geniuszom o analitycznych umysłach, którzy całe noce spędzają przed komputerami, i z niewyjaśnionych przyczyn noszą wyłącznie ciemne bluzy z kapturem.

Wychodząc poza sferę filmowej i literackiej fikcji, gdzie niewątpliwie narodził się stereotyp współczesnego hakera, z prawnego punktu widzenia „hacking” zasadniczo jest nielegalny, chyba że haker narusza bezpieczeństwo systemu za zgodą właściciela.

Kolejny element w świecie hakerów wywodzący się z filmowej fikcji to rodzaj metaforycznego „kapelusza” według którego są oni klasyfikowani: „biały”, „szary” i „czarny”.O kolorze kapelusza hakera decyduje jego relacja z prawem, czyli motywacja i ewentualnie zezwolenie na działanie poza ogólnie przyjętymi regułami. Jak zostało wspomniane wyżej, przyzwolenie właściciela może czynić działanie hakera legalnym, a to czyni go tzw. białym hakerem (ang. white hacker). Białe hakerstwo, bądź hakerstwo białego kalepusza (ang. white hat hacking), w internetowym slangu odnosi się do tzw. „etycznego hakera” czyli de facto pracownika, bądź zleceniobiorcy zajmującego się testami penetracyjnym (względnie innymi metodami), które mają ujawnić braki w zabezpieczeniach, a w konsekwencji zapewnić bezpieczeństwo systemów danej organizacji.

Po drugiej stronie barykady znajdują się czarni hakerzy, czyli ci działający bez zgody właściciela systemu; ich celem nie jest usunięcie zagrożeń dla tego systemu, lecz ich wykorzystanie do własnych celów, względnie celów osób trzecich, niepożądanych z punktu widzenia właściciela systemu.

Element braku zgody kreuje również tzw. szarych hakerów; ci w zasadzie robią to co czarni hakerzy, ale z pobudek nie rzadko wyższych niż biali. Szarzy hakerzy działają poza wiedzą i zgodą właściciela systemu, przez co nie mają dostępu do informacji zwykle udostępnianych białym hakerom. Następnie, kiedy znajdą w ich mniemaniu ciekawą lukę w zabezpieczeniu danego systemu, zwykle nie oczekując wynagrodzenia, przekazują właścicielowi systemu informacje, które mogą być cenniejsze od tych które przekazali etyczni, biali hakerzy.

Oczywiście szarzy hakerzy w przeważającej części zdają sobie sprawę z nielegalności swoich działań, co w połączeniu z brakiem elementu wymuszenia oraz brakiem zainteresowania właścicieli systemów do publicznego ujawniania swoich luk systemowych powoduje, że stosunkowo rzadko się o nich słyszy w przekazach medialnych. O wiele bardziej medialne i prostsze do zrozumienia dla przeciętnego odbiorcy jest zbudowanie historii gdzie dobro i zło będzie jasno rozgraniczone a główną motywacją postaci nie będzie jedynie intelektualne wyzwanie i chęć przetestowania własnych umiejętności.

Jeden z pierwszych głośnych procesów dotykających problematyki etycznego hakerstwa miał miejsce w Anglii lat 80-tych. Stephen Gold i Robert Schifreen przeprowadzili wtedy coś, co dzisiaj mogłoby zostać nazwane testem penetracyjnym; w dużym uproszczeniu, odgadywali hasła użytkowników sieci Prestel należącej do brytyjskiego operatora telekomunikacyjnego- British Telecom (BT). Po tym jak przekazali BT informacje o lukach w zabezpieczeniach ich systemu, zostali aresztowani. Sąd Koronny (pierwszej instancji) skazał Gold-a i Schifreen-a na podstawie Ustawy o Fałszerstwie i Podrabianiu Towarów z 1981 roku (ang. Forgery and Counterfeiting Act 1981). W efekcie złożonej przez obronę apelacji Sąd drugiej instancji uniewinnił obu oskarżonych argumentując to brakiem materialnych korzyści jakie obaj oskarżeni powinni odnieść w następstwie popełnionego przestępstwa. Po uniewinnieniu, od wyroku odwołało się BT, jednak Izba Lordów utrzymała w mocy wyrok drugoinstancyjny. Bezpośrednim następstwem sprawy Gold-a i Schifreen-a było uchwalenie przez Parlament Brytyjski obowiązującej do dziś Ustawy o Nadużyciach Komputerowych z 1990 roku (ang. Computer Misuse Act 1990).

