Botnety a prawo karne

Botnety
a
prawo karne
Dr hab. Andrzej Adamski, prof. UMK
Katedra Prawa Karnego i Polityki Kryminalnej
Malware
•
•
•
•
•
•
Malware jest głównym źródłem zagrożenia bezpieczeństwa użytkowników
Internetu, w szczególności tzw. „malware dynamiczny” (dynamic malware).
„Dynamiczny złośliwy kod” umożliwia:
– zdalną kontrolę nad zainfekowanymi nim komputerami,
– łączenie komputerów w sieci (tworzenie botnetów),
– wykorzystywanie botnetów do skoordynowanych działań przestępczych na
skalę masową.
Sprzężenie zwrotne : SPAM-BOTNET jest obecnie jednym z głównych czynników
wzrostu zagrożenia cyberprzestępczością.
SPAM jest często nośnikiem malwaru, BOTNETY są zaś wykorzystywane do
rozsyłania spamu.
W 2011 r. 83% spamu na świecie rozesłały botnety (wzrost w stosunku do 2010 r. o 6%).
Na niebezpieczeństwa efektu synergicznego SPAM-MALWARE-BOTNETY
kryminolodzy zwracają uwagę od połowy pierwszej dekady lat 2000.
Schematic – the botnet infection cycle
Ratware
mass-mailing
viruses quickly
delivering large
amounts of email
Malware
Trojan Horses
delivered by
Ratware deliver
Malcode
Botnets
networks of
zombies deliver
DDOS attacks but
also more spam
Malcode
Trojans deliver
viruses / worms.
Worms create
Zombie PCs
Zombies
infected PCs
surrendered to
infectors
From: D. Wall, Repelling
the invasion of botnets,
ESC Conference, Cracow,
2005
Botnet- platforma podziemnej ekonomii w Internecie
•
•
•
Wg szacunków, co 10 -ty komputer na świecie jest zainfekowany malwarem.
Komputery „zombie” są wykorzystywane przez cyberprzestępców głównie do
zarabiania pieniędzy .
SYMANTEC (Four Ways Cybercriminals Profit from Botnets) do pospolitych form
zarabiania pieniędzy przy użyciu botnetów zalicza:
(a) spam – niewielki botnet (10 tys. zainfekowanych komputerów) może wysłać w
ciągu godziny 360 mln e-maili. Taka masa spamu oferującego (podrabiane)
farmaceutyki generuje średnio 28 zamówień po 100 USD każde. Roczny dochód
szacuje się na ok. 3,5 mln USD.
(b) phishing – w październiu 2010 r. agenci FBI aresztowali członków gangu, którzy
przy pomocy malwaru „Zeus” uszczupli depozyty posiadaczy bankowych
rachunków internetowych na kwotę 70 mln USD.
(c) racketeering – haracz za zaniechanie ataku DDoS na witrynę sklepu
internetowego w okresie zakupów przedświątecznych waha się od 10 .000 do
50.000 USD.
(d) okradanie gier internetowych z wirtualnych przedmiotów – w Azji gangi
specjalizujące się w kradzieży wirtualnych przedmiotów z gier internetowych
MMORPG czerpią zyski sięgające setek tysięcy USD.
za: Rik Ferguson, The Botnet Chronicles,
A Trend Micro White Paper
November 2010
Bredolab – charakterystyka botnetu
•
Utworzony wiosną 2009 r. przez G. A. – 27-letniego obywatela Armenii pochodzenia
rosyjskiego który działał na terytorium Armenii i zarządzał botnetem przy pomocy 143
serwerów zlokalizowanych w Holandii i Francji.
•
Główne przeznaczenie softwaru : „kradzież” haseł dostępu do kont bankowych i innych
poufnych informacji umożliwiających nielegalne przechwytywanie danych (keylogery) i
transferowanie środków pieniężnych.
•
Zainfekowane komputery otrzymywały polecenie znalezienia haseł do serwera webowego.
Umożliwiało to instalowanie malwaru na stronie internetowej. Jej odwiedziny mogły
powodować zarażenie malwarem komputer odwiedzającego stronę. Reakcja łańcuchowa
powodowała szybki wzrost liczby zainfekowanych komputerów w botnecie.
•
G.A. wynajmował botnet cyberprzestępcom do rozpowszechniania malwaru, wysyłania
spamu i prowadzenia ataków DDoS. Ze świadczonych usług czerpał korzyści majątkowe,
które wg ustaleń prokuratury sięgały ok. 125 tys. USD miesięcznie.
•
Bredolab został poddany oględzinom (sinkholing) przez wyspecjalizowaną jednostkę policji
holenderskiej , która przejęła kontrolę nad botnetem w październiku 2010 r.
Bredolab - identyfikacja i skazanie botmastera
• Identyfikacja podejrzanego : podsłuch i analiza danych serwera VPN
wykazała, że G.A. używał serwera również w celach „nieprzestępczych” (
np. korzystając z poczty elektronicznej, swojego konta na Facebooku oraz
dostępu do rachunków bankowych).
• Aresztowany na lotnisku w Erewaniu na podstawie międzynarodowego
listu gończego wystawionego przez NHTCU.
