Filip Radoniewicz - doktor nauk prawnych, odbył aplikację radcowską zakończoną złożeniem egzaminu zawodowego; absolwent podyplomowych studiów: prawa Unii Europejskiej na Uniwersytecie Jagiellońskim, praw i wolności człowieka, współorganizowanych przez Instytut Nauk Prawnych PAN i Helsińską Fundację Praw Człowieka, oraz administrowania sieciami komputerowymi na Politechnice Lubelskiej; autor lub współautor około trzydziestu publikacji, przede wszystkim z zakresu szeroko rozumianego prawa karnego, prawa nowych technologii oraz praw człowieka. Monografia, zważywszy na kompleksowe ujęcie omówionych problemów, stanowi pierwsze w polskiej nauce prawa karnego materialnego tak wyczerpujące opracowanie tematyki przestępstw przeciwko systemom informatycznym i danym komputerowym. Publikacja zawiera: ? przydatną dla praktyki prezentację wyników badań empirycznych, obejmującą m.in. ocenę zapadłych w badanych postępowaniach decyzji procesowych i stosowanej kwalifikacji prawnej, ? analizę przepisów kodeksu karnego, regulacji międzynarodowych i unijnych oraz zagadnień prawnoporównawczych. Autor uzupełnia rozważania przystępnym wyjaśnieniem podstaw funkcjonowania współczesnych systemów informatycznych oraz technicznych zagadnień związanych z popełnianiem przestępstw komputerowych przeciwko bezpieczeństwu informacji (czyli szeroko rozumianego hackingu). Książka jest skierowana do przedstawicieli zawodów prawniczych, w szczególności prokuratorów, sędziów, radców prawnych i adwokatów, a także do pracowników organów ścigania. Będzie również przydatna dla osób zajmujących się teorią prawa oraz biorących udział w procesie jego tworzenia.
Darmowy fragment publikacji:
odpowiedzialność karna
za hacking
i inne przestępstwa przeciwko
danym komputerowym
i systemom informatycznym
Filip Radoniewicz
MONOGRAFIE
WARSZAWA 2016
Stan prawny na 15 listopada 2015 r.
Recenzent
Dr hab. Andrzej Adamski, prof. UMK
Wydawca
Monika Pawłowska
Redaktor prowadzący
Adam Choiński
Opracowanie redakcyjne
Katarzyna Paterak-Kondek
Łamanie
Wolters Kluwer
Ta książka jest wspólnym dziełem twórcy i wydawcy. Prosimy, byś przestrzegał przysługujących
im praw. Książkę możesz udostępnić osobom bliskim lub osobiście znanym, ale nie publikuj jej
w internecie. Jeśli cytujesz fragmenty, nie zmieniaj ich treści i koniecznie zaznacz, czyje to dzieło.
A jeśli musisz skopiować część, rób to jedynie na użytek osobisty.
SZANUJMY PRAWO I WŁASNOŚĆ
Więcej na www.legalnakultura.pl
POLSKA IZBA KSIĄŻKI
© Copyright by
Wolters Kluwer SA, 2016
ISBN 978-83-264-9467-3
ISSN 1897-4392
Wydane przez:
Wolters Kluwer SA
Dział Praw Autorskich
01-208 Warszawa, ul. Przyokopowa 33
tel. 22 535 82 19
e-mail: ksiazki@wolterskluwer.pl
www.wolterskluwer.pl
księgarnia internetowa www.profi nfo.pl
Książkę poświęcam żonie Monice,
z podziękowaniem za wsparcie i wyrozumiałość
Spis treści
Wykaz skrótów ............................................................................................ 13
Wstęp ............................................................................................................. 21
Rozdział 1
Hacking – zagadnienia ogólne .................................................................. 27
1.1. Uwagi wstępne .................................................................................... 27
1.1.1. Zarys historii komputerów i sieci komputerowych .......... 27
1.1.2. Pojawienie się hackerów ........................................................ 31
1.1.3. Sprzęt komputerowy ............................................................. 32
1.2. Ogólne informacje o sieciach komputerowych .............................. 34
1.2.1. Kodowanie ............................................................................... 34
1.2.2. Składniki sieci ......................................................................... 35
1.2.2.1. Medium sieciowe .................................................... 36
1.2.2.2. Urządzenia sieciowe ............................................... 40
1.2.2.3. Oprogramowanie .................................................... 43
1.2.2.4. Metody dostępu do medium sieciowego ............ 43
1.2.3. Podział sieci komputerowych ............................................... 45
1.2.3.1. Podział sieci ze względu na zasięg ...................... 45
1.2.3.2. Podział sieci ze względu na sposób
konfiguracji .............................................................. 46
1.2.4. Topologie sieciowe ................................................................. 48
1.2.5. Wąskopasmowe i szerokopasmowe technologie
dostępowe ................................................................................ 51
1.2.6. Modele sieci ............................................................................. 53
1.2.7. Przesyłanie danych siecią ...................................................... 60
1.2.7.1. Protokoły .................................................................. 60
1.2.7.2. Adresy ...................................................................... 61
1.2.7.3. Routing ..................................................................... 64
1.2.7.4. Nazwy komputerów i adresy URL ...................... 67
7
Spis treści
1.2.8. Usługi sieciowe ....................................................................... 69
1.2.9. Sieci peer-to-peer ....................................................................... 72
1.3. Techniczne aspekty hackingu ........................................................... 74
1.3.1. Uwagi wstępne ....................................................................... 74
1.3.2. Przebieg ataku ......................................................................... 76
1.3.3. Czynności przygotowawcze ................................................. 77
1.3.4. Rodzaje ataków ....................................................................... 79
1.3.4.1. Złośliwe oprogramowanie .................................... 80
1.3.4.2. Przechwytywanie pakietów i analiza
protokołów (sniffing) .............................................. 89
1.3.4.3. Spoofing ..................................................................... 92
1.3.4.4. Session hijacking ....................................................... 94
1.3.4.5. Pharming ................................................................... 95
1.3.4.6. Drive-by pharming .................................................... 96
1.3.4.7. Man-in-the-middle .................................................... 97
1.3.4.8. Wykorzystanie luk – manipulacja danymi
wejściowymi ............................................................ 97
1.3.4.9. Wykorzystanie właściwości source routingu ....... 103
1.3.4.10. Łamanie haseł .......................................................... 103
1.3.4.11. Socjotechnika ........................................................... 105
1.3.4.12. Phishing ..................................................................... 107
1.3.4.13. Ataki odmowy usługi (DoS) ................................. 108
1.3.4.14. „Bomba mailowa” .................................................. 112
1.3.4.15. Bluejacking i bluehacking .......................................... 113
1.3.5. Czynności końcowe ................................................................ 113
1.3.6. Wykrywanie ataków i włamań ............................................ 114
1.3.7. Zabezpieczanie dowodów w postaci elektronicznej ......... 116
Rozdział 2
Wprowadzenie do problematyki przestępczości komputerowej ...... 119
2.1. Pojęcie przestępstwa komputerowego ............................................ 119
2.2. Klasyfikacja przestępstw komputerowych ..................................... 122
2.3. Wyzwania związane z pojawieniem się przestępczości
komputerowej ...................................................................................... 128
2.4. Zarys historii kryminalizacji zjawiska
przestępczości komputerowej ........................................................... 129
2.5. Wyjaśnienie podstawowych pojęć ................................................... 131
2.5.1. Pojęcie informacji .................................................................... 131
8
Spis treści
2.5.2.
Informacja a dane ................................................................... 133
2.5.3. Program komputerowy ......................................................... 138
2.5.4. Poufność, integralność i dostępność danych
komputerowych ...................................................................... 142
2.5.5. Społeczeństwo informacyjne i gospodarka oparta
na wiedzy ................................................................................. 144
Rozdział 3
Inicjatywy międzynarodowe mające na celu zwalczanie
cyberprzestępczości ..................................................................................... 146
3.1. Uwagi wstępne .................................................................................... 146
3.2. OECD .................................................................................................... 152
3.3. Rada Europy ........................................................................................ 157
3.3.1. Działania Rady Europy w okresie poprzedzającym
przyjęcie Konwencji o cyberprzestępczości ........................ 157
3.3.2. Konwencja o cyberprzestępczości ........................................ 162
3.3.2.1. Uwagi wstępne ....................................................... 162
3.3.2.2. Terminologia ........................................................... 166
3.3.2.3. Uzyskanie bezprawnego dostępu do systemu
komputerowego ...................................................... 170
3.3.2.4. Bezprawne przechwytywanie transmisji ............ 173
3.3.2.5. Bezprawna ingerencja w dane komputerowe .... 178
3.3.2.6. Bezprawna ingerencja w system komputerowy 180
3.3.2.7. „Nadużycie urządzeń” .......................................... 182
3.3.2.8. Formy zjawiskowe i stadialne ............................... 191
3.3.2.9. Sankcje ...................................................................... 192
3.3.2.10. Uwagi końcowe ...................................................... 193
Inne inicjatywy Rady Europy ............................................... 194
3.4. ONZ ...................................................................................................... 195
3.4.1. Uwagi wstępne ....................................................................... 195
3.4.2. Rezolucje Zgromadzenia Ogólnego ..................................... 196
3.4.3. Biuro ds. Narkotyków i Przestępczości ............................... 200
3.5. Międzynarodowy Związek Telekomunikacyjny (ITU) ................. 204
3.6. Grupa G7/G8 ........................................................................................ 209
3.7. Działalność organizacji pozarządowych ......................................... 213
3.3.3.
3.7.1. Międzynarodowa Organizacja Policji Kryminalnych
– Interpol .................................................................................. 213
9
Spis treści
3.7.2. Międzynarodowe Stowarzyszenie Prawa Karnego
– AIDP/IAPL ........................................................................... 217
3.7.3. EastWest Institute – EWI ....................................................... 219
3.7.4. Światowy Protokół dotyczący Cyberbezpieczeństwa
i Cyberprzestępczości ............................................................ 220
Rozdział 4
Cyberprzestępczość w prawie Unii Europejskiej ................................. 224
4.1. Zagadnienia wstępne ......................................................................... 224
4.2. Akty niewiążące .................................................................................. 233
4.3. Program eEurope ................................................................................ 236
4.4. Decyzja ramowa Rady 2005/222/WSiSW z dnia 24 lutego 2005 r.
w sprawie ataków na systemy informatyczne ............................... 242
4.4.1. Uwagi wstępne ....................................................................... 242
4.4.2. Terminologia ........................................................................... 244
4.4.3. Typy czynów ........................................................................... 250
4.4.4. Formy zjawiskowe i stadialne .............................................. 251
4.4.5. Sankcje ...................................................................................... 252
4.4.6. Kwestie proceduralne ............................................................ 254
4.5. Dyrektywa Parlamentu Europejskiego i Rady 2013/40/UE
z dnia 12 sierpnia 2013 r. dotycząca ataków na systemy
informatyczne ...................................................................................... 256
4.5.1. Uwagi wstępne ....................................................................... 256
4.5.2. Typy czynów ........................................................................... 259
4.5.3. Formy zjawiskowe i stadialne .............................................. 264
4.5.4. Sankcje ...................................................................................... 266
4.5.5. Uwagi końcowe ...................................................................... 268
4.6. Działalność Unii Europejskiej a Konwencja
o cyberprzestępczości ......................................................................... 269
Rozdział 5
Przestępstwa przeciwko danym komputerowym i systemom
informatycznym w polskim kodeksie karnym ..................................... 271
5.1. Uwagi wstępne .................................................................................... 271
5.2. Artykuł 267 § 1 k.k. – nieuprawniony dostęp do informacji ........ 285
5.3. Artykuł 267 § 2 k.k. – nieuprawniony dostęp do systemu
informatycznego ................................................................................. 295
10
Spis treści
5.4. Artykuł 267 § 3 k.k. – nielegalny podsłuch i inwigilacja za
pomocą urządzeń technicznych i programów komputerowych . 303
5.5. Artykuł 267 § 4 k.k. – ujawnienie informacji uzyskanej
nielegalnie ............................................................................................ 308
5.6. Artykuł 268 § 2 i 3 k.k. – naruszenie integralności zapisu
informacji na informatycznym nośniku danych ............................ 310
5.7. Artykuł 268a k.k. – naruszenie integralności danych,
utrudnianie dostępu do danych oraz zakłócanie ich
przetwarzania ...................................................................................... 316
5.8. Artykuł 269 k.k. – sabotaż informatyczny ....................................... 322
5.9. Artykuł 269a k.k. – zakłócenie pracy systemu komputerowego
lub sieci teleinformatycznej ............................................................... 327
5.10. Artykuł 269b k.k. – tzw. bezprawne wykorzystanie urządzeń,
programów i danych .......................................................................... 330
5.11. Zbiegi przepisów i przestępstw ........................................................ 337
5.11.1. Uwagi ogólne .......................................................................... 337
5.11.2. Uwagi szczegółowe ................................................................ 341
5.12. Problematyka wymiaru kary ............................................................ 349
5.13. Tryb ścigania ........................................................................................ 353
5.14. Przepisy rozdziału XXXIII kodeksu karnego a postanowienia
Konwencji o cyberprzestępczości oraz dyrektywy 2013/40 ......... 353
Rozdział 6
Uwagi prawnoporównawcze ..................................................................... 359
6.1. Uwagi wstępne .................................................................................... 359
6.2. Albania ................................................................................................. 362
6.3. Czechy .................................................................................................. 364
6.4. Estonia .................................................................................................. 370
6.5. Finlandia ............................................................................................... 372
6.6. Francja ................................................................................................... 377
6.7. Litwa ..................................................................................................... 381
6.8. Bułgaria ................................................................................................ 385
6.9. Hiszpania ............................................................................................. 389
6.10. Niemcy .................................................................................................. 394
6.11. Norwegia .............................................................................................. 398
6.12. Szwajcaria ............................................................................................. 400
6.13. Rosja ...................................................................................................... 402
6.14. Ukraina ................................................................................................. 404
11
Spis treści
6.15. Wielka Brytania ................................................................................... 408
6.16. Malta ..................................................................................................... 417
Rozdział 7
Zjawisko hackingu w Polsce ..................................................................... 422
7.1. Obraz statystyczny przestępczości komputerowej w Polsce ....... 422
7.2. Wyniki badań empirycznych – uwagi wprowadzające ................ 427
7.3. Sposób załatwienia spraw ................................................................. 428
7.3.1. Odmowa wszczęcia postępowania ...................................... 428
7.3.2. Umorzenie postępowania ..................................................... 430
7.3.3. „Inny sposób” załatwienia sprawy ...................................... 432
7.4. Wykrywalność ..................................................................................... 433
7.5. Kwalifikacje prawne ........................................................................... 434
7.6. Oskarżeni ............................................................................................. 440
7.7. Wymiar kary ........................................................................................ 442
7.8. Wybrane stany faktyczne ................................................................... 445
7.8.1. „Skasowane” dane .................................................................. 445
7.8.2. Przejęcie konta poczty elektronicznej, konta
w komunikatorze internetowym oraz profilu na portalu
społecznościowym ................................................................. 446
7.8.3. Atak DDoS na serwery sklepu internetowego ................... 447
7.8.4. Włamanie na konto poczty elektronicznej oraz
zlikwidowanie profilu na portalu społecznościowym ..... 448
7.8.5. Nielegalne podłączenie się do sieci radiowej ..................... 448
7.8.6. Fałszywe konto na portalu społecznościowym ................. 449
7.8.7. „Kradzież” wirtualnych przedmiotów ............................... 450
7.8.8. Pharming ................................................................................... 451
7.8.9. Oszustwo na Allegro .............................................................. 452
7.8.10. Przejęcie profilu na portalu społecznościowym ................ 453
7.8.11. „Słup” ....................................................................................... 454
Uwagi końcowe ............................................................................................ 457
Bibliografia ................................................................................................... 467
Wykaz aktów prawnych ............................................................................. 483
Orzecznictwo ................................................................................................ 503
12
Wykaz skrótów
Źródła prawa
ACTA
CMA
Code Pénal
d. TUE
decyzja ramowa
2002/584 w sprawie
ENA
decyzja ramowa
2005/222
decyzja ramowa
2008/841
–
–
–
–
–
–
–
Anti-Counterfeiting Trade Agreement
(Umowa
handlowa dotycząca zwalczania obrotu towarami
podrabianymi)
Computer Misuse Act 1990 (brytyjska ustawa o nad-
użyciach komputerowych z 1990 r.)
francuski kodeks karny z 1992 r.
Traktat o Unii Europejskiej podpisany w Maastricht
dnia 7 lutego 1992 r., w brzmieniu sprzed wejścia
w życie Traktatu z Lizbony (wersja skonsolidowana
uwzględniająca traktaty akcesyjne, które weszły w ży-
cie w dniu 1 maja 2004 r. i 1 stycznia 2007 r.: Dz. Urz.
UE C 321E z 29.12.2006 r., s. 5)
decyzja ramowa Rady 2002/584/WSiSW z dnia
13 czerwca 2002 r. w sprawie europejskiego nakazu
aresztowania i procedury wydawania osób między
Państwami Członkowskimi (Dz. Urz. WE L 190
z 18.07.2002 r., s. 1)
decyzja ramowa Rady 2005/222/WSiSW z dnia 24 lu-
tego 2005 r. w sprawie ataków na systemy informa-
tyczne (Dz. Urz. UE L 69 z 16.03.2005 r., s. 67)
decyzja ramowa Rady 2008/841/WSiSW z dnia 24 paź-
dziernika 2008 r. w sprawie zwalczania przestępczoś-
ci zorganizowanej (Dz. Urz. UE L 300 z 11.11.2008 r.,
s. 42)
13
Wykaz skrótów
dyrektywa 2013/40
–
dyrektywa o handlu
elektronicznym
–
–
dyrektywa
o prywatności
i łączności
elektronicznej
dyrektywa ramowa
–
–
–
–
–
–
EKPCz
k.c.
k.k.
Konstytucja RP
Konwencja
o cyberprzestępczości
14
dyrektywa Parlamentu Europejskiego i Rady 2013/40/
UE z dnia 12 sierpnia 2013 r. dotycząca ataków na
systemy informatyczne i zastepująca decyzję ramową
Rady 2005/222/WSiSW
(Dz. Urz. UE L 218
z 14.08.2013 r., s. 8)
dyrektywa 2000/31/WE Parlamentu Europejskiego
i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych
aspektów prawnych usług społeczeństwa informa-
cyjnego, w szczególności handlu elektronicznego
w ramach rynku wewnętrznego (dyrektywa o handlu
elektronicznym) (Dz. Urz. WE L 178 z 17.07.2000 r.,
s. 1)
dyrektywa 2002/58/WE Parlamentu Europejskiego
i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania
danych osobowych i ochrony prywatności w sektorze
łączności elektronicznej (dyrektywa o prywatności
i łączności elektronicznej) (Dz. Urz. WE L 201
z 31.07.2002 r., s. 37)
dyrektywa 2002/21/WE Parlamentu Europejskiego
i Rady z dnia 7 marca 2002 r. w sprawie wspólnych
ram regulacyjnych sieci i usług łączności elektronicz-
nej (dyrektywa ramowa) (Dz. Urz. WE L 108
z 24.04.2002 r., s. 33)
Konwencja o ochronie praw człowieka i podstawo-
wych wolności, sporządzona w Rzymie dnia 4 listo-
pada 1950 r. (Dz. U. z 1993 r. Nr 61, poz. 284
z późn. zm.)
ustawa z dnia 23 kwietnia 1964 r. – Kodeks cywilny
(tekst jedn.: Dz. U. z 2014 r. poz. 121 z późn. zm.)
ustawa z dnia 6 czerwca 1997 r. – Kodeks karny (Dz. U.
Nr 88, poz. 553 z późn. zm.)
Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwiet-
nia 1997 r. (Dz. U. Nr 78, poz. 483 z późn. zm.)
Konwencja Rady Europy o cyberprzestępczości, spo-
rządzona w Budapeszcie dnia 23 listopada 2001 r.
(Dz. U. z 2015 r. poz. 728)
k.p.k.
k.w.
MPPOiP
–
–
–
nowelizacja z 2004 r. –
nowelizacja z 2008 r. –
pr. tel.
Protokół dodatkowy
do Konwencji
o cyberprzestępczości
RIPA
rozporządzenie
460/2004
r.z.t.p.
StGB
–
–
–
–
–
–
Wykaz skrótów
ustawa z dnia 6 czerwca 1997 r. – Kodeks postępowa-
nia karnego (Dz. U. Nr 89, poz. 555 z późn. zm.)
ustawa z dnia 20 maja 1971 r. – Kodeks wykroczeń
(tekst jedn.: Dz. U. z 2015 r. poz. 1094 z późn. zm.)
Międzynarodowy Pakt Praw Obywatelskich i Poli-
tycznych otwarty do podpisu w Nowym Jorku dnia
19 grudnia 1966 r. (Dz. U. z 1977 r. Nr 38, poz. 167)
ustawa z dnia 18 marca 2004 r. o zmianie ustawy –
Kodeks karny, ustawy – Kodeks postępowania kar-
nego oraz ustawy – Kodeks wykroczeń (Dz. U. Nr 69,
poz. 626)
ustawa z dnia 24 października 2008 r. o zmianie usta-
wy – Kodeks karny oraz niektórych innych ustaw
(Dz. U. Nr 214, poz. 1344)
ustawa z dnia 16 lipca 2004 r. – Prawo telekomunika-
cyjne (tekst jedn.: Dz. U. z 2014 r. poz. 243 z późn. zm.)
Protokół dodatkowy do Konwencji Rady Europy o cy-
berprzestępczości dotyczący penalizacji czynów
o charakterze rasistowskim lub ksenofobicznym po-
pełnionych przy użyciu systemów komputerowych,
sporządzony w Strasburgu dnia 28 stycznia 2003 r.
(Dz. U. z 2015 r. poz. 730)
Regulation of Investigatory Powers Act 2000 (brytyj-
ska ustawa o uregulowaniu środków śledczych
z 2000 r.)
rozporządzenie (WE) nr 460/2004/WE Parlamentu Eu-
ropejskiego i Rady z dnia 10 marca 2004 r. ustanawia-
jące Europejską Agencję ds. Bezpieczeństwa Sieci i In-
formacji (Dz. Urz. UE L 77 z 13.03.2004 r., s. 1.)
rozporządzenie Prezesa Rady Ministrów z dnia
20 czerwca 2002 r. w sprawie „Zasad techniki prawo-
dawczej” (Dz. U. Nr 100, poz. 908 z późn. zm.)
niemiecki kodeks karny (Strafgesetzbuch) z 1871 r.
w wersji opublikowanej w dniu 13 listopada 1998 r.
(BGBl. I S. 3322)
15
Wykaz skrótów
TFUE
Traktat
Konstytucyjny
Traktat
z Amsterdamu
–
–
–
Traktat z Lizbony
–
Traktat z Maastricht –
–
–
–
–
Traktat z Nicei
TUE
TWE
u.i.d.p.p.
16
Traktat o funkcjonowaniu Unii Europejskiej (wersja
skonsolidowana Dz. Urz. UE C 326 z 26.10.2012 r.,
s. 47, z późn. zm.)
Traktat ustanawiający Konstytucję dla Europy
(Wspólnoty Europejskiej) podpisany w Rzymie dnia
29 października 2004 r. (Dz. Urz. UE C 310
z 16.12.2004 r., s. 1)
Traktat z Amsterdamu zmieniający Traktat o Unii Eu-
ropejskiej, Traktaty ustanawiające Wspólnoty Euro-
pejskie oraz niektóre związane z nimi akty podpisany
w Amsterdamie dnia 2 października 1997 r. (Dz. Urz.
WE C 340 z 10.11.1997 r., s. 1)
Traktat z Lizbony zmieniający Traktat o Unii Euro-
pejskiej i Traktat ustanawiający Wspólnotę Europej-
ską podpisany w Lizbonie dnia 13 grudnia 2007 r.
(Dz. Urz. UE C 306 z 17.12.2007 r., s. 1)
Traktat o Unii Europejskiej podpisany w Maastricht
dnia 7 lutego 1992 r. (w brzmieniu pierwotnym)
(Dz. Urz. WE C 191 z 29.07.1992 r., s. 1)
Traktat z Nicei zmieniający Traktat o Unii Europej-
skiej, Traktaty ustanawiające Wspólnoty Europejskie
oraz niektóre związane z nimi akty prawne podpisany
w Nicei dnia 26 lutego 2001 r. (Dz. Urz. WE C 80
z 10.3.2001 r., s. 1)
Traktat o Unii Europejskiej podpisany w Maastricht
dnia 7 lutego 1992 r. (wersja skonsolidowana Dz. Urz.
UE C 326 z 26.10.2012 r., s. 13, z późn. zm.)
Traktat ustanawiający Wspólnotę Europejską
z 25 marca 1957 r. (w brzmieniu bezpośrednio sprzed
wejścia w życie Traktatu z Lizbony) (wersja skonsoli-
dowana uwzględniająca traktaty akcesyjne, które
weszły w życie w dniu 1 maja 2004 r. i 1 stycznia
2007 r., Dz. Urz. UE C 321E z 29.12.2006 r., s. 37)
ustawa z dnia 17 lutego 2005 r. o informatyzacji dzia-
łalności podmiotów realizujących zadania publiczne
(tekst jedn.: Dz. U. z 2014 r. poz. 1114)
u.o.d.o.
USC
u.ś.u.d.e.
u.z.n.k.
zalecenie (89) 9
zalecenie (92) 188
zalecenie (2002) 131
–
–
–
–
–
–
–
Wykaz skrótów
ustawa z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (tekst jedn.: Dz. U. z 2015 r. poz. 1309
z późn. zm.)
The Code of Laws of the United States of America
(United States Code) (skodyfikowany zbiór prawa fe-
deralnego obowiązującego w Stanach Zjednoczonych
Ameryki)
ustawa z dnia 18 lipca 2002 r. o świadczeniu usług
drogą elektroniczną (tekst jedn.: Dz. U. z 2013 r.
poz. 1422 z późn. zm.)
ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nie-
uczciwej konkurencji (tekst jedn.: Dz. U. z 2003 r.
Nr 153, poz. 1503 z późn. zm.)
zalecenie Komitetu Ministrów Rady Europy
nr R (89) 9 z dnia 13 września 1989 r. w sprawie prze-
stępstw komputerowych
zalecenie Rady OECD C (92) 188 z dnia 26 listopada
1992 r. dotyczące wytycznych w zakresie bezpieczeń-
stwa systemów informatycznych
zalecenie Rady OECD C (2002) 131 z dnia 25 lipca
2002 r. w sprawie wytycznych w zakresie bezpieczeń-
stwa systemów i sieci informatycznych: w kierunku
kultury bezpieczeństwa
Publikatory, czasopisma, zbiory orzecznictwa
BGBl.
