"Rozszerzona konfiskata" a pentesterzy i łowcy bugów

[ichito]

Nasz kraj wciąż "zmienia się na lepsze", a okazji by to potwierdzić znajdziemy co krok. Kolejna nowość dotyczy konsekwencji zmian, które wprowadzać mają przyjęte niedawno przez Sejm przepisy o tzw. konfiskacie rozszerzonej. Reszta we fragmentach z Niebezpiecznika

Zaostrzenie kar za tworzenie narzędzi weryfikujących bezpieczeństwo systemów IT wydaje się nieuniknione. W ubiegły piątek Sejm przyjął przepisy o tzw. konfiskacie rozszerzonej, a wraz z nimi zaostrzył brzmienie już dziś kłopotliwego art. 269b Kodeksu karnego. Pentesterzy i osoby biorące udział w bug bounty narażają się na większą stratę niż obecnie, a dodatkowo łatwiej będzie ich podsłuchiwać.

Na ostatnim posiedzeniu Sejmu, 24 lutego, przyjęto przepisy o tzw. konfiskacie rozszerzonej. Chodzi o to by skazanemu zabrać majątek jakiego dorobił się na przestępstwach. Idea sama w sobie nie jest zła, ale w projekcie ustawy pojawiła się właśnie propozycja zaostrzenia tego nieszczęsnego art. 296b. Zaproponowano zwiększenie wymiaru kary i tym samym wprowadzono możliwość przepadku rozszerzonego wobec przestępstwa umyślnego wytwarzania, sprzedaży dostarczania narzędzi do popełniania przestępstw komputerowych.

Na stronie Sejmu znajdziecie wersję ustawy uchwaloną już przez Sejm i przekazaną do Senatu. W tej wersji projektu, nowe brzmienie art. 269b. jest następujące (wytłuściliśmy zmiany):

§ 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

(...)
Zwracamy jedynie uwagę, że art. 269b może zaszkodzić ludziom dbającym o nasze bezpieczeństwo. Możnaby w tym zakresie znacznie poprawić Kodeks karny i jest już gotowy pomysł jak to zrobić. Ten pomysł w listopadzie ub.r. przedstawiła minister cyfryzacji Anna Streżyńska. Zaproponowała ona wprowadzenie do kodeksu karnego tzw. kontratypów, czyli przepisów wyłączających karalność “szukania dziur” w określonych okolicznościach. Niestety jak dotąd nie widzieliśmy żadnego projektu ustawy, który wprowadzałby te kontratypy.
(...)
Nawiasem mówiąc projekt przepisów o konfiskacie rozszerzonej wzbudza kontrowersje również z innego powodu. Rozszerza on możliwość stosowania podsłuchów. Prokurator będzie mógł o tym zdecydować jeśli tylko uzna, że podsłuch jest konieczny do zidentyfikowania mienia zagrożonego przepadkiem. O zagrożeniach związanych z takim prawem donosiła już m.in. Fundacja Panoptykon.

Omawiany projekt ma ogromne szanse na wejście w życie. W obecnej kadencji Sejmu ponad 3/5 ustaw przyjmowana jest bez poprawek Senatu, a Prezydent jak na razie podpisuje wszystko.

Źródło cytatu

[Aby zobaczyć linki, zarejestruj się tutaj]

To wszystko tym bardziej dziwne, że nasi...polscy łowcy błędów...są wysoko notowani w statystykach zgłaszanych błędów. dane na ten temat opublikowało właśnie Google i wyraźnie widać, że jesteśmy w pierwszej dziesiątce nagradzanych finansowo za znalezione luki/błędy.
Jasne, że mowa o tych, co zarabiają u Google, ale to na pewno jest jakimś wyznacznikiem całego zjawiska i popularności takiej działalności.

[Aby zobaczyć linki, zarejestruj się tutaj]