Bankovní institut vysoká škola Praha
Počítačová kriminalita Bakalářská práce
Tomáš Nečas
březen 2010
1
Bankovní institut vysoká škola Praha Katedra práva – K 102
Počítačová kriminalita Bakalářská práce
Autor: Tomáš Nečas Bankovnictví, právní administrativa v podnikatelské sféře
Vedoucí práce: JUDr. David Karabec
Praha
březen 2010 2
Prohlášení Prohlašuji, ţe jsem bakalářskou práci zpracoval samostatně a s pouţitím uvedené literatury.
V Praze 29. března 2010
Tomáš Nečas
3
Anotace
Cílem této práce je vysvětlení pojmu „počítačová kriminalita“ a, upozornění na nebezpečí této trestné činnosti. Práce je rozdělena do několika tématických částí, kde je postupně analyzována specifická a různorodá forma této trestné činnosti, s popisem moţného postihu dle platných norem trestního práva. Za jakých podmínek a kdy tento fenomén vznikl. Dále je zařazen exkurz do minulosti, neboť počítačová kriminalita prošla, stejně jako informační technologie, velkým vývojem. Na závěr je stručná charakteristika organizací zabývající se touto problematikou u nás i ve světě.
Annotation
The aim of this paper is to explain the koncept of „cyber crime“ and warning of the risk of crime. The thesis is dividend in to several parts, which is gradually beány analyzed specific and diverse forms of crime, describing the possible penalty under the applicable standart sof criminal law. Under Chat circumstances and where this phenomenom arises. It is included excursions in to the past as it passed computer crime, as well as information technology, major development. In conslusion, brief description of organizations dealing with this issue in our country and the world.
4
Poděkování Tímto bych chtěl poděkovat JUDr. Davidu Karabcovi za cenné připomínky, rady a poskytnuté materiály ke zpracování mé bakalářské práce.
5
Jméno a příjmení autora:
Tomáš Nečas
Instituce:
Bankovní institut vysoká škola Praha
Název:
Počítačová kriminalita
Počet stran:
41
Počet příloh:
3 6
SEZNAM POUŢITÝCH ZKRATEK
TZ - Trestní Zákoník P2P - Je označení architektury počítačových sítí, ve které spolu komunikují přímo jednotliví klienti(uţivatelé). Opakem je architektura klient – server, ve které jednotliví klienti komunikují vţdy s centrálním serverem či servery, prostřednictvím kterého i komunikují s jinými klienty, pokud je to potřeba. Čistá P2P architektura vůbec pojem server nezná, všechny uzle sítě jsou si rovnocenné ( a působí současně jako klienti i servery pro jiné klienty). V praxi se však často pro zjednodušení návrhu v protokolu objevují specializované servery, které ovšem slouţí pouze pro počáteční navázání komunikace, „seznámení“ klientů navzájem, popř. jako proxy server v případě, ţe spolu z nějakého důvodu nemohou koncové uzly spolupracovat přímo. AZ - Autorský Zákon CD - Compact Disc - kompaktní disk DoS - Denial of Service – hromadné útoky na síť, které zapříčiní nedostupnost sluţby pro uţivatele EHS - Evropské Hospodářské Společenství ES - Evropské Společenství FBI - Federal Bureau of Investigation - Federální Úřad pro Vyšetřování - policejní organizace spadající pod Ministerstvo spravedlnosti USA OSN - United Nations Organization - Organizace spojených národů
7
OBSAH 1. Úvod………………………………………………………………………………...…..8 2. Pojem a obsah počítačové kriminality…………………………………………………10 3.
Historický exkurz do počítačové kriminality………………………………....………13
3.1. Počítačový pravěk…………………………………………………………….……….13 3.2. Počítačový středověk………………………………………………………………….13 3.3. Počítačový novověk……………………………………………..…………….………14 3.4. Historie počítačové kriminality u nás…………………………………………………15 4.
Subjekty zúčastněné v rámci počítačové kriminality…………………………………17
4.1. Osoba pachatele……………………………………………………………………….17 4.2. Osoba poškozeného…………………………………………………………………...19 5.
Trestné činy proti důvěřivosti, integritě a dostupnosti počítačových dat a systémů.…20
5.1. Hacking……………………………………………………………………….…….....20 5.2. Sniffing……………………………………………………………………….……….22 5.3. Narušování dat………………………………………………………………………...22 5.4. Narušování systémů…………………………………………………………………...22 5.5. Prolamovače hesel…………………………………………………….………………23 5.6. Spamming……………………………………………………………………………..27 6.
Trestné činy se vztahem k počítači……………………………………………………30
6.1. Zneuţívání platebních karet Carding a phishing……………………………………...30 6.2. Cyberstalking a kyberšikana …………………………………………………………32 6.3. Škodlivé šíření informací……………………………………………………………..33 7. Trestné činy související s porušováním autorského práva a souvisejících práv...…….35 7.1. Počítačové pirátství a Warez…………………………………………………….……35 7.2. Cybersquatting………………………………………………………………………..37 8. Trestné činy se vztahem k obsahu počítače……………………………………….…..39 9. Organizace zabývající se počítačovou kriminalitou…………………………………..42 10. Závěr…………………………………………………………………….…………….47 11..Seznam pouţité literatury……………………………………………….…………….49 12. Seznam internetových adres…………………………………………….…………….50 13. Přílohy……………………………………………………………………..…………..51 8
ÚVOD
Je zřejmé, ţe z celosvětová informační síť Internet se stala zcela specifickým prostředím, kde se denně pohybuje obrovské mnoţství lidí, proudí v něm ohromné mnoţství nejrůznějších dat, která jsou většinou volně přístupná prakticky komukoli, a uskutečňuje se v něm mnoho obchodních transakcí, při kterých denně přetéká nepředstavitelné mnoţství peněz . Tato informační a komunikační technologie se začala bleskově rozvíjet v druhé polovině 20. století, coţ přineslo lidstvu výrazný technologický a technický pokrok a stala se jedním z nejvýznamnějších fenoménů dnešní doby. V současné době se tato technologie stává nedělitelnou součástí ve všech oblastech kaţdodenního ţivota naší společnosti od zábavy, přes společenský ţivot, sluţby aţ po obchod a umění. Avšak i tato oblast má rub i líc a tak se současně vytváří nové, obtíţně kontrolovatelné kriminální prostředí, kde lze páchat, často i nevystopovatelnou, trestnou činnost tisíce kilometrů od místa činu. Počítačová kriminalita značně zasahuje
do společenského i
osobního ţivota, neboť se v počítačových systémech soustřeďují informace ze všech oblastí ţivota jednotlivců i společnosti. Poškození funkcí těchto informačních systémů, lokálně i celosvětově budovaných by mohlo vést k dezorganizaci ve všech sférách lidské činnosti. Proto patří počítačová kriminalita v současné době mezi nejzávaţnější formy trestné činnosti. K ekonomickým škodám, které počítačová kriminalita přináší, je třeba připočíst
závislost
celého
lidstva
na počítačových systémech doslova ve všech oblastech denního ţivota.1
Člověk je stále závislejší na fungování informačních technologií a tudíţ roste společenský poţadavek na ochranu těchto technologií před zločinci. Při pojednání o čemkoli z problematiky moderních informačních technologií je třeba mít neustále na paměti jeden základní problém. Dynamika vývoje v této oblasti je
1
Manuál OSN pro prevenci a kontrolu počítačového zločinu, OSN 1994
9
natolik závratná, ţe jakýkoli pokus o teoretické nebo vědecké zkoumání se stane zastaralým jiţ v momentě svého prvního uveřejnění. tzv. permanentní revoluce.2 Cílem této práce je vysvětlení pojmu „počítačová kriminalita“ a, upozornění na nebezpečí této trestné činnosti. Práce je rozdělena do několika tématických částí, kde je postupně analyzována specifická a různorodá forma této trestné činnosti, s popisem moţného postihu dle platných norem trestního práva. Za jakých podmínek a kdy tento fenomén vznikl. Dále je zařazen exkurz do minulosti, neboť počítačová kriminalita prošla, stejně jako informační technologie, velkým vývojem. Na závěr je stručná charakteristika organizací zabývající se touto problematikou u nás i ve světě.
2
Matějka, M., Počítačová kriminalita, Praha: Computer Press, 2002, str. 4
10
1. Pojem a obsah počítačové kriminality Internetová encyklopedie Wikipedia označuje termínem počítačová kriminalita trestné činy zaměřené proti počítačům a trestné činy páchané pomocí počítače. V současnosti má pojem „počítačová kriminalita“ neostrý, přesně nevymezitelný obsah, který by jej jednoznačně definoval. Důvodem pro obtíţnost vymezení pojmu počítačové kriminality je raketový rozvoj informačních technologií a jejích stále větší prolínání do všech oblastí kaţdodenního ţivota společnosti, společně s překrýváním s jinými druhy kriminality, např. hospodářskou kriminalitou, organizovaným zločinem, apod., k nimţ není zapotřebí počítače. Na druhou stranu zde existuje celá řada odlišných pojetí podle toho, jak je na ni pohlíţeno. S pomocí většího zobecnění dojdeme k závěru, ţe tuto kriminalitu je třeba chápat jako zcela specifickou trestnou činnost, kterou je moţno spáchat pouze s pomocí výpočetní techniky, a kde je výpočetní technika předmětem trestného činu nebo pachatelovým nástrojem ke spáchání trestného činu. Podle kolektivu odborníků Smejkal, Sokol, Vlček je třeba pod tímto pojmem chápat páchání trestné činnosti, v níţ figuruje počítač jako souhrn hardwarového a softwarového vybavení data nevyjímaje, případně větší mnoţství počítačů samostatných nebo propojených do počítačové sítě, a to buď jako předmět této trestné činnosti, ovšem s výjimkou té trestné činnosti, jejímţ předmětem jsou popsaná zařízení jako movité věci, nebo jako nástroj trestné činnosti.“ 3 Mezi běţně pouţívané názvy pro tuto problematiku patří počítačová kriminalita, kriminalita informačních technologií, v tisku se lze setkat i s anglickými termíny cybercrime, IT crime a computer crime.
Na základě této definice lze počítačovou kriminalitu rozdělit na dvě základní části:
3 SMEJKAL, V. – SOKOL, T. – VLČEK, M. Počítačové právo. Praha : C.H. Beck : SEVT, 1995. s. 99
11
a) protiprávní jednání směřující proti počítači, kdy počítač sám je terčem útoku, jde o průniky do systémů zaměřené na
krádeţ dat, zneuţívání osobních údajů,
průmyslovou špionáţ či bankovní podvody b) protiprávní jednání páchaná s vyuţitím počítačů,
počítač tedy slouţí jako
prostředek trestné činnosti, případně ji usnadňuje – právě zde je stěţejním způsobem protiprávního jednání porušování autorského práva Rada Evropy však rozděluje počítačovou kriminalitu na jednotlivé druhy trestných činů: počítačové podvody, padělky a sabotáţ, poškozování a neoprávněné pozměňování počítačových dat a programového vybavení, neoprávněný přístup a průnik do počítačových systémů, neoprávněné kopírování autorsky chráněného obsahu, počítačová špionáţ, neoprávněné uţití počítače nebo jeho softwarového vybavení.
4
Vyšetřování počítačové
kriminality pak závisí na jejím druhu. Tak např. šíření pornografie má za úkol vyšetřovat mravnostní oddělení, finanční převody či krádeţe peněz šetří útvar pro hospodářskou kriminalitu atd. Počítačové pirátství spadá, jako majetková trestná činnost, také pod hospodářskou kriminalitu.5 V této práci jsem se zaměřil na zcela jednoznačně nejrozšířenější formu páchání trestné činnosti s vyuţitím výpočetní techniky – porušování autorských práv, kterého se dopouští značná část počítačově gramotného obyvatelstva. Tato skutečnost vyplývá z dostupnosti výpočetní techniky, potřebného softwarového vybavení, které je schopen pouţívat bez hlubších znalostí téměř kaţdý, a zejména z přechodu od analogových záznamů k digitálním – nosičům CD a DVD, USB flash disků, externích hard disků, apod. Dalšími oblastmi, které jsou v této práci podrobněji probrány jsou trestné činy se vztahem k obsahu počítače, trestné činy se vztahem k počítači, trestné činy proti důvěřivosti, integritě a dostupnosti počítačových dat a systémů, Stranou tedy nechám takové formy trestné činnosti vyuţívající výpočetní techniku, jako jsou různé podvody, padělání a penězokazectví, vydírání, podvodné hry a sázky apod.
