— Posted in Гражданское право, Уголовное право

Решение от неизбежной ответственности за поиск уязвимостей. Кошмары специалиста в современном IT.

Поводом для написания сообщения, стал вопрос активного пользователя интернет сообщества, посвященного разработке программных продуктов, достаточно разнообразного направления (они являются по своей сути частью информационных систем, так как само сообщество посвящено одному языку программирования и узко направлено).

Там со мной поделились советом, что интересно такому сообществу, в котором общается часть авторов и разработчиков информационных систем, с помощью которых мы с вами и можем находиться в интернете в таком удобном виде. Еще и ссылкой на известный всем журнал «Хакер», который уже осветил тему, но в более уголовном ключе, от чего решил пройтись по не пройденному — гражданской стороне вопроса.

Что мешает разработчикам и пользователям

Один из давно участвующих в жизни сообщества пользователей, сказал, что вопрос «Как избежать ответственности за поиск уязвимостей» —  может привлечь популярность. Под последним в цитате словом, подразумевается поиск ошибок в работе программистов всеми желающими. По большому счету можно все разделить на несколько этапов, ведь читать это могут и юристы и разработчики, от чего стоит рассказать сначала о чем вообще речь и что там такое ищется. Все это делится на несколько этапов:

  • Есть информационная система, определенного вида и назначения (она же объект авторских правовых отношений, участвующие субъекты — авторы, она же результат работы с использованием технических средств в соответствии с принятыми в отрасли стандартами и средствами). На рынке — это товар и называется «программным продуктом».
  • Она разработана так, чтобы решать задачи гражданского сообщества, в рамках определенных предусмотренных законом направлений и иной не запрещенной законом деятельности (Как этот блог например, я стараюсь нести в массы что-то достоверное и интересное, в том числе вопросы, которые волнуют многих).
  • У нее есть явные проблемы в технической составляющей, то есть — она содержит ошибки. Для этого нормальные организации предусмотрели у себя целые штаты сотрудников, чтобы такие проблемы находить и их решать.
  • Есть такое обстоятельство, что пользователи (с более широкими знаниями) находят их раньше, чем те кто этим занимается в организации, так как эксплуатируют этот продукт намного более активно. Это чаще всего сотрудники юридических лиц, которые являются пользователями информационных систем, которые должны их внедрять и поддерживать их работу. Отсюда и проблемы — им нужно чтобы система работала хорошо, по пути они находят такие не разрешенные проблемы.
  • Иногда этим пользуются и пользователи, те которые за этим не следят, но обнаружив неисправность — могут использовать ее для достижения своих личных целей. Это негативно может сказаться на последствиях и привести к плачевным результатам.

Пример «уязвимости»

  • Яркий тому пример — уязвимость ключей для использования операционной системы Windows. В нее не раз вкладывали очень много, но так и не сделали обязательной и нормальной обратной связи, что приводит к значительному распространению по РФ, объемов копий без ключа и невозможности нормально прямо и по сути вопроса — связаться с авторами, а не бродить среди тысяч посредников.
  • Уязвимость в том, что ключ легко (даже очень легко) — получить, а проблема в том, что ей не занимаются на договорном уровне, так, чтобы пользователь мог получить наконец договор, ключ и нужный функционал.
  • Тут уязвимость прямо в том, что операционная система легко примет любой ключ и только через годы ее нормально устраняют, но правда методом не всегда подходящим, что не разумно в этом случае. То есть держать ее открытой годы, не предоставить обратной связи хорошего качества (понятного и доступного всем), а потом не получать прямо нормальных доходов, все равно рынок операционных систем во власти Windows очень надежно на стационарных компьютерах.
  • Вот вам простой пример, когда уявимость, давно найденная десятками и скорее всего сотнями, может повлечь ответственность (так или иначе), вызывает много проблем и вообще требует хорошего и подробного рассмотрения — как участвуя в этом идиотизме не остаться виноватым.

Как не остаться виноватым или «антихакер»

Само собой, вы заметили наверное, что Microsoft не гонится так за продажей, они ненавязчиво уведомляют, что вы стали жертвой пиратского ПО и даже купить его не предлагают, как бы намекая, что искать крайних будете вы. Но сидя дома за компьютером, искать каких-то крайних никакого желания нет. Как и бегать по магазинам, да и вообще если они назвали тебя потерпевшим, с чего тебе как потерпевшему кого-то искать? Конечно нет, Microsoft уже обозначил что ты — жертва.

При этом чего именно — не ясно, но жертва, которая кажется должна и виноватых найти и договор самостоятельно разыскать и разобраться что хочет из двух трех цветных коробок и вообще теперь будет сильно озабочена решением этой проблемы. И что самое главное — Microsoft очень неточно предлагает искать черте что, успокаивая, что мы ни в чем не виноваты. Имея подобные же намерения, они и делают нам всего несколько цветных коробок, чтобы мы выбрали для чего нам это — попробовать, учебы, дома, бизнеса, глобальных и важных дел в которых будут участвовать сотни или тысячи.

Не определиться тут сложно, нужно простой прийти в магазин, купить нужную коробку, вставить диск и следовать инструкции или позвонить еще и по линии 8 (800) — где помогут начать пользоваться тем, что нужно. Хотя что-то подсказывает мне, что отдать дань организации можно и просто покупкой, похвастать потом ключом и его приобретением и все. На этом остановиться. С их стороны вопросов больше не будет, вам же нужно еще и получить его использование так, чтобы занудная надпись исчезла с экрана, получив консультацию и дополнив все переводом в нужное состояние (ограничив или расширив функционал) — можно вообще получить все как нужно.

А ведь вопрос в уязвимости — она в легкой доступности, указанных средств использования программного продукта, посредством участия тех, кто умеет этот доступ получать и его использовать, а так же распространять. То есть эдакий «черный ящик», который взламывает много миллионную защиту, которая само собой не так проста. Защита информируется и знает, что опять кто-то пользуется этим, по вине именно взломщика, специалиста, который создал эти средства (не такие уж и продвинутые на самом деле, а то и просто распространяются повторно ряд ключей, которые уже имеют законных владельцев) и соответствующие главе VII УК РФ.

То есть это сильно мешает экономической деятельности юридического лица, хотя само оно тоже не идет на встречу, ожидая что мы просто все купим. Так что бегать в поисках информации — смысла нет, достаточно бесполезно это и виновных вы будете искать долго. Что касается тех, кто уязвимость нашел, тут нужно искать место куда обратиться, чтобы о ней надлежащие сообщить в тот самый Microsoft, получить вознаграждение за это. То есть небольшая работа — небольшая награда, если есть такая возможность. Либо как клиент — попросить устранить проблему, с которой столкнулся обратившись в ту самую техническую поддержку.

Кто тут крайний — понять сложно, но есть лишь несколько случаев, когда указанные деяния уголовно наказуемы. Статья 146 УК РФ — пытаться распространять такие копии, то есть назвать его своим именем и удалить авторские обозначения, сделав вид, что программный продукт написан им, а также заняться продажей таких или просто нелегальных копий, опять же выдавая их за оригинал, сами видели, что рыночная цена у них хорошая, можно нажиться очень и очень хорошо. Особенно, если продать хорошую партию оптом — денег будет море. Похоже на мошенничество, но учитывая точно соответствие указанной статье — немного иное деяние и наказывается иным способом. Особенно первая часть — возбуждается более по заявлению, по той причине, что

Есть еще статья 272 УК РФ — можно использовать уязвимость, как средство для модификации информации, например, в этом могут быть заинтересованы те, кто по статье 146 УК РФ не подлежит ответственности, но в целях сбыта легальной копии, может пойти на преступление и блокировать информацию, до получения денежных средств в свою пользу. Это тоже преступник. Сам Microsoft — предлагает нам поискать виноватых, либо просто что-то купить наконец.

Не хочется ни того ни другого, то есть это сложно долго и муторно, мне кажется их прямо не полное участие, чтобы сделать хорошую обратную связь, тем чтобы вложить лишние деньги в ее налаживание. Сейчас они наоборот — подняли цену очень сильно, сделав программу еще более недоступной, а кажется и хочется просто за 2000 иметь простой фукнционал. У меня сейчас сканер, фотки, браузер и еще пара программ и все. Остальное не нужно, ну и антивирус (просроченный и ограниченный по функциям) — то есть мне хватит эдакой «Home Mini» во всех отношениях, с возможностью что-то да докупить, если вдруг понадобится.

Многие так же пользуются всем не особо значимо и только коммерческий сектор часто нуждается в хороших программных продуктах, потому что ему нужно организовать и согласовать большие объемы работы, ну там и цены другие совсем.

Кто виноват и что делать

Какая ответственность и почему вас ждет я думаю понятно, то что Microsoft сам как монополия выжимает с рынка максимум — это тоже понятно. То что есть Android, который может попасть на рынок и забрать себе половину пользователей, которым даром не надо все то счастье, что предлагает Microsoft за еще более дорогую сумму — тоже понятно.

Виноватые те, кто делают миллионы на чужих программах, присваивая себе их авторство (привет, сообществу Javascripr.ru — они знают, кем написал JQuery и никому в голову не приходит назвать это своим именем, а тем более продать). И тем более никто через него не пытается что-то получить, блокировать, ограничить и так далее — тем более, что обновляется он регулярно, в WordPress встроен прямо в стандартном шаблоне, от тех же разработчиков (что я и использую) — так что все им и принадлежит. То есть двум группам авторов свободного программного обеспечения и еще немного переводчикам. Ссылка внизу ведет на русскоязычное сообщество, которому судя по всему передано много прав — переводить, модифицировать и так далее на законных основаниях, продукт который своим именем всем известен.

Продавать его не продают, хотя через него бывает и могут осуществлять какие-то атаки, взломы и прочее, то есть он используется иногда в незаконных целях, но не так уж и часто и отдельно взятыми индивидуумами. Как и в примере с Microsoft — в сообществе они не удержаться, просто потому что все сообщество в курсе, что это такое и о чем речь, но продать кому-то они что-то могут, особенно тем, кто вообще ничего в этом не понимает.

Либо получать и использовать информацию, блокировать ее для получения денежных средств или иного способа использования информации. Особенно это касается сайтов, где в информационно системе содержится еще важная, скрытая от других информация, доступная только при оплате или иным способом — ну не для общего пользования проще говоря.

Вообще самим разработчикам бояться нечего, если не получили вознаграждения, получите ссылку на себя, если нашли важные уязвимости, в указанном сообществе, станете популярнее и все. Но если пойти по другому пути, то можно таким поиском что-то да натворить уголовного. Тут нужны ясные мотивы, в общем что-то уголовное как таковое не имеет место быть, но иногда случается. А на поиске уязвимостей — можно заработать, можно стать популярным (не самых широких кругах, но все равно), можно вообще много чего, только делать нужно это в рамках гражданского законодательства.

То есть после того, как нашли, не пользоваться ей, хорошо описать, найти авторов, которые могут исправить использовать статью 434.1 ГК РФ — вступить в переговоры и само собой заинтересованный автор, как может отблагодарит вас (ссылкой, спасибо или еще как-то, да чем по статусу продукта и ценности найденного, в том числе и своих планов и так далее). Занимаясь переговорами, можно не получить прямо договора (ну не получить себе контракт или что-то такое), но получить что-то положительное. Ну и само собой не использовать в незаконных целях, некоторые их просто публикуют не найдя толкового применения, что иногда создает прямо материал для сайтов, блогов, форумов и иных информационных систем. Некоторые найдены в 10 раз и не находят решения, часто и становятся средством преступлений, для тех кто ищет легкой наживы или преследует преступные цели. Тут я опять вспоминаю местный гимн, он опять в тему.

Ответственность по сути неизбежна, так как если вы ищите уязвимости, вам все равно придется отвечать. Нашли — значит время потрачено не зря и это как минимум информация, ее уже можно публиковать. Чем она более хорошего качества, тем больший на нее спрос, поэтому можно путем переговоров ответить автору, что информация ценная и полезная, он и сам будет заинтересован в ней. Так вы получите уже что-то, а просто бесцельно это никому не нужно. Если искать их с уголовной целью — тогда будет, другая ответственность. Не хотите ответственность — просто пишите в техническую поддержку, они сами все решат, голова болеть не будет, проблем будет меньше.

p.s. Что касается Microsoft — учитывая, что вам обратной связи минимум, прямо в самом ПО и возможности в том числе (которое в Windows 10, уже явно стало дороже и еще проще, вы можете просто раз в период покупать их программное обеспечение, звонить по номеру из серии 8 (800) и просить объяснить как привести все в порядок. Они на огромном обороте получат свое, а вы свое. Исключительных индивид умов, которые встали на пути коммерции, сильно активной деятельностью — можно ловить вместе, именно их касается 146, 272 и возможно другие статьи УК РФ. Разработчики могут спать спокойно.