Neupravičen vstop ali vdor v informacijski sistem?

Pred kratkim sem po elektronski pošti dobil zanimivo vprašanje o razliki med vdorom v informacijski sistem po prvem odstavku 221. člena (novega) KZ-1 ter in neupravičenim vstopom v informacijski sistem po prvem odstavku 225. člena (starega) KZ.

Stari Kazenski zakonik (KZ) je v prvem odstavku 225. člena določal:

“Neupravičen vstop v informacijski sistem

225. člen

(1) Kdor neupravičeno vstopi v informacijski sistem ali kdor neupravičeno prestreže podatek ob nejavnem prenosu v ali iz informacijskega sistema, se kaznuje z denarno kaznijo.“

Novi Kazenski zakonik (KZ-1), pa ima podobno, vendar ne povsem enako določbo, ki se glasi:

“Napad na informacijski sistem

221. člen

(1) Kdor vdre v informacijski sistem ali kdor neupravičeno prestreže podatek ob nejavnem prenosu v informacijski sistem ali iz njega, se kaznuje z zaporom do enega leta.“

Stari kazenski zakonik je tako govoril o neupravičenem vstopu v informacijski sistem, novi pa govori o vdoru. Razlika je majhna, a kot bomo videli, precej pomembna.

Vdor vs. neupravičen dostop

Pri vdoru gre za neko nasilno dejanje. Slovar slovenskega knjižnega jezika besedo vdreti definira kot “deroč priti v kaj, premagujoč ovire“, “na silo, s silo priti kam“, “nenapovedano, proti volji koga priti kam“, “silovito pojaviti se kje, premagujoč ovire“.

Pri členu 221/1 KZ-1 gre torej za to, da nekdo nasilno, s tem, da zaobide neko oviro, npr. varnostni mehanizem, vstopi v informacijski sistem. Stari 225/1 KZ pa je govoril o neupravičenem vstopu. Bistveni element neupravičenega vstopa pa je vprašanje ali je nekdo imel dovoljenje (pooblastilo) za vstop, ali pa do vstopa ni bil upravičen. Pri slednjem torej ne gre prvenstveno za aktivno premagovanje ovir, saj je neupravičen vstop mogoč tudi če ovir za vstopanje ni.

Vzemimo primer, ko se nekdo poveže na brezžično omrežje svojega soseda. Če sosed nima nastavljenega gesla (če je torej brezžično omrežje odprto), lahko ugotovimo, da za povezovanje na sosedovo brezžično dostopno točko ni bilo potrebno zaobiti nikakršne ovire, kljub temu pa storilec do uporabe sosedovega brezžičnega omrežja ni upravičen. V tem primeru bi storilca lahko preganjali po starem, sedaj ne več veljavnem členu 225/1 KZ.

Povsem drugače pa bi bilo, če bi imel sosed na brezžičnem omrežju vključeno omejitev dostopa (WEP, WPA ali WPA-2 šifriranje). Kot je znano, je nekatere šibkejše šifrirne mehanizme s katerimi uporabniki lahko zaščitimo svoja brezžična omrežja mogoče dokaj enostavno razbiti (za razbitje protokola WEP je bila že leta 2007 potreba manj kot minuta, razbitje protokola WPA pa je mogoče v času od ene do 15 minut). Storilec v tem primeru uporabi posebno programsko opremo, npr. brezplačni program Aircrack-ng), s katerim šifriranje “zlomi” oz. s pomočjo matematične analize prestreženih šifriranih podatkov rekonstruira (razbije) šifrirni ključ, s katerim se potem poveže na sosedovo brezžično dostopno točko. V tem primeru torej ne gre zgolj za neupravičen vstop, pač pa za vdor, aktivno zaobhajanje ovire.

Za vajo skušajmo razmišljati še v naslednji smeri.

Prodajalec, ki ima ključe trgovine v trgovino vstopi ponoči in ukrade nek predmet. V tem primeru je nesporno, da gre za tatvino, vendar pa je tudi jasno, da prodajalec ključe poseduje povsem zakonito in ima tudi pravico vstopa v službene prostore. Vendar pa v tem primeru ne gre za vlom, saj storilec pri svojem dejanju ni premagoval ovir za vstop v trgovino.

