• Przejdź do głównej nawigacji
  • Przejdź do treści
  • Przejdź do głównego paska bocznego

In Gremio

łączy środowiska prawnicze

  • 2023
    • In Gremio 163
    • In Gremio 164
    • In Gremio 165
  • 2022
    • In Gremio 157
    • In Gremio 158
    • In Gremio 159
    • In Gremio 160
    • In Gremio 161
    • Wydanie specjalne
    • In Gremio 162
  • 2021
    • In Gremio 149
    • In Gremio 150
    • In Gremio 151
    • In Gremio 152
    • In Gremio 153
    • In Gremio 154
    • In Gremio 155
    • In Gremio 156
  • 2020
    • In Gremio 138
    • In Gremio 139
    • In Gremio 140
    • In Gremio 141
    • In Gremio 142
    • In Gremio 143
    • In Gremio 144
    • In Gremio 145
    • In Gremio 146
    • In Gremio 147
    • In Gremio 148
  • 2019
    • In Gremio 127
    • In Gremio 128
    • In Gremio 129
    • In Gremio 130
    • In Gremio 131
    • In Gremio 132
    • In Gremio 133
    • In Gremio 134
    • In Gremio 135
    • In Gremio 136
    • In Gremio 137
  • 2018
    • In Gremio 116
    • In Gremio 117
    • In Gremio 118
    • In Gremio 119
    • In Gremio 120
    • In Gremio 121
    • In Gremio 122
    • In Gremio 123
    • In Gremio 124
    • In Gremio 125
    • In Gremio 126
  • 2017
    • In Gremio 105
    • In Gremio 106
    • In Gremio 107
    • In Gremio 108
    • In Gremio 109
    • In Gremio 110
    • In Gremio 111
    • In Gremio 112
    • In Gremio 113
    • In Gremio 114
    • In Gremio 115
  • 2016
    • In Gremio 98-99
    • In Gremio 100
    • In Gremio 101
    • In Gremio 102
    • In Gremio 103
    • In Gremio 104
  • 2015
    • In Gremio 91-92
    • In Gremio 93
    • In Gremio 94-95
    • In Gremio 96
    • In Gremio 97
  • 2014
    • In Gremio 86
    • In Gremio 87
    • In Gremio 88-89
    • In Gremio 90
  • 2013
    • In Gremio 80
    • In Gremio 81
    • In Gremio 82-83
    • In Gremio 84
    • In Gremio 85
  • 2012
    • In Gremio 74
    • In Gremio 75
    • In Gremio 76
    • In Gremio 77
    • In Gremio 78
    • In Gremio 79
  • więcej…
    • 2011
      • In Gremio 68
      • In Gremio 69
      • In Gremio 70
      • In Gremio 71
      • In Gremio 72
      • In Gremio 73
    • 2010
      • In Gremio 62
      • In Gremio 63
      • In Gremio 64
      • In Gremio 65
      • In Gremio 66
      • In Gremio 67
    • 2009
      • In Gremio 56
      • In Gremio 57
      • In Gremio 58
      • In Gremio 59
      • In Gremio 60
      • In Gremio 61
    • 2008
      • In Gremio 45-46
      • In Gremio 47-48
      • In Gremio 49-50
      • In Gremio 51-52
      • In Gremio 53-54
      • In Gremio 55
    • 2007
      • In Gremio 33
      • In Gremio 34
      • In Gremio 35
      • In Gremio 36
      • In Gremio 37
      • In Gremio 38
      • In Gremio 39-40
      • In Gremio 41
      • In Gremio 42
      • In Gremio 43
      • In Gremio 44
    • 2006
      • In Gremio 21
      • In Gremio 22
      • In Gremio 23
      • In Gremio 24
      • In Gremio 25
      • In Gremio 26
      • In Gremio 27-28
      • In Gremio 29
      • In Gremio 30
      • In Gremio 31
      • In Gremio 32
    • 2005
      • In Gremio 9
      • In Gremio 10
      • In Gremio 11
      • In Gremio 12
      • In Gremio 13
      • In Gremio 14
      • In Gremio 15-16
      • In Gremio 17
      • In Gremio 18
      • In Gremio 19
      • In Gremio 20
    • 2004
      • In Gremio 1
      • In Gremio 2
      • In Gremio 3
      • In Gremio 4
      • In Gremio 5
      • In Gremio 6
      • In Gremio 7
      • In Gremio 8