CzPKiNP
Dz. U.
Dz. Urz. UE
Dz. Urz. WE
e-Biuletyn CBKE
EP
–
–
–
–
–
–
–
Dziennik Urzędowy Republiki Federalnej Niemiec
Czasopismo Prawa Karnego i Nauk Penalnych
Dziennik Ustaw
Dziennik Urzędowy Unii Europejskiej
Dziennik Urzędowy Wspólnot Europejskich
e-Biuletyn Centrum Badań Problemów Prawnych
i Ekonomicznych Komunikacji Elektronicznej, Wy-
dział Prawa, Administracji i Ekonomii, Uniwersytet
Wrocławski
Edukacja Prawnicza
17
Wykaz skrótów
EPS
M. Praw.
OSNKW
OSNwSK
OSP
OTK
OTK-A
PiP
Prok. i Pr.
PS
St. Praw.
WPP
AIDP/AIPL
ARPA
CDPC
CERN
DARPA
ECOSOC
EFF
EKES
ETPCz
ETS
Eurojust
Europol
EWG
18
–
–
–
–
–
–
–
–
–
–
–
–
Europejski Przegląd Sądowy
Monitor Prawniczy
Orzecznictwo Sądu Najwyższego. Izba Karna i Woj-
skowa
Orzecznictwo Sądu Najwyższego w Sprawach Kar-
nych
Orzecznictwo Sądów Polskich
Orzecznictwo Trybunału Konstytucyjnego
Orzecznictwo Trybunału Konstytucyjnego, Zbiór
Urzędowy, seria A
Państwo i Prawo
Prokuratura i Prawo
Przegląd Sądowy
Studia Prawnicze
Wojskowy Przegląd Prawniczy
Organizacje, instytucje, sądy i trybunały
–
–
–
–
–
–
–
–
–
–
–
–
–
Międzynarodowe Stowarzyszenie Prawa Karnego
Agencja Zaawansowanych Projektów Badawczych
(Advanced Research Project Agency)
Europejski Komitet ds. Przestępczości (European
Committee on Crime Problems)
Europejska Organizacja Badań Jądrowych
Agencja Zaawansowanych Projektów Badawczych
w Obszarze Obronności (Defence Advanced Research
Project Agency)
Rada Gospodarcza i Społeczna ONZ
Electronic Frontier Foundation
Europejski Komitet Ekonomiczno-Społeczny
Europejski Trybunał Praw Człowieka
Europejski Trybunał Sprawiedliwości (od 1 grudnia
2009 r. Trybunał Sprawiedliwości Unii Europejskiej)
Europejska Sieć Sądowa
Europejski Urząd Policji
Europejska Wspólnota Gospodarcza
EWI
ICCP
Interpol
ISO
ITU
NSA
OECD
SA
SN
TK
UE
WE
AS
CERT
DDoS
DoS
Explanatory Report
GCA
Wykaz skrótów
EastWest Institute
Komitet ds. Polityki Informatyzacji, Komputeryzacji
i Telekomunikacji (Committee on Information, Com-
munications and Computer Policy – ICCP Commit-
tee)
Międzynarodowa Organizacja Policji Kryminalnych
Międzynarodowa Organizacja Standaryzacyjna (ang.
International Organization for Standarization, fr. Or-
ganisation internationale de normalisation)
Międzynarodowy Związek Telekomunikacyjny (In-
ternational Telecommunication Union)
Naczelny Sąd Administracyjny
Organizacja Współpracy Gospodarczej i Rozwoju
(ang. Organization for Economic Co-operation and
Development)
Sąd Apelacyjny
Sąd Najwyższy
Trybunał Konstytucyjny
Unia Europejska
Wspólnota Europejska
Inne
system autonomiczny (Autonomous System)
zespół ds. reagowania na przypadki naruszenia bez-
pieczeństwa teleinformatycznego (Computer Emer-
gency Response Team)
rozproszona odmowa usługi (distributed denial of
service)
odmowa usługi (denial of service)
Komentarz do Konwencji o cyberprzestępczości (Ex-
planatory Report to Convention on Cybercrime)
Global Cybersecurity Agenda (Globalna Agenda na
rzecz Cyberbezpieczeństwa)
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
19
Wykaz skrótów
HLEG
INGOs
ITU Toolkit
LEX
p2p
PWBiS
Raport OECD
WAP
WPZiB
WSiSW
–
–
–
–
–
–
–
–
–
–
High-level expert group (grupa ekspertów wysokiego
szczebla ds. spraw cyberbezpieczeństwa, powołana
w ramach ITU)
międzynarodowe organizacje pozarządowe (Interna-
tional Non-Governmental Organizatons)
ITU Toolkit for Cybercrime Legislation
system informacji prawnej LEX
sieci peer-to-peer
Przestrzeń Wolności, Bezpieczeństwa i Sprawiedli-
wości
Computer-Related Crime. Analysis of legal policy in
the OECD Area, ICCP Series nr 10, OECD, Paris 1986
Wireless Application Protocol
Wspólna Polityka Zagraniczna i Bezpieczeństwa
Wymiar Sprawiedliwości i Sprawy Wewnętrzne
20
Wstęp
Od początku ubiegłego wieku mamy do czynienia z rozwojem techniki
na niespotykaną wcześniej skalę. Jej gałęzią, która ostatnimi czasy rozwija
się najprężniej, jest wkraczająca we wszystkie dziedziny życia szeroko ro-
zumiana technologia informatyczna, a w szczególności teleinformatyka.
Dzieje się tak przede wszystkim w związku z postępującą w ostatnich la-
tach konwergencją informatyki i telekomunikacji, będącą następstwem
rozwoju sieci komputerowych oraz Internetu, wymuszającego koniecz-
ność zapewnienia szybkiego i efektywnego przetwarzania oraz przekazy-
wania informacji, której rola niepomiernie wzrosła. Stała się ona nie tylko
towarem, zyskując ogromne znaczenie ekonomiczne, ale także istotnym
instrumentem w dziedzinie polityki i sprawowania władzy. Coraz częściej
w związku z tym można spotkać się ze stwierdzeniem, że żyjemy w spo-
łeczeństwie „rewolucji informacyjnej”, „informacyjnym”, a nawet „infor-
matycznym”1.
Oczywiście, proces ten, poza niewątpliwymi korzyściami, niesie za so-
bą także zagrożenia. Janusz Barta i Ryszard Markiewicz porównują Inter-
net do Dzikiego Zachodu, jako terenu, „gdzie prawa nie ma lub trudno je
egzekwować”2. Nie ulega wątpliwości, że skonstruowanie regulacji za-
pewniającej bezpieczeństwo przepływu informacji stanowi nie lada wy-
zwanie dla tworzących prawo. Wyzwanie, co należy podkreślić, któremu
ustawodawcom niełatwo podołać.
Tematem niniejszego opracowania jest odpowiedzialność karna za
przestępstwo hackingu. Już na samym wstępie należy poczynić istotną
1 Zob. P. Kardas, Prawnokarna ochrona informacji w polskim prawie karnym z perspektywy przestępstw
komputerowych. Analiza dogmatyczna i strukturalna w świetle aktualnie obowiązującego stanu prawnego,
CzPKiNP 2000, nr 1, s. 25–30; R. Skubisz, Internet – ku społeczeństwu przyszłości (w:) Internet 2000.
Prawo – ekonomia – kultura, Lublin 1999, s. 9–12.
2 J. Barta, R. Markiewicz, Internet a prawo, Kraków 1998, s. 9.
21
Wstęp
uwagę natury terminologicznej, dotyczącą rozumienia tego pojęcia. Kwes-
tia ta zostanie omówiona obszerniej w rozdziale pierwszym, stanowiącym
wprowadzenie do problematyki przestępczości komputerowej. W tym
miejscu zasygnalizować jedynie należy, że obecnie termin ten rozumiany
jest nieco szerzej, niż pierwotnie. Początkowo pojmowany był jako uzys-
kiwanie nielegalnego dostępu do zasobów komputerów lub sieci kompu-
terowych. „Współczesne” rozumienie tego terminu jest szersze, obejmuje
wszelkie działania mające na celu zakłócenie funkcjonowania sieci, a więc
zachowania stanowiące przestępstwa przeciwko bezpieczeństwu infor-
macji we wszystkich jego aspektach (integralności, poufności i dostępnoś-
ci)3.
