Комментарии 93
При этом специалист обязан не передавать вендору данные необходимые для своей идентификации. Если такие данные были переданы, то это показывает что квалификация специалиста не достаточно велика и с этого момента начинает работать весь ворох законов.
Это почему я, как владелец устройства, не могу на всю публику заявить, что в нём крупный дефект? Заметим, никакого авторского права. Купил консервную банку и жалуюсь, что в ней черви. Купил роутер, и жалуюсь, что в нём заводятся черви.
Например потому, что этим дефектом могут начать пользоваться злоумышленники. А пассивность вендора будет им только на руку.
А меня, как потребителя, почему должно это волновать? Если я обнаружу, что входная дверь, которую мне продавали как "сталь 3мм" на самом деле "пенопласт 2.99мм, серебрянка 0.01мм", и я об этом громко пожалуюсь (а злоумышленники начнут за такими дверьми охотится), то в чём проблема? Мне продали дефектное (некачественное) изделие и я, как потребитель, имею право сообщать об этом всем, кому посчитаю нужным. А в софте там бага, или стали мало положили — меня, как потребителя, это не волнует.
А теперь софт и прочее… Представьте себе, что к Вашей двери прикладывается некое подобие лицензионного соглашения, в котором написано, кроме прочего, две вещи. Во-первых, что цвет, вид, комплектация и характеристики товара могут отличаться от заявленного. Во-вторых, что производитель не несёт ответственности вообще ни за что. И если в реальном мире к дверям такое соглашение никто в здравом уме не прикладывает (ибо чревато), то в мире ИТ только такие правила и действуют.
Так вот, пока на софт и прочие околоайтишные вещи не будет распространяться закон о защите прав потребителей с вытекающей из него полной ответственностью производителя за свои поделия — кина не будет. Пока все эти лицензионные соглашения не будут приведены в соответствие с законодательством и здравым смыслом — кина не будет. Пока их драть нещадно на центральных площадях не начнут за каждый косяк — кина не будет.
Улита едет в нужном направлении, но пока, если честно, мы только в начале этого долгого и, чего уж, вполне болезненного пути.
А меня, как потребителя, почему должно это волновать?Потому что злоумышленники могут прийти к Вам намного быстрее чем кто-то заменит дверь? Вы точно потребитель, или просто за справядливость боретесь?
Мне продали дефектное (некачественное) изделие и я, как потребитель, имею право сообщать об этом всем, кому посчитаю нужным.Еще имеете право ночью по бандитским районам гулять. Пойдете?
Например потому, что этим дефектом могут начать пользоваться злоумышленники. А пассивность вендора будет им только на руку.
Всё то же самое применимо и к банке.
Не понимаю. У меня есть железка. Как у меня может быть неправомерный доступ к этой железке, если я являюсь её владельцем? Ну я могу сам себе выписать разрешение на проведение натурных испытаний прочности...
Заметим, если я оттуда упру текст, то меня можно обвинить в нарушении авторских прав. А вот "несакнционированного доступа к вычислительным системам" быть не может, потому что я их собственник.
Вот из консультант+: "неправомерный доступ к компьютерной информации — это незаконное либо не разрешенное собственником или иным ее законным владельцем использование возможности получения компьютерной информации"
А законность владения подтверждается чеком. Заметим, лицензии они могут засунуть в себе в одно место, потому что коробочка куплена? Куплена. Что хочу с ней, то и делаю. Не соглашаясь с лицензией. Конечно, есть авторские права (например, на публикацию найденного в коробочке), но сам факт тестирования законно купленного устройства не может быть несанкционированным доступом. Конечно, тут интересно было бы послушать мнение юристов, но в целом ЗОЗПП и доктрина first sale тут явно на стороне потребителя.
Вот с абстрактным бинарём, который дают скачать только после принятия лицензии всё интереснее, но в рамках физических устройств, мне кажется, всё однозначно.
Ну, формально, это не отличается от скачивания программы/фильма/книги с торрента. Нарушение АП и всё такое.
Осталось это рассказать компаниям, которые собирают большие деньги с пользователей торрентов.
2) Вы перепутали адресата. Мошенники вон тоже собирают деньги с кого попало, пользуюясь неграмотностью своих жертв.
