Добавлю, что в этой истории ещё был мой (уже бывший) тимлид (направления безопасности): я уязвимость обнаружил в процессе исследования безопасности коммерческого смарт-контракта по его задаче. Показал ему атаку на макете. Но, он так и не придал этому значения. Тимлид был с опытом разработки и без практического опыта в безопасности. Я снова убедился: хороший тимлид направления безопасности с опытом только разработчика - исключение из правила.
Мне кажется - при оценке этичности стоит оценивать конкретное содержимое распространяемой переписки. Если там обмен сугубо технической информацией (как в данном случае) и не содержит данных о частной жизни - этичность не нарушена. Пересказ же своими словами всегда наводит на сомнения вроде: "а не был ли искажён смысл? Может, автор отсебятины добавил? Или фразу из контекста вырвал? А почему нет оригинала?".
Интересное наблюдение. Но, непонятно: что с этим делать мне как автору статьи? Есть какие-то предложения? Если дублировать ссылки ещё и скриншотами содержания ссылок - будут вопросы со стороны пользователей ПК. Не проще ли добавить статью в заметки и прочитать позднее с ПК?
Если только отчасти. В версии 3.0.0 сделали определённый фикс. Но, его логика отличается от EVM блокчейнов, где время следующего блока всегда строго "в будущем" (т.е. больше предыдущего). В Hyperledger Fabric время следующей транзакции может быть меньше предыдущего. И фикс лишь ограничивает эту разницу во времени. Т.е. на уровне смарт-контракта всё равно нужно учитывать этот нюанс. Я бы сказал, что сейчас самая большая проблема блокчейна - отсутствие сложившейся практики безопасности. Причём на всех уровнях: от безопасной настройки блокчейна до кода смарт-контрактов. Подробнее на эту тему я рассуждал в статье Актуальные проблемы безопасности ЦФА и трансграничных платежей на основе блокчейн технологий
почему-то программы для ЭВМ выведены из-под закона о защите прав потребителей
Это Вы как к такому выводу пришли? Я вот вижу противоположное. "Прекращение работы программного обеспечения товара по истечении гарантийного срока, но в пределах срока службы товара, приведшее к невозможности его дальнейшего функционирования и использования, может быть признано существенным недостатком, при котором потребитель вправе возвратить товар изготовителю (уполномоченной организации или уполномоченному индивидуальному предпринимателю, импортеру) и потребовать возврата уплаченной за него суммы" -пункт 3 Обзора судебной практики по делам о защите прав потребителей" (утв. Президиумом Верховного Суда РФ 20.10.2021)
"требования граждан к качеству программного обеспечения, используемого в технически сложном товаре (например, к операционной системе, которая служит для обеспечения его функционирования), должны рассматриваться как требования к качеству товара в целом с учетом его потребительских свойств в соответствии со ст. 469 ГК РФ." - пункт 39 Постановления Пленума Верховного Суда РФ от 28.06.2012 N 17 "О рассмотрении судами гражданских дел по спорам о защите прав потребителей"
Подобное же сейчас проворачивают с т.н. платформенной экономикой (что-то про маркетплейсы)
Добавлю, что я в целом не против ИИ. И не буду искать оператора по принципу где нет ИИ. Я против реализации "для галочки": когда невозможно пробиться к оператору (в случае бесполезности ИИ в конкретной ситуации). Ну, и подход: "ИИ переспросит абонента через 20 мин и если тот не успеет ответить - закроем обращение", - для меня тоже показатель качества обслуживания и отношения к пользователю.
Банк России опубликовал кодекс этики в сфере разработки и применения искусственного интеллекта для финансовых организаций. В т.ч. кодекс рекомендует компаниям информировать клиентов, когда они взаимодействуют с ИИ, и давать возможность отказаться от такого взаимодействия.
Проверяли на звонке именно Мегафона? То, что от других ИИ можно так перейти к оператору - я в курсе. Но, Мегафон, видимо, решил, что это слишком просто. Поэтому когда на звонке голосом зовёшь оператора - просит сообщить тему обращения "для перевода на оператора". А после озвучивания - оператора не зовёт, а предлагает какие-то несвязанные ответы. И так по кругу. У меня примерно такой диалог был:
- Оператор. - Уточните: вопрос связан с недоступностью интернета?