Jak wskazuje się w doktrynie prawa angielskiego, każde przestępstwo komputerowe zaczyna się od nieuprawnionego dostępu, który może przybrać postać zarówno zgadywania hasła na podstawie daty urodzin jak i logarytmicznego łamania zabezpieczeń banku. Dalsza odpowiedzialność hakera jest uzależniona od tego czy i w jaki sposób konkretne dane zostały zmodyfikowane. Jednocześnie rozwiązania prawa Angielskiego, nie przewidują łagodniejszego obchodzenia się z hakerami, którzy ujawniają słabe punkty systemów z pobudek nienastawionych na własne korzyści, bądź czyjąkolwiek krzywdę. Tak więc haker kierujący się wyłącznie ciekawością, chęcią przetestowania własnych możliwości, czy wreszcie wyższym dobrem jakim niewątpliwie jest ujawnienie luk w cyfrowych zabezpieczeniach instytucji państwowych i tak zostanie uznany winnym.

Polski system prawny stoi na nieco odmiennym gruncie jeśli chodzi o kryminalizowanie hakerstwa; art. 267 § 1 i 2 Kodeksu Karnego (KK) sankcjonują odpowiedzialność karną za uzyskanie dostępu do informacji nieprzeznaczonej dla danego odbiorcy (hakera) lub do całości, względnie części systemu informatycznego. Tym samym, karalne jest przełamanie lub obejście danego zabezpieczenia w połączeniu z drugą przesłanką odpowiedzialności, którą jest uzyskanie dostępu do informacji lub systemu; jeśli informacja po przełamaniu lub obejściu zabezpieczenia okaże się ogólnodostępna, nie mamy do czynienia z przestępstwem z art. 267. Z drugiej strony, jak wskazują poglądy doktryny, w przypadku uzyskania dostępu bez uprawnienia, nie ma konieczności wykazywania, że miało miejsce przełamanie lub ominięcie zabezpieczeń– uzyskany dostęp do informacji bądź systemu implikuje przełamanie bądź obejście danego zabezpieczenia. Jednocześnie, choć może mieć to doniosłe znaczenie praktyczne, Prawo Polskie nie rozróżnia przełamania zabezpieczenia od jego obejścia, przy czym kierunkowość działania sprawcy powoduje że czyn z art. 267 KK może zostać popełniony jedynie w zamiarze bezpośrednim.

Warto również zwrócić uwagę, iż w scenariuszu, w którym istnieje np. 10 linii zabezpieczeń danego systemu, a w efekcie przeprowadzenia konkretnego ataku hakerskiego zostało przełamanych 9 z nich, przestępstwo z art. 267 nie wejdzie w fazę dokonania- sprawca będzie odpowiadał (jedynie) za usiłowanie (stosownie do treści art. 13 i 14 KK) z uwagi na to, iż ostatecznie nie dostał się do danej informacji bądź systemu. Nadto, zgodnie z wyrokiem SA w Gdańsku z 28.09.2016 r. roku (sygn. akt: II AKa 111/16) „uzyskanie informacji, co do której nie przedsięwzięto żadnych środków ochronnych, nie stanowi przestępstwa z art. 267 § 1 k.k., chyba że polega na podłączeniu się do sieci telekomunikacyjnej”, przy czym „podłączenie” oznacza wyłącznie połączenie fizyczne.

Z kolei art. 269c KK wprowadził kontratyp ustawowy wskazujący, kto i w jakich sytuacjach nie podlega karze za omówione wyżej przestępstwo z art. 267 § 2 KK (również za zakłócanie pracy w sieci stypizowane przez art. 269a KK). Uznano, że w przypadku działań podjętych wyłącznie w celu zabezpieczenia systemu (informatycznego, teleinformatycznego bądź sieci) albo w celu opracowania metody takiego zabezpieczenia przed popełnieniem przestępstwa wymienionego w tym przepisie sprawca nie poniesie odpowiedzialności jeśli niezwłocznie powiadomi dysponenta tego systemu lub sieci o ujawnionych zagrożeniach a jego dotychczasowe działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło nikomu szkody.

Powyższe oznacza, że (szarzy) hakerzy, którzy przełamują zabezpieczenia systemu jedynie w celu wspomnianego sprawdzenia własnych umiejętności, nie będą podlegali karze, pod warunkiem, że podzielą się pozyskaną wiedzą o odkrytych lukach w zabezpieczeniach systemu, nie naruszą interesu publicznego lub prywatnego i, co najważniejsze, nie wyrządzą szkody.

Tytułem wtrącenia warto nadmienić, iż w marcu 2017 roku do polskiego KK wprowadzony został art. 269b, który analogicznie do przestępstw narkotykowych de facto kryminalizuje każdy czyn powiązany z użyciem danego sprzętu i / lub oprogramowania do celów cyberprzestępczości. Karalne jest wytwarzanie, pozyskiwanie, nieuprawniony obrót lub udostępnianie urządzeń lub programów komputerowych, jak również haseł komputerowych, kodów dostępu lub innych danych umożliwiających dostęp do informacji przechowywanych m.in. w systemie komputerowym. Przepis ten ma stanowić zabezpieczanie i rozwiązywać problemy dostępnych narzędzi hakerskich, a samo przestępstwo to ma charakter powszechny, co oznacza, że kara groził każdemu, kto używał, tworzył lub przekazywał narzędzia do nielegalnego sprawdzania bezpieczeństwa systemów.

