Świat rozwija się w przerażającym wręcz tempie. Pierwsze komputery z ledwością mieściły się w ogromnych pomieszczeniach, a ich moc obliczeniowa była kilkadziesiąt tysięcy razy niższa niż najtańszych ze współczesnych smartfonów. Dopiero z biegiem lat szybkość taktowania procesorów osiągnęła zawrotną prędkość… 1 Mhz. To, co było nowością jeszcze kilka lat temu, dzisiaj staje się wręcz reliktem poprzedniej epoki. Możnaby oczywiście w tym kontekście rozważać tempo postępu informatyzacyjnego w sądach i organach ścigania, jednak tym razem – nie o tym, choć pozostaniemy przy bezpośrednim wpływie technologii na prawo, a konkretniej prawo karne.
Nowe technologie, szybsze komputery, coraz bardziej precyzyjne i wyspecjalizowane urządzenia oznaczają postęp. To dzięki nim jesteśmy w stanie osiągać coraz więcej w coraz krótszym czasie. Kto jednak powiedział, że technologia zawsze będzie pozostawała w służbie „tych dobrych”? Nowe czasy to również nowe, wcześniej niespotykane zagrożenia. To coraz bardziej wymyślne, coraz bardziej skomplikowane metody popełniania coraz to nowszych przestępstw. Właśnie, przestępstw. Jeżeli w tym momencie zapaliła się Wam ostrzegawcza lampka, to dobrze. To znaczy, że w naszych umysłach zrodziła się wątpliwość. Trzeba sobie bowiem odpowiedzieć na jedno, bardzo istotne pytanie – czy nasze prawo jest gotowe na ten rozwój? Doprecyzowując – prawo karne. Czy ustawa z dnia 6 czerwca 1997 r. jest w stanie sprostać wymaganiom nowoczesnego świata? Innymi słowy, czy umożliwia nam prawidłową, albo chociaż jakąkolwiek, reakcję na czyny, które już intuicyjnie postrzegamy w kategorii przestępstwa? Czy sprawcy niektórych z nich nie pozostają bezkarni, choć nie ze względu na brak technicznych możliwości ich ujęcia?
Jednoznaczna odpowiedź na tak postawione pytania nie jest możliwa. Rozstrzyganie wszelkich, pojawiających się już na pierwszy rzut oka wątpliwości byłoby daremne. Dlaczego? Postęp technologiczny i informatyzacja są procesami, których nie da się powstrzymać. Niemożliwym, a co najmniej pozbawionym sensu byłoby również okresowe nowelizowanie przepisów w sposób taki, by coraz penalizować kolejne formy przestępstw. Prawo zawsze pozostawałoby o krok za bezprawiem. Na marginesie, znamy już ten rodzaj ustawodawczej gonitwy i niestety nie wyszedł on na dobre przede wszystkim ofiarom pewnych substancji działających na OUN. Stąd też niniejszy artykuł nie ma na celu udzielenia kompleksowej odpowiedzi na zaanonsowaną już w tytule wątpliwość. W tym momencie ograniczymy się do stosunkowo nowego, choć mającego już co najmniej kilkunastoletnią historię, zjawiska car-hackingu.
