A németeknél történtek furcsa dolgok az elmúlt években - ilyenkor mindig elgondolkodom, hogy valójában szerencsések vagyunk a maximum pasziánszképes politikusainkkal - de még így is meglepő a mostani sztori. A számítógépes bűncselekményeket tárgyaló törvények idei megváltoztatása miatt legalább két jó projekt került nehéz helyzetbe.
Az új törvényszöveg így hangzik a Phenoelite csapat fordításában:
Whoever prepares a crime according to §202a or §202b and who creates, obtains or provides access to, sells, yields, distributes or otherwise allows access to
- passwords or other access codes, that allow access to data or
- computer programs whose aim is to commit a crime
will be punished with up to one year jail or a fine.
A Phenoelite - nekik volt például az a jó default password listájuk - erre válaszul továbbköltöztette az oldal tartalmát a “szabad világba”.
Rosszabb helyzetben van a KisMAC, a legjobb maces wifi szkenner. A Slashdot híre szerint a projekt vezető fejlesztője leköszönt, mert az új törvény hatályba lépésével kockázatos lenne folytatnia a munkát a bűn elkövetésére alkalmas eszközön. A hozzászólások között feltűnik egy olyan hír is, hogy nagy változások nem várhatóak, csak a fejlesztés költözik Németországon kívüli szerverekre. Ez utóbbit nem sikerült ellenőrizni, mert a kismac.de és a binaervarianz.de szlesdotolódott.
Jelen helyzetben két nyugtalanító kérdés is feltehető. Egy, a németek-e európa amerikája? Kettő, a berlios.de-ről merre kezdenek költözni/kezdenek-e költözni a nem szalonképes projektek?
Talán érdemes elolvasni az Arstechnika cikkét is, (http://arstechnica.com/news.ars/post/20070528-germany-adopts-anti-hacker-law-critics-say-it-breeds-insecurity.html).
Azért az vicces, hogy a Phenoelite a sokszor átkozott amerikai világba “menekítette” a cuccát, pedig mintha az ottani szabályozást érné a legtöbb kritika.
Köszönet a linkért. Nem lesz könnyű számítógépes biztonsággal foglalkozni Németországban. Amivel ha jobban belegondolok, a magánszemélyek és cégek által igénybe vehető auditoroknak tesznek alá. Szomorú.
Magam sem tudom, mit keres a Phenoelit amerikai szerveren. A .de domainről még úgy búcsúztak, hogy irány Hollandia.
Nem tudod, itthon hogy állunk a számítógépes bűnözés szabályozásával?
Az a durva, hogy nálunk korábban fogadtak el gyakorlatilag a némettel szó szerint megegyező szabályokat, (és a durva része, hogy nem sok hír jelent meg róla). Nem véletlen, hiszen két nemzetközi szerződés miatt kellett nekik is változtatniuk: a Cybercrime convetion az egyik, a másik egy európai kerethatározat. A németek igazából még késve is vették át (néhány hónappal) az uniós szabályt.
Részletekért nézd meg a Büntető törvénykönyv (1978. 4. tv.) 300/C., 300/E. szakaszokat.
Hollandia meg nyílván azért nem jó, mert nagy valószínűséggel ott is meghozták a fenti szabályokat, lévén az is EU-s ország.
Hmm, egyébként a németeknél is a büntető törvénykönvyben van a dolog. A magyar szabályozás szó szerint a következő:
300/C. § (1) Aki számítástechnikai rendszerbe a számítástechnikai rendszer védelmét szolgáló intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve, illetőleg azt megsértve bent marad, vétséget követ el, és egy évig terjedő szabadságvesztéssel, közérdekű munkával vagy pénzbüntetéssel büntetendő.
(2) Aki a) számítástechnikai rendszerben tárolt, feldolgozott, kezelt vagy továbbított adatot jogosulatlanul megváltoztat, töröl vagy hozzáférhetetlenné tesz, b) adat bevitelével, továbbításával, megváltoztatásával, törlésével, illetőleg egyéb művelet végzésével a számítástechnikai rendszer működését jogosulatlanul akadályozza, vétséget követ el, és két évig terjedő szabadságvesztéssel, közérdekű munkával vagy pénzbüntetéssel büntetendő.
