Technologia, rozwój, prawo. W poprzednim artykule z cyklu rozwój technologii kontra kodeks karny przybliżyliśmy Państwu pokrótce problematykę zjawiska tzw. car-hackingu oraz reakcji ustawodawcy na to stosunkowo nowe zjawisko, nowe przestępstwo. To, że świat mknie do przodu to jedno. Jednak czy my, beneficjenci tego rozwoju, nadążamy za nim? Czy w ogóle jesteśmy świadomi zagrożeń, które wiążą się pośrednio lub bezpośrednio z nowymi zdarzeniami, zjawiskami, z techniką? Czy jesteśmy świadomymi użytkownikami sprzętu oraz znajdującego się na nim oprogramowania, wiemy co, jak, dlaczego? Czy w ogóle znamy najnowsze zdobycze techniki, postępu tak w zakresie urządzeń komputerowych, jak i funkcjonujących w ich środowisku aplikacji, czy innych programów? Najczęściej nie. Działamy według pewnych schematów, instrukcji obsługi, czy własnego wyczucia. To właśnie na tym polega siła ataku socjotechnicznego. To nasza niewiedza, żeby nie powiedzieć, naiwność oraz „zasiedziałość” (legacy) są wypadkowymi sukcesu tego rodzaju incydentów.
Zanim przejdziemy do bliższego omówienia tego szalenie niebezpiecznego zjawiska, próby „rozprawienia” się z nim na gruncie prawnokarnym, dla pewnego przykładu weźmy na tapet chociażby rzeczony car-hacking. Czy działanie sprawców tego przestępstwa polega tylko i wyłącznie na zakupie sprzętu, zlokalizowaniu pojazdu, przełamaniu jego zabezpieczeń i (załóżmy) kradzieży? Zasadniczo nie. A przynajmniej jeśli postrzegamy tego rodzaju przestępców jako rozwiniętych lepiej niż przysłowiowy „średnio-zdolny szympans”. Jest to zresztą naszym zdaniem założenie dość roztropne. Co do zasady osoby specjalizujące się w szeroko rozumianej przestępczości komputerowej to po prostu wykształceni, doświadczeni, logicznie i perspektywicznie myślący eksperci. Faktyczne wykonanie czynności sprawczej (przełamanie zabezpieczeń pojazdu) najczęściej poprzedzone jest długą i drobiazgową obserwacją ofiary. Z pomocą przychodzą oczywiście techniki znane pod pojęciem „białego wywiadu” (tzw. open-source-intelligence). Często polega ona na analizie danych społecznych, rodzinnych, rytmu dnia, nawyków, zwyczajów – wszystko celem wytypowania potencjalnie najlepszego momentu na działanie sprawcze. Najlepszego, to znaczy zapewniającego możliwie najmniejsze prawdopodobieństwo ujawnienia przełamania zabezpieczeń pojazdu tak co do czasu, jak i wszelkich możliwych okoliczności pobocznych. No właśnie – obserwacja, analiza, typowanie idealnego momentu… jak zrobić to w sposób możliwie najskuteczniejszy, przy jednoczesnej minimalizacji wykrycia? Czy znając normę zachowania, a także pewną ilość szczegółów atakujący jest w stanie wejść z nami (ofiarami) w interakcję zmierzającą do uzyskania kolejnych, niezbędnych mu informacji – i to absolutnie bez wzbudzenia naszych najmniejszych podejrzeń? Znajdujemy się trochę na pograniczu psychologii, ale właśnie o to chodzi. Tak, to w szczególności na niej bazuje potencjalny atakujący. Prawidłowo zaplanowany i przeprowadzony atak to w końcu taki atak, o którym nie mamy pojęcia. To działanie, które uznajemy za normalne, mieszczące się w pewnych standardach zdarzeń bieżących w naszym życiu. Być może będzie to dłuższa rozmowa z ankieterem CBOS-u, być może zadzwoni do nas pracownik, który akurat dzisiaj zastępuje „panią Marysię” z księgowości, która nas zawsze obsługuje, ale akurat się rozchorowała. Co więcej – na wyświetlaczu naszego telefonu może się wyświetlić numer jej telefonu. Być może trzeba będzie, na prośbę nowego i niedoświadczonego pracownika, udać się do biura, by podpisać zaległy dokument, być może powiemy, że akurat dzisiaj nie możemy, bo mamy bilety do kina/teatru, czy rozprawę w sądzie. Zwykła rozmowa. Z pozoru nic nie znacząca informacja. A jednak – dla osoby planującej włamanie do naszego pojazdu to informacja na wagę złota.