- нет
- в вашей зоне обнаружены проблемы со связью, мы ими уже занимаемся. Есть ещё вопросы?
- Оператор
- Уточните: вопрос связан с недоступностью интернета?
- нет
- в вашей зоне обнаружены проблемы со связью, мы ими уже занимаемся. Есть ещё вопросы?
И так по кругу. Если это масштабное исследование как можно быстро раздражать людей - то тут просто 100% попадание в яблочко.
На МТС: у них лучше покрытие сети в тех местах ЛенОбласти, где мы бываем (проверял). А ещё - есть возможность получить лучшие условия тарифа за меньшие деньги. Вопрос смены оператора и так давно витал в воздухе, сейчас ИИ стал последней каплей.
А ещё - Мегафон надоел спамом. Пришлось обращаться в УФАС. Вот по моему обращению возбуждено дело: https://spb.fas.gov.ru/news/12344
Похоже, речь идёт о первой инстанции. Т.е. точку в деле рано ставить. Есть ещё апелляция, кассация, Верховный Суд (+ Конституционный, но, я не знаю могут ли там права защищать компании, а не физ лица). Вопрос в том как далеко захочет зайти МТС в обжаловании.
Забыл добавить. Я работаю в финтехе AppSec инженером. В т.ч. участвую в триаже закрытой багбаунти программы. И ни разу в процессе триажа мы не взаимодействовали с PR службой.
А при чём тут PR служба? Речь шла об официальной bug bounty программе (например: https://bugbounty.bi.zone/). Думаете, технические отчёты в рамках обращения по приватной bug bounty разбирают не технические специалисты, а PR?
получил за два года через суды больше миллиона рублей компенсаций от недобросовестных рекламораспространителей
В какой-то части раскроете детали? В скольких случаях ответчики перечислили эти средства после решения суда самостоятельно? В скольких случаях пришлось самому добиваться исполнения решения суда и как именно: в банк (где есть счёт ответчика) с исполнительным листом или в федерльную службу судебных приставов? В скольких случаях уже не получить причитаемое т.к. ответчик обанкротился?
Важное замечание: вопрос о налогообложении сумм компенсации за причиненный моральный вред остается открытым на сегодняшний день.
Тоже увлекаюсь юриспруденцией (в основном по ГПК), самостоятельно участвую в судах (не имея юридического образования). Есть чем поделиться. Данный вопрос с 2022 года уже не является открытым:
Пункт 62 Постановления Пленума Верховного Суда Российской Федерации от 15 ноября 2022 года № 33 "О практике применения судами норм о компенсации морального вреда"
Ввиду того, что моральный вред признается законом вредом неимущественным, государственная пошлина подлежит уплате на основании подпункта 3 пункта 1 статьи 33319 Налогового кодекса Российской Федерации (далее – НК РФ). При этом судам следует иметь в виду, что в предусмотренных законом случаях истцы освобождаются от уплаты государственной пошлины. Например, от уплаты государственной пошлины освобождены истцы по искам о компенсации морального вреда, причиненного нарушением трудовых прав гражданина, морального вреда, возникшего вследствие причинения увечья или иного повреждения здоровья или смерти лица, морального вреда, причиненного преступлением либо в результате незаконного уголовного преследования, морального вреда, причиненного ребенку, морального вреда, причиненного нарушением прав потребителей (подпункты 1, 3, 4, 10 и 15 пункта 1 статьи 33336 НК РФ, пункт 3 статьи 17 Закона Российской Федерации «О защите прав потребителей»).
закон не запрещает присудить мизерную компенсацию, например, в размере одного рубля
Пункт 30 Постановления Пленума Верховного Суда Российской Федерации от 15 ноября 2022 года № 33 "О практике применения судами норм о компенсации морального вреда"
Судам следует иметь в виду, что вопрос о разумности присуждаемой суммы должен решаться с учетом всех обстоятельств дела, в том числе значимости компенсации относительно обычного уровня жизни и общего уровня доходов граждан, в связи с чем исключается присуждение потерпевшему чрезвычайно малой, незначительной денежной суммы, если только такая сумма не была указана им в исковом заявлении.