Я написал касательно России. В росийском праве в имущественных преступлениях, когда нет умысла, нет и правонарушения.
Если вы купите "опасное" устройство, то тоже можете делать с ним что угодно? Например, если купите 1000 "ртутных" ламп, имеете ли полное право их разбить? Если купите килограмм порошка tide, имеете ли право сделать из него бомбу? (Или из чего ее обычно делают)
Вы делаете упор на "программа". Я же делаю упор на потребительские свойства объекта (материального объекта). Я специально говорю про ситуацию, когда никакого EULA не было.
Если нет EULA, то у меня нет дополнительных ограничений. Дальше у нас простые дефолты: АП, патенты и торговые марки нарушать нельзя. Продажа мне изделия автоматически означает передачу мне права использования ПО, являющегося неотъемлимой частью изделия (код для процессора в микроволновке).
Дальше: я не могу этот код распространять (за исключением перепродажи своей копии в составе изделия), но могу обращаться с изделием как хочу. Поливать водой, бить молотком, посылать на телнет любую фигню.
После того, как молоток разбил стекло я могу написать об этом. Публично. После того, как телнет с дефолтным паролем дал мне доступ туда, куда не ожидалось никого пускать, я могу об этом написать. Показывать потрошки не могу, а вот написать (в т.ч. с указанием пароля) — могу.
… Будет пароль объектом авторского права или нет — вопрос открытый. Но даже если оставить в стороне сам текст пароля, то факт наличия хардкоженного пароля в купленном изделии — это факт (если это факт), и сообщение этих фактов о законно купленном изделии никаких законом не нарушает.
С паролем тоже все просто — если вы его напрямую публикуете это прямая информация для взлома 100500 устройств — если вы пишите, что от там ЕСТЬ и показываете скажем 1-ю и последнюю букву а остальное замылено — это научная статья на тему «ваша защита говно» и вы ничего не нарушаете.
А кем оно определяется, законный или незаконный?Внезапно, правительством. Переработка ртутьсодержащих отходов лицензируется Росприродназором, извлечение перекиси водорода из стирального порошка (хз что из него ещё взрывающегося можно извлечь), скорее всего, Росздравнадзором.
Анализ безопасности информационных систем, насколько я знаю, пока не лицензируется
Вы можете купить килограмм порошка тайд и съесть его. В том числе стримя это на миллионную аудиторию. Вы даже можете сказать, что у него ужасный вкус и помереть (на глазах у аудитории).
Имею, если на них нет надписи навроде «опасно! не разбивать».
Суд над https://en.m.wikipedia.org/wiki/George_Hotz vs Sony в таком духе и проходил. Мол консоль твоя, а вот ПО на ней — нет, и ты не имел права его взламывать, реверс енжинерить и модифирова. Ну тут конечно немного другая картина, парень не расказывал об уязвимости, он ее использовал что бы поставить на ps3 linux, ну а другие уже его же методами что бы запускать игры на халяву.
ст. 273
1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных
Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.
В данном случае текст на форуме, хоть он и является компьютерной информацией, но не является заведомо предназначенным для «для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации». Это просто знание. Без предназначения. Учебник химии не является террористическим пособием. Террористическим пособием является информация о том, как изготовить взрывчатку.
То есть, если вы не публикуете алгоритм взлома, а только обзор «дыры» без эксплоита, можно спать спокойно.
С высокой вероятностью меня оштрафовали неизвестные злоумышленники кармой через давно существовавший баг "самолайк на хабре". Там кого угодно можно было и минусить, не имея законных прав на это. Но проблемы негров шерифа (хаброадминов) не волнуют.
Квалификация и анонимность никак не связаны, закон должен работать на обе стороны и исследователи не обязаны скрывать свою личность, когда делают благое дело.
И если в таких условиях исследователь переживает за пользователей, то он должен сам позаботиться о своей безопасности.
Зависит от вашей уверенности в себе. Можно нанять за деньги, тогда тихо и контролируемо. Можно выйти на какой-нибудь hackerone или аналогичный сервис, но там объемы багов и выплат не контролируемы 8)
Запустите баг баунти и они сами к вам придут
А государственные регуляторы могут заниматься принуждением владельцев сервисов к исправлению уязвимостей? они как бы следят за персональными данными, а уязвимости способны приводить к их утечке.
Должна же быть от Роскомнадзора какая-то польза? исследователь может написать туда, что существует такая-то возможность утечки персональных данных, а РКН уже требует у сервиса это исправить.
А ещё, я думаю, нас ждёт ещё не одно десятилетие обсуждения и принятия или непринятия новых обычаев и законов в цифровой среде. Вот, например, недавно принятый запрет на парсинг. Мне кажется, он запрещает вышеописанную программу. Можно ли телефонную книгу считать опубликованной в интернете?
Можно попасть на обвинения в том, что вы репутацию порочите. Ваше, ничем не подтверждённое слово о том, что устройство уязвимо против слова копании утверждающей, что у них всё хорошо. А в суде вам придётся «светить» детали уязвимости и то, как вы из нашли. Ну и далее по тексту из статьи. А если детали не описывать, то вы не докажете уязвимость = порочите репутацию.
А можно номер статьи закона? Вот так, чтобы "технические подробности уязвимостей". Первый раз слышу.
В качестве вишенки на торте — с год назад читал отчет, как одного товарища (кстати давно живущего за пределами РФ) просили помочь прикрутить к сайту платежное решение от одного крупного банка в РФ. Через 5 минут копания в их SDK он нашел абсолютно вырвиглазный косяк — по его словам, такое ощущение, что код писал интерн, а ревью не было вообще. Естественно, все было исправлено перед деплоем — а репорт так никуда и не ушел. Причина проста — если не дай бог кого-то уже вскрыли, его имя будет первым в списке, и как админам, так и тов. майору будет нас… ть, за чей счет апгрейдить свои погоны (ибо не пахнут). Какие «законы» — такие и результаты. Мира всем, и смотрите, что и куда деплоите.
По факту ситуация приводит к тому, что законодатели сами подталкивают пентестеров к мысли, что найденные уязвимости нужно продавать на чёрном рынке, т.к. это единственный способ гарантированно не поиметь проблем с владельцем сервиса.
Ведь владельцы-то разные — один просто скажет "спасибо" и устранит уязвимость, второй к "спасибо" приложит денежный бонус, а третий решит, что проблему проще всего решить через юриста запугав пентестера до полусмерти.
Если вы найдёте уязвимость, программа Bug Bounty может обязать вендора выплатить вам вознаграждение.
Субъективно, сейчас все стало наоборот. Крупные платформы стали не только нанимать максимально неквалифицированных сотрудников для анализа отчётов (так называемые managed-программы, когда сотрудники платформы фильтруют отчеты, передавая компании только подтвердившиеся), но и угрожать блокировками исследователям, если они хотят опубликовать информацию.
Недавно на крупной платформе их сотрудник не мог два месяца прочитать отчёт и тупо повторить список из 5-7 пунктов (уровня открыть ссылку, написать Х, повторить). Потом он начал рассказывать, что не прав я, а системы вообще не так работают. В итоге из-за этого клоуна я потерял потенциально неплохое вознаграждение, а когда я обратился к более серьёзным сотрудникам платформы, мне сказали примерно «Другим деньги платят, заткнись и не публикуй, иначе забаним».
Ситуация: вы исследуете устройство из своего набора «умного дома», изучили код мобильного приложения, трафик между тремя компонентами: устройство, сервер, мобильное приложение.
Просто берём и пишем пост. Мои посты подобного толка:
- Burn-in рутовый шелл в IP-камерах Vesta и не только
- Full disclosure: 0day vulnerability (backdoor) in firmware for Xiaongmai-based DVRs, NVRs and IP cameras
Изначально законодательство вообще не на стороне независимых исследователей уязвимости сервисов. По-хорошему, ничего нельзя даже трогать. А если кто-то решит опубликовать своё исследование уязвимостей, правообладатель сервиса может предъявить ему гражданские иски, могут быть инициированы проверки наличия состава преступления, возбуждены дела об административном правонарушении и, возможно, даже придётся понести уголовное наказание. Звучит невесело?
Вам известны такие случаи?