Dla części Czytelników przykład ten może wydawać się zupełnie abstrakcyjny, z pogranicza science-fiction, czy filmów o przygodach Agenta 007, czy Jason’a Bourne’a. W takim razie odwróćmy szybko sytuację. Jesteśmy na korytarzu sądowym. Telefon. Na wyświetlaczu pojawia się dzwoniący numer „91 4 604 778” – to dla większości pełnomocników znany (bodaj) na pamięć numer Biura Obsługi Interesantów jednego ze szczecińskich sądów rejonowych, dostępny na internetowej stronie sądu. W słuchawce telefonu uprzejmy, damski głos, rzucone w locie nazwisko, funkcja – wreszcie pada prośba o udzielenie szybkiej informacji dotyczącej „Kowalskiego”- bo system się zawiesił/sprawa nagląca/akta na „międzyinstancyjnym”. Ilu z nas pełnomocników odmówi udzielenia informacji? Ilu, mając oczywiście jak najlepsze intencje, szybko udzieli stosownej informacji (abstrahując oczywiście od tego, co konkretnie pozostanie w zainteresowaniu „pracownika sądu”)? Jak na takie połączenie zareagują pracownicy kancelaryjnego sekretariatu, aplikanci? Brzmi bardziej realistycznie? Mamy nadzieję, że tak. Sami znamy przypadek przynajmniej jednej próby uzyskania informacji w taki właśnie sposób. W tym momencie proszę wrócić kilka zdań wstecz i jeszcze raz zweryfikować podany numer BOI sądu. Ilu z Państwa dostrzegło, że w przedstawionym numerze jest „błąd”? Prawidłowy, właściwy numer ma przecież końcówkę 603 778. A przecież nie staliśmy na korytarzu, nie rozmawialiśmy z naszym mandantem, nie czekaliśmy na wywołanie naszej sprawy.
Czymże jest ów atak socjotechniczny, jak go zdefiniować? Najogólniej rzecz biorąc to atak wykorzystujący szereg metod z zakresu inżynierii społecznej, dokonany w celu uzyskania informacji. W swoim założeniu przy jego przeprowadzeniu wykorzystuje się niewiedzę, łatwowierność użytkownika (atakowanego). Tym samym atak socjotechniczny bazuje na podatności nie sprzętu czy oprogramowania, a na skłonności człowieka do ulegania wpływom osób, chcących uzyskać dostęp do informacji, która w danym momencie jest przez atakującego uznawana za istotną. Atakujący co do zasady wprowadza nas w dwa stany: poczucia pełnego zaufania i komfortu lub w stan silnego stresu. Nie sposób ustalić celu takiego ataku. Może on być wymierzony w konkretną osobą, firmę, organizację. Może zmierzać do uzyskania dostępu do konta bankowego, czy kradzieży. Z innej zaś strony celem może być monitorowanie (w rozumieniu przepływu informacji czy danych) danego systemu, czy też uzyskanie drobnej informacji „uwiarygodniającej” kolejny z planowanych ataków. Trzeba mieć na względzie kwestię szalenie istotną – atakujący zawsze i każdorazowo dostosowują atak do ofiary i sytuacji.