Przechodząc do karnoprawnej codzienności polskiej cyberprzestępczości warto zauważyć, że statystyki policyjne jednoznacznie wskazują na marginalny charakter przestępstw samodzielnego czynu przełamania zabezpieczeń (art. 267 KK) czy użycia, bądź produkcji oprogramowania stanowiącego narzędzie do cyberataków (art. 269b KK). Samodzielnie oba przestępstwa to około 50 przypadków rocznie, a zasadniczo każde poważniejsze naruszenie występuje w zbiegu z art. 287 KK.

Zgodnie z art. 287 § 1 Kodeksu Karnego (KK), karalne jest wpływanie na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych, a także zmienianie, usuwanie albo wprowadzanie nowych zapisów danych – którekolwiek z powyższych działań musi zostać podjęte w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody i bez odpowiedniego upoważnienia (Oszustwo Komputerowe). Równolegle, jak trafnie zauważa doktryna, trwałość wprowadzanych zmian nie ma znaczenia z punktu widzenia odpowiedzialności.

W kontekście (etycznego) hakerstwa, dla przywołanej regulacji kluczowa jest kwestia przyzwolenia oraz pojęcie korzyści majątkowej, względnie spowodowanie szkody.Pierwsza przesłanka stanowi, iż oszustwo komputerowe popełniane jest wtedy, gdy osoba się go dopuszczająca nie ma do tego stosownego upoważnienia; natomiast zgoda uprawnionego może polegać na jakimkolwiek umocowaniu przez osobę mającą do tego mandat. Jeśli chodzi o korzyść majątkową, omawiane przestępstwo podobnie jak w przypadku odpowiedzialności z art. 267 KK, ma charakter kierunkowy- można je popełnić jedynie w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody w zamiarze bezpośrednim. Jednocześnie poglądy doktryny jak i orzecznictwa (Wyrok SA w Szczecinie 14.10.2008 roku, II AKa 120/08) są zgodne, iż przestępstwo z art. 287 KK jest przestępstwem bezskutkowym (formalnym), tym samym efektywna szkoda nie należy do jego znamion.

W kontekście powyższych rozważań, warto przyjrzeć się programowi Facebook-a (FB) „Bug Bounty Program” (https://www.facebook.com/whitehat), uważanego za największe tego typu przedsięwzięcie we współczesnym świecie. Zgodnie z informacjami zamieszczonymi na oficjalnej stronie programu, de facto każdy, kto znajdzie problem dotyczący zabezpieczeń i będzie postępował zgodnie z instrukcjami zamieszczonymi na stronie otrzymuje przyzwolenie serwisu na testowanie jego zabezpieczeń. Co więcej FB deklaruje, że jeżeli przy zgłaszaniu problemu dotyczącego zabezpieczeń, użytkownik będzie postępował zgodnie z zasadami programu, nie zostanie zainicjowane przeciwko niemu powództwo (przyp. cywilne) ani postępowanie organów ścigania. Zobowiązania FB-ka mają co prawda charakter cywilnoprawny, jednakże autor nie był w stanie odszukać jakiejkolwiek informacji o pozwie, lub zawiadomieniu organów ścigania o popełnieniu przestępstwa, przeciwko jakiejkolwiek osobie, w skutek niedochowania postanowień programu Bug Bounty, złożonego przez Facebook-a. To z kolei implikuje domniemanie, że: albo nie pojawiają się problemy natury prawnej, albo wszystkie pojawiające się spory są załatwiane pozasądowo i bez wszczynania postępowań karnych– krótko mówiąc, FB najprawdopodobniej deklaruje prawdę.

Warto przypomnieć, że już w 1996 roku Jamie Gorelick, zastępca Prokuratora Generalnego Stanów Zjednoczonych, wezwała do wysiłku podobnego do Projektu Manhattan (efektem projektu Manhattan było opracowanie pierwszej bomby atomowej), aby uodpornić systemy komputerowe przed atakami elektronicznymi. Później John Deutch, dyrektor wywiadu CIA, stwierdził że „elektron to broń o najwyższej precyzji” dodając, że Stany Zjednoczone powinny przygotować się na „bardzo, bardzo duże i niewygodne incydenty cyberwojenne”. Znaczący wpływ na zmniejszenie tych zagrożeń wywierają działania szarych i białych hakerów, którzy przyczyniają się do poprawy bezpieczeństwa cybernetycznego nie tylko państw, korporacji, ale także każdego użytkownika Internetu.

Artur Piechocki, radca prawny, partner zarządzający w kancelarii APLaw, Jarosław Pogorzelski, aplikant adwokacki w kancelarii APLaw

]]
Source: Gazeta prawna