SQL injekcijas un atbildība
by Atis- Publicēts:septembris 30th, 2008
- Komentāri:6 komentāri
- Kategorija:Internets, Likumdošana
Aptuveni gadu atpakaļ viens otrs mēģināja testēt valsts iestāžu mājas lapas meklējot to drošības problēmas, izmantojot tā saucamās “SQL injekcijas”. Toreiz sacēlās brēka. Tautas domas dalījās: vieni slavēja puiku par uzcītību, otri teica, ka puikam jāsēž ilgi gadi. Laiks ir pagājis un viss kā vienmēr pierimis. Neesmu arī dzirdējis, ka kāds kaut kur par šādiem testiem būtu iesēdināts.
Šodien nolēmu pašķirstīt biezas grāmatas un pameklēt kāda gan atbildība draud šādiem brīvprātīgajiem sistēmu drošības auditoriem, kā arī tiem, kas iet mazliet tālāk par vienkāršu ziņkārības apmierināšanu.
SQL injekcijas tests uzskatāms par patvaļīgu (bez attiecīgas atļaujas vai izmantojot citai personai piešķirtas tiesības) piekļūšanu automatizētai datu apstrādes sistēmai (vai tās daļai) pārvarot sistēmas aizsardzības līdzekļus. Ja tiek mainīta informācija datu bāzēs, tad kvalificē kā automatizētā datu apstrādes sistēmā esošās informācijas neatļautu grozīšanu, bojāšanu, iznīcināšanu, pasliktināšanu vai aizklāšanu vai apzināti nepatiesas informācijas ievadīšanu automatizētā datu apstrādes sistēmā.
Atbildība par patvaļīgu (bez attiecīgas atļaujas vai izmantojot citai personai piešķirtas tiesības) piekļūšanu automatizētai datu apstrādes sistēmai vai tās daļai, ja tas saistīts ar datu apstrādes sistēmas aizsardzības līdzekļu pārvarēšanu ir noteikta Krimināllikuma 241.pantā. Savukārt Krimināllikuma 177.1.pants nosaka atbīldību par svešas mantas vai tiesību uz šādu mantu, vai citu mantisku labumu iegūšanu, apzināti ievadot automatizētā datu apstrādes sistēmā nepatiesus datus, lai ietekmētu tās resursu darbību (datorkrāpšana), bet 243.pantā paredzēta atbildība par automatizētā datu apstrādes sistēmā esošās informācijas neatļautu grozīšanu, bojāšanu, iznīcināšanu, pasliktināšanu vai aizklāšanu vai apzināti nepatiesas informācijas ievadīšanu automatizētā datu apstrādes sistēmā, vai arī sistēmas darbības apzinātu traucēšanu veicot iepriekšminētās darbības. Atšķirībā no Krimināllikuma 271.panta, 177.1. un 243.pantā nav būtiski, vai piekļūšana sistēmai notikusi sankcionēti vai patvaļīgi – būtiska ir nepatiesu datu ievadīšana, lai panāktu sev vēlamo rezultātu.
Tomēr ir būtiska nianse – kriminālatbildība par minētajām darbībām iestāsies tikai šādos gadījumos:
- radīts būtisks kaitējums vai
- tās izdarītas mantkārīgā nolūkā, vai
- tiek bojāta vai iznīcināta aizsardzības sistēma.
Ja minētās sekas nav iestājušās, tad atbildība par patvaļīgu piekļūšanu automatizētai datu apstrādes sistēmai vai neatļautu sistēmas datu grozīšanu, bojāšanu, iznīcināšanu utt. nedraud. Arī administratīvā atbildība par šīm darbībām nav paredzēta.
6 komentāri
nevajag piemirst punktu par valsts iestaadeem
241.3 Par šā panta pirmajā daļā paredzētajām darbībām, ja tās vērstas pret valsts informācijas sistēmām – soda ar brīvības atņemšanu uz laiku līdz astoņiem gadiem vai ar naudas sodu līdz simt astoņdesmit minimālajām mēnešalgām.
Aizmirst nedrīkst, protams. Bet tā ir papildus kvalificējošā pazīme 241.3.panta pirmajā un otrajā daļā minētajām darbībām un sekām, proti: radīts būtisks kaitējums, izraisītas smagas sekas vai tās veiktas mantkārīgā nolūkā. Tas, ka “uzbrukums” noticis valsts informācijas sistēmai vēl nenozīmē, ka iestājas kriminālatbildība. Jābūt sekām vai mantkārīgam nolūkam. Turklāt ne jau visas valsts iestāžu mājas lapas ir valsts informācijas sistēmas.
Neviens arī netaisījās iesēdināt Petruhu (ja neskaita dažus histēriskus valsts iestāžu datoradminus), galvenais bija sacelt brēku un piedraudēt, lai to pašu nemēģinātu atkārtot citi.
Kāda ir atbildība par tīšu nolaidību, pieļaujot un / vai neizlabojot šādas elementāras, taču būtiskas kļūdas, kad uz tām norādīts?
Nepētīju sarakstu ar valsts iestādēm, kuras “testētas”, bet lielākoties šīs mājas lapas nevar uzskatīt par valsts informācijas sistēmām (skat. Valsts informācijas sistēmu likumu). Līdz ar to administratora atbildība ir saistīta ar dienesta (ja admins ir ierēdnis) vai darba tiesiskajām attiecībām un ir atkarīgs no darba devēja. To var traktēt kā darba pienākumu neizpildi, ja admina pienākumos (saskaņā ar darba līgumu, darba aprakstu vai vadītāja rīkojumu) ietilpst pienākums nodrošināt lapu aizsardzību.
Savukārt, ja uzbrukums skar valsts informācijas sistēmu (piemēram, caur zemesgrāmatu mājas lapu pamanās pačakarēties valsts kadastra reģistrā) un admins ir pārkāpis valsts informācijas sistēmas drošības noteikumus, tad admins atbild saskaņā ar Krimināllikuma 245.pantu:
“245.pants. Informācijas sistēmas drošības noteikumu pārkāpšana
Par saskaņā ar informācijas režīmu vai tās aizsardzību izstrādātu informācijas glabāšanas un apstrādes noteikumu vai citu informācijas datorsistēmas drošības noteikumu pārkāpšanu, ko izdarījusi persona, kura ir atbildīga par šo noteikumu ievērošanu, ja tas bijis par iemeslu informācijas nolaupīšanai, iznīcināšanai vai bojāšanai vai ja ar to radīts cits būtisks kaitējums, –
soda ar brīvības atņemšanu uz laiku līdz diviem gadiem vai ar piespiedu darbu, vai ar naudas sodu līdz četrdesmit minimālajām mēnešalgām.”
Tām tur lapām, veicot normālu darbību ar pārlūkprogrammu, bieži vien izlec visādas kļūdas un pats lapas kods (tas kurš PHP un MySQL) nekorekti apstrādā datus. Un arī attēlo.
Es nezinu, kas notiktu, ja tajās tur lapās, piemēram, meklēšanas lauciņā nostrādātu kaut kas līdzīgs DROP DATABASE.
Jābūt arī kaut kādam līdzsvaram. Valsts iestāžu darbinieku sinočki un dočkas adminos iekļuvuši nevar tik audzēt riepu.
Es vispār ļoti gaidu precedentu, kad tiks notiesāts arī kāds adminis.
Vispār jau reti kurā iestādē paši taisa lapas. Tās parasti taisa kantori, kas uzvar konkursos. tāpēc pārmest iestādes adminam, ka lapa šķībi uzkodēta būtu nekorekti. Cita lieta – vai kāds seko līdzi šīs lapas korektai darbībai un pienācīgi pārbauda kā lapa strādā to pieņemot. admini iestādēs (cik nu man zināms) parasti nodarbojas ar tīklu uzturēšanu un tamlīdzīgām (mistiskām un man neizprotamām) lietām, nevis kaut ko kodē.