Согласно п.п. 1, 2 ст. 1280 ГК РФ лицо, правомерно владеющее экземпляром программы для ЭВМ, вправе без согласия правообладателя и без выплаты дополнительного вознаграждения изучать, исследовать или испытывать функционирование такой программы в целях определения идей и принципов, лежащих в основе любого элемента программы для ЭВМ
иное может быть предусмотрено договором с правообладателем (то есть лицензионными условиями / условиями использования прикладного ПО и устройства).
В своём ToS вендор может предусматривать что угодно, над законом РФ это приоритета не имеет. В самом худшем случае вы нарушите этот самый ToS, что позволит вендору отказать вам в обслуживании и на том всё.
1.2: Вендор устройства может расценить публикацию такого исследования порочащим его деловую репутацию.
Это применимо только если Вы публикуете заведомо недостоверную информацию.
2.1: Потенциально: ст. 272 УК РФ за неправомерный доступ к компьютерной информации в случае, если среди полученных данных есть такие, правами доступа к которым исследователь не наделен.
К упомянутой Вами ситуации это отношения не имеет. Если же Вы «пентестите» чужой сервис и заполучили чьи-то данные, то, в общем-то, всё справедливо, т. к. это просто неэтично.
2.2. Потенциально: ст. 273 УК РФ за использование скриптов\экплойтов для автоматизации атаки.
По формулировке статьи PoC-exploit просто не должен быть заведомо деструктивным, вот и всё.
3.1 незаконной деятельностью в области защиты информации без получения соответствующей лицензии — ст. 13.13 КоАП РФ;
А причём тут это? Вы кому-то услуги по защите перс. данных оказываете?
3.2 в случае совершения действий от имени компании — нарушением лицензионных требований, предъявляемых к лицензиату при осуществлении лицензируемого вида деятельности (ст. 13.12 КоАП).
Не исключено, что проведение исследований в области защиты информации без соответствующего договора с заказчиком может быть расценено как нарушение правил лицензирования.
Вам известны такие случаи из судебной практики? Опять же, если правила лицензирования регулируются лицензионным соглашением, то ГК РФ имеет приоритет над любым таким соглашением и пункт соглашения при подобном разбирательстве просто признают ничтожным.
Мне кажется, Вы какую-то пугалку написали, внушающую исследователям страх и демотивирующую против внесения своего вклада. Тут бы лучше юристам судебную практику изучить. Всё, что Вами приведено — притянуто за уши.
Местным компаниям (особенно окологосударственным) открыто дорогу переходить я бы, конечно, не советовал. Но и в этом случае совершенно понятно, как обнародовать проблему, чтобы она была гарантированно решена — на Хабре и такие посты были.
Согласен с Вами.
Автор, по моему мнению, преувеличил остроту проблемы. В том числе, и со статьями УК
Автор еще не все сказал )
Сценарий: вендор подает на вас иск в арбитраж с упущенной выгодой 1 млн. руб. Судья назначает эксперта. Далее из собственного опыта:
Эксперт, мутный персонаж в кургузом пиджачке из фирмы с лицензией "Форензик рога и копыта", с ИТ дипломом Урюпинска и отметкой в трудовой "работал программером" дает заключение: да, истец прав.
Судья штампует заключение эксперта в своем решении, не вникая ни во что вообще.
Все.
Мой комментарий был больше о уголовной и всякой прочей ответственности.
А ваш пример может быть актуален для любого публичного заявления о какой-либо компании: пишите статью о несовершенстве работы службы безопасности банка, банк подаёт в суд, прилагая заключение эксперта. И далее по сценарию.
Мне кажется, описанная вами ситуация касается больше вопросов несовершенства судебного процесса, а не конкретно сферы информационной безопасности
Просто берём и пишем пост. Мои посты подобного толка:
Ошибка выжившего.
По формулировке статьи PoC-exploit просто не должен быть заведомо деструктивным, вот и всё.
То есть по вашему можно разрабатывать не деструктивные эксплойты?
На вопросы про нюансы законодательства отвечать не буду, так как не юрист, но в статье я точно обозначил что есть подобные риски и далее уже придется ходить по судам и доказывать что один документ имеет приоритет над другим и тп. Мало кому захочется это сделать.
Местным компаниям (особенно окологосударственным) открыто дорогу переходить я бы, конечно, не советовал. Но и в этом случае совершенно понятно, как обнародовать проблему, чтобы она была гарантированно решена — на Хабре и такие посты были.