4
Počítačová (informační) kriminalita a úloha policisty při jejím řešení - materiál z přílohy časopisu POLICISTA č. 3/1998. [online]. [ cit. 2008-01-04]. Dostupné z:
. 5 Kpt. Ing. Jiří DASTYCH, Policejní prezidium, Ředitelství služby kriminální policie. [online]. [ cit. 2008-03-06]. Dostupné z: .
12
Kaţdý stát má více aktuálního dělení, dle společenského významu chráněných zájmů a připravenosti státních orgánů bojovat s příslušným typem kriminality. V ČR je největší pozornost věnována narušování informačních systémů tzv. hackingu, při kterém dochází k průnikům do počítačových sítí a k neoprávněnému sběru, upravování nebo destrukci dat. Hackeři mají různé motivy k těmto činům (ve většině případů jde o finanční zisk, můţe se však jednat i o pomstu, vzrušení, zábavu, apod.). U některých činů se můţe jednat o zanedbatelnou škodu, v některých případech se však jedná škodu ve větším rozsahu, např. o miliardové částky.
13
2. Historický exkurz Stejně jako u vývoje počítačové technologie, můţeme sledovat určitá vývojová stadia i u počítačové kriminality. Zdroje zabývající se fenoménem počítačové kriminality si zavádějí svá vlastní vývojová stadia počítačové kriminality. Osobně se kloním k rozdělení dle významných událostí počítačové kriminality, stejně jak jej uvádí ve své publikaci Michal Matějka:6
2.1.
Počítačový pravěk
Za „pravěk“ označuje dobu do uvedení prvního stolního počítače IBM s typovým označením 5150 na trh dne 12.8.1981. Po tuto dobu existovaly pouze elektronické počítače, které zabíraly celou větší místnost a navíc z důvodu nedostatečného samochlazení musely být umístěny v klimatizovaných prostorách. Vzhledem k jejich vysoké ceně byly vysoce chráněné a přístup k nim měli pouze vyvolení programátoři dané společnosti nebo universita, jeţ tento „přístroj“ vlastnila. Z této charakteristiky lze usoudit, ţe moţnost jakéhokoli kriminálního vyuţití byla v této době téměř nulová. Programátoři byli při práci s těmito počítači nuceni pracovat s často nepříliš dobře fungujícími programy. „Zásahy do programů, které je měly přimět k tomu, aby fungovaly lépe a efektivněji, se označovaly anglickým termínem „hacks“.7 Programátoři upravující programy k lepší efektivitě byli nazýváni od tohoto termínu „hackeři“. Tento termín však postupem času nabyl zcela jiný, negativní obsah, označující pachatele útoků proti počítačům.
2.2.
Počítačový středověk
Dne 12.8.1981 byl na trh uveden první počítač typu IBM PC s typovým označením 5150 a začala se tak psát zcela nová epocha počítačového věku. Velikost a stavebnicové uspořádání nového typu počítače předznamenalo jeho brzké rozšíření téměř do všech domácností po celém světě. Propojení počítačů pomocí modemů a telefonních linek do sítí 6
Matějka, M.: Počítačová kriminalita. Praha : Vydavatelství a nakladatelství Computer Press, 2002, s. 17 7 TAMTÉŢ, s. 20
14
na sebe nenechalo dlouho čekat a došlo tak k rozšíření předchůdce dnešního Internetu v podobě systému BBS. Společně s vývojem počítače se vyvíjí i počítačová kriminalita, kdy se z pachatelů, pro něţ pronikání do systémů informačních technologií byla pouhou intelektuální výzvou, stávají chladnými pachateli s moţností se obohatit a škodit. Ke středověku počítačové kriminality tak neodmyslitelně patří také jména tří hackerů: Kevin Mitnick, který byl prvním pachatelem počítačového trestného činu, který se objevil mezi „elitou“ světového zločinu, v FBI Most Wanted.“8 Robert Morris, známý rozesíláním viru InternetWorm, jenţ roce 1988 nastartoval nový typ počítačové kriminality – cílený průnik do systému pomocí počítačového viru. Kevin Poulsen, jenţ se stal vítězem automobilu značky Porsche, pomocí nabourání se do telefonní linky rádia, které jej nabízelo jako výhru v jedné ze svých soutěţí. V polovině 90. let je také zakomponována do většiny PC i tzv. vypalovačka (mechanika CD-R), která umoţňuje kaţdému majiteli tohoto zařízení být potencionálním počítačovým pirátem.9
2.3.
Počítačový novověk
Mezníkem mezi středověkem a novověkem počítačové kriminality je bezpochyby kauza Citibank, kdy se ruskému hackerovi a matematikovi Vladimíru Levinovi podařilo za pomocí počítače převést v roce 1994 z banky 10 milionů dolarů na svůj účet, coţ určilo nový směr počítačové kriminality, kdy se z původní domény akademických kruhů stává komerční nástroj, kterým protéká mnoţství peněz. A to přitahuje právě počítačové zločince, kteří se zaměřují na podvody s ukradenými kreditními kartami, útoky na systémy bank a jiných finančních institucí, aktivity spojené s internetovými kasiny apod.. Počítačoví nadšenci jsou tak vystřídáni chladnými profesionály sledujícími jen dosaţení zisku. Novověké počítačové viry se objevují jak na běţícím pásu a roste i jejich nebezpečnost. Není snadné určit, jakým směrem se bude ubírat vývoj počítačové kriminality, pravděpodobné je, ţe středem trestné činnosti bude právě internet, vzhledem k obrovskému mnoţství dat, která jsou v něm obsaţena.
8
MATĚJKA, Michal. Počítačová kriminalita. Vyd. 1. Praha : Computer Press, 2002. s. 28
9
MATĚJKA, Michal. Počítačová kriminalita. Vyd. 1. Praha : Computer Press, 2002. s. 29-30
15
2.4. Historie počítačové kriminality u nás Informační technologie prošly v posledních desetiletí velkým vývojem a současné nároky společnosti předpokládají další zdokonalování této oblasti. Po pádu ţelezné opony a otevření hranic vznikl ve východním bloku, v ČR nevyjímaje, velký zájem se přiblíţit se západním civilizacím, nejen v oblasti informatiky, bez ohledu na hrozby, které s sebou přinášejí. Z důvodu absence postupného vývoje informačních technologií u nás, měla ČR velmi malou šanci čelit hrozbě počítačové kriminality, která přicházela společně s rozšířením PC téměř do všech domácností. S uvolněním trhu vznikly burzy, na nichţ se běţně prodávaly nelegální hudební nahrávky, videonahrávky i nelegální software. Michal Matějka uvádí, ţe v této době dosahovala míra pouţívání nelegálního software aţ 80%.10 U policie neexistoval ţádný zvláštní útvar či skupina, která by se mohla tímto druhem kriminality zabývat. Pachatelé brzy zjistili tuto skutečnost a začali si uvědomovat svou nevystopovatelnost a nestíhatelnost z důvodů chybějících legislativy, jiţ výše zmíněných chybějících zvláštních útvarů či sloţek, které by se jejich nelegální činností zabývali, odhalovali, stíhali a trestali. Významnou událostí na území tehdejší uţ České a Slovenské Federativní Republiky bylo oficiální připojeni k internetu 13.2.1992. Právní kvalifikace se v této době klonila k § 132 tehdejšího TZ „Rozkrádání majetku v socialistickém vlastnictví“, zatímco dnes jsou skutky tohoto typu obvykle kvalifikovány jako podvod (§ 209 TZ) nebo zpronevěra (§ 206 TZ). Jedním z prvním případů v oblasti průniku do sytému informačních technologií byla kauza z roku 1995 v souvislosti s tehdy velmi populární televizní hrou BINGO.11 Počítačový program byl upraven tak, aby výhru získala nastrčná osoba. Pachatel byl souzen pro § 257a tehdejhdejšího TZ (poškození a zneuţití záznamu na nosiči informací) a odsouzen k pěti letům odnětí svobody. Mimo klasického pirátství a hackingu zaznamenala Česká republika za dobu svého vývoje několik dalších typů počítačové kriminality např. hry typu letadlo, trestné podle § 209 TZ (podvod), padělání platebních karet, výrobu tzv. věčných telefonních karet, šíření dětské pornografie apod.
10
TAMTÉŢ
11
Zelenáková, I., Do České republiky byl vydán jeden z deseti osob obţalovaných v kauze televizní hry BINGO. Dostupný z http://www.mvcr.cz/aktualit/sdeleni/2001/bingo.html
16
Jak jiţ bylo výše zmíněno, zlaté časy počítačového pirátství přichází, nejen ČR, v druhé polovině 90. let. Na trh se dostává CD společně s CD vypalovačkou, jeţ si díky velmi nízké ceně můţe pořídit kaţdý uţivatel PC. Také vznikají vypalovací centra, kde si je moţné nechat vypálit libovolná data na CD za mírný poplatek, aniţ by se někdo příliš staral o legalitu takových dat. Současná podoba počítačové kriminality se podstatně liší od svých předchůdců, coţ souvisí s raketovým rozvojem technologických a informačních technologií. V posledních letech se prosazuje spíše kriminalita ve vztahu k datům, resp. k uloţeným informacím, podvodným jednáním, vydírání firem, jejichţ data byla ukradena, vykrádání bankovních účtů, v neposlední řadě pak nelegální prodej softwaru, filmů a hudby. Novým fenoménem jsou pak nelegální odposlechy hesel a uţivatelských jmen, tzv. phishing, podvodné vyloudění hesel kreditních karet, on-line vydírání či investiční podvody. Jak jiţ bylo výše zmíněno, je těţké určit, jakým směrem se bude tato oblast ubírat u nás i ve světě, ale je dosti pravděpodobné, ţe středem trestné činnosti bude právě internet, vzhledem k obrovskému mnoţství dat a objemu protékajících peněz, která jsou v něm obsaţena.
17
3. Subjekty kriminality
zúčastněné
v rámci
počítačové
3.1. Osoba pachatele Pachateli trestných činů jsou většinou dosud nestíhané osoby s vysokoškolským vzděláním, zejména v technických oborech a oborech informačních technologií, často nadprůměrně inteligentní a kreativní, kteří zneuţívají svého vyššího postavení v zaměstnání
s tomu
odpovídajícími
pravomocemi.
Díky
tomuto
spojení
mají
potencionální pachatelé přístup k nejnovějším technologiím, informacím, kódům, či přístupovým heslům, jeţ mohou následně vyuţívat ke své protiprávní činnosti. Jejich protiprávní jednání je vzdáleno tradičním hrubým formám delikvence, neobsahuje prvky násilí jednají, v podstatě nebo zásadně individuálně.12 Bez povšimnutí však nelze nechat ani problematiku mladistvých pachatelů. Jelikoţ mají na rozdíl od předchozích generací jednodušší přístup k informacím, jejich znalosti a dovednosti daleko přesahují znalosti a dovednosti velké části dospělé populace. Na Internetu lze nalézt návody, jak začít s jednoduchými formami internetové kriminality. Statistiky uvádějí, ţe nejčastějšími pachateli počítačové kriminality jsou mladí lidé s vyšším nebo vysokoškolským
vzděláním v technických oborech, zejména v oboru
informačních technologií. Motivem pachatelů této trestné činnosti bývá ve většině případů majetkový zisk, můţe se však jednat i o pocit beztrestnosti a neodhalitelnosti, pocit převahy nad zaměstnavatelem, policií, či veřejností, snaha kompenzovat svoji nespokojenost s prací, názor, ţe firmě nemohou uškodit malé ztráty nebo touha po riziku a dobrodruţství. Z hlediska vztahu pachatelů k informacím je můţeme dělit na profesionály a amatéry.
