Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00350 010258 11215518 na godz. na dobę w sumie
Odpowiedzialność karna za hacking i inne przestępstwa przeciwko danym komputerowym i systemom informatycznym - ebook/pdf
Odpowiedzialność karna za hacking i inne przestępstwa przeciwko danym komputerowym i systemom informatycznym - ebook/pdf
Autor: Liczba stron:
Wydawca: Wolters Kluwer Język publikacji: polski
ISBN: 978-83-8092-212-9 Data wydania:
Lektor:
Kategoria: ebooki >> prawo i podatki >> karne
Porównaj ceny (książka, ebook, audiobook).
Filip Radoniewicz - doktor nauk prawnych, odbył aplikację radcowską zakończoną złożeniem egzaminu zawodowego; absolwent podyplomowych studiów: prawa Unii Europejskiej na Uniwersytecie Jagiellońskim, praw i wolności człowieka, współorganizowanych przez Instytut Nauk Prawnych PAN i Helsińską Fundację Praw Człowieka, oraz administrowania sieciami komputerowymi na Politechnice Lubelskiej; autor lub współautor około trzydziestu publikacji, przede wszystkim z zakresu szeroko rozumianego prawa karnego, prawa nowych technologii oraz praw człowieka.

Monografia, zważywszy na kompleksowe ujęcie omówionych problemów, stanowi pierwsze w polskiej nauce prawa karnego materialnego tak wyczerpujące opracowanie tematyki przestępstw przeciwko systemom informatycznym i danym komputerowym.
Publikacja zawiera:
? przydatną dla praktyki prezentację wyników badań empirycznych, obejmującą m.in. ocenę zapadłych w badanych postępowaniach decyzji procesowych i stosowanej kwalifikacji prawnej,
? analizę przepisów kodeksu karnego, regulacji międzynarodowych i unijnych oraz zagadnień prawnoporównawczych.
Autor uzupełnia rozważania przystępnym wyjaśnieniem podstaw funkcjonowania współczesnych systemów informatycznych oraz technicznych zagadnień związanych z popełnianiem przestępstw komputerowych przeciwko bezpieczeństwu informacji (czyli szeroko rozumianego hackingu).
Książka jest skierowana do przedstawicieli zawodów prawniczych, w szczególności prokuratorów, sędziów, radców prawnych i adwokatów, a także do pracowników organów ścigania. Będzie również przydatna dla osób zajmujących się teorią prawa oraz biorących udział w procesie jego tworzenia.
Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

odpowiedzialność karna za hacking i inne przestępstwa przeciwko danym komputerowym i systemom informatycznym Filip Radoniewicz MONOGRAFIE WARSZAWA 2016 Stan prawny na 15 listopada 2015 r. Recenzent Dr hab. Andrzej Adamski, prof. UMK Wydawca Monika Pawłowska Redaktor prowadzący Adam Choiński Opracowanie redakcyjne Katarzyna Paterak-Kondek Łamanie Wolters Kluwer Ta książka jest wspólnym dziełem twórcy i wydawcy. Prosimy, byś przestrzegał przysługujących im praw. Książkę możesz udostępnić osobom bliskim lub osobiście znanym, ale nie publikuj jej w internecie. Jeśli cytujesz fragmenty, nie zmieniaj ich treści i koniecznie zaznacz, czyje to dzieło. A jeśli musisz skopiować część, rób to jedynie na użytek osobisty. SZANUJMY PRAWO I WŁASNOŚĆ Więcej na www.legalnakultura.pl POLSKA IZBA KSIĄŻKI © Copyright by Wolters Kluwer SA, 2016 ISBN 978-83-264-9467-3 ISSN 1897-4392 Wydane przez: Wolters Kluwer SA Dział Praw Autorskich 01-208 Warszawa, ul. Przyokopowa 33 tel. 22 535 82 19 e-mail: ksiazki@wolterskluwer.pl www.wolterskluwer.pl księgarnia internetowa www.profi nfo.pl Książkę poświęcam żonie Monice, z podziękowaniem za wsparcie i wyrozumiałość Spis treści Wykaz skrótów ............................................................................................ 13 Wstęp ............................................................................................................. 21 Rozdział 1 Hacking – zagadnienia ogólne .................................................................. 27 1.1. Uwagi wstępne .................................................................................... 27 1.1.1. Zarys historii komputerów i sieci komputerowych .......... 27 1.1.2. Pojawienie się hackerów ........................................................ 31 1.1.3. Sprzęt komputerowy ............................................................. 32 1.2. Ogólne informacje o sieciach komputerowych .............................. 34 1.2.1. Kodowanie ............................................................................... 34 1.2.2. Składniki sieci ......................................................................... 35 1.2.2.1. Medium sieciowe .................................................... 36 1.2.2.2. Urządzenia sieciowe ............................................... 40 1.2.2.3. Oprogramowanie .................................................... 43 1.2.2.4. Metody dostępu do medium sieciowego ............ 43 1.2.3. Podział sieci komputerowych ............................................... 45 1.2.3.1. Podział sieci ze względu na zasięg ...................... 45 1.2.3.2. Podział sieci ze względu na sposób konfiguracji .............................................................. 46 1.2.4. Topologie sieciowe ................................................................. 48 1.2.5. Wąskopasmowe i szerokopasmowe technologie dostępowe ................................................................................ 51 1.2.6. Modele sieci ............................................................................. 53 1.2.7. Przesyłanie danych siecią ...................................................... 60 1.2.7.1. Protokoły .................................................................. 60 1.2.7.2. Adresy ...................................................................... 61 1.2.7.3. Routing ..................................................................... 64 1.2.7.4. Nazwy komputerów i adresy URL ...................... 67 7 Spis treści 1.2.8. Usługi sieciowe ....................................................................... 69 1.2.9. Sieci peer-to-peer ....................................................................... 72 1.3. Techniczne aspekty hackingu ........................................................... 74 1.3.1. Uwagi wstępne ....................................................................... 74 1.3.2. Przebieg ataku ......................................................................... 76 1.3.3. Czynności przygotowawcze ................................................. 77 1.3.4. Rodzaje ataków ....................................................................... 79 1.3.4.1. Złośliwe oprogramowanie .................................... 80 1.3.4.2. Przechwytywanie pakietów i analiza protokołów (sniffing) .............................................. 89 1.3.4.3. Spoofing ..................................................................... 92 1.3.4.4. Session hijacking ....................................................... 94 1.3.4.5. Pharming ................................................................... 95 1.3.4.6. Drive-by pharming .................................................... 96 1.3.4.7. Man-in-the-middle .................................................... 97 1.3.4.8. Wykorzystanie luk – manipulacja danymi wejściowymi ............................................................ 97 1.3.4.9. Wykorzystanie właściwości source routingu ....... 103 1.3.4.10. Łamanie haseł .......................................................... 103 1.3.4.11. Socjotechnika ........................................................... 105 1.3.4.12. Phishing ..................................................................... 107 1.3.4.13. Ataki odmowy usługi (DoS) ................................. 108 1.3.4.14. „Bomba mailowa” .................................................. 112 1.3.4.15. Bluejacking i bluehacking .......................................... 113 1.3.5. Czynności końcowe ................................................................ 113 1.3.6. Wykrywanie ataków i włamań ............................................ 114 1.3.7. Zabezpieczanie dowodów w postaci elektronicznej ......... 