Sprawdzenie, czy dana strona jest podatna na atak XSS, to stosunkowo łatwe zadanie. W większości przypadków sprowadza się do żmudnego wpisywania w pola formularzy odpowiednio przygotowanego kodu. Dziennik Internautów zapytał prawnika, czy podejmowanie takich działań może skutkować odpowiedzialnością cywilną lub karną. Okazało się, że tak.

Kilka dni temu opublikowaliśmy w Dzienniku Internautów wywiad z prawnikiem Marcinem Błaszykiem, który wyjaśnił m.in. czy można upublicznić informację o luce bez wcześniejszego skontaktowania się z podmiotem, którego ona dotyczy. Najłatwiejsze do wykrycia wydają się błędy umożliwiające atak XSS (ang. cross-site scripting), czyli wprowadzenie złośliwego kodu w oryginalną treść strony.

Najbardziej narażone są serwisy, w których zachodzi interakcja z użytkownikami lub też wyświetlane są jakiekolwiek dane pochodzące z zewnątrz, np. fora internetowe, serwisy aukcyjne, sklepy internetowe z opcją komentowania i recenzowania produktów, systemy kont pocztowych dostępne przez protokół HTTP, otwarte systemy encyklopedyczne Wiki, moduły wyszukiwania itp.

XSS pozwala napastnikowi m.in. na kradzież wartości przechowywanych w ciasteczkach (ang. cookies) używanych często do identyfikacji użytkownika. Jeden z Czytelników Dziennika Internautów odkrył taką lukę w Naszej-Klasie. Stosując XSS, można również przekierować użytkownika na inną stronę, zainstalować w jego systemie konia trojańskiego oraz sfałszować zawartości witryny.

Dziennik Internautów zwrócił się do kancelarii prawniczej Rachelski i Wspólnicy z prośbą o wyjaśnienie, co może grozić za podjęcie opisanych wyżej działań. Szczegółowej odpowiedzi udzielił nam Przemysław Adamus:

W pierwszej kolejności należy zwrócić uwagę na regułę wyrażoną w art. 415 Kodeksu cywilnego, który normuje zasadę odpowiedzialności opartej na winie sprawcy szkody. Za szkodę odpowiada osoba, której zawinione zachowanie jest źródłem powstania tej szkody. Zdarzeniem sprawczym będzie tutaj zarówno działanie, jak również w pewnych przypadkach zaniechanie. Pierwsze polega na zachowaniu się aktywnym, drugie na zachowaniu się biernym. To ostatnie może być uznane za „czyn” wówczas, gdy wiąże się z ciążącym na sprawcy obowiązkiem czynnego działania i niewykonania tego obowiązku. Pomijając doktrynalne kwestie związane z pojęciem „winy”, należy przywołać wyrok z 26 września 2003 r., IV CK 32/2002 („Rzeczpospolita” 2003, nr 226, s. C4), w którym Sąd Najwyższy stwierdził, że na gruncie prawa cywilnego winę można przypisać podmiotowi prawa, kiedy istnieją podstawy do negatywnej oceny jego zachowania z punktu widzenia zarówno obiektywnego, jak i subiektywnego (tzw. zarzucalność postępowania).

Oznacza to, że sprawca ataku XSS powinien liczyć się z poniesieniem odpowiedzialności cywilnej, jeśli wyrządzi szkodę, zwłaszcza w przypadku instytucji finansowej lub publicznej. W pewnych sytuacjach osoba, która dokonała ataku, może zostać pociągnięta również do odpowiedzialności karnej.

W szczególności można przywołać następujące przepisy ustawy Kodeks karny (k.k.). W przypadku, gdy dojdzie do ataku XSS na instytucje rządowe, zastosowanie może mieć art. 265 k.k., zgodnie z którym ten, kto ujawnia lub wbrew przepisom ustawy wykorzystuje informacje stanowiące tajemnicę państwową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. Przedmiotem ochrony tego artykułu są informacje stanowiące tajemnicę państwową. W rozumieniu ustawy z 22 stycznia 1999 r. o ochronie informacji niejawnych tajemnicą państwową jest informacja określona w wykazie rodzajów informacji, stanowiącym załącznik nr 1, której nieuprawnione ujawnienie może spowodować istotne zagrożenie dla podstawowych interesów Rzeczypospolitej Polskiej dotyczących porządku publicznego, obronności, bezpieczeństwa, stosunków międzynarodowych lub gospodarczych państwa.

Mając na względzie różnorodne przypadki, w których może dojść do ataków XSS, można również wskazać na art. 266 k.k., zgodnie z którym ten, kto wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Najczęściej zastosowanie może mieć art. 267 k.k. w brzmieniu obowiązującym od dnia 18 grudnia 2008 r. Zgodnie z treścią tego przepisu, kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Przepis penalizuje również uzyskanie bez uprawnienia dostępu do całości lub części systemu informatycznego oraz uzyskanie informacji, do której nie jest uprawniony, posługując się określonym urządzeniem lub oprogramowaniem. Ujawnienie tej informacji podlega tej samej karze. Zabezpieczenie, o którym mowa w art. 267 § 1 k.k., oznacza każdą formę utrudnienia dostępu do informacji, której usunięcie wymaga wiedzy specjalistycznej lub zastosowania szczególnego urządzenia bądź kodu.

Karze określonej przepisami k.k. podlega również ten, kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych (art. 268 k.k.).

Przepisy prawa, przedstawione przez Przemysława Adamusa, pozwalają stwierdzić, że w pewnych przypadkach ataków XSS (przejawiających się tylko poszukiwaniem luk) może dojść do sytuacji, w której osoba dopuszczająca się takich czynów poniesie odpowiedzialność cywilną lub karną.