Podobno vajo lahko naredimo tudi glede teže kaznivega dejanja. V prvem primeru storilec vstopi v odprto sosedovo stanovanje, v drugem pa storilec najprej zlomi ključavnico in potem vstopi v njegovo stanovanje (v obeh primerih iz stanovanja ničesar ne odnese). V obeh primerih je sicer šlo za kršitev nedotakljivosti stanovanja, vendar je teža drugega primera nedvomno večja, saj je storilec vstopil na silo. Poleg tega je v primeru vdora dobrina (stanovanje, brezžično omrežje) zavarovana, torej je lastnik nakazal, da želi svojo dobrino zaščititi, storilec pa je z vdorom izkazal aktivno protipravnost. V primeru zgolj neupravičenega vstopa pa gre lahko tudi za napako (npr. storilec ne ve, da se bo zgolj s klikom na ime povezave povezal na tuje brezžično omrežje, ali pa se njegov računalnik celo samodejno poveže v brezžično omrežje, ki ima enako ime kot neko drugo omrežje, v katero je bil (legitimno) povezan že prej), vendar je v slednjem primeru pomembno dejstvo tudi to, da storilec ni imel naklepa storitve kaznivega dejanja.

Kaj pa posedovanje, izdelava, itd.?

Pozorno branje KZ-1 razkrije, da določbe o vdoru in neupravičenem vstopu v informacijski sistem vsebuje tudi člen 306/3 KZ-1. Tretji odstavek namreč pravi:

“Izdelovanje in pridobivanje orožja in pripomočkov, namenjenih za kaznivo dejanje

306. člen

(3) Enako kot v prejšnjem odstavku se kaznuje, kdor z namenom storitve kaznivega dejanja poseduje, izdeluje, prodaja, daje v uporabo, uvaža, izvaža ali kako drugače zagotavlja pripomočke za vdor ali neupravičen vstop v informacijski sistem.“

Podobno določbo je vseboval tudi stari KZ v členu 309/3. Določba sicer nakazuje, da je zakonodajalec pri kriminaliziranju poleg vdora verjetno imel v mislih tudi neupravičen vstop, vendar je določba sporna iz drugih razlogov. V času priprave KZ-1 v tem členu ni bilo klavzule “kdor z namenom storitve kaznivega dejanja“, pač pa se je dikcija glasila: “Kdor poseduje, izdeluje, daje v uporabo, uvaža, izvaža ali drugače zagotavlja pripomočke za vdor v informacijski sistem, se kaznuje z denarno kaznijo ali z zaporom do šestih mesecev.“.

Problem nastopi pri vprašanju, kaj je to pripomoček za vdor v informacijski sistem. Najbolj očiten pripomoček so seveda različna varnostna orodja, npr. programi nmap, Wireshark, itd. Vendar pa so ta orodja v osnovi namenjena varnostnemu testiranju informacijskih sistemov in s tem posredno povečevanju varnosti. Navedena orodja lahko sistemski administrator uporabi za to, da preveri kako varen je njegov sistem, kje so morebitne dostopne točke, ki jih je pozabil zapreti ter posledično svoj sistem bolje zavaruje. Jasno pa je, da je ta orodja mogoče tudi zlorabiti za odkritje in zlorabo ranljivosti v sistemu. Podobno kot nož – lahko ga uporabimo za rezanje kruha ali pa za umor.

Nekoliko bolj problematično pa je, da je nekatere napade mogoče opraviti celo s spletnimi brskalniki (npr. Firefox ali Internet Explorer), ki so del “opreme” vsakega sodobnega računalnika. Eden izmed napadov, ki jih je mogoče izvesti zgolj s pomočjo brskalnika je tim . SQL vrivanje (ang. SQL injection). Čeprav je napad enostaven, sploh ni nedolžen, saj je z njim mogoče ukrasti ali spreminjati dostopna gesla, številke kreditnih kartic v slabo zaščiteni spletni trgovini ali na slabo zaščiteno spletno stran vriniti poljubno vsebino. Trije zanimivi primeri izkoriščanja varnostnih ranljivosti informacijskih sistemov izključno s pomočjo spletnega brskalnika so opisani tudi v članku Kupovati drugje bi bilo potratno, objavljenem na spletišču Slo-Tech.com, avtorja Gorazda Žagarja. Vsekakor se upravičeno zastavlja vprašanje ali je kriminalizacija posedovanja pripomočkov za vdor sploh smiselna.

