Comments 370
"Эффективные совы" в компании, красиво вышли из этой ситуации, с точки зрения политики, а не здравого смысла, но выкопали себе котлован в плане репутации и будущего компании.
За будущее компании отвечают совершенно другие люди в той же компании, поэтому это не проблема конкретно этих "эффективных сов".
Сколько уже было таких идиотов с очевидными последствиями, но меньше почему то не становится.
Интересно бы узнать, как выкрутятся в следующий раз "Эффективные совы" . Если в недалеком будущем у них обнаружатся, еще какие-нибудь "интересные" уязвимости. По моему скромному опыту где есть одна проблема такого рода, найдутся и другие)
Насколько я понимаю оригинал с гугл-транслейтом, это низшая судебная инстанция. Дальше будет апелляция в региональном суде.
Хотя на мой взгляд Modern Solution этим иском сами решили выстрелить себе в коленку, независимо от его результата. Я бы после такого с ними работать не стал от греха подальше.
А не важно будет ли аппеляция. В следующий раз - в лучшем случае будут сообщать сразу на Slashdot/Hacker News. В худшем - на Zerodium всякие (хоть денег заплатят)
Я сначала подумал, что может это не Айти компания, типа реально посчитали, что он там что-то взломал. Но это походу Хостинг, они не могли не знать подробностей хранения пароля. Налицо попытка менеджмента скрыть свои проблемы за чужой счёт. Думаю им прилетит из-за этой огласки нехило.
Компания - это условность, юридическая фикция. Они вполне могут закрыться и открыться как "Modern Solution Plus" или просто как "Something else" с нулевой репутацией, а не с отрицательной. Немного хлопот, оформить документы и все. Отрицательной репутации у юрлиц не бывает, потому что ее легко обновить.
Хорошо бы поименно всех причастных к этому решению перечислить и отслеживать, где они работают. Чтобы ни дай бог какой-нибудь еще один хороший профессионал по доброте душевной не огреб себе проблен.
Я однажды в одной крупной фотостудии нашел уязвимость, как получать чужие фотки. Ну... как хороший человек написал им, мол, кто у вас этим занимается, давайте я ему все объясню-помогу, денег не надо. Никакого ответа не получил. А и хрен с ним. [Наверное] Изредка заглядываю к ним, смотрю новые фотки. Прямо голых нет, но в целом культурно-интимные бывают. (Товарищ майор - это шутка, для эффектного завершения комментария)
Это в каком-то илюзорном мире можно ларек закрыть вывеску сменить с булочной на шаурмичную и все ОК. Рынок плотный и уйдя место займут конкеренты и новре имя не значит теже заказчики.
В Москве на Мясницкой есть магазин электроникмкоторый проделывал это годами пока не случился бабах. Чтобы уйти от гарантийнх обязательств.
С офлайновыми (скорее - торгующими товарами, а не длительными услугами) институт репутации работает менее выраженно, чем со всяким вроде хостингов.
Другое дело что у конторы, которая так наплевательски относится к своим обязанностям, вряд ли есть клиенты, которым не пофиг и которых не заменишь рандомными чуваками, пришедшими с гуглорекламы.
Вспоминается мне одна мелкая компания хостинговая. Покупка тарифа, использование, все дико глючит и потом дохнет. Потом их сайт перестает открыватся.
А потом внезапно приходит рассылка от другой компании хостинговой, ранее мне не известной. сайт очень напоминает прошлую. Пробую логинится в их лк - неверный логин или пароль. Пишу в поддержку - вы не наш клиент. Спрашиваю - хорошо, пусть, но откуда вы тогда взяли ЭТОТ e-mail?(рассылка шла на уникальный для первой компании e-mail) - в ответ - а мы это...купили базу. Нет нет мы НЕ переименовались.
В Германии они обязаны сообщить о факте взлома и возможной утечке данных, а иначе там совсем несмешные штрафы.
И факт того, что обвинение было со стороны прокуратуры однозначно намекает, что в суд подавала не компания, а деяние признано общественно опасным.
Клоуны, короче, в этой истории почти все, но все знакомо, тут реально все так.
Обвинение было со стороны прокуратуры, потому что статья "Хищение данных", по которой судили программиста, находится в уголовном кодексе. А во всех уголовных делах обвинителем выступает государство, то есть прокуратура. Общественно опасными являются все описанные в уголовном кодексе преступления по определению - собственно, поэтому они там и находятся.
А вот заявление в полицию о хищении данных написала именно фирма Modern Solution. С чего уголовное преследование и началось. Если бы фирма абсурдно не обвинила программиста в хищении данных, а спокойно заткнула дыру и сказала ему "спасибо за подсказку", никакого дела бы не было.
Не станет ни одна фирма сама раздувать подобное дело, рискуя репутацией. Это было верхом дебилизма на грани со слабоумием.
Это было верхом дебилизма на грани со слабоумием.
Да.
Не станет ни одна фирма сама раздувать подобное дело, рискуя репутацией.
... :)
Насколько я понимаю, это просто часть их менталитета. Как сообщают о подозрительном соседе так и тут, сообщили, потому что им показалось подозрительным поведение того разработчика. К тому же, мы не знаем деталей, чтобы обсуждать это и быть беспристрастными.
Наоборот надо)) Дебильность это одна из степеней (стадий) слабоумия (олигофрении).
Сотни фирм проворачивали подобный трюк. И тенденций к уменьшению нет.
А не может ли программист подать встречный иск к компании, ведь компания сама предоставила ПО, которое предоставляет эти данные практически на блюдечке?
Ну ты же не подашь иск на своего соседа за то, что у него замок в двери неплотно закрывается?
Если сосед пригласил тебя полить цветы в его квартире, а ты обнаружил, что у него дверь с петель легко слетает и сообщил об этом соседу, то подаст ли сосед на тебя в суд за проникновение со взломом?
Сосед сам пригласил. А тут типа не было такого приглашения.
Как я понял они больше возбудились не от того что она нашёл пароль, а от того что он этот пароль проверил и зашёл в БД
Они пригласили его работать и выдали клиентский софт для подключения.
Судя по всему позиция компании - он зашел туда куда не нужно было. Вообще тут бы ещё информации что именно он делал. Т.е. с чем была связана его работа по заказу самой компании.
Нет. В статье неправильный перевод. Написано:
Das Amtsgericht Jülich hat am 17. Januar einen Programmierer verurteilt, der im Auftrag eines Kunden eine Software analysiert und darin eine Sicherheitslücke gefunden hatte, welche die Daten von knapp 700.000 Einkäufern in Online-Shops im Internet offengelegt hatte.
То есть программист работал по заказу какого-то своего клиента. Но не Modern Solution. И уже клиент выдал ему софт. И потом он через какого-то "техноблоггера" контактировал уже саму Modern Solution:
Der Programmierer kontaktierte mit Hilfe eines Tech-Bloggers die betroffene Firma, die daraufhin die Sicherheitslücke schloss und den Programmierer bei der Polizei anzeigte.
Вопрос почему это нельзя было сделать напрямую и зачем был нужен "техноблоггер".
Это в корне всё меняет. Автор нашёл дыру и сообщил стороннему лицу.
Получается что "техноблоггер" сообщил об уязвимости, а обвиняемый - распространил способ использования уязвимости для доступа к данным.
Мы не знаем всех подробностей. В оригинале "сообщил через техноблоггера".
Может человек просто не знал как лично связаться с фирмой и попросил о посредничестве того, кого знал по ютюбу, т.к. у того точно есть личные контакты в фирме (что следовало из его роликов, например).
Может человек просто не знал как лично связаться с фирмой
20 секунд чтобы найти в гугле: https://www.modernsolution.net/Impressum
Плюс у него был софт от этой фирмы. А у софта обычно есть инфа о владельцах/создателях. И даже если этого не было в самом софте, то эта инфа должна была быть у тех кто купил софт и дал ему.
Техноблоггер тут ну вообще никак не нужен. Ну разве чтобы всё это опубликовать: https://wortfilter.de/warnung-datenleck-beim-jtl-partner-modern-solution-gmbh-co-kg/
P.S.И кстати на блоггера тоже в суд подали:
Auch gegen einen Blogger, der darüber berichtet hatte, hat Modern Solutions demnach Anzeige erstattet. https://www.heise.de/news/Datenleck-Anzeige-gegen-IT-Experte-kam-von-Modern-Solution-6254839.html
Тут был аудит. Проверка безопасности. В ходе которой человек нашел уязвимость.
Нет. По заказу чужого человека делали этот "аудит". Выше написали же об этом. Другое дело что аудитор оказался человеком ответственным и сообщил о проблеме. Это как если бы к вам в квартиру пришел незнакомый человек и провел аудит вашей двери. Нашел ключ под ковриком, проник в квартиру и оставил записку на столе, мол опасно ключ под ковриком держать.
Не жилой дом, а некое публичное здание, (например банк). Постоянно снует туда-сюда куча людей. Не квартира, а какое-то техническое помещение. Ключ в двери. Понимаешь что как бы неправильно, но заглянул - серверная, пульт управления. Никого нет, делай что хочешь. Приносишь охраннику ключ - вот вы забыли. А тебя за шкирку и в тюрячку. Мало ли. на всякий пожарный, нечего чужие ключи трогать.
Такая аналогия, кажется, ближе к произошедшему -)
Ну тогда уж давайте дополним, что вам допустим дали ключ от ячейки компании в банке, вы пришли от этой компании, которая работает с банком, в который вы пришли, далее открыли ячейку, а там внезапно лежат деньги почти всех клиентов банка, вы их пересчитали и не стали говорить своей компании, что дала ключ или сообщать банку, а решили связаться с журналистом и через него сообщить банку о том что у него проблемы с безопасностью :)
Не охраннику приносишь ключ, а выходишь на улицу и такой "Смотрите, эти дураки ключ забыли! Вот, берите кому надо".
Тут проблема в том, что он фактически тем или иным способом взломал дверь, походил по квартире, при этом конечно ничего не брал. Потом он об этом сообщил соседу и вдобавок когда сосед дверь починил вывесил объявление о том что он видел в квартире.
Скорее что дверь была не закрыта и он вошёл в прихожую. Увидел что там лежит мешок денег, вышел и позвонил хозяевам сообщив что они дверь не закрыли. А хозяева на него в суд за то что он вообще вошёл.
Исходя из немецких источников и перевода на двери и соседа.
Вас пригласил один сосед, так как у него проблемы с дверьми и замком. При осмотре и изучении проблемы вы ради интереса открыли дверь другого соседа. Ключ при этом взяли у своего заказчика в тумбочке.
Фактически у вас договор с первым, но зачем вы полезли к другому и не просто полезли, а походили по квартире и осмотрелись.
Тут как бы две вещи. Открытие квартиры, без права на это и внимательная прогулка по чужой квартире и в последствии оповещение других, мол что я там увидел.
Если ты профессионал и запахло, остановись. Человек живёт в Германии и тут своеобразные законы о защите информации.
тут своеобразные законы о защите информации.
Поэтому этот сосед наверное и покатил бочку на того, что сообщил что дверь не закрыта. Потому что этот самый сосед предоставляет услуги хранения чужого добра у себя в квартире. А тут такой конфуз.
Пару лет назад каждой фирме приставили иметь нейтральное 3 лицо отвечающие за защиту информации в плане болтовни и принятия дальнейших решений при любых случаях. Любой случай, где замешаны чужие данные должен быть сообщен. Любая информация, которую можно прочитать с использованием пароля считается защищённой.
Если законы такие, то что тут сделаешь. Надежда на то, что суд высшей инстанции примет спорное решение, при этом против него играет не частников, а гос. Органы, что намного усложняет дело. Суды хоть частью нейтральны, но когда другой стороне в финансовом плане всеравно как закончится дело, то они будут переть до самого конца.
Только вы не открывали двери, а выяснили, что любую дверь производителя можно открыть удаленно с сервера просто передав адрес двери.
И вот уже производитель пытается засудить вас за взлом всех своих дверей.
Не "выяснили, что любую дверь производителя можно открыть удаленно с сервера просто передав адрес двери", а "слили эту информацию журналистам, вместо положенного уведомления компании".
Исходя из источника в немецкой прессе обвиняемый не только зашёл на чужой сервер, но и плазил там и обнаружил, что в одной базе лежат данные многих клиентов, отличных от данных его заказчика и это его в частности удивило.
Так что он открыл дверь и полазил внутри. После этого он через блогера связался с фирмой и сообщил им это, как нашёл пароль, как зашёл на сервер и увидел данные других клиентов.
В частности фирма сразу сообщила это человеку отвечающего за защиту персональных данных, обычно это третье лицо и как я понимаю тот дал движению ход.
Он кап бы белый хакер, но законы устарели и решение принимается судьями по актуальным законам, о чем там так же было написано.
В процессе надежда на то, что если далеко зайти, в высшие суды, то суд сможет поставить закон или пункты под сомнение, тем самым венеся оправдательный приговор, но это пока это только первая инстанция.
не только зашёл на чужой сервер, но и плазил там и обнаружил, что в одной базе лежат данные многих клиентов,
Ну правильно, ему дали ключ и сказали "зайди, там за дверью лежат мои данные", он зашёл, открыл — а они не того клиента, посмотрел в другой комнате — тоже не того клиента!
Ему дали ключ от одного сервера, он поковырял и вероятно нашёл проблему в другом месте, где у него небыло доступа и другой сервер не во власти его прямого заказчика.
Чуть поразмыслив и покопавшись в данных что ему выдал заказщик программист находит в каком то файле доступ от другого сервера,. Он не только туда заходит, но и лазить по нему, выяснив, что в этой базе лежат данные многих клиентов, отличных от его заказчика.
Это уже небыла территория заказчика и исполнитель это понимал и не отрицает. И что он там лазил тоже.
В последствии программист сообщает третьей фирме, мол как можно зайти на их сервер, использовав файлы клиентов и что на этот сервере все данные клиентов этой третьей фирмы лежат в одном месте, без разграничения.
То есть 2 грубые ошибки производителя.
Если электрик который пришел по вызову, увидел что вашу сигнализацию и замок можно отключить, отключил, прогулялся по дому, сфотографировал документы ваших клиентов лежавшие на письменном столе, затем скинул вам эти фотографии и рассказал какому-то блогеру какой вы лох - это окей?
Ну если он не сразу связался с компанией и конфиденциально сообщил об уязвимости, а сперва распространил сведения об этом - тада да, не надо так делать.
Если верить другим источникам, то ситуация была следующая:
Он связался с компанией и сообщил о том что нашёл. Ему не понравился ответ компании и он передал всю информацию блогерру(причём судя по всему относительно "скандальному" блогерру) чтобы тот всё это опубликовал.
После публикации фирма подала в суд на программиста и на блогерра.
Причём произошло всё это очень быстро, буквально в течении пары недель.
Ну ты же не подашь иск на своего соседа за то, что у него замок в двери неплотно закрывается?
В Германии оштрафуют, если у ты не закрыл дверь авто, например.
"Автомобилисты обязаны защищать транспортное средство от несанкционированного использования, в том числе закрывать окна.
Тому, кто действует небрежно, грозит временная потеря автомобиля. Если ключ от машины остался в замке зажигания, а окна открыты, его можно спокойно угнать. Соответственно, злоумышленники могут использовать транспортное средство для совершения противоправных действий, например ограбления."
https://aussiedlerbote.de/2023/07/kakoj-shtraf-v-germanii-za-otkrytoe-okno-avtomobilya/
Интересно, по этой логике будут ли они штрафовать вульгарно одетых девиц за слишком сильно вызывающий вид?
Не, просто, отца/мужа штрафовать, если ребенок/жена где-то одни были. Вперед в средневековье, полиция нас бережет нашими же усилиями.
