LINUX.ORG.RU

ГД РФ приняла в первом чтении закон о «Белых хакерах»

 ,

ГД РФ приняла в первом чтении закон о «Белых хакерах»

4

3

Госдума приняла в первом чтении законопроект о праве «белых хакеров» бесплатно и без разрешения автора изучать программу для электронно-вычислительных машин (ЭВМ) в целях выявления недостатков.
Изменения касаются статьи 1280 части 4 Гражданского Кодекса.


Лицо, правомерно владеющее экземпляром программы для ЭВМ
или экземпляром базы данных, (пользователь) вправе без разрешения автора
или иного правообладателя и без выплаты дополнительного вознаграждения
изучать, исследовать или испытывать функционирование такой программы и
(или) базы данных в целях выявления недостатков для их безопасного
использования или поручить иным лицам осуществить эти действия при
соблюдении следующих условий:


  • указанные действия осуществляются исключительно в
    отношении экземпляров программ для ЭВМ и (или) базы данных,
    функционирующих на технических средствах пользователя;
  • выявленная пользователем или лицом, действующим по его
    поручению, информация о недостатках не может быть передана
    третьим лицам, за исключением правообладателя и (или) лица,
    осуществляющего переработку программы для ЭВМ и (или) базы
    данных с согласия правообладателя, если иное не установлено
    законом.
  • Лицо, выявившее недостатки безопасного использования
    программы для ЭВМ и (или) базы данных, обязано сообщить о них
    правообладателю в течение пяти рабочих дней со дня их выявления, за
    исключением случая если в результате предпринятых им разумных и
    достаточных мер ему не удалось установить его место нахождения, место
    жительства или адрес для переписки.".


>>> Подробности

★★★★★

Проверено: dataman ()
Последнее исправление: dataman (всего исправлений: 1)
Ответ на: комментарий от firkax

А, ну да. В опенсорсе имеется разрешение автора, соответственно можешь искать баги и не обязан никуда сообщать.

Формально в опенсорсе НЕТ разрешения автора на изучение. Сейчас даже GPL (2-й версии) посмотрел, там даже прямо написано:

На действия, отличные от копирования, распространения и модификации, настоящая Лицензия не распространяется; они не входят в сферу ее действия.

Звучит бредово (как можно модифицировать, не изучив), но под случай поиска уязвимостей подпадает, вернее не подпадает. То есть, даже в OpenSource поиск уязвимостей с этим законом становится формально непубличным.

praseodim ★★★★★
()

После вдумчивого раскуривания кружечки ханчая я сообразила, что теперь программы можно использовать только в рамках строго документированных возможностей, а не то ой. Учите матчасть.

Irma ★★
()
Ответ на: комментарий от praseodim

В США разрешительное право. У нас запретительное.

Когда Вы околачиваете груши. И к Вам подходит полицеский. Спрашивает:
– Что это Вы вытворяете?

В РФ:
– Околачивать груши не запрещено.

В США:
– Я пользуюсь своим правом околачивать груши согласно сотой поправке.

Смысла это не меняет совсем. А только формулировки.

thegoldone ★★
()
Ответ на: комментарий от firkax

Нет, винду тоже нельзя теперь исследовать, потому что придется сообщать правообладателю из недружественной страны, коллизия образовалась.

Irma ★★
()
Ответ на: комментарий от firkax

Не, пункты можно добавлять. Просто они будут игнорироваться если ты реверсишь в целя поиска уязвимостей. Скопировать внутрнние api или внести изменение ты всё ещё не имеешь права, как и опубликовать найденные уязвимости.

kirill_rrr ★★★★★
()
Ответ на: комментарий от praseodim

явную закладку, самый гнусный слив своих данных

О подобном не общественности сообщают, а в правоохранительные органы.

