Форум ''Интернет и Право''

Не секрет, что различное программное обеспечение имеет различные "недокументированные возможности". Их много, например,
- наличие возможностей обходить пароль не зная его (комбинация клавиш, запуск с особым ключем и т.п.),
- несанкционированный сбор информации, хуже того - ее пересылка разработчику или третьему лицу (стоит у Вас какая-то програмка и потихоньку в интернет отправляет какие-то пакеты информации, грешат этим вполне известные и респектабельные отечественные и зарубежные разработчики).
По информации из книги Becky Worley "Security Alert", Pearson Educaton, 2004, которая скоро выйдет на русском языке, 10% (!!!) исходящего траффика среднестатистического компьютера несанкционируется пользователем.
Вдумайтесь, 10% это ОЧЕНЬ большая цифра!
Пик истерики за рубежом по этому поводу уже прошел и разработчики ПО приняли адекватные меры (к ПО, а не к пользователям), а вот у нас пока было "не до этого".
Вопрос: какие мнения на счет законности и наказуемости за подобные "закладки"?

Да, многие программы пересылают информацию разработчику или ещё куда. Но каждый разработчик вам скажет, что пересылаемая информация необходима для нормального функционирования. Почти всегда так оно и есть. Правда иногда из этой "необходимой" информации можно извлечь кое-какую дополнительную.

Грань между "spyware" и нормальным сетевым взаимодействием я бы проводить не взялся.

Решение мне видится в том, чтобы возложить на разработчиков ПО (так же как на провайдеров) обязанность по соблюдению тайны связи.

Не секрет, что различное программное обеспечение имеет различные "недокументированные возможности".

Нужно, смотреть законадательство.

Прежде всего программный продукт - это товар.  :)

Товаропроизводитель обязан сообщать об всех особенностях товара. Тем более, если товар может причинить, какой-либо вред его пользователю (материальный, моральный и т.д.).  ???

Если, Вы являетесь, законным приобритателем товара (программы), а товаропроизводитель - российский, то Вы можете подать в суд.

Я, думаю, дело бутет 101% выиграшное!  ;D :P

Хуже дело с забугорными производителями  8) ???

Ну запрещают же ввозить английское мясо из-за боязни заражения "коровьим бешенством". А чем программы, если это товар, хуже? Мало того, должен последовать запрет ФАПСИ (или как их там теперь этих "чайников" называют) на использование забугорно-неконтролируемого (закрытого) софта в органах государственной власти, на госпредприятиях и т.д. Со своими "закрывателями" разобраться проще. Т.е., везде, где существует опасность нанесения ущерба безопасности России из-за возможных "утечек" информации. Или этих чиновников из бывшего ФАПСИ уже всех "на корню" скупили?

P.S. Однажды я уже проходил "защиту", основанную на отключении интернет-компьютера от общей сети предприятия. Прошел я, пройдут и другие.

А почему, собственно?

Производитель обязан сообщать только те сведения о товаре, которые... он обязан сообщать, согласно законодательству. Например, для продуктов питания это - состав, для лекарств - противопоказания, а для ПО - наименование правообладателя.

Известно ли уважаемому собеседнику, скольких трудов стоило обязать производителя сообщать состав продуктов питания? Вот когда программным обеспечением станет пользоваться такой же процент населения, и когда ущерб от от неправильного ПО будет сопоставим с отравлением - тогда мы, может быть, и поговорим о том, что обязан сообщать производитель.

Не секрет, что программы фирм Microsoft, AVP и других производителей-монополистов содержат в себе так называемые "шпионские модули".

Данные модули встраиваются разработчиком с целью защиты своего продукта от несанкционированного копирования и, как правило, активируются в момент инсталляции или пиратской установки ПО на компьютер.

Естественно, что модули работают негласно для пользователя. При этом не делается никакого различия по их статусу: модуль активируется как при установке лицензионного "софта", так и контрафактного, полученного путем снятия (обхода) модуля защиты от копирования (счетчика инсталляций).

В некоторых случаях эти модули логически взаимосвязаны...

