ГД РФ приняла в первом чтении закон о «Белых хакерах»

Я не думаю что они вообще об этом подумали.

А, ну да. В опенсорсе имеется разрешение автора, соответственно можешь искать баги и не обязан никуда сообщать.

Формально в опенсорсе НЕТ разрешения автора на изучение. Сейчас даже GPL (2-й версии) посмотрел, там даже прямо написано:

На действия, отличные от копирования, распространения и модификации, настоящая Лицензия не распространяется; они не входят в сферу ее действия.

Звучит бредово (как можно модифицировать, не изучив), но под случай поиска уязвимостей подпадает, вернее не подпадает. То есть, даже в OpenSource поиск уязвимостей с этим законом становится формально непубличным.

После вдумчивого раскуривания кружечки ханчая я сообразила, что теперь программы можно использовать только в рамках строго документированных возможностей, а не то ой. Учите матчасть.

В США разрешительное право. У нас запретительное.

Когда Вы околачиваете груши. И к Вам подходит полицеский. Спрашивает:
– Что это Вы вытворяете?

В РФ:
– Околачивать груши не запрещено.

В США:
– Я пользуюсь своим правом околачивать груши согласно сотой поправке.

Смысла это не меняет совсем. А только формулировки.

Нет, винду тоже нельзя теперь исследовать, потому что придется сообщать правообладателю из недружественной страны, коллизия образовалась.

Не, пункты можно добавлять. Просто они будут игнорироваться если ты реверсишь в целя поиска уязвимостей. Скопировать внутрнние api или внести изменение ты всё ещё не имеешь права, как и опубликовать найденные уязвимости.

явную закладку, самый гнусный слив своих данных

О подобном не общественности сообщают, а в правоохранительные органы.

Если Вы найдёте банкомат, который по коду 0000, ни с того, ни с сего, выдаёт тысячу рублей. Думаете, рассказать об этом общественности, хорошая идея?

Коллизия будет когда ты что-то найдёшь, а если искал но не нашёл - коллизий нет.

Вот будут у тебя на компе декомпилированные исходники винды - и за них тебя нельзя будет посадить - ведь это ты баги в ней ищешь.

Справедливости ради, я не припомню судебной практики, чтобы кого-то садили за что-то найденное декомпилированное. Не то, чтобы я ее прям плотно отслеживаю, но думаю такой случай стал бы широко известен.

Весьма похоже, что закон принимается под нужные компании. Чтобы с одной стороны у них была свобода реверсить для собственных нужд в безопасности, с другой, чтобы разные кулхацкеры не докучали сообщениями о багах в импортозамещениях.

Если они игнорируются значит их нет - это и есть запретили. А цель реверса спросят у тебя - главное правильно ответить.

Причём тут копирования апи? Реверс и кража кода это разные вещи, и большинство правообладателей запрещают оба действия. Теперь могут запретить только второе.

(пользователь) вправе без разрешения автора или иного правообладателя и без выплаты дополнительного вознаграждения

Если это bug bounty programm. Или есть разрешение от автора (FOSS). То это регулируется иначе.

В чём подвох?

Лицо, выявившее недостатки безопасного использования программы для ЭВМ и (или) базы данных, обязано сообщить о них правообладателю в течение пяти рабочих дней со дня их выявления

А если нет, то ты что-то скрываешь!

Вот спасибо!

О подобном не общественности сообщают, а в правоохранительные органы.

Вообще-то даже о преступлениях можно (пока можно?) сообщать не в органы, а общественности. Это, наоборот, органы могут (и где-то даже обязаны) заводить дела на основании публикаций в СМИ.

Не забывай, что это в принципе органы обязаны служить народу, а не наоборот властвовать над ним.

Если Вы найдёте банкомат, который по коду 0000, ни с того, ни с сего, выдаёт тысячу рублей. Думаете, рассказать об этом общественности, хорошая идея?

А зачем переходить на аналогии? В данном случае может и нет, но например о банковском приложении, которое лезет во все щели сообщить общественности хорошая идея.

Вообще-то даже о преступлениях можно (пока можно?) сообщать не в органы, а общественности.

Только как Вы потом докажете, что Вы сообщили общественности о преступлении. А не опубликовали в закрытой группе преступников дыру для эксплуатации. Уверен, судья быстро разъяснит Вам отличия. А если не дойдёт, то в камере объяснят.

Свободы они такие. У всех есть. И разные. Свобода трактовки, например.

Никоим образом не защищаю разработчиков закона, но хочу отметить, что это только первое чтение. И уже к первому чтению к нему появились замечания у Правового управления Аппарата Госдумы:

По результатам рассмотрения законопроекта сообщаем следующее.

