Zločin a trest

Pohled právníka na útok DoS a DDoS.
Vladimír Smejkal: Vycházíme z předpokladu, že DoS je znepřístupnění služby přetížením serveru. Útočník posílá na server takové množství požadavků, že je tento nestíhá vyřizovat a buď se zhroutí, nebo sice nadále pracuje, ale takovým způsobem, že neodpovídá na požadavky regulérních uživatelů. DDoS je útok provedený ve svých důsledcích stejně, ale zatímco při klasickém DoS požadavky přicházejí z jednoho počítače, v případě DDoS jdou z desítek, stovek či tisíců počítačů z celého Internetu, kam byl útok infiltrován něčím jako virem.

Problémem u DoS/DDoS je možnost jak technické (systémové), tak právní obrany. Co se právního pohledu týká, není situace jednoduchá. V případě DDoS se může jednat např. o naplnění skutkové podstaty našeho „počítačového“ trestného činu podle ustanovení § 257a trestního zákona č. 140/1961 Sb., ve znění pozdějších předpisů (dále jen TrZ), a to na počítačích využitých pro útok proti serveru, které jsou zneužity a je učiněn zásah do nich v podobě viru, červa apod. Složitější otázkou ale je, jak kvalifikovat samotný útok na cíl, tj. proti serveru jak v druhém (DDoS), tak i v prvním (DoS) případě.

Poškození a zneužití záznamu na nosiči informací

Podíváme-li se na dikci ust. § 257a TrZ „Poškození a zneužití záznamu na nosiči informací“, pak zní:

„(1) Kdo v úmyslu způsobit jinému škodu nebo jinou újmu nebo získat sobě nebo jinému neoprávněný prospěch získá přístup k nosiči informací a a) takových informací neoprávněně užije, b) informace zničí, poškodí nebo učiní neupotřebitelnými, nebo c) učiní zásah do technického nebo programového vybavení počítače, bude potrestán odnětím svobody až na jeden rok nebo zákazem činnosti nebo peněžitým trestem nebo propadnutím věci.

(2) Odnětím svobody na šest měsíců až tři léta bude pachatel potrestán,

a) spáchá-li čin uvedený v odstavci 1 jako člen organizované skupiny, nebo

b) způsobí-li takovým činem značnou škodu nebo získá-li sobě nebo jinému značný prospěch.

(3) Odnětím svobody na jeden rok až pět let bude pachatel potrestán, způsobí-li činem uvedeným v odstavci 1 škodu velkého rozsahu nebo získá-li sobě nebo jinému prospěch velkého rozsahu.“

Pokud ovšem pošle někdo zvenčí milion e-mailů na server, pak neužil ničeho neoprávněně, nic nezničil, nepoškodil, možná ani nijak nezasáhl do technického nebo programového vybavení počítače. Ovšem počítač na tyto útočící e-maily zběsile odpovídá, odpovídá, odpovídá... takže sice pracuje, ale během odpovědí na 10 tisíc útočných mailů mu zbude čas na zpracování maximálně jednoho mailu oprávněného.

Naskýtá se otázka, zda toto jednání lze kvalifikovat jedinou zbývající možností výše uvedené definice skutkové podstaty dle § 257a, tj. že pachatel „informace učiní neupotřebitelnými“. Možná ano, ovšem coby protiargument si můžeme představit situaci, kdy existuje „kamenný“ obchod, třeba s botami, kam se úmyslně nahrne 1 000 zákazníků naráz (z legrace, pomsty apod.). Těžko v tom lze spatřovat trestný čin, pokud nic neukradnou nebo nepoškodí, ale budou bránit jiným lidem v nákupu pouze svojí přítomností.

Podle názoru JUDr. Tomáše Sokola by citované ust. § 257a bylo možno použít, neboť to, že někdo posílá e-mail, je způsob, jak získává přístup k nosiči informací (počítači) a bez uvedení správné adresy by se k němu nedostal. Když tam někdo pošle tisíce e-mailů, pak tím provozovateli způsobil buď škodu anebo jinou újmu a učinil zásah do programového vybavení. Nikoli zásah definitivní, ale přechodný, a nikoli úpravou programu, ale prostě tím, že ho s vědomím jeho kapacity zahltí, díky čemuž zkolabuje.

Podle jeho názoru dokonce možná přichází v úvahu i trestný čin podle § 257 TrZ – Poškozování cizí věci. Pokud by se server zahltil tak, že by byl poškozen a bylo by nutné ho opravit, např. nějakým způsobem server odpojit, vymazat disk atd., pak by bylo podle kolegy Sokola možné uvažovat o tr. činu takto kvalifikovaném. Samozřejmě, že za předpokladu prokázaného úmyslu a škody nikoli nepatrné.

Zatímco ohledně první interpretace mu dávám, byť opatrně, za pravdu, v druhém případě nikoli. Dikce ust. § 257 předpokládá, že někdo „zničí, poškodí nebo učiní neupotřebitelnou cizí věc“. Data nejsou věcí – tou je hmotný substrát, na kterém se nacházejí (disk, operační paměť). Není mi pak jasné, jak by při útoku typu DoS/DDoS měly být poškozeny hmotné věci – s výjimkou počítače nakopnutého správcem.

Obecné ohrožení a jiné možnosti

Druhou takovou možností se jeví uplatnit skutkovou podstatu tr. činu dle § 182 TrZ, a to Poškozování a ohrožování provozu obecně prospěšného zařízení. Podle něj:

„(1) Kdo úmyslně ohrozí provoz a) veřejného telekomunikačního zařízení, zařízení držitele poštovní licence nebo zařízení pro hromadnou veřejnou dopravu,… bude potrestán odnětím svobody až na tři léta nebo peněžitým trestem.

(2) Odnětím svobody na jeden rok až šest let bude pachatel potrestán,

a) způsobí-li činem uvedeným v odstavci 1 poruchu provozu obecně prospěšného zařízení, nebo

b) spáchá-li takový čin za stavu ohrožení státu nebo za válečného stavu.“

Teď ovšem záleží na okolnostech, zda můžeme napadený server kvalifikovat jako „veřejné telekomunikačního zařízení“. Pokud by se jednalo o server, který slouží pro účely veřejnosti – např. poštovní, letecký, záchranného systému apod., pak by zřejmě naplnění skutkové podstaty tr. činu dle § 182 přicházelo v úvahu. Dokonce, pokud by došlo k vyvolání situace, v níž jsou lidé vydáni nebezpečí smrti nebo těžké újmy na zdraví nebo hrozí cizímu majetku nebezpečí škody velkého rozsahu atd. (například server nemocničního informačního systému, řídícího mj. režim jednotek intenzívní péče, nebo server provozu metra), mohlo jít i o naplnění skutkové podstaty tr. činů

dle § 179 nebo 180 tr. zák:

§179

„(1) Kdo úmyslně vydá lidi v nebezpečí smrti nebo těžké újmy na zdraví nebo cizí majetek v nebezpečí škody velkého rozsahu tím, že způsobí požár nebo povodeň nebo škodlivý účinek výbušnin, plynu, elektřiny nebo jiných podobně nebezpečných látek nebo sil nebo se dopustí jiného podobného nebezpečného jednání (obecné nebezpečí), nebo kdo obecné nebezpečí zvýší anebo ztíží jeho odvrácení nebo zmírnění, bude potrestán odnětím svobody na tři léta až osm let.

(2) Odnětím svobody na osm až patnáct let bude pachatel potrestán,

a) spáchá-li čin uvedený v odstavci 1 jako člen organizované skupiny,

b) spáchá-li takový čin opětovně v krátké době, nebo

c) způsobí-li takovým činem těžkou újmu na zdraví více osob nebo smrt, škodu velkého rozsahu nebo jiný zvlášť závažný následek.

(3) Odnětím svobody na dvanáct až patnáct let nebo výjimečným trestem bude pachatel potrestán,

a) způsobí-li činem uvedeným v odstavci 1 úmyslně smrt, nebo

b) spáchá-li takový čin za stavu ohrožení státu nebo za válečného stavu.