Zaradi kritik take ureditve je zakonodajalec v končno dikcijo člena 309/3 dodal zgoraj omenjeno klavzulo, vendar pa je s tem ta določba postala tako rekoč “mrtva”. Potrebni pogoj za obstoj kaznivega dejanja po 309/3 je namreč posedovanje (izdelava,…) z namenom storitve kaznivega dejanja. Gre torej za to, da se storilcu dokaže tim. obarvan naklep, da je torej storilec vedel za možnost zlonamerne uporabe programskega orodja, da je imel namen zagrešiti vdor (oziroma pomagati pri tem) in da se je zavedal posledic tega dejanja.

V praksi bi se to morda dalo dokazati v primeru, da bi nekdo na internetu objavil zlonamerno kodo (pripomoček za vdor) in hkrati uporabnike pozival, naj to kodo uporabijo za nezakonite namene. Vsekakor pa sama objava zlonamerne kode ne pomeni tudi, da je kodo mogoče uporabiti samo za nezakonite namene. Tak primer je projekt Metasploit, ki izdaja zbirko brezplačnih zlonamernih orodij, s katerimi je sicer mogoče izkoristiti številne pomanjkljivosti različnih programskih aplikacij in operacijskih sistemov, vendar pa zbirko uporabljajo tudi številni varnostni inženirji in sistemski administratorji z namenom zakonitega preverjanja varnosti lastnih sistemov. Druga možnost za dokazovanje kaznivega dejanja po 306/6 KZ-1 pa bi bila npr. ko bi nekdo skušal vdreti v nek informacijski sistem, preiskovalci pa bi nato pri njem našli orodja za vdor in tudi dokazali, da jih je tudi uporabil. Pri preiskavah kiberkriminala namreč ne smemo pozabiti na povsem realno in v praksi tudi uporabljano možnost, da storilec najprej vdre na nek računalnik, na njega namesti orodja za nadaljnje vdore in nato od tam vdira dalje (gre za tehniko znano pod imenom looping).

Vsekakor je prepoved orodij, ki imajo možnost tim. dvojne rabe (npr. omenjeni nmap, ki omogoča varnosti pregled ali pa ga je mogoče smatrati kot pripomoček za vdor) nesmiselna in po mojem mnenju celo škodljiva. Nesmiselna pa je po mojem mnenju celo prepoved orodij, ki imajo jasen in očiten zlonameren namen, ki jih torej skoraj ni mogoče “dobronamerno” uporabljati. Tak primer je zlonamerna koda znana pod imenom “Aurora”. Gre za programsko kodo, s pomočjo katere so kitajski (zelo verjetno vladni) hekerji vdrli v nekaj storitev podjetja Google, zaradi česar je Google v sredini januarja letos napovedal, da bo razmislil o morebitnem umiku iz kitajskega trga. Varnostne analize so pokazale, da so napadalci uporabili do tedaj še neznano varnostno ranljivost v eni izmed različic brskalnika Internet Explorer, kmalu za tem pa so pri Metasploitu zlonamerno kodo, ki to ranljivost izkorišča, izdali kot del svoje zbirke. Čeprav je takšno ravnanje za koga morda moralno sporno, pa je dejstvo, da je to kodo mogoče uporabiti za preverjanje lastne varnosti. Poleg tega pa takšna javna objava odpira tudi možnosti za nadaljnja raziskovanja in izboljšanja splošne varnosti, kar se je v tem primeru tudi dejansko zgodilo, saj so varnostni strokovnjaki na ta način odkrili podobne do tedaj še neodkrite varnostne ranljivosti tudi v drugih različicah brskalnika Internet Explorer, proizvajalec (podjetje Microsoft) pa je dobil možnost varnostne ranljivosti pokrpati.

Vse to kaže, da je dikcija člena 306/3 KZ-1 morda premalo premišljena ali celo povsem nepotrebna, saj se ta določba v praksi verjetno skoraj ne bo uporabljala.

Vendar pa…

Kljub temu, da torej KZ-1 jasno govori o vdoru v informacijski sistem, pa je zanimivo, da je imel predlagatelj zakona očitno v mislih tudi neupravičen vstop v informacijski sistem. Predlog KZ-1, ki je bil objavljen v [Poročevalcu Državnega zbora Republike Slovenije, letnik XXXIV, št. 14](http://www.dz-rs.si/index.php?id=374&o=280&unid=PUB

952088D5F3DFA278C12573E10045336F), dne 31. januarja 2008 namreč kot pojasnilo k 221. členu na strani 176 navaja tole:

“Pri tem kaznivem dejanju pomeni izvršitveno dejanje že vsak neupravičen vstop v tujo zaščiteno računalniško bazo podatkov, hujša oblika pa je v manipulaciji s podatki v informacijskem sistemu.

Očitno je torej, da je predlagatelj zakona imel pri sestavljanju 221. člena v mislih neupravičen dostop, dejstvo pa je, da zakonodajalec tega ni zapisal, pač pa je kriminaliziral le vdor v informacijski sistem. Razlika je majhna, a pomembna.

Oglejmo si še naslednji teoretični primer. Zaposleni si na službeni računalnik namesti (predpostavimo, da ima na svojem službenem računalniku administratorske privilegije) programsko opremo za oddaljeni dostop do internega službenega omrežja (npr. VPN strežnik, preko katerega se nato od doma preko interneta poveže v interno službeno omrežje ter tako dostopa do internih službenih dokumentov). Dejstvo je, da zaposleni sicer ima pravico dostopati do internega službenega omrežja, vendar le iz službenega računalnika, ne od doma. Po drugi strani pa je jasno, da v opisanem primeru ni šlo za vdor, saj zaposleni ni npr. aktivno zaobšel neke ovire (npr. požarnega zidu ali si s kakšno zlonamerno programsko kodo neupravičeno dvignil privilegijev v svojem računalniku), pač pa si je le omogočil (neupravičen) dostop do službenega računalnika od doma.

V danem primeru torej ne moremo govoriti o vdoru v smislu člena 221/1 KZ-1, lahko pa govorimo o morebitni disciplinski odgovornosti zaposlenega (če seveda podjetje ima ustrezne interne akte, ki prepovedujejo takšno ravnanje) ter morebitni civilni odgovornosti zaposlenega.

Ker pa gre v opisanem primeru za poslovni informacijski sistem, bi morda lahko namestitev strežniškega programa za oddaljeni VPN dostop razumeli tudi kot neupravičeno spremembo informacijskega sistema ali neupravičen vnos kakšnega svojega podatka (čeprav ne gre za vnos podatka v klasičnem smislu, pač pa nalaganje programske kode) v smislu 237/1 člena KZ-1. Vendar pa ima ta člen tudi klavzulo in sicer velja le, če ima storilec namen, da bi “sebi ali komu drugemu pridobil protipravno premoženjsko korist ali drugemu povzročil premoženjsko škodo” ter, da je dejanje storjeno “pri gospodarskem poslovanju“, kar je seveda potrebno upoštevati pri presoji.

Je kriminalizacija neupravičenega vstopa v informacijski sistem sploh smiselna?

Če torej sklenemo, je predlagatelj KZ-1 pri pripravi 221. člena sicer imel v mislih kriminalizacijo tudi neupravičenega vstopa v informacijski sistem, vendar pa je dikcija člena 221/1 takšna, da je kriminaliziran le vdor v informacijski sistem. Kljub temu sem mnenja, da je takšna ureditev smiselna, saj kriminalizira le aktivno in zavestno protipravnost storilcev in posledično varuje le tiste osebe, ki so se (vsaj minimalno) potrudile svoje dobrine oziroma svoje informacijske sisteme zavarovati oz. zaščititi.

