z polipa : ujawniono publicznie na stronie www liste uzytkownikow SDI z
niezabezpieczonym "open proxy"
________________________________

Pytanie.
Czy bylo to dzialanie w dobrej wierze ?



Jackobi wrote:
>
> "Lukasz Trabinski" <l...@l...wsisiz.edu.pl> wrote in message
> news:ald6v2$145$1@lt.wsisiz.edu.pl...
>
> > Niestety nie jestem prawnikiem, więc trudno mi się wypowiadać w
tej
> > kwestii. Jedno jest pewne, jest tu dużo niedomówień i
nieścisłości -
> > czyli pole do popisu dla prawników w przypadku ewentualnej sprawy.
:)
>
> Ja tez nie, ale mysle ze nalezy tez pamietac o istnieniu kodeksow i
ustaw,
> regulujacych odgornie pewne sprawy. Prawdopodobnie wykroczenia w
sieci mozna
> by tez podciagnac pod nie jeden paragraf KC, pod tytulem szkody,
wyrzadzanie
> szkod itd.
>

Mialem sie nie wtracac, ale dyskusja jest zywa i jeden post pozostanie
niezauwazalny.
Przeczytalem wszystkie posty i mamy niestety do czynienia z typowym
pomyleniem z poplataniem.

Przeczytalem tekst zrodlowy, ktory zawiera 2 istotne informacje warte
przedyskutowania:

1.

"
The IP addresses shown below, which are located on your network,
were recently submitted to us as possible unsecured TCP proxies.
"

2.

"
P.S. Please inform us immediately if you wish to have the information
contained in this security notification kept confidential. If you do
not request us to keep this notification confidential, then a copy of
this entire notification message will be posted on the Monkeys.Com web
site in exactly 7 days. Please note that after that time, ALL MEMBERS
OF THE PUBLIC will be able to access this information concerning the
security problems on your network that are described in this notice.
"

Pierwsza informacja wskazuje, ze adresy ip zostaly przekazane przez
osobe trzecia, a zweryfikowane przez autorow postu.

Druga informacja moze byc uznana za forme ultimatum, tylko wobec kogo
?

Wobec podmiotu gospodarczego, spolki prawa handlowego, spolki akcyjnej
notowanej na gieldzie, z wiekszosciowym kapitalem zagranicznym,
francuskim - France Telecom, ale i udzialem skarbu panstwa.

I niestety nalezy zadac standardowe pytanie.
Kto dokonal nieuprawnionego skanowania portow komputerow wszystkich
uzytkownikow SDI w Polsce, czy uczynil to jednorazowo,
czy wielokrotnie i w jakim celu i na czyje zlecenie.

I dalsze pytania.
Jezeli podmiot otrzymal informacje mogace narazic na szkody wszystkich
uzytkownikow internetu przez SDI w Polsce, wskazanych w tym
zestawieniu,
to czy byl uprawniony do sprawdzania tej informacji bez uprawnienia.

Odpowiedz niestety jest negatywna.
Zadna instytucja nie jest uprawniona do nieuprawnionego skanowania
portow komputerow w jakimkolwiek celu.

A skoro tak, to adresat informacji o uzytkownikach SDI w Polsce,
aby wykazac dzialanie w dobrej wierze,
byl niewatpliwie zobowiazany do skontaktowania sie z operatorem SDI w
Polsce, czyli TP S.A., bez podejmowania prob nieuprawnionej
weryfikacji
otrzymanych informacji.

I taka procedura powinno zakonczyc sprawe.
TP S.A. jest spolka o duzym kapitale, okreslanych procedurach
dotyczacych security i kompetentna, aby temat zalatwic we wlasnym
zakresie.

Zdziwienie zatem budzi oswiadczenie, ze adresat informacji o
zagrozeniu
bezpieczenstwa internetu osmielil sie postawic spolce TP S.A.
ultimatum,
a nastepnie ujawnil i upublicznil w swiecie informacje o klientach SDI
w
Polsce.

Budzi tutaj duza watpliwosc usilowanie uznania dzialania w dobrej
wierze.
O ile informacja o zagrozeniu byla wczesniej znana nielicznym,
to obecnie jest znana na calym swiecie.

W podobnej sprawie, firmy ktora skanowala porty serwerow military,
a nastepnie opublikowala chyba w Washington Post, liste
niezabezpieczonych serwerow, sentencja byla nastepujaca.

Zadne dzialanie hackerskie nie jest dzialaniem w dobrej wierze
i zatem nie stanowi podstawy od zwolnienia od odpowiedzialnosci
i obowiazku naprawienia szkody.
I stad wielkosc odszkodowan liczona w milionach.

Zatem kolejnym przedmiotem tej dyskusji wydaje sie byc teraz
zapytanie, jakie kroki prawne podejmie TP S.A.
w celu ochrony interesow swoich klientow, aby podobne zdarzenie
poufnej informacji nie mialo nigdy wiecej miejsca.

Niewatpliwie TP SA moze sie zwrocic o ujawnienie zrodla informacji i
informatora i ewentualnie skierowac sprawe do prokuratury.

Nastepnie TP SA moze sie zwrocic o opinie prawna do swojego udzialowca
France Telecom i do jednej z amerykanskich kancelarii prawnych,
czy pozyskana przez adresata informacja miala charakter informacji
poufnej i jako taka, podlegala ustawowym procedurom przetwarzania
informacji poufnych w kraju bedacym siedziba adresata.

Co wiecej.
Moze sie okazac interesujace zbadanie, czy "open proxy"
wskazanych serwerow byly wykorzystywane przed data upublicznienia
informacji i jak czesto,
a z jaka czestotliwoscia po upublicznieniu.
Co wiecej, adresat mial swiadomosc ze uzyskal dostep do poufnej
informacji i postawil warunki TP SA, ktore ktos moze okreslic jako
ultimatum.
Czy taka procedura administrowania informacja poufna jest prawnie
dopuszczalna w kraju bedacym siedziba adresata informacji i nadawcy
informacji poufnej, trzeba sprawdzic.

Gdyby sie okazalo ze "open proxy" uzytkownikow SDI w Polsce zostalo
wykorzystane do rozsylania spamu dopiero po ujawnieniu informacji
poufnej, to mozna by zapytac,
czy nie bylo to zatem dzialanie w zlej wierze.

Aby dyskusja byla konkretna, kopia zostaje przeslana do TP SA
z zapytaniem, kto jest uprawniony do skanowania portow komputerow
uzytkownikow SDI w Polsce i jakie dzialania zamierza podjac TP SA,
aby w przyszlosci zapobiec nieuprawnionemu skanowaniu portow tysiecy
uzytkownikow SDI w Polsce i upublicznianiu takiej informacji w
internecie.

Dla jasnosci powtarzam adres zrodla, ktore zostalo zacytowane
na grupie w poscie
"
Subject:
Lista polskich "open proxy" (glownie SDI)
Date:
Fri, 6 Sep 2002 10:28:58 +0000 (UTC)
From:
m...@a...gda.pl (Marek Michalkiewicz)
Organization:
AM ELEKTRONIK s. c.
Newsgroups:
pl.news.mordplik, pl.internet.polip
"


http://www.monkeys.com/security/notices/proxies/2002
0809/by-domain/tpsa.pl-AS05617.asis

Jacek

--
World's First Holographic Computer incorporating Self(EGO) Technology
fit to solve NP problems (knapsack algorithm).
Setting 3D holograms generating 4D-space environments.
Pseudo-holographic 3D Projector/3DTV.