Суть заключается в том, что "пиратский модуль" после активации начинает работать как специальное программно-техническое средство негласного получения информации ("троянский конь" или "червь"). Он в автоматическом режиме собирает и по сети отправляет своему создателю информацию, позволяющую идентифицировать адрес компьютера и(или) пользователя (в зависимости от заданного алгоритма).

В некоторых программах, "пиратские модули" могут управляться и в ручную при подаче по сети соответствующего управляющего сигнала.

Вся идентификационная информация поступает на специально выделенные под эти цели и программно указанные в модуле почтовые ящики, которые находятся под контролем специального отдела службы безопасности производителя ПО.

Правильно ли я оцениваю ситуацию обсуждаемого "топика"? ???

Николай Николаевич! По официальной статистике в США примерно 30% банкротств предприятий являются следствием выхода из строя компьютера и разхрушения информации. А это, извините, не "хухры-мухры". Проблема в другом. Крайне сложно доказать, что потеря информации - это результат ошибок ПО или встроенных шпионских модулей. Вот когда будут компьютеры эксплуатировать профессионалы (не в смысле кнопки топтать, а администрировать), а не "мальчики-масдайчики", вот тогда начнет что-то меняться в этой жизни.

Посмотрите на свой компьютер, сколько у Вас установлено программ и какие из них шпионят? Так причем тут провайдоры?

Дело не тех, через кого передается информация, а дело в тех кто ее получает! :-X

Вариант 1 - разработчик. Да бог с ним, в конечном итоге мне от этого будет лучше т.к. проги будут стабильнее работать. Кстати Билл Гейтс и компания (БГ & M) этим занимается.   ::)

Вариант 2 - третье лицо
а) государство, вот здесь действительно пахнет "полицейским государством". Это Вам не два лишних гаишника за углом или 0- следаки из прокуратуры у которых реальный выход 10% завершенных дел.   ;) Это серезнее, тем более БГ & M исходные коды своих программ передало в ФСБ, а другие? Все дело в технике и в двух десятков грамотных ребят. Правда, одно утешает русские долго запрягают.

б) криминал, тогда дело швах (примеров много - кражи баз данных, Оренбугских СМИ и т.д. ) 8) ???

А можно поточее?
Конечно, пересылку любой информации (даже моих паспортных данных) можно назвать "с целью изучения круга пользвоателей для дальнейшего совершенствования ПО", но все-таки...

В том-тои дело, что "чайнику" в этом не разобраться. Тут хотя бы на порядок больше знаний надо иметь.

Должен заметить, что полицейским государством у нас пахнет (прямо-таки воняет) настолько долго, что пора бы уже и привыкнуть. Все так называемые "цивилизованные страны" - давно уже суть полицейские государства. И ничего, живут.

Что же касается криминала... Я бы сказал, что грань между государственными органами и ОПГ настолько же нечёткая, как и грань между ПО для мониторинга сети и ПО для несанкционированного сбора информации.

- а этой грани и нет , как пример nmap :)

Если кратко, то это продукция двойного назначения.

   Включение в состав легально распространяемого программного обеспечения spyware-модулей без явного указания об этом в документации (естественно, с возможностью отключения этих модулей) по российскому законодательству является приготовлениями к совершению преступления, предусмотренного ст. 272 УК РФ. А после инсталляции такого программного обеспечения на компьютер и несанкционированной активации spyware-модулей преступление признается оконченным. Это касается как российских, так и зарубежных производителей ПО.
   Другое дело, что покупатели легальной продукции - а таковыми в России являются в основном крупные компании - просто блокируют работу spyware-модулей посредством межсетевых экранов, а не обращаются в правоохранительные органы. В то же время, практически привлечение к уголовной ответственности разработчиков "шпионского" ПО вполне возможно. Придется только преодолеть привычную лень и некомпетентность отдельных сотрудников...

Юридическое лицо нельзя подвергнуть уголовному преследованию. И конкретное физ.лицо, которому можно вменить организацию этого приготовления вряд-ли удастся выявить.

А так, налицо отягчающее вину обстоятельство в виде совершения в группе, да еще и по предварительному сговору. На условные сроки уже не тянет. Организатору почти стопудово париться на шконках.

Браво! Оказывается, если Вы купили товар под маркой "Мерседес 600" и там обнаружился заводской дефект, то нужно привлекать к ответсвенности Ганса-слесаря и всю бригаду любителей Beer, а не продовца и фирму!

Прога (товар) выпушена под маркой фирмы, и только фирма несет за это отвественность. Это ясно дилетанту и даже без цитат статей законов "О защите прав потребителя", КоАП, Гражданского кодекса и УК!

Вообще-то речь шла именно об уголовном преследовании, а значит, Юрикс прав, по россискому законодательству юрлица уголовной ответственности не несут. Однако как группы лиц по предварительному сговору они пойдут за милую душу.

Многоуважаемый Игорь Всеволодович сновав изрёк истину. Однако ценность данной истины тускнеет, если вспомнить, что "однозначных" spyware-модулей не бывает. Все они имеют двойное назначение. И предназначаются производителем исключительно для обеспечения правильного и удобного функционирования ПО. А тот факт, что из передаваемых spyware данных возможно извлечь и конфиденциальную информацию... Так мало ли что откуда можно извлечь! Замысел без умысла называется вымыслом.

Сие верно. Доказательные вопросы здесь имеют большую важность.

Николоай Николаевич!
Вы забываете, что есть преступления, которые совершаются по неосторожности. Это раз.
Два. Встраивание закладок, как и хранение ножей, преступлением не является. Но вот в случае использования по второму назначению, когда с помощью закладки (ножа) будет нанесен ущерб, использование такого предмета является квалифицирующим признаком и отягчающим вину обстоятельством.

Давайте рассмотрим примеры.
1. Автомобильная фирма выпустила новую модель автомобилей, в которой изначально был заложен заводской дефект, скажем, просчет конструктора тормозной системы. Автовладелец купил эту машину и много ездил на ней. Однажды автовладелец попал в автомобильную аварию и был нанесен ущерб здоровью и имуществу автовладельца. В результате разбирательств выяснено, что тормозная система автомобиля содержит заводской дефект, но ни доказать ни опровергнуть причастность выявленного дефекта к аварии невозможно.
Производитель автомобиля выплатит пострадавшему все его разумные претензии по возмещению ущерба как здоровью, так и имуществу и начнет процедуру отзыва проданных автомобилей из оборота и исправления дефекта.

2. МелкоМягкие встраивают в свой WinXP "стукачей". Пользователь покупает лицензионную версию WinXP и активно ею пользуется. Через некоторое время с этого компьютера была украдена информация и пользователю был нанесен значительный материальный ущерб. В ходе разбирательст выяснилось, что WinXP содержит в себе шпионский модуль, но ни доказать ни опровергнуть причинность закладки в утечке информации нельзя.

А вот с этого места начинается самое интересное. Дальше с автомобилем аналогия перестает работать. Но не потому, что информация имеет особые свойства, а потому, что МелкоМягкие являются мировым монополистом. И даже в лицензии сказано, что они не несут ответственности за последствия от применения их WinXP. Надо это дело приводить в соответствие. И ссылки на сложность ПО не должны играть никакой роли: автомобиль тоже не очень простая конструкция.

Юрикс, преступление, совершенное по неосторожности, является преступлением только в том случае, если неосторожность прямо предусмотрена УК.
В любом ином случае такое деяние преступлением не является.
Т. е., если я перепутал чемоданы и взял соседский, то это не кража, а элементарная невнимательность, не влекущая никаких последствий в уголовно-правовом смысле (если, конечно, не присвоить пару миллионов из этого чемодана впоследствии).

Это неверно. Неосторожность в данном случае квалифицируется как халатность. Все зависит от размера ущерба. Если ущерба не нанесено, то действительно, деяние не может быть квалифицировано, как уголовное преступление.

Можно развить еще одно направление...
С точки зрения ЗоАП, ПО - это разновидность литературного произведения.
И если кому-то не нравится авторский замысел сюжета (и никому не причиняется вред), то у Вас нет оснований требовать от автора изменить сюжет. :))

Ага. Технический стандарт тогда тоже является литератуно-художественным произведением? А список телефонорв в телефонном справочнике?
Такая отмазка будет действовать, пока не будет начато уголовное преследование.

После этого будь хоть трижды автором, а на шконках париться авторам законом не запрещено. Вон, Эдичка Лимонов парился. Да и других хватает. Одно другому не мешает.

