В современных операционных системах данные могут быть в довольно сложной форме представления, нет никакой гарантии, что предзагрузочный контроль целостности АМДЗ «увидит» то же самое, что «увидит» и сама операционная система после передачи ей управления. Где гарантии, что в АМДЗ такой же, с позиции алгоритмов обработки данных, драйвер файловой системы, что и в Windows? Я занимался обратной разработкой ПО для контроля целостности в Аккорд-АМДЗ (на базе ACDOS и на базе Linux: AMDZ-NG) и могу смело сказать: можно изменить данные так, что контроль их целостности пройдет, но для операционной системы это будут другие данные, потому что «кривой парсер» закрытого формата в АМДЗ не учитывает некоторые состояния данных, которые учитывает операционная система.
А уж с приходом UEFI возможности по контролю расширились)
Наоборот. Например, в некоторых реализациях UEFI возможна загрузка с USB-накопителя после того, как управление будет передано менеджеру загрузки Windows. А вот еще доклад ОКБ САПР.
Так что, чтобы оспорить качество сертифицированных продуктов, необходимо еще соответствующие условия создать.
Одним из требований к средствам УЦ для класса КС2 является контроль целостности программных средств. Собственно, аппаратные модули доверенной загрузки могут контролировать целостность данных только в операционных системах не сложнее DOS.
Токены с неизвлекаемыми ключами позиционируются именно как защищенные от извлечения ключа вредоносной программой. Атаки на аппаратную часть (например, ПЭМИН) здесь на заднем плане. Но утечки через оперативную память тут в самый раз.
Граждане Российской Федерации и постоянно проживающие в Российской Федерации лица без гражданства, совершившие вне пределов Российской Федерации преступление против интересов, охраняемых настоящим Кодексом, подлежат уголовной ответственности в соответствии с настоящим Кодексом, если в отношении этих лиц по данному преступлению не имеется решения суда иностранного государства.
И еще часть 3, на всякий случай:
Иностранные граждане и лица без гражданства, не проживающие постоянно в Российской Федерации, совершившие преступление вне пределов Российской Федерации, подлежат уголовной ответственности по настоящему Кодексу в случаях, если преступление направлено против интересов Российской Федерации либо гражданина Российской Федерации или постоянно проживающего в Российской Федерации лица без гражданства, а также в случаях, предусмотренных международным договором Российской Федерации, если иностранные граждане и лица без гражданства, не проживающие постоянно в Российской Федерации, не были осуждены в иностранном государстве и привлекаются к уголовной ответственности на территории Российской Федерации.
Там обязанность предоставить доступ обращена к человеку, чьи данные им же и зашифрованы. В нашем случае обязанность обращена к лицу, которое шифрует сообщение другого лица.
Для оценки эффективности средства защиты информации нужно выбрать модель угроз. Или хотя бы определиться с тем, от кого мы защищаемся. И если мы защищаемся от злобного регулятора, то и оценивать нужно те свойства средства защиты информации, которые позволяют прикрыть пятую точку, то есть наличие сертификатов, формуляров и так далее. В противном случае, если модель угроз не была выбрана правильно, то, скорее всего, будут неверными и критерии оценки средства защиты информации. Вот какое отношение к защите от злобного регулятора имеет отсутствие контроля за чтением потоков NTFS? Никакого!
А как же поддержка журналирования? Ее в ntfs-3g нет вообще. Восстановление «грязной» файловой системы из журнала в ntfs-3g заключается в стирании журнала и в выводе сообщения о том, что все стало хорошо.
Другой проблемой является то, что все «свободные лицензии» разработаны за рубежом и, соответственно, составлены на английском языке. Договор, составленный на английском языке, по сделке, совершённой на территории Российской Федерации, скорее всего, будет признан недействительным. Однако если этот договор является международным, лицензиар является иностранным физическим или юридическим лицом, а лицензиат — российским, вступают в действие нормы ст. 1211 ГК РФ, в соответствие с которыми, к такому договору применяется право страны, «где находится место жительства или основное место деятельности» лицензиара.