(3) Aki jogtalan haszonszerzés végett a) a számítástechnikai rendszerbe adatot bevisz, az abban tárolt, feldolgozott, kezelt vagy továbbított adatot megváltoztat, töröl vagy hozzáférhetetlenné tesz, vagy b) adat bevitelével, továbbításával, megváltoztatásával, törlésével, illetőleg egyéb művelet végzésével a számítástechnikai rendszer működését akadályozza, és ezzel kárt okoz, bűntettet követ el, és három évig terjedő szabadságvesztéssel büntetendő.
(4) A (3) bekezdésben meghatározott bűncselekmény büntetése a) egy évtől öt évig terjedő szabadságvesztés, ha a bűncselekmény jelentős kárt okoz, b) két évtől nyolc évig terjedő szabadságvesztés, ha a bűncselekmény különösen nagy kárt okoz, c) öt évtől tíz évig terjedő szabadságvesztés, ha a bűncselekmény különösen jelentős kárt okoz.
300/E. § (1) Aki a 300/C. §-ban meghatározott bűncselekmény elkövetése céljából, az ehhez szükséges vagy ezt könnyítő számítástechnikai programot, jelszót, belépési kódot, vagy számítástechnikai rendszerbe való belépést lehetővé tevő adatot a) készít, b) megszerez, c) forgalomba hoz, azzal kereskedik, vagy más módon hozzáférhetővé tesz, vétséget követ el, és két évig terjedő szabadságvesztéssel, közérdekű munkával vagy pénzbüntetéssel büntetendő.
(2) Az (1) bekezdés szerint büntetendő, aki a 300/C. §-ban meghatározott bűncselekmény elkövetése céljából az ehhez szükséges vagy ezt könnyítő, számítástechnikai program, jelszó, belépési kód, vagy valamely számítástechnikai rendszerbe való belépést lehetővé tevő adat készítésére vonatkozó gazdasági, műszaki, szervezési ismereteit másnak a rendelkezésére bocsátja.
(3) Nem büntethető az (1) bekezdés a) pontja esetén, aki - mielőtt a bűncselekmény elkövetéséhez szükséges vagy ezt megkönnyítő számítástechnikai program, jelszó, belépési kód, vagy valamely számítástechnikai rendszer egészébe vagy egy részébe való belépést lehetővé tevő adat készítése a hatóság tudomására jutott volna - tevékenységét a hatóság előtt felfedi, és az elkészített dolgot a hatóságnak átadja, valamint lehetővé teszi a készítésben részt vevő más személy kilétének megállapítását.
Ez így a törvényszövegekkel különösen biztató. A 300/E. értelmében az ezer éve nem frissített, megnézésre letöltött Metasploitom, a wardrive-hoz idomított KisMAC-en vagy akár az nmapem is “ellenem beszél”.
Komolyan érdekes lenne “a hatóság előtt felfedni” mondjuk egy portszkennert. Kíváncsi vagyok, megindulnának-e az insecure.org ellen. (Nem.)
A 300/C szakasz pedig akár ismerős is lehetett volna. Az első magyar “wardriver” - valójában piggybacking - perben ezt emlegették igen sűrűn, annak ellenére, hogy nyitott, jelszóval nem védett hálózat védelmét nem lehet megkerülni, mert nincs.
300/C: Tényleg, van már jogerős ítélet arra, hogy mi van akkor, ha nincs a használt rendszeren “számítástechnikai rendszer védelmét szolgáló intézkedés”, amit megsért vagy kijátszik valaki?
300/E: “szükséges vagy ezt könnyítő számítástechnikai programot” ez olyan általános, hogy akár a Windows XP vagy OSX is beletartozhatna.
Ahhoz, hogy ez megálljon, be kell bizonyítani, hogy bűncselekmény elkövetése céljából tette, nem?
Salander Úgy tudom, még nincs ítélet. A legutolsó cikket a témában az origón láttam, de azt akkor linkeltem is. Ez az: http://www.origo.hu/techbazis/internet/20070601utcannenetezz.html
A segítségkérő fórumon sincs új infó.
Tgr Elvben igen, de megértem a srácot, hogy nem teszi fel az egzisztenciáját egy mondattani kérdésre.