Законопроект использует формулировки «выявление недостатков для безопасного использования программы для ЭВМ и (или) базы данных», «выявление недостатков безопасного использования программы для ЭВМ и (или) базы данных», которые нуждаются в уточнении, поскольку не позволяют однозначно определить их значение, в частности, имеется ли в виду выявление недостатков товара в значении данного понятия, применяемом законодательством Российской Федерации (статьи 475, 503 Гражданского кодекса Российской Федерации, абзац восьмой преамбулы Закона Российской Федерации от 07.02.1992 № 2300-1 «О защите прав потребителей»).

Неопределённость указанных формулировок может повлечь проблемы в правоприменительной практике при определении наличия у пользователя обязанности сообщить об указанных недостатках правообладателю в течение 5 рабочих дней со дня их выявления. Вместе с тем проектом не определены правовые последствия неисполнения данной обязанности.

Также обращаем внимание, что положениями подпункта 1 пункта 1 статьи 1280 Гражданского кодекса Российской Федерации уже предусмотрено право лица, правомерно владеющего экземпляром программы для ЭВМ или экземпляром базы данных, осуществлять подобные действия (действия, необходимые для функционирования программы для ЭВМ или базы данных, включая исправление явных ошибок), если иное не предусмотрено договором с правообладателем.

Я, кстати, как раз и хотел сказать, что на самом-то деле в изначальной версии статьи 1280 ГК РФ уже есть что-то похожее:

Статья 1280. Право пользователя программы для ЭВМ и базы данных

1. Лицо, правомерно владеющее экземпляром программы для ЭВМ или экземпляром базы данных (пользователь), вправе без разрешения автора или иного правообладателя и без выплаты дополнительного вознаграждения:

1) осуществлять действия, необходимые для функционирования программы для ЭВМ или базы данных (в том числе в ходе использования в соответствии с их назначением), включая запись и хранение в памяти ЭВМ (одной ЭВМ или одного пользователя сети), внесение в программу для ЭВМ или базу данных изменений исключительно в целях их функционирования на технических средствах пользователя, исправление явных ошибок, если иное не предусмотрено договором с правообладателем;

2) изготовить копию программы для ЭВМ или базы данных при условии, что эта копия предназначена только для архивных целей или для замены правомерно приобретенного экземпляра в случаях, когда такой экземпляр утерян, уничтожен или стал непригоден для использования. При этом копия программы для ЭВМ или базы данных не может быть использована в иных целях, чем цели, указанные в подпункте 1 настоящего пункта, и должна быть уничтожена, если владение экземпляром таких программы или базы данных перестало быть правомерным.

2. Лицо, правомерно владеющее экземпляром программы для ЭВМ, вправе без согласия правообладателя и без выплаты дополнительного вознаграждения изучать, исследовать или испытывать функционирование такой программы в целях определения идей и принципов, лежащих в основе любого элемента программы для ЭВМ, путем осуществления действий, предусмотренных подпунктом 1 пункта 1 настоящей статьи.

3. Лицо, правомерно владеющее экземпляром программы для ЭВМ, вправе без согласия правообладателя и без выплаты дополнительного вознаграждения воспроизвести и преобразовать объектный код в исходный текст (декомпилировать программу для ЭВМ) или поручить иным лицам осуществить эти действия, если они необходимы для достижения способности к взаимодействию независимо разработанной этим лицом программы для ЭВМ с другими программами, которые могут взаимодействовать с декомпилируемой программой, при соблюдении следующих условий:

1) информация, необходимая для достижения способности к взаимодействию, ранее не была доступна этому лицу из других источников;

2) указанные действия осуществляются в отношении только тех частей декомпилируемой программы для ЭВМ, которые необходимы для достижения способности к взаимодействию;

3) информация, полученная в результате декомпилирования, может использоваться лишь для достижения способности к взаимодействию независимо разработанной программы для ЭВМ с другими программами, не может передаваться иным лицам, за исключением случаев, когда это необходимо для достижения способности к взаимодействию независимо разработанной программы для ЭВМ с другими программами, а также не может использоваться для разработки программы для ЭВМ, по своему виду существенно схожей с декомпилируемой программой для ЭВМ, или для осуществления другого действия, нарушающего исключительное право на программу для ЭВМ.

4. Применение положений, предусмотренных настоящей статьей, не должно противоречить обычному использованию программы для ЭВМ или базы данных и не должно ущемлять необоснованным образом законные интересы автора или иного правообладателя.

Исходя из этого предложенный законопроект кажется избыточным.

А в Заключении Комитета по государственному строительству и законодательству также есть замечания:

предлагаемая Законопроектом формулировка пункта 2.2 статьи 1280 Гражданского кодекса Российской Федерации потребует соотнесения с механизмом информирования правообладателя в случае, если не удалось установить его место нахождения, место жительства или адрес для переписки.

Так что я думаю, что к третьему чтению этот законопроект может вообще очень сильно поменяться.

Теперь официально можно «изучать» фотошоп и винду?

Но сперва их надо купить.

А суть в чём? «Хакер? Ищи баги в нашем софте!»

А если мне надо изучить их защиту от нелицензионного использования?

Если они игнорируются значит их нет - это и есть запретили.

Нет, запретили это если прописаны санкции за включение таких условий в согашение. А здесь просто случай «если какие либо нормы данного договора противоречат законодательству РФ, тогда действует норма законодательства и не действует пункт договаора».

Реверс и кража кода это разные вещи

Разные. Вот ты провёл реверс винды, что прямо запрещено лицензией, узнал как винда работает и написал вайн. Это запрещено лицензией. Это почти нереально доказать, но если удастся... Но кода ты ведь не крал! А лицензию нарушил. А по новому закону ты имеешь право реверсить чтобы забесплатно поработать тестировщиком майкрософта, но всё ещё не имеешь права писать вайн.

Если Вы найдёте банкомат, который по коду 0000, ни с того, ни с сего, выдаёт тысячу рублей. Думаете, рассказать об этом общественности, хорошая идея?

Банк в худшем случае потеряет ~5-10% суточного оборота. А собственно почему это ты должен прикрывать задицу банка от их же собственных косяков?

Возможна более интересная ситуация: ты узнал о мошенничестве оператора по списанию твоих (и других абонентов) денег через бэкдор в например андроидах версии 12.0.1. данный закон защитит интересы мошенника потому что ты обязан нажаловаться Гуглу, гуглу будет глубоко насрать ещё полгода (в самом быстром случае и то если повезёт), а ты ддолжен сидеть и молчать.

Очередной бред высрали. К обсуждению закона как всегда компетентных людей не приглашали: сверху что-то поручили — утром в газетах, послезавтра — в матерных куплетах. Я вообще против обсуждения того что они там приняли или собираются. Я за игнорирования факта их существования, если про них перестанут писать на сайтах, то они успокоятся и займутся чем-то полезным акромя популизма и запрещения всего подряд, а может обидятся и сопьются со всеми вытекающими — что тоже неплохо.

Исходя из этого предложенный законопроект кажется избыточным.

Никогда такого не было...

Вместе с тем проектом не определены правовые последствия неисполнения данной обязанности.

хочу отметить, что это только первое чтение. И уже к первому чтению к нему появились замечания

Ага, они сразу же нашли недостатки бессмысленного и неопределённого поведения и... сразу же завели речь что надо бы ещё и ответственность наложить!

То есть публиковать инфу о найденных уязвимостях по-прежнему нельзя.

Нельзя, но если я верно понял, теперь _можно_ будет прямо на глазах у участкового дизассемблировать винду и это _точно_ не преступление. А раньше это было под вопросом.

Я не знаю правоприменительной практики. Мне кажется что если судить по тексту этого закона, то можно предположить до этого закона впринципе можно было привлекать свидетелей которые видели как ты дизассемблировал винду. И похоже этого могло быть достаточно чтобы посадить человека. Т.е. все те ребята которые занимались выявлением уязвимостей, они как бы всё время вне закона у нас получается. Хотя случаев привлечения я не знаю, но как то всё равно не по себе наверное.

А если мне надо изучить их защиту от нелицензионного использования?

Можно. На легально купленной копии. Способов её неправильно использовать — масса.

В контексте договоров «запретили» это как раз «пункт не действует». Никаких других санкций там быть не может. Не, ну если ты составишь договор на заказное убийство то да, будут санкции, но не за то что ты это в договор вписал, а за преступную деятельность вообще. А так - никаких «санкций» за неправильные пункты договора, за исключением отмены действия этих пунктов, не бывает.

Разные. Вот ты провёл реверс винды, что прямо запрещено лицензией, узнал как винда работает и написал вайн.

Опять ты приписываешь мне то что я не писал. Последние три слова убираешь, ставишь точку после «работает». А не собирался никакие вайны обсуждать.

поработать тестировщиком майкрософта

Нет. Присылать им найденное ты, вероятно, должен, но доказать факт того что ты это нашёл тут не представится возможным. Может быть, ты глупый, и даже видя в упор дыру не понял что это дыра, кто опровергнет то? Или решил что это не дыра, а «так и задумано» в целях лучшей обратной связи поставщику ПО.

У людей, которые не имеют никакого права их продавать, как онлайн-кинотеатры с ручным роскомнадзором блокировать сайты с сериалами, которые есть на тех площадках без разрешения правообладателей. И это так чисто с точки зрения закона, которые так пишут, чтобы посадить можно было всех, хотя я не исключаю, что это происходит так как эксперты во всех областях, начиная от квадробинга и кончая этичным хацкерством, не разбираются ни в чем и поручают их писать секретаршам

Нет, винду тоже нельзя теперь исследовать, потому что придется сообщать правообладателю из недружественной страны, коллизия образовалась.

?? Напиши письмо в микрософт, если уж приспичело.

?

В США разрешительное право. У нас запретительное.

Это разве юридическая терминология?

если иное не предусмотрено договором с правообладателем.

договором с правообладателем часто таки предусмотрено иное.

Библия, если кто не знал, это база данных с нумерованными записями. Равно как и талмуд. И сообщить об ошибке просто некому, потому что жрецы не озаботились получить права на священные тексты.

Ну у кого ты можешь в РФ официально купить винду или какой фотошоп? А докажешь как что купил?

чатгпт сломался кажется

капитан очевидность

Как всегда, написали закон, который достаточно внятно разъясняет «серую» зону. Но тут же васяны поднимают вой - запретили, запретили. Этот закон прописывает механизмы работы всяких касперских и прочих компаний работающих в сфере безопасного по, а не нахрен никому не сдавшихся васянов.

Это промокод называется. В геншин их бесплатно раздают бывает.

Понятно что, если ты не публиковал сообщение, то ты не кому не докажешь что ты его не публиковал.

а в чём разница?

Ну блин... Допустим киллер пользуется снайперской винтовкой. Он, безусловно, снайпер. Но не каждый снайпер киллер. Так вот, хакер - это профессиональный... Пусть программист. Тот же Линус Торвальдс - типичный кернел хакер.

http://www.catb.org/~esr/faqs/hacker-howto.html

«The basic difference is this: hackers build things, crackers break them».

Это какой-то не удачный пример, типа я не киллер, я только учусь. А хакер это да широкое значение, но в обывательском значение это тот кто что-то взламывает, хотя и тут можно придраться, так как обычно хакером представляют того кто взламывает сервера, и получает доступ к секретным данным, а крякер тот кто ломает защиту лицинзионного ПО.

третьему чтению этот законопроект может вообще очень сильно поменяться

Хм , на Госдума не очень компетентна как показывает практика.Угадайте сколько лет вам грозит за взлом сетевой камеры на АЭС ? Не угадали -есть целых 8 статей уголовного кодекса по этому делу!!!! Они ещё хотели принять да один депутат и так уже чуть не матерился,что от 9-ой статьи террористам не жарко не холодно.
В общем могут штраф выписать,а могут расстрелять (да да ,высшая мера,как террориста), серьезно,в одной из статей Ук с такими дурацкими формулировками что реально за взлом сетевой камеры могут расстрелять,все юристы в журнале Хакер матерились .И не надо смеяться,просто у нас пока мораторий,но с Совета Европы мы вышли,и ЕСПЧ нам теперь не указ ...Будет грустно.

А где парный к этому закон, о том, что правообладатель в течение пяти дней обязан дырочку закрыть?

Так дырочка это того кого надо дырочка. И не дырочка, а закладочка. Поэтому и разглашать запрещено

В контексте договоров «запретили» это как раз «пункт не действует»

Не, в контексте договоров это как раз «запретили составлять договора на убийство». Или как минимум «договора с запрещённым пунктом считать полностью недействительными».

А так - никаких «санкций» за неправильные пункты договора, за исключением отмены действия этих пунктов, не бывает.

Это если не выпускают специального закона на эту тему. А иначе кроме как ради санкций такие законы писать нет смысла.

Опять ты приписываешь мне то что я не писал.

Надо же было как то объяснить тебе о чём я говорил.

Я за игнорирования факта их существования

Именно этого им и надо.

Прочитав тред, как всегда, приятно осознавать, что люди, находящиеся вне РФ, больше всего переживают за свою родину. Настоящие патриоты.

...теперь наконец-то не посадють...

«Был бы человек, а статья найдётся.»

А закон по делу и вовремя. Теперь можно будет на легальной основе заниматься, скажем, реверсом ПО.

Лицо, правомерно владеющее экземпляром программы

А сейчас есть ваще такое? Возможность «правомерно владеть экземпляром программы»? Вроде бы нету. Сейчас ты вообще ничем не владеешь, даже если заплатил, но те кто владеют программами на твоём диске не несут никакой ответственности ни за что.

Так зайдите в систему, тисните отзыв на законопроект со всей своей аргументацией

Знаешь старый анекдот?

В Англии, что можно, то можно. В Америке можно даже то, чего нельзя. В Германии чего нельзя, того нельзя. В СССР нельзя даже то, что можно.