Drugie "życie" komputera

Prawna kwalifikacja wykorzystywania komputerów jako "zombie" nie jest jednoznaczna, ale najczęściej spotykane metody mogą być penalizowane również na gruncie polskiego kodeksu karnego.

Prawna kwalifikacja wykorzystywania komputerów jako "zombie" nie jest jednoznaczna, ale najczęściej spotykane metody mogą być penalizowane również na gruncie polskiego kodeksu karnego.

Wejście w życie regulacji prawnych, które restrykcyjnie traktują kwestię niezamówionej korespondencji komercyjnej i reklamowej sprawia, że nieuczciwe firmy marketingowe uciekają się do coraz wymyślniejszych metod zalewania nas elektroniczną pocztą śmieciową. Jednym z bardziej rozpowszechnionych rozwiązań staje się zdalne kontrolowanie komputerów przypadkowych internautów w celu uniknięcia odpowiedzialności prawnej za rozsyłanie spamu.

Wykorzystywanie jednocześnie wielu komputerów znacznie utrudnia wykrycie prawdziwych nadawców przesyłek. Jednocześnie praktyki te w kłopotliwej sytuacji stawiają osoby, których maszyny zostały użyte do wysyłania spamu. Na marginesie, z podobnych możliwości korzystają osoby inicjujące ataki Denial of Service skierowane przeciwko czarnym listom spamerów (taki listy są kluczowymi składnikami narzędzi służących do walki ze spamem). Skuteczne akcje DoS doprowadziły do usunięcia z sieci w ub.r. serwisów antyspamowych: Monkeys.com i Compu.net. Według danych firmy Sophos, zajmującej się bezpieczeństwem IT, ok. 30% spamu jest przesyłane z przejętych maszyn.

Komputery zdalnie wykorzystywane przez spamerów określa się mianem "zombie". Sam proces przejmowania kontroli nad cudzą maszyną każe zastanowić się nad jego prawnymi aspektami. Trudno mówić o odpowiedzialności karnej osoby, której maszyna została wykorzystana do przeprowadzenia ataku DoS. Z reguły użytkownik nie jest świadomy, że jego sprzęt jest zdalnie kontrolowany przez kogoś innego. Nie może być więc mowy o celowym działaniu użytkownika. Niemniej właściciel "zombie" może dotkliwie odczuć wykorzystywanie systemu przez osoby trzecie - począwszy od negatywnej reakcji odbiorców poczty i ofiar ataku DoS, aż po działania podjęte przez dostawcę usług internetowych.

Odpowiedzialni za komputer

Kwestia ewentualnej odpowiedzialności odszkodowawczej właściciela "zombi" w stosunku do ofiar ataków DoS jest kwestią skomplikowaną. Niektórzy twierdzą wręcz, że zaniechanie wprowadzenia odpowiednich zabezpieczeń przeciwdziałających przejęciu systemu przez osoby nieuprawnione może stanowić podstawę roszczeń odszkodowawczych w stosunku do właściciela maszyny. Miałoby o tym przesądzać niezachowanie dostatecznych starań, by wyposażyć system w choćby standardowe zabezpieczenia.

Na gruncie prawa polskiego podstawą ewentualnego roszczenia w stosunku do właściciela "zombi" mógłby być art. 415 kc, w myśl którego "kto z winy swej wyrządził drugiemu szkodę, jest obowiązany do jej naprawienia". Zawsze jednak rozstrzyganie o kwestii odpowiedzialności odszkodowawczej nie może być analizowane w oderwaniu od konkretnych przypadków.

Koncepcja ta ma co najmniej dwie wady. Po pierwsze, roszczeń odszkodowawczych dochodziłoby się od osób, które są także ofiarami sprawcy ataku DoS. Po drugie, brakuje uniwersalnych i powszechnie uznawanych standardów zabezpieczeń systemów. Trudno byłoby przyjąć, iż zainstalowanie firewalla jednej firmy zamiast produktu drugiej prowadzi do zaniedbania obowiązków w dziedzinie ochrony teleinformatycznej.

Na razie są to jednak tylko teoretyczne koncepcje, które nie znalazły odbicia w rozstrzygnięciach sądowych - zwłaszcza w sytuacji, gdy rodzime przepisy nie nakładają na przeciętnego użytkownika obowiązku zabezpieczania w szczególny sposób swojego systemu. Kwestię tę pozostawia się do rozwagi samym zainteresowanym - jeśli chcą, to wyposażą komputer w odpowiednie zabezpieczenia. Muszą się przy tym liczyć, że brak funkcjonujących zabezpieczeń uniemożliwi pociągnięcie do odpowiedzialności osobę, która uzyska nieuprawniony dostęp do informacji znajdujących się w systemie. Jeśli sprawca nie pokonuje zabezpieczeń, to z punktu widzenia polskiego kodeksu karnego nie ma mowy o popełnieniu hakingu.