Если Вы найдёте банкомат, который по коду 0000, ни с того, ни с сего, выдаёт тысячу рублей. Думаете, рассказать об этом общественности, хорошая идея?

thegoldone ★★
()
Ответ на: комментарий от Irma

Коллизия будет когда ты что-то найдёшь, а если искал но не нашёл - коллизий нет.

firkax ★★★★★
()
Ответ на: комментарий от firkax

Вот будут у тебя на компе декомпилированные исходники винды - и за них тебя нельзя будет посадить - ведь это ты баги в ней ищешь.

Справедливости ради, я не припомню судебной практики, чтобы кого-то садили за что-то найденное декомпилированное. Не то, чтобы я ее прям плотно отслеживаю, но думаю такой случай стал бы широко известен.

Весьма похоже, что закон принимается под нужные компании. Чтобы с одной стороны у них была свобода реверсить для собственных нужд в безопасности, с другой, чтобы разные кулхацкеры не докучали сообщениями о багах в импортозамещениях.

praseodim ★★★★★
()
Ответ на: комментарий от kirill_rrr

Если они игнорируются значит их нет - это и есть запретили. А цель реверса спросят у тебя - главное правильно ответить.

Причём тут копирования апи? Реверс и кража кода это разные вещи, и большинство правообладателей запрещают оба действия. Теперь могут запретить только второе.

firkax ★★★★★
()
Ответ на: комментарий от praseodim

(пользователь) вправе без разрешения автора или иного правообладателя и без выплаты дополнительного вознаграждения

Если это bug bounty programm. Или есть разрешение от автора (FOSS). То это регулируется иначе.

thegoldone ★★
()
Ответ на: комментарий от CrX

В чём подвох?

Лицо, выявившее недостатки безопасного использования программы для ЭВМ и (или) базы данных, обязано сообщить о них правообладателю в течение пяти рабочих дней со дня их выявления

А если нет, то ты что-то скрываешь!

mord0d ★★★★★
()
Ответ на: комментарий от thegoldone

О подобном не общественности сообщают, а в правоохранительные органы.

Вообще-то даже о преступлениях можно (пока можно?) сообщать не в органы, а общественности. Это, наоборот, органы могут (и где-то даже обязаны) заводить дела на основании публикаций в СМИ.

Не забывай, что это в принципе органы обязаны служить народу, а не наоборот властвовать над ним.

Если Вы найдёте банкомат, который по коду 0000, ни с того, ни с сего, выдаёт тысячу рублей. Думаете, рассказать об этом общественности, хорошая идея?

А зачем переходить на аналогии? В данном случае может и нет, но например о банковском приложении, которое лезет во все щели сообщить общественности хорошая идея.

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

Вообще-то даже о преступлениях можно (пока можно?) сообщать не в органы, а общественности.

Только как Вы потом докажете, что Вы сообщили общественности о преступлении. А не опубликовали в закрытой группе преступников дыру для эксплуатации. Уверен, судья быстро разъяснит Вам отличия. А если не дойдёт, то в камере объяснят.

Свободы они такие. У всех есть. И разные. Свобода трактовки, например.

thegoldone ★★
()
Последнее исправление: thegoldone (всего исправлений: 2)

Никоим образом не защищаю разработчиков закона, но хочу отметить, что это только первое чтение. И уже к первому чтению к нему появились замечания у Правового управления Аппарата Госдумы:

По результатам рассмотрения законопроекта сообщаем следующее.

Законопроект использует формулировки «выявление недостатков для безопасного использования программы для ЭВМ и (или) базы данных», «выявление недостатков безопасного использования программы для ЭВМ и (или) базы данных», которые нуждаются в уточнении, поскольку не позволяют однозначно определить их значение, в частности, имеется ли в виду выявление недостатков товара в значении данного понятия, применяемом законодательством Российской Федерации (статьи 475, 503 Гражданского кодекса Российской Федерации, абзац восьмой преамбулы Закона Российской Федерации от 07.02.1992 № 2300-1 «О защите прав потребителей»).

Неопределённость указанных формулировок может повлечь проблемы в правоприменительной практике при определении наличия у пользователя обязанности сообщить об указанных недостатках правообладателю в течение 5 рабочих дней со дня их выявления. Вместе с тем проектом не определены правовые последствия неисполнения данной обязанности.

Также обращаем внимание, что положениями подпункта 1 пункта 1 статьи 1280 Гражданского кодекса Российской Федерации уже предусмотрено право лица, правомерно владеющего экземпляром программы для ЭВМ или экземпляром базы данных, осуществлять подобные действия (действия, необходимые для функционирования программы для ЭВМ или базы данных, включая исправление явных ошибок), если иное не предусмотрено договором с правообладателем.

Я, кстати, как раз и хотел сказать, что на самом-то деле в изначальной версии статьи 1280 ГК РФ уже есть что-то похожее:

Статья 1280. Право пользователя программы для ЭВМ и базы данных

1. Лицо, правомерно владеющее экземпляром программы для ЭВМ или экземпляром базы данных (пользователь), вправе без разрешения автора или иного правообладателя и без выплаты дополнительного вознаграждения:

1) осуществлять действия, необходимые для функционирования программы для ЭВМ или базы данных (в том числе в ходе использования в соответствии с их назначением), включая запись и хранение в памяти ЭВМ (одной ЭВМ или одного пользователя сети), внесение в программу для ЭВМ или базу данных изменений исключительно в целях их функционирования на технических средствах пользователя, исправление явных ошибок, если иное не предусмотрено договором с правообладателем;

2) изготовить копию программы для ЭВМ или базы данных при условии, что эта копия предназначена только для архивных целей или для замены правомерно приобретенного экземпляра в случаях, когда такой экземпляр утерян, уничтожен или стал непригоден для использования. При этом копия программы для ЭВМ или базы данных не может быть использована в иных целях, чем цели, указанные в подпункте 1 настоящего пункта, и должна быть уничтожена, если владение экземпляром таких программы или базы данных перестало быть правомерным.

2. Лицо, правомерно владеющее экземпляром программы для ЭВМ, вправе без согласия правообладателя и без выплаты дополнительного вознаграждения изучать, исследовать или испытывать функционирование такой программы в целях определения идей и принципов, лежащих в основе любого элемента программы для ЭВМ, путем осуществления действий, предусмотренных подпунктом 1 пункта 1 настоящей статьи.

3. Лицо, правомерно владеющее экземпляром программы для ЭВМ, вправе без согласия правообладателя и без выплаты дополнительного вознаграждения воспроизвести и преобразовать объектный код в исходный текст (декомпилировать программу для ЭВМ) или поручить иным лицам осуществить эти действия, если они необходимы для достижения способности к взаимодействию независимо разработанной этим лицом программы для ЭВМ с другими программами, которые могут взаимодействовать с декомпилируемой программой, при соблюдении следующих условий:

1) информация, необходимая для достижения способности к взаимодействию, ранее не была доступна этому лицу из других источников;

2) указанные действия осуществляются в отношении только тех частей декомпилируемой программы для ЭВМ, которые необходимы для достижения способности к взаимодействию;

3) информация, полученная в результате декомпилирования, может использоваться лишь для достижения способности к взаимодействию независимо разработанной программы для ЭВМ с другими программами, не может передаваться иным лицам, за исключением случаев, когда это необходимо для достижения способности к взаимодействию независимо разработанной программы для ЭВМ с другими программами, а также не может использоваться для разработки программы для ЭВМ, по своему виду существенно схожей с декомпилируемой программой для ЭВМ, или для осуществления другого действия, нарушающего исключительное право на программу для ЭВМ.

4. Применение положений, предусмотренных настоящей статьей, не должно противоречить обычному использованию программы для ЭВМ или базы данных и не должно ущемлять необоснованным образом законные интересы автора или иного правообладателя.