12
Látal, I. Počítačová (informační) kriminalita a úloha policisty při jejím řešení. Policista, MVČR, 1998, č. 3, s. 8 přílohy.
18
3.1.1. Profesionálové Profesionálové shromaţďují, analyzují a vyuţívají informace pro své zaměstnavatele, takţe mají téměř neomezené prostředky. Jejich činnost není protiprávní do té chvíle, neţ začnou informace, ke kterým se prostřednictvím náplně své práce dostali, zprostředkují za úplatu třetí straně. Do této kategorie patří např. softwaroví piráti, jejichţ cílem je neoprávněný zisk z prodeje nelegálně získaného softwaru. 3.1.2. Amatéři Amatéři sou osoby pronikající náhodně nebo cílevědomě do informačních systémů tak, ţe vyhledávají zranitelná místa v systémech informačních sítí. Dle jejich motivace či cíle je lze rozdělit na: Hackery obecně rozumíme osoby, které pronikají nebo se snaţí proniknout do chráněných informačních systémů s cílem prokázat své vlastní schopnosti, aniţ by měly zájem získat informace nebo systém narušit. Zcela zásadní věcí se stává překonávání bezpečnostních bariér, coţ povaţují za zábavu a dobrodruţství. Pojem hacking označuje činnosti, které pravý hacker provádí a kterými získává uznání a respekt. Můţe jím být získání a zpřístupnění zdrojového kódu programů, odhalení slabin informačního systému a zpřístupnění příslušných informací, či publikování uţitečných informací na Internetu. Pro zajímavost můţeme zmínit, ţe hacking, který není prováděn tak, aby způsobil někomu jinému škodu či jinou újmu nebo sobě či jinému neoprávněný prospěch, není kvalifikován jako trestný čin, a tudíţ není postiţitelný.13 Mstitele, jejichţ motivace vyplývá ze msty vůči zaměstnavateli, který je z různých, pro ně nespravedlivých, důvodů propustil ze zaměstnání nebo jinak poškodil. Tzv. „Neúspěšní kritikové“, kteří většinou opakovaně poukazují na závady a nedostatky v informačních systémech, zejména v jejich ochraně. Svým průnikem do systémů chtějí upozornit na naléhavost situace a nutnost jejího řešení. Ve většině případů
13
Paukertová, V. Elektronická informační kriminalita [citováno 15. dubna 2007]. Dostupný z: http://www.ikaros.cz/node/3554#l20.
19
nesledují svojí činností zištný cíl, pouze se snaţí odpovědné osoby přimět k ráznému jednání, jeţ by daný problém vyřešilo. Tuto činnost povaţují za krajní prostředek řešení. Za crackery můţeme označit osoby, jejichţ hlavním cílem je narušení zabezpečení ochrany a integrity programu, či systému. Tyto osoby jsou schopny rozluštit kód, registrační klíč nebo heslo určitého softwarového produktu a tím umoţnit jeho nelegální kopírování. Jejich úmyslem můţe být i průnik do informačního systému zvenčí s cílem jeho následného poškození.
3.2. Osoba poškozeného Jelikoţ hranice států nemají v tomto směru ţádný význam, stejně jako vzdálenost pachatele od poškozeného, obětí počítačové kriminality se můţe stát jakákoli fyzická nebo právnická osoba, stát nevyjímaje. Proto je velice důleţitá mezinárodní spolupráce při potírání tohoto typu trestné činnosti spolu s kvalitní, ucelenou mezinárodní právní úpravou. Poškozený se můţe stát terčem útoku prostřednictvím svého špatně zabezpečeného osobního počítače připojeného do sítě Internet. Pachatel můţe díky této skutečnosti tohoto faktu vyuţít, nabourat se do počítače a zkopírovat osobní či firemní korespondenci, či kterékoli jiné údaje, jeţ jsou uloţeny na pevném disku, proniknout do zabezpečených bankovních systémů a převádět finanční prostředky na svá konta. Stejně tak můţe být naplněna skutková podstata trestného činu, pokud se pachatel nabourá do vzdáleného serveru instituce, či soukromého podniku, kde zcizí určité know-how nebo jiné materiály podléhající utajení, které následně poskytne třetí straně.
20
4. Trestné činy proti důvěřivosti, integritě a dostupnosti počítačových dat a systémů 4.1. Hacking Jak jiţ bylo výše zmíněno, hackeři se vyvinuli z programátorů snaţících se zjistit, jak systém funguje, případně odstranit chyby a něco nového se naučit. Postupem času však pojem hacker nabyl zcela jiný význam. Z hackerů kteří pronikali do ochraňovaných systémů, přičemţ jejich cílem bylo překonávat ochranné bariéry, coţ povaţovali za zábavu, dobrodruţství, provázené „sportovním nadšením“, aniţ by očekávaly veřejné uznání, se stali hackeři, jejichţ primárním cílem je zisk. Nejrůznější zločinecké gangy vyuţívají k vydělávání peněz i mladé hackery, teenagery s dobrou znalostí počítačů a Internetu. Tato činnost se dá přirovnat např. k pouličnímu dealerství drog. V rámci Evropy byl zaznamenán nárůst této činnosti především ve Velké Británii, Nizozemí, Francii a Německu a tato činnost je hned po porušování autorských práv povaţována za nejrozsáhlejší oblast počítačové kriminality. Jako kaţdý organizovaný zločin i kariérní postup hackerů v této hierarchii má svá pravidla. Hackeři se podle svých získaných znalostí a zkušeností s nabouráváním do informačních systémů rozdělují takto: Kiddiots/ Script Kiddies– patří na nejniţší úroveň mezi hackery; dokáţe např. najít na Internetu kód, popřípadě jej mírně upravit pro spuštění nové varianty viru. Příleţitostný hacker – psaní virů jej vzrušuje; rád se častěji zapojuje do světa počítačového zločinu, řada z nich pracuje např. v oblasti IT. Profesionální hacker – ţiví se krádeţemi údajů z kreditních karet, nabourává webové stránky peněţních institucí, umí vykrádat bankovní účty, baví se např. i vydíráním institucí. Phisher – umí vytvořit falešnou webovou stránku např. bankovního ústavu, z níţ krade hesla patřící k účtům uţivatelů, kteří se domnívají, ţe se nachází na oficiální webové stránce banky. Tvůrce virů – jeho programování je na vyšší úrovni, umí zveřejnit na Internetu viry nebo je spustit prostřednictvím elektronické pošty. Nájemný počítačový zločinec – jedná se o nový typ počítačového zločince, který nabízí své znalosti tomu, kdo mu nabídne nejvyšší odměnu.
21
Dle motivací a přístupu k etice lze hackery rozdělit ještě na Black Hats, White Hats a Gray Hats, kdy Black Hats jsou označováni výrobci virů, spamů, apod. a jejich motiv je čistě kriminální. White Hats se snaţí nezpůsobit větší škodu. Gray Hats stojí někde na pomezí White Hats a Black Hats. Hacking je v našem právním řádu podřízen skutkové podstatě §230 TZ, neoprávněný přístup k počítačovému systému a nosiči informací nebo §231 TZ, opatření a přechovávání přístupového zařízení a hesla k počítačovému systému a jiných takových dat. Avšak podle platné právní úpravy není protiprávní přístup sám o sobě trestný, k postihu je zapotřebí poškozovací nebo obohacovací úmysl a protiprávní zásah do dat, jejich zneuţití, nebo protiprávní zásah do systému. Vţdy tedy záleţí na konkrétním případu/ hackerovu motivu. Proniká-li hacker do systému za účelem krádeţe osobních údajů, můţe se jednat o trestný čin neoprávněného nakládání s osobními údaji, je-li cílem odcizení peněz z bankovního účtu, můţe jít o trestný čin krádeţe, apod. Někdy bývají hackeři najímáni firmami zabývajícími se bezpečností systémů, aby se s jejich vědomím a na jejich ţádost pokoušeli o průnik a odhalili slabiny jejich produktů, coţ pak není postihováno trestním právem.
V posledních letech se stále více také rozvíjejí politicky motivované útoky politických stran, coţ je nazýváno hactivismem. Tato činnost je velmi často vykonávána organizovanými skupinami, ve kterých působí i profesionálové ze speciálních sluţeb. V ČR byly např. během voleb napadeny internetové stránky KSČM. Dne 12.6.2002 hacker s přezdívkou EB#L@ napadl a posléze i administrátorovi potvrdil: „Chtěl jsem zkrátka vyjádřit svůj politický názor...“14
14
http://zpravy.idnes.cz/vedatech.asp?r=vedatech&c=A020612_103111_vedatech_has&l=1&t=A020 612_103111_vedatech_has&r2=vedatech, 25.3.2009
22
4.2.
Sniffing
Emailová korespondence, stejně jako jiná soukromá komunikace na síti je chráněna listovním tajemstvím. Na druhé straně však stojí zájmy zaměstnavatele, který by měl mít oprávnění kontroly, zda jeho zaměstnanci nevyuţívají výpočetní techniku v rozporu s pracovním řádem, pro své osobní potřeby a zda nedochází k prozrazování firemního tajemství pomocí těchto informačních kanálů. Odchytávání komunikace v informačních sítích se nazývá SNIFFING, které můţe být prováděno jak softwarovým, tak hardwarovým zařízením a následně můţe být tato komunikace pouţita k trestné činnosti, např. hackingu. V trestním zákoně je sniffing kvalifikován jako porušování tajemství dopravovaných zpráv v souladu s ustanovením § 180 TZ, který hovoří o „jiném takovém veřejném zařízení“. Jakákoliv veřejná počítačová síť splňuje definici takového zařízení. Včetně internetu.
4.3.
Narušování dat
Mezi další závaţné trestné činy patří protiprávní zásahy a manipulace s daty, např. hacking, cracking, vandalismus webových stránek (defacement). Nejedná se však pouze o nosič informace, ale také o jeho obsah. "Neoprávněné uţití informace" z jejího nosiče představuje jakoukoliv nedovolenou manipulaci s informačním obsahem příslušného nosiče. "Zničení, poškození a učinění informací neupotřebitelnými" pak představuje takový zásah do nosiče informací, ţe se sniţuje, nebo zcela zaniká hodnota jeho informačního obsahu.
4.4.
Narušování systémů
Do této kategorie trestných činů lze zařadit útoky, při nichţ dochází k závaţnému narušení nebo přerušení fungování informačního systému, respektive počítače. Konkrétními případy jsou DoS útoky. Rozumí se jimi neoprávněné zásahy do počítače, které způsobují jeho vyřazení z činnosti nebo sníţení výkonu, ať uţ zahlcením počítače záplavou nesmyslných poţadavků, nebo zahlcením spojovací cesty daty, čímţ je oprávněným uţivatelům znemoţněno počítač vyuţívat. 23
Mezi DoS útoky patří: Mass mailing list Tento útok spočívá v zahlcení e-mailové schránky, aby byla nepouţitelná. E-mail bombs (E-mail bombing) Velmi podobný mass mailing listu, s tím rozdílem, ţe k rozesílání e-mailů se pouţívá program. Fork bomb K jeho provedení se pouţívá programů, které pouští do nekonečna samy sebe. Takovéto spouštění sama sebe do nekonečna vede k vyčerpání systémových prostředků a pádu systému nebo jeho zatuhnutí. Podíváme-li se do trestního práva, zjistíme problematiku v postihování této formy počítačové kriminality. Nedochází zde k získání k přístupu k nosiči informací „oběti“, nelze zde tedy uţít § 231 TZ. Nedochází zde ani k poškozování cizí věci v souladu s ustanovením § 232 TZ, neboť nedochází k ţádnému zničení, poškození nebo učinění neupotřebitelným. V daném případě by pravděpodobně mohlo být uţito ustanovení § 228 odst. 1,poškození cizí věci.
