Je vývoj, šíření a prodej exploitů trestný či nikoliv?

S exploity se obchoduje stejně jako s jakoukoliv jinou komoditou. Jednoduše řečeno, někdo vykupuje švestky a dělá z nich kvalitní slivovici a někdy zase zero day exploity a dělá z nich kvalitní malware.

O kvalitě lze samozřejmě v obou případech diskutovat, ovšem oboje si své kupce najde, jen u těch exploitů je výkupní cena za kus kapánek vyšší a v čase roste.

Mezi nejznámější firmy, které exploity vykupují, patří např. Revuln  nebo Zerodium, ty za ně nabízí až několik miliónů USD. Což je podstatně více, než kolik je nabízeno v rámci nejrůznějších bug bounty programů.

Je otázka, zdali je prodej a nákup exploitů etický a legální, neboť obě strany musí minimálně tušit, že exploitu bude nepochybně zneužito k útoku na konkrétní cíl a k získání neoprávněného přístupu k počítačovému systému nebo jeho části dle Zákona č. 40/2009 Sb. Trestní zákoník, dále jen TZ, ustanovení § 230 Neoprávněný přístup k počítačovému systému a nosiči informací.

Ten, kdo exploity vykupuje, se hájí tím, že je prodává nebo poskytuje ve formě služby jen vybraným důvěryhodným organizacím za účelem boje s terorismem, potírání kriminality, odhalování trestných činů a pomoci obětem trestných činů, které jsou oprávněny tyto prostředky používat.

Je však nasnadě, že tyto exploity jsou zneužívány i k cíleným APT útokům a odprodávány ve formě nástrojů pro sledování nejrůznějším vládním organizacím, bezpečnostním agenturám a dalším společnostem jako je resp. byl např. HackingTeam a nelze vyloučit, že budou namířený i proti zájmům České republiky a jejím subjektům.

Z pohledu výzkumníka, který exploit dané organizaci prodal, není nakonec podstatné, zda byl exploit zneužit, nebo ne, protože i pouhý vývoj a prodej exploitu by mohl být trestný a to hned dle několika ustanovení Zákona č. 40/2009 Sb. trestní zákoník, dále jen TZ, ovšem je otázka, zda je takový výklad možný.

V §231 TZ je uvedeno, že trestného činu se dopouští ten, kdo v úmyslu spáchat trestný čin neoprávněného přístupu k počítačovému systému a nosiči informací podle § 230 odst. 1, 2 vyrobí, uvede do oběhu, doveze, vyveze, proveze, nabízí, zprostředkuje, prodá nebo jinak zpřístupní, sobě nebo jinému opatří nebo přechovává zařízení nebo jeho součást, postup, nástroj nebo jakýkoli jiný prostředek, včetně počítačového programu, vytvořený nebo přizpůsobený k neoprávněnému přístupu do sítě elektronických komunikací, k počítačovému systému nebo k jeho části.

Trestní odpovědnost přitom může být dána nejen u hlavního pachatele, ale také u tzv. pomocníka – tedy osoby, která umožnila nebo usnadnila jinému spáchání trestného činu, a to například opatřením prostředků, odstraněním překážek či radou.“ upozorňuje JUDr. Lukáš Duffek, advokát a partner z advokátní kanceláře ROWAN LEGAL, který se specializuje na trestní právo.

Úmyslné zavinění přitom postačuje i ve formě nepřímého úmyslu – tzn. vědění, že vlastním jednáním může být způsobeno porušení nebo ohrožení zájmu chráněného trestním zákoníkem, a pro případ, že je způsobeno, také srozumění s tímto (včetně pouhého smíření).

V konkrétním případě by přitom mohlo dojít ke spáchání vícero trestných činů než „jen“ neoprávněného přístupu k počítačovému systému a nosiči informací, a to v tzv. souběhu – např. pokud by se exploit týkal kritické části informačního systému nemocnice a v důsledku využití exploitu by došlo k paralyzování chodu nemocnice, jednalo by se o obecné ohrožení dle § 272 či § 273 TZ. V krajních případech, pokud by došlo k útoku na kritickou infrastrukturu České republiky, by se dokonce mohlo jednat o teroristický útok dle § 311 TZ.

Lze proto doporučit obezřetnost při šíření a prodeji exploitů, a to zejména co do výběru obchodního partnera. Pokud by byl např. exploit prodán známé hackerské skupině, mohla by tak být dovozena trestní odpovědnost prodejce exploitu jakožto pomocníka na případné trestné činnosti.

Přičemž i etický hacker, který na zranitelnost chce upozornit pouze provozovatele či vývojáře systému, by měl být opatrný např. pokud by se příliš domáhal případné odměny za odhalení zranitelnosti systému. „Pokud by dotyčný vyhrožoval, že nebude-li mu náležitě zaplaceno, exploit zveřejní, aby jej mohl kdokoliv případně využít ke kybernetickému útoku, mohlo by se jednat také o trestný čin vydírání.“ dodává Duffek.

Závěr: Otázka možnosti výroby, přechovávání a prodeje exploitů do značné míry závisí na konkrétních okolnostech. V řadě případů může jít o legální jednání, v krajních případech se však může dokonce jednat až o napomáhání ke spáchání trestného činu teroristického útoku. Na místě je proto vždy obezřetnost.

A jaký je váš názor, měl by TZ nějakým způsobem otázku vývoje, prodeje a šíření exploitů postihovat anebo považujete stávající ustanovení TZ v tomto směru za vyhovující?

Pokud jde o vývoj, šíření a prodej exploitů, tak považují současné ustanovení TZ za dostatečné a nic bych neměnil.

Nahrávání ... Nahrávání ...
Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.


K článku “Je vývoj, šíření a prodej exploitů trestný či nikoliv?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: