Морально-правовые аспекты изучения систем защит компьютерных программ

by aSL! of UOFG
asl@aslsoft.com

Убей меня, yбей себя,
Ты не изменишь ничего:
У этой сказки нет конца -
Ты не изменишь ничего.

гр. Агата Кристи "Опиум для никого"

Наша работа во тьме -
Мы делаем, что умеем,
Мы отдаем, что имеем -
Наша работа - во тьме.
Сомнения стали страстью,
А страсть стала судьбой.
Все остальное - искусство
В безумии быть собой.

Гимн хакеров, русский вариант.
С. Лукьяненко "Лабиринт отражений"

Данная статья отражает только личную субъективную точку зрения Автора на проблему указанную в статье. Вся информация, представленная в данной статье, предназначена только для ознакомительных\учебных целей.

Все авторские права на данную статью принадлежат исключительно Автору. Читатель отвечает за любое использование материалов данной статьи. В наибольшей степени, допускаемой действующим законодательством, Автор отказывается от предоставления любых гарантий, явных или подразумеваемых, в том числе относительно безвредности или применимости данной статьи для какой-либо конкретной цели. В наибольшей степени, допускаемой действующим законодательством, Автор отказывается нести ответственность за какие-либо убытки (включая реальный ущерб и упущенную выгоду) возникшие из-за использования или невозможности использования материалов данной статьи, даже если Автор был предупрежден о возможности возникновения такого ущерба. Использование материалов данной статьи равно как и размещение ее в полном или частичном объеме где бы то ни было допускается только с разрешения Автора. Автор соглашается, что на создание данной статьи повлияли другие источники информации, но не было использовано фактически никаких выдержек или частей сторонних источников. Все, написанное ниже является только продуктом самостоятельной переработки и осмысления доступного материала Автором.

Читатель соглашается с тем, что Автор остается анонимным.

В наше время, когда информация действительно захватила мир, когда мир реальный во многом своем слился с виртуальным, когда сделки в киберпространстве зачастую превышают годовой бюджет некоторых стран, когда существуют корпорации, состоящие из одного человека и компьтера и ворочащие миллионами, когда...

В это время возникают и такие проблемы, которых не существует в реальном мире. В то же время, виртуальный мир, Сеть, сейчас мало отличается от реального. Да! В Сети действительно можно найти все, начиная с рецепта домашнего пирога и заканчивая детской порнографией. Сеть опирается как на отдельных энтузиастов, так и ну целые корпорации, за которыми стоят мультимиллиардеры. Не будь их - не было бы и Сети. Сеть стала похожа на реальный мир! Скорее даже наоборот - реальный мир, мир в котором мы живет все больше начинает походить на киберпространство по своей сути. Не важно, как это выглядит. Важна сама суть. Сеть стала настоящим домом для многих людей. Что же это, приход идей Лукьяненко?!

Да, в Сети, как и в реальном мире существует множество проблем. Однако не стоит отождествлять киберпреступников с преступниками бренной Земли. Не существует реального и четкого определения кибепреступления, как нет и тех, кто согласился бы это определение дать. Это просто невозможно! Сеть по большей своей части стоит на смеси полной анархии с тоталитаризмом (в смысле Сети). Киберпреступления называются и трактуются как мнения большинства. Однако, существует и другая часть киберобщества, способная высказать доводы, подчас более веские, доказывающие полную неправоту большинства...

В этой статье будет отражена лишь частная и сугубо субъективная точка зрения того, кто смог несколько изучить эту проблему. Это проблема снятия защит с программных продуктов.