Исходя из этого предложенный законопроект кажется избыточным.

А в Заключении Комитета по государственному строительству и законодательству также есть замечания:

предлагаемая Законопроектом формулировка пункта 2.2 статьи 1280 Гражданского кодекса Российской Федерации потребует соотнесения с механизмом информирования правообладателя в случае, если не удалось установить его место нахождения, место жительства или адрес для переписки.

Так что я думаю, что к третьему чтению этот законопроект может вообще очень сильно поменяться.

mshewzov ★★★
()
Ответ на: комментарий от goingUp

А суть в чём? «Хакер? Ищи баги в нашем софте!»

Ukka
()
Ответ на: комментарий от firkax

Если они игнорируются значит их нет - это и есть запретили.

Нет, запретили это если прописаны санкции за включение таких условий в согашение. А здесь просто случай «если какие либо нормы данного договора противоречат законодательству РФ, тогда действует норма законодательства и не действует пункт договаора».

Реверс и кража кода это разные вещи

Разные. Вот ты провёл реверс винды, что прямо запрещено лицензией, узнал как винда работает и написал вайн. Это запрещено лицензией. Это почти нереально доказать, но если удастся... Но кода ты ведь не крал! А лицензию нарушил. А по новому закону ты имеешь право реверсить чтобы забесплатно поработать тестировщиком майкрософта, но всё ещё не имеешь права писать вайн.

kirill_rrr ★★★★★
()
Ответ на: комментарий от thegoldone

Если Вы найдёте банкомат, который по коду 0000, ни с того, ни с сего, выдаёт тысячу рублей. Думаете, рассказать об этом общественности, хорошая идея?

Банк в худшем случае потеряет ~5-10% суточного оборота. А собственно почему это ты должен прикрывать задицу банка от их же собственных косяков?

Возможна более интересная ситуация: ты узнал о мошенничестве оператора по списанию твоих (и других абонентов) денег через бэкдор в например андроидах версии 12.0.1. данный закон защитит интересы мошенника потому что ты обязан нажаловаться Гуглу, гуглу будет глубоко насрать ещё полгода (в самом быстром случае и то если повезёт), а ты ддолжен сидеть и молчать.

kirill_rrr ★★★★★
()

Очередной бред высрали. К обсуждению закона как всегда компетентных людей не приглашали: сверху что-то поручили — утром в газетах, послезавтра — в матерных куплетах. Я вообще против обсуждения того что они там приняли или собираются. Я за игнорирования факта их существования, если про них перестанут писать на сайтах, то они успокоятся и займутся чем-то полезным акромя популизма и запрещения всего подряд, а может обидятся и сопьются со всеми вытекающими — что тоже неплохо.

rtxtxtrx ★★
()
Ответ на: комментарий от mshewzov

Исходя из этого предложенный законопроект кажется избыточным.

Никогда такого не было...

Вместе с тем проектом не определены правовые последствия неисполнения данной обязанности.

хочу отметить, что это только первое чтение. И уже к первому чтению к нему появились замечания

Ага, они сразу же нашли недостатки бессмысленного и неопределённого поведения и... сразу же завели речь что надо бы ещё и ответственность наложить!

kirill_rrr ★★★★★
()
Последнее исправление: kirill_rrr (всего исправлений: 1)
Ответ на: комментарий от LamerOk

То есть публиковать инфу о найденных уязвимостях по-прежнему нельзя.

Нельзя, но если я верно понял, теперь _можно_ будет прямо на глазах у участкового дизассемблировать винду и это _точно_ не преступление. А раньше это было под вопросом.

Я не знаю правоприменительной практики. Мне кажется что если судить по тексту этого закона, то можно предположить до этого закона впринципе можно было привлекать свидетелей которые видели как ты дизассемблировал винду. И похоже этого могло быть достаточно чтобы посадить человека. Т.е. все те ребята которые занимались выявлением уязвимостей, они как бы всё время вне закона у нас получается. Хотя случаев привлечения я не знаю, но как то всё равно не по себе наверное.

AndreyKl ★★★★★
()
Ответ на: комментарий от cocucka_B_TECTE

А если мне надо изучить их защиту от нелицензионного использования?

Можно. На легально купленной копии. Способов её неправильно использовать — масса.

question4 ★★★★★
()
Ответ на: комментарий от kirill_rrr

В контексте договоров «запретили» это как раз «пункт не действует». Никаких других санкций там быть не может. Не, ну если ты составишь договор на заказное убийство то да, будут санкции, но не за то что ты это в договор вписал, а за преступную деятельность вообще. А так - никаких «санкций» за неправильные пункты договора, за исключением отмены действия этих пунктов, не бывает.

Разные. Вот ты провёл реверс винды, что прямо запрещено лицензией, узнал как винда работает и написал вайн.

Опять ты приписываешь мне то что я не писал. Последние три слова убираешь, ставишь точку после «работает». А не собирался никакие вайны обсуждать.

поработать тестировщиком майкрософта

Нет. Присылать им найденное ты, вероятно, должен, но доказать факт того что ты это нашёл тут не представится возможным. Может быть, ты глупый, и даже видя в упор дыру не понял что это дыра, кто опровергнет то? Или решил что это не дыра, а «так и задумано» в целях лучшей обратной связи поставщику ПО.

firkax ★★★★★
()
Ответ на: комментарий от question4

У людей, которые не имеют никакого права их продавать, как онлайн-кинотеатры с ручным роскомнадзором блокировать сайты с сериалами, которые есть на тех площадках без разрешения правообладателей. И это так чисто с точки зрения закона, которые так пишут, чтобы посадить можно было всех, хотя я не исключаю, что это происходит так как эксперты во всех областях, начиная от квадробинга и кончая этичным хацкерством, не разбираются ни в чем и поручают их писать секретаршам

rtxtxtrx ★★
()
Ответ на: комментарий от Irma

Нет, винду тоже нельзя теперь исследовать, потому что придется сообщать правообладателю из недружественной страны, коллизия образовалась.

?? Напиши письмо в микрософт, если уж приспичело.

AndreyKl ★★★★★
()
Ответ на: комментарий от thegoldone

В США разрешительное право. У нас запретительное.

Это разве юридическая терминология?

seiken ★★★★★
()
Ответ на: комментарий от mshewzov

если иное не предусмотрено договором с правообладателем.

договором с правообладателем часто таки предусмотрено иное.

AndreyKl ★★★★★
()

Библия, если кто не знал, это база данных с нумерованными записями. Равно как и талмуд. И сообщить об ошибке просто некому, потому что жрецы не озаботились получить права на священные тексты.

Irma ★★
()

капитан очевидность

kto_tama ★★★★★
()

Как всегда, написали закон, который достаточно внятно разъясняет «серую» зону. Но тут же васяны поднимают вой - запретили, запретили. Этот закон прописывает механизмы работы всяких касперских и прочих компаний работающих в сфере безопасного по, а не нахрен никому не сдавшихся васянов.

vtVitus ★★★★★
()
Ответ на: комментарий от thegoldone

Это промокод называется. В геншин их бесплатно раздают бывает.

user1087
()
Ответ на: комментарий от thegoldone

Понятно что, если ты не публиковал сообщение, то ты не кому не докажешь что ты его не публиковал.

user1087
()
Ответ на: комментарий от rsync

а в чём разница?

Ну блин... Допустим киллер пользуется снайперской винтовкой. Он, безусловно, снайпер. Но не каждый снайпер киллер. Так вот, хакер - это профессиональный... Пусть программист. Тот же Линус Торвальдс - типичный кернел хакер.

http://www.catb.org/~esr/faqs/hacker-howto.html

«The basic difference is this: hackers build things, crackers break them».