116 Rozdział 2 Wprowadzenie do problematyki przestępczości komputerowej ...... 119 2.1. Pojęcie przestępstwa komputerowego ............................................ 119 2.2. Klasyfikacja przestępstw komputerowych ..................................... 122 2.3. Wyzwania związane z pojawieniem się przestępczości komputerowej ...................................................................................... 128 2.4. Zarys historii kryminalizacji zjawiska przestępczości komputerowej ........................................................... 129 2.5. Wyjaśnienie podstawowych pojęć ................................................... 131 2.5.1. Pojęcie informacji .................................................................... 131 8 Spis treści 2.5.2. Informacja a dane ................................................................... 133 2.5.3. Program komputerowy ......................................................... 138 2.5.4. Poufność, integralność i dostępność danych komputerowych ...................................................................... 142 2.5.5. Społeczeństwo informacyjne i gospodarka oparta na wiedzy ................................................................................. 144 Rozdział 3 Inicjatywy międzynarodowe mające na celu zwalczanie cyberprzestępczości ..................................................................................... 146 3.1. Uwagi wstępne .................................................................................... 146 3.2. OECD .................................................................................................... 152 3.3. Rada Europy ........................................................................................ 157 3.3.1. Działania Rady Europy w okresie poprzedzającym przyjęcie Konwencji o cyberprzestępczości ........................ 157 3.3.2. Konwencja o cyberprzestępczości ........................................ 162 3.3.2.1. Uwagi wstępne ....................................................... 162 3.3.2.2. Terminologia ........................................................... 166 3.3.2.3. Uzyskanie bezprawnego dostępu do systemu komputerowego ...................................................... 170 3.3.2.4. Bezprawne przechwytywanie transmisji ............ 173 3.3.2.5. Bezprawna ingerencja w dane komputerowe .... 178 3.3.2.6. Bezprawna ingerencja w system komputerowy 180 3.3.2.7. „Nadużycie urządzeń” .......................................... 182 3.3.2.8. Formy zjawiskowe i stadialne ............................... 191 3.3.2.9. Sankcje ...................................................................... 192 3.3.2.10. Uwagi końcowe ...................................................... 193 Inne inicjatywy Rady Europy ............................................... 194 3.4. ONZ ...................................................................................................... 195 3.4.1. Uwagi wstępne ....................................................................... 195 3.4.2. Rezolucje Zgromadzenia Ogólnego ..................................... 196 3.4.3. Biuro ds. Narkotyków i Przestępczości ............................... 200 3.5. Międzynarodowy Związek Telekomunikacyjny (ITU) ................. 204 3.6. Grupa G7/G8 ........................................................................................ 209 3.7. Działalność organizacji pozarządowych ......................................... 213 3.3.3. 3.7.1. Międzynarodowa Organizacja Policji Kryminalnych – Interpol .................................................................................. 213 9 Spis treści 3.7.2. Międzynarodowe Stowarzyszenie Prawa Karnego – AIDP/IAPL ........................................................................... 217 3.7.3. EastWest Institute – EWI ....................................................... 219 3.7.4. Światowy Protokół dotyczący Cyberbezpieczeństwa i Cyberprzestępczości ............................................................ 220 Rozdział 4 Cyberprzestępczość w prawie Unii Europejskiej ................................. 224 4.1. Zagadnienia wstępne ......................................................................... 224 4.2. Akty niewiążące .................................................................................. 233 4.3. Program eEurope ................................................................................ 236 4.4. Decyzja ramowa Rady 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne ............................... 242 4.4.1. Uwagi wstępne ....................................................................... 242 4.4.2. Terminologia ........................................................................... 244 4.4.3. Typy czynów ........................................................................... 250 4.4.4. Formy zjawiskowe i stadialne .............................................. 251 4.4.5. Sankcje ...................................................................................... 252 4.4.6. Kwestie proceduralne ............................................................ 254 4.5. Dyrektywa Parlamentu Europejskiego i Rady 2013/40/UE z dnia 12 sierpnia 2013 r. dotycząca ataków na systemy informatyczne ...................................................................................... 256 4.5.1. Uwagi wstępne ....................................................................... 256 4.5.2. Typy czynów ........................................................................... 259 4.5.3. Formy zjawiskowe i stadialne .............................................. 264 4.5.4. Sankcje ...................................................................................... 266 4.5.5. Uwagi końcowe ...................................................................... 268 4.6. Działalność Unii Europejskiej a Konwencja o cyberprzestępczości ......................................................................... 269 Rozdział 5 Przestępstwa przeciwko danym komputerowym i systemom informatycznym w polskim kodeksie karnym ..................................... 271 5.1. Uwagi wstępne .................................................................................... 271 5.2. Artykuł 267 § 1 k.k. – nieuprawniony dostęp do informacji ........ 285 5.3. Artykuł 267 § 2 k.k. – nieuprawniony dostęp do systemu informatycznego ................................................................................. 295 10 Spis treści 5.4. Artykuł 267 § 3 k.k. – nielegalny podsłuch i inwigilacja za pomocą urządzeń technicznych i programów komputerowych . 303 5.5. Artykuł 267 § 4 k.k. – ujawnienie informacji uzyskanej nielegalnie ............................................................................................ 308 5.6. Artykuł 268 § 2 i 3 k.k. – naruszenie integralności zapisu informacji na informatycznym nośniku danych ............................ 310 5.7. Artykuł 268a k.k. – naruszenie integralności danych, utrudnianie dostępu do danych oraz zakłócanie ich przetwarzania ...................................................................................... 316 5.8. Artykuł 269 k.k. – sabotaż informatyczny ....................................... 322 5.9. Artykuł 269a k.k. – zakłócenie pracy systemu komputerowego lub sieci teleinformatycznej ............................................................... 327 5.10. Artykuł 269b k.k. – tzw. bezprawne wykorzystanie urządzeń, programów i danych .......................................................................... 330 5.11. Zbiegi przepisów i przestępstw ........................................................ 337 5.11.1. Uwagi ogólne .......................................................................... 337 5.11.2. Uwagi szczegółowe ................................................................ 341 5.12. Problematyka wymiaru kary ............................................................ 349 5.13. Tryb ścigania ........................................................................................ 