Vzhledem k rozsáhlosti problematiky zde nedokáţi popsat všechny druhy trestných činů proti důvěřivosti, zcela jistě do této kategorie ještě patří prolamování hesel a škodlivé kódy, známé obecně jako viry.
4.5.
Prolamovače hesel
Prolamovače hesel jsou programy pouţívané k prolomení ochrany nebo autorizace, která je prováděna (statickým) heslem. Prolamovačů vyuţívají oprávnění uţivatelé, kteří zapomněli heslo k systému nebo jednotlivému dokumentu, systémoví administrátoři, kteří jimi kontrolují, zda si uţivatelé nevolí snadno odhalitelná hesla, ale i hackeři k získání protiprávního přístupu nebo dešifrování cizích dat. Na Internetu jsou volně dostupné desítky prolamovačů. 24
Výroba prolamovače hesel není v současnosti trestná. Zůstává otázkou, zda je moţné prolamovače hesel označit za „zařízení“ ve smyslu čl. 6 Úmluvy. Je tedy nutné případy posuzovat právě podle primárního účelu zařízení a podle trestnosti jednání, k němuţ mají být pouţita, coţ klade nemalé nároky na přesnost formulace textu zákona, zejména ve zmiňovaném odkazování na jiná ustanovení. Malware Malwarem je názýván škodlivý kód, tedy software nebo jiná data, jejichţ účelem je uškodit počítači nebo jeho obsahu nebo je jinak zneuţít. Někteří sem řadí i programy, které pouze umí infiltrovat počítač bez souhlasu jeho uţivatele. Zde jsou uvedeny některé druhy malwaru:
Všeobecně lze nebezpečné programy rozdělit do následujících tří kategorií:15 1/
Červi vyuţívají ke svému šíření slabá místa v zabezpečení sítě. Červ pronikne
do počítače, zjistí adresy dalších počítačů a rozešle do nich své kopie. Červi rovněţ vyuţívají údaje obsaţené v adresářích e-mailových klientů nainstalovaných v infikovaném počítači. Mohou na discích vytvářet pracovní soubory, ale mohou fungovat bez pouţití prostředků infikovaného počítače s výjimkou paměti. Průnik viru je předběţnou fází, za kterou často následuje průnik dalších nebezpečných programů do napadeného počítače, např. můţe vytvořit zranitelná místa, kudy pak pronikne do počítače trojský kůň. 2/
Viry jsou programy, které se umí samy šířit bez vědomí a obvykle proti vůli
uţivatele počítače. Své jméno dostaly podle toho, ţe jsou vţdy součástí hostitelského souboru nebo (dnes méně často) bootovacího sektoru disku. Jejich účinky se pohybují od prostého zabírání paměti a moţných výpadků v důsledku chyb (bugs) v nich obsaţených aţ po ztrátu dat a nutnost reinstalace operačního systému. Existují viry se schopností měnit svůj „tvar“ po kaţdém přenosu na dalšího hostitele (polymorfní viry). Je zajímavé, ţe počet nových virů uţ od roku 1998 klesá, ale to je kompenzováno rozvojem novějších druhů malwaru.
15
Hák, I.: Moderní počítačové viry, 2005, str. 9. Dostupný z http://www.viry.cz
25
3/
Trojský kůň je neškodně nebo přitaţlivě vypadající program, například hra, který
po spuštění vypustí svůj „náklad“, obvykle vir nebo spyware. Můţe také otevírat porty, čímţ umoţní nebo usnadní útok hackerovi. Trojské koně provádějí neoprávněný přístup k infikovaným počítačům, mohou například vymazat informace na pevném disku, zablokovat systém nebo odcizit důvěrné informace. Přísně vzato trojské koně nejsou viry, protoţe neinfikují programy ani data a nejsou schopny samostatného šíření do počítačů, ale jsou šířeny uţivateli se zlými úmysly jako „uţitečný“ software. Přesto však škoda způsobená trojským koněm můţe být mnohem větší neţ škoda způsobená útokem klasického viru. Počty nových trojských koní zůstávají od roku 2003 na vysokých hodnotách.
Některé nebezpečné počítačové programy splňují vlastnosti dvou nebo dokonce všech tří uvedených kategorií.
Mezi speciální případy infiltrace můţeme zařadit:16 1/
Adware – kód, který je bez vědomí uţivatele vloţen do kódu programu a zobrazuje
reklamní zprávy. Adwarové programy jsou často pouţívány ke shromaţďování osobních informací o uţivateli a jejich odesílání tvůrci programu, změně nastavení prohlíţeče (domovská stránka, stránka vyhledávání, úroveň zabezpečení atd.) a přenosu dat, který uţivatel nemůţe ovlivnit. To vše můţe vést k narušení zásad zabezpečení a dále k přímým finančním ztrátám. Většina adwaru spadá do „šedé“ zóny mezi neškodným softwarem a spywarem. 2/
Riskware – programy, které nemají provádět ţádné nebezpečné funkce, ale obsahují
bezpečnostní trhliny a chyby a proto je mohou útočníci pouţít jako pomocnou součást nebezpečného programu. Tento typ softwaru zahrnuje například programy pro vzdálenou správu, klientské programy IRC, programy FTP a různé nástroje pro ukončování nebo skrývání spuštěných procesů.
16
Hák, I.: Moderní počítačové viry, 2005, str. 14. Dostupný z http://www.viry.cz
26
3/
Spyware – software pouţívaný k získání neoprávněného přístupu k datům uţivatele,
ke sledování akcí prováděných v počítači a získávání informací o obsahu pevného disku, např. jaké webové stránky uţivatel navštěvuje. Tyto programy pomáhají útočníkovi nejen shromaţďovat
informace,
ale
také
získat
kontrolu
nad jeho počítačem. K tomuto typu softwaru patří programy pro sledování klávesových úhozů, programy pro zjišťování hesel a software pro shromaţďování důvěrných informací např. čísel kreditních karet. Počet nového spywaru od roku 2002 strmě narůstá. Pouhý fakt, ţe nepovolaná osoba vnikla do systému, není sám o sobě kvalifikovaný jako trestný čin. Pokud se však nezjistí a neprokáţe, ţe informace byla pouţita anebo se její pouţití chystalo, je trestně právní postih průnikáře omezený. Nebezpečnost takového jednání je zřejmě úměrná úmyslu a kvalitě získané informace. 4/
Nepříjemným a relativně novým malwarem je tzv. rootkit.17 Obecně se jím míní
jakýkoli program, který „zametá stopy“ po nekalé činnosti jiného malwaru, a tím, ţe je součástí operačního systému, se stává prakticky neodhalitelným. Známým případem pouţití rootkitu byl skandál Sony 2005.18 Společnost Sony, která se pokoušela zabránit nelegálnímu kopírování hudebních CD, na ně umístila rootkit, který se automaticky nainstaloval na počítač, do něhoţ bylo CD vloţeno. Rootkit zasahoval do operačního systému a chránil obsah CD před porušováním autorských práv. Měl nepříjemný vedlejší efekt – vytvořil v systému slabiny, které mohli vyuţít i na celém podniku nezúčastnění hackeři. Po skandálu musela být „infikovaná“ CD s ostudou staţena z trhu. Výroba malware není podle současného trestního zákona speciálně trestná.
17 18
http://en.wikipedia.org/wiki/Rootkit, 25.3.2009 http://en.wikipedia.org/wiki/2005_Sony_BMG_CD_copy_protection_scandal, 25.3.2009
27
Spamming
Tímto názvem se označuje zasílání nevyţádaných elektronických zpráv, tj. emailů, zpráv instant messagingu apod. Odhaduje se, ţe v současnosti tvoří podíl spamu na veškeré emailové komunikaci 75 %.19 K obraně před spammingem jsou poměrně účinné Bayesovské filtry, které dle jejich obsahu filtrují. Spamming obvykle nenaplňuje ţádnou skutkovou podstatu trestního zákona. Spammingem se zabývají právní předpisy (zákon č. 480/2004 Sb., o některých sluţbách informační společnosti). Zákon č. 40/1995 Sb., o regulaci reklamy, vylučuje svou působnost v oblasti šíření reklamy elektronickými prostředky v §2 odst. 1 písm. e). Zákon č. 480/2004 Sb. tedy v novelizovaném §7 vyţaduje předchozí souhlas uţivatele se zasíláním „obchodních sdělení“, jinak zasílání obchodních sdělení povaţuje za zakázané. Neoprávněné získání informací Neoprávněné získání informací a jejich následné uţití lze povaţovat za jeden z nejnebezpečnějších útoků na jakákoliv data. Samotné nebezpečí je v tom, ţe se kvalifikovanému pachateli podaří spáchat tento čin beze stop a bez odhalení správcem dat, coţ přináší zásadní bezpečnostní riziko pro rozsáhlé databáze různých subjektů. U této skupiny počítačových deliktů se jedná především o to, ţe pachatel získá průnikem do systému přístup k datům, která se poté snaţí vyuţít ke svému prospěchu. Pokud se například takto dostane k firemnímu know-how,20 případně obchodnímu tajemství, spadá tato činnost pod pojem průmyslové špionáţe. Pokud se naopak dostane k informacím o zaměstnancích či klientech oběti, můţe se jednat o zneuţití osobních údajů. V tomto případě se jedná o trestný čin s velkým společenským rizikem, neboť neoprávněné získání údajů například z databází bank či zdravotnických zařízení můţe vést k velmi nepříjemným důsledkům pro subjekty údajů (vydírání, obtěţování, šíření pomluv aj.). V krajní případě můţe taková činnost znamenat bezprostřední ohroţení bezpečnosti státu nebo způsobení újmy státu.
19
http://en.wikipedia.org/wiki/Can_Spam_Act_of_2003, 25.3.2009 Znalost, informovanost, souhrn poznatků, receptů, výrobních a obchodních znalostí a postupů získaných dlouholetou zkušeností, hospodářský nehmotný statek. viz. http://slovnik-cizich-slov.abz.cz 20
28
Pachatel této trestné činnosti můţe činit nejen zásahy do programového vybavení, ale i přímo změnit podklady nebo vstupní údaje vkládané do počítače. Vţdy se jedná o velmi snadnou trestnou činnost, které se můţe dopustit nejen zaměstnavatel, ale i zaměstnanec. Mezi jednotlivé druhy zabezpečení ochrany informací patří i personální bezpečnost. Zde je nastíněna problematika udělení bezpečnostních prověrek, které velmi často organizace podceňují a bez posouzení způsobilosti zaměstnají neprověřený personál, který má přístup k databázím či důleţitým programům podniku. Je však nutno podotknout, ţe další druhy ochrany na sebe navazují a jsou postaveny prakticky vedle sebe a zajištění ochrany informací určuje pochopitelně nejslabší článek, coţ nezvykle často bývá právě zmiňovaná personální bezpečnost.21 Tyto postupy vyuţívají státní organizace jako jsou například Policie ČR, Armáda ČR, NBÚ a další subjekty, u kterých je potřebná bezpečnostní spolehlivost. Poskytnutí dat z informačních systémů bez ohledu na to, zda se tak stalo za úplatu či nikoliv, je v rozporu s ustanovením zákona č.101/200 Sb.,22 o ochraně osobních údajů.