Заключение статьи о том, что хочется жить в обществе, где можно открыто говорить о проблеме и уведомлять пользователей, а вы тут же после своих изречений что это пугалка, сами говорите, что дорогу лучше не переходить местным компаниям. О местной компании и речь.
Предлагаю вам придерживаться какой-то одной позиции, если хотите подискутировать.
Есть вполне ограниченный список информации, ограниченной к распространению в РФ. Например, способы суицида, способы изготовления наркотических веществ и т. д. Но «инструкции по разработке вредоносного ПО» в этот список не входит. Во всяком случае пока.
Вроде как законы защищают не только вендора как поставщика ПО, но и нас, как потребителей этого ПО, от потенциальных угроз персональным данным и тд. Те же РПН, РКН.
Стоит добавить, что если даже если вендор оперативно выпустит обновление, исправляющее уязвимость, то его еще нужно установить, а это сделают далеко не все по разным причинам.
Но зато про дыру наверняка узнают злоумышленники, которым теперь бери и действуй.
И если сервис/устройство широко распространено последствия могут быть существенными, нежели эту дыру найдут разрозненные злоумышленники и проэксплуатируют ограниченное количество раз (в меру физических возможностей).
Да они также могут сообщить об этом во всеуслышание, но это уже отдельная ветка.
Если просто публично описать, что в товаре Х нашел дыру, которая позволяет сделать У и не описывать как, то что тут незаконного?
Уязвимость это недостаток товара/услуги. Можно пытаться требовать устранения в рамках закона о защите прав потребителей.
Не стоит забывать про юридические нюансы во время ответов на запросы от самой компании или други лиц (которыми могут быть они-же, но анонимно). Понравился случай, когда один человек в шутку сделал редирект с созвучного домена одной ещё не вышедшей игры на игру-конкурента, к нему обратились с просьбой продать этот домен. И после того, как он ответил «возможно», к нему обратились юристы самой компании с требованием отдать этот домен, потому что он нарушает их торговую марку в коммерческих целях. Прикол в том, что до этого у них не было особых прав это сделать.
2) Сотни гайдов было, но всё же хотелось бы и от вас услышать: о цифровой гигиене. а) Которая в необходимом исполнении проста и доступна большинству пользователей
б) И что-то более серьёзное, с чем надо покопаться, но в целом защищает серьёзнее (и насколько). в) Цифровая гигиена параноика, который хочет быть среднестатистическим интернет-хомяком.
По хорошему это всё нужно разделить на прямые финансовые угрозы, личного характера и т.д.
Telegram desktop который на windows "взламывается" за минуту, просто копируется папка с программой на другой компьютер. При этом не будет никаких оповещений что был произведен вход с другого устройства, и не придет проверочных кодов. Дуров не считает это уязвимостью кстати.
А вообще это все не правда и мне приснилось так
Хм, таким способом можно "взломать" почти всё).
Ну… Если говорить про мессенджеры, то другие так просто не "взламываются" копированием профиля
На самом деле я написал про это, чтобы восстановить справедливость. Принято считать что whatsapp не безопасен и там сливают данные, и что тот же telegram напротив защищает интересы пользователя. Я думаю большинство предпочтет чтобы его данные с номером телефона слили куда то для таргетированных рассылок, чем кто то сольет его переписку с любовницей или чего поинтереснее:)
Ага, почти всё, кроме лицензионного софта. Ни фотошопы, ни автокады, ни десяток программ для оборудования, с которым работаем, так не взламываются. Приходится покупать лицензии по €3k
Вы тут пишете, что есть законодательные ограничения, которые вас не устраивают и "звучат невесело".
Я бы сказал более грубо: закон, который защищает дураков и мудил.
Они продают бракованное ПО, а когда им на это указывают, говорят, что страдает их "деловая репутация".
Т.е. не от того, что их говнокод позволяет украсть личность или перевести деньги с чужого счёта, а от того, что об этом кто-то говорит.
Лично я считаю, что таких компаний быть не должно. А если "законные средства" против вас, надо действовать иными.
Продайте уязвимость на чёрном рынке. Да, пострадают люди. Но в следующий раз они будут думать, чем пользоваться.
На компанию упадут иски. Закон теперь будет работать против неё. И либо она сдохнет, либо изменит процесс работы.
