Archiwa tagu: prawo

Afera z ACTA

Gdzie nie spojrzeć – ACTA i Anonymous. Boję się otworzyć lodówkę. Ktoś gdzieś stwierdził, że podwyżkę VATu społeczeństwo przełknęło, podwyżkę akcyzy na paliwo też, ale jak rząd chce zabrać lolcaty, to wielkie zamieszanie. Tylko czy ten protest ma jakikolwiek sens?

Przez dłuższą chwilę próbowałem znaleźć informacje czemu ACTA jest złem. Bez problemu dotarłem do artykułu Vagli ze wskazówkami dla dziennikarzy o co pytać polityków. Znalazłem tam cały rząd zastrzeżeń dotyczących sposobu procedowania przy opiniowaniu ACTA. Co do samego ACTA na większości stron znalazłem tylko frazesy – że to cenzura, że odbiera prawa, że internauci do więzień i inne tego typu bzdury. Wiedząc jak wyglądają internetowe protesty, od razu zapaliła mi się żaróweczka ostrzegawcza. Zacząłem grzebać dalej. I co? I… w sumie to w kontekście ogólnego krzyku, niewiele.

Czym jest ACTA

ACTA, czyli Anti-Counterfeiting Trade Agreement, to porozumienie kilku państw (aktualnie ACTA podpisało 8 państw, dwa kolejne + Unia Europejska jeszcze się wstrzymały) w kwestii ustalenia standardów walki z towarami podrobionymi, a w ogóle – własnością intelektualną. Wymaga wprowadzenia pewnych rozwiązań prawnych, które powinny wprowadzić państwa-sygnatariusze, a niektóre sugeruje.

Po co podpisywać?

Cóż… nie mam pojęcia. Nigdzie nie widziałem informacji na temat korzyści z podpisania tego aktu. Minister Boni zajmował się jedynie kontrowaniem argumentów przeciwników, natomiast czemu byśmy mieli być zainteresowani dołączeniem do grupy ACTA – nie powiedział. Według zwolenników ACTA, podpisanie tego porozumienia nie spowoduje konieczności wprowadzenia żadnych zmian w polskim prawie. Tylko w takim razie po co to podpisywać, i jak zwolennicy (chyba tylko wydawcy płyt i część artystów) mogą teraz głośno twierdzić, że ta umowa spowoduje podwyższenie standardów ochrony ich własności intelektualnej? Jak coś, co nic nie zmienia, sprawi, że im będzie lepiej?

Czemu nie podpisywać?

Pomijając całą zadymę wokół sprawy, zastrzeżenia prawne co do ACTA dotyczą w większości faktu, że ACTA jest przestarzałe, nie wnosi nic nowego, i tylko utrwala stary system, nie przystający do doby Internetu. Nie trudno dopasować fakty komu taka sytuacja jest na rękę: RIAA czy MPAA (amerykańskie zrzeszenia przemysłu odpowiednio muzycznego i filmowego), zajmujące się w imieniu wielkich korporacji procesowaniem się z piratami, ochoczo podają naciągane wyliczenia pokazujące, że jak ktoś ściągnął płytę, to jest to równoznaczne ze utratą przychodów firmy o cenę płyty, gdyż gdyby jej nie ściągnięto z internetu, to na pewno ta sama osoba by kupiła tą płytę w sklepie. Co więcej, ACTA sankcjonuje wyliczenia wzięte z czapy, sugerując że sądy muszą brać pod uwagę „przedstawionego przez posiadacza praw jakiegokolwiek zgodnego z prawem obliczenia wartości, które może obejmować utracone zyski, wartość towarów lub usług, których dotyczy naruszenie”.

Hołdys czy Kora głośno krzyczą, że bez ACTA będą biedni, ale jakoś nie mają nic na poparcie swoich tez – jedynie stwierdzenia, że ich płyty coraz gorzej się sprzedają, ale może to powinno im dać nieco do zastanowienia w innym kontekście.