353 5.14. Przepisy rozdziału XXXIII kodeksu karnego a postanowienia Konwencji o cyberprzestępczości oraz dyrektywy 2013/40 ......... 353 Rozdział 6 Uwagi prawnoporównawcze ..................................................................... 359 6.1. Uwagi wstępne .................................................................................... 359 6.2. Albania ................................................................................................. 362 6.3. Czechy .................................................................................................. 364 6.4. Estonia .................................................................................................. 370 6.5. Finlandia ............................................................................................... 372 6.6. Francja ................................................................................................... 377 6.7. Litwa ..................................................................................................... 381 6.8. Bułgaria ................................................................................................ 385 6.9. Hiszpania ............................................................................................. 389 6.10. Niemcy .................................................................................................. 394 6.11. Norwegia .............................................................................................. 398 6.12. Szwajcaria ............................................................................................. 400 6.13. Rosja ...................................................................................................... 402 6.14. Ukraina ................................................................................................. 404 11 Spis treści 6.15. Wielka Brytania ................................................................................... 408 6.16. Malta ..................................................................................................... 417 Rozdział 7 Zjawisko hackingu w Polsce ..................................................................... 422 7.1. Obraz statystyczny przestępczości komputerowej w Polsce ....... 422 7.2. Wyniki badań empirycznych – uwagi wprowadzające ................ 427 7.3. Sposób załatwienia spraw ................................................................. 428 7.3.1. Odmowa wszczęcia postępowania ...................................... 428 7.3.2. Umorzenie postępowania ..................................................... 430 7.3.3. „Inny sposób” załatwienia sprawy ...................................... 432 7.4. Wykrywalność ..................................................................................... 433 7.5. Kwalifikacje prawne ........................................................................... 434 7.6. Oskarżeni ............................................................................................. 440 7.7. Wymiar kary ........................................................................................ 442 7.8. Wybrane stany faktyczne ................................................................... 445 7.8.1. „Skasowane” dane .................................................................. 445 7.8.2. Przejęcie konta poczty elektronicznej, konta w komunikatorze internetowym oraz profilu na portalu społecznościowym ................................................................. 446 7.8.3. Atak DDoS na serwery sklepu internetowego ................... 447 7.8.4. Włamanie na konto poczty elektronicznej oraz zlikwidowanie profilu na portalu społecznościowym ..... 448 7.8.5. Nielegalne podłączenie się do sieci radiowej ..................... 448 7.8.6. Fałszywe konto na portalu społecznościowym ................. 449 7.8.7. „Kradzież” wirtualnych przedmiotów ............................... 450 7.8.8. Pharming ................................................................................... 451 7.8.9. Oszustwo na Allegro .............................................................. 452 7.8.10. Przejęcie profilu na portalu społecznościowym ................ 453 7.8.11. „Słup” ....................................................................................... 454 Uwagi końcowe ............................................................................................ 457 Bibliografia ................................................................................................... 467 Wykaz aktów prawnych ............................................................................. 483 Orzecznictwo ................................................................................................ 503 12 Wykaz skrótów Źródła prawa ACTA CMA Code Pénal d. TUE decyzja ramowa 2002/584 w sprawie ENA decyzja ramowa 2005/222 decyzja ramowa 2008/841 – – – – – – – Anti-Counterfeiting Trade Agreement (Umowa handlowa dotycząca zwalczania obrotu towarami podrabianymi) Computer Misuse Act 1990 (brytyjska ustawa o nad- użyciach komputerowych z 1990 r.) francuski kodeks karny z 1992 r. Traktat o Unii Europejskiej podpisany w Maastricht dnia 7 lutego 1992 r., w brzmieniu sprzed wejścia w życie Traktatu z Lizbony (wersja skonsolidowana uwzględniająca traktaty akcesyjne, które weszły w ży- cie w dniu 1 maja 2004 r. i 1 stycznia 2007 r.: Dz. Urz. UE C 321E z 29.12.2006 r., s. 5) decyzja ramowa Rady 2002/584/WSiSW z dnia 13 czerwca 2002 r. w sprawie europejskiego nakazu aresztowania i procedury wydawania osób między Państwami Członkowskimi (Dz. Urz. WE L 190 z 18.07.2002 r., s. 1) decyzja ramowa Rady 2005/222/WSiSW z dnia 24 lu- tego 2005 r. w sprawie ataków na systemy informa- tyczne (Dz. Urz. UE L 69 z 16.03.2005 r., s. 67) decyzja ramowa Rady 2008/841/WSiSW z dnia 24 paź- dziernika 2008 r. w sprawie zwalczania przestępczoś- ci zorganizowanej (Dz. Urz. UE L 300 z 11.11.2008 r., s. 42) 13 Wykaz skrótów dyrektywa 2013/40 – dyrektywa o handlu elektronicznym – – dyrektywa o prywatności i łączności elektronicznej dyrektywa ramowa – – – – – – EKPCz k.c. k.k. Konstytucja RP Konwencja o cyberprzestępczości 14 dyrektywa Parlamentu Europejskiego i Rady 2013/40/ UE z dnia 12 sierpnia 2013 r. dotycząca ataków na systemy informatyczne i zastepująca decyzję ramową Rady 2005/222/WSiSW (Dz. Urz. UE L 218 z 14.08.2013 r., s. 8) dyrektywa 2000/31/WE Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informa- cyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego (dyrektywa o handlu elektronicznym) (Dz. Urz. WE L 178 z 17.07.2000 r., s. 1) dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz. Urz. WE L 201 z 31.07.2002 r., s. 37) dyrektywa 2002/21/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicz- nej (dyrektywa ramowa) (Dz. Urz. WE L 108 z 24.04.2002 r., s. 33) Konwencja o ochronie praw człowieka i podstawo- wych wolności, sporządzona w Rzymie dnia 4 listo- pada 1950 r. (Dz. U. z 1993 r. Nr 61, poz. 284 z późn. zm.) ustawa z dnia 23 kwietnia 1964 r. – Kodeks cywilny (tekst jedn.: Dz. U. z 2014 r. poz. 121 z późn. zm.) ustawa z dnia 6 czerwca 1997 r. – Kodeks karny (Dz. U. Nr 88, poz. 553 z późn. zm.) Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwiet- nia 1997 r. (Dz. U. Nr 78, poz. 483 z późn. zm.) Konwencja Rady Europy o cyberprzestępczości, spo- rządzona w Budapeszcie dnia 23 listopada 2001 r. (Dz. U. z 2015 r. poz. 728) k.p.k. k.w. MPPOiP – – – nowelizacja z 2004 r. – nowelizacja z 2008 r. – pr. tel. Protokół dodatkowy do Konwencji o cyberprzestępczości RIPA rozporządzenie 460/2004 r.z.t.p. StGB – – – – – – Wykaz skrótów ustawa z dnia 6 czerwca 1997 r. – Kodeks postępowa- nia karnego (Dz. U. Nr 89, poz. 555 z późn. zm.) ustawa z dnia 20 maja 1971 r. – Kodeks wykroczeń (tekst jedn.: Dz. U. z 2015 r. poz. 1094 z późn. zm.) Międzynarodowy Pakt Praw Obywatelskich i Poli- tycznych otwarty do podpisu w Nowym Jorku dnia 19 grudnia 1966 r. (Dz. U. z 1977 r. Nr 38, poz. 167) ustawa z dnia 18 marca 2004 r. o zmianie ustawy – Kodeks karny, ustawy – Kodeks postępowania kar- nego oraz ustawy – Kodeks wykroczeń (Dz. U. Nr 69, poz. 626) ustawa z dnia 24 października 2008 r. o zmianie usta- wy – Kodeks karny oraz niektórych innych ustaw (Dz. U. Nr 214, poz. 1344) ustawa z dnia 16 lipca 2004 r. – Prawo telekomunika- cyjne (tekst jedn.: Dz. U. z 2014 r. poz. 243 z późn. zm.) Protokół dodatkowy do Konwencji Rady Europy o cy- berprzestępczości dotyczący penalizacji czynów o charakterze rasistowskim lub ksenofobicznym po- pełnionych przy użyciu systemów komputerowych, sporządzony w Strasburgu dnia 28 stycznia 2003 r. (Dz. U. z 2015 r. poz. 730) Regulation of Investigatory Powers Act 2000 (brytyj- ska ustawa o uregulowaniu środków śledczych z 2000 r.) rozporządzenie (WE) nr 460/2004/WE Parlamentu Eu- ropejskiego i Rady z dnia 10 marca 2004 r. ustanawia- jące Europejską Agencję ds. Bezpieczeństwa Sieci i In- formacji (Dz. Urz. UE L 77 z 13.03.2004 r., s. 1.) rozporządzenie Prezesa Rady Ministrów z dnia 20 czerwca 2002 r. w sprawie „Zasad techniki prawo- dawczej” (Dz. U. Nr 100, poz. 908 z późn. zm.) niemiecki kodeks karny (Strafgesetzbuch) z 1871 r. w wersji opublikowanej w dniu 13 listopada 1998 r. (BGBl. I S. 3322) 15 Wykaz skrótów TFUE Traktat Konstytucyjny Traktat z Amsterdamu – – – Traktat z Lizbony – Traktat z Maastricht – – – – – Traktat z Nicei TUE TWE u.i.d.p.p. 16 Traktat o funkcjonowaniu Unii Europejskiej (wersja skonsolidowana Dz. Urz. UE C 326 z 26.10.2012 r., s. 47, z późn. zm.) Traktat ustanawiający Konstytucję dla Europy (Wspólnoty Europejskiej) podpisany w Rzymie dnia 29 października 2004 r. (Dz. Urz. UE C 310 z 16.12.2004 r., s. 1) Traktat z Amsterdamu zmieniający Traktat o Unii Eu- ropejskiej, Traktaty ustanawiające Wspólnoty Euro- pejskie oraz niektóre związane z nimi akty podpisany w Amsterdamie dnia 2 października 1997 r. (Dz. Urz. WE C 340 z 10.11.1997 r., s. 1) Traktat z Lizbony zmieniający Traktat o Unii Euro- pejskiej i Traktat ustanawiający Wspólnotę Europej- ską podpisany w Lizbonie dnia 13 grudnia 2007 r. (Dz. Urz. UE C 306 z 17.12.2007 r., s. 1) Traktat o Unii Europejskiej podpisany w Maastricht dnia 7 lutego 1992 r. (w brzmieniu pierwotnym) (Dz. Urz. WE C 191 z 29.07.1992 r., s. 1) Traktat z Nicei zmieniający Traktat o Unii Europej- skiej, Traktaty ustanawiające Wspólnoty Europejskie oraz niektóre związane z nimi akty prawne podpisany w Nicei dnia 26 lutego 2001 r. (Dz. Urz. WE C 80 z 10.3.2001 r., s. 1) Traktat o Unii Europejskiej podpisany w Maastricht dnia 7 lutego 1992 r. (wersja skonsolidowana Dz. Urz. UE C 326 z 26.10.2012 r., s. 13, z późn. zm.) Traktat ustanawiający Wspólnotę Europejską z 25 marca 1957 r. (w brzmieniu bezpośrednio sprzed wejścia w życie Traktatu z Lizbony) (wersja skonsoli- dowana uwzględniająca traktaty akcesyjne, które weszły w życie w dniu 1 maja 2004 r. i 1 stycznia 2007 r., Dz. Urz. UE C 321E z 29.12.2006 r., s. 37) ustawa z dnia 17 lutego 2005 r. o informatyzacji dzia- łalności podmiotów realizujących zadania publiczne (tekst jedn.: Dz. U. z 2014 r. poz. 1114) u.o.d.o. USC u.ś.u.d.e. u.z.n.k. zalecenie (89) 9 zalecenie (92) 188 zalecenie (2002) 131 – – – – – – – Wykaz skrótów ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2015 r. poz. 1309 z późn. zm.) The Code of Laws of the United States of America (United States Code) (skodyfikowany zbiór prawa fe- deralnego obowiązującego w Stanach Zjednoczonych Ameryki) ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (tekst jedn.: Dz. U. z 2013 r. poz. 1422 z późn. zm.) ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nie- uczciwej konkurencji (tekst jedn.: Dz. U. z 2003 r. Nr 153, poz. 1503 z późn. zm.) zalecenie Komitetu Ministrów Rady Europy nr R (89) 9 z dnia 13 września 1989 r. w sprawie prze- stępstw komputerowych zalecenie Rady OECD C (92) 188 z dnia 26 listopada 1992 r. dotyczące wytycznych w zakresie bezpieczeń- stwa systemów informatycznych zalecenie Rady OECD C (2002) 131 z dnia 25 lipca 2002 r. w sprawie wytycznych w zakresie bezpieczeń- stwa systemów i sieci informatycznych: w kierunku kultury bezpieczeństwa Publikatory, czasopisma, zbiory orzecznictwa BGBl. CzPKiNP Dz. U. Dz. Urz. UE Dz. Urz. WE e-Biuletyn CBKE EP – – – – – – – Dziennik Urzędowy Republiki Federalnej Niemiec Czasopismo Prawa Karnego i Nauk Penalnych Dziennik Ustaw Dziennik Urzędowy Unii Europejskiej Dziennik Urzędowy Wspólnot Europejskich e-Biuletyn Centrum Badań Problemów Prawnych i Ekonomicznych Komunikacji Elektronicznej, Wy- dział Prawa, Administracji i Ekonomii, Uniwersytet Wrocławski Edukacja Prawnicza 17 Wykaz skrótów EPS M. Praw. OSNKW OSNwSK OSP OTK OTK-A PiP Prok. i Pr. PS St. Praw. WPP AIDP/AIPL ARPA CDPC CERN DARPA ECOSOC EFF EKES ETPCz ETS Eurojust Europol EWG 18 – – – – – – – – – – – – Europejski Przegląd Sądowy Monitor Prawniczy Orzecznictwo Sądu Najwyższego. Izba Karna i Woj- skowa Orzecznictwo Sądu Najwyższego w Sprawach Kar- nych Orzecznictwo Sądów Polskich Orzecznictwo Trybunału Konstytucyjnego Orzecznictwo Trybunału Konstytucyjnego, Zbiór Urzędowy, seria A Państwo i Prawo Prokuratura i Prawo Przegląd Sądowy Studia Prawnicze Wojskowy Przegląd Prawniczy Organizacje, instytucje, sądy i trybunały – – – – – – – – – – – – – Międzynarodowe Stowarzyszenie Prawa Karnego Agencja Zaawansowanych Projektów Badawczych (Advanced Research Project Agency) Europejski Komitet ds. Przestępczości (European Committee on Crime Problems) Europejska Organizacja Badań Jądrowych Agencja Zaawansowanych Projektów Badawczych w Obszarze Obronności (Defence Advanced Research Project Agency) Rada Gospodarcza i Społeczna ONZ Electronic Frontier Foundation Europejski Komitet Ekonomiczno-Społeczny Europejski Trybunał Praw Człowieka Europejski Trybunał Sprawiedliwości (od 1 grudnia 2009 r. Trybunał Sprawiedliwości Unii Europejskiej) Europejska Sieć Sądowa Europejski Urząd Policji Europejska Wspólnota Gospodarcza EWI ICCP Interpol ISO ITU NSA OECD SA SN TK UE WE AS CERT DDoS DoS Explanatory Report GCA Wykaz skrótów EastWest Institute Komitet ds. Polityki Informatyzacji, Komputeryzacji i Telekomunikacji (Committee on Information, Com- munications and Computer Policy – ICCP Commit- tee) Międzynarodowa Organizacja Policji Kryminalnych Międzynarodowa Organizacja Standaryzacyjna (ang. International Organization for Standarization, fr. Or- ganisation internationale de normalisation) Międzynarodowy Związek Telekomunikacyjny (In- ternational Telecommunication Union) Naczelny Sąd Administracyjny Organizacja Współpracy Gospodarczej i Rozwoju (ang. Organization for Economic Co-operation and Development) Sąd Apelacyjny Sąd Najwyższy Trybunał Konstytucyjny Unia Europejska Wspólnota Europejska Inne system autonomiczny (Autonomous System) zespół ds. reagowania na przypadki naruszenia bez- pieczeństwa teleinformatycznego (Computer Emer- gency Response Team) rozproszona odmowa usługi (distributed denial of service) odmowa usługi (denial of service) Komentarz do Konwencji o cyberprzestępczości (Ex- planatory Report to Convention on Cybercrime) Global Cybersecurity Agenda (Globalna Agenda na rzecz Cyberbezpieczeństwa) – – – – – – – – – – – – – – – – – – 19 Wykaz skrótów HLEG INGOs ITU Toolkit LEX p2p PWBiS Raport OECD WAP WPZiB WSiSW – – – – – – – – – – High-level expert group (grupa ekspertów wysokiego szczebla ds. spraw cyberbezpieczeństwa, powołana w ramach ITU) międzynarodowe organizacje pozarządowe (Interna- tional Non-Governmental Organizatons) ITU Toolkit for Cybercrime Legislation system informacji prawnej LEX sieci peer-to-peer Przestrzeń Wolności, Bezpieczeństwa i Sprawiedli- wości Computer-Related Crime. Analysis of legal policy in the OECD Area, ICCP Series nr 10, OECD, Paris 1986 Wireless Application Protocol Wspólna Polityka Zagraniczna i Bezpieczeństwa Wymiar Sprawiedliwości i Sprawy Wewnętrzne 20 Wstęp Od początku ubiegłego wieku mamy do czynienia z rozwojem techniki na niespotykaną wcześniej skalę. Jej gałęzią, która ostatnimi czasy rozwija się najprężniej, jest wkraczająca we wszystkie