Я уже проверил очень простой способ предоставления данных о доходах (для официально трудоустроенных): в Госуслугах запросить справку о доходах (вроде, 2 НДФЛ). Через сутки или раньше будет готова справка с цифровой подписью. Справку с этой цифровой подписью скачиваем, и далее через ГАС "Правосудие" (https://ej.sudrf.ru) прикладываем к материалам дела (или в рамках иска или в рамках ходатайства, если к иску сразу не приложили). Цифровая подпись будет показателем легитимности документа. Делал так по гражданским делам - пока проблем никаких не было. Если не считать игнорирование судами первых инстанций при расчёте моральной компенсации: судьи первых инстанций, которые мне попадались, до сих пор не в курсе этого Постановления (а апелляция, что была - считает его необязательным - и вообще не очень разбирается во всех его пунктах).
Жаль, что подобные статьи не пользуются по пулярностью в профильных каналах в сфере блокчейна. Там основные тезисы: если бы были уязвимости, блокчейн бы умер, а взломщики бы обогатились. Тем более есть всякие багбаунти программы с большой выплатой. Из этого (по их мнению) следует, что блокчейны безопасны. Тот простой нюанс, что внедрение таких бекдоров в криптографии нужно не для того, чтоб украсть деньги у пользователей и подорвать доверие в блокчейну, а чтобы контролировать финансовые потоки (США вряд ли отказались от этой идеи со времён утечки секретных международных торговых соглашений TISA) им в голову не приходит. Игнорируют они и чудное везение у биткоина (сильно увеличившее его капитализацию) там, где у других были бы очень большие проблемы - надовящее на мысли о помощи сильных мира сего.
Да, я в 2023 году предлагал такое решение (но, там есть нюансы).
Цитата из той статьи
Для проверки выпуска новых сертификатов можно сделать следующее: сначала получить текущую хеш-сумму записей о сертификатах для домена (вместо DOMAIN вставить свое доменное имя). Лучше использовать формат JSON для уменьшения объема получаемых данных.
У этого способа есть нюансы. Во-первых, сервис crt.sh может периодически не работать. Во-вторых, опыт показал, что при выпуске нового сертификата на сайте появляется 2 записи. Сначала появляется запись типа precertificate и только через некоторое время, в дополнение к precertificate, появляется новая запись типа leaf certificate. Возможно, лучшим решением будет независимый мониторинг записей CT Logs.
Ну, и процесс отзыва нелегитимных сертификатов открыт: так и не нашёл готового мануала - просто рекомендация обращаться туда, где серт был выпущен (сколько по времени займёт от запроса до отзыва и какие есть подводные камни - информации не нашёл тогда).
В части штрафов - обошли самое важное: условие для этих штрафов. Например, п 12-14 ст 13.11 КоПА РФ указывает условия по утечкам, за который предусмотрен штраф (согласно п 6 закона с изменениями к КоАП):
12. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от одной тысячи до десяти тысяч субъектов персональных данных и (или) от десяти тысяч до ста тысяч идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, -
влекут наложение административного штрафа на граждан в размере от ста тысяч до двухсот тысяч рублей; на должностных лиц - от двухсот тысяч до четырехсот тысяч рублей; на юридических лиц - от трех миллионов до пяти миллионов рублей.
13. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от десяти тысяч до ста тысяч субъектов персональных данных и (или) от ста тысяч до одного миллиона идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, -
влекут наложение административного штрафа на граждан в размере от двухсот тысяч до трехсот тысяч рублей; на должностных лиц - от трехсот тысяч до пятисот тысяч рублей; на юридических лиц - от пяти миллионов до десяти миллионов рублей.
14. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные более ста тысяч субъектов персональных данных и (или) более одного миллиона идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, - влекут наложение административного штрафа на граждан в размере от трехсот тысяч до четырехсот тысяч рублей; на должностных лиц - от четырехсот тысяч до шестисот тысяч рублей; на юридических лиц - от десяти миллионов до пятнадцати миллионов рублей.
Т.е. для этих штрафов нужно: чтоб утечка была масштабной. А также разобраться с вопросом, что такое "неправомерная передача идентификаторов"
Добавлю, что в этой истории ещё был мой (уже бывший) тимлид (направления безопасности): я уязвимость обнаружил в процессе исследования безопасности коммерческого смарт-контракта по его задаче. Показал ему атаку на макете. Но, он так и не придал этому значения. Тимлид был с опытом разработки и без практического опыта в безопасности. Я снова убедился: хороший тимлид направления безопасности с опытом только разработчика - исключение из правила.
Мне кажется - при оценке этичности стоит оценивать конкретное содержимое распространяемой переписки. Если там обмен сугубо технической информацией (как в данном случае) и не содержит данных о частной жизни - этичность не нарушена. Пересказ же своими словами всегда наводит на сомнения вроде: "а не был ли искажён смысл? Может, автор отсебятины добавил? Или фразу из контекста вырвал? А почему нет оригинала?".
Интересное наблюдение. Но, непонятно: что с этим делать мне как автору статьи? Есть какие-то предложения? Если дублировать ссылки ещё и скриншотами содержания ссылок - будут вопросы со стороны пользователей ПК. Не проще ли добавить статью в заметки и прочитать позднее с ПК?
Если только отчасти. В версии 3.0.0 сделали определённый фикс. Но, его логика отличается от EVM блокчейнов, где время следующего блока всегда строго "в будущем" (т.е. больше предыдущего). В Hyperledger Fabric время следующей транзакции может быть меньше предыдущего. И фикс лишь ограничивает эту разницу во времени. Т.е. на уровне смарт-контракта всё равно нужно учитывать этот нюанс.
Я бы сказал, что сейчас самая большая проблема блокчейна - отсутствие сложившейся практики безопасности. Причём на всех уровнях: от безопасной настройки блокчейна до кода смарт-контрактов. Подробнее на эту тему я рассуждал в статье Актуальные проблемы безопасности ЦФА и трансграничных платежей на основе блокчейн технологий
Для меня вишенка на торте - где в канале Артём не стесняется выражаться в мой адрес.
Это Вы как к такому выводу пришли? Я вот вижу противоположное. "Прекращение работы программного обеспечения товара по истечении гарантийного срока, но в пределах срока службы товара, приведшее к невозможности его дальнейшего функционирования и использования, может быть признано существенным недостатком, при котором потребитель вправе возвратить товар изготовителю (уполномоченной организации или уполномоченному индивидуальному предпринимателю, импортеру) и потребовать возврата уплаченной за него суммы" -пункт 3 Обзора судебной практики по делам о защите прав потребителей" (утв. Президиумом Верховного Суда РФ 20.10.2021)
"требования граждан к качеству программного обеспечения, используемого в технически сложном товаре (например, к операционной системе, которая служит для обеспечения его функционирования), должны рассматриваться как требования к качеству товара в целом с учетом его потребительских свойств в соответствии со ст. 469 ГК РФ." - пункт 39 Постановления Пленума Верховного Суда РФ от 28.06.2012 N 17 "О рассмотрении судами гражданских дел по спорам о защите прав потребителей"
Неясно что имеете ввиду. Но, в ЗоЗПП введён термин владелец агрегатора. И его ответственность, в частности, прописана в статье 12 того же Закона.
Вы сейчас про какую юрисдикцию? В РФ есть Закон о защите прав потребителей, п 16 которого указывает на ничтожность условий договора, нарушающих законы РФ. И этот же закон действует на приобретаемое ПО (п 3 Обзора судебной практики по делам о защите прав потребителей" (утв. Президиумом Верховного Суда РФ 20.10.2021)). Так что лицензионное соглашение, где "продавец ни за что не несет ответственности" - не имеет юридической силы.