Drugačna ureditev bi namreč lahko odprla tudi vprašanje kriminalizacije neupravičenega dostopa do zaupnih dokumentov, informacij in informacijskih sistemov, ki jih upravitelji spletnih strani po pomoti ali iz malomarnosti javno objavijo na spletu oziroma omogočijo dostop do njih preko interneta. Gre za tim. Google hacking oz. nevidni splet, ki ga je mogoče “odkriti” s pomočjo spletnih iskalnikov.

Problem je novembra 2001 odkril francoski študent Vincent Gaillot (in ga izpostavil v sporočilu “How to use Google to find confidential informations“), kasneje pa se je bolj sistematično z iskanjem tovrstnih informacij pričel ukvarjati Johnny Long, ki je imel leta 2003 na varnostno-hekerski konferenci Defcon predstavitev z naslovom Target Exploitation via Public Search Engines, leta 2004 pa je o tej temi izdal knjigo Google Hacking for Penetration Testers ter na spletu vzpostavil posebno bazo iskalnih nizov, s katerimi je mogoče odkriti “skrite” informacije na internetu (tim. Google Hacking Database).

Kot rečeno, gre pri “Google hackingu” za to, da upravitelji spletnih strežnikov ali drugih informacijskih sistemov, npr. spletnih ali videonadzornih kamer, tiskalnikov, itd.) pomotoma ali iz malomarnosti omogočijo prost dostop do dokumentov, informacij ali celotnih informacijsko-komunikacijskih naprav. Z ustreznimi iskalnimi nizi, ki jih vpišemo v iskalnik Google, je takšne informacije mogoče odkriti in do dokumentov, naprav ali informacij dostopati.

Primer takega iskalnega niza je npr. naslednji: ocene filetype:xls site:uni-lj.si. Če omenjeni iskalni niz vpišemo v iskalnik Google, le-ta poišče vse dokumente (preglednice) tipa Excel (filetype:xls), ki se nahajajo na spletnem strežniku oz. podstrežnikih Univerze v Ljubljani (site:uni-lj.si) ter vsebujejo besedo “ocene“.

Navedeni iskalni niz je pred časom razkril osebne podatke študentov (imena, priimke, vpisne številke in ocene pri posameznih predmetih na eni izmed ljubljanskih fakultet; podatki niso več dostopni), pri čemer je nedvomno šlo za neustrezno zavarovanje osebnih podatkov in posledično kršitev Zakona o varstvu osebnih podatkov s strani upravljavca. S podobnimi iskalnimi nizi (npr. intitle:”View and Configure PhaserLink”) je mogoče odkriti tudi nezaščitene videonadzorne kamere, pa tudi številne druge naprave na internetu. V mnogih primerih je s tako odkritimi napravami mogoče tudi upravljati na daljavo.

Vprašanje, ki se zato zastavlja je, ali je smiselno takšno iskanje sicer javno objavljenih podatkov kriminalizirati – tudi, če je imel storilec namen takšne podatke ali naprave poiskati oz. do njih dostopati – saj je po drugi strani lastnik informacijskega sistema ravnal malomarno in se podatkov ni potrudil niti minimalno zavarovati, včasih pa tudi ni jasno ali lastnik dostopa do takih naprav (npr. kamer) ali dokumentov ni omogočil celo povsem zavestno. Če potegnemo analogijo s fizičnim svetom – kako presojati ravnanje posameznika, ki ob cesti najde raztreseno zdravstveno dokumentacijo, ki jo je na poti na uničenje izgubil malomarni voznik zdravstvenega doma? Je že sam vpogled v to izgubljeno dokumentacijo s strani posameznika kaznivo dejanje, je kazniva neupravičena uporaba (npr. objava v časopisu)? Kaj pa če pacient namenoma zavrže svojo lastno zdravstveno dokumentacijo? Vsekakor je Google hacking nekaj, do česar se bodo slovenska sodišča v prihodnosti morda morala opredeliti, dobro pa bi bilo, da bi se pri tem upoštevali tudi v tem članku navedeni razmisleki.