Jak legálně hackovat bez hrozby trestního stíhání

V prvé řadě je třeba uvést, že etický hacking je možný pouze se souhlasem subjektu, který daný systém provozuje.

V opačném případě dochází k naplnění skutkové podstaty trestného činu dle § 230 Zákona č. 40/2009 Sb. trestního zákoníku, zkr. TZ.

V TZ § 230 Neoprávněný přístup k počítačovému systému a nosiči informací se v odstavci 1 uvádí, že:

Kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k počítačovému systému nebo k jeho části, bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci.

Z výše uvedeného lze odvodit, že etický hacking bez souhlasu vlastníka daného systému je možný, ale výsledkem nesmí být získání neoprávněného přístupu nebo narušení bezpečnosti dat. Nelze tak např. začít testovat bezpečnost nějakého webu s tím, že až v okamžiku, kdy tam nějakou zranitelnost najdu, a podaří se mi ji zneužít, a získat přístup nebo modifikovat data, se teprve rozhodnu, zda budu kontaktovat provozovatele daného webu a pokusím se s ním nějak dohodnout.

Nelze zde totiž uplatnit princip „volenti non fit iniuira“ tedy využít ustanovení § 30 TZ, protože souhlas s hackingem musí být udělen vždy předem, a nejde využít ani ustanovení § 163 uvedené v Zákonu č. 141/1961 Sb. Zákon o trestním řízení soudním (trestní řád), zkr. TŘ, protože zde zase hacking není taxativně uveden a souhlas se zahájením trestního stíhání tak není vůbec nutný.

V některých velice omezených případech by se možná dalo využít ustanovení § 28 TZ případně § 31 TZ, např. když by se hacker dozvěděl o tom, že by v daném systému mohla být zranitelnost a té by mohl zneužít někdo jiný a hrozila by škoda, a on by se tuto škodu pokusil odvrátit. Ovšem o úspěšnosti takto vedené obhajoby lze silně pochybovat.

Vzhledem k tomu, že kdokoliv může na internetu začít hackovat váš web, tak se nabízí otázka, zda nevyhlásit Bug Bounty program s přiměřenou odměnou jen za účelem legalizace tohoto hackingu.

Dle Zákona č. 89/2012 Sb. Zákon občanský zákoník, zkr. NOZ § 2884 je bug bounty program v zásadě „Příslib odměny za nějaký výkon učiněný vůči osobě blíže neurčené zavazuje přislibujícího tehdy, byl-li příslib veřejně vyhlášen.

Důležité je uvést, že etický hacker nemusí hacking dokončit, zjištěné zranitelnosti nahlásit a vyplacení odměny požadovat. Prakticky se mu nedá dokázat, zda nějakou zranitelnost našel, či nikoliv.

Zlí hoši (black hat) budou samozřejmě testovat dál bez ohledu na to, zda byl nějaký bug bounty vyhlášen, ovšem hodní hoši (white hat) budou moci nyní testovat bez obav z trestního stíhání také.

Ovšem když nějakou zranitelnost najdou, budou ji muset nahlásit, protože dle Zákona č. 40/2009 Sb. trestního zákoníku, zkr. TZ by jinak došlo k naplnění skutkové podstaty trestného činu dle § 230.

Pokud k vyhlášení bug bounty programu nedojde, tak budou testovat jen zlí hoši, protože hodní se budou bát, že se s vlastníkem webu nakonec nedohodnou, a že by mohli být navíc i kdykoliv obviněni, a to i v případě, že by vlastník webu požadoval zastavení trestního stíhání.

Zůstává však otázka, zda by vyhlášení bug bounty programu vedlo spíše ke zvýšení aktivity zlých hochů a tedy i k více průnikům do systému anebo naopak ke zvýšení aktivity hodných hochů a nahlášení a odstranění nedostatků a tedy i zvýšení bezpečnosti.

Nevím o studiích, které by potvrdily nebo vyvrátily tuto teorii a pokud by přeci jen existovaly, tak zda by jejich závěry byly platné i v našich podmínkách. Možná by to chtělo provést experiment, co myslíte?

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,

  1. Petr Dvořák

    Doplním, že eticky je – právě na základě formulace daného zákona – možné celkem pohodlně hackovat i bez svolení testovaného subjektu, jak ukazuji já nebo třeba Michal Špaček. Stačí pouze dělat hacking v takových místech, kde nejsou žádná bezpečnostní opatření, nebo formou, při které nedochází k získání přístupu do počítacového systému. Jedná se například o zkoumání, která citlivá data unikají postraními kanály (např. z důvodu testování GDPR), o testy na modifikovaných platformách (rootovaný Android s Xposed skripty, prohlížeč s debug konzolí pro introspekci HTML kódu, …), atd. Ostatně viz třeba nedávný článek o overlay útocích od Roberta Malého, to je v podstatě také „etický hacking“, který je velice užitečný a my se na jeho základě již pouštíme do vylepšení našich řešení. Zcela jistě se nemá jednat o něco, co je postihováno…

    Obecně platí, že firmy by měly být za etické hackery rády a věřím, že bug bounty program je je super nápad a něco, co by každá větší firma měla mít.

  2. Robert Malý

    Z pohledu etického hackera bych to rozdělil na 3 oblasti:

    1. Penetrační test = zadává vlastník/provozovatel systému
    2. Bug Bounty = obecný souhlas s pentestováním a definování podmínek co lze dělat a co ne
    3. Šedá avšak stále legální zóna, kdy testuji SW, zařízení, apod. ale vůbec nezasahuji do produkčního systému a ani s ním nepracuji, tj. nelze neoprávněně přistoupit k produkčnímu systému

    A jedna výjimka, která se mi cca před 10 lety skutečně stala, kdy jsem si prohlížel program jedné security konference a omylem jsem za vyhledávaný text dal apostrof … „a modří už vědí“:))) … prostě prohlížím si web a najednou koukám já ho hackuji;) …

  3. Miroslav Čermák

    Je otázka, jak by se prokazovalo, že skutečně nedošlo k překonání bezpečnostních opatření, protože zákoník neřeší, jaká a jak účinná bezpečnostní opatření musí být zavedena, aby bylo možné hovořit o jejich překonání. Za opatření tak může být považováno cokoliv, co má potenciál zabránit volnému přístupu. Mohli bychom se pak dostat i do takové situace, že bychom se mohli bavit o tom, zda opatření byla zavedena a zda byla účinná i v době spáchaní trestného činu.

    To, zda bezpečnostní opatření byla nedostatečná anebo zcela neúčinná by nemělo hrát podstatnou roli při naplnění skutkové podstaty tohoto činu, protože pachatel se snažil získat přístup někam, kam normálně přístup neměl. Neměl tam co dělat, dobře to věděl a svým jednáním mohl způsobit škodu. Což ale není podstatné, protože zde stačí pouhý neoprávněný přístup.

    Asi by se to dalo přirovnat k „návštěvě“ skladu prodejny. Bylo odemčeno nebo ne? Je rozhodující, zda pachatel vstoupil do skladu prodejny hlavními dveřmi, prošel dírou v plotě anebo se protáhl otevřeným okénkem u záchodu, či „překonal“ opatření v podobě ostrahy, co chodila mezi regály na prodejně, postávala u pokladny a sklad nehlídala?

    Něco jiného je hackování produktu, který jsem si koupil, mám jej doma a jeho hackováním nemohu nikoho ohrozit, byť tím možná porušuji licenční ujednání, ve kterém je hackování zakázáno, ale to už je zase trochu jiný případ.


K článku “Jak legálně hackovat bez hrozby trestního stíhání” se zde nachází 3 komentáře.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: