Читаем Цифровой журнал «Компьютерра» № 166 полностью

Принятый ещё в 1984 году, CFAA стал к настоящему моменту фундаментом, на котором Америка строит законодательство, регулирующее жизнь в киберпространстве. Его многократно расширяли и продляли, и как раз сейчас предложена новая поправка, ужесточающая наказание за умышленное причинение ущерба. Проблема в том, что если для своего времени CFAA был необходим, сегодня он и морально, и технически устарел. Ведь принимали его ещё при Рейгане, в эпоху «Звёздных войн» (была такая стратегическая оборонная инициатива), надеясь предотвратить проникновение взломщиков в компьютерные системы, управляющие ракетным щитом США. Но если в те далёкие времена, например, термин «защищённый компьютер» означал только машины оборонного ведомства, сегодня под него подпадает практически любая персоналка. Та же проблема — с «(не)санкционированным доступом», который чётко не определён. В результате CFAA, по образному выражению специалистов, превратился в дубину, которой пытаются лечить болезни, требующие скальпеля, а может быть, и всего лишь таблетки.

Шварц и Арнхаймер — далеко не единственные, кого «залечили» этой дубиной, но в случае с Эндрю правозащитники усматривают реальную возможность повернуть инертную машину правосудия вспять. После вынесения приговора бесплатно помочь Арнхаймеру вызвались несколько авторитетов по киберправу (в том числе юристы EFF), прошение об апелляции уже подано. Как минимум адвокаты надеются скостить подзащитному срок: в Штатах принято начислять года в соответствии с причинённым ущербом, а AT&T фактического ущерба не понесла, а только лишь потратилась на информирование клиентов о выявленной бреши в безопасности, причём способ она выбирала сама. Как максимум же дело weev станет прецедентом, который поможет переписать устаревший закон. Для этого адвокатам «всего лишь» нужно доказать, что доступ Арнхаймера к сайту AT&T не может считаться «несанкционированным».

Что ж, пожелаем Эндрю и его адвокатам удачи. Но в этой истории есть ещё один любопытный и даже практически полезный момент. Он связан с оригинальной концепцией, сторонником которой Эндрю Арнхаймер был и, насколько мне известно, до сих пор остаётся. Её можно назвать философией антибезопасности (в оригинале: antisec). В основе её — простая, основанная на наблюдениях хакеров идея: если ты не желаешь причинить миру зла, никогда и ни с кем не делись полученной тобою уникальной информацией.

Представьте ситуацию: хакер находит в популярной программе новую уязвимость. Поделится ею с разработчиком программы — и будет считаться «белым» (добрый!). Продаст её на чёрном рынке — станет «чёрным» (злой!). Реальность, однако, такова, что вне зависимости от выбранного пути вскоре появляются эффективные инструменты эксплуатации обнаруженной «дыры», а конечный пользователь парадоксальным образом начинает чувствовать себя ещё менее защищённым. Почему? Со вторым случаем всё понятно, а вот в первом — возможно, разработчик программы оказался не слишком расторопным, возможно, вообще решил не патчить уязвимость (чтоб не сломать каких-то функций или не тратиться на апдейт). К тому же большинство пользователей не торопятся ставить заплатку, провоцируя эпидемии, а антивирусные вендоры и правительства умело используют это, нагнетая страху для достижения своих целей (новые законы, новые продажи). Короче говоря, в игру вступают обычные лень и эгоизм (корпоративный, государственный), а значит, как ни крути, раскрытие информации приведёт к новым проблемам.

Вывод? Хакер, для которого социальная справедливость — не пустой звук, должен держать рот на замке. Таким образом он не только улучшит ситуацию с безопасностью, но и выбьет табуретку из-под ног тех, кто манипулирует общественным мнением ради своей выгоды. Увы, Эндрю Арнхаймер, проповедующий antisec-истины со страниц популярных компьютерных журналов, сам им не следует.

Почему — это уже отдельный разговор. Но, полагаю, всё по той же древней причине: слава, слава…

В статье использованы иллюстрации Pinguino K, Bizinet

К оглавлению

Опубликовано 28 марта 2013