А вот когда уголовное преследование из-за отсутствиия в действиях состава преступления будет прекращено, тогда можно будет вспомнить и о ЗоАП. Но прежде чем вспоминать ЗоАП, вспомним: программа была куплена, следовательно, права на ее использование получены в результате совершения сделки. Сначала бы надо ЗоЗПП посмотреть. Авторские права действуют в данном случае только в отношении автора. А как же потребитель? Его мы родимого забыли? Его нет? Или у него уже прав нет?

Юрикс, давайте не будем спорить по вопросам уголовного права. Во-первых, для этого есть мпециальный раздел, а во-вторых, поверьте, я немного в нем разбираюсь.
Ремаркирую только, что халатность - это отдельный состав, и он УКАЗАН в УК РФ.

Правильно. Ситуации различаются:
1. Неосторожность - нанесение ущерба действиями, для которых не предполагалось ненесение вреда и наступления тяжких последствий. Не знал, не предполагал, но совершил. В данном случае - возможная "утечка" конфиденциальной информации и нанесение ущерба за счет ее бесконтрольного распространения. (Легкомыслие - та же халатность, но только в отношении не должностного лица).
2. Халатность - нанесение ущерба бездействием, когда о возможном наступлении тяжких последствий было заранее известно и имелась возможность их предотвратить. Знал, предполагал, но не сделал. В данном случае "закладки" имеют двойное назначение, как и холодное оружие, и не было проведено действий для защиты от второго назначения "закладки".

В остальных случаях будет прямой умысел: знал, предполоагал и, тем не менее, совершил. И на неодолимую силу не тянет.

Теперь об особо оговоренных случаях. Мы установили, что о халатности (легкомыслии) или неосторожности речь идти не может, а всегда, когда в ПО встраиваются "закладки" есть умысел. Если посмотреть блок экономических статей, то там везде наступает уголовная ответственность в случае нанесения значительного ущерба, который составляет, цитирую примечание из текста ст.200:
Обманом потребителей в значительном размере признается обман,
причинивший потребителям ущерб в сумме, превышающей одну десятую часть минимального
размера оплаты труда, в крупном размере - в сумме не менее одного минимального
размера оплаты труда.
Поэтому в данном случае встраивание "закладок" в случае нанесения материального ущерба будет квалифицироваться статьями 167-168, 183 и 200. В остальных случаях, когда не наносится материальный ущерб, можно говорить только о гражданско-правовой ответственности.

Вот-Вот! Опять сам собой всплывает вопрос о законности использования СОРМ! ;D

Значит частным программопроизводителям вне какого-либо закона бесконтрольно этим заниматься можно, а уполномоченным государством органам в рамках действующего законодательства нельзя!? :o

Никому нельзя. Ибо, тайна переписки это такой же институт демократии, как и неприкосновенность депутатов. Если отсутствует этот общественный институт, то и демократии нет, а есть узурпация власти.

Вопрос стоит не в том, что разрешено, а как это безобразие пресекать в корне. В отношении частных фирм - нужен случай нанесения ущерба, пусть даже и не самой "закладкой". Вернее, когда нельзя ни доказать ни опровергнуть утверждение, что ущерб был нанесен с помощью этой "закладки".

В отношении госструктур - тут проще. Достаточно их как-то спровоцировать на действия, а затем подать запрос в прокуратутру о выяснении номера уголовного дела и на каком основании оно возбуждено, что в его рамках проводятся оперативные мероприятия, и почему лицо, в отношении которого возбуждено уголовное дело, не знает об этом прискорбном факте. А потом "морщить" гадов, вплоть до Гааги.

По большому счету, пропаганда СОРМ должна квалифицироваться следующим образом (нужное я выделил):

Статья 282. Возбуждение национальной, расовой или религиозной вражды.