Добавлю, что я в целом не против ИИ. И не буду искать оператора по принципу где нет ИИ. Я против реализации "для галочки": когда невозможно пробиться к оператору (в случае бесполезности ИИ в конкретной ситуации). Ну, и подход: "ИИ переспросит абонента через 20 мин и если тот не успеет ответить - закроем обращение", - для меня тоже показатель качества обслуживания и отношения к пользователю.
Банк России опубликовал кодекс этики в сфере разработки и применения искусственного интеллекта для финансовых организаций. В т.ч. кодекс рекомендует компаниям информировать клиентов, когда они взаимодействуют с ИИ, и давать возможность отказаться от такого взаимодействия.
Проверяли на звонке именно Мегафона? То, что от других ИИ можно так перейти к оператору - я в курсе. Но, Мегафон, видимо, решил, что это слишком просто. Поэтому когда на звонке голосом зовёшь оператора - просит сообщить тему обращения "для перевода на оператора". А после озвучивания - оператора не зовёт, а предлагает какие-то несвязанные ответы. И так по кругу.
У меня примерно такой диалог был:
И так по кругу. Если это масштабное исследование как можно быстро раздражать людей - то тут просто 100% попадание в яблочко.
На МТС: у них лучше покрытие сети в тех местах ЛенОбласти, где мы бываем (проверял). А ещё - есть возможность получить лучшие условия тарифа за меньшие деньги. Вопрос смены оператора и так давно витал в воздухе, сейчас ИИ стал последней каплей.
А ещё - Мегафон надоел спамом. Пришлось обращаться в УФАС. Вот по моему обращению возбуждено дело: https://spb.fas.gov.ru/news/12344
Похоже, речь идёт о первой инстанции. Т.е. точку в деле рано ставить. Есть ещё апелляция, кассация, Верховный Суд (+ Конституционный, но, я не знаю могут ли там права защищать компании, а не физ лица). Вопрос в том как далеко захочет зайти МТС в обжаловании.
Забыл добавить. Я работаю в финтехе AppSec инженером. В т.ч. участвую в триаже закрытой багбаунти программы. И ни разу в процессе триажа мы не взаимодействовали с PR службой.
А при чём тут PR служба? Речь шла об официальной bug bounty программе (например: https://bugbounty.bi.zone/). Думаете, технические отчёты в рамках обращения по приватной bug bounty разбирают не технические специалисты, а PR?
В какой-то части раскроете детали? В скольких случаях ответчики перечислили эти средства после решения суда самостоятельно? В скольких случаях пришлось самому добиваться исполнения решения суда и как именно: в банк (где есть счёт ответчика) с исполнительным листом или в федерльную службу судебных приставов? В скольких случаях уже не получить причитаемое т.к. ответчик обанкротился?
Тоже увлекаюсь юриспруденцией (в основном по ГПК), самостоятельно участвую в судах (не имея юридического образования). Есть чем поделиться. Данный вопрос с 2022 года уже не является открытым:
Пункт 62 Постановления Пленума Верховного Суда Российской Федерации от 15 ноября 2022 года № 33 "О практике применения судами норм о компенсации морального вреда"
Ввиду того, что моральный вред признается законом вредом
неимущественным, государственная пошлина подлежит уплате на основании
подпункта 3 пункта 1 статьи 33319 Налогового кодекса Российской
Федерации (далее – НК РФ).
При этом судам следует иметь в виду, что в предусмотренных законом
случаях истцы освобождаются от уплаты государственной пошлины.
Например, от уплаты государственной пошлины освобождены истцы по
искам о компенсации морального вреда, причиненного нарушением
трудовых прав гражданина, морального вреда, возникшего вследствие
причинения увечья или иного повреждения здоровья или смерти лица,
морального вреда, причиненного преступлением либо в результате
незаконного уголовного преследования, морального вреда, причиненного
ребенку, морального вреда, причиненного нарушением прав потребителей
(подпункты 1, 3, 4, 10 и 15 пункта 1 статьи 33336 НК РФ, пункт 3 статьи 17
Закона Российской Федерации «О защите прав потребителей»).