Автомобиль - источник повышенной опасности. Оставим за скобкой злоумышленников - они при желании все равно угонят тачку, пусть она и заперта. А вот пьяная шпана, просто проходящая мимо, может воспринять открытую машину как приглашение покататься - и покататься с "кегельбаном" как результат.
Проведите параллель не в сторону полуголых девиц, а в сторону забытого в кафешке огнестрельного оружия. Логика та же.
Обязанность предотвращать использование транспортного средства неуполномоченными лицами закреплена в немецких ПДД (§14.2). Обязанности не одеваться вульгарно в Германии нет.
будут ли они штрафовать вульгарно одетых девиц за слишком сильно вызывающий вид?
Только если злоумышленники используют вульгарно одетую девицу для совершения противоправных действий, например ограбления!
Хранилише банка не закрыто. Вы зашли, сфоткали ничего не взяли. Потом показали ожране фотки с хранилища. Будет ли охрана вызывать полицию ? Немцы в своем репертуаре. Вы не имели права это делать и сделали. Налицо злой умысел :)
Есть пословица "не судись с богатым". Живу в Испании, тут знакомого уволили без объяснения , потом выяснилось что копания не платила пенсионные начисления, решил он судится , 3й год без результата, но адвокату все платит. Думаю там тоже самое будет.
Ну на фоне того, что нашедший уязвимость пошёл не с письмом по официальным контактам, а к техноблогерам и сделал раскрытие и публикацию подробностей уязвимости без одобрения компании - клоун только он.
Его эта фирма и не нанимала. Его нанял клиент этой фирме, что бы тот разобрался в этой помойке. Открыв этот шлак, он без дополнительных средств видит пароль в открытом виде от базы. При проверке оказывается, что пароль не от базы клиента, а от всей базы этой шараги.
Цирк уехал - клоуны остались и трудятся теперь программистами. Нам же не нужны умные, нам нужны взаимозаменяемые и желательно подешевле. Вон из той жопы миры не пойми с каким образованием вполне подойдут, ну и с местных курсов "взлед-посадка" тоже пойдут вполне. И вся цепь управленческая, которая это организовала и наняла - все они большие молодцы.
У него нет обязательств никаких перед этим цирком, он просто увидел неожиданный результат и мог запросить помощи у коллеги. Он мог в целом не осознать, что он видит, т.к. чужую базу нужно еще понять (чисто отмаз, конечно. У него, вроде, давний роман с этим софтом). Он сам не публиковал никакой информации об инциденте, это сделал еще один клоун-блогер, который, кстати, идет паровозом по этому делу.
Тут все феерично и прекрасно, поэтому клоуны все, кроме клиента, наверное. Ущерб для фирмы, безопасности в целом, карьере этого спеца и т.д.
З.Ы. Заявление действительно подала фирма-интегратор этого прекрасного решения, но я не уверен, что их не заставляет это сделать законодательство, что бы снять с себя риски наложения штрафов за сокрытия фактов утечки и т.п.
Я так понимаю, вы сотрудник это компании? Иначе откуда такие подробности на пустом месте, "шлак", "цирк" и прочее? Или лично делали пентест их софта? Потому что если нет, то вы - очередной дятел, раздувающий сплетни.
>У него нет обязательств никаких перед этим цирком
Нет, у него есть обязательство сообщить об уязвимости ТОЛЬКО компании, являющейся владельцем ПО с уязвимостью. Не журнашлюшкам, не в бложике в открытую написать, ни блогерам сливать. Раскрытие любой уязвимости допускается только после её закрытия и только с согласия компании, эту уязвимость допустившую. В противном случае - он виноват в этом сливе, что суд и подтвердил.
>Он мог в целом не осознать, что он видит
Именно поэтому он обязан не раскрывать данные и саму уязвимость. То, что он слил данные блогеру - это прямое вредительство. Не имеет значения, что ему там не понравилось в ответе компании (если он действительно уведомил их об уязвимости).
Вы могли бы быть правы, если бы человека судили бы за слив информации об уязвимости. Но у него другое обвинение - неправомерный доступ.
А так - что-то вы раскидались своими "обязан", "должен". Никому он ничего не обязан. С какой стати? Кто именно его обязывает? NDA именно с этой компанией у него нет. То что ключ не спрятан - это проблема компании, а не человека (что и решил суд в первый раз, кстати - не дураки, наверное).
Что-что? Использование найденной уязвимости для доступа к чужой БД - не является неправомерным доступом? Вы там совсем головой стукнулись?!
Могу только пожелать, чтобы в ваших файлах порылись, а потом ещё и растрезвонили на весь инет о способе зайти и полазить, не дожидаясь вашей реакции на письмо об уязвимости.
Насколько я понимаю оригинал с гугл-транслейтом, это низшая судебная инстанция. Дальше будет апелляция в региональном суде.
Там сказано, что дело направилось в апелляцию, так что это уже вторая инстанция, и не знаю как в Германии, а в РФ после апелляции решение вступает в силу. Но зато есть как минимум две кассации (в Германии не знаю, но скорее всего как минимум одна должна быть), где потенциально могут опять изменить результат.
Если я правильно понимаю, то изначально иск не приняли, и апелляция была относительно этого. В итоге региональный суд постановил, что дело нужно рассмотреть, но рассматривалось оно всё равно в местном суде.
Если я правильно понимаю, то изначально иск не приняли, и апелляция была относительно этого.
Так написано же - "В ходе долгого разбирательства в 2023 году программиста сначала оправдали".
То есть в первой инстанции получили оправдательный приговор. Во второй - обвинительный.
И этот процесс - уголовный, а не гражданский, в нём нет исков, а есть обвинение.
Ждём кассацию...
Давайте всё-таки ориентироваться на немецкий текст, а не на пересказ редакторов Хабра, которые разбираются в судебной системе Германии не лучше нас с вами. Гугл-транслейт переводит его так:
Окружной суд Юлиха первоначально отклонил это решение на том основании, что программное обеспечение не было должным образом защищено. Затем региональный суд Ахена постановил, что Юлих должен согласиться на судебное разбирательство.
Я это понимаю так, что дело просто не было рассмотрено по существу, и после обжалования его всё-таки рассмотрели.
Не факт, что он корректно переводит немецкий юридический, правда...
Вот что понятно, так это "Das Urteil ist noch nicht rechtskräftig. Beide Parteien haben eine Woche Zeit, um Berufung gegen den Strafbeschluss einzulegen." - "Приговор пока не имеет юридической силы. У обеих сторон есть одна неделя, чтобы обжаловать решение о штрафе."
А так чёрт его поймёт, что там было первый раз (у нас тоже возможны варианты, когда решение возвращается в суд первой инстанции), впрочем, это уже не так важно, т.к. сейчас вроде понятно, что дело пошло по первой инстанции, а не по апелляции, как в статье на хабре сказано.
Это была первая инстанция. Amtsgericht. Скорее всего развивалось по типу на программиста подали заяву в суд, было первое слушание, на этом слушании обвинитель говорит, мол мне нечего на сейчас добавить. Фактически выносится оправдательный приговор с возможностью обжалования. В срок обжалования обвинение пишет отписку, мол долго собирали данные и ждали ответов с важных мест и опять в том же суде и даже тот же судья ведут дело дальше. В последствии будет вынесен 2 приговор и апелляция возможна уже во второй инстанции: Landgericht
В прошлом году посчастливилось участвовать в процессе в обоих судах по той схеме, что я написал.
Ты прав. Но тут еще есть один более глубокий смысл. Те кто будут далее с ними работать, будут находится в неких рамках, в рамках недоверия. Простыми словами, программисты найдя уязвимость, просто прогорят ее и дальше будут получать свою зарплату. А на вопрос, вы что не видели уязвимость, программисты скажут - не видели им ничего не будет. Более того, такая модель с такой крысиной компанией самая лучшая.
Штраф конечно копеечный, но такое решение - признак болезни как компании, так и судебной системы.
Штраф - да. Затраты на адвокатов в Германии - нет. Чувак уже попал на сумму в разы, если не порядок больше.
В Германии очень распространена адвокатская страховка, так что скорее всего не попал
Если пойдут по инстанциям выше, то попал. Даже сейчас со страховкой у него выходит 5-6 тыщ евро. И, кстати, эта поганая контора может пойти на подлость и впаять ему еще один иск на компенсацию чего-нибудь...
Адвокатская страховка очень скверно работает с уголовными делами, особенно если есть риск срока. В случае обвинительного приговора он реально может попасть на все бабки, потраченные в ходе процесса.
Как обладатель подобной страховки в прошлом могу сказать, что там обычно лимит на услуги. Если вас обвиняют по мелочи - самое оно, если вы хотите правосудия, вам дом продать придется и потом в бомжи
Ну да, только с арендодателями бодаться из-за плесени/невыплаты залога, ну или если бампер помял кому-то. На более серьезное это не рассчитано.
Как обладатель подобной страховки в настоящем могу сказать что лимиты тут зачастую огромные. У меня например достаточно дешёвая страховка и лимит в 1кк. Но, у меня, например, в тарифе прописано, что если меня в итоге признают виновным по уголовной статье, то данный инцидент страховка не покроет. С другой стороны, услуги адвокатов тут не настолько дорогие, чтобы чувак попал на сумму на порядок большую чем его штраф.
Т.е. страховой компании даже выгодно, чтобы в случае уголовного дела вас признали виновным, ведь тогда им не придется платить. Ну и зачем такая страховка нужна?..
То есть 500 в час при участии в деле очно в суде или при разборе материалов - это дешево? ) Причем Umsatzsteuer еще отдельно, итого 600.
Штраф то небольшой, но вот уголовное дело с пятном в личном деле, такое себе
Право на декомпиляцию должно быть неотъемлемым правом собственника. Также как я имею право знать ингридиенты из которых изготовлены купленные мной продукты, также я имею право знать что конкретно делает софт купленный мной.
Счастлив, что живу в мире где есть альтернатива в виде OpenSource. Надеюсь что ReactOS допилят до юзабельного состояния в обозримом будущем.
Право на декомпиляцию должно быть неотъемлемым правом собственника.
Я так понимаю, Вы не то чтобы много лицензионных соглашений в последнее время читали? Потому что иначе б знали, что собственник теперь один — тот, кто программу создал, а все остальные — временные арендаторы.
Как-то так
Я не против быть арендатором. Но я всё равно хочу знать что арендую.
Обычно аренда стоит очень мало по сравнению с покупкой. И если для покупателя досконально знать покупаемый продукт звучит логично, то для арендатора уже не очень.
Разобрать движок арендованного авто?
Не знал, что ПО арендуется, неприятно конечно. Просто разбирайтесь молча.
Вы сравнили декомпиляцию с физическим разбором предмета? Вы в своем уме?
Вы сравнили декомпиляцию с физическим разбором предмета? Вы в своем уме?
Реально интересно (не прикатываюсь и не тролю), а в чем разница?
И в том и в другом случае вы арендуете черный ящик. И в том и в другом случае вы в него залезли.
В одном случае чёрный ящик остался цел, только перестал быть "чёрным". Во втором случае ящик разобран на составляющие и больше не может быть отдан в аренду кому-нибудь ещё.
ящик разобран на составляющие и больше не может быть отдан в аренду кому-нибудь ещё
А что мешает после разборки собрать его обратно? Он же был разобран, а не разломан.
И кто гарантирует правильность сборки? А что насчёт целостности пломб?
В случае декомпиляции на приложение никак не влияет факт его декомпиляции. И даже если ради корректности аналогии сделать фантастическое допущение о том, что пользователь должен вернуть компании именно тот самый арендованный бинарник, который он запускает (не копию, не скачанный файл, а именно само сочетание байт, включая физический носитель, на котором оно находится) - то даже в этом случае декомпиляция никак его затрагивает. Она создаёт набор исходного кода, с той или иной степенью точности воспроизведённого, там, где захотел этого пользователь.
Ну как бы при декомпиляции "чёрный ящик" остаётся абсолютно цел и работоспособен и нисколько не теряет своих потребительских свойств, а при разборке физического "чёрного ящика" - всё наоборот.
Знаете, очень странно писать столь очевидные вещи ...
а при разборке физического "чёрного ящика" - всё наоборот.
Пример черного ящика - системный блок. Вы хотите сказать, что если я его разберу, изучу и соберу обратно – он потеряет потребительские свойства?
Да. Особенно если это фирменная сборка.
потребительские свойства - это не только ФПС в играх, но и внешний и внутренний вид, надёжность, доверие и т.п.
Потенциально - да, потеряет.
Изготовитель гарнтирует работоспособность этого системного блока, потому что его сборкой занимался обученный спецалист, за экспертизу которого изготовитель отвечает. За ваши же навыки сборки системного блока изготовитель в общем случае отвечать не может. Так что да, его потребительские свойства после вашего вмешательства под вопросом.
Системный блок недостаточно сложен, чтобы быть хорошим примером. Лучше возьмём автомобиль. Если вы разберёте двигатель, изучите, а потом соберёте обратно, не обладая всеми знаниями для этого необходимыми - не факт, что оно вообще поеедет.
я всё равно хочу знать что арендую.
Не проблема, доплатите 100500 евро в кассу. Знания — они не бесплатные!
(Если что — это не я так считаю, это компании так считают.)
А вот интересно, ведь программа — это ведь просто файл который хранится на моем ПК. То есть я не могу его прочитать? Ведь декомпиляция — это по сути просто чтение файла и далее "разбор прочитанного". Вот если я бинарник в блокноте открою и среди кракозябр увижу пароль в открытом виде — это уже декомпиляция или ещё нет?
Вот такие же размышления были по этому поводу, но решает обычно суд уже с правильной подачи фактов адвокатом, а при неправильной подаче есть еще обычно апелляция (при условии уверенности доказуемости правоты).
То есть я не могу его прочитать?
Я Вам больше скажу — вы даже не можете хранить и распространять некоторые числа. Вот в такой, &$@, малята, системе мы все живём. (налил и немедленно выпил)
Вот только это противоречит законодательству большинства стран, так что все эти "бессрочные аренды" - пустые слова
Так оно есть, это право, тут даже собственником быть не надо. А соглашения нужны чтобы зад прикрывать. Антивирусы с эвристикой занимаются декомпиляцией без всяких прав. Код такая штука, что ты с ним ни делай, на нём это никак не отразится.
Право на декомпиляцию должно быть неотъемлемым правом собственника
Нет, нет такого императива.
Автор программы имеет право выставлять любые условия ее использования. Покупатель имеет право выставлять свои условия.
"Согласие есть продукт при полном непротивлении сторон.".
Оазываясь от принципа "права неотъемлимости декомпиляции", Вы не только насильственно ограничиваете автора в распоряжении его творением, но и не даете другим покупателям получить продукт на интересных им условиях.
Автор программы имеет право выставлять любые условия ее использования.
Не противоречащие законодательству.
Законодательство не оговаривает никаких ограничений для авторов выставляющих свой продукт на продажу.
ну так речь идет о правке законодательства с целью возможности декомпиляции любому.
Именно. С целью дать возможность декомпиляции любому, а не с целью запретить автору выставлять условием использования запрет декомпиляции. Разница огромная, на что мы и указали чуть выше.
Так первое сделает второе ничтожным, разве нет?
Ничтожным не сделает, лишь лишит автора права на защиту в суде конкретной страны в отношении этой части договора.