Konrad Gliściński z Katedry Prawa Cywilnego UJ napisał ciekawą opinię na temat ACTA, patrząc z punktu widzenia prawnika. Już na samym początku można przeczytać, że już w preambule stosowane są stwierdzenia będące co najmniej nadużyciem, analogicznym do tych stosowanych przez przemysł fonograficzny, sugerujące, że prawa autorskie mają kluczowy wpływ na wzrost gospodarczy, na co nie ma żadnych dowodów.

ACTA samo w sobie nie narzuca żadnych zmian Polsce, gdyż, jak wiele osób zauważyło, nasze prawo autorskie jest bardziej restrykcyjne niż zapisy tej umowy, jednak kreuje kierunki rozwoju prawa, oraz sugeruje kierunki interpretacji sądowej. We wspomnianej wyżej analizie podany jest przykład sugestii, że karane powinno być nagrywanie filmów w kinach. Jest to jedynie sugestia, jednak taka sugestia może być podparciem wyroku sądowego w kwestii dozwolonego użytku (jeśli ACTA sugeruje penalizację takiego zachowania, to wykracza to poza dozwolony użytek). Problemem jest też fakt, że zapisy ACTA chronią w zasadzie wyłącznie koncerny, natomiast nie gwarantują zwykłemu obywatelowi dostępu do dóbr intelektualnych, jak to robi w Polsce np. prawo o dozwolonym użytku. Nie ma równowagi między ochroną a dostępem.

Trzy kwestie z tego porozumienia trzeba podkreślić: odpowiedzialności karnej, domniemania niewinności, oraz ochrony danych osobowych.

W prawie Unii Europejskiej naruszenie dóbr niematerialnych nie powoduje odpowiedzialności karnej, co z kolei jest przewidywane przez ACTA. Brak jest proporcjonalności kary do występku – tutaj warto przywołać przykład podawany w USA w czasie walki o zablokowanie SOPA, pokrewnego aktu: „Za wrzucenie do internetu piosenki Michaela Jacksona dostałbyś 5 lat więzienia – o rok więcej niż człowiek, który przyczynił się do jego śmierci.”

W kwestii domniemania niewinności aż zacytuję cały artykuł Aktu, bo to chyba najlepiej zilustruje problem:

Każda strona przyznaje swoim organom sądowym prawo zastosowania środków tymczasowych bez wysłuchania drugiej strony w stosownych przypadkach, a szczególności, gdy jakakolwiek zwłoka może spowodować dla posiadacza praw szkodę nie do naprawienia lub gdy istnieje możliwe do wykazania niebezpieczeństwo, że dowody zostaną zniszczone (…) Każda Strona przyznaje swoim organom sądowym prawo do podejmowania natychmiastowego działania w odpowiedzi na wniosek o zastosowanie środków tymczasowych

To chyba można pozostawić bez komentarza.

Wymogi w kwestii ujawniania danych osobowych skrytykowało nawet GIODO. ACTA zawiera zapis na mocy którego „posiadacz praw” może zażądać przekazania mu danych osobowych osoby podejrzewanej o naruszenie jego praw własności intelektualnej, włączając w to informacje dotyczące dowolnej osoby zaangażowanej w jakikolwiek aspekt naruszenia lub podejrzewanego naruszenia oraz dotyczące środków produkcji lub kanałów dystrybucji towarów lub usług stanowiących naruszenie lub co do których zachodzi podejrzenie naruszenia, w tym informacje umożliwiające identyfikację osób trzecich, co do których istnieje podejrzenie, że są zaangażowane w produkcję i dystrybucję takich towarów lub usług, oraz identyfikację kanałów dystrybucji tych towarów lub usług – czyli wszystkich i jego babcię też. Bez wyroku. „Przynajmniej dla celów zgromadzenia dowodów”.