Problematyka przestępstw komputerowych przeciwko bezpieczeń-
stwu informacji, mimo swojego wzrastającego znaczenia, nie cieszy się
należytym zainteresowaniem doktryny. Zjawisko to w zasadzie nie do-
czekało się również badań empirycznych4, stąd jego rzeczywista skala
w Polsce nie była znana. Nawet analiza danych pochodzących z oficjalnych
statystyk przestępczości ujawnionej (statystyka policyjna), których przed-
miotem były przestępstwa stypizowane w art. 267–269b ustawy z dnia
3 Na marginesie warto zauważyć, iż zwykle w piśmiennictwie dla określenia sprawców prze-
stępstw komputerowych, godzących w funkcjonowanie sieci komputerowych, używa się pojęcia
„hackerzy”. Postępują tak nawet ci autorzy, którzy starają się przestrzegać wskazanej wyżej kon-
wencji językowej i pod pojęciem hackingu rozumieją jedynie uzyskanie nielegalnego dostępu do
systemu komputerowego (czy sieci komputerowej) lub danych komputerowych (zob. S.W. Brenner
(w:) R.D. Clifford (red.), Cybercrime. The Investigation, Prosecution and Defense of a Computer-related
Crime, Durham 2011, s. 18; J. Erickson, Hacking. Sztuka penetracji, Gliwice 2004, s. 9–13; D.L. Shinder,
E. Tittel, Cyberprzestępczość. Jak walczyć z łamaniem prawa w sieci, Gliwice 2005, s. 301; U. Sieber,
Przestępczość komputerowa a prawo karne informatyczne w międzynarodowym społeczeństwie informacji
i ryzyka, Przegląd Policyjny 1995, nr 3, s. 12; M. Siwicki, Cyberprzestępczość, Warszawa 2013. s. 158).
4 Badania z tego zakresu przeprowadzili A. Adamski (Nadużycia komputerowe w Polsce w świetle
wstępnych wyników badań wiktymizacyjnych (w:) A. Adamski (red.), Prawne aspekty nadużyć popełnia-
nych z wykorzystaniem nowoczesnych technologii przetwarzania informacji. Materiały z konferencji nauko-
wej, Poznań, 20–22 IV 1994, Toruń 1994, s. 33–52) oraz R.A. Stefański (Przestępstwa internetowe w Polsce.
Analiza praktyki, St. Praw. 2005, z. 4, s. 121–128). Jednak przedmiotem badań A. Adamskiego była
wiktymizacja (opierały się na analizie ankiet wypełnionych przez pokrzywdzonych) i przeprowa-
dzone zostały w pierwszej połowie lat 90., a więc w okresie, gdy technologia informatyczna,
a w związku z tym przestępczość komputerowa, jeszcze „raczkowały”. Natomiast badania prze-
prowadzone przez R.A. Stefańskiego opierały się na analizie 619 wyselekcjonowanych akt spraw
zarejestrowanych w latach 2001–2002, których przedmiotem była bardzo zróżnicowana grupa prze-
stępstw („przestępstwa internetowe”), a co za tym idzie – przestępstwa przeciwko bezpieczeństwu
danych komputerowych oraz systemów informatycznych stanowiły znikomy ich odsetek (23 spra-
wy, tj. niespełna 4 ).
22
Wstęp
6 czerwca 1997 r. – Kodeks karny5, okazała się mało miarodajna (zob. roz-
dział siódmy).
W związku z powyższym celem niniejszego opracowania była w pierw-
szej kolejności analiza przepisów art. 267–269b k.k., w których dokonano
kryminalizacji przestępstw komputerowych przeciwko bezpieczeństwu
informacji, z uwzględnieniem regulacji międzynarodowych i unijnych
oraz rozwiązań obowiązujących w wybranych krajach europejskich. Jed-
nocześnie stanowi ono próbę skonfrontowania polskich rozwiązań z wy-
nikami badań empirycznych o zasięgu ogólnokrajowym, których przed-
miotem była problematyka odpowiedzialności karnej za przestępstwo
hackingu.
Niniejsza monografia składa się ze wstępu, siedmiu rozdziałów i za-
kończenia. Dwa pierwsze rozdziały mają charakter wprowadzający do
omawianej problematyki, rozdział pierwszy jest ogólnym wprowadze-
niem do tematyki hackingu, następne pięć ma charakter dogmatyczny,
natomiast rozdział ostatni prezentuje wyniki badań empirycznych.
Rozdział pierwszy, poza krótkim przedstawieniem historii sieci kom-
puterowych oraz Internetu i jego ogólnej charakterystyki, zawiera podsta-
wowe informacje mające przybliżyć zasady funkcjonowania sieci kompu-
terowych, jak również zwięzłe omówienie technicznej strony przestęp-
czości komputerowej, czyli metod stosowanych przez przestępców, zwa-
nych potocznie hackerami.
O ile celem rozdziału pierwszego jest ogólne wprowadzenie do tema-
tyki hackingu poprzez przedstawienie podstawowych informacji na temat
tego zjawiska oraz omówienie jego technicznych aspektów, o tyle rozdział
drugi stanowi niejako właściwy wstęp do niniejszego opracowania. Przed-
stawione w nim zostały próby zdefiniowania przestępstw komputero-
wych i ich klasyfikacji, historia kryminalizacji tego zjawiska wraz z wią-
żącymi się z tym trudnościami oraz wyjaśnienie podstawowych pojęć: in-
formacji, danych komputerowych oraz programu komputerowego.
W rozdziale trzecim omówione zostały najistotniejsze inicjatywy mię-
dzynarodowe, których przedmiotem jest przestępczość komputerowa. Ich
cechą charakterystyczną jest to, że mają charakter niewiążący. Wyjątek
stanowi Konwencja Rady Europy o cyberprzestępczości, sporządzona
w Budapeszcie dnia 23 listopada 2001 r.6, na którą został położony w związ-
5 Dz. U. Nr 88, poz. 553 z późn. zm.
6 Dz. U. z 2015 r. poz. 728.
23
Wstęp
ku z tym szczególny nacisk. Poza tym aktem zostały zaprezentowane inne
dokumenty oraz inicjatywy podejmowane przez organizacje międzyna-
rodowe, zarówno rządowe (Organizacja Narodów Zjednoczonych, Mię-
dzynarodowy Związek Telekomunikacyjny, Organizacja Współpracy Go-
spodarczej i Rozwoju, Rada Europy, Grupa G7/G8), jak i pozarządowe
(Międzynarodowa Organizacja Policji Kryminalnych, Międzynarodowe
Stowarzyszenie Prawa Karnego, EastWest Institute).
Działaniom Unii Europejskiej w zakresie zwalczania hackingu poświę-
cony został rozdział czwarty. Rozwiązanie takie było podyktowane od-
rębnością porządku prawnego Unii Europejskiej od prawa międzynaro-
dowego oraz krajowego7. Omówione zostały przede wszystkim decyzja
ramowa Rady 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków
na systemy informatyczne8 oraz – zastępująca ją – dyrektywa Parlamentu
Europejskiego i Rady 2013/40/UE z dnia 12 sierpnia 2013 r. dotycząca ata-
ków na systemy informatyczne i uchylająca decyzję ramową Rady
2005/222/WSiSW9.
Rozdział piąty poświęcony jest polskiej regulacji karnej i zawiera omó-
wienie znamion przestępstw komputerowych zawartych w rozdziale
XXXIII kodeksu karnego:
1) uzyskania nieuprawnionego dostępu do informacji (art. 267 § 1 k.k.);
2) uzyskania nieuprawnionego dostępu do całości systemu informatycz-
nego lub jego części (art. 267 § 2 k.k.);
3) nielegalnego podsłuchu i inwigilacji za pomocą urządzeń technicznych
i programów komputerowych (art. 267 § 3 k.k.);
4) ujawnienia informacji uzyskanej nielegalnie (art. 267 § 4 k.k.);
5) naruszenia integralności zapisu informacji (art. 268 § 2 i 3 k.k.);
6) naruszenia integralności danych informatycznych, utrudniania dostę-
pu do nich oraz zakłócania ich przetwarzania (art. 268a § 1 i 2 k.k.);
7) sabotażu informatycznego (art. 269 § 1 k.k.);
7 Wyroki ETS z dnia: 5 lutego 1963 r. w sprawie NV Algemene Transport en Expeditie Onderneming
van Gend and Loos przeciwko Holenderskiej administracji celnej (26/62) oraz 15 lipca 1964 r. w sprawie
Flaminio Costa przeciwko E.N.E.L. (6/64). Zob. szerzej np. J. Barcz, Charakter prawny i struktura Unii
Europejskiej. Pojęcie prawa UE (w:) J. Barcz (red.), Prawo Unii Europejskiej. Zagadnienia systemowe,
Warszawa 2006, s. 28; S. Biernat, Prawo Unii Europejskiej a prawo państw członkowskich (w:) J. Barcz
(red.), Prawo Unii..., s. 253–254; A. Zawidzka-Łojek, Prawo Unii Europejskiej a prawo krajowe państw
członkowskich (w:) J. Barcz (red.), Źródła prawa Unii Europejskiej, Warszawa 2012, s. 146–147.