dziedziny życia szeroko ro- zumiana technologia informatyczna, a w szczególności teleinformatyka. Dzieje się tak przede wszystkim w związku z postępującą w ostatnich la- tach konwergencją informatyki i telekomunikacji, będącą następstwem rozwoju sieci komputerowych oraz Internetu, wymuszającego koniecz- ność zapewnienia szybkiego i efektywnego przetwarzania oraz przekazy- wania informacji, której rola niepomiernie wzrosła. Stała się ona nie tylko towarem, zyskując ogromne znaczenie ekonomiczne, ale także istotnym instrumentem w dziedzinie polityki i sprawowania władzy. Coraz częściej w związku z tym można spotkać się ze stwierdzeniem, że żyjemy w spo- łeczeństwie „rewolucji informacyjnej”, „informacyjnym”, a nawet „infor- matycznym”1. Oczywiście, proces ten, poza niewątpliwymi korzyściami, niesie za so- bą także zagrożenia. Janusz Barta i Ryszard Markiewicz porównują Inter- net do Dzikiego Zachodu, jako terenu, „gdzie prawa nie ma lub trudno je egzekwować”2. Nie ulega wątpliwości, że skonstruowanie regulacji za- pewniającej bezpieczeństwo przepływu informacji stanowi nie lada wy- zwanie dla tworzących prawo. Wyzwanie, co należy podkreślić, któremu ustawodawcom niełatwo podołać. Tematem niniejszego opracowania jest odpowiedzialność karna za przestępstwo hackingu. Już na samym wstępie należy poczynić istotną 1 Zob. P. Kardas, Prawnokarna ochrona informacji w polskim prawie karnym z perspektywy przestępstw komputerowych. Analiza dogmatyczna i strukturalna w świetle aktualnie obowiązującego stanu prawnego, CzPKiNP 2000, nr 1, s. 25–30; R. Skubisz, Internet – ku społeczeństwu przyszłości (w:) Internet 2000. Prawo – ekonomia – kultura, Lublin 1999, s. 9–12. 2 J. Barta, R. Markiewicz, Internet a prawo, Kraków 1998, s. 9. 21 Wstęp uwagę natury terminologicznej, dotyczącą rozumienia tego pojęcia. Kwes- tia ta zostanie omówiona obszerniej w rozdziale pierwszym, stanowiącym wprowadzenie do problematyki przestępczości komputerowej. W tym miejscu zasygnalizować jedynie należy, że obecnie termin ten rozumiany jest nieco szerzej, niż pierwotnie. Początkowo pojmowany był jako uzys- kiwanie nielegalnego dostępu do zasobów komputerów lub sieci kompu- terowych. „Współczesne” rozumienie tego terminu jest szersze, obejmuje wszelkie działania mające na celu zakłócenie funkcjonowania sieci, a więc zachowania stanowiące przestępstwa przeciwko bezpieczeństwu infor- macji we wszystkich jego aspektach (integralności, poufności i dostępnoś- ci)3. Problematyka przestępstw komputerowych przeciwko bezpieczeń- stwu informacji, mimo swojego wzrastającego znaczenia, nie cieszy się należytym zainteresowaniem doktryny. Zjawisko to w zasadzie nie do- czekało się również badań empirycznych4, stąd jego rzeczywista skala w Polsce nie była znana. Nawet analiza danych pochodzących z oficjalnych statystyk przestępczości ujawnionej (statystyka policyjna), których przed- miotem były przestępstwa stypizowane w art. 267–269b ustawy z dnia 3 Na marginesie warto zauważyć, iż zwykle w piśmiennictwie dla określenia sprawców prze- stępstw komputerowych, godzących w funkcjonowanie sieci komputerowych, używa się pojęcia „hackerzy”. Postępują tak nawet ci autorzy, którzy starają się przestrzegać wskazanej wyżej kon- wencji językowej i pod pojęciem hackingu rozumieją jedynie uzyskanie nielegalnego dostępu do systemu komputerowego (czy sieci komputerowej) lub danych komputerowych (zob. S.W. Brenner (w:) R.D. Clifford (red.), Cybercrime. The Investigation, Prosecution and Defense of a Computer-related Crime, Durham 2011, s. 18; J. Erickson, Hacking. Sztuka penetracji, Gliwice 2004, s. 9–13; D.L. Shinder, E. Tittel, Cyberprzestępczość. Jak walczyć z łamaniem prawa w sieci, Gliwice 2005, s. 301; U. Sieber, Przestępczość komputerowa a prawo karne informatyczne w międzynarodowym społeczeństwie informacji i ryzyka, Przegląd Policyjny 1995, nr 3, s. 12; M. Siwicki, Cyberprzestępczość, Warszawa 2013. s. 158). 4 Badania z tego zakresu przeprowadzili A. Adamski (Nadużycia komputerowe w Polsce w świetle wstępnych wyników badań wiktymizacyjnych (w:) A. Adamski (red.), Prawne aspekty nadużyć popełnia- nych z wykorzystaniem nowoczesnych technologii przetwarzania informacji. Materiały z konferencji nauko- wej, Poznań, 20–22 IV 1994, Toruń 1994, s. 33–52) oraz R.A. Stefański (Przestępstwa internetowe w Polsce. Analiza praktyki, St. Praw. 2005, z. 4, s. 121–128). Jednak przedmiotem badań A. Adamskiego była wiktymizacja (opierały się na analizie ankiet wypełnionych przez pokrzywdzonych) i przeprowa- dzone zostały w pierwszej połowie lat 90., a więc w okresie, gdy technologia informatyczna, a w związku z tym przestępczość komputerowa, jeszcze „raczkowały”. Natomiast badania prze- prowadzone przez R.A. Stefańskiego opierały się na analizie 619 wyselekcjonowanych akt spraw zarejestrowanych w latach 2001–2002, których przedmiotem była bardzo zróżnicowana grupa prze- stępstw („przestępstwa internetowe”), a co za tym idzie – przestępstwa przeciwko bezpieczeństwu danych komputerowych oraz systemów informatycznych stanowiły znikomy ich odsetek (23 spra- wy, tj. niespełna 4 ). 22 Wstęp 6 czerwca 1997 r. – Kodeks karny5, okazała się mało miarodajna (zob. roz- dział siódmy). W związku z powyższym celem niniejszego opracowania była w pierw- szej kolejności analiza przepisów art. 267–269b k.k., w których dokonano kryminalizacji przestępstw komputerowych przeciwko bezpieczeństwu informacji, z uwzględnieniem regulacji międzynarodowych i unijnych oraz rozwiązań obowiązujących w wybranych krajach europejskich. Jed- nocześnie stanowi ono próbę skonfrontowania polskich rozwiązań z wy- nikami badań empirycznych o zasięgu ogólnokrajowym, których przed- miotem była problematyka odpowiedzialności karnej za przestępstwo hackingu. Niniejsza monografia składa się ze wstępu, siedmiu rozdziałów i za- kończenia. Dwa pierwsze rozdziały mają charakter wprowadzający do omawianej problematyki, rozdział pierwszy jest ogólnym wprowadze- niem do tematyki hackingu, następne pięć ma charakter dogmatyczny, natomiast rozdział ostatni prezentuje wyniki badań empirycznych. Rozdział pierwszy, poza krótkim przedstawieniem historii sieci kom- puterowych oraz Internetu i jego ogólnej charakterystyki, zawiera podsta- wowe informacje mające przybliżyć zasady funkcjonowania sieci kompu- terowych, jak również zwięzłe omówienie technicznej strony przestęp- czości komputerowej, czyli metod stosowanych przez przestępców, zwa- nych potocznie hackerami. O ile celem rozdziału pierwszego jest ogólne wprowadzenie do tema- tyki hackingu poprzez przedstawienie podstawowych informacji na temat tego zjawiska oraz omówienie jego technicznych aspektów, o tyle rozdział drugi stanowi niejako właściwy wstęp do niniejszego opracowania. Przed- stawione w nim zostały próby zdefiniowania przestępstw komputero- wych i ich klasyfikacji, historia kryminalizacji tego zjawiska wraz z wią- żącymi się z tym trudnościami oraz wyjaśnienie podstawowych pojęć: in- formacji, danych komputerowych oraz programu komputerowego. W rozdziale trzecim omówione zostały najistotniejsze inicjatywy mię- dzynarodowe, których przedmiotem jest przestępczość komputerowa. Ich cechą charakterystyczną jest to, że mają charakter niewiążący. Wyjątek stanowi Konwencja Rady Europy o cyberprzestępczości, sporządzona w Budapeszcie dnia 23 listopada 2001 r.6, na którą został położony w związ- 5 Dz. U. Nr 88, poz. 553 z późn. zm. 6 Dz. U. z 2015 r. poz. 728. 23 Wstęp ku z tym szczególny nacisk. Poza tym aktem zostały zaprezentowane inne dokumenty oraz inicjatywy podejmowane przez organizacje międzyna- rodowe, zarówno rządowe (Organizacja Narodów Zjednoczonych, Mię- dzynarodowy Związek Telekomunikacyjny, Organizacja Współpracy Go- spodarczej i Rozwoju, Rada Europy, Grupa G7/G8), jak i pozarządowe (Międzynarodowa Organizacja Policji Kryminalnych, Międzynarodowe Stowarzyszenie Prawa Karnego, EastWest Institute). Działaniom Unii Europejskiej w zakresie zwalczania hackingu poświę- cony został rozdział czwarty. Rozwiązanie takie było podyktowane od- rębnością porządku prawnego Unii Europejskiej od prawa międzynaro- dowego oraz krajowego7. Omówione zostały przede wszystkim decyzja ramowa Rady 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne8 oraz – zastępująca ją – dyrektywa Parlamentu Europejskiego i Rady 2013/40/UE z dnia 12 sierpnia 2013 r. dotycząca ata- ków na systemy informatyczne i uchylająca decyzję ramową Rady 2005/222/WSiSW9. Rozdział piąty poświęcony jest polskiej regulacji karnej i zawiera omó- wienie znamion przestępstw komputerowych zawartych w rozdziale XXXIII kodeksu karnego: 1) uzyskania nieuprawnionego dostępu do informacji (art. 267 § 1 k.k.); 2) uzyskania nieuprawnionego dostępu do całości systemu informatycz- nego lub jego części (art. 267 § 2 k.k.); 3) nielegalnego podsłuchu i inwigilacji za pomocą urządzeń technicznych i programów komputerowych (art. 267 § 3 k.k.); 4) ujawnienia informacji uzyskanej nielegalnie (art. 267 § 4 k.k.); 5) naruszenia integralności zapisu informacji (art. 268 § 2 i 3 k.k.); 6) naruszenia integralności danych informatycznych, utrudniania dostę- pu do nich oraz zakłócania ich przetwarzania (art. 268a § 1 i 2 k.k.); 7) sabotażu informatycznego (art. 269 § 1 k.k.); 7 Wyroki ETS z dnia: 5 lutego 1963 r. w sprawie NV Algemene Transport en Expeditie Onderneming van Gend and Loos przeciwko Holenderskiej administracji celnej (26/62) oraz 15 lipca 1964 r. w sprawie Flaminio Costa przeciwko E.N.E.L. (6/64). Zob. szerzej np. J. Barcz, Charakter prawny i struktura Unii Europejskiej. Pojęcie prawa UE (w:) J. Barcz (red.), Prawo Unii Europejskiej. Zagadnienia systemowe, Warszawa 2006, s. 28; S. Biernat, Prawo Unii Europejskiej a prawo państw członkowskich (w:) J. Barcz (red.), Prawo Unii..., s. 253–254; A. Zawidzka-Łojek, Prawo Unii Europejskiej a prawo krajowe państw członkowskich (w:) J. Barcz (red.), Źródła prawa Unii Europejskiej, Warszawa 2012, s. 146–147. 8 Dz. Urz. UE L 69 z 16.03.2005 r., s. 67. 9 Dz. Urz. UE L 218 z 14.08.2013 r., s. 8. 24 Wstęp 8) zakłócenia pracy systemu komputerowego lub sieci teleinformatycznej (art. 269a k.k.); 9) tzw. bezprawnego wykorzystania urządzeń, programów i danych (art. 269b § 1 k.k.). Analiza obejmuje kolejno znamiona przedmiotu ochrony, strony przedmiotowej, podmiotu, strony podmiotowej każdego z nich. Przyjęcie takiego układu treści (niejako komentarzowego) podyktowane zostało po- trzebą zachowania odpowiedniej przejrzystości. Ta ostatnia uwaga odnosi się również do sposobu zaprezentowania problematyki zbiegu przepisów, zbiegu przestępstw, wymiaru kary oraz trybu ścigania omówionych w od- rębnych podrozdziałach, wspólnych dla wszystkich analizowanych prze- stępstw. W rozdziale szóstym zaprezentowano unormowania dotyczące prze- stępstw komputerowych obowiązujące w wybranych państwach europej- skich. Celem opracowania było wyróżnienie pewnych modeli kryminali- zacji tego zjawiska oraz przedstawienie wybranych krajowych unormo- wań, które z jednej strony byłyby typowe dla tychże modeli, a z drugiej – zawierałyby pewne odmienności czy oryginalne rozwiązania. Umieszcze- nie tego rozdziału w tym właśnie miejscu, a więc po rozdziale poświęco- nym polskiej regulacji, powinno dać czytelnikowi maksymalnie przejrzys- ty obraz omawianego tematu. W ostatnim rozdziale zaprezentowano wyniki badań empirycznych opartych na analizie akt 1163 postępowań przygotowawczych zarejestro- wanych w jednostkach organizacyjnych prokuratury całego kraju w latach 2009–2010. Celem badań było dokonanie oceny skali zjawiska hackingu w Polsce, jak również przyjmowanych kwalifikacji prawnych, sposobów zakończenia wszczętych postępowań oraz przyczyn odmowy ich wszczę- cia, a także rodzaju i wysokości orzekanych kar i środków karnych. Niniejsza monografia stanowi zmodyfikowaną i uaktualnioną wersję rozprawy doktorskiej obronionej przeze mnie w dniu 9 grudnia 2014 r. na Wydziale Prawa i Administracji Uniwersytetu Marii Curie-Skłodowskiej w Lublinie. Wybór jej tematu podyktowany był przede wszystkim moimi zainteresowaniami. Wyzwanie stanowiła także stosunkowa nowość pro- blematyki przestępstw komputerowych, ograniczona liczba publikacji po- 25 Wstęp święconych omawianym zagadnieniom, a wreszcie brak badań empirycz- nych, a nawet opracowań statystycznych10. W tym miejscu pragnę podziękować osobom, które miały niewątpliwy wpływ na ostateczny kształt pracy. Przede wszystkim Promotorowi – Panu prof. dr. hab. Markowi Mozgawie za sprawowaną opiekę merytoryczną oraz Recenzentom – Panu prof. dr. hab. Piotrowi Kardasowi oraz Panu prof. dr. hab. Jackowi Sobczakowi za cenne uwagi, a także Panu prof. dr. hab. Andrzejowi Siemaszce, wieloletniemu Dyrektorowi Instytutu Wy- miaru Sprawiedliwości, który umożliwił mi przeprowadzenie badań em- pirycznych stanowiących niezwykle istotny element niniejszego opraco- wania. Dziękuję również za przekazane uwagi i słowa zachęty autorowi re- cenzji wydawniczej Panu prof. dr. hab. Andrzejowi Adamskiemu. 10 Z danych zgromadzonych przez organy Policji, umieszczonych na stronie Komendy Głównej Policji, trudno wyciągnąć miarodajne wnioski (zob. uwagi na ten temat w rozdziale ostatnim). 26 Rozdział 1 Hacking – zagadnienia ogólne 1.1. Uwagi wstępne 1.1.1. Zarys historii komputerów i sieci komputerowych Gwałtowny rozwój sieci komputerowych, którego jednym z najważ- niejszych aspektów jest powstanie Internetu, miał miejsce w ciągu ostat- nich 30 lat. Początkowo trudno było bowiem sobie wyobrazić, że postęp techniczny stanie się aż tak intensywny. Pierwszy komputer powstał już w latach 40. ubiegłego wieku w Stanach Zjednoczonych. Zajmował on 139 m2, używał 17 tysięcy lamp próżniowych i wykonywał 1000 obliczeń na sekundę (dla porównania – obecnie przeciętny komputer osobisty wy- konuje w ciągu sekundy kilkaset milionów operacji). Pierwszym „komer- cyjnym komputerem” był UNIVAC (Universal Automatic Computer) skon- struowany w 1951 r.11 Na zakup komputerów produkowanych w latach 50. i 60. mogły sobie pozwolić instytucje rządowe oraz uczelnie. Przełom nastąpił w latach 70., kiedy na rynku pojawił się Altair 8800 dostępny dla przeciętnego obywatela w Stanach Zjednoczonych12. Następnie pojawiły się Atari, Commodore 64 i IBM PC. W latach 70. powstały też pierwsze sieci. Składały się one z głównego komputera (ang. mainframe) oraz połą- czonych z nim terminali, które korzystały z plików, programów i mocy obliczeniowej komputera mainframe. Bez niego były bezużyteczne. Wraz z pojawieniem się stosunkowo tanich komputerów osobistych zaistniała 11 Szerzej B. Gates, Droga ku przyszłości, Warszawa 1997, s. 1–72. Por. R. Skubisz, Internet – ku społeczeństwu przyszłości (w:) R. Skubisz (red.), Internet 2000, Lublin 1999, s. 7–9; J.W. Wójcik, Prze- stępstwa komputerowe, cz. 1, Fenomen cywilizacji, Warszawa 1999, s. 12–14. 12 B. Gates, Droga..., s. 17. 27 Rozdział 1. Hacking – zagadnienia ogólne możliwość wyposażenia każdego pracownika w taki właśnie sprzęt, a nie tylko terminal. Jednocześnie jednak użytkownicy stracili możliwość ko- rzystania z zasobów komputera głównego, a dane między sobą mogli wy- mieniać za pomocą fizycznych nośników (tzw. poczta per pedes). W celu rozwiązania tego problemu pod koniec lat 70. stworzono standard Ether- net umożliwiający łączenie ze sobą komputerów osobistych w sieć lokalną LAN (ang. Local Area Network). Obecnie jest to najpopularniejsza techno- logia stosowana w sieciach komputerowych13. W tym samym czasie zaczęły powstawać tzw. BBS-y14, czyli sieci po- wstałe z komputerów połączonych ze sobą przy pomocy modemów i linii telefonicznych; rozwijał się też już ARPANet – „poprzednik” Internetu. W 1957 r. w Stanach Zjednoczonych, w ramach Departamentu Obrony, powstała Agencja Zaawansowanych Projektów Badawczych (Advanced Research Project Agency)15. Pierwotnym celem ARPA była budowa sztucz- nego satelity. Szybko jednak Agencja zajęła się pracami nad rozwojem no- woczesnych technologii. Jednym z głównych zadań stało się utworzenie sieci komputerowej mającej połączyć uniwersytety i instytucje rządowe. Podstawowym założeniem, jakie przyświecało jej twórcom, było nadanie jej rozproszonego charakteru – skonstruowanie jej bez żadnego centralne- go punktu, by nawet w przypadku zniszczenia lub uszkodzenia fragmentu jej struktury, pozostała część mogła funkcjonować. W związku z tym dane nią przekazywane miały być dzielone na pakiety i przesyłane niezależnie, 13 D.L. Shinder, E. Tittel, Cyberprzestępczość. Jak walczyć z łamaniem prawa w sieci, Gliwice 2004, s. 70–71. 14 Najprostszy BBS to po prostu zwykły komputer osobisty, na którym zainstalowano odpo- wiednie oprogramowanie. Jego użytkownik udostępniał zasoby, umożliwiając korzystanie np. z po- czty elektronicznej, grup dyskusyjnych, gier czy wymianę plików. Aby móc skorzystać z danego BBS-u, należało znać jego numer telefonu i po prostu „zadzwonić”. Większość BBS-ów posiadała możliwość komunikowania się z innymi BBS-ami, co umożliwiało wymianę poczty i plików w skali świata. Bardzo szybko BBS-y zaczęły być używane do nielegalnych celów – udostępniano sobie programy hackerskie, rozpowszechniano pirackie oprogramowanie (głównie gry) oraz pornografię. Przykładowo – jak podaje A. Walczak-Żochowska – pierwszy serwis poświęcony w całości porno- grafii dziecięcej powstał już w 1982 r. (A. Walczak-Żochowska, Internet a seksualne wykorzystywanie dzieci (w:) P. Girdwoyń (red.), Prawo wobec nowoczesnych technologii, Warszawa 2008, s. 110). W cza- sach największego rozwoju liczba BBS-ów w samych Stanach Zjednoczonych wynosiła ponad 40.000. Obecnie ich znaczenie spadło praktycznie do zera, gdyż dostęp do Internetu stał się znacznie tańszy przy nieporównywalnie większych możliwościach. Por. P. Grabosky, R. Smith, Crime in the Digital Age: Controlling Telecommunications and Cyberspace Illegalities, Sydney 1998, s. 5–6; D.L. Shin- der, E. Tittel, Cyberprzestępczość..., s. 72. 15 Od 1972 r. Agencja Zaawansowanych Projektów Badawczych w Obszarze Obronności (De- fence Advanced Research Project Agency). 28 1.1. Uwagi wstępne nawet różnymi trasami, a po dotarciu do celu – składane w oparciu o in- formacje zawarte w ich nagłówkach (tzw. komutacja pakietów, ang. packet switching). Efektem podjętych prac był powstały w 1969 r. ARPANet16. W latach 70. pojawiła się poczta elektroniczna, pierwowzór dzisiejszego FTP (ang. File Transfer Protocol – protokół transferu plików), grupy dysku- syjne oraz gry dla wielu użytkowników. Cały czas jednak ARPANet og- raniczał się zasięgiem do uczelni i instytucji rządowych. Na początku lat 80. do ARPANetu było podłączonych 5000 hostów17, pod koniec dekady na- tomiast liczba ta wzrosła do 28.000. Niezwykle ważnym wydarzeniem na drodze budowania sieci otwartej (ang. open-architecture network environ- ment) i zacierania granic między różnymi sieciami (proces ten nazywano internetting18)19 było uznanie w 1982 r. opracowanego w latach 70. proto- kołu TCP/IP20 za wiodący standard w funkcjonowaniu sieci. W 1983 r. AR- PANet został podzielony na dwie części – Milnet (sieć wojskowa) i NSFNet (sieć cywilna), z której wykształcił się dzisiejszy Internet. W 1987 r. powstał DNS (ang. Domain Name System – system nazw domen), który jest proto- kołem, usługą i siecią serwerów służących zamianie mnemonicznych nazw urządzeń sieciowych (zarówno serwerów, jak i pojedynczych kompute- rów) na adresy IP zrozumiałe dla urządzeń, które tworzą sieć (np. www. sejm. gov. pl na 194.41.12.17). W 1992 r. zaczęła funkcjonować usługa World Wide Web (WWW). Dzięki zastosowaniu tzw. hiperlinków uczyniła ona Internet znacznie dostęp- niejszym, umożliwiając korzystanie z niego osobom nieposiadającym fa- chowych umiejętności. Czynnikiem dodatkowo ułatwiającym „surfowa- nie” było pojawienie się przeglądarek internetowych. Pierwszą był opra- cowany w 1993 r. Mosaic. Internet liczył wówczas już ponad milion hos- tów21. 16 P. Dawidziuk, B. Łącki, M.P. Stolarski, Sieć Internet – znaczenie dla nowoczesnego państwa oraz problemy bezpieczeństwa (w:) M. Madej, M. Terlikowski (red.), Bezpieczeństwo teleinformatyczne pań- stwa, Warszawa 2009, s. 42–43; D.L. Shinder, E. Tittel, Cyberprzestępczość..., s. 74–76. 17 Termin ten można spotkać w dwóch znaczeniach – komputer nadrzędny, udostępniający swoje zasoby innym (czyli serwer), albo po prostu urządzenie podłączone do sieci, posiadające numer IP (np. pojedynczy komputer). 18 Słowo „Internet” po raz pierwszy zostało użyte w 1974 r. przez V. Cerfa i B. Kahna w spo- rządzonym przez nich opracowaniu badawczym A Protocol for Packet Network Interconnection, do- tyczącym protokołu TCP (D.J. Bem, Tylko IP (w:) D.J. Bem (red.), Internet 2006, Wrocław 2007, s. 7). 19 K. Dobrzeniecki, Lex Informatica, Toruń 2008, s. 36. 20 Protokoły sieciowe są to zbiory reguł określających sposoby komunikowania się w sieci. Zob. szerzej pkt 1.2.6. 21 P. Dawidziuk, B. Łącki, M.P. Stolarski, Sieć Internet..., s. 42–43. 29 Rozdział 1. Hacking – zagadnienia ogólne W 1995 r. rozpoczęły działalność serwis aukcyjny eBay oraz księgarnia Amazon. Rok później zaczął działać Google, najpopularniejsza obecnie wyszukiwarka internetowa. Od 1998 r. rozwijana jest technologia WAP (ang. Wireless Application Protocol), umożliwiająca korzystanie z Internetu przy pomocy telefonów komórkowych. W 1999 r. powstał pierwszy (ist- niejący zresztą do dziś) bank internetowy – First Internet Bank of Indiana (www. firstib. com). Pod koniec lat 90. pojawiają się pierwsze sieci i tzw. programy peer-to-peer (p2p – np. Gnutella, Napster, Kazaa, BitTor- rent), umożliwiające użytkownikom Internetu wymianę plików na nie- spotykaną dotąd skalę. Od 2003 r. w Internecie obecny jest Skype – komu- nikator internetowy (IM – Instant Messenger) oparty na architekturze p2p22. W 2005 r. liczba użytkowników Internetu na świecie przekroczyła miliard, w 2007 r. wynosiła ok. 1,319 miliarda (co stanowiło wówczas 20 światowej populacji), a w 2010 r. – 1,6 miliarda23. Polska początkowo pozostawała na uboczu procesu tworzenia się i roz- woju Internetu24. Jako państwo socjalistyczne została objęta restrykcjami technologicznymi. Zniesiono je w latach 1990–1991. Pierwszym e-mailem przesłanym przez Internet z Polski była wiadomość z dnia 23 sierpnia 1991 r. (niezachowana niestety) wysłana do Hamburga. W 1992 r. powstał POLPAK – pierwsza polska sieć pakietowa. W 1994 r. pojawiły się listy dyskusyjne, a rok później – darmowe konta e-mail. Zaczęły też powstawać BBS-y (np. Bajtek BBS, CHIP BBS, UMCS Olimp BBS) oraz pierwsze strony internetowe25. 22 J. Gołaczyński, Umowy elektroniczne w prawie prywatnym międzynarodowym, Warszawa–Kra- ków 2007, s. 15; A. Kasprzak, K. Walkowiak, Ewolucja sieci Internet (w:) D.J. Bem (red.), Internet 2008, Wrocław 2009, s. 27. 23 Por. K. Dobrzeniecki, Lex Informatica..., s. 38–39; K.M. Rogers, The Internet and the Law, Houndmills, Basingstoke–New York 2011, s. 3–4. 24 Nie oznacza to oczywiście, że w dziedzinie informatyki panował w Polsce zastój. Wprost przeciwnie, mimo restrykcji tworzono przemysł komputerowy – w 1958 r. skonstruowano maszynę cyfrową XYZ, w 1963 r. podjęto seryjną produkcję komputerów UMC-1, a w 1964 r. – komputerów ODRA-1300. Zob. szerzej P. Sienkiewicz (w:) Społeczeństwo informacyjne: krok naprzód, dwa kroki wstecz, red. P. Sienkiewicz, J.S. Nowak, Katowice 2008, s. 15–23. 25 J. Gołaczyński, Umowy elektroniczne..., s. 19–20. 