§ 180

(1) Kdo z nedbalosti způsobí nebo zvýší obecné nebezpečí anebo ztíží jeho odvrácení nebo zmírnění, bude potrestán odnětím svobody až na jeden rok nebo zákazem činnosti.

(2) Odnětím svobody až na tři léta nebo zákazem činnosti bude pachatel potrestán,

a) způsobí-li činem uvedeným v odstavci 1 těžkou újmu na zdraví nebo smrt,

b) spáchá-li takový čin proto, že porušil důležitou povinnost vyplývající z jeho zaměstnání, povolání, postavení nebo funkce nebo uloženou mu podle zákona, nebo

c) způsobí-li takovým činem značnou škodu.

(3) Odnětím svobody na jeden rok až pět let nebo peněžitým trestem bude pachatel potrestán, způsobí-li činem uvedeným v odstavci 2 písm. b)

a) škodu velkého rozsahu, nebo

b) těžkou újmu na zdraví nebo smrt.

(4) Odnětím svobody na tři léta až deset let bude pachatel potrestán, způsobí-li činem uvedeným v odstavci 2 písm. b) těžkou újmu na zdraví nebo smrt více osob.“

Tyto katastrofické vize by ovšem došly naplnění pouze za předpokladu, že zablokování e-maily by server jako komunikační prvek vyřadilo z provozu, a to na dobu, která by byla natolik dlouhá, že by se vyřazení z provozu rovnalo poškození.

Naopak rozhodně by ale takto nemohlo být kvalifikováno zablokování soukromého serveru, tedy serveru např. Computer Press. Zde se de iure nejedná o obecně prospěšné zařízení.

Jiná věc by byla, pokud by přemíra pošty či jiných požadavků zablokovala i komunikační linky, tedy síť a nebo servery providera, poštovní schránky, přenosové paměti (proxy, cache apod.). I když u providera jde o soukromou osobu, asi by šlo dovozovat, že poskytuje-li služby blíže neurčenému počtu zákazníků, kteří se jeho prostřednictvím připojují k Internetu, je server veřejným telekomunikačním zařízením. Opět by tedy přicházel v úvahu postih podle § 182 TrZ. Muselo by ovšem jít o zablokování, které trvalo po delší dobu.

Nekalá soutěž

Poslední možností je varianta, kdy bude pachatel dopaden a zjistí se, že motivem by byla snaha škodit konkurenci. Pak by mohlo jít o tr. čin dle § 149 TrZ – Nekalá soutěž, který je definován takto: „Kdo jednáním, které je v rozporu s předpisy upravujícími soutěž v hospodářském styku nebo se zvyklostmi soutěže, poškodí dobrou pověst nebo ohrozí chod nebo rozvoj podniku soutěžitele, bude potrestán odnětím svobody až na jeden rok nebo peněžitým trestem nebo propadnutím věci.“

Občanskoprávní ochrana

Bez ohledu na soukromoprávní nebo veřejnoprávní postavení serveru, které je pro nás důležité při posuzování naplnění skutkové podstaty některého z výše uvedených trestných činů, i soukromému serveru, resp. jeho majiteli, jakým je např. i Computer Press, může vzniknout v důsledku DoS/DDoS útoku škoda.

Podle mého názoru je možno v případě, že bude zjištěn pachatel, vymáhat na něm škodu, kterou takto způsobil, občanskoprávní cestou, tj. žalobou u obecného soudu. Podle ust. § 420a občanského zákoníku:

„(1) Každý odpovídá za škodu, kterou způsobí jinému provozní činností.

(2) Škoda je způsobena provozní činností, je-li způsobena

a) činností, která má provozní povahu, nebo věcí použitou při činnosti,

b) fyzikálními, chemickými, popřípadě biologickými vlivy provozu na okolí,

c) oprávněným prováděním nebo zajištěním prací, jimiž je způsobena jinému škoda na nemovitosti nebo je mu podstatně ztíženo nebo znemožněno užívání nemovitosti.