8 Dz. Urz. UE L 69 z 16.03.2005 r., s. 67.
9 Dz. Urz. UE L 218 z 14.08.2013 r., s. 8.
24
Wstęp
8) zakłócenia pracy systemu komputerowego lub sieci teleinformatycznej
(art. 269a k.k.);
9) tzw. bezprawnego wykorzystania urządzeń, programów i danych
(art. 269b § 1 k.k.).
Analiza obejmuje kolejno znamiona przedmiotu ochrony, strony
przedmiotowej, podmiotu, strony podmiotowej każdego z nich. Przyjęcie
takiego układu treści (niejako komentarzowego) podyktowane zostało po-
trzebą zachowania odpowiedniej przejrzystości. Ta ostatnia uwaga odnosi
się również do sposobu zaprezentowania problematyki zbiegu przepisów,
zbiegu przestępstw, wymiaru kary oraz trybu ścigania omówionych w od-
rębnych podrozdziałach, wspólnych dla wszystkich analizowanych prze-
stępstw.
W rozdziale szóstym zaprezentowano unormowania dotyczące prze-
stępstw komputerowych obowiązujące w wybranych państwach europej-
skich. Celem opracowania było wyróżnienie pewnych modeli kryminali-
zacji tego zjawiska oraz przedstawienie wybranych krajowych unormo-
wań, które z jednej strony byłyby typowe dla tychże modeli, a z drugiej –
zawierałyby pewne odmienności czy oryginalne rozwiązania. Umieszcze-
nie tego rozdziału w tym właśnie miejscu, a więc po rozdziale poświęco-
nym polskiej regulacji, powinno dać czytelnikowi maksymalnie przejrzys-
ty obraz omawianego tematu.
W ostatnim rozdziale zaprezentowano wyniki badań empirycznych
opartych na analizie akt 1163 postępowań przygotowawczych zarejestro-
wanych w jednostkach organizacyjnych prokuratury całego kraju w latach
2009–2010. Celem badań było dokonanie oceny skali zjawiska hackingu
w Polsce, jak również przyjmowanych kwalifikacji prawnych, sposobów
zakończenia wszczętych postępowań oraz przyczyn odmowy ich wszczę-
cia, a także rodzaju i wysokości orzekanych kar i środków karnych.
Niniejsza monografia stanowi zmodyfikowaną i uaktualnioną wersję
rozprawy doktorskiej obronionej przeze mnie w dniu 9 grudnia 2014 r. na
Wydziale Prawa i Administracji Uniwersytetu Marii Curie-Skłodowskiej
w Lublinie. Wybór jej tematu podyktowany był przede wszystkim moimi
zainteresowaniami. Wyzwanie stanowiła także stosunkowa nowość pro-
blematyki przestępstw komputerowych, ograniczona liczba publikacji po-
25
Wstęp
święconych omawianym zagadnieniom, a wreszcie brak badań empirycz-
nych, a nawet opracowań statystycznych10.
W tym miejscu pragnę podziękować osobom, które miały niewątpliwy
wpływ na ostateczny kształt pracy. Przede wszystkim Promotorowi – Panu
prof. dr. hab. Markowi Mozgawie za sprawowaną opiekę merytoryczną
oraz Recenzentom – Panu prof. dr. hab. Piotrowi Kardasowi oraz Panu
prof. dr. hab. Jackowi Sobczakowi za cenne uwagi, a także Panu prof. dr.
hab. Andrzejowi Siemaszce, wieloletniemu Dyrektorowi Instytutu Wy-
miaru Sprawiedliwości, który umożliwił mi przeprowadzenie badań em-
pirycznych stanowiących niezwykle istotny element niniejszego opraco-
wania.
Dziękuję również za przekazane uwagi i słowa zachęty autorowi re-
cenzji wydawniczej Panu prof. dr. hab. Andrzejowi Adamskiemu.
10 Z danych zgromadzonych przez organy Policji, umieszczonych na stronie Komendy Głównej
Policji, trudno wyciągnąć miarodajne wnioski (zob. uwagi na ten temat w rozdziale ostatnim).
26
Rozdział 1
Hacking – zagadnienia ogólne
1.1. Uwagi wstępne
1.1.1. Zarys historii komputerów i sieci komputerowych
Gwałtowny rozwój sieci komputerowych, którego jednym z najważ-
niejszych aspektów jest powstanie Internetu, miał miejsce w ciągu ostat-
nich 30 lat. Początkowo trudno było bowiem sobie wyobrazić, że postęp
techniczny stanie się aż tak intensywny. Pierwszy komputer powstał już
w latach 40. ubiegłego wieku w Stanach Zjednoczonych. Zajmował on
139 m2, używał 17 tysięcy lamp próżniowych i wykonywał 1000 obliczeń
na sekundę (dla porównania – obecnie przeciętny komputer osobisty wy-
konuje w ciągu sekundy kilkaset milionów operacji). Pierwszym „komer-
cyjnym komputerem” był UNIVAC (Universal Automatic Computer) skon-
struowany w 1951 r.11 Na zakup komputerów produkowanych w latach
50. i 60. mogły sobie pozwolić instytucje rządowe oraz uczelnie. Przełom
nastąpił w latach 70., kiedy na rynku pojawił się Altair 8800 dostępny dla
przeciętnego obywatela w Stanach Zjednoczonych12. Następnie pojawiły
się Atari, Commodore 64 i IBM PC. W latach 70. powstały też pierwsze
sieci. Składały się one z głównego komputera (ang. mainframe) oraz połą-
czonych z nim terminali, które korzystały z plików, programów i mocy
obliczeniowej komputera mainframe. Bez niego były bezużyteczne. Wraz
z pojawieniem się stosunkowo tanich komputerów osobistych zaistniała
11 Szerzej B. Gates, Droga ku przyszłości, Warszawa 1997, s. 1–72. Por. R. Skubisz, Internet – ku
społeczeństwu przyszłości (w:) R. Skubisz (red.), Internet 2000, Lublin 1999, s. 7–9; J.W. Wójcik, Prze-
stępstwa komputerowe, cz. 1, Fenomen cywilizacji, Warszawa 1999, s. 12–14.
12 B. Gates, Droga..., s. 17.
27
Rozdział 1. Hacking – zagadnienia ogólne
możliwość wyposażenia każdego pracownika w taki właśnie sprzęt, a nie
tylko terminal. Jednocześnie jednak użytkownicy stracili możliwość ko-
rzystania z zasobów komputera głównego, a dane między sobą mogli wy-
mieniać za pomocą fizycznych nośników (tzw. poczta per pedes). W celu
rozwiązania tego problemu pod koniec lat 70. stworzono standard Ether-
net umożliwiający łączenie ze sobą komputerów osobistych w sieć lokalną
LAN (ang. Local Area Network). Obecnie jest to najpopularniejsza techno-
logia stosowana w sieciach komputerowych13.
W tym samym czasie zaczęły powstawać tzw. BBS-y14, czyli sieci po-
wstałe z komputerów połączonych ze sobą przy pomocy modemów i linii
telefonicznych; rozwijał się też już ARPANet – „poprzednik” Internetu.
W 1957 r. w Stanach Zjednoczonych, w ramach Departamentu Obrony,
powstała Agencja Zaawansowanych Projektów Badawczych (Advanced
Research Project Agency)15. Pierwotnym celem ARPA była budowa sztucz-
nego satelity. Szybko jednak Agencja zajęła się pracami nad rozwojem no-
woczesnych technologii. Jednym z głównych zadań stało się utworzenie
sieci komputerowej mającej połączyć uniwersytety i instytucje rządowe.
Podstawowym założeniem, jakie przyświecało jej twórcom, było nadanie
jej rozproszonego charakteru – skonstruowanie jej bez żadnego centralne-
go punktu, by nawet w przypadku zniszczenia lub uszkodzenia fragmentu
jej struktury, pozostała część mogła funkcjonować. W związku z tym dane
nią przekazywane miały być dzielone na pakiety i przesyłane niezależnie,
13 D.L. Shinder, E. Tittel, Cyberprzestępczość. Jak walczyć z łamaniem prawa w sieci, Gliwice 2004,
s. 70–71.
14 Najprostszy BBS to po prostu zwykły komputer osobisty, na którym zainstalowano odpo-
wiednie oprogramowanie. Jego użytkownik udostępniał zasoby, umożliwiając korzystanie np. z po-
czty elektronicznej, grup dyskusyjnych, gier czy wymianę plików. Aby móc skorzystać z danego
BBS-u, należało znać jego numer telefonu i po prostu „zadzwonić”. Większość BBS-ów posiadała
możliwość komunikowania się z innymi BBS-ami, co umożliwiało wymianę poczty i plików w skali
świata. Bardzo szybko BBS-y zaczęły być używane do nielegalnych celów – udostępniano sobie
programy hackerskie, rozpowszechniano pirackie oprogramowanie (głównie gry) oraz pornografię.
Przykładowo – jak podaje A. Walczak-Żochowska – pierwszy serwis poświęcony w całości porno-
grafii dziecięcej powstał już w 1982 r. (A. Walczak-Żochowska, Internet a seksualne wykorzystywanie
dzieci (w:) P. Girdwoyń (red.), Prawo wobec nowoczesnych technologii, Warszawa 2008, s. 110). W cza-
sach największego rozwoju liczba BBS-ów w samych Stanach Zjednoczonych wynosiła ponad
40.000. Obecnie ich znaczenie spadło praktycznie do zera, gdyż dostęp do Internetu stał się znacznie
tańszy przy nieporównywalnie większych możliwościach. Por. P. Grabosky, R. Smith, Crime in the
Digital Age: Controlling Telecommunications and Cyberspace Illegalities, Sydney 1998, s. 5–6; D.L. Shin-
der, E. Tittel, Cyberprzestępczość..., s. 72.
15 Od 1972 r. Agencja Zaawansowanych Projektów Badawczych w Obszarze Obronności (De-
fence Advanced Research Project Agency).
28
1.1. Uwagi wstępne
nawet różnymi trasami, a po dotarciu do celu – składane w oparciu o in-
formacje zawarte w ich nagłówkach (tzw. komutacja pakietów, ang. packet
switching). Efektem podjętych prac był powstały w 1969 r. ARPANet16.
W latach 70. pojawiła się poczta elektroniczna, pierwowzór dzisiejszego
FTP (ang. File Transfer Protocol – protokół transferu plików), grupy dysku-
syjne oraz gry dla wielu użytkowników. Cały czas jednak ARPANet og-
raniczał się zasięgiem do uczelni i instytucji rządowych. Na początku lat 80.
do ARPANetu było podłączonych 5000 hostów17, pod koniec dekady na-
tomiast liczba ta wzrosła do 28.000. Niezwykle ważnym wydarzeniem na
drodze budowania sieci otwartej (ang. open-architecture network environ-
ment) i zacierania granic między różnymi sieciami (proces ten nazywano
internetting18)19 było uznanie w 1982 r. opracowanego w latach 70. proto-
kołu TCP/IP20 za wiodący standard w funkcjonowaniu sieci. W 1983 r. AR-
PANet został podzielony na dwie części – Milnet (sieć wojskowa) i NSFNet
(sieć cywilna), z której wykształcił się dzisiejszy Internet. W 1987 r. powstał
DNS (ang. Domain Name System – system nazw domen), który jest proto-
kołem, usługą i siecią serwerów służących zamianie mnemonicznych nazw
urządzeń sieciowych (zarówno serwerów, jak i pojedynczych kompute-
rów) na adresy IP zrozumiałe dla urządzeń, które tworzą sieć (np. www.
sejm. gov. pl na 194.41.12.17).
W 1992 r. zaczęła funkcjonować usługa World Wide Web (WWW). Dzięki
zastosowaniu tzw. hiperlinków uczyniła ona Internet znacznie dostęp-
niejszym, umożliwiając korzystanie z niego osobom nieposiadającym fa-
chowych umiejętności. Czynnikiem dodatkowo ułatwiającym „surfowa-
nie” było pojawienie się przeglądarek internetowych. Pierwszą był opra-
cowany w 1993 r. Mosaic. Internet liczył wówczas już ponad milion hos-
tów21.
16 P. Dawidziuk, B. Łącki, M.P. Stolarski, Sieć Internet – znaczenie dla nowoczesnego państwa oraz
problemy bezpieczeństwa (w:) M. Madej, M. Terlikowski (red.), Bezpieczeństwo teleinformatyczne pań-
stwa, Warszawa 2009, s. 42–43; D.L. Shinder, E. Tittel, Cyberprzestępczość..., s. 74–76.
17 Termin ten można spotkać w dwóch znaczeniach – komputer nadrzędny, udostępniający
swoje zasoby innym (czyli serwer), albo po prostu urządzenie podłączone do sieci, posiadające
numer IP (np. pojedynczy komputer).
18 Słowo „Internet” po raz pierwszy zostało użyte w 1974 r. przez V. Cerfa i B. Kahna w spo-
rządzonym przez nich opracowaniu badawczym A Protocol for Packet Network Interconnection, do-
tyczącym protokołu TCP (D.J. Bem, Tylko IP (w:) D.J. Bem (red.), Internet 2006, Wrocław 2007, s. 7).
19 K. Dobrzeniecki, Lex Informatica, Toruń 2008, s. 36.
20 Protokoły sieciowe są to zbiory reguł określających sposoby komunikowania się w sieci.
Zob. szerzej pkt 1.2.6.
21 P. Dawidziuk, B. Łącki, M.P. Stolarski, Sieć Internet..., s. 42–43.
29
Rozdział 1. Hacking – zagadnienia ogólne
W 1995 r. rozpoczęły działalność serwis aukcyjny eBay oraz księgarnia
Amazon. Rok później zaczął działać Google, najpopularniejsza obecnie
wyszukiwarka internetowa. Od 1998 r. rozwijana jest technologia WAP
(ang. Wireless Application Protocol), umożliwiająca korzystanie z Internetu
przy pomocy telefonów komórkowych. W 1999 r. powstał pierwszy (ist-
niejący zresztą do dziś) bank internetowy – First Internet Bank of Indiana
(www. firstib. com). Pod koniec lat 90. pojawiają się pierwsze sieci
i tzw. programy peer-to-peer (p2p – np. Gnutella, Napster, Kazaa, BitTor-
rent), umożliwiające użytkownikom Internetu wymianę plików na nie-
spotykaną dotąd skalę. Od 2003 r. w Internecie obecny jest Skype – komu-
nikator internetowy (IM – Instant Messenger) oparty na architekturze
p2p22. W 2005 r. liczba użytkowników Internetu na świecie przekroczyła
miliard, w 2007 r. wynosiła ok. 1,319 miliarda (co stanowiło wówczas 20
światowej populacji), a w 2010 r. – 1,6 miliarda23.
Polska początkowo pozostawała na uboczu procesu tworzenia się i roz-
woju Internetu24. Jako państwo socjalistyczne została objęta restrykcjami
technologicznymi. Zniesiono je w latach 1990–1991. Pierwszym e-mailem
przesłanym przez Internet z Polski była wiadomość z dnia 23 sierpnia
1991 r. (niezachowana niestety) wysłana do Hamburga. W 1992 r. powstał
POLPAK – pierwsza polska sieć pakietowa. W 1994 r. pojawiły się listy
dyskusyjne, a rok później – darmowe konta e-mail. Zaczęły też powstawać
BBS-y (np. Bajtek BBS, CHIP BBS, UMCS Olimp BBS) oraz pierwsze strony
internetowe25.
22 J. Gołaczyński, Umowy elektroniczne w prawie prywatnym międzynarodowym, Warszawa–Kra-
ków 2007, s. 15; A. Kasprzak, K. Walkowiak, Ewolucja sieci Internet (w:) D.J. Bem (red.), Internet
2008, Wrocław 2009, s. 27.
23 Por. K. Dobrzeniecki, Lex Informatica..., s. 38–39; K.M. Rogers, The Internet and the Law,
Houndmills, Basingstoke–New York 2011, s. 3–4.
24 Nie oznacza to oczywiście, że w dziedzinie informatyki panował w Polsce zastój. Wprost
przeciwnie, mimo restrykcji tworzono przemysł komputerowy – w 1958 r. skonstruowano maszynę
cyfrową XYZ, w 1963 r. podjęto seryjną produkcję komputerów UMC-1, a w 1964 r. – komputerów
ODRA-1300. Zob. szerzej P. Sienkiewicz (w:) Społeczeństwo informacyjne: krok naprzód, dwa kroki
wstecz, red. P. Sienkiewicz, J.S. Nowak, Katowice 2008, s. 15–23.
25 J. Gołaczyński, Umowy elektroniczne..., s. 19–20.
30
1.1.2. Pojawienie się hackerów
1.1. Uwagi wstępne
O początkach hackingu można w zasadzie mówić już od momentu po-
wstania pierwszych sieci telefonicznych, wtedy bowiem pojawili się
tzw. phreakerzy (od ang. phone freak – „telefoniczny maniak”). Włamywali
się oni do sieci telekomunikacyjnych, by móc nawiązywać darmowe po-
łączenia. Inną grupą przestępców, którzy pojawili się w tym czasie, byli
tzw. crackerzy (od ang. crack – łupać), którzy specjalizowali się w łamaniu
zabezpieczeń systemów telekomunikacyjnych. Obecnie tego terminu uży-
wa się głównie w stosunku do „łamaczy” haseł i zabezpieczeń. Obie wyżej
wskazane grupy można uznać za poprzedników dzisiejszych hackerów26
(zresztą wielu z nich zaczynało właśnie w ten sposób swoją działalność).
Początkowo termin „hacker” miał trochę inne znaczenie niż obecnie –
oznaczał po prostu zdolnego programistę. Później, po zlaniu się w la-
tach 70. subkultury hackerów z phreakerami, zaczął nabierać innego (bliż-
szego dzisiejszemu) znaczenia – kogoś działającego w podziemiu, wła-
mującego się do komputerów i sieci, często ze szlachetnych pobudek,
a czasami po prostu dla zabawy i zdobycia sławy. Taki obraz w kulturze
utrwaliły filmy (zwłaszcza Gry wojenne J. Badhama z 1983 r. czy Hakerzy
I. Softleya z 1995 r.)27. Obecnie pod pojęciem „hacker” zwykle rozumie się
osobę, która „sieje zamęt” w Internecie, czyli zarówno włamuje się do sieci
komputerowych i komputerów, jak i działa w celu zakłócenia ich pracy28.
W języku potocznym często określenie to używane jest dla generalnego
określenia przestępców działających w Internecie, w tym internetowych
oszustów. W związku z powyższym pojęcie „hacking” można rozumieć
26 Termin „hacker” pochodzi od ang. hack, którego używali w latach 60. studenci Massachusetts
Institute of Technology na określenie pomysłowych żartów przez nich płatanych (za przykład po-
daje się modyfikację panelu kontrolnego w windzie, w wyniku której po wciśnięciu przycisku od-
noszącego się do wybranego numeru piętra winda jechała na zupełnie inne). Zob. S.W. Brenner,
Cybercrime and the Law. Challenges. Issues, and Outcomes, Boston 2012, s. 16.
27 Por. S. Bukowski, Przestępstwo hackingu, PS 2006, nr 4, s. 134–137; B. Fischer, Przestępstwa
komputerowe i ochrona informacji, Kraków 2000, s. 53–58; D.L. Shinder, E. Tittel, Cyberprzestępczość...,
s. 65–78; J.W. Wójcik, Przestępstwa komputerowe, cz. 1..., s. 187–189.
28 Jednocześnie mamy do czynienia ze swego rodzaju paradoksem – nie ma już konieczności,
by hacker, w takim rozumieniu, posiadał zaawansowane umiejętności jak jego poprzednik z wcześ-
niejszych lat. Wystarczy, że pobierze z sieci odpowiedni program, który wszystkie czynności wy-
kona za niego. Ukuty został nawet termin dla określenia takich osób – ang. script kiddies – czyli
„dzieciaki skryptowe” (skrypt – program napisany w języku skryptowym, który wykonuje pewne
działania wewnątrz innego programu – w uproszczeniu jest to niesamodzielny program, np. skryp-
ty JavaScript na stronach WWW, makra w dokumentach MS Office).
31
Rozdział 1. Hacking – zagadnienia ogólne
na kilka sposobów: jako hacking sensu stricto, czyli zachowanie polegające
na uzyskaniu dostępu do systemu informatycznego lub danych kompu-
terowych, hacking sensu largo, jako wszelkie zamachy na bezpieczeństwo
systemów i danych informatycznych (czyli również np. zakłócenie pracy
systemu informatycznego, modyfikację lub zniszczenie danych kompute-
rowych), oraz w znaczeniu najszerszym, potocznym – jako zbiorcze okreś-
lenie praktycznie wszystkich przestępstw popełnianych w sieci (oczywiś-
cie z wyjątkiem np. rozpowszechniania pornografii czy naruszania praw
autorskich). Przedmiotem niniejszego opracowania jest hacking sensu lar-
go.
1.1.3. Sprzęt komputerowy
Przeważającą grupę komputerów korzystających z sieci stanowią kom-
putery osobiste (PC – ang. Personal Computer). Bez względu na typ i zasto-
sowanie komputera, składa się on z pewnych podstawowych elementów,
są to:
1) płyta główna (ang. Motherboard) – jest to główna jednostka sterująca
komputera, do której podłączone są dodatkowe komponenty (procesor,
pamięć ROM, pamięć RAM, karty rozszerzeń, zasilacz itd.) oraz – za
pośrednictwem tzw. portów – urządzenia wejścia/wyjścia i peryferyj-
ne. Elementem, który łączy ze sobą i z procesorem poszczególne części,
jest szyna (ang. Bus);
2) procesor (CPU – od ang. Central Processing Unit – jednostka centralna) –
zintegrowany układ scalony wykonujący wszystkie operacje na da-
nych. Może wykonywać różne zadania, korzystając z zaprogramowa-
nych instrukcji (rozkazów);
3) pamięć – dane w komputerze przechowywane są w pamięci (w spe-
cjalnych chipach; nie należy mylić z pamięcią dyskową czy zewnętrz-
ną). Wyróżniamy następujące rodzaje pamięci:
a) pamięć operacyjna, czyli RAM (ang. Random Access Memory – pa-
mięć o dostępie losowym; inaczej – pamięć o dostępie swobod-
nym) – przechowywane są w niej dane i instrukcje bieżących pro-
cesów; cechą charakterystyczną tej pamięci jest to, że w momencie
wyłączenia zasilania dane w niej przechowywane są tracone;
32
1.1. Uwagi wstępne
b) pamięć ROM (ang. Read Only Memory – pamięć tylko do odczytu) –
przechowywane w niej są programy, które muszą być stale do-
stępne, np. BIOS, czyli oprogramowanie płyty głównej;
c) pamięć cache – jest szybsza i wydajniejsza od pamięci RAM, pro-
cesor potrzebnych danych szuka wpierw w niej, dopiero później
sięga do RAM;
4) urządzenia wejścia/wyjścia (urządzenia we/wy, urządzenia I/O) – służą
do wprowadzania danych (np. klawiatura, skaner, myszka) lub ich
„wyprowadzenia” (drukarka, monitor), mogą też pełnić obie te funkcje
jednocześnie (np. karta sieciowa, modem). Urządzenia we/wy znajdu-
jące się „poza obudową” nazywane są urządzeniami peryferyjnymi.
Do przechowywania i przenoszenia danych służą nośniki trwałe. Na-
zwa „trwałe” pochodzi od tego, że dane na tych nośnikach nie są tracone
w momencie wyłączenia komputera. Podzielić je można na:
1) dyski twarde (HDD – ang. hard disk drive) – zbudowane są z okrągłych
talerzy, ułożonych jeden nad drugim, na których dane zapisywane są
z obu stron przez głowice elektromagnetyczne, które za pomocą im-
pulsów elektromagnetycznych odpowiednio „magnesują” powierzch-
nię dysku. Ponadto coraz częściej (zwłaszcza w tzw. ultrabookach)
spotyka się zamiast tradycyjnych dysków twardych dyski SSD (ang.
solid-state drive), działające na tej samej zasadzie co pamięci flash. Mają
zwykle mniejszą pojemność niż klasyczne dyski twarde, ale są odpor-
niejsze na czynniki zewnętrzne, a przede wszystkim – charakteryzuje
je znacznie krótszy czas dostępu do danych29;
2) przenośne nośniki danych – jak sama nazwa wskazuje, można je prze-
nieść, czyli odłączyć od napędu (urządzenia służącego do zapisu lub
odczytu danych; w przypadku dysków twardych napęd i nośnik to
jedna struktura). Można wyróżnić następujące ich rodzaje:
a) dyskietki (ang. floppy) – obecnie niespotykane; najpopularniejszy-
mi były 3,5 calowe o pojemności 1,44 MB; zbudowane są z pokry-
tego materiałem magnetycznym krążka, umieszczonego w plasti-
kowej obudowie;
b) płyty CD i DVD (ang. Compact Disk, Digital Versatile Disc lub Digital
Video Disc) – plastikowe dyski, pokryte materiałem metalicznym;
29 Istnieją jeszcze tzw. dyski hybrydowe, niezbyt ściśle nazywane też SSHD (od ang. Solid-state
hybrid drive), składające się z „klasycznego” dysku twardego i modułu pamięci flash, dzięki czemu
łączą zalety obu technologii, zapewniając jednocześnie dużą pojemność oraz prędkość zapisu i od-
czytu danych. Zob. szerzej https:// en. wikipedia. org/ wiki/ Hybrid_ drive, data wejścia 19.10.2015 r.
33
Rozdział 1. Hacking – zagadnienia ogólne
do odczytywania i zapisywania danych służy laser, stąd nazywane
są nośnikami optycznymi;
c) pamięć flash (ang. flash memory) – układy scalone przechowujące
dane, występujące obecnie w dwóch zasadniczych postaciach: jako
pamięci USB (tzw. pendrive y) oraz karty pamięci;
d) nośniki magnetooptyczne (MO).
Najpowszechniejszym urządzeniem służącym do komunikacji kom-
putera z siecią jest karta sieciowa (NIC – Network Interface Card). W zasadzie
wszystkie nowe komputery (zarówno przenośne, jak i stacjonarne) stan-
dardowo wyposażone są we wbudowaną w płytę główną kartę sieciową
Ethernet. Oczywiście kartę można zamontować w gnieździe rozszerzeń
(PCI) płyty głównej lub podłączyć przez port USB. Kabel do niej podłą-
czony jest poprzez gniazdo (najczęściej RJ-45). Ponadto do łączenia się
z siecią mogą służyć modemy (w przypadku połączenia przez sieć telefo-
niczną).
Karta sieciowa, modem czy fizyczne interfejsy routera (porty) są prz
Pobierz darmowy fragment (pdf)