Czym jest ów car-hacking, co to takiego, czy jest czego się bać, jak się bronić, czy sprawca pozostanie bezkarny? Jak już sama nazwa, pochodząca z języka angielskiego, wskazuje, to forma ataku na samochód (czy szerzej – pojazd), polegająca na przełamaniu zabezpieczeń jego systemu, czy środowiska, w którym funkcjonuje. Powyższe należy traktować oczywiście w charakterze definicji otwartej. Nie sposób jednoznacznie zdefiniować, jaki jest cel takiego ataku oraz jaką konkretnie metodę zastosuje sprawca. Tak na prawdę zależy ona właśnie od wspomnianego celu, który zamierza osiągnąć, a przede wszystkim technologcznych możliwości, które daje mu dany pojazd lub środowisko, którego jest elementem. Jako przykład można podać w tym miejscu atak przeprowadzony przez (zwolnionego) pracownika, który zdalnie unieruchomił kilkaset aut. Atak ten (a jest to przypadek sprzed prawie 10 lat) był niczym innym jak przejawem zwykłej zemsty. Atakujący, oprócz unieruchomienia ponad 100 pojazdów, zmienił również nazwiska ich właścicieli na pseudonimy raperów. Przeprowadzenie tego rodzaju działania było możliwe dlatego, że dealer wyposażył swoje samochody w system dający możliwość ich zdalnego zablokowania. Wtedy innowacyjny – dziś będący niemalże podstawowym wyposażeniem samochodów tak w wypożyczalniach, flotach przedstawicieli handlowych, jak również w wielu nowych, salonowych pojazdach. Szczęśliwie w tym przypadku system (i brak umiejętności atakującego lub brak luk oprogramowania) uniemożliwiał nagłe wyłączenie pojazdu w czasie jazdy. Nie oznacza to oczywiście, że tego rodzaju security fail nie jest możliwym, a wręcz odwrotnie – to już się zdarzało. Sam modus operandi nie był zbytnio skomplikowany. Można wręcz powiedzieć, że sprawca „ograniczył” się do kradzieży haseł dostępowych i ich nieuprawnionego użycia. Innym, być może mniej spektakulrnym przykładem car-hackingu może być tzw. „atak na walizkę” (choć ta popularna medialnie nazwa ma niewiele wspólnego ). Tym razem głównym celem działania sprawcy jest przede wszystkim otworzenie pojazdu, które umożliwia dowolną penetrację jego wnętrza, czy również zaintalowanie urządzeń nagrywających (stosownie oczywiście do potrzeby). Rozwój technologii doprowadził jednak do udoskonalenia tej formy ataku. Dotyczy to przede wszystkim pojazdów w system PKE (ang. Passive key entry – to jest bezkluczykowe otwieranie drzwi). System ten umożliwia przede wszystkim uruchomienie pojazdu bez umieszczenia kluczyka w stacyjce pojazdu. System ten jest możliwy do przełamania w zaledwie kilka sekund, a urządzenie umożlwiające takie działanie kosztuje nawet… 11 dolarów. Na czym, w kilku prostych słowach, polega działanie atakującego? Na wykorzystaniu systemu wzmacniania sygnału pomiędzy samochodem i kluczykiem. W ten sposób otrzymujemy nieskrępowany dostęp do pojazdu ofiary i co najmniej kilkadziesiąt sekund na dowolne działanie. Co ciekawe, do tego rodzaju ataku nie jest potrzebne jakiekolwiek łamanie kluczy kryptograficznych. To zaś ogranicza nie tylko czas, ale przede wszystkim środki. Atakujący w ten sposób „oszukują” pojazd, stwarzając w jego systemie złudzenie, jakoby klucz dostępowy znajdował się obok niego. Stąd już prosta droga do uruchomienia pojazdu. Nawet odjechanie pojazdem poza zasięg urządzenia nie spowoduje jego unieruchomienia – przecież bazując na doświadczeniach po opisanych wyżej ataku wszyscy producenci zabezpieczyli swoje pojazdy tak, aby nie można ich było wyłączyć w trakcie jazdy. Co jednak może być celem takiego ataku? Kradzież samochodu? Kradzież rzeczy właściciela pojazdu? Zainstalowanie oprogramowania/urządzeń szpiegujących? A może po prostu zdobycie konkretnych informacji, istotnych do uwiarygodnienia sprawy przy przeprowadzeniu innego ataku, np. ataku socjotechnicznego.
Powyżej przedstawiliśmy tylko dwa proste przykłady car-hackingu. Metod, które możemy określić tym mianem są jednak dziesiątki. Jak zatem, na gruncie obecnego kodeksu karnego definiować tego rodzaju zachowanie? Czy jest to w ogóle możliwe? Odpowiedź na tego rodzaju pytania nie może być oczywiście jednoznaczna, ale z drugiej strony również nie powinna taka być. Każdy incydent car-hackingu należałoby odnosić do indywidualnych okoliczności danego przypadku. Każdorazowo trzeba bowiem znaleźć odpowiedź na co najmniej dwa pytania – jaki był cel działania sprawcy, a także jaki osiągnął skutek.