Главное - что автор на законных основаниях сможет включить такое требование в договор (в отличии от ситуации если бы ему запретили такое требовать). Что позволит оспаривать конституционность закона когда договор будет нарушен. Что позволит автору продавать софт в другие страны, где таких законов нет. Что позволит автору предъявлять претензии в других странах, где таких законов нет. Что позволит автору уменьшить количество декомпилильщиков, т.к. часть людей будет смотреть не только на то, что позволяет закон, но и на то, что они пообещали автору заключая договор.
И еще некоторое количество нюансов, о которых мы наверняка и не подозреваем. В общем разница есть.
Просто оставлю, для напоминания: ГК РФ Статья 1280. Право пользователя программы для ЭВМ и базы данных, пп. 2,3.
Там написано "лицо владеющее".
А вендоры, ведь, в своих лицензиях декларируют, что мы не владеем, а только пользуемся.
Пользуемся мы интеллектуальной собственностью в виде кода программы, а владеем её экземпляром, то есть дистрибутивным диском. Что подтверждается, в частности, кассовым чеком из магазина, в котором не написано ни о каком праве пользования.
Тут масса нюансов.
а владеем её экземпляром, то есть дистрибутивным диском.
И много в Steam дистрибутивных дисков?..
Ну это проблемы стима, не так ли?
Именно поэтому юридические лица очень не любят покупать софт в онлайне. Нет конкретной материальной формы – нет предмета для обсуждения.
В онлайне не покупать - для бизнеса логично. Но с учётом того, что основной канал дистрибуции софта для бизнеса - лицензионный договор, а не "коробки", то диск не является обязательным атрибутом лицензии и т.о. разница со стимом - в документальном оформлении (а точнее, в наличии закрывающих документов). И это мы еще модный SaaS не рассматриваем (который в общем-то услуга, а не лицензия - и в чистом виде аренда как раз).
Так что нет, владеем мы по лицензионному договору лишь разрешением попользоваться объектом интеллектуальной собственности. Это даже не аренда его, это "разрешение покататься воон на той штуке".
Это разрешение требует "привязки". И может быть "именным", то есть привязанным к лицу (Лицензиату) - то, что на практике называют дистрибуцией по лицензионному договору. Или "неименным" - привязанным к экземпляру программы на материальном носителе (например, диске, или флешке) - то, что в на практике в дистрибуции называют "коробкой".
Диск, безусловно, не является обязательным атрибутом лицензии. Однако представляет собой материальный носитель экземпляра программы, имеющий самостоятельную ценность в самых разных отношениях. Например, чтобы не возникало вопросов о владении конкретной физической последовательностью байтов, или расхождений в показаниях относительно содержимого переданного кода.
Например, распространяя продукт в онлайне, в данном деле фирма могла бы утверждать, что в её коде никогда и не был зашит пароль. И – опа – в версии на сайте на день судебного разбирательства его бы и не было.
Например, чтобы не возникало вопросов о владении конкретной физической последовательностью байтов, или расхождений в показаниях относительно содержимого переданного кода.
Это отдельная интересная тема. В разных конкретных целях решаемая по-разному - от просто контрольных сумм до носителя, системы контроля целостности и формуляра, в котором зафиксированы в т.ч. контрольные суммы того, что лежит на носителе. И такой носитель идёт отдельной позицией в прайсе, не давая сам по себе право на использование программы. Да, случаи реально бывают всякие, и ниша у таких подходов есть.
Смысл моего замечания в том, что даже бизнес далеко не всегда получает носитель с программой, даже если он получает её не через SaaS, а по лицезионному договору. Да, лет 20 назад это было фактически непременным атрибутом даже при лицензионном договоре, но сейчас уже не так распространено.
В подавляющем большинстве случаев диск является только носителем некой версии софта, а сама лицензия или права на использование регламентируется соглашением и отдельным файлом лицензии или ключом, который надо вводить при установке/запуске.
Я этого никоим образом не отрицаю.
В подавляющем большинстве случаев диск является только носителем некой версии софта
В значительном числе случаев носитель вообще отсутствует. Основанием для использования является лицензия (в качестве ТСЗАП может использоваться лицензионный ключ - это распространённая практика, но надо помнить, что с т.з. закона лицензия - это не ключ, а именно договор), дистрибутив скачивается с сайта вендора, физлицу этого достаточно, юрлицу дополнительно вручаются положенные по закону закрывающие документы (чтобы он правильно отразил это в своём бухучёте и заплатил налоги).
Носитель в значительном числе случаев, где он есть - традиция, не более того. Реально он нужен в небольшом числе специфических случаев - если речь идёт о сертифицированном ПО в основном.
Причём здесь вообще использование? Некто, допустим, хочет владеть дистрибутивом, а не просто использовать код. Именно затем, чтобы не возникали вопросы о бэкапах, целостности и прочей фигне.
Дистрибутив и лицензия – это две разные товарные позиции. И если кто-то купил только лицензию и не купил дистрибутив, то это, разумеется, его право, но не надо обобщать его ситуацию на остальных.
Это примерно такая же тема, как оформление договора в письменном виде. По закону не обязательно, но крайне желательно для человека, думающего о правовых последствиях своих действий.
Причём здесь вообще использование?
Потому что лицензия, лицензионный договор, EULA и пр - это разрешение на использование. Без оного действует запрет на использование (за исключением оговорок в законе).
Второй момент - законодательное определение "использования" программы для ЭВМ несколько отличается от привычного ИТшного - например, скачивание этой программы, или копирование с DVD на встроенный накопитель - уже является использованием, хотя её еще даже не установили. И "запуск инсталлятора - прерывание установки" - тоже использование. И "владеть дистрибутивом" тоже нельзя, это программа для ЭВМ - владеть можно носителем, на который записан дистрибутив, а вот на дистрибутив уже нужна лицензия.
Дистрибутив и лицензия – это две разные товарные позиции.
Да, вот только:
а) Лицензия - это обязательная позиция, без неё нельзя.
б) Дистрибутивный носитель - вендор законодательно не обязан не только предлагать, но и продавать, даже по требованию. Вот вам лицензия, качать оттуда, на этом всё.
Это примерно такая же тема, как оформление договора в письменном виде.
Не очень удачная аналогия. Договор тут есть, в письменном виде причём. Только это лицензионный договор. Заключать иные договоры (на куплю-продажу носителя, например) не обязана ни одна из сторон лицензионного договора. Лицензиар/Вендор имеет право, но не обязанность, давать носитель, хоть бесплатно в рамках лицензионного договора, хоть за деньги отдельным договором купли-продажи.
Я понимаю ваш подход на тему "хочу носитель", но доля продаж "с носителем" от общего числа продаж (даже без учёта SaaS) даже для бизнес-клиентов - имеет тенденцию к уменьшению, хотя еще лет 20 назад для "серьёзных продуктов" наличие диска даже было обязательным признаком лицензионности продукта.
например, скачивание этой программы, или копирование с DVD на встроенный накопитель - уже является использованием, хотя её еще даже не установили
Я бы был готов оспорить это в суде.
Дистрибутивный носитель - вендор законодательно не обязан не только предлагать, но и продавать, даже по требованию.
Не обязан. А пользователь не обязан покупать его продукт.
Я понимаю ваш подход на тему "хочу носитель", но доля продаж "с носителем" от общего числа продаж (даже без учёта SaaS) даже для бизнес-клиентов - имеет тенденцию к уменьшению
Как известно, количество ума вообще – величина постоянная, а население растёт. Мы что обсуждаем – как вести себя осмотрительно, или как модно среди хомячков?
Это примерно такая же тема, как оформление договора в письменном виде.
Не очень удачная аналогия.
По-моему, аналогия вполне удачна. Она показывает, что требования разумной осмотрительности, диктуемой практикой правоприменения, отличается от того, что вообще позволено законом. Закон вам позволяет заключать договоры в устной форме, скачивать программы без материального носителя, доверять свои деньги на хранение незнакомым лицам и делать ещё множество подобных вещей. Но на то человеку и дан разум, чтобы не пользоваться этими опциями в серьёзных делах.
Я бы был готов оспорить это в суде.
Увы вам.Если определение дано в законе, то в споре или деле оно будет иметь бОльшую силу чем любые ваши соображение о практической жизни.
Правда, сейчас в ГК РФ внесены изменения, разрешающие по крайней мере технологические операции, хоть формально и являющиеся использованием. А лет 10 назад неадекватность закона, ориентированного на дисковую дистрибуцию медиапродукции, компенсировалась лишь невозможностью тотального контроля за его исполнением.
Не обязан. А пользователь не обязан покупать его продукт.
Пользователь вообще бодро берёт SaaS на условиях вендора, что уж там про лицензию-то говорить, которая ему вообще непонятна - т.к. она не покупка и не аренда, а "право покататься на свой страх и риск".
Мы что обсуждаем – как вести себя осмотрительно, или как модно среди хомячков?
Если бы хомячки, то ладно. Речь идёт о бизнесе. У него отличие от хомячков - в закрывающих документах. Остальное в общем-то движется в ту ж сторону. Продукты с носителями как правило есть для тех линеек продуктов, что существовали и 10-20 лет назад, а вот для тех, что поновее - уже не факт. Раньше вообще много что было нормой, например, лицензионные сертификаты. А сейчас - договор, закрывающие документы (акт, счёт-фактура, или УПД) - и всё, достаточно.
А выбирая между продуктом, для которого есть носитель, и у которого нет, но зато стоит дешевле - не только лишь все, мало кто выберет тот, что дороже, только лишь ради носителя.
Исключения есть. Например, в РФ для сертифицированных продуктов носитель будет обязательным, как раз по тем причинам, о которых вы говорите. Так что если заказчик сочетанием закона и собственных действий/бездействий не сумел избежать необходимости использования именно сертифицированных редакций продукта, или паче того - аттестации, то да - он по-любому купит и сертифицированный продукт, и носитель к нему, с формуляром, и будет это хранить в надёжном сейфе на случай проверок.
По-моему, аналогия вполне удачна. Она показывает, что требования разумной осмотрительности, диктуемой практикой правоприменения,
Практика правоприменения таймстапмы-то в логах принимает, хотя если логи в процессе записи не были защищены от модификации электронной подписью или её аналогом + системой использован доверенный источник времени - то подделать в них можно что угодно... А вы тут о каком-то носителе ;)
А в законе так и написано:
1. Лицо, правомерно владеющее экземпляром программы для ЭВМ или экземпляром базы данных (пользователь), вправе без разрешения автора или иного правообладателя и без выплаты дополнительного вознаграждения:
...
2) изготовить копию программы для ЭВМ или базы данных при условии, что эта копия предназначена только для архивных целей
...
Обратите внимание, что тут идёт речь о владении экземпляром программы, а никак не об использовании программы, регулируемом лицензионным договором.
Вы ссылаетесь на ст.1280 ГК РФ, а я на ст.1270 ГК РФ сошлюсь:
Автору произведения или иному правообладателю принадлежит исключительное право использовать произведение в соответствии со статьей 1229 настоящего Кодекса в любой форме и любым не противоречащим закону способом...
Использованием произведения независимо от того, совершаются ли соответствующие действия в целях извлечения прибыли или без такой цели, считается, в частности:
...
1) воспроизведение произведения, то есть изготовление одного и более экземпляра произведения или его части в любой материальной форме, в том числе в форме звуко- или видеозаписи, изготовление в трех измерениях одного и более экземпляра двухмерного произведения и в двух измерениях одного и более экземпляра трехмерного произведения. При этом запись произведения на электронном носителе, в том числе запись в память ЭВМ, также считается воспроизведением.
...
2) распространение произведения путем продажи или иного отчуждения его оригинала или экземпляров;
Обратите внимание, что тут идёт речь о владении экземпляром программы, а никак не об использовании программы, регулируемом лицензионным договором.
Вот только носитель для этого не нужен, любая копия программы для ЭВМ, даже частичная, будет экземпляром программы для ЭВМ с т.з. закона. Экземпляр у вас возникнет даже при скачивании с сайта, см. пп.1 п.2 ст.1270 ГК РФ.
Но если вы законно приобрели именно носитель с программой ("коробочная" схема дистрибуции), то есть еще п.5 ст.1286 ГК РФ: Лицензионный договор, заключаемый в упрощенном порядке, является договором присоединения, условия которого, в частности, могут быть изложены на приобретаемом экземпляре программы для ЭВМ или базы данных либо на упаковке такого экземпляра, а также в электронном виде (пункт 2 статьи 434). Начало использования программы для ЭВМ или базы данных пользователем, как оно определяется указанными условиями, означает его согласие на заключение договора. В этом случае письменная форма договора считается соблюденной.
Использование, напоминаю, не то, которое в отраслевом смысле, а которое в законном - сделали копию с носителя - значит, начали использованием программы (если правообладатель предусмотрительно указал на "любое использование" программы, а не конкретные действия), значит, согласились с приложенным к ней лицензионным договором (договор не обязательно должен подписываться сторонами, он может быть и в форме договора присоединения, а начав использование - вы совершили конклюдентные действия).
Ну если создание копии с диска не предусмотрел правообладатель - ну ок, запуск наверняка предусмотрел... Да и что толку с копии, если программу не запускать?
P.s. И да, в ГК РФ действительно есть проблема - когда 15 лет назад писали 4-ю часть, об электронной дистрибуции законодатели не думали, это создаёт определённые трудности, но в актуальной редакции хотя бы работает. Впрочем, по лицензионному договору давать носитель было необязательно и 15 лет назад, проблема касалась именно электронной дистрибуции с договором присоединения. То есть практически всего опенсорса в первую очередь.
Я совершенно не согласен с тем, что, копируя блоки данных принадлежащего мне на законных основаниях носителя информации, использую находящееся на нём произведение. Ниоткуда в законе это не следует. Существует принципиальная разница между контейнером и его содержимым.
Да и по сложившейся практике, например, обычный оффлайновый магазин компьютерной всячины ведь не является лицензиатом и не заключает сублицензионные договоры, торгуя дисками или флешками с софтом. Он просто перепродаёт дистрибутивы.
А если на то пошло, то и интернет-провайдер не занимается сублицензированием, прокачивая дистрибутивы через своё оборудование (а заодно и воспроизводя и сохраняя их в СОРМе).
Я совершенно не согласен с тем, что, копируя блоки данных принадлежащего мне на законных основаниях носителя информации, использую находящееся на нём произведение. Ниоткуда в законе это не следует.
п.2 ст.1280 ГК РФ:
Использованием произведения независимо от того, совершаются ли соответствующие действия в целях извлечения прибыли или без такой цели, считается, в частности ... воспроизведение произведения, то есть изготовление одного и более экземпляра произведения или его части в любой материальной форме, ... При этом запись произведения на электронном носителе, в том числе запись в память ЭВМ, также считается воспроизведением.
Вот прямо в законе и сказано.
Существует принципиальная разница между контейнером и его содержимым.
Есть. И это другая очень интересная проблема в российском праве, в других надо смотреть, сходу не готов сказать.
Да и по сложившейся практике, например, обычный оффлайновый магазин компьютерной всячины ведь не является лицензиатом и не заключает сублицензионные договоры, торгуя дисками или флешками с софтом. Он просто перепродаёт дистрибутивы.
Практика тут не причём, тут дело в ст.1272 ГК РФ ("Если оригинал или экземпляры произведения правомерно введены в гражданский оборот на территории Российской Федерации путем их продажи или иного отчуждения, дальнейшее распространение оригинала или экземпляров произведения допускается без согласия правообладателя и без выплаты ему вознаграждения") и ст.1286 ГК РФ (" Лицензионный договор, заключаемый в упрощенном порядке, является договором присоединения, условия которого, в частности, могут быть изложены на приобретаемом экземпляре программы для ЭВМ или базы данных либо на упаковке такого экземпляра, а также в электронном виде (пункт 2 статьи 434). Начало использования программы для ЭВМ или базы данных пользователем, как оно определяется указанными условиями, означает его согласие на заключение договора. В этом случае письменная форма договора считается соблюденной.").
Вот за счёт этого "коробочная" дистрибуция и работает. Т.е. за счёт того, что лицензия привязана к носителю, носитель отчуждается, вместе с ним отчуждается и лицензия. Новый владелец коробки заключает с правообладателем лицензионный договор в форме договора присоединения путём совершения конклюдентных действий.
Но есть и другой способ - заключать именной (двусторонний) лицензионный договор, в этом случае привязки права использования к обладанию экземпляром нет, носитель может быть предоставлен, а может и не предоставлен, экземпляр у лицензиата может возникнуть любым не противоречащим закону и договору способом.
А если на то пошло, то и интернет-провайдер не занимается сублицензированием, прокачивая дистрибутивы через своё оборудование (а заодно и воспроизводя и сохраняя их в СОРМе).
А вот это та самая интересная проблема, что я обозначал выше. Потому что есть информация, а есть интеллектуальная собственность, и это разные вещи, хотя программы для ЭВМ и представимы в форме информации.
Есть закон 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации". Где прямо сказано, что "Положения настоящего Федерального закона не распространяются на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации".
Т.е. информация отдельно, интеллектуальная собственность - отдельно. И важно понимать, с какой ипостасью этой свалки байтов мы сейчас работает - как с информацией (и тогда работает одна отрасль права), или как с программой для ЭВМ (и тогда работает другая отрасль права), не смешивать.
Но есть правообладатели, которым лень и дорого гоняться за нарушениями своих прав, лучше переложить это работу на кого-то другого, и есть правоохранители, для которых применять "компьютерные" статьи УК РФ гораздо удобнее, чем статьи о нарушении авторского права (для последней надо доказывать ущерб, а для "компьютерных" статей - ущерб не нужен, да и в минимальном варианте компьютерная статья более тяжкая, чем в минимальном варианте статья о наркотиках, т.е. даёт больше палок отчётности). Так появляется практика дел о применении "компьютерных" статей УК РФ, которые - вообще-то - про информацию, к нарушениями авторский прав, к которым они применяться не должны.
Правда, ни одно дело не было рассмотрено ВС РФ, а подавляющее большинство построено на признательных показаниях обвиянемых, т.к. суд в этом случае вообще не проверял правомерность такого натягивания информационой совы на глобус интеллектуальной собственности.
А потом в 149-ФЗ вносятся те самые "поправки об интернет-цензуре", которые на тот момент "всего лишь" о защите детей от информации (ну не только, а практика блокировок по требованию прокуратуры существовала и до этих поправок, только в небольшом объёме и вне провайдеров о ней мало кто слышал - по сути, эти поправки легализовали сложившуюся практику плюс расширили её на "детей от информации").
Но проходит немного времени (помним, объекты ИС представимы в виде информации), и идея натянуть сову на глобус доходит и сюда - принимают еще поправки в 149-ФЗ, на этот раз для "защиты интеллектуальной собственности". В 149-ФЗ появляются отсутствующие ранее оговорки в духе "за исключением случаев, предусмотренных настоящим Федеральным законом", а в ГК РФ добавляется ст.1253.1. Особенности ответственности информационного посредника.
Т.о. на данный момент тут многоступенчатая структура:
провайдер передают информацию, а не объекты ИС, к нему неприменимо законодательство об ИС
но всё-таки потенциально применимо в части, позволяющей привлекать его к ответственности за нарушения интеллектуальных прав (в гражданском праве нет презумпции невиновности).
поэтому явно определено, что при выполнении определённых условий провайдер ответственности не несёт.
С одной стороны,
("Если оригинал или экземпляры произведения правомерно введены в гражданский оборот на территории Российской Федерации путем их продажи или иного отчуждения, дальнейшее распространение оригинала или экземпляров произведения допускается без согласия правообладателя и без выплаты ему вознаграждения")
Экземпляр может быть как вы выше писали и без носителя дистрибутива
воспроизведение произведения, то есть изготовление одного и более экземпляра произведения или его части в любой материальной форме, ... При этом запись произведения на электронном носителе, в том числе запись в память ЭВМ, также считается воспроизведением.
И значит привязка к носителю нам не важна, можно спокойно продавать свое право на воспроизведение, даже если был заключен именной договор.
Экземпляр может быть как вы выше писали и без носителя дистрибутива
Может. Но надо читать полностью, а не только "ключевые слова" - там есть оговорочка: "правомерно введённый в гражданский оборот путём продажи или иного отчуждения".
Экземпляр по лицензионному договору, скачанный с сайта, не отчуждался, а имеет место воспроизведение, а потому ст.1272 ГК РФ к нему не применима. Но правомерное обладание полученным экземпляром - имеет место и к нему применимы положения ст.1280 ГК РФ.
И значит привязка к носителю нам не важна, можно спокойно продавать свое право на воспроизведение, даже если был заключен именной договор.
Нет, нельзя, кроме как если в лицензионном договоре не предоставлено право сублицензирования (ну или если это GPL, где право на распространение работает не через механизмы авторского права), а по дефолту оно не предоставлено.
законодатели не думали
"— Шеф, но я не думаю...
(перебивая) — Вот этим я от вас и отличаюсь!!!
(с) какая-то из серий Bonkers.
"— Шеф, но я не думаю...(перебивая) — Вот этим я от вас и отличаюсь!!!
Я даже больше скажу - от первоначальной редакции 4-й части ГК РФ создавалось устойчивое впечатление, что её писали лоббисты от медиабизнеса, мнением ИТ отрасли вообще особо не интересовались, просто перенесли положения старого закона в новых формулировках.
То, что сейчас хотя бы часть опенсорсных лицензий в российском праве работает - заслуга изменений в ГК, инициированных при Медведеве. Часть - потому что GPL по-прежнему работает только при лицензиаре-иностранце.
А всё потому, что Медведев понимал в фотографии, и проблему той же Creative Commons до него донесли, а ИТ-отрасль опять оказалась слегка сбоку со своими специфическими проблемами, но на этот раз кажется потому, что отрасль не отличается в юридическом плане проактивностью: как-то де-факто работает - ну и ладно... А потом ИТ-общественность будоражится от судебных решений подобным описанным в обсуждаемой хабрастатье.
Мало того, в лицензии обычно оговаривается что купивший её имеет право на скачивание обновлений ПО в течении какого-то периода или версии (например купив 3.0 вплоть до 4.0, но не включая её или в течении года-... после покупки например), я встречал и "пожизненные" лицензии - покупаешь софтину и отныне все её обновления можешь качать и использовать легально. Но последнее крайне редко встречается.
Кто мешает перед инициализацией дела скачать с сайта в присутствии понятых, нотариуса и кого-нибудь еще, после чего скачанный вариант "сбрасывается" на материальный носитель и тот опечатывается до рассмотрения в экспертизе или суде? Или это так не работает?
Ведь сейчас скриншоты вполне нотариусом заверяются же....
А сколько копий было сломано пока добивались разрешения делать хотя бы одну резервную копию ПО.... (я про неименные). Кстати кто если еще не понимает - разъясню - те %, которые отчисляются с цены каждого носителя (тот самый "налог на болванки") именно под это дело подведены - т.е. право делать резервные копии дистрибов легально купленного ПО на случай порчи оригинала
1) А как же условия лицензии? (в статье не слова)
2) Раз у нас ассоциация с продуктами состав колы пишут на банке лет ~15, а кола все еще одна, что есть вода и сахар АКА логин и пароль всем известно, но сами значения(пропорции) секрет.
3) Наказывать за наведенную и указанную уязвимость полнейший бред если не доказали злоупотребление её(опять же в статье не слова). И даже не важно наемный или нет сотрудник. За такую информацию наоборот платить должны
4) 5 параграфов с 3-х летнего дела с апелляциями? не ввиду ли лимита на токены?
Тут проблема в том, что часто в EULA пишут о временной передаче прав на платной основе, аренде и прочие хитріе акробатические трюки, чтобы избежать такого события, как "передача права собственности", в каком-либо виде. И что с этим делать, вот совсем непонятно, увы.
Сколько уже пилят, лет 20? Надеяться на react это как верить в то что доллар рухнет, а рубль вырастет.
К тому времени в лицензионные соглашения ПО начнут добавлять пункт: нельзя запускать на ReactOS и Wine.
Чем вас Linux не устраивает?
Я не буду в деталях расписывать, чтобы холивар не разводить. В целом мне нравится Linux.
Примерно 5 лет у меня на машине жил Linux с VGA Passthrough и на виртуальной машине жила винда для всяких нужд. Домашний сервер на линуксе был. Родитлеям комп на линуксе собрал.
Примерно год назад я снес везде линуксы и поставил десятку. В том числе на сервере.
Вздохнул свободней. В целом, всё работало, всё решалось. Но винда требует в 10 раз меньше внимания к себе, и вопросы возникающие решаются на ней проще не только с точки зрения пользователя, но и сточки зрения админа(которым я невольно был эти 5 лет)
Тем что это хрень неюзабельная для абсолютного большинства, которым вообще не уперлось изучать всякие "sudo", должна система работать как тостер.
Вы, видимо, им не пользовались. Я на Manjaro Linux просто захожу в удаление/установку программ и скачиваю весь нужный софт (по типу как вы качаете софт в телефоне). Никаких хождений по интернету, скачиваний exe-шников, выбор путей куда установить, с какими параметрами и т.п. Вы думаете второй вариант проще и удобней большинству?
Попробуйте найти там актуальную версию хотя бы докера...
Ага, а свежая-то 25я. Ну и snap - хрень, там постоянно какие-то проблемы.
25-я версия вышла четыре дня назад всего, пускай хотя бы недельку или две потестируют. А зачем человек ставит snap, когда рядом есть (даже на скриншоте видно) 24.0.7 из обычного репозитория я не знаю.
25-я версия вышла четыре дня назад всего, пускай хотя бы недельку или две потестируют.
Так если она вышла - значит, уже потестировали.
А зачем человек ставит snap, когда рядом есть (даже на скриншоте видно)
Что-то не заметил что это из обычного, видимо я додумал того чего не было.
А не подскажите в каком это обычном репозитории свежая версия лежит?
Так если она вышла - значит, уже потестировали.
Не в составе конкретного дистрибутива и не будучи упакованной по правилам этого дистрибутива.
Что-то не заметил что это из обычного. А не подскажите в каком это обычном репозитории свежая версия лежит?
Стандартный репозиторий Manjaro, который включен по умолчанию сразу после установки ОС. Если интересно, можете в веб-интерфейсе посмотреть, какие пакеты каких версий там есть: https://packages.manjaro.org/
должна система работать как тостер
И давно винда работает как тостер?))))
Вирусописатели аплодируют Вам стоя.
Право на декомпиляцию должно быть неотъемлемым правом собственника
"Купив" программу, вы становитесь не собственником, а лицензиатом. Собственником остаётся лицензиар.
имею право знать что конкретно делает софт купленный мной
С учётом того, что в большинстве случаев у вас на руках будет толстый или даже тонкий клиент - толку от этих знаний не очень много. Покупка лицензии на Outlook не даёт вам права изучать потроха MS Exchange стороннего юрлица
"Купив" программу, вы становитесь не собственником, а лицензиатом. Собственником остаётся лицензиар.
Лицензиатом вы становитесь в отношении интеллектуальной собственности автора на алгоритм программы, выраженный в её коде. Но по отношению к записанным на вашем диске байтам вы являетесь собственником, и можете делать с ними что угодно. Хоть декомпилировать, хоть тестировать на этих байтах архиватор, хоть затирать ими пустое место на дисках. По логике.
Но по отношению к записанным на вашем диске байтам вы являетесь собственником, и можете делать с ними что угодно. Хоть декомпилировать, хоть тестировать на этих байтах архиватор, хоть затирать ими пустое место на дисках. По логике.
Можете, но до тех пор, пока не соберётесь переиспользовать результаты ваших манипуляций. Точно так же, как не можете снять фильм по вашей копии книги без отдельного на то разрешения автора, вы не можете использовать полученные сведения о внутренней логике работы программы. А речь идёт именно об использовании результатов анализа (хоть и примитивного) кода для последующего проникновения в БД.
С этим соглашусь.
Я только к тому, что само обвинение в декомпиляции чудовищно.
А лезть в чужую базу, от которой случайно стал известен пароль, вообще не рекомендуется. Это как найти ключ от чужой квартиры и проникнуть в неё, чтобы убедиться, что ключ работает. А там в этот момент хозяйка с любовником втайне от мужа, ну и понеслось немецкое порно.
Ну наконец-то! Проблема не в самом факте декомпиляции и анализе, а в том, как результаты были использованы! Карать за декомпиляцию - это такое законодательное упрощение, чтобы не разбираться, как распорядились результатами. Как и наказание за ношение оружия без разрешения, и суд не волнует, что ты, может быть, курьер.
На минутку, запрет носить оружие без разрешения - вполне логично. Потому что компании, которые занимаются доставкой оружия, должны обеспечивать безопасность такой транспортировки, а не просто "бросить заряженный ствол в портфель и гулять по улице".
Но если "бросить заряженный ствол в портфель и гулять по улице" не привело вообще ни к каким заметным последствиям, то в чём смысл запрета?
Т.е. если "а вдруг чего случится" это достаточный аргумант для запрета, то запрет декомпиляции ровно так-же обоснован, как и запрет транспортировки оружия без разрешения, или запрет оставлять автомобиль открытым и без присмотра.
Но если "бросить заряженный ствол в портфель и гулять по улице" не привело вообще ни к каким заметным последствиям, то в чём смысл запрета?
Потому что оно МОГЛО привести к последствиям. Случайному выстрелу, воровству ствола карманником, получению доступа к оружию несовершеннолетними итд. Оружие - предмет повышенной опасности, именно потому нужно разрешение, обучение, и контроль.
Декомпиляция не приведёт к расстрелу случайных людей пачками.
Но ведь декомпиляция тоже МОЖЕТ привести к последствиям. И эти последствия могут быть почти так-же болезнены, как и "расстрел случайных людей пачками". А может и не привести. Так-же, как и ношение ствола.
Ну и, к тому-же, наличие одного единственного патрона уже делает "ствол" заряженным, но ни как не может привести к растрелу людей пачками. :)
И один и другой запрет примерно одинаково логичны. В идеале запретов должно быть как можно меньше, а наказание должно быть за действие приведшие к ущербу, а не за действия сами по себе.
Контора пи... ну вы поняли.
Европа, как никак...
rambler... nginx...
Можете пояснить связь?
https://habr.com/en/articles/480510/
Дальше гуглится
Следующий кто найдет дырку в ПО этой компании по-умному в лучшем случае промолчит, в худшем продаст информацию.
Кроме того, сам факт наличия пароля, даже плохо защищённого, уже свидетельствует о наличии защиты
Охренеть прокуратура выдала. Интересно, а их устроит если в банке, в котором они деньги хранят, тоже была защита по такому принципу построена...
Вина банка не снимает вины с вора
И кто в данной истории вор? Чувак как только понял куда попал сразу же отключился и сообщил компании.
Перевели гугл транслейтом новость, получается что претензии немного другие и две основные сводятся к следующему.
1) Декомпиляция программы, после которой он и увидел пароль в открытом виде.
2) Использование этого пароля для доступа к данным к которым он не должен был иметь доступ.
Чувак как только понял куда попал сразу же отключился и сообщил компании.
Видимо поэтому и наказание только крошечный штраф, а не срок. Грубо говоря логика такая - он порылся в чужих карманах (декомпиляция) и нашел там ключ (пароль в открытом виде). Прикинул адрес (предположил какая БД установлена) и зашел с помощью ключа в квартиру (подключился с помощью пароля к этой БД), увидел там кучу приватных данных (по сути получил их).