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 3)
Ответ на: комментарий от AS

Это какой-то не удачный пример, типа я не киллер, я только учусь. А хакер это да широкое значение, но в обывательском значение это тот кто что-то взламывает, хотя и тут можно придраться, так как обычно хакером представляют того кто взламывает сервера, и получает доступ к секретным данным, а крякер тот кто ломает защиту лицинзионного ПО.

screamager
()
Ответ на: комментарий от mshewzov

третьему чтению этот законопроект может вообще очень сильно поменяться

Хм , на Госдума не очень компетентна как показывает практика.Угадайте сколько лет вам грозит за взлом сетевой камеры на АЭС ? Не угадали -есть целых 8 статей уголовного кодекса по этому делу!!!! Они ещё хотели принять да один депутат и так уже чуть не матерился,что от 9-ой статьи террористам не жарко не холодно.
В общем могут штраф выписать,а могут расстрелять (да да ,высшая мера,как террориста), серьезно,в одной из статей Ук с такими дурацкими формулировками что реально за взлом сетевой камеры могут расстрелять,все юристы в журнале Хакер матерились .И не надо смеяться,просто у нас пока мораторий,но с Совета Европы мы вышли,и ЕСПЧ нам теперь не указ ...Будет грустно.

maximnik0 ★★
()
Ответ на: комментарий от Irma

А где парный к этому закон, о том, что правообладатель в течение пяти дней обязан дырочку закрыть?

Так дырочка это того кого надо дырочка. И не дырочка, а закладочка. Поэтому и разглашать запрещено

Chord ★★★★
()
Ответ на: комментарий от firkax

В контексте договоров «запретили» это как раз «пункт не действует»

Не, в контексте договоров это как раз «запретили составлять договора на убийство». Или как минимум «договора с запрещённым пунктом считать полностью недействительными».

А так - никаких «санкций» за неправильные пункты договора, за исключением отмены действия этих пунктов, не бывает.

Это если не выпускают специального закона на эту тему. А иначе кроме как ради санкций такие законы писать нет смысла.

Опять ты приписываешь мне то что я не писал.

Надо же было как то объяснить тебе о чём я говорил.

kirill_rrr ★★★★★
()
Ответ на: комментарий от Chord
И строго в дырку говорит:
"Скажи, любезный друг,
Каким путем,
Причем с ключом,
Забрался ты в сундук?

Неужто через дырочку?
Неужто через щелочку?
Иль в странное отверстьице
Для маленьких жучков?"
Irma ★★
()
Ответ на: комментарий от rtxtxtrx

Я за игнорирования факта их существования

Именно этого им и надо.

AP ★★★★★
()

Прочитав тред, как всегда, приятно осознавать, что люди, находящиеся вне РФ, больше всего переживают за свою родину. Настоящие патриоты.

eyrell
()
Ответ на: комментарий от Bfgeshka

...теперь наконец-то не посадють...

«Был бы человек, а статья найдётся.»

А закон по делу и вовремя. Теперь можно будет на легальной основе заниматься, скажем, реверсом ПО.

sparkie ★★★★★
()

Лицо, правомерно владеющее экземпляром программы

А сейчас есть ваще такое? Возможность «правомерно владеть экземпляром программы»? Вроде бы нету. Сейчас ты вообще ничем не владеешь, даже если заплатил, но те кто владеют программами на твоём диске не несут никакой ответственности ни за что.

rechnick ★★★
()
Ответ на: комментарий от Irma

Так зайдите в систему, тисните отзыв на законопроект со всей своей аргументацией

cobold ★★★★★
()
Последнее исправление: cobold (всего исправлений: 1)
Ответ на: комментарий от CrX

Знаешь старый анекдот?

В Англии, что можно, то можно. В Америке можно даже то, чего нельзя. В Германии чего нельзя, того нельзя. В СССР нельзя даже то, что можно.

LongLiveUbuntu ★★★★★
()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.