Czy napisanie takiego programu jak Pegasus przez wytrwałego informatyka
to jest duży problem?
Czy zainstalowanie komuś takiego programu bez jego wiedzy to jest:

Art. 267. § 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla
niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do
sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne,
magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności
do lat 2.
§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do
całości lub części systemu informatycznego.
§ 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której
nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym,
wizualnym albo innym urządzeniem lub oprogramowaniem.
§ 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony
w § 1-3 ujawnia innej osobie.
§ 5. Ściganie przestępstwa określonego w § 1-4 następuje na wniosek
pokrzywdzonego.

????

Czyli jeśli złapią kogoś takiego kto to ma, ale nie da się ustalić
poszkodowanych to §5 uniemożliwia podjęcie jakichś działań prawnych ?

Bo jeszcze jest:

Art. 269b. § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym
osobom urządzenia lub programy kompu-terowe przystosowane do popełnienia
przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a §
1 albo § 2 w związku z § 1, art. 269 § 1 lub 2, art. 269a, art. 270 § 1
albo art. 270a § 1, a także hasła komputerowe, kody dostępu lub inne
dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w
systemie informatycznym, systemie teleinformatycznym lub sieci
teleinformatycznej,
podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 1a. Nie popełnia przestępstwa określonego w § 1, kto działa wyłącznie
w celu zabezpieczenia systemu informatycz-nego, systemu
teleinformatycznego lub sieci teleinformatycznej przed popełnieniem
przestępstwa wymienionego w tym przepisie albo opracowania metody
takiego zabezpieczenia.
§ 2. W razie skazania za przestępstwo określone w § 1, sąd orzeka
przepadek określonych w nim przedmiotów, a może orzec ich przepadek,
jeżeli nie stanowiły własności sprawcy.

do góry

W dniu 27.03.2024 o 19:58, Monika Głowacka pisze:
> Czyli jeśli złapią kogoś takiego kto to ma, ale nie da się ustalić
> poszkodowanych to §5 uniemożliwia podjęcie jakichś działań prawnych ?

W ustawie jest zakaz pozbawiania wolności, a mamy Zakłady Karne i
Areszty. Jest zakaz zabierania komuś rzeczy, a przecież zatrzymuje się
rzeczy, a nawet w tym celu organizuje swoiste włamania zwane
przeszukaniami. Kiedyś jeszcze było ściganie zabójstwa oraz kara
śmierci, ale teraz nie ma. Generalnie wszystko obija się o słowo
"bezprawnie".
--
(~) Robert Tomasik

do góry

W dniu 2024-03-27 o 19:58, Monika Głowacka pisze:
> Czy napisanie takiego programu jak Pegasus przez wytrwałego informatyka
> to jest duży problem?
> Czy zainstalowanie komuś takiego programu bez jego wiedzy to jest:
>
> Art. 267. § 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla
> niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do
> sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne,
> magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie,
> podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności
> do lat 2.
> § 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do
> całości lub części systemu informatycznego.
> § 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której
> nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym,
> wizualnym albo innym urządzeniem lub oprogramowaniem.
> § 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony
> w § 1-3 ujawnia innej osobie.
> § 5. Ściganie przestępstwa określonego w § 1-4 następuje na wniosek
> pokrzywdzonego.
>
> ????
>
> Czyli jeśli złapią kogoś takiego kto to ma, ale nie da się ustalić
> poszkodowanych to §5 uniemożliwia podjęcie jakichś działań prawnych ?
>
> Bo jeszcze jest:
>
> Art. 269b. § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym
> osobom urządzenia lub programy komputerowe przystosowane do popełnienia
> przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a §
> 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2, art. 269a, art. 270 § 1
> albo art. 270a § 1, a także hasła komputerowe, kody dostępu lub inne
> dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w
> systemie informatycznym, systemie teleinformatycznym lub sieci
> teleinformatycznej,
> podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
> § 1a. Nie popełnia przestępstwa określonego w § 1, kto działa wyłącznie
> w celu zabezpieczenia systemu informatycz-nego, systemu
> teleinformatycznego lub sieci teleinformatycznej przed popełnieniem
> przestępstwa wymienionego w tym przepisie albo opracowania metody
> takiego zabezpieczenia.
> § 2. W razie skazania za przestępstwo określone w § 1, sąd orzeka
> przepadek określonych w nim przedmiotów, a może orzec ich przepadek,
> jeżeli nie stanowiły własności sprawcy.


Wyróżniłbym kilka kluczowych sformuowań:
"Kto wytwarza,"
"kto działa wyłącznie w celu zabezpieczenia systemu"

i nawet jeśli ktoś jest tylko hobbystą, to bez poddania go torturom nie
przyzna się, że napisał program w innym celu niż dozwolony.

§ 3. kto w celu uzyskania informacji, do której nie jest uprawniony,
zakłada lub posługuje się oprogramowaniem.

i tu będzie się się upierał, że cel był inny niż uzyskanie informacji

do góry

On 2024-03-27, Monika Głowacka <m...@g...pl> wrote:
> Czy napisanie takiego programu jak Pegasus przez wytrwałego informatyka
> to jest duży problem?

Nawet dla ponadprzeciętnego informatyka napisanie czegos takiego jest
praktycznie niemożliwe. To są narzędzia oparte najcześciej na dziurach w
oprogramowaniach telefonów, których to dziur nikt jeszcze nie
upublicznił. Jedna taka dziura dająca dostęp do popularnego telefonu
(systemu) może być warta grube miliony dolarów. Ludzi, którzy potrafią
znaleźć takie dziury jest na świecie niezbyt wielu.

> Czy zainstalowanie komuś takiego programu bez jego wiedzy to jest:
>
> Art. 267. § 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla
> niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do
> sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne,
> magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie,
> podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności
> do lat 2.
> § 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do
> całości lub części systemu informatycznego.
> § 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której
> nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym,
> wizualnym albo innym urządzeniem lub oprogramowaniem.
> § 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony
> w § 1-3 ujawnia innej osobie.
> § 5. Ściganie przestępstwa określonego w § 1-4 następuje na wniosek
> pokrzywdzonego.
>
> ????

Zwykle jest.

> Czyli jeśli złapią kogoś takiego kto to ma, ale nie da się ustalić
> poszkodowanych to §5 uniemożliwia podjęcie jakichś działań prawnych ?

Mieć nie wystarczy. Trzeba użyć. Więc zgadza się, jesli tylko ma i nie
wiadomo czy kogos tym potraktował to nic nie zrobisz.

--
Marcin

do góry

W dniu 28.03.2024 o 00:21, Marcin Debowski pisze:
> Ludzi, którzy potrafią
> znaleźć takie dziury jest na świecie niezbyt wielu.
wykluczasz, że te dziury mogą być celowe?
--
(~) Robert Tomasik

do góry

On 2024-03-27, Robert Tomasik <r...@g...pl> wrote:
> W dniu 28.03.2024 o 00:21, Marcin Debowski pisze:
>> Ludzi, którzy potrafią
>> znaleźć takie dziury jest na świecie niezbyt wielu.
> wykluczasz, że te dziury mogą być celowe?

Backdoors? Zastanawiałem się nad tym. Zasadniczo nie wykluczam. Z
drugiej strony, dla firmy oferującej system wydaje się to być sporym
ryzykiem. Np. Apple buduje swoją pozycję na braku uległości instytucjom
rządowym aby takie "dziury" udostępniać. Ale też każda rozwinięta
technologicznie firma z dowolnej dziedziny ma swoje tajemnice i
niekoniecznie kiedykolwiek ujrzą one światło dzienne.

Tak, że całkiem mozliwe, z tym, że wtedy też pojawi się pytanie,
dlaczego akurat firma z Izraela miałaby być powiernikiem tego typu
technologii? No chyba, że to celowy zabieg, bo Izraelici są znani z
rozbudowanej "intelligence" w różnej postaci, a gdyby to była firma np.
ze Stanów to takie wątpliwości byłyby dużo bardzo oczywiste.

--
Marcin

do góry

W dniu 28.03.2024 o 00:21, Marcin Debowski pisze:
> On 2024-03-27, Monika Głowacka <m...@g...pl> wrote:
>> Czy napisanie takiego programu jak Pegasus przez wytrwałego informatyka
>> to jest duży problem?
>
> Nawet dla ponadprzeciętnego informatyka napisanie czegos takiego jest
> praktycznie niemożliwe. To są narzędzia oparte najcześciej na dziurach w
> oprogramowaniach telefonów, których to dziur nikt jeszcze nie
> upublicznił. Jedna taka dziura dająca dostęp do popularnego telefonu
> (systemu) może być warta grube miliony dolarów. Ludzi, którzy potrafią
> znaleźć takie dziury jest na świecie niezbyt wielu.

Wykluczyć się nie da, ale myślę, że to głównie znane podatności tylko
odpowiednio wykorzystane. Podatności się zmieniają, trzeba to ciągle
aktualizować.

Taki przykład
https://sekurak.pl/najnowszy-ios-lata-podatnosc-0day
-wykorzystywana-przez-pegasusa-latajcie/

Poza tym nie chodzi tylko o to, że się da, ale by to było użyteczne dla
operatora. Więc tak czy siak nad takim oprogramowaniem normalnie pracuje
duży zespół. Ale w ogóle włamać się może jeden hacker.

do góry

Robert Tomasik <r...@g...pl> pisze:
> W dniu 28.03.2024 o 00:21, Marcin Debowski pisze:
>> Ludzi, którzy potrafią
>> znaleźć takie dziury jest na świecie niezbyt wielu.
> wykluczasz, że te dziury mogą być celowe?

Pisz mądrze, Wielki Brat czyta.

Tu jest grupa prawo: Jak często/łatwo da się _udowodnić_ że są/były celowe?
Jak to ile dziur "może" wstawiać/zostawiać USA szacuje (subiektywnie) po
ich "paranoi" w temacie ile dziur może wstawiać ChRL w tym co jest szerzej
używane w USA.

Ile wywiudów po szerokim świece ma środki by takie dziury wyszukiwać?
IMHO przynajmniej kilkanaście, jeśli nie bezpośrednio to przez
finansowanie innych.

Mnie ciekawi KIEDY będzie wielka medialna nagonka na ruskich/chińskich
hakerów (nie tych co trzeba) co się do telefonów/smartfonów włamują.

--
A. Filip
| I ja waść, i ty waść, a kto będzie świnie paść?
| (Przysłowie polskie)

do góry

On Wed, 27 Mar 2024 19:58:56 +0100, Monika Głowacka wrote:
> Czy napisanie takiego programu jak Pegasus przez wytrwałego informatyka
> to jest duży problem?
> Czy zainstalowanie komuś takiego programu bez jego wiedzy to jest:

Trzeba odkryc jakis sposób. A najlepiej kilka sposobów.
Trudno powiedzieć, czy to wytrwałość informatyka, czy szczęście,
czy wytrwałość hackera.

Taki sposób można też kupić odo kogoś, kto na to wpadł.

Dalej pozostaje napisanie całego, niemałego, programu, i zadbanie o
jego ukrywanie. Wieksze programy ludzie/firmy piszą.

> Art. 267. § 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla
> niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do
> sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne,
> magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie,
> podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności
> do lat 2.

Ale podobno była zawsze zgoda sądu.
A może jest wystarczająco dobre ogólne uprawnienie ustawowe
("do zadań policji należy ...")

Pytanie - kto uzyskuje/przełamuje. Policja, ABW, ich konkretny
pracownik, pewna izraelka firma?

Można jeszcze dyskutowac, czy były jakies zabezpieczenia,
czy była otwarta boczna furtka, i nic tu nie trzeba było przełamywać
:-)

> § 5. Ściganie przestępstwa określonego w § 1-4 następuje na wniosek
> pokrzywdzonego.
>
> ????
>
> Czyli jeśli złapią kogoś takiego kto to ma,

w jakim sensie "ma"?
Ma gdzies na komputerze zainstaloway program "sterujący" Pegassusa
umożliwiający przełamywanie zabezpieczeń?

Zainstalowany program nie dowodzi, że był używany.

> ale nie da się ustalić
> poszkodowanych to §5 uniemożliwia podjęcie jakichś działań prawnych ?

Wiecej powiem - wydaje się, że nie możesz ustalać poszkodowanych,
dopóki oni wniosku nie złozą.
A więc i nie mozna zabrać/sprawdzać komputera podejrzanej osobie.

> Bo jeszcze jest:
> Art. 269b. § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym
> osobom urządzenia lub programy kompu-terowe przystosowane do popełnienia

Ale nie "nabywa" :-)

> przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a §
> 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2, art. 269a, art. 270 § 1
> albo art. 270a § 1, a także hasła komputerowe, kody dostępu lub inne
> dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w
> systemie informatycznym, systemie teleinformatycznym lub sieci
> teleinformatycznej,
> podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

> § 1a. Nie popełnia przestępstwa określonego w § 1, kto działa wyłącznie
> w celu zabezpieczenia systemu informatycz-nego, systemu
> teleinformatycznego lub sieci teleinformatycznej przed popełnieniem
> przestępstwa wymienionego w tym przepisie albo opracowania metody
> takiego zabezpieczenia.

J.

do góry

W dniu 28.03.2024 o 00:36, Marcin Debowski pisze:
> Backdoors? Zastanawiałem się nad tym. Zasadniczo nie wykluczam. Z
> drugiej strony, dla firmy oferującej system wydaje się to być sporym
> ryzykiem.

Firma może nie wiedzieć.
--
(~) Robert Tomasik

do góry