Сообщений в теме: 9

[Spy]

Программирование может быть преступлением?

В статье «Can writing software be a crime?» Mark Rasch обсуждает вопросы возможности осуждения программистов за разработку программных продуктов. В статье приводится пример осуждения 25-ти летнего программиста Carlos Enrique Perez-Melara за написание, рекламу и распространение компьютерной программы «Loverspy», которая была предназначена для использования в качестве key logger-а, позволяя пользователям собирать информацию об активности других пользователей на любом компьютере, где эта программа установлена.

В статье автор делает вывод, что разработчики программных продуктов должны беспокоиться о потенциальной возможности использования их продуктов в злонамеренных целях. Автор отмечает, что разработчик, хотя он и не несёт ответственности за действия пользователей их продуктов, может быть наказан, в случае, если он знает или по каким-либо причинам должен знать о злонамеренных вариантах использования программы.

Часть 1: http://www.securityf.../columnists/360
Часть 2: http://www.securityf...olumnists/360/2

[Guriy]

Программирование может быть преступлением?

===скипнуто===

В статье автор делает вывод, что разработчики программных продуктов должны беспокоиться о потенциальной возможности использования их продуктов в злонамеренных целях. Автор отмечает, что разработчик, хотя он и не несёт ответственности за действия пользователей их продуктов, может быть наказан, в случае, если он знает или по каким-либо причинам должен знать о злонамеренных  вариантах использования программы.

===скипнуто===

ага, а если кого топором зарубили, то производителей тоже к ответственности - не предусмотрели, что могут зарубить......

[Spy]

ага, а если кого топором зарубили, то производителей тоже к ответственности - не предусмотрели, что могут зарубить......

По этому поводу в статье тоже есть место:

This could be applied, for example, to anonymizing programs, wipe or delete programs, evidence eliminators, or even (potentially) access control programs, if developers know or should know that these will be used for obstruction of justice. It is kind of like holding manufacturers of shredders liable for their use by Enron, or holding gun manufacturers liable when their guns are used for illegal purposes. Oh wait, Congress just exempted gun manufacturers from such liability. Keep your eyes open to see how this one ends.

Где автор как видно отмечает, что Конгресс осовободил разработчиков огнестрельного оружмя от такой ответственности "Oh wait, Congress just exempted gun manufacturers from such liability", а разработчики шредерных машинок - ответственны - "is kind of like holding manufacturers of shredders liable for their use by Enron" (что есть Enron - не могу выяснить из текста статьи).

Вывод - всё зависит от товара, который производится. Производство топоров вас ничему не обязывает, а софта похоже всё-таки обязывает.
Конечно, мы говорим в данном случае про американское законодательство.

[dlg99]

что есть Enron - не могу выяснить из текста статьи

Плюнуть на все, и уехать в в Минск...

http://en.wikipedia.org/wiki/Enron/

[barancev]

Где автор как видно отмечает, что Конгресс осовободил разработчиков огнестрельного оружмя от такой ответственности "Oh wait, Congress just exempted gun manufacturers from such liability", а разработчики шредерных машинок - ответственны - "is kind of like holding manufacturers of shredders liable for their use by Enron" (что есть Enron - не могу выяснить из текста статьи).

Вывод - всё зависит от товара, который производится. Производство топоров вас ничему не обязывает, а софта похоже всё-таки обязывает.
Конечно, мы говорим в данном случае про американское законодательство.

Топор -- не огнестрельное оружие, так что он не попадает под это исключение. Так же, как кухонные ножи, молотки и прочие бытовые орудия убийства.

Enron -- это энергетическая компания, обанкротившаяся в 2001 году со страшным треском, самое крупное банкротство за всю историю американской экономики: http://www.cnn.com/S...ALS/2002/enron/

[Spy]

Топор -- не огнестрельное оружие, так что он не попадает под это исключение. Так же, как кухонные ножи, молотки и прочие бытовые орудия убийства.

Господа, не будем такими придирчивыми к словам.
Автор статьи сделал заметку только про огнестрельное оружие и шрейдерные машины, но это не значит, что нельзя обобщить его выводы на случай других видов программно-технических продуктов.

У нас в РБ (глубоко уверен, что аналогичных механизм существует и в других странах СНГ, а пожалуй, и мира), есть такие вещи как ТУ (технические условия), СТБ (стандарты Республики Беларусь), СНИП (санитарные нормы и правила), а также ещё что-то по пожарной безопасности, а вот с 2004-года у нас ещё есть и технические кодексы и технические регламенты (закон РБ от 5 января 2004 г. N 262-З "О техническом нормировании и стандартизации", закон РБ от
5 января 2004 г. N 269-З "Об оценке соответствия требованиям технических НПА в области технического нормирования и стандартизации)

В результате такие вещи как: электропроводка, производство мороженного, строительство и т.д. всё регламентируется строгими нормами и правилами. Для чего? Чтобы дети в квартирах не пострадали от электрического тока в приборах, в розетках и т.д. Чтобы они не отравились мороженным и чтобы на них не рухнул потолок.

В случае шрейдерных машин. Делать машины с открытыми лезвиями НЕЛЬЗЯ, даже если они при этом работают быстро, эффективно и качественно выполняют своё прямое предназначение. Т.е. в стране (а в случае претезий на международный рынок - в международном стандарте) должно быть соответствующее требование.
В случае топора - эффективных мер по усилинию его безопасности НЕТ. Делать топоры тупыми, требовать справки о состоянии психического здоровья у их покупателей? - нонсенс. Значит в случае топоров - никаких специальных ограничений нет.

Разработка программных продуктов - новая область, которая на данный момент практически не регламентируется. За исключением софта, который подподает под обязательную сертификацию: софт по обработке госсекретов, управления критически важными экологическими объектами, банковские, налоговые АС (сведенья ограниченного доступа) и т.д. Однако обязательная сертификация на сегодняшний момент практически не трогает коммерческий рынок.

Опыт показывает, что коммерческий софт может приносить вред потребителям ИТ и не малый. В результате необходимы меры по обеспечению достаточного уровня безопасности этого софта.
Одно дело, если такие регламенты появятся уже завтра. Но как мы видим из статьи таких регламентов нет даже в США. Там товарища Перца посадили за разработку, рекламу и распространение программного продукта, который своей функциональностью был на целен на то чтобы пользователи продукта обижали других пользователей. Аналогично могут быть наказаны разработчики спам машин и т.д.
В результате - мы видим движение в сторону защиты прав потребителей ИТ. Что в будущем может означать введение тех же ТУ, СНИПов, ТК, ТР и т.д. Просто всё это делается последовательно. Вот начали с Перца.

Ввывод. Выпуская софт на рынок надо трошку задуматься, а не посядят ли меня? А с сомнительным софтом - сидеть в офисе и ни на какие рынки не претендовать.
В случае же аля-русских законодательств - тут у нас всё гораздо медленнее, чем за океаном, хуже и горше. Однако не забываем о излюбленной практике вводить законы задним числом.

Enron -- это энергетическая компания, обанкротившаяся в 2001 году со страшным треском, самое крупное банкротство за всю историю американской экономики: http://www.cnn.com/S...ALS/2002/enron/

Спасибо, не знал, и без участников нашего форума, пожалуй и не узнал бы.

[barancev]

У меня есть знакомый, который возглавляет компанию, разрабатывающую разные криптографические продукты, в том числе программы для востановления утраченных паролей к архивам и документам MS Office. Не для того, чтобы что-то взламывать и воровать, а для ситуаций, когда сам сделал архив, а потом забыл пароль. И они пишут на продуктах соответствующее предупреждение. На них несколько раз пытались подавать в суд, но они ни разу не проиграли дело. Так что, наше правосудие в этом отношении, пожалуй, лучше, чем американское.

[Spy]

Должен поправится. СНИП - строительные нормы и правила, СанПИН - санитарные. Требования пожарной безопасности нигде специально не содержатся, а содержатся всё в тех же НПА, что были перечислены выше.



Хотелось бы сделать выводы.
Вопрос топика каков?

"Программирование может быть преступлением?"

Ответ: да.

(заметим, что акцент не на пользователе софта, который нарушает - этот виноват на все 100% и таких уже давно и активно наказывают. Акцент на производителе софта - оказывается он тоже может быть преступником.

Моменты:
1. злонамеренность - наказывать надо однозначно.

софт специально спроектирован для злого использования и официально продаётся, распространяется разработчиком - товарищь Перец и иже с ним.

2. халатность - сложный момент.

а) обобщение предыдущего: софт, который допускает злонамеренное его использование во вред некоторых физических или юридических лиц.
Этот вариан, похож на вашего товарища Алексей (часом не ElcomSoft?).
Здесь товарищам нужно предложить усилия, чтобы их случайно не приняли за пункт а). Что, как вы Алексей, говорите - они и делают. Они предупреждают и не рекомендуют неправильное применение их софта - как показывает их опыт (опять- таки, судя по вашим, Алексей, словам) - эта мера является достаточно хорошей, чтобы подтвердить своё честное имя в суде.

Здесь следует быть внимательным разработчику. Именно на это я и делал акцент (и внёс топик в раздел Теория, а не Новости). Потому что история знает случаи, когда в Америке производитель микроволновых печей был оштрафован судом, в результате иска, в котором одна бабуля обвинила их в том, что они не декларировали в инструкции по эксплуатации тот факт, что в печке нельзя сушить котов. А она как раз таки хотела его подсушить, а вместо этого его слегка поджарила...

Возможно, пример не самый лучший. Однако, факт в том, что производитель выплатил штраф и для него эта уязвимость стала открытием.
Так и в случае софта, - держать надо нос по ветру.

б) софт приводит к нарушению в отношении охраняемого законом вида сведений - банковская тайна, личная, налоговая, семейная, врачебная, коммерческая (их видов 20). Здесь разработчик может отказаться от ответственности в своём лицензионном соглашении, однако закон выше лицензионного соглашения, в результате - имеются основания, по которым ущемлённый пользователь может пытаться в суде обвинить разработчика в халатности.
Скользкое место, не могу сослаться на примеры.

в) невыполнение конкретных обязательств, возложенных на разработчика. Т.е. на разработчике висит ответственность, он не отказался от неё в своём лицензионном соглашении. Но сделал действительно некачественный продукт, который не выполняет необходимые требования, за что и несёт кару.

[Spy]

Ещё надо добавить к списочку:

3) Нелегальная разработка

а) разработка программных средств без наличия соответствующей лицензии на их разработку. Например, разработка криптографических модулей в РФ и в РБ - деятельность подлежащая лицензированию. Соответственно заниматься такой деятельностью без наличия соответствующей лицензии запрещено.

б) Разработка при помощи нелегальных инструментов (пиратского ПО), используя алгоритмы, которые защищенны чужими патентами, нелегально используя чужую интеллектуальную собственность (модули других программных продуктов) и т.д.

[Spy]

б) софт приводит к нарушению в отношении охраняемого законом вида сведений - банковская тайна, личная, налоговая, семейная, врачебная, коммерческая (их видов 20). Здесь разработчик может отказаться от ответственности в своём лицензионном соглашении, однако закон выше лицензионного соглашения, в результате - имеются основания, по которым ущемлённый пользователь может пытаться в суде обвинить разработчика в халатности.
Скользкое место, не могу сослаться на примеры.

Ладно согласен - соврал. Но моя совесть чиста - я ей не пользуюсь .

Если разработчик отказался от ответственности - то с него и спрашивать нечего. Мы знаем, что его продукт решето, но пользуемся, потому что - вынуждены (видать выбора нет или наши средства не позволяют).

Однако, в какую засаду попадают те операторы ИТ, которые при помощи этого софта предоставляют услуги другим пользователям и вынужденны последним предоставлять гарантии?

Например, оператор сотовой связи в соответствии с законом "О связи" (есть и в РБ, и в РФ) должен гарантировать тайну коммуникаций. Но если он реализует эту меру при помощи какого-нибудь софта, например, ОС или спец. системы обслуживания, которую не он не сам разработал, а которую он приобрёл у некоторого внешнего разработчика - то получается, что:

* оператор обязан гарантировать безопасность
* безопасность, в частности, зависит от защищённости используемого софта
* разработчик софта не даёт никаких гарантий...

Однако, - засада.