Чтоб не зарывались
АрхивКомментарий дняHP, сотрудник которой еще неделю назад мог нарушить DMCA, теперь сама использует этот закон для давления на специалистов по компьютерной безопасности.
Печально известный американский закон Digital Millennium Copyright Act (DMCA), собственно, обрёл свою известность благодаря использованию его положений для борьбы с файлообменными системами и единичному случаю Дмитрия Склярова, где DMCA опять же защищал копирайты. Но никогда ещё закон этот не становился на пути хакеров (в лучшем смысле этого слова), исследующих уязвимости в программном обеспечении. Конечно, рано или поздно всё случается - но в данном случае уж лучше бы попозже: не далее, как вчера, компания HP пригрозила судом хакерской группе, опубликовавшей программу для эксплуатации обнаруженной ими уязвимости в операционной системе Tru64.
Tru64 представляет из себя UNIX-подобную операционку с чрезвычайно богатой историей. HP она досталась от Compaq, которая, в свою очередь, получила её от Digital вместо с технологией Alpha. В то время ОС ещё носила имя Digital UNIX и компания-владелец собрала её на основе открытой системы OSF/1, создававшейся под руководством Open Software Foundation до 1994 года (OSF/1 стал последним релизом этой ОС и её код позднее был использован в проприетарных системах от IBM, HP и др.). Сегодня Tru64 для HP - альтернативная Linux ОС, поставляющаяся вместе с компьютерами Alpha. В ней-то группа SnoSoft, участники которой считают себя легальным свободным исследовательским коллективом, и раскопала несколько уязвимостей, позволяющих получить контроль над системой. 19 июля ссылка на текст программы, использующей одну из этих "дыр", была опубликована в списке рассылки BugTraq.
Публикация вызвала немедленную реакцию со стороны HP - которая предложила хакерам содействовать в работе по удалению письма из списка рассылки, одновременно дав обещание больше таких пакостей не совершать (читай - не раскрывать другие, уже обнаруженные уязвимости). В случае, если хакеры откажутся от взаимодействия с компанией, последняя подаст на них в суд, обвинив в нарушении Computer Fraud and Abuse Act (закон США, оговаривающий наказание за компьютерные махинации) и… того самого DMCA. В общей сложности, по мнению юристов HP, авторам публикации грозит штраф в полмиллиона долларов плюс пять лет тюрьмы.
Вот здесь самое время подумать о последствиях. Но не для SnoSoft (участники которой уже открестились от человека, опубликовавшего код опасной программы - он известен под псевдонимом Phased и действовал без согласования с другими членами группы) - а для всего компьютерного сообщества. DMCA приобретает себе новую профессию - и даже если HP всего лишь выполнит угрозу (пусть разбирательство затянется и в конце концов окончится ничем), это уже станет прецедентом страшным: ведь ни один специалист из числа тех, что занимаются сегодня розыском уязвимостей, больше не рискнёт своей репутацией и здоровьем. А это уже прямая угроза защищённости софта. Сегодня специалисты по компьютерной безопасности, работающие в открытую, в обязательном порядке идут на контакт с разработчиками исследуемого ими программного обеспечения. Выполни HP свою угрозу - и разработчики софта потеряют связь с хакерами. "Дыры", конечно же, открывать не перестанут - но этим продолжат заниматься исключительно те, кто намерен, открыв уязвимость, использовать её лишь себе во благо.
Некоторую надежду вселяет тот факт, что DMCA действует лишь на ограниченной территории - и, в ответ на угрозу HP, "провинившийся" Phased заявил, что он - не американец (кстати, его почтовый ящик зарегистрирован на mail.ru) и действие законов США на него не распространяется. Код программы по сей день на месте.
Обсудите материал в форуме