ACTA jest dokumentem bardzo ogólnym, nie zawierającym definicji własności intelektualnej. Dotyczy i metki z logo Nike, i leków generycznych. I właśnie przez to nakładanie na siebie przez Państwo ograniczeń, jest złe. Bo przez nieograniczone niczym stwierdzenia odcina się np. akceptację możliwości stosowania leków generycznych (czyli o takim samym składzie jak leki opatentowane, ale bez „metki”) w krajach trzeciego świata. Dodatkowo akty międzynarodowe mają pierwszeństwo przed ustawami.

Jeszcze kilka ciekawostek z ACTA:

  • sugerowane jest niszczenie towaru jako domyślne zachowanie, nawet jeśli wystarczyłoby odprucie metki
  • urzędnicy nie mogą być pociągani do odpowiedzialności za działania w myśl ACTA
  • Polak, który przed polskim sądem przegra sprawę z wielkim koncernem, zatrudniającym za amerykańskie stawki prawnika, będzie musiał zapłacić za tego prawnika

Nie tą drogą?

Największe zastrzeżenia budzi to, w jaki sposób postępowały prace nad ACTA. Prace te były trzymane w tajemnicy od samego początku, czyli roku 2006. Co nieco wyciekło w roku 2008, poprzez WikiLeaks. Wtedy też niektóre, najbardziej kontrowersyjne zapisy, zostały złagodzone (swoją drogą ciekawe co by było, gdyby sprawa nie wyszła na światło dzienne). Negocjacje trwały dalej, i dalej były niejawne. Co więcej, na pytanie organizacji pozarządowych o możliwość konsultacji, dostali odpowiedź odmowną, bo sprawa jest niejawna. Dalej sprawa była przepychana bocznymi drogami – np. informacja o przyjęciu porozumienia przez Radę Unii Europejskiej znalazła się na stronie 43 komunikatu prasowego na temat rolnictwa i rybołówstwa.

W polskim rządzie nie było lepiej – konsultacje między ministerstwami były prowadzone w trybie obiegowym, rozpoczętym na chwilę przed reorganizacją rządu, przez co dokument nie trafił do ministerstw, których w poprzedniej kadencji po prostu nie było.

Aktualnie rząd prze do podpisania dokumentu w Tokio 26 stycznia, pomimo tego, że ACTA zobowiązuje państwa do podpisu do 31 marca 2013 roku. Ale nasz rząd jest na tyle łaskawy, że planuje rozpocząć akcję informacyjną, tyle że po podpisaniu Aktu – tłumaczy się, że ACTA będzie musiała zostać jeszcze ratyfikowana przez Parlament, więc wcale nie jest za późno na tłumaczenie zalet umowy. Mnie ciekawi jednak, że tłumaczenia ze strony ministrów koncentrują się na odpieraniu zarzutów, a nie informowaniu jak konkretnie podpisanie ACTA poprawi sytuację twórców – wręcz przeciwnie, podkreślane jest, że ACTA absolutnie nic nie zmieni.

Podsumowując

Czy ACTA jest złym dokumentem? Tak, bo utrwala stare zasady, przekłada stare ustawodawstwo dotyczące materialnych towarów na „rynek” internetowy, a do czego to prowadzi wszyscy wiedzą. Tak, bo ogranicza swobodę państwa. Tak, bo jest bardzo ogólna, a dotyczy tematu zawierających wiele rzeczy wyjątkowych dla poszczególnych rynków (do jednego worka wrzucane są leki, oprogramowanie, trampki i piosenki). Tak, bo łamie pewne zasady: domniemania niewinności (zajmowanie a priori sprzętu, przekazywanie danych osobowych firmie/osobie skarżącej), równowagi prawnej między odbiorcą a twórcą.

Czy jest to powód do paranoi, że zaraz wszystkich pozamykają za wklejanie lolcatów? Nie.