30 1.1.2. Pojawienie się hackerów 1.1. Uwagi wstępne O początkach hackingu można w zasadzie mówić już od momentu po- wstania pierwszych sieci telefonicznych, wtedy bowiem pojawili się tzw. phreakerzy (od ang. phone freak – „telefoniczny maniak”). Włamywali się oni do sieci telekomunikacyjnych, by móc nawiązywać darmowe po- łączenia. Inną grupą przestępców, którzy pojawili się w tym czasie, byli tzw. crackerzy (od ang. crack – łupać), którzy specjalizowali się w łamaniu zabezpieczeń systemów telekomunikacyjnych. Obecnie tego terminu uży- wa się głównie w stosunku do „łamaczy” haseł i zabezpieczeń. Obie wyżej wskazane grupy można uznać za poprzedników dzisiejszych hackerów26 (zresztą wielu z nich zaczynało właśnie w ten sposób swoją działalność). Początkowo termin „hacker” miał trochę inne znaczenie niż obecnie – oznaczał po prostu zdolnego programistę. Później, po zlaniu się w la- tach 70. subkultury hackerów z phreakerami, zaczął nabierać innego (bliż- szego dzisiejszemu) znaczenia – kogoś działającego w podziemiu, wła- mującego się do komputerów i sieci, często ze szlachetnych pobudek, a czasami po prostu dla zabawy i zdobycia sławy. Taki obraz w kulturze utrwaliły filmy (zwłaszcza Gry wojenne J. Badhama z 1983 r. czy Hakerzy I. Softleya z 1995 r.)27. Obecnie pod pojęciem „hacker” zwykle rozumie się osobę, która „sieje zamęt” w Internecie, czyli zarówno włamuje się do sieci komputerowych i komputerów, jak i działa w celu zakłócenia ich pracy28. W języku potocznym często określenie to używane jest dla generalnego określenia przestępców działających w Internecie, w tym internetowych oszustów. W związku z powyższym pojęcie „hacking” można rozumieć 26 Termin „hacker” pochodzi od ang. hack, którego używali w latach 60. studenci Massachusetts Institute of Technology na określenie pomysłowych żartów przez nich płatanych (za przykład po- daje się modyfikację panelu kontrolnego w windzie, w wyniku której po wciśnięciu przycisku od- noszącego się do wybranego numeru piętra winda jechała na zupełnie inne). Zob. S.W. Brenner, Cybercrime and the Law. Challenges. Issues, and Outcomes, Boston 2012, s. 16. 27 Por. S. Bukowski, Przestępstwo hackingu, PS 2006, nr 4, s. 134–137; B. Fischer, Przestępstwa komputerowe i ochrona informacji, Kraków 2000, s. 53–58; D.L. Shinder, E. Tittel, Cyberprzestępczość..., s. 65–78; J.W. Wójcik, Przestępstwa komputerowe, cz. 1..., s. 187–189. 28 Jednocześnie mamy do czynienia ze swego rodzaju paradoksem – nie ma już konieczności, by hacker, w takim rozumieniu, posiadał zaawansowane umiejętności jak jego poprzednik z wcześ- niejszych lat. Wystarczy, że pobierze z sieci odpowiedni program, który wszystkie czynności wy- kona za niego. Ukuty został nawet termin dla określenia takich osób – ang. script kiddies – czyli „dzieciaki skryptowe” (skrypt – program napisany w języku skryptowym, który wykonuje pewne działania wewnątrz innego programu – w uproszczeniu jest to niesamodzielny program, np. skryp- ty JavaScript na stronach WWW, makra w dokumentach MS Office). 31 Rozdział 1. Hacking – zagadnienia ogólne na kilka sposobów: jako hacking sensu stricto, czyli zachowanie polegające na uzyskaniu dostępu do systemu informatycznego lub danych kompu- terowych, hacking sensu largo, jako wszelkie zamachy na bezpieczeństwo systemów i danych informatycznych (czyli również np. zakłócenie pracy systemu informatycznego, modyfikację lub zniszczenie danych kompute- rowych), oraz w znaczeniu najszerszym, potocznym – jako zbiorcze okreś- lenie praktycznie wszystkich przestępstw popełnianych w sieci (oczywiś- cie z wyjątkiem np. rozpowszechniania pornografii czy naruszania praw autorskich). Przedmiotem niniejszego opracowania jest hacking sensu lar- go. 1.1.3. Sprzęt komputerowy Przeważającą grupę komputerów korzystających z sieci stanowią kom- putery osobiste (PC – ang. Personal Computer). Bez względu na typ i zasto- sowanie komputera, składa się on z pewnych podstawowych elementów, są to: 1) płyta główna (ang. Motherboard) – jest to główna jednostka sterująca komputera, do której podłączone są dodatkowe komponenty (procesor, pamięć ROM, pamięć RAM, karty rozszerzeń, zasilacz itd.) oraz – za pośrednictwem tzw. portów – urządzenia wejścia/wyjścia i peryferyj- ne. Elementem, który łączy ze sobą i z procesorem poszczególne części, jest szyna (ang. Bus); 2) procesor (CPU – od ang. Central Processing Unit – jednostka centralna) – zintegrowany układ scalony wykonujący wszystkie operacje na da- nych. Może wykonywać różne zadania, korzystając z zaprogramowa- nych instrukcji (rozkazów); 3) pamięć – dane w komputerze przechowywane są w pamięci (w spe- cjalnych chipach; nie należy mylić z pamięcią dyskową czy zewnętrz- ną). Wyróżniamy następujące rodzaje pamięci: a) pamięć operacyjna, czyli RAM (ang. Random Access Memory – pa- mięć o dostępie losowym; inaczej – pamięć o dostępie swobod- nym) – przechowywane są w niej dane i instrukcje bieżących pro- cesów; cechą charakterystyczną tej pamięci jest to, że w momencie wyłączenia zasilania dane w niej przechowywane są tracone; 32 1.1. Uwagi wstępne b) pamięć ROM (ang. Read Only Memory – pamięć tylko do odczytu) – przechowywane w niej są programy, które muszą być stale do- stępne, np. BIOS, czyli oprogramowanie płyty głównej; c) pamięć cache – jest szybsza i wydajniejsza od pamięci RAM, pro- cesor potrzebnych danych szuka wpierw w niej, dopiero później sięga do RAM; 4) urządzenia wejścia/wyjścia (urządzenia we/wy, urządzenia I/O) – służą do wprowadzania danych (np. klawiatura, skaner, myszka) lub ich „wyprowadzenia” (drukarka, monitor), mogą też pełnić obie te funkcje jednocześnie (np. karta sieciowa, modem). Urządzenia we/wy znajdu- jące się „poza obudową” nazywane są urządzeniami peryferyjnymi. Do przechowywania i przenoszenia danych służą nośniki trwałe. Na- zwa „trwałe” pochodzi od tego, że dane na tych nośnikach nie są tracone w momencie wyłączenia komputera. Podzielić je można na: 1) dyski twarde (HDD – ang. hard disk drive) – zbudowane są z okrągłych talerzy, ułożonych jeden nad drugim, na których dane zapisywane są z obu stron przez głowice elektromagnetyczne, które za pomocą im- pulsów elektromagnetycznych odpowiednio „magnesują” powierzch- nię dysku. Ponadto coraz częściej (zwłaszcza w tzw. ultrabookach) spotyka się zamiast tradycyjnych dysków twardych dyski SSD (ang. solid-state drive), działające na tej samej zasadzie co pamięci flash. Mają zwykle mniejszą pojemność niż klasyczne dyski twarde, ale są odpor- niejsze na czynniki zewnętrzne, a przede wszystkim – charakteryzuje je znacznie krótszy czas dostępu do danych29; 2) przenośne nośniki danych – jak sama nazwa wskazuje, można je prze- nieść, czyli odłączyć od napędu (urządzenia służącego do zapisu lub odczytu danych; w przypadku dysków twardych napęd i nośnik to jedna struktura). Można wyróżnić następujące ich rodzaje: a) dyskietki (ang. floppy) – obecnie niespotykane; najpopularniejszy- mi były 3,5 calowe o pojemności 1,44 MB; zbudowane są z pokry- tego materiałem magnetycznym krążka, umieszczonego w plasti- kowej obudowie; b) płyty CD i DVD (ang. Compact Disk, Digital Versatile Disc lub Digital Video Disc) – plastikowe dyski, pokryte materiałem metalicznym; 29 Istnieją jeszcze tzw. dyski hybrydowe, niezbyt ściśle nazywane też SSHD (od ang. Solid-state hybrid drive), składające się z „klasycznego” dysku twardego i modułu pamięci flash, dzięki czemu łączą zalety obu technologii, zapewniając jednocześnie dużą pojemność oraz prędkość zapisu i od- czytu danych. Zob. szerzej https:// en. wikipedia. org/ wiki/ Hybrid_ drive, data wejścia 19.10.2015 r. 33 Rozdział 1. Hacking – zagadnienia ogólne do odczytywania i zapisywania danych służy laser, stąd nazywane są nośnikami optycznymi; c) pamięć flash (ang. flash memory) – układy scalone przechowujące dane, występujące obecnie w dwóch zasadniczych postaciach: jako pamięci USB (tzw. pendrive y) oraz karty pamięci; d) nośniki magnetooptyczne (MO). Najpowszechniejszym urządzeniem służącym do komunikacji kom- putera z siecią jest karta sieciowa (NIC – Network Interface Card). W zasadzie wszystkie nowe komputery (zarówno przenośne, jak i stacjonarne) stan- dardowo wyposażone są we wbudowaną w płytę główną kartę sieciową Ethernet. Oczywiście kartę można zamontować w gnieździe rozszerzeń (PCI) płyty głównej lub podłączyć przez port USB. Kabel do niej podłą- czony jest poprzez gniazdo (najczęściej RJ-45). Ponadto do łączenia się z siecią mogą służyć modemy (w przypadku połączenia przez sieć telefo- niczną). Karta sieciowa, modem czy fizyczne interfejsy routera (porty) są prz
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Odpowiedzialność karna za hacking i inne przestępstwa przeciwko danym komputerowym i systemom informatycznym
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: