Власти США разрешили исследователям заниматься пентестами и реверс-инжинирингом без юридических последствий



    В пятницу, 28 октября, на сайте библиотеки Конгресса США был опубликован обновленный список исключений из правил закона Digital Millennium Copyright Act (DMCA), запрещающих осуществление «обхода цифровых средств управления доступом». Эти правила регулируют условия, на которых частные пользователи могут взаимодействовать и манипулировать цифровым контентом, принадлежащим правообладателям, без риска юридических последствий для себя.

    В список текущий исключений входят и те, которые облегчат исследователям информационной безопасности проведение работ по тестированию программных продуктов.

    Начиная с 2003 года подобные исключения из DMCA публикуются каждые три года — однако в данном случае этот срок был продлен еще на год, который ушел на обсуждения последствий с правообладателями. Представители бизнеса опасались последствий, которые могло иметь разрешение, фактически, заниматься обратной разработкой софта и его тестированием на проникновение.

    Наиболее интересны следующие исключения (полный их список опубликован в издании The Register):

    • Осуществление джейлбрейка смартфонов и планшетов для обеспечения совместимости софта и удаления нежелательных программ.
    • Попытки получения доступа к программному обеспечению автомобилей.
    • Попытки обхода механизмов защиты и управления 3D-принтеров.
    • Попытки пациентов получить доступ к данным персональных медицинских устройств.
    • Реверс-инжиниринг программного обеспечения в целях исследования безопасности.

    По словам Аарона Алвы (Aaron Alva), который работает офицером по регулированию технологий (Tech Policy Fellow) в Федеральной торговой комиссии США, «новые исключения — это большая победа для сообщества ИБ-исследователей и пользователей продуктов, которые станут более безопасными».

    Несмотря на вступление в силу новых исключений, исследователи по-прежнему обязаны соблюдать Закон о компьютерном мошенничестве (Computer Fraud and Abuse Act). Кроме того, условия исключений предполагают наличие определенных условий при проведении обратной разработки и деобфускации кода — их необходимо осуществлять «в контролируемой среде, разработанной для избежания нанесения любого вреда конкретным лицам и обществу».

    Также любая информация, полученная от подобных мероприятий, должна использоваться для повышения уровня защищенности устройств, использующих исследуемый код, или безопасности людей, использующих конечный продукт. Обеспечение этого «повышения защищенности», в свою очередь, никак не должны нарушать прав правообладетелей.

    «Если вы соблюдаете все правила, то вполне можете протестировать защищенность подключаемого к интернету тостера с целью оценки рисков того, что злоумышленники смогут захватить над ним контроль и спалить ваш бейгл или удаленно получать информацию о ваших предпочтениях в выпечке, — говорит Алба. — Однако, конечно же, все это не дает никому право красть такой тостер, взламывать тостер соседа или заставлять устройство загореться рядом с легковоспламеняющимися материалами».

    Positive Technologies

    248,00

    Компания

    Поделиться публикацией
    Комментарии 10
      +3
      А как обстоят дела в это сфере в России? Можно ли спокойно реверсить(не распространяя) отечественный софт? А государственный?
      Вообще меня немного возмущают запреты на исследование продукта который я купил.
      Получается, что мне продают не продукт, а услугу. Потому как я не могу им пользоваться как мне вздумается. Мне разрешен только перечень услуг, который я купил вместе с продуктом.
        +1
        да, можно. Это явно разрешено законом, но вопрос с какими целями. Закон разрешает подпатчить вам программу, которая перестала работать с новым процессором или с новой ОС. Отключить лицензионную защиту или расшифровать зашифрованный текст, на который нет прав — уголовщина.

        Раздавать патчи направо-налево — это под вопросом, надо читать.

        Но вообще да, вам продают цифровую услугу, а не материальный продукт, с этим проще смириться.

        Бесить должно другое: когда вам продают смартфон по модели SaaS (smartphone as a service) и с каждым выходом новой версии ломают вам софт, заставляя купить новый.
          +1
          «Закон разрешает подпатчить вам программу, которая перестала работать с новым процессором или с новой ОС. Отключить лицензионную защиту или расшифровать зашифрованный текст, на который нет прав — уголовщина.»

          А если проблема именно в том, что защита на работает на новой версии ОС, и отключить её проще, чем запатчить? ;-) Не выдуманная ситуация со старыми играми, защищёнными StarForce.
            0
            я так понимаю, в случае наличия на компьютере установленной платной программы основной характеристикой для проверки является наличие на программу лицензии\подтверждения её покупки, а не тот факт, что в программу действительно не вносились изменения, отключающие проверку лицензии.
            Но, к примеру, если по лицензии можно использовать половину функционала, а отключается все проверки и даётся доступ к полному набору фич — ситуация становится куда более скользкой, скорее всего в таком случае при появлении проблем\проверок придётся решать такие вопросы с представителями издателя либо в суде, пытаясь доказать, что ты не использовал не входящие в лицензии фичи.
              0
              Но вообще-то помню когда-то была разборка, что в фирме использовали кряки 1С несмотря на наличие лицензий и нужного количества ключей. Чем это закончилось не помню.
              0
              одно и то же действие могут трактовать по-разному в зависимости даже от человеческого фактора.

              У закона нет единого прочтения, так что подсказать вам в вашей ситуации не могу, но думаю, что играйте спокойно.
          0
          В пятницу, 28 октября

          … 2015-го года.

            0
            Подумаешь, какая мелочь :)
              0
              Да, сам документ опубликован в 2015 году. А вот обновления, которые касаются исключений из DMCA, опубликованы через год, то есть в прошлую пятницу. Вот новость в официальном блоге FTC:
              https://www.ftc.gov/news-events/blogs/techftc/2016/10/dmca-security-research-exemption-consumer-devices
              +1
              First world problems.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое