28 October 2019

Лицензионные соглашения у вредоносных программ

Доктор Веб corporate blogProduct ManagementLegislation in IT
Любое программное обеспечение — это объект интеллектуальной собственности. По сложившейся на рынке практике многие производители ПО оставляют за собой исключительные права на владение продуктом и лишь предоставляют клиентам возможность использовать одну или несколько его копий. Эти и другие юридические тонкости оговариваются в специальных документах — лицензионных соглашениях.

Вместе с информацией о регулировании прав и обязанностей сторон в них может прописываться отказ от ответственности за возможный ущерб или упущенную выгоду конечного пользователя из-за неправильной работы программ. Кроме того, в таких документах могут содержаться требования, обязывающие пользователей предоставлять те или иные конфиденциальные данные, а также другие не менее важные условия. При этом, чтобы начать работу с приложениями, почти всегда необходимо принять эти условия, даже если они спорные. Однако мы настолько привыкли к однотипным лицензионным соглашениям у компьютерных программ, что редко читаем эти длинные и скучные документы. Почти всегда пользователи автоматически принимают все их положения, не задумываясь о возможных последствиях.

Как это ни удивительно, но лицензионные соглашения встречаются даже у вредоносных приложений. Во-первых, вирусописатели составляют их непосредственно для пользователей троянских и других опасных программ. В этом случае их клиенты заведомо знают о назначении такого ПО. Во-вторых, соглашения могут создаваться для маскировки троянцев под безобидные приложения, чтобы обмануть потенциальных жертв или попытаться избежать проблем с законом.

Что же вирусописатели пишут в лицензионных соглашениях и с чем предлагают согласиться пользователям?

Создатели троянцев и сомнительного ПО не изобретают велосипед. Они сообщают ровно то же, что и разработчики «нормальных» программ. Только формулировки иногда не такие отточенные. Пункты соглашений могут отличаться в зависимости от фантазии вирусописателей, но в целом они стандартны. В них оговариваются условия предоставления сервиса, права и обязанности сторон, а в особо «правильных» текстах даже может присутствовать отказ от ответственности. Всё как у разработчиков легальных приложений.

Рассмотрим пример одного из таких лицензионных соглашений. Оно составлено для покупателей троянца-стилера, которого злоумышленники продают на черном рынке.



Вирусописатели постарались снять с себя всю ответственность и, как им, видимо, кажется, избежать внимания правоохранительных органов. Во-первых, в соглашении они сообщают, что вся предоставляемая ими информация якобы носит только ознакомительный характер. И это несмотря на то, что они продают вредоносную программу и не скрывают этого. Во-вторых, авторы стилера заявляют, что не призывают к нарушению законодательства и не несут ответственности за действия их клиентов. Однако создание троянца и его продажа автоматически подпадают под действие статьи 273 УК РФ («Создание, использование и распространение вредоносных компьютерных программ»). Поэтому, как бы эти (и другие) вирусописатели ни играли формулировками и отписками, избежать проблем с законом у них не выйдет.

К слову, в аналогичном положении оказываются и специалисты по информационной безопасности — исследователи, участники различных ИТ-конференций и т. д. Создание ими концептов вредоносных программ (PoC), демонстрационных эксплойтов и прочих академических разработок также нарушает закон с точки зрения уголовного права. Даже если они были сделаны в демонстрационных, просветительских или исследовательских целях.

Рассмотрим другой пример. Это не совсем полноценное лицензионное соглашение, а некий свод правил от разработчика программного упаковщика, продаваемого на подпольных интернет-площадках.



Упаковщики для исполняемых файлов — вещь распространенная. Они среди прочего широко используются для защиты от недобросовестной конкуренции на рынке ПО — антиотладки и реверсинга. Однако существуют экземпляры, которые создаются для целенаправленного противодействия антивирусам. Как и «белые» упаковщики, они также защищают программы. Но программы эти уже отнюдь не безобидные, а вредоносные. Так и в рассматриваемом случае.

Автор (или авторы) указанного упаковщика гордо сообщают о снижении эффективности детектирования антивирусами при его применении, фактически признаваясь в нарушении закона. Ведь согласно пункту 1 уже знакомой нам статьи 273 УК РФ нейтрализация средств защиты компьютерной информации является преступлением. А продаваемый ими упаковщик как раз создан для несанкционированной нейтрализации антивирусов — он скрывает от них вредоносный код.

Разработчики пакера заявляют, что не несут ответственности за действия своих клиентов. Но маловероятно, что они не понимают, что в конечном счете их услугами воспользуются именно вирусописатели.

А вот выдержки из более проработанного лицензионного соглашения. Оно сопровождает троянца, устанавливающего на инфицированные устройства ненужное ПО и другие вредоносные приложения. Одна важная деталь: этот текст увидят далеко не все потенциальные жертвы — соглашение есть только для некоторых билдов троянца, которые распространяются через определенные партнерские сервисы.





Что же интересного в этом соглашении? Во-первых, в нем говорится, что, устанавливая это ПО, пользователь соглашается на удаленное администрирование своего компьютера. Фактически он разрешит неизвестным личностям делать все что угодно. Это потенциальная кража конфиденциальных данных и денег, использование системы в качестве прокси-сервера, рассылка спама и т д.

Во-вторых, пользователь дает согласие на получение обновлений приложения, которые согласно тексту соглашения могут быть чем угодно. Зная, что основная функция троянца — это установка других вредоносных программ и ненужного ПО, нетрудно догадаться, какие «обновления» тот будет инсталлировать.

Как и в рассмотренных ранее соглашениях, в этом также содержится стандартное ограничение ответственности. Но, в отличие от большинства других текстов, здесь допускается прекращение действия ограничения, если оно противоречит законодательству страны пользователя. Однако подобные пункты лишены смысла. Если законодательство той или иной страны подразумевает наказание за создание и распространение вредоносных программ, оно по умолчанию аннулирует любые формальные отказы от ответственности.

Из-за правового регулирования и возрастающего внимания к рынку вредоносного ПО со стороны правоохранительных органов все больше вирусописателей уделяют внимание юридическим вопросам. В результате увеличивается число троянцев и других сомнительных приложений, авторы которых снабжают их лицензионными соглашениями или похожими на них списками правил использования ПО. А сами эти соглашения все чаще содержат пункты, которые, по мнению их авторов, должны защитить от возможных обвинений в нарушении закона. Тем не менее, если та или иная программа является вредоносной, ее авторам не помогут избежать наказания ни отказ от ответственности, ни наличие каких-либо специальных условий в пользовательских соглашениях.

Пользователям же рекомендуется внимательно читать тексты соглашений, особенно если они принадлежат малоизвестным или сомнительным программам. Это может помочь избежать потенциальных проблем — например, не оказаться жертвой мошенников, не стать невольным распространителем вредоносного ПО и сохранить свои деньги.
Tags:лицензионное соглашениеeula
Hubs: Доктор Веб corporate blog Product Management Legislation in IT
+28
9.4k 21
Comments 35