Есть среди юристов и другие, более «свободные» точки зрения.
Под переработкой (модификацией) программы для ЭВМ или базы данных понимаются любые их изменения, в том числе перевод такой программы или такой базы данных с одного языка на другой язык, за исключением адаптации, то есть внесения изменений, осуществляемых исключительно в целях функционирования программы для ЭВМ или базы данных на конкретных технических средствах пользователя или под управлением конкретных программ пользователя
А в статье 1280 ГК РФ есть такой текст:
внесение в программу для ЭВМ или базу данных изменений исключительно в целях их функционирования на технических средствах пользователя
То есть в статье 1280 ГК РФ есть фраза, полностью соответствующая определению адаптации из статьи 1270 ГК РФ.
А смысл? Там вы не привели ни одной соответствующей цитаты из кодекса.
В примере мало технических деталей, имеющих юридическое значение. Например, если пользователь загружает интернет-страницу, то это не является юридическим использованием веб-сервера, который эту веб-страницу обслуживает, а потому возможны ситуации, когда сервер-«черный ящик», предоставленный заказчику исполнителем, используется заказчиком, но при этом заказчик никак не использует программное обеспечение этого сервера (а использует это программное обеспечение исполнитель, в частности, во время конфигурации сервера). Вот тут эта тема затрагивалась.
Если человек приобретает у правообладателя или уполномоченного им лица устройство с программным обеспечением, то возможны две ситуации:
а. начало использования этого устройства вместе с программным обеспечением считается согласием пользователя с лицензионным договором, который есть в документации к устройству или в другом месте (например, на веб-странице, ссылка на которую есть в документации, или в самом устройстве);
б. пользователь считается получившим экземпляр программного обеспечения в законном порядке (путем отчуждения устройства с этим программным обеспечением), а потому он приобретает право использовать программное обеспечение без заключения лицензионного договора в пределах, установленных статьей 1280 ГК РФ (и каких-либо иных прав, которые могли бы быть предоставлены пользователю по лицензионному договору, пользователь не получает).
Если в случае «а» пользователь лицензионный договор не читал, то это его проблемы. Правообладатель никак не обязан доказывать факт прочтения лицензионного договора пользователем.
В случае «б» есть неопределенность, связанная с тем, что интеллектуальные права не зависят от вещных прав (пункт 1 статьи 1227 ГК РФ). На мой взгляд, эта неопределенность разрешена в пункте 1 статьи 1280 ГК РФ, где возникновение у пользователя некоторых прав на программу для ЭВМ связано с правомерным владением экземпляром программы для ЭВМ, а такой экземпляр, в рассматриваемой ситуации, и является вещью.
там ничего не написано о модификации аппаратных средств
А разве для обхода ТСЗАП в Xbox 360 надо модифицировать аппаратные средства? Более того, если пользователь модифицирует только аппаратную часть, то это вообще никак с исключительным правом на программы для ЭВМ не связано.
Это я все к тому, что адаптация одной программы для ЭВМ (в составе технического средства) для обеспечения функционирования другой программы для ЭВМ законом не запрещена.
Также возможно и обратное злоупотребление — модифицировав приставку якобы для запуска легальных резервных копий пользователь будет запускать нелегальные копии игр, то есть нарушены будут права правообладателей. Поэтому здесь и возникает правовая коллизия.
Разумеется возможно, вот только коллизии нет, а есть суд, который должен разобраться, кто чьи права нарушил.
Таким образом вносить изменения в одну программу (прошивку) в целях функционирования другой программы (игры) — незаконно.
Данный вывод не основан на законе. В ГК РФ написано про технические средства, что включает в себя программное обеспечение соответствующих аппаратных средств.
Ну а запуск резервной копии — это старинная проблема. Помню как с Нивалом бодались из-за старфорсовской защиты. Тут ГК содержит правовую коллизию, ст. 1299 явно содержит запрен на снятие ТСЗАП.
