webmaster webmastering webdesign

Jesteś tutaj: webmade.org >> wiadomości >> różne

Precedensowy wyrok w sprawie SQL Injection

dodano: 2008-10-09, źródło: di.com.pl

szukaj: SQL Injection SQL Injection włamania włamania zabezpieczenia zabezpieczenia wyrok sądu wyrok sądu

Mateusz M. - oskarżony o to, że przełamał elektroniczne zabezpieczenia serwera pewnej firmy i uzyskał informacje dla niego nie przeznaczone - został uniewinniony wyrokiem Sądu Rejonowego w Głogowie, VI Wydział Grodzki. "Nie można przełamać czegoś, co nie istnieje" - czytamy w uzasadnieniu. Sprawę obszernie komentuje dziś w swoim serwisie Piotr Waglowski.

W połowie stycznia 2007 roku Mateusz M. odwiedził stronę jednej z firm produkującej luksusowe samochody. Co było dalej, można przeczytać w serwisie VaGla.pl, który cytuje wiadomość umieszczoną wcześniej na forum Poradni Prawnej Callidus: Przeglądając źródło strony zauważyłem, że są tam liczne błędy, po czym wpisałem w formularz do logowania następujący ciąg znaków: ' or 1=1;-- Spowodowało to, że zostałem zalogowany na konto losowego użytkownika. Znajdowały się tam szczegółowe informacje o danej osobie. Aby wykluczyć jednorazowy błąd systemu operację wykonałem jeszcze około trzech razy, za każdym razem logując się na inne konto.

Chciał pomóc, został zatrzymany

Autor tego listu próbował skontaktować się z przedstawicielami firmy, która zaprojektowała serwis. Sprawdził też, czy podobnej luki nie ma na innych stronach stworzonych przez to przedsiębiorstwo. Okazało się, że błędy są na każdej ze stron tej firmy. Było ich łącznie około sześciu, które sprawdziłem i należały do największych firm w Polsce. W dwóch przypadkach strony dawały dostęp do danych osobowych klientów firm - wyjaśnia Mateusz M.

Wobec braku reakcji projektanta tych stron mężczyzna poinformował o znalezionych błędach zainteresowane firmy, proponując usunięcie luk za stosowną opłatą. Doszło wówczas do spotkania w siedzibie przedsiębiorstwa, które prowadziło podatne na atak serwisy. Mateusz M. podpisał umowę o poufności. Był przekonany, że firma zaproponuje mu współpracę, tymczasem z sąsiedniego pomieszczenia wyłonili się policjanci, którzy mężczyznę aresztowali.

Jak informuje Piotr Waglowski, w trakcie postępowania przygotowawczego biegły sądowy z dziedziny informatyki sporządził stosowną ekspertyzę - wynikało z niej, że Mateusz M. posłużył się jedną z form ataku na bazy danych o nazwie SQL Injection, którego celem jest wydobycie poufnych informacji z bazy danych i zakłócenie jej funkcjonowania. W toku postępowania przed sądem, na wniosek obrońcy oskarżonego, dopuszczono dowód z opinii innego biegłego - wynikało z niej, że poprzez wprowadzenie podanego wyżej ciągu znaków mężczyzna nie dokonał złamania zabezpieczeń bazy danych, że w żaden sposób nie wpłynął na ich funkcjonowanie.

Sąd uniewinnił Mateusza M.

Wyrok został wydany 11 sierpnia 2008 roku, w serwisie VaGla.pl można zapoznać się z obszernymi fragmentami towarzyszącego mu uzasadnienia. Na szczególną uwagę zasługuje następujący akapit: Zgodnie z treścią art. 267 §1 kk odpowiedzialności karnej podlega ten, kto bez uprawnienia uzyskuje informacje dla niego nie przeznaczoną przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie. Z treści przepisu jednoznacznie wynika, że odpowiedzialność karna sprawcy statuuje łącznie wykonanie następujących czynności: uzyskanie informacji bez uprawnienia i przełamanie w tym czasie jej elektronicznego, magnetycznego lub innego szczególnego zabezpieczenia.

Przełamanie zabezpieczenia następuje wtedy, gdy sprawca niszczy, usuwa zabezpieczenia, lub kiedy oddziałując na zabezpieczenie chwilowo niweluje jego funkcję zabezpieczającą. Zatem nie będzie ponosiła odpowiedzialności karnej osoba, która uzyskała dostęp do chronionych informacji, ale nie przełamała jej zabezpieczenia (Włodzimierz Wróbel - "Komentarz do art. 267 kk" w "Kodeks karny. Część szczególna t. III, Zakamycze 2006").

Co więcej, zgodnie z poglądami doktryny, jeżeli sprawca wykorzystuje błąd programisty i wchodzi do systemu przez "dziurę" w konfiguracji lub oprogramowaniu systemowym po to, by uzyskać znajdującą się w systemie informację, to nie można mu nawet przypisać usiłowania przestępstwa, o którym mowa w art. 267 §1 KK. Jeżeli "przechodzenie przez dziurę" nie wymaga od hackera ingerencji w zapis na komputerowym nośniku informacji lub korzystania ze specjalnego oprogramowania, zachowanie takie w ogóle nie jest karalne (por. Andrzej Adamski "Przegląd sądowy" 1998 nr 11-12, poz. 149).

Co ważne, taka interpretacja art. 267 §1 kk jest uzasadniona także w świetle proponowanych zmian treści tego właśnie przepisu. Warto przypomnieć, że sejm pracuje właśnie nad rządowym projektem nowelizacji kodeksu karnego. Interesujący nas artykuł ma brzmieć: Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Co na to internauci?

Pod artykułem Piotra Waglowskiego toczy się w tej chwili burzliwa dyskusja. Większość wypowiadających się podziela zdanie sądu, jednak nie wszyscy. Szczególnie ciekawy wydaje się komentarz użytkownika podpisującego się przepla: Sąd niepotrzebnie analizując sprawę pod kątem tego, że SQL Injection był możliwy ze względu na błąd programisty pomieszał aparat pojęciowy nauki prawniczej z aparatem pojęciowym nauki informatycznej w wyniku czego podjął błędną decyzję przyjmując, że nie nastąpiło przełamanie zabezpieczeń.

Natomiast Paweł Krawczyk, specjalista z zakresu bezpieczeństwa sieci komputerowych i kryptografii, znany jako kravietz, pisze: Na dłuższą metę nie wydaje mi się właściwe umieszczanie niekompetentnych programistów pod kloszem przez przesuwanie winy z nich na osobę, która tą niekompetencję wskazała. Taka strategia może tylko doprowadzić do wzrostu poczucia bezkarności u producentów aplikacji, a w konsekwencji do wystawienia ich użytkowników na jeszcze większe zagrożenie.

Anna Wasilewska-Śpioch - Dziennik Internautów - www.di.com.pl

Osoby czytające tę wiadomość przeglądały również:

Chcesz zostać programistą?

Poznaj 6 kroków do efektywnej
nauki programowania!

 

valid XHTML
valid CSS
© 2004-2008 copyright by webmade.org