Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Szemelvények az új Btk-ból

2012.06.27. 18:00 | buherator | 12 komment

KZ vette a fáradságot, és átnézte az (azóta elfogadott?) új Btk. tervezetét, és kiválogatott belőle néhány információbiztonsággal kapcsolatos részt. Mivel jogi témákhoz buta vagyok, ezért kommentár nélkül közlöm ezeket, aki ért hozzá, szóljon hozzá!

N A segítségével gatyába lett rázva a tördelés, remélem így jobban olvasható!

82. oldal, 225. §:

"Levéltitok megsértése

(1) Aki
a) másnak közlést tartalmazó zárt küldeményét megsemmisíti, a tartalmának megismerése végett felbontja, megszerzi, vagy ilyen célból illetéktelen személynek átadja, illetve
b) elektronikus hírközlő hálózat útján másnak továbbított közleményt kifürkész, ha súlyosabb bűncselekmény nem valósul meg, vétség miatt elzárással büntetendő.

(2) A büntetés egy évig terjedő szabadságvesztés, ha az (1) bekezdésben meghatározott bűncselekményt foglalkozás vagy közmegbízatás felhasználásával követik el.

(3) A büntetés
a) két évig terjed ő szabadságvesztés, ha az (1) bekezdésben meghatározott bűncselekmény,
b) bűntett miatt három évig terjedő szabadságvesztés, ha a (2) bekezdésben meghatározott bűncselekmény

jelentős érdeksérelmet okoz."

142. oldal, 376. §:

"Információs rendszer felhasználásával elkövetett csalás

(1) Aki jogtalan haszonszerzés végett információs rendszerbe adatot bevisz, az abban kezelt adatot megváltoztatja, törli, vagy hozzáférhetetlenné teszi, illetve egyéb művelet végzésével az információs rendszer működését befolyásolja, és ezzel kárt okoz, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.

(2) A büntetés egy évtől öt évig terjedő szabadságvesztés, ha
a) az információs rendszer felhasználásával elkövetett csalás jelentős kárt okoz, vagy
b) a nagyobb kárt okozó információs rendszer felhasználásával elkövetett csalást bűnszövetségben vagy üzletszerűen követik el.

(3) A büntetés két évtől nyolc évig terjedő szabadságvesztés, ha
a) az információs rendszer felhasználásával elkövetett csalás különösen nagy kárt okoz, vagy
b) a jelentős kárt okozó információs rendszer felhasználásával elkövetett csalást bűnszövetségben vagy üzletszerűen követik el.

(4) A büntetés öt évtől tíz évig terjedő szabadságvesztés, ha
a) az információs rendszer felhasználásával elkövetett csalás különösen jelentős kárt okoz, vagy
b) a különösen nagy kárt okozó információs rendszer felhasználásával elkövetett csalást bűnszövetségben vagy üzletszerűen követik el.

(5) Az (1)–(4) bekezdés szerint büntetendő, aki hamis, hamisított vagy jogosulatlanul megszerzett elektronikus készpénz-helyettesítő fizetési eszköz felhasználásával vagy az ilyen eszközzel történő fizetés elfogadásával okoz kárt.

(6) Az (5) bekezdés alkalmazásában a külföldön kibocsátott elektronikus készpénz-helyettesítő fizetési eszköz a belföldön kibocsátott készpénz-helyettesítő fizetési eszközzel azonos védelemben részesül."

166. oldal, 424. §

"Információs rendszer vagy adat megsértése

(1) Aki

a) információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad,
b) az információs rendszer működését jogosulatlanul vagy jogosultsága kereteit megsértve
akadályozza, vagy
c) információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz,

vétség miatt két évig terjedő szabadságvesztéssel büntetendő.

(2) A büntetés bűntett miatt egy évtől öt évig terjedő szabadságvesztés, ha az (1) bekezdés b)–c) pontjában meghatározott bűncselekmény jelentős számú információs rendszert érint.

(3) A büntetés két évtől nyolc évig terjedő szabadságvesztés, ha a bűncselekményt közérdekű üzem ellen követik el.

(4) E § alkalmazásában adat: információs rendszerben tárolt, kezelt, feldolgozott vagy továbbított tények, információk vagy fogalmak minden olyan formában való megjelenése, amely információs rendszer általi feldolgozásra alkalmas, ideértve azon programot is, amely valamely funkciónak az információs rendszer által való végrehajtását biztosítja."

166. oldal, 425. §

"Információs rendszer védelmét biztosító technikai intézkedés kijátszása

(1) Aki a 376. vagy a 424. §-ban meghatározott bűncselekmény elkövetése céljából az ehhez szükséges vagy ezt könnyítő

a) jelszót vagy számítástechnikai programot készít, átad, hozzáférhetővé tesz, megszerez, vagy forgalomba hoz, illetve
b) jelszó vagy számítástechnikai program készítésére vonatkozó gazdasági, műszaki, szervezési ismereteit más rendelkezésére bocsátja,

vétség miatt két évig terjedő szabadságvesztéssel büntetendő.

(2) Nem büntethető az (1) bekezdés a) pontjában meghatározott bűncselekmény elkövetője, ha – mielőtt a bűncselekmény elkövetéséhez szükséges vagy ezt megkönnyítő jelszó vagy számítástechnikai program készítése a büntető ügyekben eljáró hatóság tudomására jutott volna – tevékenységét a hatóság előtt felfedi, az elkészített dolgot a hatóságnak átadja, és lehetővé teszi a készítésben részt vevő más személy kilétének megállapítását.

(3) E § alkalmazásában jelszó: az információs rendszerbe vagy annak egy részébe való belépést lehetővé tevő, számokból, betűkből, jelekből, biometrikus adatokból vagy ezek kombinációjából álló bármely azonosító."

Címkék: jog btk

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Gerilgfx 2012.06.27. 21:26:42

értelmetlen faszságok, értelmetlen, öltönybe öltözött faszoktól.

domi007 2012.06.28. 13:00:50

Igazából a minket sokkal jobban érdeklő paragrafus pont nincs benne, a §424-es ami az eddigi §300 helyébe lép.

boldii 2012.06.28. 14:14:38

Akkor az RSA token amit paddinggel törtek fel nem jelszó és nem is porgram, így a 425-ötöt legalább nem húzhatják rá?!

cuppa 2012.06.28. 14:42:55

"az információs rendszerbe vagy annak egy részébe való belépést lehetővé tevő, számokból, betűkből, jelekből, biometrikus adatokból vagy ezek kombinációjából álló bármely azonosító ."
ez szerintem passzol a tokenre

_2501 2012.06.28. 16:04:20

mit jelent az hogy "bent marad"? és akkor most akkor nem lehet exploitot publikálni? és eladni azért még lehet? és hol fedi ez azt az esetet amikor valaki ledumpol egy adatbázist?

szerintem igen pongyola és meglehetősen huzatos is ez a megfogalmazás. vagy azért ilyen hogy majd akármit bele lehessen magyarázni?

nem tetszik, kezdjétek előről. :DD

eax_ 2012.06.28. 21:33:01

Erdekes. A 300/E-ben az volt, hogy "számítástechnikai programot, jelszót, belépési kódot, vagy számítástechnikai rendszerbe való belépést lehetővé tevő adatot", mostmar csak "jelszót vagy számítástechnikai programot".
Akkor ha ugy irom az exploitot, hogy onmagaban nem futtathato, de pl. nc-el be lehet kuldeni, akkor arra nem vonatkozik? :)

"készít, átad, hozzáférhet ővé tesz, megszerez, vagy forgalomba hoz"

Innen meg kikderult az "azzal kereskedik" kitetel.

Bumika 2012.06.28. 23:28:08

... meghatározott bűncselekmény elkövetése céljából... Nem értem, miért jelentene problémát, ha egy sérülékenység prezentálása céljából megírsz egy exploitot.

kamuregélő 2012.06.29. 01:49:49

eax: igen, ez fura, mert ezzel gyakorlatilag szinte a session hijackingot tették legálissá.

A 425§ viszont durva. Gyakorlatilag csak és kizárólag akkor lehet exploitot gyártani, ha azt és azzal kapcsolatban minden további információt átadsz a hatóságnak. Ha szigorúan értelmezzük.

buksikutya 2012.06.29. 10:09:35

[off]faradsagot vette, nem a faradtsagot.[/off]

_2501 2012.06.29. 10:49:41

@buksikutya: mindennap tanul valami újat az ember.

kz71 2012.07.04. 10:45:15

"Cyber cops would be the answer to reduce the crime and indirect costs."

www.digitalbond.com/2012/06/26/are-we-spending-enough-or-too-much-on-security/