21
Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti Zákon č. 101/2000 Sb., o ochraně osobních údajů a o působnosti Úřadu pro ochranu osobních údajů a o změně některých dalších zákonů., ve znění pozdějších předpisů, který nabyl účinnosti dnem 1.6.2000. 22
29
5. Trestné činy se vztahem k počítači 5.1. Zneuţívání platebních karet Carding a phishing Ke cardingu neboli zneuţití platební karty můţe docházet hned několika způsoby. Tím nejjednodušším způsobem je krádeţ karty samotné. V minulosti docházelo také často k vyuţívání tzv. generátorů – programů, které dokázaly vygenerovat číslo kreditní karty na základě odcizeného algoritmu. Mezi další podvodné metody, jak získat osobní údaje majitelů bankovních účtů, patřilo např. vydávat se po telefonu za pracovníka banky, který poţadoval po klientu nadiktovat opětovně své osobní údaje. Také v počátcích prodeje zboţí na Internetu docházelo velmi často k zneuţívání platebních karet.23 V dnešní době s nástupem Internetu dochází k rafinovanějším podvodům v této oblasti. Jedním z nich je tzv. phishing (rhybaření). Phishing kdy těţištěm zájmu jsou citlivé údaje o platební kartě, krádeţ přístupového jména a hesla. S takovými údaji lze potom snadno manipulovat s bankovními konty uţivatelů platebních karet. Tyto uvedené podrobnosti o bankovních účtech získávají pachatelé tak, ţe vytvoří falešné webové stránky a následně rozešlou falešné e-maily, jejichţ prostřednictvím vylákají od klientů čísla z jejich účtů. První česky psaný phishingový email byl rozeslán klientům bankovního ústavu CitiBank v roce 2006. Jeden z posledních phishingových útoků byl zaznamenán 15.3.2007 v podobě napadení internetového bankovnictví České spořitelny. Neoprávněné drţení platební karty je jako trestný čin podřízeno skutkové podstatě § 234 TZ. Případně můţe být výše uvedená trestná činnost kvalifikována jako podvod - § 209 TZ, poškození či zneuţití záznamu na nosiči informací -§232 TZ.
23
MATĚJKA, Michal. Počítačová kriminalita. Vyd. 1. Praha : Computer Press, 2002. s. 56-57
30
Phishing a Pharming
Jedná se o velmi dostupný a jednoduchý nástroj, který je však také velmi efektivním nástrojem podvodu. Autoři phishingových zpráv velmi výrazně vyuţívají právě důvěřivost uţivatelů. Americké studie zjistily, ţe v jednotlivých kampaních bývá aţ 5% napálených uţivatelů. V některých případech bývá jejich počet dokonce i vyšší. Phishing, někdy překládaný do češtiny jako „rhybaření“24 spočívá v získávání důvěrných a citlivých informací (hesla, detaily o kreditních kartách) za účelem získání přístupu a následném obohacení se z cizích zdrojů. Nejčastější a nejznámější formou je zasílání podvodných emailových zpráv. V phishingovém emailu podvodník upozorňuje, ţe adresátova banka nebo jiná instituce poskytující finanční sluţby online potřebuje ověřit určité údaje a za tímto účelem ţádá adresáta o přihlášení. Dále následuje odkaz na podvrţenou stránku, kde adresát vyplní poţadované údaje (nejčastěji přihlašovací údaje nebo PIN a číslo karty). Po získání přístupu následuje zneuţití nebo vykradení účtu oběti. Pharming představuje daleko nebezpečnější způsob útoku. Pachatel při něm nejprve hackuje DNS server odpovědný za přiřazování doménových jmen IP adresám tak, aby odkazoval na podvrţené stránky. Oběť tak v podstatě nemá o podvrhu ţádné podezření. Pharming má následně stejný průběh jako Phishing, od nějţ se liší právě pouze nutností hacknutí DNS serveru. Na místě by bylo zmínit i tzv. Keyloggery. Jsou aplikace, případně hardwarové prostředky, instalované v počítači uţivatele často bez jeho vědomí. Umoţňují útočníkovi odposlechy klávesnice u přihlašovacích formulářů. Aplikace keyloggeru sama o sobě není pro počítač nebezpečná, většinou je i odhalena antiviry jako virus. Přesto banky v současnosti nabízejí moţnost zadání přihlašovacích údajů přes virtuální klávesnici, díky níţ se riziko odposlechu minimalizuje.25 Legálnost Keyloggeru je na hraně. Nástroj sám legální, avšak legálnost jeho pouţití bude vţdy záviset na účelu uţití. Samotný Phishing a Pharming lze kvalifikovat podle ustanovení § 7 odst. 1, §41 odst. 2 TZ jako přípravu krádeţe podle ustanovení § 247 odst. 1 TZ. Následné vykradení účtu pak jako krádeţ podle § 247 odst. 1 TZ.
24 25
Baudiš, P.: Rhybaření. Chip, 2006, č.04, s.14 http://www.emag.cz/phishing-aneb-rhybareni/, 25.3.2009
31
5.2. Cyberstalking a kyberšikana
Z hlediska psychiatrie či kriminologie je slovo stalking chápáno jako zlovolné a úmyslné pronásledování a obtěţování jiné osoby, které pak u oběti sniţuje kvalitu jejího ţivota a ohroţuje její bezpečnost. Jinak řečeno, pod anglickým pojmem "stalking" si lze představit různé varianty pronásledování oběti.26 Cyberstalking je stalking vyuţívající kyberprostoru a „přítomnosti“ oběti v něm. V tomto případě jde zejména o zasílání různých zpráv pomocí instant messengerů (ICQ), chatu, prostřednictvím VoIP technologií apod. Nejčastějšími obětmi stalkingu jsou celebrity, ex-partneři, politici, zhrzení v lásce apod.27 Útočník můţe také vyuţívat prostředky IT (např. keyloggery) k získávání a shromaţďování mnoţství osobních informací o oběti. Současný trestní zákoník neobsahuje ustanovení, které by mohlo pojmout stalking a cyberstaling jako samostatný trestný čin. Stejně jako jinde v Evropě je v tomto směru trestní právo naprosto sterilní.28 Reálně pouţitelný by zde mohl být § 352 TZ se skutkovou podstatou „násilí proti skupině obyvatel a proti jednotlivci“. Tato ustanovení lze ale aplikovat aţ v okamţiku, kdy se (cyber)stalking dostane do relativně nebezpečné fáze vyhroţování „usmrcením, těţkou újmou na zdraví nebo jinou těţkou újmou.takovým způsobem, ţe to můţe vzbudit důvodnou obavu“. Obdobný stav panuje i v další oblasti – kyberšikaně. Jedná se o druh šikany, který vyuţívá elektronické prostředky jako jsou mobilní telefony, e-maily, pagery, Internet, blogy a podobně. Její nejobvyklejší projevy představuje zasílání obtěţujících, uráţejících či útočných e-mailů a SMS, vytváření stránek a blogů dehonestujících ostatní, popřípadě můţe kyberšikana slouţit k posilování klasických forem šikany, nejčastěji prostřednictvím nahrání scény na mobilní telefon a jejího následného rozeslání známým dotyčného, popřípadě vystavení na Internetu. Zejména poslední varianta šikany můţe být extrémně nebezpečná – pokud se spojí s nějakou velmi poniţující situací, takovéto zveřejnění
26
http://www.trosky.cz/stalking/stalking.htm, 25.3.2009 http://cms.e-bezpeci.cz/content/view/23/6/lang,czech, 25.3.2009 28 http://www.trosky.cz/stalking/stalking.htm, 25.3.2009 27
32
poniţujících materiálů pro obrovské mnoţství lidí (které nejde vzít zpět) mnohonásobně zvyšuje utrpení a trauma oběti, coţ na ni můţe mít extrémně neblahý dopad.29 Internet můţe šikanu zesílit. Rozšiřuje se publikum a to, co trvá několik chvil, můţe viset na webových stránkách měsíce. Běţná šikana skončí, kdyţ jde dítě ze školy domů. Týká se to hlavně teenagerů, kteří jsou závislí na Internetu, zejména kvůli komunikování s vrstevníky. To, ţe poniţující informace jsou sdíleny s ostatními, můţe být pro mladého člověka zničující.30 O kyberšikaně se v poslední době mluví zejména v souvislosti s událostmi na českých školách, kdy násilných videí z českých škol je moţné najít stovky, moţná i tisíce. Nezanedbatelné jsou také důsledky takového počínání. Šikanované oběti se neumí bránit a bojí se zkazit „legraci“. Je znám i případ, ţe dítě, které záznam z mobilního telefonu poskytlo učitelům, se samo stalo cílem výhruţek některých spoluţáků. Bohuţel jsou uţ evidovány případy s tragickým koncem.31
5.3.
Škodlivé šíření informací
Jak jiţ bylo dříve zmíněno, lze pomocí internetu šířit nepředstavitelné mnoţství informací. Ne vţdy jsou tyto informace pravdivé, a v mnoha případech lze dokonce mluvit o šíření informací závadných a škodlivých jednotlivcům i skupinám. Nejzajímavější, ale zároveň nejnebezpečnější formou je šíření nepravdivých varování, známých jako HOAX. Je to nevyţádaná e-mailová, nebo ICQ zpráva, která uţivatele varuje před nějakým virem, prosí o pomoc, informuje o nebezpečí, snaţí se ho pobavit apod. Hoax většinou obsahuje i výzvu ţádající další rozeslání hoaxu mezi přátele, příp. na co největší mnoţství dalších adres, proto se někdy označuje také jako řetězový e-mail.32 Hoax dezinformuje lidi a vyvolává v nich mylné přesvědčení. Hoaxy se zabývá specializovaný server,33 který vede databázi většiny známých hoax zpráv. K nim pak přidává stanovisko dotčené instituce. V příloze jsou uvedeny příklady HOAXových zpráv. 29
http://www.lupa.cz/clanky/kybersikana-na-vzestupu/, 25.3.2009 http://www.lupa.cz/clanky/kde-konci-legrace-a-zacina-kybersikana/, 25.3.2009 31 http://zpravy.idnes.cz/polska-studentka-se-obesila-kvuli-sexualni-sikane-fsb/zahranicni.asp?c=A061026_141456_krimi_rez, 25.3.2009 32 http://cs.wikipedia.org/wiki/Hoax, 25.3.2009 33 http://www.hoax.cz/cze/, 25.3.2009 30
33
Úmyslné šíření hoaxu lze pak kvalifikovat jako šíření poplašné zprávy podle ustanovení §357 TZ, pokud je šířená zpráva nepravdivá a schopná vyvolat nebezpečí váţného znepokojení alespoň části obyvatelstva nějakého místa.
34
6.
