Zločin a trest

Pohled právníka na útok DoS a DDoS.
Vladimír Smejkal: Vycházíme z předpokladu, že DoS je znepřístupnění služby přetížením serveru. Útočník posílá na server takové množství požadavků, že je tento nestíhá vyřizovat a buď se zhroutí, nebo sice nadále pracuje, ale takovým způsobem, že neodpovídá na požadavky regulérních uživatelů. DDoS je útok provedený ve svých důsledcích stejně, ale zatímco při klasickém DoS požadavky přicházejí z jednoho počítače, v případě DDoS jdou z desítek, stovek či tisíců počítačů z celého Internetu, kam byl útok infiltrován něčím jako virem.

Problémem u DoS/DDoS je možnost jak technické (systémové), tak právní obrany. Co se právního pohledu týká, není situace jednoduchá. V případě DDoS se může jednat např. o naplnění skutkové podstaty našeho „počítačového“ trestného činu podle ustanovení § 257a trestního zákona č. 140/1961 Sb., ve znění pozdějších předpisů (dále jen TrZ), a to na počítačích využitých pro útok proti serveru, které jsou zneužity a je učiněn zásah do nich v podobě viru, červa apod. Složitější otázkou ale je, jak kvalifikovat samotný útok na cíl, tj. proti serveru jak v druhém (DDoS), tak i v prvním (DoS) případě.

Poškození a zneužití záznamu na nosiči informací

Podíváme-li se na dikci ust. § 257a TrZ „Poškození a zneužití záznamu na nosiči informací“, pak zní:

„(1) Kdo v úmyslu způsobit jinému škodu nebo jinou újmu nebo získat sobě nebo jinému neoprávněný prospěch získá přístup k nosiči informací a a) takových informací neoprávněně užije, b) informace zničí, poškodí nebo učiní neupotřebitelnými, nebo c) učiní zásah do technického nebo programového vybavení počítače, bude potrestán odnětím svobody až na jeden rok nebo zákazem činnosti nebo peněžitým trestem nebo propadnutím věci.

(2) Odnětím svobody na šest měsíců až tři léta bude pachatel potrestán,

a) spáchá-li čin uvedený v odstavci 1 jako člen organizované skupiny, nebo

b) způsobí-li takovým činem značnou škodu nebo získá-li sobě nebo jinému značný prospěch.

(3) Odnětím svobody na jeden rok až pět let bude pachatel potrestán, způsobí-li činem uvedeným v odstavci 1 škodu velkého rozsahu nebo získá-li sobě nebo jinému prospěch velkého rozsahu.“

Pokud ovšem pošle někdo zvenčí milion e-mailů na server, pak neužil ničeho neoprávněně, nic nezničil, nepoškodil, možná ani nijak nezasáhl do technického nebo programového vybavení počítače. Ovšem počítač na tyto útočící e-maily zběsile odpovídá, odpovídá, odpovídá... takže sice pracuje, ale během odpovědí na 10 tisíc útočných mailů mu zbude čas na zpracování maximálně jednoho mailu oprávněného.

Naskýtá se otázka, zda toto jednání lze kvalifikovat jedinou zbývající možností výše uvedené definice skutkové podstaty dle § 257a, tj. že pachatel „informace učiní neupotřebitelnými“. Možná ano, ovšem coby protiargument si můžeme představit situaci, kdy existuje „kamenný“ obchod, třeba s botami, kam se úmyslně nahrne 1 000 zákazníků naráz (z legrace, pomsty apod.). Těžko v tom lze spatřovat trestný čin, pokud nic neukradnou nebo nepoškodí, ale budou bránit jiným lidem v nákupu pouze svojí přítomností.

Podle názoru JUDr. Tomáše Sokola by citované ust. § 257a bylo možno použít, neboť to, že někdo posílá e-mail, je způsob, jak získává přístup k nosiči informací (počítači) a bez uvedení správné adresy by se k němu nedostal. Když tam někdo pošle tisíce e-mailů, pak tím provozovateli způsobil buď škodu anebo jinou újmu a učinil zásah do programového vybavení. Nikoli zásah definitivní, ale přechodný, a nikoli úpravou programu, ale prostě tím, že ho s vědomím jeho kapacity zahltí, díky čemuž zkolabuje.

Podle jeho názoru dokonce možná přichází v úvahu i trestný čin podle § 257 TrZ – Poškozování cizí věci. Pokud by se server zahltil tak, že by byl poškozen a bylo by nutné ho opravit, např. nějakým způsobem server odpojit, vymazat disk atd., pak by bylo podle kolegy Sokola možné uvažovat o tr. činu takto kvalifikovaném. Samozřejmě, že za předpokladu prokázaného úmyslu a škody nikoli nepatrné.

Zatímco ohledně první interpretace mu dávám, byť opatrně, za pravdu, v druhém případě nikoli. Dikce ust. § 257 předpokládá, že někdo „zničí, poškodí nebo učiní neupotřebitelnou cizí věc“. Data nejsou věcí – tou je hmotný substrát, na kterém se nacházejí (disk, operační paměť). Není mi pak jasné, jak by při útoku typu DoS/DDoS měly být poškozeny hmotné věci – s výjimkou počítače nakopnutého správcem.

Obecné ohrožení a jiné možnosti

Druhou takovou možností se jeví uplatnit skutkovou podstatu tr. činu dle § 182 TrZ, a to Poškozování a ohrožování provozu obecně prospěšného zařízení. Podle něj:

„(1) Kdo úmyslně ohrozí provoz a) veřejného telekomunikačního zařízení, zařízení držitele poštovní licence nebo zařízení pro hromadnou veřejnou dopravu,… bude potrestán odnětím svobody až na tři léta nebo peněžitým trestem.

(2) Odnětím svobody na jeden rok až šest let bude pachatel potrestán,

a) způsobí-li činem uvedeným v odstavci 1 poruchu provozu obecně prospěšného zařízení, nebo

b) spáchá-li takový čin za stavu ohrožení státu nebo za válečného stavu.“

Teď ovšem záleží na okolnostech, zda můžeme napadený server kvalifikovat jako „veřejné telekomunikačního zařízení“. Pokud by se jednalo o server, který slouží pro účely veřejnosti – např. poštovní, letecký, záchranného systému apod., pak by zřejmě naplnění skutkové podstaty tr. činu dle § 182 přicházelo v úvahu. Dokonce, pokud by došlo k vyvolání situace, v níž jsou lidé vydáni nebezpečí smrti nebo těžké újmy na zdraví nebo hrozí cizímu majetku nebezpečí škody velkého rozsahu atd. (například server nemocničního informačního systému, řídícího mj. režim jednotek intenzívní péče, nebo server provozu metra), mohlo jít i o naplnění skutkové podstaty tr. činů

dle § 179 nebo 180 tr. zák:

§179

„(1) Kdo úmyslně vydá lidi v nebezpečí smrti nebo těžké újmy na zdraví nebo cizí majetek v nebezpečí škody velkého rozsahu tím, že způsobí požár nebo povodeň nebo škodlivý účinek výbušnin, plynu, elektřiny nebo jiných podobně nebezpečných látek nebo sil nebo se dopustí jiného podobného nebezpečného jednání (obecné nebezpečí), nebo kdo obecné nebezpečí zvýší anebo ztíží jeho odvrácení nebo zmírnění, bude potrestán odnětím svobody na tři léta až osm let.

(2) Odnětím svobody na osm až patnáct let bude pachatel potrestán,

a) spáchá-li čin uvedený v odstavci 1 jako člen organizované skupiny,

b) spáchá-li takový čin opětovně v krátké době, nebo

c) způsobí-li takovým činem těžkou újmu na zdraví více osob nebo smrt, škodu velkého rozsahu nebo jiný zvlášť závažný následek.

(3) Odnětím svobody na dvanáct až patnáct let nebo výjimečným trestem bude pachatel potrestán,

a) způsobí-li činem uvedeným v odstavci 1 úmyslně smrt, nebo

b) spáchá-li takový čin za stavu ohrožení státu nebo za válečného stavu.

§ 180

(1) Kdo z nedbalosti způsobí nebo zvýší obecné nebezpečí anebo ztíží jeho odvrácení nebo zmírnění, bude potrestán odnětím svobody až na jeden rok nebo zákazem činnosti.

(2) Odnětím svobody až na tři léta nebo zákazem činnosti bude pachatel potrestán,

a) způsobí-li činem uvedeným v odstavci 1 těžkou újmu na zdraví nebo smrt,

b) spáchá-li takový čin proto, že porušil důležitou povinnost vyplývající z jeho zaměstnání, povolání, postavení nebo funkce nebo uloženou mu podle zákona, nebo

c) způsobí-li takovým činem značnou škodu.

(3) Odnětím svobody na jeden rok až pět let nebo peněžitým trestem bude pachatel potrestán, způsobí-li činem uvedeným v odstavci 2 písm. b)

a) škodu velkého rozsahu, nebo

b) těžkou újmu na zdraví nebo smrt.

(4) Odnětím svobody na tři léta až deset let bude pachatel potrestán, způsobí-li činem uvedeným v odstavci 2 písm. b) těžkou újmu na zdraví nebo smrt více osob.“

Tyto katastrofické vize by ovšem došly naplnění pouze za předpokladu, že zablokování e-maily by server jako komunikační prvek vyřadilo z provozu, a to na dobu, která by byla natolik dlouhá, že by se vyřazení z provozu rovnalo poškození.

Naopak rozhodně by ale takto nemohlo být kvalifikováno zablokování soukromého serveru, tedy serveru např. Computer Press. Zde se de iure nejedná o obecně prospěšné zařízení.

Jiná věc by byla, pokud by přemíra pošty či jiných požadavků zablokovala i komunikační linky, tedy síť a nebo servery providera, poštovní schránky, přenosové paměti (proxy, cache apod.). I když u providera jde o soukromou osobu, asi by šlo dovozovat, že poskytuje-li služby blíže neurčenému počtu zákazníků, kteří se jeho prostřednictvím připojují k Internetu, je server veřejným telekomunikačním zařízením. Opět by tedy přicházel v úvahu postih podle § 182 TrZ. Muselo by ovšem jít o zablokování, které trvalo po delší dobu.

Nekalá soutěž

Poslední možností je varianta, kdy bude pachatel dopaden a zjistí se, že motivem by byla snaha škodit konkurenci. Pak by mohlo jít o tr. čin dle § 149 TrZ – Nekalá soutěž, který je definován takto: „Kdo jednáním, které je v rozporu s předpisy upravujícími soutěž v hospodářském styku nebo se zvyklostmi soutěže, poškodí dobrou pověst nebo ohrozí chod nebo rozvoj podniku soutěžitele, bude potrestán odnětím svobody až na jeden rok nebo peněžitým trestem nebo propadnutím věci.“

Občanskoprávní ochrana

Bez ohledu na soukromoprávní nebo veřejnoprávní postavení serveru, které je pro nás důležité při posuzování naplnění skutkové podstaty některého z výše uvedených trestných činů, i soukromému serveru, resp. jeho majiteli, jakým je např. i Computer Press, může vzniknout v důsledku DoS/DDoS útoku škoda.

Podle mého názoru je možno v případě, že bude zjištěn pachatel, vymáhat na něm škodu, kterou takto způsobil, občanskoprávní cestou, tj. žalobou u obecného soudu. Podle ust. § 420a občanského zákoníku:

„(1) Každý odpovídá za škodu, kterou způsobí jinému provozní činností.

(2) Škoda je způsobena provozní činností, je-li způsobena

a) činností, která má provozní povahu, nebo věcí použitou při činnosti,

b) fyzikálními, chemickými, popřípadě biologickými vlivy provozu na okolí,

c) oprávněným prováděním nebo zajištěním prací, jimiž je způsobena jinému škoda na nemovitosti nebo je mu podstatně ztíženo nebo znemožněno užívání nemovitosti.