Rozwój technologii kontra kodeks karny, część 2: atak socjotechniczny

Paulina Rycombel i Piotr Rycombel

Technologia, rozwój, prawo. W poprzednim artykule z cyklu rozwój technologii kontra kodeks karny przybliżyliśmy Państwu pokrótce problematykę zjawiska tzw. car-hackingu oraz reakcji ustawodawcy na to stosunkowo nowe zjawisko, nowe przestępstwo. To, że świat mknie do przodu to jedno. Jednak czy my, beneficjenci tego rozwoju, nadążamy za nim? Czy w ogóle jesteśmy świadomi zagrożeń, które wiążą się pośrednio lub bezpośrednio z nowymi zdarzeniami, zjawiskami, z techniką? Czy jesteśmy świadomymi użytkownikami sprzętu oraz znajdującego się na nim oprogramowania, wiemy co, jak, dlaczego? Czy w ogóle znamy najnowsze zdobycze techniki, postępu tak w zakresie urządzeń komputerowych, jak i funkcjonujących w ich środowisku aplikacji, czy innych programów? Najczęściej nie. Działamy według pewnych schematów, instrukcji obsługi, czy własnego wyczucia. To właśnie na tym polega siła ataku socjotechnicznego. To nasza niewiedza, żeby nie powiedzieć, naiwność oraz „zasiedziałość” (legacy) są wypadkowymi sukcesu tego rodzaju incydentów.

Zanim przejdziemy do bliższego omówienia tego szalenie niebezpiecznego zjawiska, próby „rozprawienia” się z nim na gruncie prawnokarnym, dla pewnego przykładu weźmy na tapet chociażby rzeczony car-hacking. Czy działanie sprawców tego przestępstwa polega tylko i wyłącznie na zakupie sprzętu, zlokalizowaniu pojazdu, przełamaniu jego zabezpieczeń i (załóżmy) kradzieży? Zasadniczo nie. A przynajmniej jeśli postrzegamy tego rodzaju przestępców jako rozwiniętych lepiej niż przysłowiowy „średnio-zdolny szympans”. Jest to zresztą naszym zdaniem założenie dość roztropne. Co do zasady osoby specjalizujące się w szeroko rozumianej przestępczości komputerowej to po prostu wykształceni, doświadczeni, logicznie i perspektywicznie myślący eksperci. Faktyczne wykonanie czynności sprawczej (przełamanie zabezpieczeń pojazdu) najczęściej poprzedzone jest długą i drobiazgową obserwacją ofiary. Z pomocą przychodzą oczywiście techniki znane pod pojęciem „białego wywiadu” (tzw. open-source-intelligence). Często polega ona na analizie danych społecznych, rodzinnych, rytmu dnia, nawyków, zwyczajów – wszystko celem wytypowania potencjalnie najlepszego momentu na działanie sprawcze. Najlepszego, to znaczy zapewniającego możliwie najmniejsze prawdopodobieństwo ujawnienia przełamania zabezpieczeń pojazdu tak co do czasu, jak i wszelkich możliwych okoliczności pobocznych. No właśnie – obserwacja, analiza, typowanie idealnego momentu… jak zrobić to w sposób możliwie najskuteczniejszy, przy jednoczesnej minimalizacji wykrycia? Czy znając normę zachowania, a także pewną ilość szczegółów atakujący jest w stanie wejść z nami (ofiarami) w interakcję zmierzającą do uzyskania kolejnych, niezbędnych mu informacji – i to absolutnie bez wzbudzenia naszych najmniejszych podejrzeń? Znajdujemy się trochę na pograniczu psychologii, ale właśnie o to chodzi. Tak, to w szczególności na niej bazuje potencjalny atakujący. Prawidłowo zaplanowany i przeprowadzony atak to w końcu taki atak, o którym nie mamy pojęcia. To działanie, które uznajemy za normalne, mieszczące się w pewnych standardach zdarzeń bieżących w naszym życiu. Być może będzie to dłuższa rozmowa z ankieterem CBOS-u, być może zadzwoni do nas pracownik, który akurat dzisiaj zastępuje „panią Marysię” z księgowości, która nas zawsze obsługuje, ale akurat się rozchorowała. Co więcej – na wyświetlaczu naszego telefonu może się wyświetlić numer jej telefonu. Być może trzeba będzie, na prośbę nowego i niedoświadczonego pracownika, udać się do biura, by podpisać zaległy dokument, być może powiemy, że akurat dzisiaj nie możemy, bo mamy bilety do kina/teatru, czy rozprawę w sądzie. Zwykła rozmowa. Z pozoru nic nie znacząca informacja. A jednak – dla osoby planującej włamanie do naszego pojazdu to informacja na wagę złota.

Dla części Czytelników przykład ten może wydawać się zupełnie abstrakcyjny, z pogranicza science-fiction, czy filmów o przygodach Agenta 007, czy Jason’a Bourne’a. W takim razie odwróćmy szybko sytuację. Jesteśmy na korytarzu sądowym. Telefon. Na wyświetlaczu pojawia się dzwoniący numer „91 4 604 778” – to dla większości pełnomocników znany (bodaj) na pamięć numer Biura Obsługi Interesantów jednego ze szczecińskich sądów rejonowych, dostępny na internetowej stronie sądu. W słuchawce telefonu uprzejmy, damski głos, rzucone w locie nazwisko, funkcja – wreszcie pada prośba o udzielenie szybkiej informacji dotyczącej „Kowalskiego”- bo system się zawiesił/sprawa nagląca/akta na „międzyinstancyjnym”. Ilu z nas pełnomocników odmówi udzielenia informacji? Ilu, mając oczywiście jak najlepsze intencje, szybko udzieli stosownej informacji (abstrahując oczywiście od tego, co konkretnie pozostanie w zainteresowaniu „pracownika sądu”)? Jak na takie połączenie zareagują pracownicy kancelaryjnego sekretariatu, aplikanci? Brzmi bardziej realistycznie? Mamy nadzieję, że tak. Sami znamy przypadek przynajmniej jednej próby uzyskania informacji w taki właśnie sposób. W tym momencie proszę wrócić kilka zdań wstecz i jeszcze raz zweryfikować podany numer BOI sądu. Ilu z Państwa dostrzegło, że w przedstawionym numerze jest „błąd”? Prawidłowy, właściwy numer ma przecież końcówkę 603 778. A przecież nie staliśmy na korytarzu, nie rozmawialiśmy z naszym mandantem, nie czekaliśmy na wywołanie naszej sprawy.

Czymże jest ów atak socjotechniczny, jak go zdefiniować? Najogólniej rzecz biorąc to atak wykorzystujący szereg metod z zakresu inżynierii społecznej, dokonany w celu uzyskania informacji. W swoim założeniu przy jego przeprowadzeniu wykorzystuje się niewiedzę, łatwowierność użytkownika (atakowanego). Tym samym atak socjotechniczny bazuje na podatności nie sprzętu czy oprogramowania, a na skłonności człowieka do ulegania wpływom osób, chcących uzyskać dostęp do informacji, która w danym momencie jest przez atakującego uznawana za istotną. Atakujący co do zasady wprowadza nas w dwa stany: poczucia pełnego zaufania i komfortu lub w stan silnego stresu. Nie sposób ustalić celu takiego ataku. Może on być wymierzony w konkretną osobą, firmę, organizację. Może zmierzać do uzyskania dostępu do konta bankowego, czy kradzieży. Z innej zaś strony celem może być monitorowanie (w rozumieniu przepływu informacji czy danych) danego systemu, czy też uzyskanie drobnej informacji „uwiarygodniającej” kolejny z planowanych ataków. Trzeba mieć na względzie kwestię szalenie istotną – atakujący zawsze i każdorazowo dostosowują atak do ofiary i sytuacji. 