Trestné
činy
související
s
porušováním
autorského práva a souvisejících práv
6.1. Počítačové pirátství a Warez V 99% případů si pod pojmem počítačová kriminalita představíme právě počítačové pirátství. Jiţ v dobách prvních osobních počítačů, se vznikem prvních počítačových her a softwaru se začaly objevovat snahy o jejich neplacené kopírování. Kolem roku 1998 se začaly objevovat nelegální kopie očekávaných filmů ještě před jejich premiérou, např. Prci, prci, prcičky. Nástupem internetu a jeho rychlé přenosové kapacity daly vzniknout fenoménu Warezu. Warez je termín počítačového slangu, označující autorská díla, se kterými je nakládáno nelegálně, zejména v rozporu s autorským právem. Slovo bylo vytvořeno z anglického slova wares ( zboţí, zřejmě v souvislosti se slovem softwares). Podle druhu bývá někdy warez rozdělován na gamez ( počítačové hry), aply ( aplikace ), crackz ( cracky ) a také moviez ( filmy ). Nejčastějším šířením warezu je dnes hlavně internet. S warezem je spojena dost výrazná subkultura a slovo warez se kromě označení samotných dat pouţívá i pro tuto kulturu. Lidé, kteří zacházejí s warezem, bývají označováni jako piráti. Typický průběh šíření warez vypadá zhruba takto: 1. Je vydána nějaká očekávaná verze komerčního software. 2. Warezová skupina vyuţije svých kontaktů k tomu, aby získala kopii ještě před vydáním/ nebo ji odcizí z továrny, kde se CD vyrábí. 3. Software je předán zkušenému programátorovi ( crackerovi ), který ze softwaru odstraní ochranu proti kopírování. 4. Takto upravený software je předán tzv. kurýrovi, který ho rozšíří na co největší počet serverů, odkud si jej pak mohou stahovat běţní uţivatelé. Výsledkem je, ţe nelegální kopie programu se běţně objeví ve stejný den jako oficiální vydání, mnohdy ještě dříve. 35
Velká část warezu je distribuována tak, ţe uploader ( ten, kdo soubory poskytuje ostatním ) odešle soubory s tímto obsahem na nějaký server poskytující úloţné místo pro data, v současnosti mezi nejoblíbenější patří RapidShare. Kvůli tomu, ţe tyto servery mají omezení na velikosti jednoho souboru, se soubory většinou rozdělí pomocí komprimačních programů jako je např. WinRAR na menší kousky a celý RAR soubor se zahesluje, aby se správci nemohli podívat, co je v souboru a nemohli jej tak smazat. Tato forma distribuce je zvláště oblíbená na tzv. warez forech a weblozích. Na rozdíl od pirátských prodejců CD nemají warezové skupiny svého počínání ţádný finanční zisk. Motivace těchto skupin můţe být různá, obvykle je zaloţena na pověsti. Skupiny mezi sebou soupeří, co nejdříve kvalitní vydání je v této komunitě vnímáno jako úspěch. Oproti jiným porušením zákona, např. krádeţi, je porušování autorského práva vnímáno mnohem rozporuplněji, zvlášť kdyţ z něj pachatelům neplyne finanční prospěch. Členové warezových skupin často vnímají svoje jednání jako prospěšné. Ospravedlňují se např. údajnou nemoţností vynucování autorských práv a nespravedlností nemoţnosti sdílet informace s těmi, kteří si je nemohou dovolit získat jinak. Tvrdí také, ţe vydání warezové verze můţe ve skutečnosti zvýšit hodnotu software tím, ţe se zvýší jeho popularita. Také mnoho uţivatelů, kteří software získávají z warez zdrojů, je přesvědčeno, ţe nikomu neškodí. Argumentují např., ţe kdyby software nezískali jako warez, jistě by si jej ani nekoupili. Tedy tvůrce programu o nic nepřišel.
Boj proti warezu Zastavit nelegální šíření souborů je nemoţné, přesto se v poslední době snaţí vydavatelé a internetoví provideři spolupracovat ve snaze o co největší omezení. Počítačové hry jsou opatřovány stále lepšími ochranami, DVD filmy pak tzv. Regional podkout. Internetoví provideři pak přistupují k blokování P2P portů. Policie sleduje lidi na P2P sítích s největším datovým přenosem. V médiích se
objevují i případy sdílení warezu na
vysokých školách a to díky rychlosti tamních sítí a nezatíţenosti omezeným datovým přenosem, tzv. FUP. V Česku je kopírování a šíření autorských děl bez povolení autora trestný čin ( Porušování autorského práva, práv souvisejících s právem autorským a práv k databázi, § 270 TZ ).
36
Z pohledu AZ se jedná o nelegální uţití softwaru (počítačového programu, databáze), a to bez souhlasu oprávněné osoby. AZ chápe takovéto uţití hned několika způsoby: a) rozmnoţováním (§ 13 AZ) - zhotovováním dočasných nebo trvalých, přímých nebo nepřímých rozmnoţenin díla nebo jeho části, a to jakýmikoli prostředky a v jakékoli formě. b) rozšiřováním originálu nebo rozmnoţeniny (§ 14 AZ) - zpřístupňováním díla v hmotné podobě prodejem nebo jiným převodem vlastnického práva k originálu nebo k rozmnoţenině softwaru, včetně jejich nabízení za tímto účelem. c) pronájmem originálu nebo rozmnoţeniny (§ 15 AZ)- zpřístupňováním softwaru ve hmotné podobě za účelem přímého nebo nepřímého hospodářského nebo obchodního prospěchu poskytnutím originálu nebo rozmnoţeniny softwaru na dobu určitou. d) půjčováním originálu nebo rozmnoţeniny (§ 16 AZ) - zpřístupňováním díla ve hmotné podobě zařízením přístupným veřejnosti nikoli za účelem přímého nebo nepřímého hospodářského nebo obchodního prospěchu poskytnutím originálu nebo rozmnoţeniny díla na dobu určitou. e) sdělováním díla veřejnosti (§ 18 AZ) - zpřístupňováním díla v nehmotné podobě, ţivě nebo ze záznamu, po drátě nebo bezdrátově a také způsobem, ţe kdokoli můţe mít k němu přístup na místě a v čase podle své vlastní volby zejména počítačovou nebo obdobnou sítí. 34 Jak vyplývá z tiskové zprávy mezinárodní společnosti BSA (Bussines Software Alliance), která se zabývá prosazováním bezpečného a legálního digitálního světa, bylo 40% instalovaného softwaru v posledních letech na počítačích v České republice nelegálních. Tato míra softwarového pirátství představuje pro naši zemi ztrátu ve výši 2,7 miliardy korun. Celkově se v Evropské unii vyšplhala míra softwarového pirátství na 36% se ztrátou cca 266 miliard korun.
34
JANSA, Lukáš. Softwarové pirátství ve firmě [online]. 2006. [cit. 2007-04-29]. Dostupné z WWW: .
37
6.2.
Cybersquatting
Cybersquatting je postup, kdy se vykupují oblíbená slova a registrují se jako internetové adresy, a to s cílem jejich prodeje s vysokým ziskem společnostem a vlastníkům ochranných známek. Pro mnoho společností to představuje závaţný problém. Existují uţ i aukční servery, kde lze snadno prodat název domény nejvyšší nabídce. Případy cybersquattingu, se v poslední době vyskytují ve stále větší míře a stává se stále pouţívanější praktikou počítačové kriminality. Jak uţ bylo zmíněno, Internet je dynamicky se rozvíjející oblast, proto je dnes registrováno přes 100 miliónů názvů domén. Ruku v ruce Cybersquattingu jde tzv. Typosquatting. Jedná se o rozvinutější formu cybersquattingu, která vychází z předvídání překlepů při ručním zadávání doménového jména. Proto se vlastníci domén, zejména větší firmy a instituce snaţí při registraci své domény zajistit i mutace a varianty s překlepy. V České republice není Cybersquatting ani Typosquatting právně definován, proto se u soudu postupuje podle Obchodního zákoníku a souvisejících ustanovení o ochranných známkách. V případě soudního řešení sporů je účastníkem vedle cybersquattera i registrátor domén, v našem případě CZ.NIC, z.s.p.o., které vydává pravidla registrace.
38
7. Trestné činy se vztahem k obsahu počítače
Jak jiţ bylo výše zmíněno, ţe rozvoj nových technologií a internetu umoţnil rychlejší rozvoj i v jiných oblastech trestné činnosti, je potřeba zmínit i šíření závadného obsahu. Za nejzávaţnější a nerozšířenější problém je označováno šíření dětské pornografie. Ta se sice šířila i v dobách před tím, ale moţnosti šíření byly dosti omezené. S nástupem nových technologií a snaţší dostupností internetu se stává pachatel anonymnější, coţ beze sporu přispívá k rychlému vzniku a šíření nejen dětské pornografie. Erotická a pornografická tématika patří na internetu k tomu nejvyhledávanějšímu a nejţádanějšímu. Ne všechny kategorie se však vejdou do zákonného rámce. Sice se nezvýšil počet osob, kteří takovou činnost páchají, ale razantně se zvýšil počet útoků, kdy uţivatel rychle zaplaví nějakým materiálem celý svět. Z hlediska české právní úpravy je otázka šíření pornografie řešena v § 192 TZ, výroba a jiné nakládání s dětskou pornografií. Podle této úpravy je trestná výroba a distribuce pornografických materiálů, ve kterých jsou znázorněny násilné a lidskost poniţující činnosti, styky s dětmi a zvířaty, případně jiné patologické sexuální praktiky, dále je trestné zpřístupňování jakýchkoli pornografických materiálů nezletilým.35 Z mezinárodního hlediska je problematika zmíněna v článku 9 Úmluvy o počítačové kriminalitě, který stranám postihovat nabízení, zpřístupňování, šíření, posílání dětské pornografie skrze počítačový systém a výrobu dětské pornografie za tímto účelem a konečně také získávání a drţení. Vzápětí se však v úmluvě vyhrazuje stranám právo neuţít ustanovení o získávání a drţení dětské pornografie pro vlastní potřebu uţivatele, stejně jako výhradu, ţe za dětskou pornografii nebudou povaţovat zobrazení osoby, která se pouze jeví být dítětem, ani realistické znázornění (neexistujícího) dítěte. Jak závaţný je toto problém ukázal případ z poslední doby,36 nebo zátah Rakouského spolkového kriminálního úřady, který na začátku roku 2007 provedl zásah proti pedofilskému serveru. Při něm bylo zajištěno 8 terabajtů dat na několika počítačích a
35
Matějka, M., Počítačová kriminalita, Praha: Computer Press, 2002, str.66
36
http://zpravy.idnes.cz/policie-si-prisla-pro-muze-ktery-sdilel-desetitisice-klipu-s-detskym-pornem1vn-/krimi.asp?c=A090327_122245_krimi_pei, 27.3.2009
39
záznamových médiích. Mezi dvěma a půl tisíci klienty ze 77 států se našlo i 63 Čechů, kteří vyuţívali sluţeb tohoto serveru.37 Neméně závaţným problémem vedle šíření pornografie je na internetu také šíření extremismu. Snad všechny extremistické skupiny se snaţí prezentovat svoje názory na internetu. Informační technologie v tomto směru odstranily mnohé komunikační těţkosti a jsou masově vyuţívány i ke komunikaci mezi jednotlivými částmi organizací. V našem právním řádu lze najít ustanovení podchycující extremistické projevy na internetu v ustanoveních trestního zákona: §311 TZ - teroristický útok, konkrétně vyhroţování jím a jeho podpora §352 TZ - násilí proti skupině obyvatelů a proti jednotlivci – a to ve formě vyhroţování skupině obyvatelů, mj. pro jejich rasu. §355 TZ - hanobení národa, etnické skupiny, rasy a přesvědčení §356 TZ - podněcování k nenávisti, vůči skupině osob nebo k omezování jejich práv a svobod §400 TZ – genocidium §403 TZ – zaloţení, podpora a propagace hnutí směřjící k potlačení práv a svobod člověka Vyšetřování těchto a podobných případů je přitom velmi náročné a policisté jsou odkázáni
pouze
na to, jak budou ochotni provozovatelé free-webů spolupracovat. Servery totiţ nic nenutí podobné případy hlásit a nechtějí se zbytečně zatěţovat administrativou a problémy s úřady. Drţení podobných materiálů totiţ není trestné. Policie musí prokázat další šíření takových souborů. Podle nové právní úpravy budou trestně stíhání všichni pedofilové, kteří mají dětské porno pouze u sebe v počítači.38 Někteří odborníci z oblasti práva tvrdí, ţe z důvodu toho, ţe Internet neumoţňuje kontrolovat osobu, která přistupuje na pornografické stránky nebo tyto materiály případně stahuje, neměly by být přes toto médium nabízeny vůbec.39 37
http://www.novinky.cz/clanek/108773-rakouska-pedofilni-centrala-mela-63-ceskych-klientu.html, 25.3.2009 38 Kopta, M., Dětská pornografie - problém Internetu, Lupa, 2004. Dostupný http://www.lupa.cz/clanky/
40
Institut pro kriminologii a sociální prevenci ministerstva spravedlnosti chápe extremismus jako: Souhrn určitých sociálně patologických jevů vytvářených více či méně organizovanými skupinami osob. Internet, jako ideální prostředek rychlé, pohodlné a efektivní komunikace, nahrává také různým extrémistickým skupinám, jako jsou například neonacisté, komunisté, anarchisté či militantní náboţenské sekty. Internet slouţí extremistům především pro: 1/ propagandu a pro komunikaci s případnými zájemci o hlásanou propagandu 2/ spojení a konspiraci, které můţe následně vyústit v nezákonnou činnost, jde tedy o formu přípravy k trestnému činu. Velkou výhodou Internetu pro tyto organizace je také samozřejmě moţnost snadné ilegální komunikace mezi jejími jednotlivými členy.40 Zajímavé je, ţe extremismus na Internetu je v kaţdé zemi pojímán odlišně. Michal Matějka uvádí, ţe zatímco anglosaské pojetí trestá zásadně skutky a nikoli slova, kontinentální Evropa posuzuje např. i tzv. verbální delikty, které je moţné spáchat slovem. Pod pojmem „hanobení národa, etnické skupiny, rasy a přesvědčení“, si lze představit chování, při němţ pachatel „veřejně hanobí některý národ, jeho jazyk, některou etnickou skupinu, rasu nebo skupinu obyvatelů republiky pro jejich politické přesvědčení, vyznání nebo proto, ţe jsou bez vyznání“.41
39
MATĚJKA, Michal. Počítačová kriminalita. Vyd. 1. Praha : Computer Press, 2002. s. 66
40
MATĚJKA, Michal. Počítačová kriminalita. Vyd. 1. Praha : Computer Press, 2002. s. 67
41
§ 198 odst. 1 TZ.