• Oskarżony o napisanie oprogramowania i zbudowanie botnetu
składającego się z 30 mln komputerów na świecie.
• Skazany 21 maja 2012 r. wyrokiem sądu I instancji Armenii za kwalifikowany
typ przestępstwa sabotażu komputerowego (art. 253 (3) k. k. ) na cztery
lata kary bezwzględnego pozbawienia wolności.
Bredolab - podstawa kwalifikacji prawnej
Article 253. Computer sabotage
1. Obliteration (sabotage) of computer data or software, isolation or making it unusable, spoilage
of computer equipment or destruction of the computer system, network or on storage media,
is punished with a fine in the amount of 300 to 500 minimal salaries, or with correctional
labor for the term of up to 1 year, or with arrest for the term of 1-3, or with imprisonment for
the term of up to 2 years.
2. The same action:
1) accompanied with access (penetration) into a computer system or network without
permission;
2) negligently caused grave consequences, is punished with correctional labor for the term of
up to 2 years, or with imprisonment for the term of up to 4 years.
3. The acts envisaged in part 1 or 2 of this Article which willfully caused severe
consequences, are punished with imprisonment for 3-6 years.
• Początkowo liczba zarzutów była większa i obejmowała przestępstwa z art. 252 k.k.
(ingerencja w dane), art. 254 k.k. (nielegalne uzyskanie danych) i art. 255 k.k.
(tworzenie lub sprzedaż specjalnych narzędzi do nielegalnej penetracji systemów
lub sieci komputerowych).
• Na skutek ogłoszonej w maju 2011 r. abolicji z okazji 20 rocznicy odzyskania
niepodległości przez Armenię – postępowanie karne w tym zakresie zostało
umorzone.
Konwencja Rady Europy o cyberprzestępczości
Art. 6. Nadużycie narzędzi (misuse of devices)
1. Każda Strona podejmie takie środki prawne i inne, jakie okażą się niezbędne dla uznania za
przestępstwo w jej prawie wewnętrznym, umyślnych i bezprawnych:
a. produkcji, sprzedaży, pozyskiwania z zamiarem wykorzystania, importowania, dystrybucji
lub innego udostępniania:
i. urządzenia, w tym także programu komputerowego, przeznaczonego lub
przystosowanego przede wszystkim dla celów popełnienia któregokolwiek z
przestępstw określonych zgodnie z artykułami 2-5;
ii. hasła komputerowego, kodu dostępu lub podobnych danych, dzięki którym całość
lub część systemu informatycznego jest dostępna
z zamiarem wykorzystania dla celów popełnienia któregokolwiek z przestępstw określonych
zgodnie z artykułami 2-5; oraz
b. posiadania jednostki wymienionej powyżej w punktach a. i. lub ii. z zamiarem wykorzystania
w celu popełnienia któregokolwiek z przestępstw określonych zgodnie z artykułami 2-5.
Strona może w swoim prawie wprowadzić wymóg, że odpowiedzialność karna dotyczy
posiadania większej ilości takich jednostek.
Mariposa
•
•
•
•
•
Botnet o szerokim spektrum zastosowań. Głównie przeznaczony do gromadzenia
danych umożliwiających „kradzież tożsamości” (hasła i loginy, numery kart
płatniczych, kody dostępu do kont na serwisach społecznościowych), również do
wysyłania spamu i prowadzenia ataków typu DDoS.
Autor oprogramowania – 25 letni M.S. (aka „Iserdo”) student medycyny ze
Słowenii sprzedał licencję na program Mariposy m.in. trzem obywatelom Hiszpanii
(aka Netkairo”
,”
Ostiator”i ”
Johnyloleante)”
, którzy zainfekowali malwarem 13 mln
komputerów, gromadząc dane osobowe 800 tys. użytkowników Internetu.
Rozpoczęte w maju 2009 r. dochodzenie przez specjalną grupę operacyjną (policja
hiszpańska, FBI, Panda Security, Defence Intelligence, Georgia Tech) doprowadziło
w grudniu 2009 r. do odcięcia serwerów C&C Mariposy i aresztowania jej
hiszpańskich botmasterów.
Kilkanaście miesięcy później w Słowenii zatrzymano „Iserdo”, który odrzucił
propozycję dobrowolnego poddania się odpowiedzialności w zamian za
współpracę z organami ścigania.
Wniosek rządu USA o ekstradycję „Iserdo” nie został uwzględniony przez władze
Słowenii z uwagi na konstytucyjny zakaz wydawania obywateli tego kraju obcemu
państwu.
Przestępstwo „nadużycia narzędzi” w kodeksach karnych
Słowenii i Polski
Art. 309 k.k. Słowenii
(2) Kto wytwarza lub oferuje innej osobie
podrobiony klucz, wytrych lub inne narzędzie
służące do włamania, wiedząc o tym, że
będzie ono wykorzystane do popełnienia
przestępstwa,
podlega karze pozbawienia wolności
na czas nie dłuższy od roku.
