How to become an author
Search
Write a publication
Pull to refresh

Comments 11

Компания не рекомендует эти камеры и не берет на себя ответственность за их использование после этого срока.

Пора бы уже законодателям ввести суровую ответственность за косяки компаний. Хороший прогрессивный штраф в процентах от оборота за каждый случай (если вовремя не среагировали, не пофиксили или не сообщили) быстро поможет решать проблемы.


Ладно бесплатный софт, там ясно что на "свой страх и риск", но любой платный продукт просто обязан включать в себя полную ответственность производителя в подобных случаях, причём независимо от того что написано в соглашении или документации — как с автомобилями, например.


Продукт станет дороже? Отлично, зато безопасней и даже вероятно надёжней. А то понанимют выпускников трёхмесячных курсов и сразу на рынок...

Rating is hidden
Предложение хорошее, но содержит в себе непростую юридическую коллизию. Дело в том, что подключение к чужой камере и ее взлом — это действия, являющиеся незаконными в подавляющем большинстве юрисдикций. А ответственность производителя за заведомо незаконные действия третьих лиц — по существующему положению дел — невозможна. Если бы камеры сами транслировали незащищенное видео при обычной эксплуатации — тогда да, причинение вреда по халатности без вопросов. А в существующей ситуации — ключи шифрования были, защита какая-то была… Нужно тогда вводить обязательные (или добровольные) требования к защищенности устройств такого класса и маркировать их на соответствие. Правда, в этом случае есть другая опасность — все будут выполнять только минимальные вмененные требования в безопасности (разумеется, путем использования каких-то сертифицированных библиотек). А потом найдут уязвимость в этом общем компоненте, и небезопасными станут сразу все устройства. :-) Сейчас хоть взламывать надо по-отдельности…
Rating is hidden

В принципе, эта проблема сводится к тому, должен ли производитель нести ответственность за товар ненадлежащего качества, а не к тому, что его продукт использовали для совершения преступления (последнее, впрочем, может служить отягчающим обстоятельством для первого).

Требования к раскрытию критичной информации (публикации сообщений о существовании уязвимостей) не выглядят сами по себе слишком обременительными, например. Зато продолжать легально делать вид, что с твоим говнопродуктом - всё нормально, было бы намного сложнее.

Rating is hidden
Тут ключевым будет определение «надлежащего качества». Обычно производителя обязывают гарантировать только безопасность продукта при соблюдении правил и условий эксплуатации. То есть, например, литиевый аккум в ноутбуке при нормальных условиях является безопасным. А если вы его начнете разбирать, или бросать в огонь — тут производитель уже как бы ничего не гарантирует.

Понятно, что есть области, где от производителя и проектировщика требуется давать гарантии даже за пределами нормальной эксплуатации (атомщики, аэроспейс, медицинское оборудование). Но там существуют отраслевые стандарты на эту тему.

А вот как быть с ширпотребом типа камер — это прямо вопрос-вопрос… Фантазируя на эту тему, я бы обязал производителей депонировать исходный код прошивок и всего инструментария (включая, возможно, ключи для подписи прошивок если это релевантно) — с условием, что по окончании поддержки или отсутствии исправления ошибки с безопасностью, доступ к исходникам получают все желающие, чтобы делать исправления самостоятельно. Хотя тут тоже не без вопросов — например, публикация из-за одной дыры прошивки-решета в моменте сильно снизит защищенность пользователей, многие из которых не умеют или не хотят разбираться со своей камерой.
Rating is hidden

Моё замечание было к тому, что ответственность за незаконные действия третьих лиц сами по себе вполне можно в общих терминах качественно отделить от ответственности за то, что производитель предлагает продукт, который содержит механизм прямо предназначенный для предотвращения незаконных действий третьих лиц, но этот механизм не выполняет указанных функций в надлежащей мере. Естественно, "надлежащая мера", как и в давно существующих случаях, должна определяться отраслевыми стандартами.

Я против избыточного регулирования с одной стороны, но с другой, совершенно нереалистично ожидать от "обычного человека" способности самостоятельно удостовериться в качестве защиты от взлома. Да, сертификацию или аудит делать обязательными - ни к чему.

Rating is hidden
Я почему-то боюсь, что во-первых — осведомленность непрофессионалов о безопасности сетевых потребительских устройств всегда будет низкой. Если у человека будет выбор — купить устройство за X фантиков в белой коробке, или за 1.5X фантиков с надписью «секурити сертифайед» — 99% предпочтут сэкономить. :-( Во-вторых, это ж рынок — сейчас разведется куча мутных контор, которые будут выдавать «сертифайд» за небольшую мзду по фотографии устройства (как сейчас это делается с электробезопасностью — статьи тут, на хабре — только поискать...).

Уж если совсем радикально подходить — надо обязывать производителей ширпотреба публиковать прошивки в исходниках (ибо, положа руку на сердце — нет там никаких секретов кроме того, что повсюду говнокод...). Ну и дальше это приведет скорее всего к тому, что производители перестанут лепить свои прошивки, и будут делать типовую аппаратную часть под какой-то нормальный OpenSource проект. И вот это уже гораздо более жизненно с точки зрения безопасности!
Rating is hidden

Невозможно позаботиться о тех, кто этого не хочет. Зато можно поспособствовать тем, кто хочет. В свою очередь это можно делать, опираясь не на мутные конторы а на (условно) NIST/FIPS и так далее.

Что касается сообщества opensource - его ресурсы, вполне очевидно, также ограничены. Так что совершенно не гарантировано, что даже большинству продуктов достанется какое-то внимание.

Rating is hidden
Ну и появится новый вид разуть: ваше устройство взломано, обновите прошивку вот этим файлом.
Rating is hidden
«Машины ненадежны — но люди еще ненадежнее» © Мэрфи

Если производители будут лепить в IoT сборки open-source проектов (типа openWRT для маршрутизаторов домашнего класса) — то пользователя (возможно...) удастся надрессировать нажимать кнопку «Update» в интерфейсе камеры, а не путем скармливания файла. В идеале, пользователь станет совсем тупым, и не сможет перетащить в камеру файл из электронной почты! :-)
Rating is hidden

Поскольку цепочка между возможностью наступления ответственности и возможностью выпустить более качественный продукт - длинная, скорее стоит ставить более близкую цель - дать возможность потребителю делать более обоснованный выбор.

Rating is hidden
Sign up to leave a comment.

Other news

Your account

Sections

Information

Services

Support
© 2006–2025, Habr