ALE. Na mocy postanowień ACTA możliwy jest taki oto wyolbrzymiony scenariusz: z sieci BitTorrent ściągasz nowy system Ubuntu (całkiem legalnie – system jest darmowy). Universal Music, widząc ruch na torrentach, uznaje że piracisz, i rozpoczyna działania w myśl ACTA: rekwirują ci cały sprzęt (w myśl art. 12 ACTA), wyciągają dane osobowe o całej rodzinie i znajomych z fejsa (w myśl uogólnienia „dowolnej osoby zaangażowanej w jakikolwiek aspekt (…)” – art. 11 ACTA) i przekazują od razu do Universal (art. 11 ACTA). Przegrywasz, bo na pewno coś znajdą na kompie (chociażby bufor przeglądarki – tutaj szczególnie widać niedostosowanie starych uregulowań do aktualnych czasów, kiedy to żeby obejrzeć cokolwiek w Internecie trzeba to ściągnąć na dysk, czyli – skopiować), musisz zapłacić wyssane dane na podstawie jakiegokolwiek wyliczenia, jakie tylko Universalowi przyjdzie do głowy (art. 9 ACTA), i musisz zapłacić gażę amerykańskiego prawnika, który reprezentował Universal (art.9 pkt 5).

Jakkolwiek jest to przekoloryzowana historyjka, jest możliwa.

Nie jestem prawnikiem. Chciałem po prostu uzyskać kompetentne informacje a nie medialną i fanatyczną papkę. A co konkretnego znalazłem – przepisałem dla potomności. Jeśli w jakimkolwiek miejscu się mylę, proszę o informacje, poprawię.

Edit:

Linki

Hakerzy URLi

Od kilku dni we wszystkich mediach szeroko komentowana jest sprawa wycieku dużej ilości CV i listów motywacyjnych z programu stażowego banku Pekao S. A. Sprawa została omówiona przez blog WebFan, AntyWeb opisał reakcję PeKaO na całą sprawę, a VaGla przeanalizował sprawę od strony odpowiedzialności – tak więc chyba nie trzeba więcej dodawać.

Przy jej okazji tej sprawy, opublikowana została wypowiedź pana Arkadiusza Mierzwy, dyrektora biura prasowego Pekao, który zapowiadał przekazanie Policji adresów IP osób, które pobierały CV. Osoby te miały by zostać pociągnięte do odpowiedzialności karnej, gdyż wykorzystali błąd informatyków i bezprawnie ściągali na swoje komputery prywatne dane z serwera banku PEKAO SA. Ten sam pan powiedział, że dane były ukryte, gdyż trzeba było przecież specjalnie wstukać określony adres.

Pomijając wszystkie inne kwestie związane z brakiem zabezpieczeń, przychodzi mi do głowy inne pytanie – czy otwarcie jakiegokolwiek URLa może być traktowane jako włamanie?

Do sprawy bezpieczeństwa można podchodzić jak pan z Pekao, dla którego katalog, do którego nie ma linku, jest zabezpieczeniem – klasyczny przykład security through obscurity. Założenie, że takie działanie zapewnia „bezpieczeństwo”, jest błędne, z wielu powodów. Pan Mierzwa doszedł do wniosku, że pomysłowość internautów doprowadziła do odkrycia „schowanych” katalogów (błędny wniosek, ale o tym później) – tak więc jeśli ktokolwiek miał w którymkolwiek momencie projektowania/konfigurowania aplikacji na myśli bezpieczeństwo, wiedziałby, że prędzej czy później ktoś spróbuje wpisać adres ze zmienionym ID, spróbuje wylistować katalog, czy poszuka katalogów „tmp”.

W podobnej atmosferze rozegrała się „afera” wycieku raportu kwartalnego spółki Intentia International, który to raport został omówiony przez agencję Reuters jeszcze przed jego oficjalnym opublikowaniem. Oczywiście raport był niezabezpieczony, a jedynie „niepodlinkowany”. Intentia oskarżyła Reutersa o stosowanie hackingu w celu wykradnięcia tajnych danych. Widać ostatnio dużo łatwiej jest zostać hakerem niż kiedyś – wystarczy zmienić „raport_kwartalny_2” na „raport_kwartalny_3” w pasku przeglądarki. Dziwne tylko, że Intentia nie wstydziła się chwalić wszystkim, że przechowuje niezabezpieczone dane.

Ale w sprawie Pekao sprawa była jeszcze prostsza. Nikt nie musiał „hakować URLi”. Glucio, osoba która odkryła sprawę i ją trochę nagłośniła, wcale nie kombinowała z adresami. Otóż Glucio, w celach rozrywkowych, szukał w Google osób o takim samym jak on nazwisku – przypadek chciał, że takie nazwisko miała jedna z osób, która przesłała swoje CV do programu stażowego Pekao. Jeśli wejście na stronę znalezioną przez wyszukiwarkę wg. przedstawicieli Pekao jest przestępstwem, to jest to świetny sposób na nielubianych znajomych i wrednych szefów. Wystarczy podrzucić takiej osobie link do jakiegoś CV, najlepiej jeszcze zakryć link przez jakiegoś skracacza URLi, i już, kłopoty „wroga” murowane.

Jakim cudem GoogleBot trafił na strony, do których podobno nie było linków? Prawdopodobnie któryś z programistów projektu miał Google Toolbar, który przekazuje dane do wyszukiwarki – co pokazuje, że musieli być świadomi, że można wyświetlić listing katalogu (na razie teorie o włamaniu pomijam jako niepotwierdzone). W jakim świetle to stawia oskarżenia pana Mierzwy? Zastosował on spychologię, ale najwyraźniej oskarżył nie tych co trzeba – powinien zapowiedzieć podanie do sądu robaka Google’a.

W takich sytuacjach pojawia się kilka pytań. Na przykład, czym wpisanie adresu http://example.com/tajne_dane/ różni się od wpisania samego http://example.com/, i trafienia tam na tajne dane, „ukryte”? W podobnych sytuacjach kilka razy słyszałem dziwne „analogie” i porównania do sytuacji, kiedy to ktoś nie zamknie drzwi od domu na klucz, a ktoś obcy skorzysta z tego i wejdzie do środka. Ciężko strony WWW ciężko traktować jak „dom” – do obejrzenia strony (a przynajmniej tej niezabezpieczonej hasłem) nie trzeba „zaproszenia”. Jeśli już bym się silił na jakieś porównanie, to prędzej bym porównał tą sytuację do prób otwierania drzwi sklepów lub biur, ale chyba wchodzenie do sklepu bez zaproszenia nie jest ani zakazane ani naganne moralnie. Ale nawet co do domów sprawa wygląda ciekawie. Otóż według prawa, aby doszło do włamania, drzwi muszą być zabezpieczone zamkiem, i to takim, który stanowi faktyczne zabezpieczenie, a nie tylko symboliczne – klamka czy dostępny od zewnątrz „haczyk” nie jest takim zabezpieczeniem:

Podstawową istotą włamania jest wtargnięcie sprawcy do zamkniętego pomieszczenia, przez usunięcie przy użyciu siły fizycznej przeszkody zamykającej dostęp do danego pomieszczenia. Pomieszczenie musi być zamknięte, tj. w taki sposób zabezpieczone przed wtargnięciem osób powołanych by normalne wejście było niemożliwe.
Usunięcie takiej przeszkody jest wyraźnym obejściem woli właściciela pomieszczenia niedopuszczenia osoby trzeciej do tegoż pomieszczenia. Zaznaczyć tu należy, iż wola ta musi być w poważny sposób wyrażona. Zamknięcie pomieszczenia na zwykły haczyk, który bez większej trudności każdy może odsunąć czy też zwykłą klamkę bez użycia klucza nie może być traktowane jako zamknięcie pomieszczenia i w takich wypadkach wejścia doń sprawcy i dokonanie kradzieży nie można traktować jako włamania.

(Wyrok SN z 24 kwietnia 1958 r., IV KRN 170/58.)

Poszukiwanie niezabezpieczonych, „tajnych” katalogów, na chybił-trafił, czy też mając jakieś wskazówki, to jedna strona problemu. Druga, to „ataki”, które przeprowadza się teoretycznie na formularze (np. logowania), a poprzez błędną ich konstrukcję (tj. akceptowanie parametrów GET), możliwe jest zrobienie tego po prostu przez wpisanie odpowiedniego URLa. W ten sposób można wykonywać m. in. ataki SQL-injection. Na ten temat można znaleźć w Internecie kilka historii. Na przykład znany jest przypadek Mateusza, który odkrył błąd w oprogramowaniu pewnej firmy informatycznej (prawdopodobnie CMS, ale nie zostało to nigdzie jasno napisane), z którego korzystało wiele firm. Błąd ten pozwalał w prosty sposób uzyskać dostęp do konta dowolnego użytkownika – wystarczyło wpisać w formularzu logowania ' or 1=1 --. Jeśli dodatkowo formularz akceptował parametry GET, można było to wpisać w pasku adresu. Mateusz poinformował o błędzie firmę programistyczną oraz jej klientów, z propozycją zajęcia się poprawą tego błędu, za co dostał nagrodę w postaci aresztowania i oskarżenia o wymuszenie rozbójnicze (!). Sprawa jest długa i zawiła, została dokładnie opisana przez zainteresowanego, i ciągnie się od 1,5 roku. Rzecz w tym, że prawnicy analizujący tą sprawę, a także poproszony przez prokuraturę o opinię rzeczoznawca, doszli do wniosku, że w tym przypadku nie doszło do żadnego przestępstwa. Specjaliści doszli do wniosku, że takie zabezpieczenie to żadne zabezpieczenie (dosłownie!), więc nie można mówić o omijaniu zabezpieczenia, a co dopiero jego przełamywaniu.

Kwestia różnicy między omijaniem a przełamywaniem zabezpieczenia w kontekście systemów informatycznych jest dla mnie bardzo niejasna. Co nieco mówią na ten temat dwa cytaty:

Reasumując, o popełnieniu przestępstwa określonego w art. 267 par 1 kk decyduje sposób uzyskania zastrzeżonej informacji, nie zaś samo jej uzyskanie. Jeżeli następuje to bez przełamywania zabezpieczeń – przestępstwa nie ma. Jeżeli sprawca wykorzystuje dziurę w konfiguracji lub oprogramowaniu systemowym po to, by uzyskać znajdującą się w systemie informację – nie można mu nawet przypisać usiłowania przestępstwa, o którym mówi art. 267 par 1 kk. Jeżeli wykorzystanie słabości systemu nie wymaga od hackera ingerencji w zapis na komputerowym nośniku informacji lub korzystania ze specjalnego oprogramowania – zachowanie takie w ogóle nie jest karalne.

(dr Andrzej Adamski, „Prawo karne komputerowe” (str.53), na temat art. 267 kk)

Nie można natomiast uznać za przełamanie zabezpieczenia obejścia mechanizmów lub procedur postępowania uniemożliwiających zapoznanie się z informacją osób nieuprawnionych. Przełamanie zabezpieczenia następuje wyłącznie wówczas, gdy sprawca swoim działaniem wpływa na funkcjonowanie tego zabezpieczenia. Jeżeli istnieje taki sposób dostępu do informacji, który nie został objęty szczególnym zabezpieczeniem, to skorzystanie z tego sposobu nie stanowi realizacji znamion z art. 267 § 1, choćby nawet osobie zapoznającej się z informacjami wiadoma była wola ich zabezpieczenia przed osobami postronnymi.

(Włodzimierz Wróbel – „Komentarz do art. 267 kodeksu karnego”, „Kodeks karny. Część szczególna. Tom II. Komentarz do art. 117-277 k.k.”, Zakamycze 2006)

Z powyższych informacji wynika, że jeśli ktoś ma zbyt wyluzowane podejście do technik bezpieczeństwa, to to jest to tylko i wyłącznie jego wina jeśli coś „wycieknie”. Jeśli SQL injection, który jest już dosyć aktywnym atakiem, w pewnym, dosyć szerokim kontekście, nie może zostać uznany za przestępstwo, to co myśleć o wejściu na wyguglany adres?