По-другому — никак.
И да, я готов к тому, что от этого могу пострадать и я: лучше платить взломщикам, чем платить недосудьям, следующим кривому закону, за то, что они закроют специалиста.
Если такое будет проделываться с российской компанией, дело может кончиться блокировкой РКН того самого ресурса, где опубликована информация, это если не найдут автора, а то будет перспектива пойти по этапу.
Гораздо интереснее, когда такое случается за рубежом с зарубежными же компаниями. Если издание более-менее официальное и находится в юрисдикции заинтересованных сторон, то изданию могут вкатить иск на миллионы долларов, так что дешевле (а самоубийствами никто не хочет заниматься) сдать автора. Или ничего не публиковать. Остаются только издания, находящиеся на платформе в открытом океане, но это уж совсем дикая история с несоизмеримыми затратами.
В любом случае стопроцентной гарантии, что не придется сушить сухари, никто не даёт. А дать денег за проделанную работу тем более. В итоге белый хакинг сейчас занятие для маргиналов или альтруистов с ослабленным чувством самосохранения.
Разумеется, ничего хорошего в такой ситуации нет. Де-факто запрет публикации уязвимостей только ухудшает дело. Но для дела вполне можно действовать и обходными путями.
С другой стороны, чувства, как и репутация не могу страдать никак.
Вне зависимости он нашего знания и понимания, желания или его отсутствия, сосед за стеной есть, просто мы о нем не догадываемся, не слышим или не видим, но однажды звук перфоратора расставляет все на свои места.
Пентестеры просто подтверждают изначальную постулат-байку: В любой программе есть ошибка. Если в программе нет ошибок, то она никому не нужна.
Огромный штат принимающих законы не может на данный момент решить данный вопрос или не хочет, но зарплату получает исправно.
Малограмотность как с правовой точки, отсутствие этики, я уж не говорю о совести, что продукт выпускать нужно качественный, но, даже если что-то пошло не так, то быть готовым исправить это в кратчайшие сроки.
Многое упирается в то пресловутое лицензионное соглашение и эти волшебные буквы AS IS, которые с одной стороны ставят все на место, с другой стороны все валят с этого места.
Не хочешь, сомневаешься, предполагаешь, что в ПО есть уязвимости и прочее, так не пользуйся. Силой точно никто не заставляет. Все остальные отсылки к цивилизованности, 21 век и прочее не прокатывают.
Нахамили, обсчитали, нагрубили, заставляют маску натягивать на нос — нет смысла больше возвращаться туда и к таким никогда, однако… тянет неведомая сила и приключения ;)
По одному всех перещелкают, а три прутика, как в той сказке, не сломать ;)
Это просто какой-то всеобщий пофигизм, ИМХО. Когда поголовно в любом EULA написано: "разработчик не несет ответственности за причиненный вред оборудованию или данным" и т.д. по списку. Это, я считаю, раздолбайство и гонка за рынком, где лучше быстрее выпустить сырой продукт, не сделав нормальное QA, а потом забить на баги, т.к. слишком дорого исправлять. И так схавают, не бояре.
ЗЫ: мне на работе приходится кое-что небольшое для работы писать. Так я вылизываю код, придумываю ситуации, когда юзер может ввести вообще чушь какую-то. Да, времени больше и дольше, зато потом работает и я не напрягаюсь, когда кто-то из сотрудников пользуется моим софтом. Софт средней или ниже средней степени сложности: например, обработка SOR файлов (рефлектограммы замера оптики) и создание отчета и т.д.
Владелец сервиса угрожает судами, если расскажу об этом публично. При этом, закрывать уязвимость не собирается. Куда жаловаться? Что мне делать?
Тогда имеет смысл сконцентрироваться на индивидуальном контуре безопасности, а не бороться за глобальную победу здравого смысла…
Не настаиваю, но просто как концепт.
Спрос рождает предложение и предложение рождает спрос.
Если будет спрос на то, чтобы софт был действительно качественным, а производитель нес ответственность, то значит такому быть, а пока эпоха впаривания с элементами мгновенного устаревания выданного на гора будет продолжаться.
Все в наших руках, ну и конечно, все в наших умах ;)
Вы пользуетесь уязвимым софтом, но я вам не могу об этом рассказать