(3) Kto posiada, wytwarza, sprzedaje ,
udostępnia do używania, eksportuje,
importuje lub w inny sposób
dostarcza narzędzia służące do
włamania się lub uzyskania
nieuprawnionego dostępu do
systemu informatycznego z zamiarem
popełnienia przestępstwa,
podlega tej samej karze.
Art. 269b k.k. § 1. Kto wytwarza,
pozyskuje, zbywa lub udostępnia
innym osobom urządzenia lub
programy komputerowe
przystosowane do popełnienia
przestępstwa określonego w art. 165
§ 1 pkt 4, art. 267 § 3, art. 268a § 1
albo § 2 w związku z § 1, art. 269 § 2
albo art. 269a, a także hasła
komputerowe, kody dostępu lub inne
dane umożliwiające dostęp do
informacji przechowywanych w
systemie komputerowym lub sieci
teleinformatycznej,
podlega karze pozbawienia
wolności do lat 3.
Coreflood
•
•
•
•
•
Działał kilka lat, zainfekował 2 mln komputerów, głównie w USA.
wyszukiwał dane osobowe i finansowe użytkowników zainfekowanych
komputerów , instalował keyloger, przechwytywał sesje klient- bank, przelewał
„skradzione” środki za granicę, najwyższa wartość jedn. szkody – 900 tys. USD .
sprawcy NN
system przejęty przez Departament Sprawiedliwości i FBI w kwietniu 2011 r.
procedura:
– pozew cywilny p-ko 13 nieznanym sprawcom („John Doe”),
– sądowy nakaz przeszukania i zajęcia serwerów C&C w 29 domenach amerykańskich,
– zarządzenie tymczasowe sądu zezwalające organom ścigania na odpowiadanie na
sygnały (ping) wysyłane przez zainfekowane komputery - cel:
 zatrzymanie pracy programu Coreflood na „zarażonych” komputerach (ochrona
użytkowników przed dalszym ewentualnym pokrzywdzeniem),
 zablokowanie automatycznej aktualizacji Coreflood (umożliwienie producentom
programów antywirusowych opracowanie sygnatur wirusa rozpoznających ostatnią
wersję Coreflood)
-- zawiadomienie „ofiar” Coreflood o zainfekowaniu komputerów przez FBI + instrukcja
usunięcia szkodliwego programu z komputera.
-- przekazanie przez FBI zagranicznych adresów IP komputerów zainfekowanych Coreflood
organom policji odpowiednich państw.
Coreflood
the U.S. Attorney's Office said the number of "beacons," or requests, from Coreflood in the U.S.
dropped from about 800,000 on April 13 to just under 100,000 on April 22.
Wniosek – Dyrektywa PARLAMENTU EUROPEJSKIEGO I RADY
dotycząca ataków na systemy informatyczne i uchylająca decyzję ramową Rady
2005/222/WSiSW
Artykuł 7
Narzędzia używane do popełniania przestępstw
Państwa członkowskie podejmują środki niezbędne do zagwarantowania, by wytwarzanie,
sprzedaż, dostarczanie w celu użycia, przywóz, posiadanie, rozpowszechnianie lub
udostępnianie w inny sposób następujących elementów było karalne jako przestępstwo, jeżeli
zostało dokonane umyślnie i bezprawnie w celu popełnienia przestępstw, o których mowa w
art. 3-6:
a) urządzenia, w tym programu komputerowego, zaprojektowanego lub
przystosowanego głównie do celu popełniania przestępstw, o których mowa w art. 3- 6;
b) hasła komputerowego, kodu dostępu lub podobnych danych umożliwiających dostęp
do całości lub części systemu informatycznego;
Wniosek – Dyrektywa PARLAMENTU EUROPEJSKIEGO I RADY
dotycząca ataków na systemy informatyczne i uchylająca decyzję ramową Rady
2005/222/WSiSW
Artykuł 10
Okoliczności obciążające
Państwa członkowskie podejmują środki niezbędne do zagwarantowania, by
przestępstwa, o których mowa w art. 3-6, podlegały karom kryminalnym o
maksymalnej wysokości nie mniejszej niż pięć lat pozbawienia wolności, jeżeli
zostały popełnione z wykorzystaniem narzędzia zaprojektowanego do
przeprowadzania ataków dotykających znacznej liczby systemów
informatycznych lub ataków powodujących znaczne szkody, takie jak zakłócenie
usług systemowych, straty finansowe lub utrata danych osobowych.
Wnioski
• Botnety są elementem infrastruktury informatycznej wykorzystywanym do
popełniania cyberprzestępstw na skalę masową.
• Stanowią poważne wyzwanie dla organów ścigania i wymiaru
sprawiedliwości. Przede wszystkim ze względu na:
– problemy techniczne związane z identyfikacją administratorów
botnetów,
– problemy prawne związane z pociągnięciem do odpowiedzialności
karnej osób zaangażowanych w tworzenie i używanie botnetów,
– problemy techniczne i prawne związane z likwidacją botnetów
będących źródłem zagrożenia dla użytkowników Internetu.
• Sygnalizowane problemy wymagają badań w celu sformułowania
wniosków i postulatów de lege lata i de lege ferenda.