41
8. Organizace
zabývající
se
počítačovou
kriminalitou
Jak jiţ bylo výše několikrát zmíněno, počítačová kriminalita se stále celosvětově rozrůstá, čehoţ jsou si vědomy téměř všechny civilizované země světa, kde je brána jako velká hrozba budoucnosti. Od 90. let minulého století vznikají instituce a organizace věnující se počítačové kriminalitě, snaţící se podchycovat a potírat tento druh trestné činnosti. Jednotlivé státy se pokoušejí o vytvoření pevného a fungujícího státního aparátu, aby mohly úspěšně čelit počítačové kriminalitě. První organizace vznikaly v USA, a to jak na státní úrovni, tak soukromé sféry. Mezi průkopníky této oblasti lze zařadit Carnagie Mellon University, kde vznikla struktura Computer Emergency Response Team Coordination Center, CERT/CC, která do současnosti, společně s Ministerstvem pro vnitřní bezpečnost a dalšími institucemi, zajišťuje bezpečnost v informačních sítích. V rámci jejich činnosti byl vytvořen Národní systém výstrah National Cyber Alarm Systém. V české republice se počítačovou kriminalitou zabývá Policie ČR, která spadá pod Ministerstvo vnitra ČR, kde bylo v polovině roku 1999 vytvořen útvar boje proti počítačové kriminalitě (Skupina informační kriminality – SIK). Za zajištění podmínek pro další rozvoj struktur přímo participujících na potírání počítačové kriminality, v rámci rozdělení pravomocí, odpovídá Policejním prezidium ve spolupráci s Úřadem vyšetřování pro ČR, odborem komunikačních a informačních sluţeb a odborem bezpečnostní politiky.42 Dalším útvarem zabývajícím se počítačovou kriminalitou je Policejní akademie České republiky, která se zabývá výzkumem počítačové kriminality, na jehoţ základě vydává odborné sborníky a zpracovává studie týkající se této problematiky. Mimo tyto ústřední správní úřady také existují v ČR jednotlivci, skupiny, komerční i nekomerční instituce, které jsou velmi kvalifikovány v oblasti informačních technologií a velmi v této oblasti pomáhají státu ČR. Tato sdruţení nejsou omezována některými formálními poţadavky a dokáţí daleko rychleji a pruţněji reagovat, neţ státní aparát. Jejich nevýhodou 42
Web Ministerstva vnitra ČR: Organizační struktura [citováno 21. května 2008]. Dostupný z: http://www.mvcr.cz/ministerstvo/schema.pdf.
42
však je nedisponování téměř ţádnými sankcemi, jako má státní aparát. I přes tento nedostatek jsou velmi uţitečnými pomocníky při prevenci počítačové kriminality. Mezi nevýznamnější organizace zabývající se prevencí počítačové kriminality patří organizace Business Software Alliance (BSA) a agentura AURA-PONT. K těmto dvěma organizacím se prevencí zabývá, převáţně na technickou počítačovou kriminalitu, nedávno spuštěný projekt internetový server CSIRT (Computer Security Incident Response Team). Agentura AURA-PONT je jednou z nejvýznamnějších českých autorsko-právních agentur. Její hlavní činností je zastupování autorů, nositelů práv k počítačovým programům, databázím, projektům a jiným softwarovým dílům či poskytování právních sluţeb v oblasti počítačového práva. Mezi další aktivity patří preventivní činnost v boji proti počítačovému pirátství. Poskytuje také odbornou pomoc při zajišťování důkazů o softwarovém pirátství a zprostředkovává znalecké a odborné posudky. Poskytuje konzultační sluţby v oblasti tvorby, šíření a uţívání počítačových programů. Připravuje a vypracovává smlouvy o vytvoření, uţití, licenci a distribuci těchto programů. AURA-PONT provádí téţ registraci počítačových programů a jiných softwarových děl. Registrace slouţí k zabezpečení důkazů o autorovi a době vzniku díla pro případ, ţe dochází k jeho neoprávněnému uţití, zejména formou plagiátu. Registrace je téţ vhodná pro časové doloţení jednotlivých stádií tvorby určitého počítačového programu nebo jiného díla. Úkolem projektu je výzkum a vývoj problematiky kybernetických hrozeb, z hlediska bezpečnostních zájmů České republiky a celá řada činností, které souvisejí s metodami odhalování kybernetické kriminality a terorismu a kvalifikací nebezpečnosti technologických trestných činů. V této souvislosti se projekt zaměřuje zejména na: 1/
Koordinaci řešení bezpečnostních incidentů v počítačových sítích ČR,
2/ pomoc provozovatelům internetových sítí v České republice zřizovat jejich vlastní bezpečnostní týmy a bezpečnostní infrastrukturu, řešit bezpečnostní incidenty a tím zlepšovat bezpečnost jejich sítí i globálního internetu, 3/
pomoc předávat hlášení o bezpečnostních incidentech správcům těch sítí nebo
domén, z nichţ incidenty pocházejí, ale které na stíţnosti nereagují. V tomto směru tedy
43
slouţí jako jakýsi "institut poslední záchrany" pro případ, ţe jiné metody kontaktování správců selţou.43 I kdyţ je poměrně brzo hodnotit preventivní přínos serveru je nutné zdůraznit, ţe server jako taký není orgánem státní moci, a proto bude schopen na jednotlivá hlášení reagovat pruţně a tzv. po svém. Činnost organizací je pro boj s počítačovou kriminalitou velkým přínosem. Nelegální uţívání softwaru patří nejen v naší zemi mezi značně rozšířený druh trestné činnosti. I přes uvedené výtky lze hodnotit spolupráci policie a zejména BSA za přínosnou. BSA vytváří pro své vlastní potřeby statistiky o procentu nelegálně uţívaného softwaru v ČR. Poškozený se často nejprve obrátí na BSA, obzvláště pokud je jejím členem. Poradenská a informační činnost organizací, zejména nově vzniklého serveru CSIRT.CZ je další velkou pomocí, neboť policie nestačí poskytovat kvalitní osvětu na poli počítačové kriminality, vzhledem k rozsahu tohoto fenoménu. Mimo shora uvedené organizace nelze opominout vlastní aktivity předních výrobců hardware a software (např. Microsoft, Siemens, Intel, Autodesk, Bentley). Právě tito výrobci si uvědomují závislost své existence na legálním uţívání jejich programů a vnímají vlastní odpovědnost vůči řádným uţivatelům. Z tohoto důvodu věnují nemalé finanční prostředky na tvorbu vlastních kampaní (většinou doprovázející uvedení nových výrobků na trh) a dále se aktivně účastní mezinárodních akcí, kde boj s počítačovou kriminalitou podporují. Úspěšný boj proti počítačové kriminalitě je moţné vést pouze na základě spolupráce co největšího počtu institucí, kterým není problematika počítačové kriminality lhostejná, a to bez ohledu na zaměření, ve smyslu rozdělení počítačových trestných činů.
Při páchání počítačové kriminality vznikají nemalé škody a odhalování těchto činů je velice obtíţné a zdlouhavé. Činnost orgánů činných v trestním řízení je základním předpokladem pro dosaţení účelu zákona, tj. odhalení trestného činu a jeho pachatele. Teprve následně je moţné postoupit do dalších stádií trestního řízení, které končí 43
Jirovský, Václav. CSIRT Web: Projekt kybernetické hrozby [citováno 28. března 2008]. Dostupný z: http://www.csirt.cz/o_nas.html.
44
spravedlivým potrestáním pachatele trestného činu. Cílem vyšetřovacích a pátracích úkonů kriminalistů je zajištění dostatečného mnoţství důkazu, které umoţní orgánům činným v trestním řízení poznání skutečností, důleţitých pro rozhodnutí. Vzhledem ke stále většímu propojování počítačů do počítačových sítí, není jiţ tato trestná činnost páchána jen na území jednoho státu. Orgány činné v trestním řízení jednotlivých států, musí při vyšetřování počítačových trestných činů spolupracovat a to buď formálně, na základě vzájemné právní pomoci jako je Interpol nebo neformálně tím, ţe se poskytují potenciálně uţitečné informace přímo orgánům jiného státu. K úspěšné mezinárodní spolupracuje nutný souhlas orgánů zúčastněných států. Mezinárodní spolupráce, v podobě vzájemné právní pomoci, vyţaduje existenci mezinárodní dohody nebo jiného obdobného nástroje. Vyšetřování počítačové trestné činnosti vyţaduje existenci kvalifikovaných odborníků se zvláštními soudními a technickými znalostmi a schopnostmi. Počítačová trestná činnost bude čím dál více páchána v mezinárodním prostředí. V budoucnu tak mohou být méně připravené státy závislé na pomoci ostatních. Evropská unie a její orgány se problematikou počítačové kriminality a efektivního boje zabývají jiţ dlouhodobě. Aţ do roku 1996 byla otázka počítačové kriminality a jejího vyšetřování řešena pouze v rámci činnosti Evropského výboru pro otázky kriminality (European Committee on Crime Problems - CDPC). Ten však svým rozhodnutím CDPC/103/211196 rozhodl o ustavení výboru expertů v oblasti počítačové kriminality. Ustavení výboru bylo vyvoláno mnoha faktory, přičemţ za ten nejvýznamnější lze jednoznačně povaţovat rozvoj internetu, a s tím související rapidní nárůst trestných činů páchaných v internetových sítích. Doposud přijatá doporučení sice jistý právní rámec nastolila, ale nebyla schopna zajistit účinnou mezinárodní spolupráci při potírání počítačových trestných činů. Bylo nutné vytvořit a přijmout mezinárodně závazný instrument úmluvu, která by kromě opatření ve směru mezinárodní spolupráce zohlednila i otázky hmotného a procesního práva a rovněţ také záleţitosti těsně související s vyuţíváním informační technologie. Tento dokument se nazývá Úmluva. Vzhledem k tomu, ţe Úmluva bude po ratifikaci aplikována převáţně v mezinárodních věcech trestních, bude mít před trestním řádem přednost. Úmluva není posledním krokem orgánů evropských společenství na poli spolupráce při vyšetřování počítačové kriminality. EU si rovněţ uvědomuje, ţe je ţádoucí podporovat výzkum prospěšný v boji proti počítačové kriminalitě, tzn. zorganizovat alespoň jednou ročně konferenci, za účasti orgánů činných v trestním řízení a soukromých subjektů, zejména s cílem zahájit spolupráci v boji proti nezákonným internetovým činnostem, v oblasti elektronických sítí a zaměřených proti těmto sítím.
45
Podporovat účinnější výměnu informací neosobní povahy a sledovat závěry učiněné na dané konferenci prostřednictvím konkrétních projektů veřejně-soukromé spolupráce.44
44
Rámcové rozhodnutí Rady 2005/222/SVV ze dne 24. února 2005 o útocích proti informačním systémům,
46
ZÁVĚR Cílem mé bakalářské je upozornit na nebezpečí počítačové kriminality, poukázat na nejvíce závaţné problémy v této stále se rozvíjející oblasti trestné činnosti a podat tak čtenáři přehled o této oblasti. Jak jiţ z této práce vyplívá, tento druh trestné činnosti svou podstatou přesahuje teritoriální hranice jednotlivých států a stává se tak mezinárodním problémem. Za nejdůleţitější tedy povaţuji vytvoření legislativy na takové úrovni, aby dokázala tento druh trestné činnosti potírat. Aby bylo vyšetřování, obţaloba a odsouzení pachatelů této trestné činnosti úspěšné, je zapotřebí mezinárodní spolupráce a sjednocení legislativy v oblasti počítačové kriminality na základě Úmluvy Rady Evropy o počítačové kriminalitě, jelikoţ současná právní úprava se nedokáţe vypořádat s problémy v této oblasti. Aby byl boj proti informační a počítačové kriminalitě účinný, je dle mého názoru nezbytné vytvoření právní výchovy, která zahrne celou veřejnost. Nelze samozřejmě předpokládat, ţe bude celá společnost sloţena ze samých počítačových expertů, ale značným sníţením nebo alespoň zpomalením této kriminality by bezesporu byla znalost alespoň základních způsobů, jak chránit svá data. Jelikoţ je tato kriminalita relativně novým oborem, je nutné, aby se touto problematikou zabývali odborníci, kteří jsou z organizačně technického hlediska schopni drţet krok
s neustále se rozvíjejícím odvětvím počítačové kriminality, coţ vyţaduje
neustálé vzdělávání v oblasti ochrany dat, informační bezpečnost, aj. na úrovni informačních specialistů, politiků, policistů, apod. Stále častěji se objevují případy, na které nedokáţe náš právní řád reagovat, neboť novelizace právních předpisů mnohdy probíhá pomaleji neţ vývoj ve vynalézavosti nových přístupů v zneuţívání informačních technologií.
Je zapotřebí, aby zároveň se společenskými změnami, kterými procházíme,
byly modernizovány i legislativní dokumenty jako trestní zákony týkající se ekonomické kriminality související s vyuţitím počítače, zákony na ochranu duševního vlastnictví, zákony na ochranu údajů, ochranu soukromí, bezpečnostních opatření, jako je šifrování nebo elektronický podpis. Počítačové pirátství jako součást počítačové či informační kriminality je velmi aktuálním a celosvětovým problémem a škody, které kaţdoročně způsobí vydavatelům i autorům hudby, filmů a softwaru, neustále vzrůstají, a to zejména díky internetu a vzniku programů, které umoţňují přenos velkých souborů dat. Hlavním problémem vyšetřovatelů je pak obrovské mnoţství běţných uţivatelů, kteří stahují a 47
sdílejí autorsky chráněná díla. Vzhledem k obrovskému mnoţství uţivatelů, kteří tak činí, není v jejich silách zaměřit svou pozornost na všechny a hledají tak uţivatele, kteří nabízejí větší mnoţství dat neţ ostatní, čímţ ale nelze toto pirátství potlačit. Je tedy potřeba přijít na nový způsob obchodování a postihu pachatelů. Za velmi důleţité a zcela nezbytné jsem povaţoval seznámit čtenáře této práce s historickými kořeny tohoto expandujícího odvětví relativně nového druhu kriminality společně s jeho vývojem aţ po dnešní dobu. Nemohl jsem se nezmínit o pachatelích této trestné činnosti, nastínění jejich profilu nebo motivaci k protiprávnímu jednání. V neposlední řadě byla protiprávní jednání v této části práce kvalifikována dle jednotlivých skutkových podstat trestných činů, které je naplňují. Snahou bylo ukázat, ţe i taková nová jednání, jakými jsou projevy počítačové kriminality, jsou postiţitelná pomocí ne vţdy k tomu přímo určených ustanovení zvláštní části TZ.
48
SEZNAM POUŢITÉ LITERATURY: Manuál OSN pro prevenci a kontrolu počítačového zločinu, OSN 1994 Matějka, M., Počítačová kriminalita, Praha: Computer Press, 2002 SMEJKAL, V. – SOKOL, T. – VLČEK, M. Počítačové právo. Praha : C.H. Beck : SEVT, 1995 Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti nahradil zákon č. 148/1998 Sb., o ochraně utajovaných skutečností. Nařízení vlády č. 522/2005 Sb., kterým se stanoví seznam utajovaných informací Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínících komor Vyhláška č. 524/2005 Sb., o zajištění kryptografické ochrany utajovaných informací Vyhláška č. 525/2005 Sb., o provádění certifikace při zabezpečování kryptografické ochrany utajovaných informací Vyhláška č. 526/2005 Sb., o stanovení vzorů pouţívaných v oblasti průmyslové bezpečnosti a o seznamech písemností a jejich náleţitostech nutných k ověření splnění podmínek pro vydání osvědčení podnikatele a o způsobu podání ţádosti podnikatele (vyhláška o průmyslové bezpečnosti) Vyhláška č. 527/2005 Sb., o stanovení vzorů v oblasti personální bezpečnosti a bezpečnostní způsobilosti a o seznamech písemností přikládaných k ţádosti o vydání osvědčení fyzické osoby a k ţádosti o doklad o bezpečnostní způsobilosti fyzické osoby a o způsobu podání těchto ţádostí (vyhláška o personální bezpečnosti) Vyhláška č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků Vyhláška č. 529/2005 Sb., o administrativní bezpečnosti a o registrech utajovaných informací Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti Zákon č. 101/2000 Sb., o ochraně osobních údajů a o působnosti Úřadu pro ochranu osobních údajů a o změně některých dalších zákonů., ve znění pozdějších předpisů, který nabyl účinnosti dnem 1.6.2000. Zákon č. 140/1961 Sb., Trestní zákon, ve znění pozdějších předpisů Látal, I. Počítačová (informační) kriminalita a úloha policisty při jejím řešení. Policista, MVČR, 1998, č. 3 Baudiš, P.: Rhybaření. Chip, 2006, č.04
49
SEZNAM INTERNETOVÝCH ADRES : http://www.mvcr.cz http://www.dolphin.cz http://www.ikaros.cz http://www.viry http://en.wikipedia.org http://slovnik-cizich-slov.abz.cz http://www.emag.cz http://cms.e-bezpeci.cz http://www.trosky.cz http://www.lupa.cz http://www.hoax.cz http://www.pravoit.cz http://www.bsa.org
http://zpravy.idnes.cz http://www.novinky.cz http://www.csirt.cz
50
PŘÍLOHY PŘÍLOHA č. 1. Příklad HOAXu
PŘÍLOHA č. 2. .
První phishing v České republice
PŘÍLOHA č. 3. EVIDENCE PŘÍPADŮ SOFTWAROVÉHO PIRÁTSTVÍ V ČR ZA OBDOBÍ 2004 - 2006
51
1. Příklad HOAXu
Neplaťte pokuty...! Víte, ţe vůbec nemusíte platit pokuty za "přiměřeně" rychlou jízdu? Taky jsem se to dozvěděla nedávno a řeknu Vám, ţe mě mrzí, ţe jsem těm bídákům zeleným dala peníze za něco na co vůbec nemají ze zákona právo. V zákoně č.361/2000 o pozemních komunikacích je sice napsáno, ţe máme povinnost jezdit v obci 50 km/hod., na okresce 90 km/hod. a na dálnici max 130 km/hod.. Jenţe kluci zelení nás můţou pokutovat jen za přestupek. A v přestupkovém zákoně č.200/1990 je přestupek definován jako překročeni rychlosti v obci o 30 km/hod a mimo obec o 50 km/hod. Jo jo, to je ta naše legislativa. Takţe, kdyţ se fakt budete mírnit a v obci pojedete do 79km/hod, na okresce do 119 km/hod a na dálnici do 179 km/hod, tak jim nemusíte dávat nic a místo peněz vyhozených za pokutu zajít radši na zmrzlinu. Ověřovala jsem si to u naší právničky a je to skutečně tak. Opět zase stát spoléhá na to, ţe neznáme dobře zákony. Jo a kdyby Vám chtěli argumentovat tím, ţe celá tato věc je ošetřena v nějaké vyhlášce, tak to klidně můţe být, ale zákon je vyhlášce nadřazen. Tak a mají smůlu. Teď uţ jen připravit lékárničky, technický stav vozidla, aby si rozčilení "neléčili" na něčem jiném.Tak a hurá na rychlejší, ale stále bezpečnou jízdu.
Verze 1 Předmět: BANKOMAT + PIN - Můţe to být uţitečné... Jakmile se ocitnete v situaci, kdy jste přinuceni násilníkem a musíte pod nátlakem vybrat peníze z Bankovního automatu, zadejte svůj PIN opačně: tzn. od konce - > např.máte-li 1234 , tak zadáte 4321 a automat vám peníze přesto vydá, ale téţ současně přivolá policii, která vám přijede na pomoc. Tato zpráva byla před nedávnem vysílána v TV, přesto ji vyuţili doposud jen 3 lidé, protoţe se o této skutečnosti mezi lidmi neví. Přepošlete co nejvíce lidem. Verze 2 Jakmile se ocitnete v situaci, kdy jste přinuceni násilníkem a musíte pod nátlakem vybrat peníze z Bankovního automatu, zadejte svůj PIN opačně: tzn. od konce - např. máte-li 1234 , tak zadáte 4321 a automat vám peníze přesto vydá, ale téţ současně přivolá policii, která vám přijede na pomoc!!! Tato zpráva byla před nedávnem vysílána v TV, přesto ji vyuţili doposud jen 3 lidé, protoţe se o této skutečnosti mezi lidmi neví. Přepošlete co nejvíce lidem.
52
2. První phishing v České republice Česká pobočka bankovního ústavu CitiBank byla v březnu roce 2006 napadena historicky prvním phishingovým útokem v českém jazyce. Zákazníci zmíněného ústavu obdrţeli na první pohled zcela běţný email:
Obr. 1 – Falešný email zaslaný klientům bankovního ústavu CitiBank 45
Pokud by některý z klientů banky uposlechl a řídil se pokyny na emailu, byl by přesměrován na falešnou webovou stránku a přišel o své úspory uloţené v bance. Text tohoto falešného emailu byl vytvořen podle pravidel sociálního inţenýrství s cílem oklamat příjemce a vylákat od něj citlivé informace o jeho bankovním kontě. V tomto případě prvního zachyceného phishingového podvodu se nakonec nic váţného nestalo; bance se zavčas podařilo vyřadit falešnou stránku z provozu a ţádný z klientů banky o své úspory nepřišel. 46
45
NESEJT, Pavel. První phishing v Ćesku, terčem byla CitiBank. finance.cz [online]. 16.3.2006. [cit. 200706-21]. Dostupné z WWW: .
53
Jak vyplývá ze zdroje bankovního ústavu Citibank, bylo v rámci této kauzy zatčeno jiţ osm lidí. 47
Zdroj: Kuţník, Jan. Technet web: Drahoušci České spořitelny vyhrávají 50 dolarů. Podvodné dopisy opět kolují [citováno 10. března 2008]. Dostupný z: http://technet.idnes.cz/.
46
NESEJT, Pavel. První phishing v Ćesku, terčem byla CitiBank. finance.cz [online]. 16.3.2006. [cit. 200706-21]. Dostupné z WWW: . 47
Citibank, a.s. Dementi. Měšec.cz [online]. 25.11.2006. [2007-06-21]. Dostupné z WWW: < http://www.mesec.cz/tiskove-zpravy/dementi/>.
54
3. EVIDENCE PŘÍPADŮ SOFTWAROVÉHO PIRÁTSTVÍ V ČR ZA OBDOBÍ 2004 – 2006
55