Wbrew pozorom, obecnie obowiązująca ustawa daje względnie szerokie spektrum możliwości. I tak obecny kodeks karny oferuje nam chociażby przepis art. 267, penalizujący nielegalne uzyskanie informacji. Zgodnie z jego treścią „kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie podlega karze grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2. Tej samej karze podlega osoba, która w celu uzyskania informacji, do której nie jest uprawniona, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem. Dalej, w art. 268 k.k. ustawodawca penalizuje również niszczenie informacji, w art. 268a k.k. spowodowanie szkody w bazie danych, czy w art. 269 k.k. tzw. sabotaż komputerowy. Do tego dochodzi nam szerokie przecież spektrum przestępstw pospolitych, takich jak kradzież, kradzież z włamaniem etc. Można by wręcz powiedzieć, że kodeks karny w sposób dość szeroki, a zarazem zróżnicowany odpowiada na pojawiające się zagrożenia Czy jednak zawsze? Oczywiście nie. Co prawda można starać się opisać, zakwalifikować każde z, nazwijmy to roboczo, „technologicznych” przestępstw tymi, które już w kodeksie funkcjonują. Nie sposób jednak nie oprzeć się wrażeniu, że ta droga prowadzi donikąd. Przede wszystkim nie będziemy w stanie zakwalifikować wszelkich zachowań do obowiązujących obecnie przepisów. Czy funkcjonujący kodeks wymaga zmiany? Z pewnością wymaga pewnych poprawek. Musimy bowiem pamiętać, że obecnie niemal każde przestępstwo wyszczególnione w części szczególnej kodeksu karnego można popełnić przy użyciu komputera, przełamując odpowiednie zabezpieczenia sieci informatycznych i innych. Nie sposób nie odnieść przy tym wrażenia, że obecne ustawodawca podchodzi do tego rodzaju przestępstw po macoszemu. Wskazuje na to chociażby obecna niechęć i brak doświadczenia w zakresie ścigania sprawców przestępstw nowych technologii, przestępstw komputerowych. Również ustawowe zagrożenie wydaje się razić swoją pobłażliwością. Oczywiście to nieuchronność kary, nie jej wysokość, jest najistotniejsza – niemniej przy obecnych trendach należy się zastanowić nad mechanizmami tworzącymi ogólny, kwalifikowany typ przestępstw, które popełniane są właśnie za pośrednictwem nieuprawnionego uzyskania dostępu do sieci lub informacji. Trzeba przy tym jednoznacznie podkreślić, iż sam fakt odnajdywania luk w systemach zabezpieczeń nie jest zły. Katastrofalne jest natomiast wykorzystywanie tych luk w bezprawny sposób.
Na koniec wypada odpowiedzieć na postawione już wcześniej pytanie – czy przed zjawiskiem car-hackingu możemy się jakoś obronić? Szczerze mówiąc – jest to trudne. Jak mantrę można bowiem powtarzać, iż nie ma zabezpieczeń, których nie da się przełamać, liczy się przecież tylko moc obliczeniowa, którą dysponujemy. Niemniej przestrzeganie kilku podstawowych zasad jest w stanie co najmniej zminimalizować ryzyko tego, że staniemy się ofiarą przestępców – i wcale nie mówimy o umieszczaniu kluczyków od samochodu w lodówce (choć fizycznie jest to jedna z najlepszych metod uniemożliwiająca zrealizowanie nieuatoryzowanej transmisji z kluczykiem do naszego pojazdu). Przede wszystkim warto zainwestować w odpowiedni futerał, który zapewni nam ochronę przed wspomnianą już nieautoryzowaną próbą uzyskania dostępu do zabezpieczeń naszego kluczyka. Te najbardziej podstawowe, a spełniające swoje zadanie, to koszt raptem kilkudziesięciu złotych. W odniesieniu do orientacyjnej ceny pojazdu i potencjalnej straty to raczej niewielka inwestycja. Warto rozważyć również wyłączenie w swoim samochodzie systemu PKE. Oczywiście istnieje szereg zabezpieczeń, które z pewnością utrudnią lub co najmniej zniechęcą potencjalnego sprawcę przed przeprowadzeniem ataku, jednak… warto zainwestować w dobre ubezpieczenie pojazdu przed kradzieżą.