Wróćmy na chwilę do naszych przykładów. Jak to możliwe? Dlaczego ktoś wiedział o „pani Marysi”, skąd miał jej numer? Dlaczego na wyświetlaczu pojawił się numer bliźniaczo podobny do tego, którym posługuje się BOI pobliskiego sądu? Nic bardziej prostszego. Usługa VoIP – czyli Voice over Internet Protocol. W telegraficznym skrócie: to technologia przesyłania głosu przez Internet. Prawdopodobnie większość Czytelników nie ma tej świadomości, ale już w latach 2020-2025 tradycyjne sieci komórkowe zostaną wyłączone i zostaną całkowicie zastąpione przez VoIP. Usługa ta jest dostępna praktycznie wszędzie i dla wszystkich. Aby móc zacząć z niej korzystać wystarczy zaledwie kilka minut. Możemy dysponować niemalże dowolnie wybranym numerem – i to nie tylko z polskim prefiksem – ale w istocie z dowolnie wybranym z obszaru całego świata. 

A co na to nasz kodeks karny? Czy w sposób skuteczny penalizuje tzw. atak socjotechniczny?

 W literaturze, zwłaszcza nieprawnicznej, bardzo często spotykamy dość ogólnikowe stwierdzenie, że „stosowanie technik inżynierii społecznej w celu uzyskania dostępu do danych w sposób nieuprawniony jest przestępstwem, zagrożonym karą pozbawienia wolności”. Czy tak w istocie jest? W naszej ocenie odpowiedź na to pytanie musi być negatywna. Obecny kodeks karny nie penalizuje w sposób pełny i kompleksowy ataków socjotechnicznych. Przepisy w tym zakresie są, może nie przestarzałe, jednak z pewnością niedostosowane do zmieniającej się rzeczywistości, nie tak kompleksowe jak być powinny. 

Myśląc o formie penalizacji tego rodzaju zachowania na front, zresztą całkiem słusznie, wysuwa się przepis art. 267 kodeksu karnego. Stanowi on, iż „Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.”. Co do zasady, uzyskanie dostępu do informacji penalizowane na podstawie art. 267 § 1 k.k. musi następować bez uprawnienia, a zatem sprawca działa, nie mając do tego upoważnienia (wynikającego z przepisów prawa czy też woli dysponenta). Orzecznictwo oraz komentatorzy przyjmują, że zabezpieczenie o którym mowa w art. 267 § 1 k.k. oznacza każdą formę utrudnienia dostępu do informacji, której usunięcie wymaga wiedzy specjalistycznej lub zastosowania szczególnego urządzenia bądź kodu (np. hasła dostępu do informacji znajdujących się w sieci komputerowej, zapisu magnetycznego, który uruchamia określone urządzenie, a przez to dostęp do informacji). No właśnie, a gdzie w tym wszystkim jest człowiek? To przecież on jest przełamywanym przez atakującego zabezpieczeniem. Nie potrzeba specjalistycznej wiedzy, czy zastosowania szczególnego urządzenia (wspomniana choćby usługa VoIP jest usługą powszechnie i łatwo dostępną na całym świecie). Można by tę problematykę uprościć. Załóżmy, że omijamy zabezpieczenie (jedna z form penalizowanego działania). Okazuje się jednak, że atakujący ani nie otwiera zamkniętego pisma, ani nie podłącza się do sieci telekomunikacyjnej. Oczywiście, z pomocą mogą nam przyjść inne normy – chociażby art. 286 k.k. (na przykład przy oszustwie metodą ‘na wnuczka’, czy art. 278 i 279 k.k. (przy kradzieżach), również w formie zjawiskowej pomocnictwa. Można przecież postarać się o konstrukcję taką wobec osoby, która zdobyła informacje użyte następnie do popełnienia innego przestępstwa. Co jednak, jeśli informacja (choć uzyskanie do niej dostępu było oczywiście nieuprawnione) nie została użyta? Albo nie posiadamy dalszych informacji o jej użyciu? Pójdźmy dalej – co w przypadku, jeśli umożliwiła innym osobom prowadzenie nasłuchu sieci informatycznej (bez potrzeby przełamania czy ominięcia jakichkolwiek jej zabezpieczeń, ba – nawet bez wiedzy inwigilowanego)? Jak mówi stare porzekadło „gdzie zaczyna się problem, tam kończy się komentarz”. Niestety, w tym miejscu skończył się również kodeks. Czy warto penalizować każdy, nieautoryzowany dostęp do informacji? Z pewnością. Czy należy wprowadzić mechanizmy pozwalające na karanie sprawców ataków socjotechnicznych, którzy nie przeszli jeszcze do popełnienia kolejnych, niejako następczych czynów? Na to pytanie, z racji wykonywanego zawodu pozwolimy sobie nie odpowiadać. 