Еще раз:
Нужно помнить, что закон запрещает злоупотребление правом. Применение ТСЗАП может нарушать права пользователя без установленных на это законом или договором оснований. Закон запрещает нейтрализацию ТСЗАП и сопутствующие действия в контексте надлежащей защиты авторских прав, а значит неправомерные ограничения ТСЗАП могут быть сняты пользователем.
В современных операционных системах данные могут быть в довольно сложной форме представления, нет никакой гарантии, что предзагрузочный контроль целостности АМДЗ «увидит» то же самое, что «увидит» и сама операционная система после передачи ей управления. Где гарантии, что в АМДЗ такой же, с позиции алгоритмов обработки данных, драйвер файловой системы, что и в Windows? Я занимался обратной разработкой ПО для контроля целостности в Аккорд-АМДЗ (на базе ACDOS и на базе Linux: AMDZ-NG) и могу смело сказать: можно изменить данные так, что контроль их целостности пройдет, но для операционной системы это будут другие данные, потому что «кривой парсер» закрытого формата в АМДЗ не учитывает некоторые состояния данных, которые учитывает операционная система.
Наоборот. Например, в некоторых реализациях UEFI возможна загрузка с USB-накопителя после того, как управление будет передано менеджеру загрузки Windows. А вот еще доклад ОКБ САПР.
Одним из требований к средствам УЦ для класса КС2 является контроль целостности программных средств. Собственно, аппаратные модули доверенной загрузки могут контролировать целостность данных только в операционных системах не сложнее DOS.
Я так понимаю, что часть защитных мер осталась родом из мира DOS.
И еще часть 3, на всякий случай:
Сделать поддержку журналируемой файловой системы без поддержки журналирования при записи – это не очень хорошо.
А вот, что пишет Середа С. А.:
Есть среди юристов и другие, более «свободные» точки зрения.
А в статье 1280 ГК РФ есть такой текст:
То есть в статье 1280 ГК РФ есть фраза, полностью соответствующая определению адаптации из статьи 1270 ГК РФ.
Все необходимые ссылки я приводил и не один раз.
В статье 1280 ГК РФ написано иначе, а закон имеет приоритет перед лицензионным договором.
Адаптация не является модификацией (переработкой).
Перечитайте, пожалуйста, предыдущие сообщения.
На этом все.
а. начало использования этого устройства вместе с программным обеспечением считается согласием пользователя с лицензионным договором, который есть в документации к устройству или в другом месте (например, на веб-странице, ссылка на которую есть в документации, или в самом устройстве);
б. пользователь считается получившим экземпляр программного обеспечения в законном порядке (путем отчуждения устройства с этим программным обеспечением), а потому он приобретает право использовать программное обеспечение без заключения лицензионного договора в пределах, установленных статьей 1280 ГК РФ (и каких-либо иных прав, которые могли бы быть предоставлены пользователю по лицензионному договору, пользователь не получает).
Если в случае «а» пользователь лицензионный договор не читал, то это его проблемы. Правообладатель никак не обязан доказывать факт прочтения лицензионного договора пользователем.
В случае «б» есть неопределенность, связанная с тем, что интеллектуальные права не зависят от вещных прав (пункт 1 статьи 1227 ГК РФ). На мой взгляд, эта неопределенность разрешена в пункте 1 статьи 1280 ГК РФ, где возникновение у пользователя некоторых прав на программу для ЭВМ связано с правомерным владением экземпляром программы для ЭВМ, а такой экземпляр, в рассматриваемой ситуации, и является вещью.
А разве для обхода ТСЗАП в Xbox 360 надо модифицировать аппаратные средства? Более того, если пользователь модифицирует только аппаратную часть, то это вообще никак с исключительным правом на программы для ЭВМ не связано.
Это я все к тому, что адаптация одной программы для ЭВМ (в составе технического средства) для обеспечения функционирования другой программы для ЭВМ законом не запрещена.
Разумеется возможно, вот только коллизии нет, а есть суд, который должен разобраться, кто чьи права нарушил.
Данный вывод не основан на законе. В ГК РФ написано про технические средства, что включает в себя программное обеспечение соответствующих аппаратных средств.
Еще раз: