Все новости от 10 марта 2005 г. Франция наложила запрет на поиск уязвимостей
Теперь исследователи, которые применяют реинжиниринг для поиска ошибок в ПО, больше не смогут публиковать свои находки: во вторник парижский суд оштрафовал за это специалиста по безопасности.
В 2001 году французский секьюрити-эксперт Гийом Тена обнаружил ряд уязвимостей в антивирусном ПО Viguard компании Tegam International. В марте 2002 года Тена, который в то время был известен под псевдонимом Guillermito, опубликовал свои находки в онлайне.
Однако Tegam отнеслась к действиям Тена без понимания и подала на исследователя в суд. Дело рассматривалось в Париже. Обвинители утверждали, что Тена нарушил статью 335.2 закона об интеллектуальной собственности, и требовали четырехмесячного тюремного заключения и штрафа в 6000 евро.
Во вторник суд постановил, что эксперт не должен сидеть в тюрьме, но назначил условный штраф в 5000 евро. Это означает, что штраф придется заплатить лишь в том случае, если Тена вновь опубликует информацию об уязвимостях в программном обеспечении.
Ш. Бекрар, секьюрити-консультант и соучредитель французского веб-сайта K-Otik Security, который регулярно публикует коды эксплойтов, назвал постановление суда очень плохой новостью для индустрии секьюрити-исследований Франции, хотя, конечно, хорошо, что Тена избежал тюрьмы.
«Публикация информации об уязвимостях или доказательств концепции с использованием реинжиниринга или дизассемблирования во Франции стала нелегальной. А как исследователь может получать такую информацию, если у него нет возможности изучать структуру ПО?»
На своем веб-сайте Тена утверждает, что если независимые исследователи не смогут свободно публиковать свои находки в сфере безопасности ПО, то пользователям придется оценивать качество программ лишь по «маркетинговым пресс-релизам». «К сожалению, похоже, что Франция, а может быть и Европа, движется именно в этом направлении», — говорит Тена.
Tegam возбудила также против Тена гражданский иск, в котором требует компенсации ущерба в размере 900 тыс. евро.
Предыдущие публикации:
|
|
| Siizz 10 Mar 2005 10:34 AM |
Виват анархия. Да здравствует Underground. Балбесы даже не додумались о том, что сторонние исследователи их собственные баги отлавливают... |
|
| Геморрой 10 Mar 2005 10:43 AM |
Цвету, пахну, расту! |
|
| Павел 10 Mar 2005 2:46 PM |
А в чем проблема то. Надо просто собрасть всех пользователей этого Виагруса и забубенить коллективный иск на пару милииардов долларов за то, что дырку от бублика продают. |
|
| Поручик 10 Mar 2005 4:22 PM |
2 Павел > ... и забубенить коллективный иск на пару милииардов долларов за то, что дырку от бублика продают. На этот случай у производителя есть правильно написанное лицензионное соглашение, в котором никаких гарантий не дается. |
|
| Сергей Середа - serge_seredahotmail.com 10 Mar 2005 9:30 PM |
Да, не думал, что лягушатники до такого маразма дойдут... Хакеры информацией об уязвимостях всё равно обмениваются, у них для этого есть PGP и иже с ним с шифрованием покруче. Если же этого обмена будут лишены эксперты, которые с уязвимостями борются, безопасность информационных систем это никак не поднимет... Получается возврат к принципу "Security trouth obscurity". С уважением, Сергей Середа |
|
| DemonZLa 11 Mar 2005 9:46 AM |
ну тупыыеее.... |
|
| Kenguru - kenguruone.lt 11 Mar 2005 10:29 AM |
А теперь представьте: независимые експерты разобрали программу управления компьютера Боинга, и онаружили, что определённое положение тумблеров и рычагов ведет к неминуемой катастрофе. А их за это в тюрму... :( |
|
| Глада - gladavolny.cz 11 Mar 2005 10:29 AM |
У меня аж дух захватило. Такой тупости совсем не ожилал. Скорее сказывается общая компьютерная безграмотность судей (и не только) , а также тенденция к профанации менеджмента в Европе. В последнее время все больше и большне наблюдаю, что менеджмент технических фирм все дальше и дальше от понимания технического направления руководимых им предприятий. В некоторых конторах юридические отделы имеют больше персонала чем технические. Все чаще заметны попытки зарабатывать денежки судами, но не технологиями. Особенно к таким фокусам прибегают большие фирмы. Такие случаи, как СЦО - это то, что на виду. Но в большинстве случаев много мелких споров просто не попадает в прессу. Да, все это печально. Эпоха коммунизма не началась, эпоха "социализма" скончалась. Кончается и эпоха капитализма. Всесто нее на смену приходит эпоха йуризьма-судизьма! |
|
| Глада - gladavolny.cz 11 Mar 2005 10:37 AM |
... вот уже живо себе представляю, как в недалеком будущем два мужика будут работать а двадцать юристов их будут защищать от беспредела других двадцати юристов |
|
| пессимист 11 Mar 2005 11:46 AM |
2015г. Поиск уязвимостеи и ошибок в ПО преследуется законом по всему миру, независимых экспертов нет, производители ПО защищенные этим законом не заботятся о надежности своего продукта - попробуешь доказать обратное - сядешь пожизненно... и такое ПО заполонило весь мир... А где нибудь Злодей-гений исследовав и найдя уязвимости этих ПО, создает СТРАШНЫЙ ВИРУС и запускает его в глобальную сеть... МИРОВАЯ КАТАСТРОФА !!!
|
|
| kav 11 Mar 2005 11:56 AM |
а для чего публиковать _подробную_ информацию об уязвимости? ее нужно только производителю по отослать, а опубликовать краткую инфу. |
|
| VX10 11 Mar 2005 12:02 PM |
2 kav: и производитель неизвестно когда выпустит патч. а юзвери будут в полной уверенности, что юзают защищенный продукт.
|
|
| пессимист 11 Mar 2005 12:19 PM |
2 kav: ну отошлешь подробную информацию об уязвимости производителю, а он тебя и засудит за то что ты в его софте ковырялся чтобы другим не повадно было а юзеры ничего не узнают интересно а производитель несет ответственность если юзер пострадал от уязвимости его ПО не зная что использует уязвимое ПО ? |
|
| пессимист 11 Mar 2005 12:29 PM |
Во - сравнение: ПО это дом... Производитель строит дом(ПО) в нем уязвимость - слабая крыша, юзер покупает этот дом - производитель утверждает что он крепкий и надежный (сторонним экспертам по закону ни-ззя проверять дом). Затем на крышу влез соседскийсела крупная птица и крыша рухнула поломав все имущество юзера (он случайно
|
|
| пессимист 11 Mar 2005 12:32 PM |
уцелел - вышел покурить) Вопрос - как доказать вину производителя если эксперты только от самого производителя! |
|
| kav 11 Mar 2005 1:46 PM |
2пессимист, vx10: я же говорю - опубликовать только краткое сообщение (в инете), а подробности - почтой производителю. 2 vx10: если в инете публикуешь - скорее засудят |
|
| пессимист 11 Mar 2005 2:29 PM |
2 kav: все равно засудят - за факт ПОИСКА УЯЗВИМОСТИ ! |
|
| пессимист 11 Mar 2005 2:38 PM |
Корпорации производящие софт уже добиваются запрета на анализ их софта - скоро станет опасно для жизни использовать такой софт - вдруг откажет в системе жизнеобеспечения или управления (авто поездами самолетами атомн.станциями и тп) Их примеру могут последовать производители продуктов питания - кто знает вдруг пиво станет очень вредным для здоровья (независимая экспертиза - незаконна) |
|
| hardsoft 11 Mar 2005 5:02 PM |
всем правят, правили и будут править "деньги". если кто-то что-то продает это хорошо (тем кто это продает), а если кто-то комуто мешает продавать, то его... тогось... все логично... |
|
| k 11 Mar 2005 6:16 PM |
>интересно а производитель несет ответственность если юзер пострадал от >уязвимости его ПО не зная что использует уязвимое ПО ? В том то и дело что нет - почитай лицензию на тот же масдай или oracle |
|
| hmell 11 Mar 2005 10:10 PM |
В реальности, этот закон дает добро на встраивание в програмную среду шпионских модулей и вирусов. Перекрывая на законодательном уровне возможность анализа програмного кода они фактически поставили под угрозу существование всей технологической сферы современной цивилизации. Это не защита авторских прав - это уничтожение всей промышленности. И как они будут выкручиваться когда у них упадет сервак с законодательной базой. 2kav (опубликовать только краткое сообщение (в инете), а подробности - почтой производителю) Именно так и делают. И чаще всего в ответ - ни гу-гу. Или - фигня, не критично, в следующем билде поправиим (может быть). 2Kenguru Самолет - еще ничего. А если атомная станция грохнется или ядерная ракета стартанет. :(( УРОДЫ!!! |
|
| A 11 Mar 2005 11:05 PM |
2 hardsoft: Правят - да. Правили - нет. Про натуральное хозяйство никогда не слышали ? А слово "бартер" знакомо ? Будут править - тоже нет. Капитализм - такое же приходящее и уходящее явление, как в свое время был рабовладельческий строй и феодализм. Следом за ним вероятнее всего будет социализм, если не будет слишком плавного и долгого перехода от строя к строю. |
|
| Mauhuur 11 Mar 2005 11:57 PM |
Хороший юрист - мёртвый юрист. Эта публика своим существованием уже которое десятилетие отравляет наш мир. Пора прекращать безобразие. |
|
| Геннадий - coroziayandex.ru 12 Mar 2005 1:10 AM |
Что? Же? вы хотели? Старая европа? "Когда? Лень? Сильнее? Правды?" |
|
| САМ 12 Mar 2005 11:02 AM |
Все относительно верно. От ошибок никто не застрахован. Идеального ПО не было и не будет. А публикация подробного описания дыр приведет лишь к тому, что пострадют прежде всего пользователи, т.к. количество недоброжелателей (в том числе конкурентов) возрастает на порядок. Если проводить аналогию с тем же домом. Это то же самое, что независимые эксперты обнаружат дефект крыши и растрезвонят новость, после чего обязательно найдется хотябы один придурок, который на эту крышу залезет и попрыгает не дав возмоность строителями дефект исправить а жильцам съехать. А вот если об этом будут предупреждены гос. инстанции, производители и жильцы. Все останутся довольны... На время строительных работ на крише будет поставлен предупреждающий знак (либо еще какие меры), а у жильцов будет время спокойно временно, либо навсегда съехать с квартиры не опасаясь за свою жизнь и сохранность имущества. Другой вопрос, согласится ли производитель все это проспонсировать, но на этот случай бывают страховки и прочая муть. |
|
| САМ 12 Mar 2005 11:07 AM |
а публиковать такого рода новости людей "вынуждает" больше тщеславие, нежели благие побуждения. |
|
| Guest 13 Mar 2005 7:21 PM |
CAM, я стобой полностью согласен. Благими побуждениями здесь даже и не пахнет. Особенно "модно" сейчас стало копаться в продуктах Microsoft. |
|
| kngsn 18 Mar 2005 1:40 PM |
to CAM: >А вот если об этом будут предупреждены гос. инстанции, >производители и жильцы Все останутся довольны... Vopros: kak predupredit proizvoditeley esli za preduprejdenia proizvoditeli s pomoschyu yuristov shtrafuut? Pri etom ofizialnie eksperty po bezopasnosti ne smogut ofizialno polzovatsa dannimi ob uyazvimosti, a zloumyshlenniki vse ravno budut uznavat pervimi po svoim kanalam informazii, problema chto zakon ne daet delat to je samoe blagonamerennim spezialistam i polzovatelam chtoby zaschititsa ot zloumyshlennikov. IMHO, domom predstavlauschim opasnost dla zdorovia i imuschestva nelza polzovatsa voobsche, nujno srochno evakuirovatsa, ne polagaas na to chto "предупреждающий знак (либо еще какие меры)" kogo to ostanovit. Uj tochno ne pevchuu ptichku kotoraa zahochet pochirikat imenno na etom "znake". I kak nije skazano, proizvoditel PO ne neset nikakoy otvetstvennosti. |
|
| kngsn 18 Mar 2005 1:53 PM |
to Guest: >Особенно "модно" сейчас стало копаться в продуктах Microsoft. Nujno kopatsa imenno v MS, potomu chto v silu svoey rasprostranennosti viavlenie uyazvimostey priobretaet osobo vajnoe znachenie. Etim je okazyvaetsa davlenie na Microsoft udelat bolshee vnimanie probleme bezopasnosti. Inache budut deystvovat elementarnie zakony rynka: Zachem Microsoft tratit dengi na uluchshenie bezopasnosti esli prostoy polzovatel ne osoznaet etoy problemy, ne vidit i ne slyshit infirmazii o dyrah, polagaa chto zaschischen na 100%.
|
|
| kngsn 18 Mar 2005 2:00 PM |
to A: Vsegda pravila i budet pravit -= SILA =- :-) Dengi tolko odna iz ipostasey sily, est i drugie ipostasi, naprimer teokraia, lubaa diktatura, voennoe prevoshodstvo, i ya ne uveren chto ekonomicheskoe upravlenie s pomoschyu dengeg - hudshiy vybor. |
|
|