     1. Действия, направленные на возбуждение национальной, расовой или религиозной
вражды, унижение национального достоинства, а равно пропаганда исключительности,
превосходства либо неполноценности граждан по признаку их отношения к религии,
национальной или расовой принадлежности, если эти деяния совершены публично
или с использованием средств массовой информации, -
     наказываются штрафом в размере от пятисот до восьмисот минимальных размеров
оплаты труда или в размере заработной платы или иного дохода осужденного за
период от пяти до восьми месяцев, либо ограничением свободы на срок до трех
лет, либо лишением свободы на срок от двух до четырех лет.
     2. Те же деяния, совершенные:
     а) с применением насилия или с угрозой его применения;
     б) лицом с использованием своего служебного положения;
     в) организованной группой, -
     наказываются лишением свободы на срок от трех до пяти лет.

Чувствуешь себя "человеком второго сорта", что ты "никто посреди нигде", по отношению к нациям, где подобное нарушение тайны переписки запрещено. А пропаганда СОРМ - это пропаганда неполноценности россиян, как нации. Мол, они и не такое еще допустят в отношении себя, эти лохи. И стоит ли удивляться, что Запад Россию "имел", "имеет" и, как россиянин не хочу этого, будет "иметь".

А потом все удивляются: "А что это у россиян отсутствует уважение к своему государству"?

В соответствии с Законом РФ "Об информации, информатизации..." собственник и(или) владелец информационного ресурса может защищать его любыми, не противоречащими действующему законодательству методами, способами и средствами. :(
Что производители ПО и делают, причем, достаточно активно! :(

Как мы уже установили, "закладки" противоречат действующему законодательству. Просто, для прекращения этого беззакония необходим прецедент с причинеием ущерба. Чтож, подождем...

За чем же ждать, я думаю можно пригласить на форум Е.Касперского, путь выскажит свое мнение, тем более он сделал не мало...

Инициатива наказуема. Приглашайте!

Думаю, что там тоже не дураки сидят и все это уже прочитали. А вот их молчание настораживает, ибо свидетельствует о полном их согласии с обвинениями в незаконности "закладок". В любом случае придется ждать прецедента, и тогда "Через сорок пять ка-ааак!!... Эт точно!".

Нельзя однозначно утверждать, что любая программная закладка противоречит законодательству. Незаконным является использование закладки для неправомерного доступа к защищаемой информации. Исключением является такая закладка, у которой единственное назначение - НСД.

До тех пор, пока "закладка" себя никак не проявила, нельзя утверждать, что она есть. За исключением случаев специального исследования кода.

Следовательно, "закладка" тогда становится "закладкой" (в худшем смысле этого слова), когда она как-то себя проявляет. Либо, когда будет доказано, что она потенциально предназначена для нанесения ущерба при выполнении определенных условий.

Вы что серьезно думаете, что кто-то из его многочисленной команды придет!? ???

По-моему, они охотно выступают только в массовых СМИ, но никогда не снизойдут до уровня данного форума! :-[

Напишите, проверим

Не буду спорить, подходов к AVP нет, но отмечу, что до нашего уровня, по просьбам ведущих "снисходили" представители: РосНИИРОС, РуЦентр, Zenon, Microsoft, 1C, РОМС и другие представители оргнов гос.власти, коммерческих компаний, ВУЗов...

P.S. Что-то мне подсказывает, что походы к AVP вполне могут быть у ННФ, которые позволят ему без труда кого-то сюда привести. Я тоько не до конца понимаю, что нам это даст в рамках обсуждаемой темы.

Ну, допустим, пригласим касперчанина. Спросим: "Есть ли в вашем продукте программные закладки?" Ответ: "Нету!" - "А как же антивирус получает обновления?" - "По FTP."

Кстати, действительно по FTP. Мне неоднократно приходили жалобы на якобы "атаку" с наших адресов. Элементарная проверка показывала, что это антивирус Касперского (в сети жалобщика) обращался за обновлениями. И почему-то включал пассивный режим FTP. Глупые программы, которые пытаются изображать из себя межсетевые экраны под Windows, простодушно заявляли: "атака с адреса такого-то". Соответствующие им админы писали жалобы.

Николай Николаевич! Вы про эту "фичу" с использованием 20 порта забыли?

А вот с самими закладками я не соглашусь...