Jak więc obronić się przed takimi atakami?

Obrona przed atakiem socjotechnicznym, podobnie jak same ataki, to tzw. „temat rzeka” (a przecież tylko ogólnie nakreśliliśmy problem, nie zahaczyliśmy nawet o phishing!). Oczywiście, jako pracodawcy możemy organizować stosowne szkolenia pracowników kancelarii – z pewnością podniosą one bezpieczeństwo informacji i gromadzonych przez nas danych. Trzeba pamiętać, że nie ma informacji nieistotnych. Każdy, nawet najmniejszy szczegół, prawdopodobnie zostanie wykorzystany przez atakujących czy to w tym, czy w docelowym ataku. Nigdy nie wiemy przecież, co jest ostatecznym celem atakującego, a to właśnie te nic nieznaczące drobiazgi uwiarygodniają kolejne naruszenia bezpieczeństwa.

Niemniej praktycznie jedyną, skuteczną metodą obrony jest czujność. Tak jak wskazano wcześniej, głównym celem ataku socjotechnicznego jest człowiek. Jak wiadomo, to on jest przecież najsłabszym ogniwem każdego systemu zabezpieczeń. Największym problem polega na tym, że podczas ataku będziemy narażeni na nagły, powodowany celowo stres, dodatkowe emocje, wykorzystane zostaną nasze słabości (być może pozyskane we wcześniejszych atakach) – słowem wszystko, by nas tylko zdezorientować. Warto jednak zwolnić i zadać, czy to sobie, czy osobie, z którą rozmawiamy jedno proste pytanie – dlaczego? To pozornie banalne pytanie jest w stanie otrzeźwić nas w jednej chwili, zwłaszcza gdy zdamy sobie sprawę, że tak na prawdę nie ma racjonalnego powodu, dla którego mielibyśmy wykonać żądaną czynność, odpowiedzieć na zadane pytanie. 

Dlaczego mówimy o tym na łamach tego miesięcznika? Przecież jest on adresowany do prawników. Odpowiedź jest prosta (a zarazem powtarzana, jak mantra niemal w każdej publikacji) – świat pędzi do przodu. Podstawą naszego funkcjonowania tak w sądach, prokuraturach, jak i kancelariach są komputery, systemy informatyczne, Internet. Serwery zapewniające obsługę tych instytucji to również miejsca przechowywania cennych informacji, często opatrzonych klauzulami tajności, czy również (a być może przede wszystkim) cennych informacji biznesowych. Tym samym to właśnie my – osoby, na których ciąży szczególny obowiązek dochowania tajemnicy – jesteśmy najbardziej narażeni na wszelkie działania przestępne przeciwko informacjom. Stojąc niejako na pierwszej linii musimy mieć nie tylko świadomość istnienia tego rodzaju zagrożeń, ale przede wszystkim wiedzieć, jak się przed nimi bronić, a to chociażby dlatego, że ustawodawca nie oferuje nam obecnie zbyt istotnej, a przynajmniej kompleksowej pomocy. 

Kategorie: Aplikanci, In Gremio 137

Paulina Rycombel

aplikantka adwokacka

Piotr Rycombel

aplikant adwokacki

Zobacz najchętniej czytane działy:

  • Kryminalna historia Polski
  • Ślepym Okiem Temidy
  • Temat numeru

Pierwszy Sidebar

Informacje:

  • O In Gremio
  • Redakcja
  • Rada Programowa
  • Zasady współpracy
  • Reklama
  • Polityka prywatności
  • Regulaminy
  • Kontakt
© 2004–2023 In Gremio.