Odpowiedzialność karna za zniszczenie lub modyfikację logów systemowych.
W większości systemów operacyjnych istnieje mechanizm rejestrowania wszystkich zdarzeń zachodzących w systemie. Systemy linuksowe rejestrują działanie systemu w plikach rejestru znajdujących się w katalogu /var/log. Ponadto często administrator instaluje dodatkowe oprogramowanie do monitorowania pracy systemu i rejestracji zdarzeń. Administrator analizując odpowiednie dzienniki zdarzeń może stwierdzić kto i kiedy pracował w systemie oraz jakie wykonywał operacje. Haker dokonujący włamania zdaje sobie najczęściej sprawę z istnienia mechanizmu rejestrującego jego poczynania w systemie, a zatem w celu ukrycia swoje działalności stara się zniszczyć lub zmienić logi systemowe. Haker używając edytora testu (np. pico, vi) może “ręcznie” zmodyfikować logi lub usprawnić sobie pracę wykorzystując gotowy program lub pisząc prosty skrypt w języku powłoki.
Na straży integralności zapisu informacji stoi przepis art. 268 k.k. zgodnie z którym odpowiedzialności karnej podlega sprawca który nie będąc do tego uprawniony “niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią”.
Natomiast przepis art. 268 § 2 k.k. stanowi, że gdy czyn dotyczy zapisu na komputerowym nośniku informacji sprawca podlega karze pozbawienia wolności do lat 3. (typ podstawowy przestępstwa zagrożony jest mniej surową karą grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2)
Zauważmy, że w oparciu o omawiany przepis karalne jest zniszczenie, uszkodzenie czy zmiana nie jakiejkolwiek informacji a wyłącznie “ISTOTNEJ” informacji.
Powstaje zatem pytanie czy zapis logów systemowych stanowi “istotną” informację w rozumieniu niniejszego przepisu. Jak wskazuje się w literaturze prawniczej, ocena “istotności” informacji powinna opierać się o kryteria obiektywne. Jednocześnie należy zgodzić się z opinią, że podstawą oceny istotności informacji powinien być “standard obowiązujący w danej dziedzinie do której odnosi się informacja.” Ponadto w doktrynie przedmiotu reprezentowany jest pogląd zgodnie z którym oceniając “istotność” informacji oprócz przesłanek obiektywnych należy uwzględnić znaczenia informacji dla jej dysponenta oraz cel jakiemu informacja służy.
Moim zdaniem skasowanie lub modyfikacje logów systemowych przez hakera mieści się w pojęciu niszczenia, usuwania lub zmiany zapisu ISTOTNEJ informacji.
Zmiana zapisu informacji o której mowa w przepisie, prowadzić może zarówno do zupełnego pozbawienia sensu zapisu jak również do stanu w którym informacja pozostaje czytelna, nabiera jednak zupełnie innego znaczenia niż przed dokonaniem zmiany w zapisie. W przypadku ingerencji w logi systemowe najczęściej spotkamy się właśnie z drugą z wymienionych ewentualności. Haker najczęściej nie niszczy całości zapisu, kasuje lub modyfikuje jedynie zapis dotyczący własnej działalności w systemie (np. próby załogowania z danego hosta). Oczywiście tego typu “częściowa” zmiana logów systemowych również stanowić może czyn karalny.
W praktyce administrator stara się przeciwdziałać modyfikacji logów systemowych poprzez odpowiednią konfigurację systemu (w Linuxie będzie to modyfikacja pliku /etc/syslod.conf ). Możliwa jest konfiguracja systemu, zmierzająca do “dublowania” zapisu logów systemowych. Kopia logów może być zapisywana w odpowiednim pliku na tym samym komputerze (/zapisana/bardzo/głęboko/w/systemie/) wysyłana na inny host lub okresowo drukowana.
Przestępstwo z art. 268 § 2 k. k. jest przestępstwem skutkowym, odpowiedzialność karna sprawcy zależy od wystąpienia skutku w postaci udaremnienia lub znacznego utrudnienia osobie uprawnionej zapoznania się z informacją. Jak wskakuje W. Wróbel “Nie stanowi realizacji znamion czynu zabronionego określonego w tym przepisie zniszczenie jednej z wielu kopii zapisu informacji, chyba że zapoznanie się z tą informacją zawartą na pozostałych kopiach jest znacznie utrudnione”.
Nie dojdzie zatem do popełnienia przestępstwa z art. 268 § 2 k.k. w przypadku gdy haker niszczy lub modyfikuje tylko jedną z kopii logów systemowych i zapoznanie się z “oryginalnym” zapisem logów nie będzie stanowić znacznego utrudnienia dla uprawnionego.
Omawiane przestępstwo jest przestępstwem umyślnym. Zgodnie z art. 9 § 1 k.k. czyn zabroniony popełniony jest umyślnie, jeżeli sprawca ma zamiar jego popełnienia, to jest chce go popełnić albo przewiduje możliwość jego popełnienia i na to się godzi. Nie stanowi zatem przestępstwa nieumyślne zniszczenie logów systemowych w wyniku nieostrożnych, przypadkowych działań użytkownika systemu.
Należy podkreślić, że niezależnie od odpowiedzialności karnej, zniszczenie lub modyfikacja logów systemowych łączy się z odpowiedzialnością cywilną sprawcy.
Przypisy:
1. Krzysztof Rzecki, Leszek Siwik, “Bezpieczeństwo w systemach komputerowych – Referat z przedmiotu “Administrowanie Systemami Komputerowymi”,
2. LogCaster, zobacz: T. Łopatkiewicz, Centralne monitorowanie logów systemowych – LogCaster, IT Security Magazine, 12/2000; Robert Wysocki, Audit Policy,
3. A. Adamski, Prawo karne komputerowe, Warszawa 2000, str. 65,
4. P. Kardas, Prawnokarna ochrona informacji w polskim prawie karnym, Czasopismo prawa karnego i nauk penalnych 2000/1,
5. O. Górniok, Kodeks karny, str. 325;
6. W. Wróbel w: G. Bogdan, K . Buchała, Z. Ćwiakalski, M. Dąbrowska-Kardas, P. Kardas, J. Majewski, M. Rodzynkiewicz, M. Szewczyk, W. Wróbel, A. Zoll, Kodeks karny, Część szczególna. Komentarz, t. 2 str. 1019,
7. J. Kardas, Prawnokarna ochrona… j.w. str. 90
8. Dominik Bałos, Dariusz Czapla, Jan Górkiewicz, “Bezpieczeństwo systemów komputerowych na przykładzie systemu Linux;
9. Gerhard Mourani, “Securing and Optimizing Linux, RedHat Edition – A Hands on Guide”,
10. W. Wróbel w: G. Bogdan, K . Buchała, Z. Ćwiakalski, M. Dąbrowska-Kardas, P. Kardas, J. Majewski, M. Rodzynkiewicz, M. Szewczyk, W. Wróbel, A. Zoll, Kodeks karny, Część szczególna. Komentarz, t. 2;
11. A. Adamski, Prawo karne komputerowe… j.w.,str. 72