Security through obscurity по сути security и не является. Этот пароль скорей всего в голом виде лежал в бинарнике, так что никакой иды не нужно было. С таким же успехом его можно было в текстовом файле рядом положить.
Security through obscurity по сути security и не является.
Так никто другое и не утверждает.
его можно было в текстовом файле рядом положить.
Разумеется. Речь не о том насколько качественно там обеспечена безопасность, а о том что если программер видит пароль к базе, то совершенно не обязательно из этого следует, что он имеет право туда ломиться и смотреть че там как.
А как тогда вайтхэтствовать то? Если все законопослушные товарищи в таких случаях не будут проверять наличие уязвимости от греха подальше, то НЕ законопослушным то ничто не помешает. Т.о. все такие уязвимости останутся открытыми ровно до тех пор, пока не произойдёт реальное и полноценное воровство данных. Какая-то хреновая логика, не находите?
Авторское право - важнее каких то там интересов личностей которые сами себя хакерами называют.
И если идти на поводу у этих самозваных хакеров то дойдет до того что: Посетители столовой с ужасом находят, что, чтобы насыпать соли, они должны подойти к официанту, предьявить паспорт, получить специальный 8-значный одноразовый код к солонке. Для получения перца процедуру следует повторить.
Хмм... То-то я видел в одной столовке одноразовые упаковки с солью и перцем... А оно вот оно что - это альтернативное решение вопроса безопасности солонки и перечницы путём отказа от обеих...
Нет, это не решение (и кажется в том тексте это было). По прежнему можно запаковать стрихнин и разложить среди пакетов с солью свои. Так что только идентификация пользователя (чтобы знать, кто мог поменять) и разовый пароль (чтобы не получали доступ без идентификации)
Нет, это не решение (и кажется в том тексте это было). По прежнему можно запаковать стрихнин и разложить среди пакетов с солью свои
А их не раскладывают по столам, их приносят вместе с заказом. Или берут на выдаче (если в режиме столовки, а не кафе).
Проблема будет, если со столов забирать обратно неиспользованные упаковки - нужно будет клеить хитрые голограммы для защиты от подделок. Но проще просто вписать выданные пакетики в стоимость заказа не пытаться их применить повторно. Так что разовым становится сам пакет с солью, а не доступ к хранилищу соли.
>А как тогда вайтхэтствовать то?
Увидел пароль к базе - сообщил компании-разработчику официально (чтобы можно было доказать факт сообщения), а не слил хайпующим блогерам для выкладки в паблик ДО устранения уязвимости.
А как он должен узнать, что это рабочий пароль от базы, не проверяя? На каждый чих писульки слать? Вы вообще представляете хоть приблизительно сколько "подозрительного" мусора можно встретить пока наткнёшься на реальную уязвимость?
Почему товарищ общался через блогера - вопрос, но из текста не следует, что тот блогер сразу уязвимость в паблик раскрыл, написано что передал в компанию.
А как он должен узнать, что это рабочий пароль от базы, не проверяя?
A зачем ему надо это проверять? Можно просто сообщить: вот нашёл тут пароль, проверьте для чего он там у вас и закройте дырку.
Вы вообще представляете хоть приблизительно сколько "подозрительного" мусора можно встретить пока наткнёшься на реальную уязвимость?
Ну так это разве его проблема? Нашёл, сообщил, дальше уже не его дело.
Почему товарищ общался через блогера - вопрос, но из текста не следует, что тот блогер сразу её в паблик раскрыл, написано что передал в компанию.
Там вообще было по другому. Товарищ сам сообщил всё в компанию. Но ответ компании ему не понравился, он расстроился и подключил блоггера, который это дело сразу опубликовал.
Ну так это разве его проблема?
Значит не представляете. Поясню: "подозрительного" мусора очень и очень много, тысячи и тысячи ложных совпадений. Достаточно для того, чтоб сделать это полностью бессмысленным, т.к. никто не будет смотреть на бесполезный спам.
И это всё ещё не ваши проблемы. Вы нашли что-то подозрительное и можете сообщить об этом фирме. А можете вообще не сообщать. Ваше личное дело.
Фирма может делать с этой информацией что хочет. И если они её проигнорируют, то это их проблема. И на мой взгляд ни одна нормальная фирма не будет игнорировать мэйл в котором стоят их логин/пароль с продакшена.
А вот если вы лезете в чужие базы данных, да потом ещё и сообщаете об этом всем кому не лень, то это вполне себе может превратиться в ваши проблемы.
И это всё ещё не ваши проблемы.
"Когда убьют тогда и приходите."
И если они её проигнорируют, то это их проблема.
Нет, это не только "их проблема", это в первую очередь проблема людей доверившихся этой компании.
И на мой взгляд ни одна нормальная фирма не будет игнорировать мэйл в котором стоят их логин/пароль с продакшена.
Если таких по большей части ошибочных мэйлов с содержанием "возможно нашёл пароль от вашей базы Х в файле У, а может и нет" пару тысяч и ещё сотня тысяч "возможно у вас уязвимость в протоколе Х в процессе У, а может и нет", то никто их читать не будет. Впрочем и писать тоже. Мы в реальном мире живём и о реальных проблемах говорим. "Гениальное и идеальное" абстрактное решение проблемы, которое может работать только в сферичексом вакууме равносильно отсутствию этого решения.
то это вполне себе может превратиться в ваши проблемы
Именно в том и суть проблемы, что может, а по логике и морали не должно. И с этим стоило бы что-то сделать, а не склонив голову делать okay-face.
"Когда убьют тогда и приходите."
Кого убьют? Вы вообще о чём?
Нет, это не только "их проблема", это в первую очередь проблема людей доверившихся этой компании
Которых вы не знаете и которым всё равно ничем сообщить не можете.
Поэтому нет никакой причины лично для вас ещё и копаться в их данных.
Потому что это копание не даёт вам ровно ничего.
Если таких по большей части ошибочных мэйлов с содержанием "возможно нашёл пароль от вашей базы Х в файле У, а может и нет" пару тысяч и ещё сотня тысяч "возможно у вас уязвимость в протоколе Х в процессе У, а может и нет", то никто их читать не будет.
Ну так напишите "я точно-точно нашёл логин и пароль от вашей БД". Чем вам в данном случае поможет то, что вы действительно соединились с БД и в ней покопались?
Именно в том и суть проблемы, что может, а по логике и морали не должно.
По логике ещё как должно. Человек без спроса и необходимости лезет в чужие данные.
Плюс если брать ситуацию из статьи, то ещё после этого и сообщает об этом левым людям. Плюс если верить "неофициальной" информация, то он "настаивал на награде" и обратился к блогерру потому что её не получил.
я точно-точно нашёл логин и пароль от вашей БД
Последний раз попробую донести это до вас(без особой надежды, правда): в анализе нет и не может быть ничего точного, есть только миллионы зацепок, единицы из которых могут оказаться реальными. Невозможно, абсолютно никак невозможно, быть уверенным, что уязвимость есть, не проверив. Для права есть выбор лишь между разрешить проверять и получать репорты или запретить проверять и получать использование злоумышленниками. Всё. Третьего не дано.
Независимо от того, поняли вы или нет можете не отвечать, продолжать с вами обмен монологами я не намерен.
Последний раз попробую донести это до вас
Последний раз попробую донести до вас: вам нужно точно знать что уязвимость есть и самое главное иметь возможность доказать что вы её нашли, только если за нахождение уязвимости положена награда и вы хотите её получить.
А в данном конкретном случае вообще нет особой разницы лазили вы там по БД на самом деле или нет. Это не даёт вам какой-то "ультимативной информации" которой поверят больше чем логину/паролю. Потому что это вы не знаете настоящие они или нет. Фирма это точно знает.
Для права есть выбор лишь между разрешить проверять и получать репорты или запретить проверять и получать использование злоумышленниками. Всё. Третьего не дано.
Ерунда полная. Вы можете например ввести драконовские штрафы и какую-то инстанцию которая будет это контролировать. И в которую вы в случае чего можете обратиться и параллельно сообщить о ваших находках.
А ваше "разрешить проверять" это тоже палка о двух концах. Что мешает "злоумышленнику" заявить "а я только проверял" если его поймают на том что он лазит по чужой БД? Как вы собираетесь объективно отличать одно от другого?
И самое главное что в суд на этого товарища подали не потому что он там что-то нашёл и сообщил фирме. Основная причина именно в том что он эту информацию через блоггера опубликовал в открытых источниках. Причём в тот же самый день в который общался с фирмой. И именно это привело к ущербу и соответственно легитимирует судебный процесс с точки зрения обвинения.
Вы ошибаетесь. Обвинили человека именно в неправомерном доступе, а не в обнародовании информации об уязвимости. За последнее вообще судить не получится.
Обвинение было:
Anzeige gegen den IT-Entwickler und den Blogger Mark Steier wegen Ausspähung von Daten und Datenhehlerei
Без этой самой Datenhehlerei пытаться его обвинять было бы в общем-то бессмысленно. А получается Datenhehlerei если кто-то на данных умышленно наживается и/или наносит кому-то ущерб.
То есть если бы не было блоггера с публикацией, то не было бы и процесса.
Я не совсем понимаю. Вы действительно не видете разницу:
а) между кражей данных и раскрытием данных
б) между данными в базе данных и информацией о уязвимости
???
Человека судят за "кражу" (неправомерный доступ) к данным в базе данных, а не за раскрытие информации об уязвимости.
Вот обоснование прокуратуры:
Die Staatsanwaltschaft sah es als erwiesen an, dass der Angeklagte – der damals als selbstständiger Programmierer Dienstleistungen angeboten hatte, die in Konkurrenz zu den Dienstleistungen der Modern Solution GmbH standen – versucht habe, der Gladbecker Firma zu schaden. Dies hatte Modern Solution bei der Anzeige bei der Polizei ebenfalls zu Protokoll gegeben.
То есть всё это дело крутится именно вокруг "нанесения ущерба".
Можно просто сообщить: вот нашёл тут пароль, проверьте для чего он там у вас и закройте дырку.
А ему так "это ни разу не пароль, не отвлекайте нас по пустякам!"
Допустим ему именно так и скажут. И в чём проблема?
Нууууу.... как сказать. Для этого парня — никакой. Для той компании — пока никакой, просто русская рулетка: если она кому-то ваще нужна и её кто-нибудь сломает — попутно сломают и всех других в той же базе. А вот максимальная проблема — для клиентов, которые ни сном не духом — и вдруг бац, они попали как минимум на свои данные, причём совершенно не по своей вине.
Ок. Теперь допустим этот парень действительно соединился с базой данных и что-то там посмотрел в таблицах. Что от этого принципиально изменилось?
Вы думаете что на каких-то там данные из какой-то там таблицы будет более сильная реакция чем на логин/пароль от самой базы данных?
Совершенно не понял, к чему это Вы.
Да, именно так.
Об уязвимостях лично мне сообщать никому ещё не доводилось, но вот баг-репорты я в техподдержку отправлял.
Без скриншотов или там логов никто не чешется. И даже с ними попасть хотя бы на второй уровень техподдержки непросто.
Напомнило мне случай, когда мне предложили сообщать об ошибках через форму обратной связи на сайте. Я тогда нервно взгоготнул, потому что форма обратной связи у того сайта у них ограничена то ли 250, то 300 символами и нельзя прикрепить изображение. И сама форма с каким-то сююреалистичным глюком - из набираемого текста удаляются пробелы. Видимо, что не тратились драгоценные символы :D Конечно же, ни одной ошибки, включая этот глюк с пробелами, о которых я сообщал, не исправили спустя и три года.
По крайней мере теперь есть уверенность, что это пароль от БД, причем продовой. А не вилка в коде "если дев среда, то пароль 123, если прод, то опрашиваем по Oauth2"
Вы нашли ключи во дворе. Пойдёте проверять все квартиры, чтобы узнать, какую они откроют?
Это вообще не его дело, рабочий пароль от базы или нет. НЕ ЕГО СРАНОЕ ДЕЛО. У него нет ни моральный прав туда лезть, ни юридических. И тем более у него права раскрывать эту уязвимость вообще кому-либо, кроме представителя компании.
Вы нашли ключи во дворе.
Как же вы достали передёргивать. Не ключи он во дворе нашёл. Он нашёл стикер с паролем (повёрнутый паролем к стене) напротив двери с кодовом замком, зная что за этой дверью помещение, где хранятся деньги и документы сотен людей, доверившихся хозяину помещения. Конечно он может пройти мимо, а кто-то не пройдёт. Это вопрос морали и наличия\отсутствия желания сделать мир лучше, путём предотвращения "плохих" вещей заранее.
НЕ ЕГО СРАНОЕ ДЕЛО
" бойтесь людей равнодушных — именно с их молчаливого согласия происходят все самые ужасные преступления на свете"
Конечно он может пройти мимо, а кто-то не пройдёт
Никто не говорит что надо пройти мимо. Все согласны с тем что надо сообщить хозяину.
Вопрос только в том надо ли сначала самому открывать дверь и смотреть что там на самом деле внутри.
бойтесь людей равнодушных
Так речь то не о равнодушии, а о любопытстве.
Вопрос только в том надо ли сначала самому открывать дверь и смотреть что там на самом деле внутри.
Вы читали мои сообщения выше? Никак нельзя узнать, что это пароль от двери, а не памятка для уборщицы с номером швабры, не открыв её. Никак. Никак, никак, никак. И бегать с каждой найденной рандомной бумажкой с какими-то цифрами к участковому никто не будет. А если будет - участковый такого психа слушать не будет.
Upd: А, это вы, @Kanut , не заметил, что это не @powef. Вам я бы не стал отвечать, вы не умеете слушать и гнёте свою линию. Что бы вы не написали дальше - не ждите ответа, впредь буду внимательнее.
Вы читали мои сообщения выше?
Я ответил на конкретную аналогию. Если она кривая, то давайте другую.
Никак нельзя узнать, что это пароль от двери, а не памятка для уборщицы с номером швабры, не открыв её.
А вам и не надо этого делать. Скажите хозяину двери и он сам разберётся.
В любом случае если в "оффлайне" сначала откроете дверь, посмотрите что внутри и только потом сообщите хозяину, то вас тоже не похвалят. И вам точно так же может прилететь обвинение и судебный процесс. Особенно если вы сразу после разговора с хозяином сообщите всем где можно взять пин от двери и о том что вы увидели за дверью...
И бегать с каждой найденной рандомной бумажкой с какими-то цифрами к участковому никто не будет
Зато вы будете бегать ко всем дверям и проверять не от них ли пинкод и нет ли там внутри чего ценного?
И кстати, а откуда вдруг взялся "участковый"? Вы знаете чья дверь и сообщить что-то этому человеку будет гораздо проще чем идти к двери, открывать её, заходить внутрь и смотреть что там интересное есть внутри.
Вам я бы не стал отвечать, вы не умеете слушать и гнёте свою линию.
Как будто вы ведёте себя иначе...
Раз
Никак нельзя узнать, что это пароль от двери, а не памятка для уборщицы с номером швабры, не открыв её.
Два
Он нашёл стикер с паролем (повёрнутый паролем к стене) напротив двери с кодовом замком, зная что за этой дверью помещение, где хранятся деньги и документы сотен людей, доверившихся хозяину помещения.
Вас таких где-то учат двойным стандартам, или это заболевание какое-то?
Неравнодушный дворник зашёл к вам по найденным ключам и пошарился в холодильнике, белье и сейфе. Ведь он неравнодушный - вдруг у вас там запрещёнка?
Тогда бы его обвинили в декомпиляции текстового файла с использованием технических средств, по предварительному умыслу...
Я так понял тут вне контекста статьи, если банк с плохой защитой ограбит условный вор, то нельзя сказать "банк сам виноват", то есть плохая защита не снимает вины с того, кто ей воспользовался для незаконных действий. "Вина банка не снимает вины с вора, его ограбившего"
Скину эту новость своим коллегам, они тоже будут смеяться со всей абсурдности ситуации, но такова у них законодательно/судебная система.
Не только у них. У нас тоже достаточно вломиться в охраняемую базу ничего не меняя и не сливая и тоже самое прилетит, если не срок. Этого не происходит массово только потому что доказательств мало и мало кто в органы сообщает о взломе. Но если залезть в банк условный, где все протоколы соблюдаются как в армии - там будет тот же самый результат. И декомпиляция и незаконный доступ к информации преследуется точно также
Это когда формально ты прав, а по факту очень сильно не прав. Не понимаю, вот вам показали на дыру, так смысл ради 3к баксов расстреливать колени себе? Поощрать надо такие начинания. После такого желания сотрудничать и помогать таким компаниям нет
"Ещё ни одно доброе дело не прошло безнаказанным" (c)
Более того, данный персонаж был консультантом нанятым этой компанией. И сам факт того, что он что-то там нашёл скорее всего подпадал под NDA. Т.е. никто бы за пределами компании даже не узнал бы о таком факапе. Но эти гении попёрлись в суд и в итоге раструбили о себе на всю Ивановскую.
Несколько лет назад нашёл критическую уязвимость в ноутбуках Apple, за которую они обещают на оффсайте выплатить 250000$. Всё подробно описал, есть большая история переписки с ними со всеми доказательствами. В итоге они ничего не заплатили, а мне сказали, что уязвимость не критическая.
Если что: уязвимость позволяет ЛЮБОМУ пользователю запустить элементарный скрипт (например, на Python), который создаёт загрузку на систему (например, множество параллельных операций архивирования) и при этом отключает кулеры. Несколько минут такой работы и ноутбук буквально сжигает процессор.
До сих пор не исправили)
Так что, исходя из личного опыта, могу сказать: все эти "обещания" выплаты за баги - пи...дёж чистой воды.
Apple после того случая в моих глазах очень сильно упала.
Имхо, лучше (если есть возможности и ресурсы для достаточного уровня анонимности) при нахождении таких багов просто шантажировать их. Такие корпорации играют нечестно
Какие ваши доказательства утверждения "несколько минут такой работы и ноутбук буквально сжигает процессор"? Сколько процессоров вы сожгли, и в каких условиях?
Пользователь таким же образом может воткнуть в дисплей отвертку, и это тоже не будет уязвимостью. Если вы считаете, что управление вентиляторами нужно у пользователя отобрать потому, что злоумышленник может их остановить, давайте сразу заодно отберем форматирование дисков (злоумышленник может уничтожить данные), доступ в сеть (злоумышленник может украсть секреты), и вообще исполнение пользовательского кода (злоумышленник может исполнять код).
Еще раз: локальный отказ в обслуживании на устройстве в руках пользователя - это не уязвимость, и платить вам за нее закономерно никто не будет. Уязвимостью доступность системных крутилок становится только тогда, когда она выводит систему в такие закритические режимы, при которых эта система действительно теряет возможности обеспечивать защиту секретов, изоляцию процессов друг от друга и т.п., хороший пример - Plundervolt. Если же выход в закритические режимы приводит к выводу из строя вычислительного устройства (не хранилища данных, а именно вычислителя) - это не уязвимость, потому что выключеный\сломанный компьютер - это безопасное состояние.
Но если бы комментатор выше сломал бы ваш Макбук таким образом - в суд вы бы на него подали, верно?)
Для этого комментатор выше должен был бы каким-то образом получить на моем Макбуке управление, т.е. ввести там правильный пароль от sudo, использовать реальную уязвимость для локального повышения привилегий, попасть в систему из сети через реальную уязвимость удаленного исполнения кода, и т.п.
Чем это отличается от "комментатор взял у меня из рук ноутбук и некритически большим усилием оторвал ему дисплей от базы?" Чем это отличается от "комментатор проходя мимо уронил открытый ноутбук со стола, и он разбился?" Ничем, собственно, и в суд я бы на него подал исключительно за умышленную порчу чужого имущества, а не за запуск скриптов на нем под рутом, и тем более не пошел бы ругать производителя за то, что он позволяет отключить охлаждение программными методами.
Пожалуйста, не доводите безопасность до абсурда, как в известном рассказе про хакера и солонку.
Если Вы в строительной каске и Вас убили ударом топора по голове Вы бы подали в суд на ударившего или на производителя касок?:)
Равно как если бы комментатор проткнул дисплей отверткой, да.
Это же бред какой-то
Ничего он не сжигает, проц сначала троттлить будет, а потом просто выключится
Это что же за кусок говна-то такой, который через 3 минуты под нагрузкой без кулера получает физические повреждения? А троттлинг, а аппаратный шатдаун при превышении температуры? Да даже у меня есть ощутимо старый ноут, у которого уже пару лет кулер заклинил от пыли, а разбирать лень - так он работает. Да, греется как не в себя, тормозит, но ничего не сжигает.
Могу вам показать такой кусок говна легко - любые современные ноутбуки с хорошим звуком делают этот хороший звук путем овердрайвинга (т.е. подачи заведомо превышающей безопасные параметры мощности, но на очень короткое время, и с каскадом обратной связи, чтобы не взорвать их и не спалить) динамиков.
При этом драйвит эти динамики не железо, и не прошивка, а операционная система непосредственно, и пользователь с правами рута, при желании, может спокойно запустить скрипт на Питоне, который взорвет ему все динамики, до которых дотянется.
Участникам проект Asahi Linux для того, чтобы включить в этом самом Линуксе звук из динамиков на новых Маках, пришлось написать с нуля демон speakersafetyd, который следит за тем, чтобы другие участники аудио-процессинга и аудио-вывода эти самые динамики не взрывали. Вот здесь автор рассказывает, как он работает.
Про динамики я слышал (и конкретно для акустических систем это не новость: АС с паспортной мощностью в 100 ватт легко и просто сгорит, если на нее подать 100 ватт в узкой полосе, так как каждый из компонентов почти имеет мощность ниже), но про процессоры и системы охлаждения? Вроде такие приколы закончились во время голокристальных атлонодуронов, на которых яйца жарили.
Именно такие, со смертельным температурным троттлингом - действительно в массе закончились, производители процессоров на x86 добавили и собственной логики для аварийного отключения, и требований к внешней логике при приближении к нему (сигнал PROCHOT# и т.п.).
Тем не менее, других отличных способов сломать себе железо, обладая правами рута - море разливаное, вот несколько примеров:
процессоры с FIVR позволяют управлять практически всеми напряжениями через MSR, и при грамотном управлении способны самостоятельно и гарантировано вывести себя из строя за несколько секунд.
многие видеокарты для гейминга управляют питанием через VRM, доступный по SMBus. Грамотное управление им таким же образом приводит к выходу из строя видеочипа и видеопамяти за несколько секунд.
грамотное управление записью на SSD позволяет в кратчайшие сроки (часы) полностью выработать его ресурс, а на некоторых моделях - переполнить SMART-счетчики так, что диск перестанет определяться уже при следующей перезагрузке.
многократная запись в UEFI NVRAM (200-300 тысяч циклов) большой переменной полностью выработает ресурс SPI-чипа, в котором этот NVRAM хранится, после чего система либо перестанет стартовать, либо перестанет сохранять настройки.
несложно находимые в гугле вендорские AT-команды способны невосстановимо вывести из строя почти любые современные модемы - WiFi, BT, GSM, и т.п.
Короче, современный компьютер - он очень сложный, и потому очень хрупкий. Более того, его легитимный пользователь не является атакующим, и потому задача защиты системы от его комманд и его грамотного управления не ставится. Там, где ставится (на игровых консолях, например), там совсем другие требования, и совсем другие права у пользователя изначально.
который создаёт загрузку на систему (например, множество параллельных операций архивирования) и при этом отключает кулеры. Несколько минут такой работы и ноутбук буквально сжигает процессор.
Что, и макбук Air сожгёт? У него и так кулеров нет =)
А вы этот скрипт выкладывали куда-нибудь?
Добро наказуемо, лишний раз убеждаюсь... Другой бы на его месте слил всю Бд, и наоборот - поднял себе приличный кэш.
Надеюсь, что к защите этого человека подключатся ребята из CCC, EFF Europe и других общественных организаций, способных обеспечить нормальную юридическую защиту от подобного троллинга со стороны компании.
Для остальных компаний: вот такое вот поведение - это, наверное, лучший способ сделать так, чтобы об уязвимостях нулевого дня в ваших системах сообщали не лично вам самим, а анонимно всему интернету.
Я бы за такого чувака на митинг вышел, с плакатом "позор суду"
Если Вы хотите провести этот митинг в России, то держите в памяти: УК РФ Статья 297. Неуважение к суду: 1. Неуважение к суду, выразившееся в оскорблении участников судебного разбирательства, - наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо арестом на срок до четырех месяцев.
Бедолагу наказали исключительно за его тупость и жадность, привлек бы юриста к составлению Договора - всю ответственность нес бы юрист.
Чел пошарился по карманам (код софта ему не принадлежит). Нашёл ключ. Взял его без спроса, открыл им чужую квартиру и осмотрелся (зашёл к ним на сервак). Потом сообщил владельцу карманов, что у него в них лежит ключ и он им воспользовался, чтобы проникнуть к нему в квартиру и после её осмотра сразу закрыл.
Плюс ему инкрементируют злой умысел, так как он в это время работал на конкурента. Типа сообщил, чтобы выгородить себя, но навредить фирме через инфу в прессе.
Чел пошарился по карманам
Не по карманам, а под выходным ковриком.
Потом сообщил владельцу карманов, что у него в них лежит ключ
Сообщил не то что у них ключ есть, а что ключ у них хранится небезопасном месте.
так как он в это время работал на конкурента
Он был консультантом нанятым этой же компанией.
Типа сообщил, чтобы выгородить себя, но навредить фирме через инфу в прессе.
В прессу оно попало из-за судебного дела.
Все верно. Только не Рабинович, а Иванов. И не «Волгу», а сто рублей. И не в лотерею, а в карты. И не выиграл, а проиграл.
Не по карманам, а под выходным ковриком.
Ни коврик, ни карман ему не принадлежали.
Сообщил не то что у них ключ есть, а что ключ у них хранится небезопасном месте.
Предварительно с помощью ключа он зашел в квартиру и посмотрел что там и как, включая приватные данные.
Он был консультантом нанятым этой же компанией.
А что, консультанты имеют право шарить под любыми ковриками и найдя ключи заходить в любые закрытые кабинеты полистать любые бумажки с любыми данными?
В прессу оно попало из-за судебного дела.
Не вполне понятно откуда такой вывод.
Все верно. Только не Рабинович, а Иванов. И не «Волгу», а сто рублей. И не в лотерею, а в карты. И не выиграл, а проиграл.
Вот вот:) Прочитайте изначальную новость, гугл транслейт конечно криво переводит, но там больше информации понятно.
Там претензия к тому, что он декомпилировал без права на это и что он полез с паролем в базу данных не имея право на это, будучи нанятым при чем. И нам, честно говоря, как программерам, не вполне понятно в какой ситуации мы бы стали декомпилировать софт раз нам за это не заплачено и зачем бы мы найдя пароль в исходниках - стали бы его использовать что бы "посмореть че там". Даже если бы просто нашли пароль - просто написали бы репорт об этом, может проверили бы на коннект, но не лезли бы с ним читать данные из БД. Меньше знаешь - лучше спишь.
Никто не говорит про злой умысел (иначе размер штрафа явно был бы другой), но это как из серии "добрыми намерениями" и "инициатива дрючит инициатора". Как вообще можно было додуматься ломануться на сервак читать данные с найденным паролем, тем более найденным после декомпиляции?
Предварительно с помощью ключа он зашел в квартиру
То есть Вы хотите сказать, что
невозможно случайно зайти в чужую квартиру?
Никто не говорит про злой умысел (иначе размер штрафа явно был бы другой), но это как из серии "добрыми намерениями" и "инициатива дрючит инициатора". Как вообще можно было додуматься ломануться на сервак читать данные с найденным паролем, тем более найденным после декомпиляции?
Да запросто. Чувак получает доступ к некоторой софтине которая достает какие-то данные из бд и замечает, что для работы программы не нужно вводить никакие креды. У него возникает вопрос как так-то? Он декомпилит прогу и обнаруживает там креды к бд и с мыслями "да ну нах" пробует их и обнаруживает что они рабочие. Тут же понимает к чему получил доступ и бежит докладывать компании, дабы им помочь пофиксить уязвимость. В ответ получает черную неблагодарность. Почему сразу не пошел к начальству когда понял что прога не требует кредов? Дык на голые подозрения левого чувака все только отмахнутся. Почему не засабмитил тикет когда увидел креды? Да скорее всего не поверил в такое головотяпство и подумал, что это какие-то тестовые просочились.
Там претензия к тому, что он декомпилировал без права на это и что он полез с паролем в базу данных не имея право на это, будучи нанятым при чем. И нам, честно говоря, как программерам, не вполне понятно в какой ситуации мы бы стали декомпилировать софт раз нам за это не заплачено и зачем бы мы найдя пароль в исходниках - стали бы его использовать что бы "посмореть че там". Даже если бы просто нашли пароль - просто написали бы репорт об этом, может проверили бы на коннект, но не лезли бы с ним читать данные из БД. Меньше знаешь - лучше спишь.
У нас с вами просто очень разное понимание того, что такое добросовестные намеряний и что такое хорошо и плохо. Персонаж судя по всему просто работал не по формальной интсрукции, а реально хотел помочь компании. А компания как истинные дуболомы пошла работать по неуспестному скрипту. В результате контора эпично ославилась и в следующий раз как кто-то найдёт уязвимость у неё (а это будет случаться регулярно) в лучшем случае ничего не сделает, в худшем просто продаст её в даркнете. Я уж молчу про потерю части клиентов из-за такой славы. А главный герой этой истории попал на не такой уж большой штраф.
У нас с вами просто очень разное понимание того, что такое добросовестные намеряний и что такое хорошо и плохо. Персонаж судя по всему просто работал не по формальной интсрукции, а реально хотел помочь компании
Скорее у нас с Вами разное понимание профессионализма и ответственности за свои действия.
Не по инструкции декомпилировал и нашел пароль - адекватно. Все ведь делается у себя на машине и к негативным последствиям не может привести.
Лезть с паролем которого не должно быть, в чужую базу к которой не должно было быть прямого доступа, не зная о возможных последствиях такого доступа и выполненять там произвольные запросы не зная возможных последствий этого - это уже неадекватно и это безответственный дилетантизм.
Аргумент в стиле "да подумаешь что там могло случится от соединения и выполнения запросов" не прокатывает, т.к. человек был без понятия что там могло его действий случиться и почему.
Это, разумеется, не говорит о том, что компания поступила правильно. Но то что компания поступила неправильно - в свою очередь не оправдывает действия программера, который без вопросов поступил непрофессионально начиная с того момента, когда ломанулся в базу.
Лезть с паролем которого не должно быть, в чужую базу к которой не должно было быть прямого доступа
Ну что Вы привязались к человеку? Он чинил-чинил программу (которую его, собственно, чинить и наняли); взял оттуда ключ, который надо было взять; зашёл в базу — и тут ВНЕЗАПНО выяснилость,
что база-то — /не та/!
Следующий раз нужно поступить по умному. Не лазить в БД, а просто опубликовать на хакерском форуме информацию что вот смотрите что там есть.
Типа сообщил, чтобы выгородить себя, но навредить фирме через инфу в прессе.
мне кажется или те ребята, которые на него подали в суд - делают именно вот это самое в чем они его обвиняют?
Немецкий суд оштрафовал программиста-фрилансера на €3000 — он нашёл и сообщил заказчику о серьёзной уязвимости
Если я правильно понял текст оригинала и другие переводы, то этот программист по заказу одной компании анализировал работу купленного ПО от другой компании-производителя, в процессе работы нашел пароль от общей базы, но почему-то решил об этом сообщить напрямую производителю. Это очень странное действие, и ситуация становится интереснее.
Как минимум, я не особо понимаю, как подобные действия вяжутся с NDA с компанией-заказчиком, и был ли вообще договор или задание на проверку ПО.
Ох уж эти европейские "ценности". Прекрасны, спору нет.
Тут скорее дело не в "ценностях", а в букве закона. Т.е. по справедливости понятно что чел молодец, а по закону - виновен.
Оно и в России такие дела есть. Была же где-то история когда пьяный мужик вез знакомую и врезался к другую машину. И эта знакомая отсудила бабла у водителя этой другой машины. Т.е. она сама села в машину с пьяным водителем, но в суд подала на другого и по закону выиграла.
С машинами - там особый случай. Водитель изначально гражданско-виновен в том, что вывел опасную хрень в общественное место. Так что независимо от своей уголовной/административной вины оплачивает весь причинённый вред. И это всё прописано в законе и рассказывается в автошколах ДО получения прав - так что каждый водитель заранее знает на что идёт (если всё делает по-закону).
Здесь же в законах не прописанно, что когда тебя нанимают подключится к БД, а ты в результате подключаешься с повышенными правами, да и ещё пароль в отрытую видишь - то тебя нужно обязательно уголовно наказать.
Это спорно и по закону (первая инстанция признала человека невиновным, так-то) и неприемлемо морально - по нашей морали, естественно.
В протестантской морали как раз всё норм - если ты беднее и менее могуществен и проиграл суды, то ты неудачник который всё равно отправится в ад, просто потому что бог тебя, шельму, так пометил. А значит и никакого репутационного ущерба и даже наоборот, - т.к. с достойными людьми компания ведёт себя достойно, а со всякими неудачниками - не церемонится. Значит компания сильная, успешная, отмеченая богом, и с ней хорошо иметь дела. А всякое рассусоливание с неудачниками - признак слабости и грешности.
Но так-то странно видеть такую средневековую мораль в современном обществе. На Западе там тоже такой подход вроде бы уже не в моде - спасибо всяким атеистам-социалистам.
Ха-ха, фашики такие идиоты. Причем все - от этого горе-программиста до суда с прокурорами.
"Пациент подал в суд и отсудил у реаниматолога 3000 евро за проведенную пациенту дефибриляцию, позволившую пациенту обратиться в суд, а не в морг"...
Базу можно было заранее скачать в криптоконтейнер и продать на уровне 6к$, окупить расходы на суд и жить счастливо
Мда уж. "Так смешно, что даже грустно".
Эта ситуация одна из многих что крутилась в голове из разряда "что если?", и теперь я получил ответ - "не делай добра, не получишь зла". Но что по закону у нас? Возможна ли такая ситуация в нашем правовом поле?
Я думаю этот мужик не понаслышке узнал смысл поговорки: не делай добра, не получишь зла
Маразм, но теперь последующие просто сольют на какой нибудь 0day трекер и будут правы. Ну или в слить данные в даркнет
Был у нас в институте курс по администрированию Unix. Чтобы нам было интереснее, была в этом институте политика: билеты с вопросами до начала экзамена никому не показывать (чтобы студенты не знали заранее, к чему точно готовиться). Так вот, я вопросы с ответами про Unix нашёл, причём где - где-то в глубине домашней директории нашего преподавателя на главном Unix сервере института они лежали, с правом доступа r--r--r--.
Естественно, и сам скачал, и приятелям рассказал.
Самое же смешное то, что преподаватель этот был не кем иным, как... главным сисадмином этого сервера!
Сижу вот думаю, до какой степени я поступил аморально? Права доступа для того и существуют, чтобы одним давать, а другим не давать. Ну а раз мне дали, значит - они у меня есть!
В статье написано не совсем корректно. Чувак не сам сообщил в компанию. В оригинале есть такое предложение:
Der Programmierer kontaktierte mit Hilfe eines Tech-Bloggers die betroffene Firma
Что переводится как контактировал с компанией с помощью тех. блоггера. И есть ссылка на предыдущую статью https://www.heise.de/news/Datenleck-Anzeige-gegen-IT-Experte-kam-von-Modern-Solution-6254839.html в которой указано буквально следующее
Auch gegen einen Blogger, der darüber berichtet hatte, hat Modern Solutions demnach Anzeige erstattet.
Что можно переверсти как
Modern Solutions также подала жалобу на блоггера, который сообщил об этом.
Интересное дело, но очень простое.
В странах ЕС другие законы "против хакеров", свои истоки берут тут. Его осудили по закону о том, что он "умышленно получил доступ, без разрешения", а именно - использовал пароль для доступа к БД. Декомпилировать - можно, сообщать о находке - можно. Можно даже случайно подключиться к БД (но будет сложно доказать, что подключился "случайно", без умысла). Но нельзя - подключаться к чужой БД умышленно (то есть хотел подключиться к чужой БД, зная, что владелец не давал на это разрешения).
Закон действительно очень общий и практика применения широка. Однако суды разной инстанции много раз повторяли, что закон для общества полезен, так как защищает компьютерные системы от тех, кто получает доступ без разрешения (обращаю внимание на истоки из 2001 года).
Для того чтобы попасть под закон нужно выполнить следующие условия умышленно - 1)получить доступ (то есть иметь возможность просматривать данные, и не важно делал что-то с данными или нет, важна только сама возможность), 2) доступ должен быть неправомерным (то есть без разрешения владельца), 3) доступ должен быть получен путем преодоления какой-то охраны. Последний пункт самый сложный, так как понятие "охрана" нигде не сформулировано. Однако, чтобы не разводить юридическую беседу, можно перейти сразу к выводу, что любой пароль это совершенно точно охрана.
Указанный в статье программист - получил пароль из программы (это не наказуемо), но затем подключился к удаленной БД (получил доступ), без разрешения компании (у него не было разрешения подключаться к БД, а было другое задание) и при этом преодолел охрану (то есть ввел пароль). Он попадает под закон как из учебника. То что он получил штраф, а не срок (например условный), говорит о том, что суд учел все обстоятельства. Нужно читать решение, но скорее всего там написано, что хоть действовал он с умыслом, но умысел был не прямой.
Можно еще сказать, что если бы пароль не подошел - то его бы осудили по той же статье, но в стадии "попытки".
Если доводить до абсурда, то под закон подпадает даже муж, который взял у жены телефон и ввел там пин код жены. Если она на него напишет заявление, что не разрешила этого - то муж попадет под статью, так как получил доступ к ИТ системе (телефону), на который не было разрешения и сделал это путем преодоления охраны (ввел пин код). Конечно, мужа не осудят из-за отсутствия доказательств (он то будет утверждать, что сделал это с устного разрешения), но как теоретический - пример показателен.
Тогда правильно ли я понимаю, что если бы найдя пароль, он даже не пробуя его вводить, сообщил бы в фирму что нашёл случайно пароль который ВОЗМОЖНО даёт доступ к БД, уголовного дела бы не было?
Можно даже случайно подключиться к БД (но будет сложно доказать, что подключился "случайно", без умысла)
Вообще-то доказывать надо наоборот, наличие умысла. По идее в Германии презумпция невиновности должна быть.
Он попадает под закон как из учебника. То что он получил штраф, а не срок (например условный), говорит о том, что суд учел все обстоятельства.
В учебнике же есть пример, что тот же германский судья может вообще освободить от наказания, что-то в духе "не является преступлением причинение вреда охраняемым уголовным законом интересам при обоснованном риске для достижения общественно полезной цели" - т.к. доступ он конечно получил, но сами данные не слил и не модифицировал (да и вообще полагал, что получит доступ только к данным своего заказчика - а на это у него разрешение вроде как было), а сообщил о проблеме, что позволило не то предотвратить утечку данных, не то перекрыть и без того существующую утечку - что в любом случае является гораздо бОльшим ущербом и представляет гораздо бОльшую общественную опасность.
Так что как всегда - без материалов дела трудно оценивать решение суда...
Вообще-то доказывать надо наоборот, наличие умысла. По идее в Германии презумпция невиновности должна быть.
Запуск клиента и ввод логина и пароля со всей очевидностью является умыслом на подключение к базе.
За словом "очевидно" обычно скрывают как раз то, что утверждение доказать трудно или вообще невозможно )
Ввод реквизитов пароля - это объективная сторона дела. Как и нажатие на спусковой крючок, например.
А вина - это субъективная сторона дела, то есть (по нашему, в Германии скорее всего что-то похожее, континентальная правовая система всё-таки, не англо-американская) "психическое отношение лица к совершенному им общественно опасному деянию и его последствиям в форме умысла и неосторожности". Причём (опять же у нас, не скажу за Германию) если в статье не указано прямо на неосторожность - требуется умысел, а для статей с формальным составом преступления (т.е., например, "преступлением является сам доступ к базе независимо от того, повлекло это хоть какие-то последствия или нет") - только прямой умысел, косвенного умысла недостаточно.
Ну и еще - объективное вменение запрещено (в уголовном праве).
То есть если кто-то у всех на глазах навёл на кого-то пистолет, нажал на спусковой крючок, выстрели и убил - этого недостаточно для осуждения, надо доказывать вину стрелявшего. Которой может и не оказаться (например, он полагал, что пистолет ненастоящий, а реквизитор взял и подсунул ему настоящий по неосторожности).
Так у нас не артист с реквизитором, а профессиональный программист, вполне способный по своим профессиональным знаниям осознавать механизм действия и назначение ввода логина и пароля в клиент СУБД.
В суде такая отмазка не прокатит.
профессиональный программист, вполне способный по своим профессиональным знаниям осознавать механизм действия и назначение ввода логина и пароля в клиент СУБД
И где тут умысел? И почему именно умысел, а не неосторожность в форме небрежности, т.е. что "лицо не предвидело возможности наступления общественно опасных последствий своих действий (бездействия), хотя при необходимой внимательности и предусмотрительности должно было и могло предвидеть эти последствия"?
Как обладатель специальных знаний он явно мог предвидеть эти последствия, а вот что вот в данном случае не предвидел - еще доказать надо. А то вон сказано же в статье, что он полагал, что получит доступ к данным своего заказчика (к которым имел право получит доступ).
В суде такая отмазка не прокатит.
В суде с обвинительным уклоном явно не прокатит. Вопрос в том - в Германии суд имеет оный уклон или нет? )
Запуск двигателя и въезд в другой автомобиль со всей очевидностью являются умыслом на причинение вреда другому лицу. Так?
Причём здесь причинение вреда? Запуск двигателя и въезд в другой автомобиль, будучи совершены профессиональным водителем, являются умыслом на управление автомобилем.
Причинение вреда здесь при том же, при чем и подключение к базе.
Водитель въехал в другой автомобиль, значит, у него был умысел. Так?
Нет, не так. Въезд в другой автомобиль не является ожидаемым следствием запуска двигателя, а двигатель не предназначен для въезда в другой автомобиль.
По ГК - является. СПО как никак. По УК - нет, т.к. нет субъективного умысла.
Т.е. водитель заводит двигатель не для того чтобы таранить и убивать (я надеюсь), но с полным осознанием того, что это может произойти независимо от его желания и умения. И что если он пойдёт пешком - то от его автомобиля точно никто не пострадает.
Видите, не всегда какие-то действия говорят об умысле. Следовательно и запуск клиента и ввод логина и пароля не являются умыслом на подключение к базе. Это был умысел на проверку того, что доступ к базе извне закрыт :)
Вы говорите как адвокат для клиента, в хорошем смысле.
В данном случае можно легко доказать умысел - как верно указали выше - если действия производятся с целью подключиться к БД, то это прямой умысел, потому что человек осознает, что делает и с какой целью. Человек прямо хочет получить то, что карается законом - доступ к БД, на который у него нет разрешения от владельца.
Что касается "общественно полезной цели" - под это многие хотят "закосить" и у судей на это иммунитет. Для иллюстрации расскажу реальную историю. Одного человека взяли за ограбление магазина с автоматом (был бутафорский). На суде он защищался тем, что дома у него 2-х летний ребенок, который не ел несколько дней и уже умирал от голода и поэтому человеку пришлось пойти на такой поступок ради сохранения жизни ребенку.
В данном случае можно легко доказать умысел - как верно указали выше - если действия производятся с целью подключиться к БД, то это прямой умысел, потому что человек осознает, что делает и с какой целью.
Это не умысел, а объективная сторона. А доказывать надо, что он понимал, что это будет доступ именно к чужим данным, а не к тем, к которым он имел разрешение на доступ от заказчика. Иначе это уже не умысел... А, например, неосторожность в одной из двух форм.
На суде он защищался тем, что дома у него 2-х летний ребенок, который не ел несколько дней и уже умирал от голода и поэтому
И поэтому был вариант сдать ребёнка в сиротское заведение, которым подсудимый не воспользовался...
Но вот если бы он, например, нарушил ПДД из-за того, что надо было срочно доставить ребёнка в больницу, при этом никто не пострадал - могло бы и сработать.
Это не умысел, а объективная сторона. А доказывать надо, что он понимал, что это будет доступ именно к чужим данным, а не к тем, к которым он имел разрешение на доступ от заказчика. Иначе это уже не умысел... А, например, неосторожность в одной из двух форм.
Вы пишите интересно, спасибо.
Субъективное отношение программиста к тому, что он получил доступ без разрешения доказывается через пароль. Пароль защищал данные и ограничивал круг лиц, которым эти данные доступны. Этот пароль ему никто не давал, он его "раздобыл" сам. Таким образом программист субъективно знал, что он получает (или минимально пробует получить) доступ туда, куда ему разрешения не давали. Важным дополнением является то, что если бы пароль был в каких-то документах в открытом виде - то действительно, можно было бы попробовать "смахнуть" под отсутствие умысла (мол, подключался умышленно, но думал, что мне можно). Но программист для получения пароля, если попробовать перевести на русский, "приложил усилие, которое не подпадает под стандартные действия обычного человека" (то есть декомпилировал программу с целью получить пароль), а это уже явно показывает субъективное понимание того, что с этим паролем он получает доступ туда, куда ему запрещено.
Да, но он был уверен что получает доступ к тем данным, к которым у него доступ и так есть. Это существенное субъективное обстоятельство, которое доказывается реакцией программиста, когда он увидел больше данных, чем рассчитывал.
А "неустранимые сомнения в виновности лица должны толковаться в пользу обвиняемого", вообще говоря.
В данном случае, программисту дали некий доступ, он вместо этого нашел пароль (который ему не давали) и получил доступ с правами выше, чем ему был выдан изначально. Тот факт, кто он не ожидал получить больший доступ перекрывается тем фактом, что для получения доступа он выполнил действия (декомпилировал программу). В этот момент возникает субъективный умысел использовать пароль, который ему не давали, то есть использовать пароль без разрешения и с помощью этого пароля без разрешения подключится к БД.
Тут не важно, если он получил реально доступ с правами выше, чем он ожидал или не получил, важно то, что он хотел подключится (получить доступ) не таким способом как ему разрешили изначально.
То о чём вы пишете - это объективная вина, которая вроде как в правовом государстве в таком виде запрещена. Вы ничего не пишете про мотивы и побуждения программиста.
И да - "декомпилировать" (скорее всего - просто посмотреть в HEX-редакторе) программист вроде бы как право не то что имел - ему за это и платили.
Есть легкомыслие как форма неосторожности: "если лицо предвидело возможность наступления общественно опасных последствий своих действий (бездействия), но без достаточных к тому оснований самонадеянно рассчитывало на предотвращение этих последствий".
Есть небрежность: "лицо не предвидело возможности наступления общественно опасных последствий своих действий (бездействия), хотя при необходимой внимательности и предусмотрительности должно было и могло предвидеть эти последствия".
Пароль, пишут, мог быть получен и без декомпиляции. После декомпиляции, возможно, и должен был бы понять, что это доступ к любым данным, а не только нужным. А до декомпиляции - вполне мог подумать, что это пароль для доступа именно к его данным, а не ко всем подряд (хотя при должной осмотрительности мог бы конечно и заподозрить, что это доступ ко всему подряд).
А поскольку есть принцип "неустранимые сомнения в виновности лица должны толковаться в пользу обвиняемого" (правовое государство и всё такое же?), то извините, умысел не доказан. Более того, "у нас" для статьи, подобной немецкой § 202a, требуется именно прямой умысел, т.к. это статья с формальным составом преступления (наступление последствий не требуется).
Или в материалах дела есть что-то еще, что мы тут не учли.
Про неосторожность/небрежность в немецком праве можно многое прочитать, но даже согласно определению, наш программист под него не подпадает:
Каждый, кто при совершении действия или бездействия, не проявляет достаточной осторожности (внимания/предусмотрительности - сложное слово, имеет много значений), и в результате допустит противоправных действий и не поймет этого. (перевод мой)
Немецкий НС уже много раз констатировал, что для того чтобы действие было квалицировано как "неосторожность/небрежность" в уголовном праве, нужно чтобы человек сделал какие-то действия, но эти действия оказались неверными. Другими словами, например, спросить у адвоката "можно такое делать?" или, например, спросить у фирмы "мне можно такое делать?" и даже если ему ответит человек, который не имеет права выдать ему разрешения, то действия программиста в самом плохом случае будут квалифицированы как "неосторожность/небрежность".
Про неосторожность/небрежность в немецком праве можно многое прочитать, но даже согласно определению, наш программист под него не подпадает:
Судя по https://cyberleninka.ru/article/n/2001-02-065-sostav-deyaniya-v-germanskom-ugolovnom-pre-obzor/viewer - в немецком уголовном праве всё сложнее, чем у нас... Например, может сработать принцип "что разрешено в одной области права, не может быть запрещено в другой", даже если там "всё сошлось" и преступление налицо.
В общем, нужны материалы дела и специалист по немецкому уголовному праву (и возможно, специалист по немецкому инфобезу - вдруг там как раз разрешено тестировать некоторые кейсы).
Пароль, пишут, мог быть получен и без декомпиляции
Тут вопрос в том, что суд понимает под “декомпиляцией”. И я думаю, что это не только декомпиляция в узком техническом смысле, но и любое исследование кода программы посторонними средствами. В том числе и выполнение с загрузочным файлом любых действий, кроме его запуска, например, просто его просмотр.
Суд скорее всего сам это у экспертизы спрашивает, т.к. для понимания "необходимы специальные знания, обладателем которых судья не является". Т.к. вряд ли термин "декомпиляция" определён в нормативных актах, а не отраслевых стандартах или в сложившейся отраслевой терминологии.
На самом деле это не особо важно была там декомпиляция или нет. Потому что, цитирую из статьи:
Am Ende des Prozesses hatte aber auch dies kaum Auswirkungen auf das Urteil. Der Vorsitzende Richter gab zu Protokoll, dass alleine die Tatsache, dass die Software ein Passwort für die Verbindung gesetzt habe, bedeute, dass ein Blick in die Rohdaten des Programms und eine anschließende Datenbankverbindung zu Modern Solution den Straftatbestand des Hackerparagrafen erfülle.
То есть если грубо перевести, то с точки зрения суда даже просто просмотра файла, нахождение там пароля и факта соединения с базой данных уже достаточно для того чтобы попасть под "статью о взломе".
с точки зрения суда даже просто просмотра файла, нахождение там пароля и факта соединения с базой данных уже достаточно
Но пентестинг в Германии вроде как легален (правда, по слухам), а как пишут правоведы - если в Германии (в отличии от России, где с этим всё непросто) в одной отрасли права что-то разрешено, то и в другой отрасли права это будет иметь бОльшую силу, чем установленный в той отрасли запрет.
Так что наверное правда, без специалистов по немецкому праву тут не так просто будет разобраться.
Но пентестинг в Германии вроде как легален
Угу. Вроде как. То есть вопрос в том что у нас является пентестингом, а что нет.
И на данный момент "пентестинг" это когда у вас договор с фирмой или у фирмы есть какие-то "открытые для всех" Bug Bounty и иже с ними.
Если же вы просто занимаетесь этим сами по себе, то вы в "серой зоне". Причём очень тёмно серой. И если что-то пойдёт не так, то фирма может подать на вас заявление в полицию и вам грозит суд.
И в данном конкретном случае именно это произошло. Причём судя по всему заявление прилетело именно после публикации от "техноблоггера".
П.С. И есть ещё никем официально не подтверждённые слухи что этот товарищ хотел "награду" за найденную дыру. И обратился к блогерру именно потому что он её не получил.
И в данном конкретном случае именно это произошло.
Не настолько знаком с германским законодательством, а тут уже специфика начинается. Почему в РФ пентестинг работает скорее не по закону, а по понятиям (а если "по закону" - то это формально даже не в серой зоне, а вообще незаконно) - это могу объяснить.
Можно только сказать, что в Германии право тоже не прецедентное, а потому другой суд в похожей ситуации может и противоположное решение принять. Так что ждём бОльших подробностей и/или следующую инстанцию.
если действия производятся с целью подключиться к БД, то это прямой умысел, потому что человек осознает, что делает и с какой целью.
Однако я имел целью подключиться к БД заказчика и увидеть таблицу clients— а по факту когда я подключился к указанному мне серверу и ввёл данный мне пароль, я увидел таблицы fbi_secrets!
Но нельзя - подключаться к чужой БД умышленно (то есть хотел подключиться к чужой БД, зная, что владелец не давал на это разрешения).
Как же там багхантеры доказывают актуальность уязвимостей, если по факту у них нет законного права их проверять?
Очень интересный вопрос... Зависит от юрисдикции, в некоторых работают "потому что до них нет дела".
Или еще веселее.. У нас вон ст.273 УК РФ настолько резиновая, что по ней уже давным давно должны сидеть Лаборатория Касперского и Дрвеб, за группу лиц по предварительному сговору. Но вот не сидят... Абсурдно всё настолько, что ВС РФ занялся нормотворчеством (каковой функции у него формально нет, это ж не англо-американская правовая система, но вот поди ж ты) и попытался эту ситуацию сделать поприличнее. Но всё равно не до конца.
Если у компании прямо есть программа по поиску уязвимостей, то в правилах указаны условия и обычно там написано, что подобный человек имеет право проверить уязвимость без нанесения ущерба компании.
Другой вариант, компания лояльна (на публику, боятся испортить репутацию), человека поблагодарят, то есть формально предоставят разрешения "задним числом". Уголовный закон прямо позволяет предоставить разрешение "задним числом" на любое действие.
И третий вариант - тут в статье написано :-)
Программа багхантинга чётко прописывает разрешение на подобные действия и порядок того, как о найденном можно сообщать и куда.
Но нельзя - подключаться к чужой БД умышленно (то есть хотел подключиться к чужой БД, зная, что владелец не давал на это разрешения)
А к паролю разве было написано, что он от чужой БД, а не от той, с которой программа работает и право подключаться к которой уже есть?
А разве право пользоваться программой автоматически даёт вам право напрямую подключаться к базе данных? Насколько я знаю это не так.
Более того как раз наоборот в пользовательских соглашениях обычно прописаны прямые запреты на подобные вещи.
Гм. А как определяется "напрямую"? Между клиентом и поставщиком обычно находятся некоторые промежуточные маршрутизаторы провайдера. Это все еще напрямую или уже нет? Ведь с технической точки зрения к БД подключается оборудование провайдера, а не программа. А если вы через прокси работаете? А если прокси локальный? А если вы сам разработчик этого прокси и его дебажите? Ваша программа -- имеете право! Где грань? Кажется, что если написать мало-мальский запрет, то юридически пользоваться программой будет невозможно.
Гм. А как определяется "напрямую"?
В данном контексте "напрямую" означает любым другим способом кроме как через использование программы.
Вот есть у вас программа и у вас есть право её использовать. Причём по хорошему только так, как это разрешено в пользовательских соглашениях. Какие-то другие права вам никто "в нагрузку" автоматом не давал.
А ведь могли бы за эти деньги просто отблагодарить чела и тихо-мирно закрыть дыру. Ещё одно напоминание про "не делай добра, не получишь зла". :(
После того, как он слил данные о уязвимости левому блогеру - уже не могли.
После того, как уязвимость была устранена, информация о ней с описанием сути проблемы появилась в сети.
Это нормальная практика, оповещать пользователей об устранении уязвимости после устранения уязвимости. Сама компания могла этого не сделать, скрыв фактически утечку, что, по мне, ещё большее преступление.
Прекрасненько. Теперь надо массово делать объявления — "Теперь после дела того парня, если я найду дыры в безопасности этой шарашкиной конторы, то ни за что об этом не сообщу. Желаю удачи хакерам. При такой ужасной проработке безопасности, им не составит труда отомстить за нашего брата бесчеловечным идиотам."
"А в нормальной стране ему бы заплатили премию за найденную уязвимость. А ещё в нормальной стране работает институт репутации" Ой, страну перепутал :)))
Это урок всем программерам, нашел уязвимость, сливай ее в даркнет, и пофиг))
Не делай добро, не получишь зло))
Сотни тысяч клиентов и эта компания годами пытается стрясти с одного единственного человека деньги, причем такие что для компании это по сути копейки... В чем смысл?
Такое ощущение что компания состоит из деспотивных детей которых все детство булили и конфеты отбирали.
На лицо полное лицемерие компаний, когда резюме отсылаю компаниям те продают эти данные что бы потом мне мошенники названивали, при этом сами же готовы любого до трусов обобрать лишь бы им не "навредили". Ну это обратная сторона корпоративного мира в котором мы все живём.
Очень жаль этого программиста, ведь он мог просто промолчать, но вместо этого он подумал как будет лучше компании и вот что получил взамен...
Просто цирк уродов. Спасибо что хоть штраф на 3к€ а не 3 года исправительных работ.
Это немцы! Они роботы, у них написано, что по закону должны поступить именно так, они так и поступают. А уроды или не уроды им абсолютно по барабану)
Я вот давно во всей продукции одной немецкой фирмы уязвимость нашёл, но прежде, чем сообщать им, стоит не один раз подумать, а лучше сразу под контролем адвоката начинать такие обращения...
Одни за это платят, другие подают в суд. С их прецедентным правом, тепер сообщать об уязвимостях как-то опасно!
А раньше был считай заработком:
https://habr.com/ru/news/718744/
В Германии не прецедентное право.
Так как судьи друг другу свои люди, то как ни крути, принимают во внимание системные тенденции. Так что прецедент имеет вес, хоть и не официально.
Судебный прецедент - это решение судьи ставшее истоником права. Просто какое-то решение судьи, которое потом используют неофицильно судебным прецедентном не является. Прецедентное право - это право, в котором существует судебный прецедент. То же что вы описываете - это правоприменительная практика.
В прецедентном праве нижестоящие суды ОБЯЗАНЫ решать так же, как решил аналогичное дело вышестоящий суд. Т.е. решения судов имеют законодательную силу для нижестоящих судов.
Несколько не так. В англо-американском праве прецедент - это решение, вынесенное по аналогичному делу, разрешённому в рамках аналогичного производства. Т.е. даже суд первой инстанции может создать прецедент. Другое дело, что по пути апелляций и кассаций дело могу пересмотреть - и тогда будет важно, что решат в конечно инстанции. Но если решение останется в силе - то да, прецедент создаст судья на первой инстанции, и потом другие суды должны ему следовать.
В континентальной правовой системе разные суды в аналогичных условиях при аналогичных обстоятельствах могут вынести противоположные решения, и это нормально, потому судьи и отвечают при попытке обосновать свою позицию судебной практикой, что "у нас право не прецедентное". Но это не значит, что суды высших инстанций ничего не делают для обеспечения единообразия судебной практики, но "это уже несколько другая история".
Ну да. Любой суд может создать прецедент. Я имел в виду, что вышестоящий суд может принять другое решение и тем самым изменить прецедент. А нижестоящий суд другое решение принять не может, а должен решать так же, как когда-то решил вышестоящий суд.
Припоминается, что когда-то читал, как в Англии Верховный (или какой он у них там) заседал по поводу какого-то решения принятого чуть ли не при Генрихе 8-м, чтобы изменить его, т.е. к современным условиям оно больше неприменимо, но суды обязаны ему следовать.
Я имел в виду, что вышестоящий суд может принять другое решение и тем самым изменить прецедент.
Опять не совсем так :)
Пока дело идёт по инстанциям, и там меняется или не меняется - о прецеденте и его изменении речь еще не идёт. Вот когда "всё" - тогда да, тогда прецедент будет создан (если это прецедент, а не решение на основе прецедента, разумеется).
Другое дело, что высшие инстанции могут быть (зависит от страны...) не связаны даже своими собственными прецедентами и т.о. могут создать новый прецедент, в т.ч. отменив старый.
А вот суд первой инстанции будет руководствоваться прецедентами, в т.ч. им же и созданными, или такого же уровня судом другого округа. Т.е. вышестоящий суд тут не обязателен.
В реальности всё сложнее и наблюдается определённое смешение систем, и вот как раз у нас нижестоящие суды как раз оглядываются на решения вышестоящих, хотя право - не прецедентное.
.
Поправьте меня, если я что-то не так понял, НО... уважаемый программер с легкими хакерскими наклонностями, углядев в софте открытый пароль, сознательно полез искать (или перехватывать трафик, уж не знаю) к чему и куда этот пароль подходит (что какбы уже не есть хорошо, но пока не тянет на статью). А вот дальше, самое интересное. Обнаружив что все что он собрал отличненько позволяет получить доступ к 100500 критическим данным компании, наш герой не написал письмо в контору с предложением срочно все пофиксить, а обратился к ним посредством некоего "техноблоггера", что я в этом контексте читаю как "опубликовал данные о найденной уязвимости в открытых источниках" (ибо, в противном случае, на кой ему блоггер?).
За что и поплатился...
Уверен, что в суде наш герой не показал письмо отправленное ДО, следующего содержания: "уважаемая контора, у вас там пароль в открытом виде, спасайте данные", а если бы показал то решение было бы совсем другое.
Хм, а я думал раньше, что за помощь в поиске и устранение уязвимостей наоборот деньги дают (я не программист если что), вон сколько разных мероприятий Сбер проводит, Тинькофф и прочие. Странно это как-то🤔🤔😥
Классика. Не делай добра - не получишь зла
Так давно ясно что white hat это особая форма куклдизма
Уже давно ясно, что использующие слово "куколд" не в курсе, что оно вообще означает.
Немецкий суд оштрафовал программиста-фрилансера на €3000 — он сообщил заказчику о серьёзной уязвимости