(3) Odpovědnosti za škodu se ten, kdo ji způsobil, zprostí, jen prokáže-li, že škoda byla způsobena neodvratitelnou událostí nemající původ v provozu anebo vlastním jednáním poškozeného.“

Existuje ještě jedna možnost, pokud by tento přístup selhal: podle ust. § 424 za škodu odpovídá i ten, kdo ji způsobil úmyslným jednáním proti dobrým mravům. A útok typu DoS/DDoS je podle mého názoru právě takovým jednání v rozporu s dobrými mravy.

Potom bychom aplikovali ust. § 442 občanského zákoníku – Způsob a rozsah náhrady: hradí se skutečná škoda a to, co poškozenému ušlo (ušlý zisk), přičemž škoda se hradí v penězích; požádá-li však o to poškozený a je-li to možné a účelné, hradí se škoda uvedením do předešlého stavu. Byla-li škoda způsobena úmyslným trestným činem, z něhož měl pachatel majetkový prospěch, může soud rozhodnout, že je možno právo na náhradu škody uspokojit z věcí, které z majetkového prospěchu nabyl. A to i tehdy, jestliže jinak podle ustanovení občanského soudního řádu výkonu rozhodnutí nepodléhají. Dokud není právo na náhradu škody uspokojeno, nesmí dlužník s takovými věcmi v rozhodnutí uvedenými nakládat.

Diskuze (5) Další článek: Chystá se USB s velkými proudy a napětím

Témata článku: Povodeň, Nebezpečná událost, Nemovitost, Škodlivý účinek, Velký rozsah, Napadený server, Zločin, Právní pohled, Dobrý způsob, Nebezpečná situace, Velká škoda, Trest, Zlo, Intenzívní péče, Apod, Komunikační link, Zdravý člověk


Určitě si přečtěte

20 tipů a triků pro Gmail: Užitečné maličkosti, které zefektivní práci s e-maily

20 tipů a triků pro Gmail: Užitečné maličkosti, které zefektivní práci s e-maily

** V Gmailu je řada užitečných funkcí, které možná všechny neznáte ** Odeslání mailu můžete například pozdržet či naplánovat na později ** Nad Gmailem můžete mít s několika triky daleko lepší kontrolu

Karel Kilián | 25

Nové iPhony, hodinky a další novinky Applu: Zase bude za co utrácet

Nové iPhony, hodinky a další novinky Applu: Zase bude za co utrácet

Dnes proběhla další velká prezentační akce Applu, na které došlo k odhalení nových iPhonů a dalších novinek. Událost jsme sledovali online, a tak se můžete podívat na chronologický zápis těch nejdůležitějších informací.

David Polesný | 136

Zorin OS 15: Vyzkoušejte další hezký a nenáročný linux pro mamku a taťku

Zorin OS 15: Vyzkoušejte další hezký a nenáročný linux pro mamku a taťku

** Ačkoliv je grafických linuxů plný internet, stále vládnou Windows ** Jeden z nich se jmenuje Zorin OS a nedávno se dočkal aktualizace ** Dělají jej dva kluci z Irska a je fakt hezký

Jakub Čížek | 114

Pojďme programovat elektroniku: Postavíme bezpečnostní systém za 30 Kč

Pojďme programovat elektroniku: Postavíme bezpečnostní systém za 30 Kč

** Před pár týdny jste si mohli v akci koupit Wi-Fi desku za jeden dolar ** Nám už TTGO T-Display dorazila do redakce ** Připojíme k ní jazýčkový kontakt a vyrobíme bezpečnostní systém

Jakub Čížek | 30

Kdyby měli železničáři tento superpočítač za 99 dolarů, nepotřebovali by lasery

Kdyby měli železničáři tento superpočítač za 99 dolarů, nepotřebovali by lasery

** Nejmodernější český železniční tunel je prošpikovaný technologiemi ** Za tři tisíce koupíte počítač, který je překoná ** Seznamte se s Nvidia Jetson Nano

Jakub Čížek | 50



Aktuální číslo časopisu Computer

Speciál o přechodu na DVB-T2

Velký test herních myší

Super fotky i z levného mobilu

Jak snadno upravit PDF