Inaczej może jednak wyglądać ocena sposobu uzyskania zdalnej kontroli nad maszyną za pomocą tzw. trojana (czyli programu, który pozornie służąc do zupełnie czegoś innego, wykonuje bez wiedzy użytkownika swą krecią robotę). A jest to zjawisko o niebagatelnej skali - szacuje się, że dzięki robakowi SoBig dziesiątki tysięcy komputerów zostały zmienione w "zombie" i rozpoczęły rozsyłanie spamu. Potwierdzeniem tego są badania MessageLabs porównujące źródła spamu z adresami IP zainfekowanych komputerów.

Proces przekształcania systemu w "zombie" jest całkowicie zautomatyzowany, a większość trojanów stanowią załączniki do niezamówionych e-mailowych przesyłek. Aktywacja konia trojańskiego przez użytkownika pozwala na uzyskanie przez spamera numeru adresu IP oraz danych na temat portów komputera. Skorzystanie z cudzego systemu umożliwia przesyłanie e-maili z adresów, które nie znalazły się jeszcze na czarnych listach.

Co na to prawo

Warto się zastanowić nad stosunkiem przepisów prawa karnego do takich praktyk. Wykorzystywanie cudzych systemów komputerowych może stać się w przyszłości jedną z najbardziej wyrafinowanych form cyberprzestępczości. Trojany przejmujące kontrolę nad komputerem pozwalają bowiem na zatarcie śladów prowadzących do rzeczywistego nadawcy e-maili i sprawcy ataku DoS.

Ze względu na to, że konie trojańskie korzystają z luk w oprogramowaniu, nie można mówić o włamaniu do systemu (przynajmniej na gruncie rodzimego kodeksu karnego). W wielu systemach prawnych samo uzyskanie nieuprawnionego dostępu do systemu jest karalnym hakingiem, tak więc spamer wykorzystujący cudze systemy naraża się na odpowiedzialność karną. Nie oznacza to zarazem, że w świetle rodzimego prawa kontrolowanie cudzej maszyny za pomocą trojana będzie zachowaniem bezkarnym. Wydaje się, że z pomocą przyjdzie art. 287 kk, który wprowadza do polskiego prawa przestępstwo oszustwa komputerowego. Warunkiem pociągnięcia sprawcy do odpowiedzialności karnej pozostaje w tym przypadku wpływanie przez niego na automatyczne gromadzenie lub przesyłanie informacji.

Podłączenie się do cudzego komputera i przesyłanie za jego pośrednictwem spamu z pewnością można uznać za owe wpływanie. Niektóre trojany infiltrują porty ofiary, by następnie przekazać spamerowi dane pozwalające na przesyłanie niezamawianej korespondencji za pośrednictwem danej maszyny. Późniejsze samo przesyłanie takich wiadomości e-mail trzeba więc uznać za wpływanie na automatyczny przekaz informacji. Warunkiem koniecznym przy tym jest działanie sprawcy w celu osiągnięcia korzyści majątkowej lub wyrządzenia szkody innej osobie. Zdalne wykorzystywanie cudzych systemów z całą pewnością spełnia tę przesłankę, bowiem przesyłanie spamu z reguły jest motywowane chęcią osiągnięcia korzyści finansowych, a o wyrządzeniu szkody za pośrednictwem ataku DoS nie trzeba chyba nikogo przekonywać.

Samo pociągnięcie do odpowiedzialności sprawcy - wysyłającego trojany, a następnie przesyłającego spam - nie będzie należało do prostych zadań. Zdalne wykorzystywanie cudzych systemów prowadzi do wytworzenia się sytuacji, w której powstaje twór podobny do sieci P2P, z definicji pozbawiony punktu centralnego. Tymczasem zdalne kierowanie siecią komputerów może prowadzić do rozległych ataków DoS.

W grę może wchodzić również krzyżowanie się różnych systemów prawnych, odmiennie penalizujących opisane praktyki. Ujawnienie sprawców będzie także wymagać niemal natychmiastowej analizy logów i innych danych pozwalających na prześledzenie drogi ataku DoS czy masowych niezamawianych przesyłek.

Najlepszym sposobem ochrony przed zdalnym przejęciem naszego komputera jest korzystanie z tradycyjnego oprogramowania antywirusowego oraz skanerów internetowych. Z oczywistych względów najbardziej skuteczne będzie regularne zaopatrywanie się w uaktualnienia nie tylko antywirusów, ale także samego systemu MS Windows. Część z trojanów stara się bowiem skorzystać z luk systemu operacyjnego.

Zabezpieczenia

Jednym ze sposobów ochrony przed korespondencją przesyłaną za pomocą "zombie" jest obsługiwana przez Spamhaus Project baza adresów IP będących źródłem spamu - Exploits Block List (http://www.spamhaus.org/xbl/index.lasso ). Znalazły się na niej również adresy maszyn kontrolowanych przez spamerów. Co ciekawe, w listopadzie ub.r. Telia - jako pierwsza wśród europejskich dostawców usług internetowych - zapowiedziała blokowanie bez wcześniejszego ostrzeżenia korespondencji przesyłanej za pośrednictwem "zombie".

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200