(3) Odpovědnosti za škodu se ten, kdo ji způsobil, zprostí, jen prokáže-li, že škoda byla způsobena neodvratitelnou událostí nemající původ v provozu anebo vlastním jednáním poškozeného.“

Existuje ještě jedna možnost, pokud by tento přístup selhal: podle ust. § 424 za škodu odpovídá i ten, kdo ji způsobil úmyslným jednáním proti dobrým mravům. A útok typu DoS/DDoS je podle mého názoru právě takovým jednání v rozporu s dobrými mravy.

Potom bychom aplikovali ust. § 442 občanského zákoníku – Způsob a rozsah náhrady: hradí se skutečná škoda a to, co poškozenému ušlo (ušlý zisk), přičemž škoda se hradí v penězích; požádá-li však o to poškozený a je-li to možné a účelné, hradí se škoda uvedením do předešlého stavu. Byla-li škoda způsobena úmyslným trestným činem, z něhož měl pachatel majetkový prospěch, může soud rozhodnout, že je možno právo na náhradu škody uspokojit z věcí, které z majetkového prospěchu nabyl. A to i tehdy, jestliže jinak podle ustanovení občanského soudního řádu výkonu rozhodnutí nepodléhají. Dokud není právo na náhradu škody uspokojeno, nesmí dlužník s takovými věcmi v rozhodnutí uvedenými nakládat.

Diskuze (5) Další článek: Chystá se USB s velkými proudy a napětím

Témata článku: Škodlivý účinek, Apod, Trest, Povodeň, Zločin, Zlo, Velký rozsah, Komunikační link, Právní pohled, Napadený server, Nebezpečná situace, Nebezpečná událost, Zdravý člověk, Dobrý způsob, Nemovitost, Intenzívní péče, Velká škoda


Určitě si přečtěte

Měření rychlosti internetu: Populární Speedtest.net neřekne o skutečné rychlosti internetu téměř nic

Měření rychlosti internetu: Populární Speedtest.net neřekne o skutečné rychlosti internetu téměř nic

** Speedtest stále častěji měří jen rychlost na poslední míli ** Ta však ale neodpovídá reálnému surfování ** Jak se tedy pokusit změřit tu skutečnou?

Jakub Čížek | 85

Chyba roku 2038 způsobí problémy, počítače dnes totiž stárnou příliš pomalu

Chyba roku 2038 způsobí problémy, počítače dnes totiž stárnou příliš pomalu

** Loni ajťáky vystrašilo přetečení GPS čítače týdnů ** Nemělo se stát vůbec nic, ale svět opět nebyl připravený ** Za 18 let nás ale čeká ještě něco mnohem většího

Jakub Čížek | 66

České Rajče je stále plné dětských nahotin. Student pomocí A.I. analyzoval miliony fotek

České Rajče je stále plné dětských nahotin. Student pomocí A.I. analyzoval miliony fotek

** Rajče.net má odjakživa problémy s choulostivými fotkami dětí ** Student zlínské univerzity analyzoval jeho katalog ** Neuronová síť doposud prozkoumala 6 milionů snímků

Jakub Čížek, Filip Šedivý | 75

37 nejstrašnějších počítačů, které jste kdy viděli

37 nejstrašnějších počítačů, které jste kdy viděli

** Přehled nejhorších počítačů na světě ** Šílené konstrukce a materiály ** Jak to dopadne, když se o počítač nestaráte

Karel Javůrek | 22

Windows 10X už si můžete vyzkoušet. Novému systému Microsoft zjevně věří

Windows 10X už si můžete vyzkoušet. Novému systému Microsoft zjevně věří

** Windows 10X přijdou již ke konci roku ** Microsoft vydal emulátor, kde systém ukázal ** Vývojáři musí upravit své aplikace

Vladislav Kluska | 58

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

** Strojové učení ještě nepřitáhlo takový zájem jako na začátku prázdnin ** Ne, umělá inteligence nenašla lék na rakovinu ** Naučila se svlékat ženy nejen z plavek

Jakub Čížek | 35



Aktuální číslo časopisu Computer

Megatest 12 bezdrátových sluchátek

Vyplatí se Apple z bazaru?

Test batohů pro notebooky

Vybíráme nejlepší sportovní hodinky