Глупые АДМИНЫ! ;D

Urix! А между прочим СОРМ приблизительно так и работает. ;) Только алгоритм фильтрации у него написан "в несколько раз со степенью" профессиональнее, чем у всех имеющихся "америкосовских прог". :D

Если мне нужно будет обойти СОРМ, то я это сделаю так, что никто никогда не догадается. Достаточно вспомнить, например, публикации о том, как израильская карательная группа, охотившаяся на исполнителей терракта в Мюнхене, связывалась со своей штаб-квартирой. Это уже давно опубликовано. СОРМ отдыхает. Противостоять профи может только другой, равный или выше уровнем, профи. Профи надо платить. А где их взять?

В Microsoftе, который в скором времени полностью будет состоять из русских выпускников Новоссибирского академгородка, а ныне - Сибирского филиала РАН РФ. ;D
Поздно российское Правительство спохватилось! Многие классные "мозги" уже вовсю трудятся на Западе и являются ударниками капиталистического труда. :(

Знакомое место. Снобы еще те. Что НГУ, что ВЦ, что ИТПМ, что СКТБ. А снобизм - это первый признак ограниченности. Не думаю, что MicroSoft-у сильно повезло. Пожалеть его надо. Да и нас вместе с ним. Один WinXP чего стоит. ;D ;D ;D

Профи отличается от обычного человека не только знаниями, но в первую очередь специфически поставленным мышлением. Что произойдет, если лаборант по образу мыслей вдруг попадет на инженерную должность? От занятия инженерной должности инженерным образом мышления он не овладеет, если еще будучи лаборантом этого не сделал, а будет лишь лаборантом на инженерной должности. Отсюда появляется снобизм, как мера защиты от возвращения на соответствующую уровню мышления должность.

Вы забываете лозунг вождя начала ХХ века: "И КУХАРКА МОЖЕТ УПРАВЛЯТЬ ГОСУДАРСТВОМ!" ;D

Владимир Ленин совершил Революцию для того, что бы кухарки могли управлять Государством.
Билл Гейтс создал Windows для того, что бы кухаркины дети могли программировать на Basic-е.

Вот такой вот парадокс преемственности поколений. Или нонсенс.

Стоит почитать первоисточник, прежде чем цитировать, причем с такими ошибками. В упомянутом Вами отрывке речь шла не о фактической возможности управлять государством и тем более не о способности управлять государством, а о равенстве возможностей всех граждан участвовать в управлении государством, что в принципе было в дальнейшем закреплено в конституциях всех демократических государств.

Виталий! Если говорить строго, то это необходимое условие существования демократии. Но должно еще быть и достаточное, а у Ленина об этом ни слова не сказано. Иначе демократия превращается в охлократию. Что мы все и наблюдаем.

При отсутствии достаточного условия оно заменяется одним из законов Мерфи: если ситуация пущена на самотек, то она будет развиваться от полохого к худшему, а не наоборот.

За океаном уже думают об ЭТОМ...


В четверг комитет Конгресса США по энергетике и коммерции единогласно принял проект закона, который обяжет создателей шпионских программ предупреждать пользователей о том, какими функциями наделено их программное обеспечение. Член Палаты представителей, глава комитета Джо Бартон считает, что законопроект без задержек пройдет процедуру одобрения Конгрессом и уже в этом году вступит в силу, сообщает Reuters.

За незаконное распространение (установку без ведома пользователя) особо "опасных" видов троянских программ, в частности, утилит для записи ввода с клавиатуры или программ для кражи личных данных пользователей, по новому закону полагается многомиллионный штраф. Закон обяжет производителей программ, которые следят, например, за тем, какие сайты посещают пользователи, явно указывать, какие функции выполняет программный модуль слежения.

Пока закон получил поддержку только среди законотворцев, а Федеральная комиссия США по торговле, являющаяся регулирующим органом, еще не одобрила закон. В комиссии опасаются, что законопроект осложнит жизнь производителям обычного ПО, некоторые функции которого могут быть расценены как троянские. Например, шпионским модулем может быть признана невинная функция по выводу наиболее часто посещаемых веб-страниц в браузере.

http://www.compulenta.ru/2004/6/18/47676/

Майкрософтовский "анишпион" показал мне, что шпионский модуль сидит у меня в лицензионном "Гаранте".  >:( И там технари с юристами не общаются...
Правда, этот продукт MS известен тем, что недавно и Internet Explorer принимал за "шпионскую" программу.