Пункт 30 Постановления Пленума Верховного Суда Российской Федерации от 15 ноября 2022 года № 33 "О практике применения судами норм о компенсации морального вреда"
Судам следует иметь в виду, что вопрос о разумности присуждаемой
суммы должен решаться с учетом всех обстоятельств дела, в том числе
значимости компенсации относительно обычного уровня жизни и общего
уровня доходов граждан, в связи с чем исключается присуждение
потерпевшему чрезвычайно малой, незначительной денежной суммы, если
только такая сумма не была указана им в исковом заявлении.
Я уже проверил очень простой способ предоставления данных о доходах (для официально трудоустроенных): в Госуслугах запросить справку о доходах (вроде, 2 НДФЛ). Через сутки или раньше будет готова справка с цифровой подписью. Справку с этой цифровой подписью скачиваем, и далее через ГАС "Правосудие" (https://ej.sudrf.ru) прикладываем к материалам дела (или в рамках иска или в рамках ходатайства, если к иску сразу не приложили). Цифровая подпись будет показателем легитимности документа. Делал так по гражданским делам - пока проблем никаких не было. Если не считать игнорирование судами первых инстанций при расчёте моральной компенсации: судьи первых инстанций, которые мне попадались, до сих пор не в курсе этого Постановления (а апелляция, что была - считает его необязательным - и вообще не очень разбирается во всех его пунктах).
Оставлю ссылки на похожие статьи:
Встраиваем бэкдор в Bitcoin (ECDSA) или еще раз о клептографии
Встраиваем бэкдор в публичный ключ RSA
RSA Security заявила о наличии АНБ-бэкдора в своих продуктах
Crypto AG. Троянский конь ЦРУ
Reuters: бэкдорами АНБ в продуктах Juniper пользовались другие государства
Опубликована коллекция хакерских инструментов ЦРУ
Жаль, что подобные статьи не пользуются по пулярностью в профильных каналах в сфере блокчейна. Там основные тезисы: если бы были уязвимости, блокчейн бы умер, а взломщики бы обогатились. Тем более есть всякие багбаунти программы с большой выплатой. Из этого (по их мнению) следует, что блокчейны безопасны. Тот простой нюанс, что внедрение таких бекдоров в криптографии нужно не для того, чтоб украсть деньги у пользователей и подорвать доверие в блокчейну, а чтобы контролировать финансовые потоки (США вряд ли отказались от этой идеи со времён утечки секретных международных торговых соглашений TISA) им в голову не приходит. Игнорируют они и чудное везение у биткоина (сильно увеличившее его капитализацию) там, где у других были бы очень большие проблемы - надовящее на мысли о помощи сильных мира сего.
Да, я в 2023 году предлагал такое решение (но, там есть нюансы).
Цитата из той статьи
Для проверки выпуска новых сертификатов можно сделать следующее: сначала получить текущую хеш-сумму записей о сертификатах для домена (вместо DOMAIN вставить свое доменное имя). Лучше использовать формат JSON для уменьшения объема получаемых данных.
Далее необходимо сравнить значения с эталоном:
У этого способа есть нюансы. Во-первых, сервис crt.sh может периодически не работать. Во-вторых, опыт показал, что при выпуске нового сертификата на сайте появляется 2 записи. Сначала появляется запись типа precertificate и только через некоторое время, в дополнение к precertificate, появляется новая запись типа leaf certificate. Возможно, лучшим решением будет независимый мониторинг записей CT Logs.
Ну, и процесс отзыва нелегитимных сертификатов открыт: так и не нашёл готового мануала - просто рекомендация обращаться туда, где серт был выпущен (сколько по времени займёт от запроса до отзыва и какие есть подводные камни - информации не нашёл тогда).
В части штрафов - обошли самое важное: условие для этих штрафов. Например, п 12-14 ст 13.11 КоПА РФ указывает условия по утечкам, за который предусмотрен штраф (согласно п 6 закона с изменениями к КоАП):
Т.е. для этих штрафов нужно: чтоб утечка была масштабной. А также разобраться с вопросом, что такое "неправомерная передача идентификаторов"