Wróćmy na chwilę do naszych przykładów. Jak to możliwe? Dlaczego ktoś wiedział o „pani Marysi”, skąd miał jej numer? Dlaczego na wyświetlaczu pojawił się numer bliźniaczo podobny do tego, którym posługuje się BOI pobliskiego sądu? Nic bardziej prostszego. Usługa VoIP – czyli Voice over Internet Protocol. W telegraficznym skrócie: to technologia przesyłania głosu przez Internet. Prawdopodobnie większość Czytelników nie ma tej świadomości, ale już w latach 2020-2025 tradycyjne sieci komórkowe zostaną wyłączone i zostaną całkowicie zastąpione przez VoIP. Usługa ta jest dostępna praktycznie wszędzie i dla wszystkich. Aby móc zacząć z niej korzystać wystarczy zaledwie kilka minut. Możemy dysponować niemalże dowolnie wybranym numerem – i to nie tylko z polskim prefiksem – ale w istocie z dowolnie wybranym z obszaru całego świata.
A co na to nasz kodeks karny? Czy w sposób skuteczny penalizuje tzw. atak socjotechniczny?
W literaturze, zwłaszcza nieprawnicznej, bardzo często spotykamy dość ogólnikowe stwierdzenie, że „stosowanie technik inżynierii społecznej w celu uzyskania dostępu do danych w sposób nieuprawniony jest przestępstwem, zagrożonym karą pozbawienia wolności”. Czy tak w istocie jest? W naszej ocenie odpowiedź na to pytanie musi być negatywna. Obecny kodeks karny nie penalizuje w sposób pełny i kompleksowy ataków socjotechnicznych. Przepisy w tym zakresie są, może nie przestarzałe, jednak z pewnością niedostosowane do zmieniającej się rzeczywistości, nie tak kompleksowe jak być powinny.
Myśląc o formie penalizacji tego rodzaju zachowania na front, zresztą całkiem słusznie, wysuwa się przepis art. 267 kodeksu karnego. Stanowi on, iż „Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.”. Co do zasady, uzyskanie dostępu do informacji penalizowane na podstawie art. 267 § 1 k.k. musi następować bez uprawnienia, a zatem sprawca działa, nie mając do tego upoważnienia (wynikającego z przepisów prawa czy też woli dysponenta). Orzecznictwo oraz komentatorzy przyjmują, że zabezpieczenie o którym mowa w art. 267 § 1 k.k. oznacza każdą formę utrudnienia dostępu do informacji, której usunięcie wymaga wiedzy specjalistycznej lub zastosowania szczególnego urządzenia bądź kodu (np. hasła dostępu do informacji znajdujących się w sieci komputerowej, zapisu magnetycznego, który uruchamia określone urządzenie, a przez to dostęp do informacji). No właśnie, a gdzie w tym wszystkim jest człowiek? To przecież on jest przełamywanym przez atakującego zabezpieczeniem. Nie potrzeba specjalistycznej wiedzy, czy zastosowania szczególnego urządzenia (wspomniana choćby usługa VoIP jest usługą powszechnie i łatwo dostępną na całym świecie). Można by tę problematykę uprościć. Załóżmy, że omijamy zabezpieczenie (jedna z form penalizowanego działania). Okazuje się jednak, że atakujący ani nie otwiera zamkniętego pisma, ani nie podłącza się do sieci telekomunikacyjnej. Oczywiście, z pomocą mogą nam przyjść inne normy – chociażby art. 286 k.k. (na przykład przy oszustwie metodą ‘na wnuczka’, czy art. 278 i 279 k.k. (przy kradzieżach), również w formie zjawiskowej pomocnictwa. Można przecież postarać się o konstrukcję taką wobec osoby, która zdobyła informacje użyte następnie do popełnienia innego przestępstwa. Co jednak, jeśli informacja (choć uzyskanie do niej dostępu było oczywiście nieuprawnione) nie została użyta? Albo nie posiadamy dalszych informacji o jej użyciu? Pójdźmy dalej – co w przypadku, jeśli umożliwiła innym osobom prowadzenie nasłuchu sieci informatycznej (bez potrzeby przełamania czy ominięcia jakichkolwiek jej zabezpieczeń, ba – nawet bez wiedzy inwigilowanego)? Jak mówi stare porzekadło „gdzie zaczyna się problem, tam kończy się komentarz”. Niestety, w tym miejscu skończył się również kodeks. Czy warto penalizować każdy, nieautoryzowany dostęp do informacji? Z pewnością. Czy należy wprowadzić mechanizmy pozwalające na karanie sprawców ataków socjotechnicznych, którzy nie przeszli jeszcze do popełnienia kolejnych, niejako następczych czynów? Na to pytanie, z racji wykonywanego zawodu pozwolimy sobie nie odpowiadać.
Jak więc obronić się przed takimi atakami?
Obrona przed atakiem socjotechnicznym, podobnie jak same ataki, to tzw. „temat rzeka” (a przecież tylko ogólnie nakreśliliśmy problem, nie zahaczyliśmy nawet o phishing!). Oczywiście, jako pracodawcy możemy organizować stosowne szkolenia pracowników kancelarii – z pewnością podniosą one bezpieczeństwo informacji i gromadzonych przez nas danych. Trzeba pamiętać, że nie ma informacji nieistotnych. Każdy, nawet najmniejszy szczegół, prawdopodobnie zostanie wykorzystany przez atakujących czy to w tym, czy w docelowym ataku. Nigdy nie wiemy przecież, co jest ostatecznym celem atakującego, a to właśnie te nic nieznaczące drobiazgi uwiarygodniają kolejne naruszenia bezpieczeństwa.
Niemniej praktycznie jedyną, skuteczną metodą obrony jest czujność. Tak jak wskazano wcześniej, głównym celem ataku socjotechnicznego jest człowiek. Jak wiadomo, to on jest przecież najsłabszym ogniwem każdego systemu zabezpieczeń. Największym problem polega na tym, że podczas ataku będziemy narażeni na nagły, powodowany celowo stres, dodatkowe emocje, wykorzystane zostaną nasze słabości (być może pozyskane we wcześniejszych atakach) – słowem wszystko, by nas tylko zdezorientować. Warto jednak zwolnić i zadać, czy to sobie, czy osobie, z którą rozmawiamy jedno proste pytanie – dlaczego? To pozornie banalne pytanie jest w stanie otrzeźwić nas w jednej chwili, zwłaszcza gdy zdamy sobie sprawę, że tak na prawdę nie ma racjonalnego powodu, dla którego mielibyśmy wykonać żądaną czynność, odpowiedzieć na zadane pytanie.
Dlaczego mówimy o tym na łamach tego miesięcznika? Przecież jest on adresowany do prawników. Odpowiedź jest prosta (a zarazem powtarzana, jak mantra niemal w każdej publikacji) – świat pędzi do przodu. Podstawą naszego funkcjonowania tak w sądach, prokuraturach, jak i kancelariach są komputery, systemy informatyczne, Internet. Serwery zapewniające obsługę tych instytucji to również miejsca przechowywania cennych informacji, często opatrzonych klauzulami tajności, czy również (a być może przede wszystkim) cennych informacji biznesowych. Tym samym to właśnie my – osoby, na których ciąży szczególny obowiązek dochowania tajemnicy – jesteśmy najbardziej narażeni na wszelkie działania przestępne przeciwko informacjom. Stojąc niejako na pierwszej linii musimy mieć nie tylko świadomość istnienia tego rodzaju zagrożeń, ale przede wszystkim wiedzieć, jak się przed nimi bronić, a to chociażby dlatego, że ustawodawca nie oferuje nam obecnie zbyt istotnej, a przynajmniej kompleksowej pomocy.