0) Техническое отступление.
Сначала экскурс в историю. В начел компьютерные программы любой сложности распространялись абсолютно бесплатно и совершенно свободно. Однако, всем вам известный Уильям Гейтс один раз открыто обратился к компьютерному обществу. Это ведь было унизительно распространять за просто так результаты многих часов труда. Нервные клетки надо чем-то восстанавливать! Или, хотя бы чем-нибудь подпитывать для замедления разрушения. (Не ново. Где-то я подобное встречал. А.Солженицын "Архипелаг ГУЛАГ". Книга вторая, часть третья. Глава 9. "Придурки"). Все! Эра свободного распространения программ прошла: с тех пор за любую мало- -мальскую программу требуют деньги. Спрос рождает предложение: появились и существуют люди, которые "снимают" защиты программных продуктов. Каждый раз по-разному (для обзора возможных защит рекоммендую статью GoKs'а), но в итоге защита убирается, и программа становится доступной широкой публике. Да, бывают защиты сложные для снятия, но в большинстве своем, программы защищены ужасно. Это факт. Что и говорить, если одна из самых дорогих защит с использованием dongle зачастую может быть снята путем простой правки нескольких (!) байт кода. Причем, код, отвечающий за взаимодействие с ключом может быть вырезан, а ключ сэмулирован (Ау! MeteO, ты где? :). Главный вывод из всего вышесказанного: "If program can be run, it can be defeated". +ORC

1) Правовые аспекты в России.
В УК РФ существуют по крайней мере 4 статьи, регулирующие правоотношения в данном сегменте права. Это Ст. 146 "Нарушение авторских с смежных прав", Ст. 272 "Непра- вомерный доступ к информации", Ст. 273 "Создание, использование, распространение вредоносных программ для ЭВМ", Ст. 274 "Нарушение эксплуатации ЭВМ, системы ЭВМ или их сети". А теперь стоит подумать, какую статью стоит "пришить" человеку, граж- данину РФ, занимающемуся снятием программных защит. Да и вообще, применимы ли для него эти статьи. 274? Нет, равно как и 273 - это очевидно и заметно даже по названиям. Крак не является нарушением эксплуатации ЭВМ равно как и вредоносной (в смысле деструктивной) программой. Ст. 272 и 146. В первой открыто говорится, что модификация программы с целью ее улучшения разрешена, поскольку она законна. Все остальное - противозаконно. Создание же так называемого крака - это скорее не улучшения, а адаптация программы. (Конечно, легко развести полемику относительно смысла слова "улучшения" - крак тоже улучшает программу в нектором роде, но эта полемика по меньшей мере бесполезна). Итак, человек, модифицировавший программу, сняв с нее защиту совершил правонарушение. В то же время понятно, что сам факт изучения кода исходной программы уголовно ненаказуем. Другое дело, если информация, полученная в результате такого изучения заложит основу для другой программы, аналогичной по функциям и похожую по коду. Но это, извините, плагиат, а он под нашу тему явно не подходит (DivX ранних версий мы рассматривать не собираемся). Но крак - это не всегда изменение программы. Это может быть эмулятор системы защиты, серийный номер или их генератор. Что в этом случае? Есть ли прямое нарушение закона 7создателем крака? Приносит ли он сам прямой ущерб? Возможно ли в данном случае доказать материальный состав, содержащийся в Ст. 146 УК РФ? Материальный состав - причинение крупного ущерба путем получения прибыли от незаконного распространения объекта авторского права. (В нашем случае - программного продукта). Итак, очевидно, что факта извлечения прибыли самим кракером тут нет. Причем, прибыли прямой, поскольку косвенную прибыль в рамках Сети доказать нереально. Далее, правообла- дателю должен быть нанесен конкретный ущерб, то есть как минимум, должен быть факт использования конкретного крака к конкретному программному продукту. Именно использования, а не создания! Парадокс? Кажется, что да: создавать крак вполне законно, а вот использовать - нет. Впрочем не совсем парадокс: ведь никто не по- дает в суд на фирму-производителя отмычек только за то, что при их помощи проис- ходят ограбления. (О DMCA поговорим позже). Вернемся к кракам в форме патчей. Разве здесь имеет место модификация исходного кода программы? Нет. Только в результате запуска. Но опять-таки, запуск - прямое нарушение закона. Создавать можно, запускать - нет. Аналогичная ситуация с лоадерами. Последнее:в настоящее время в Сети можно найти множество программ, защищенных навесными защитами по типу шифровщиков байт-кода. Нередко можно встретить краки к ним в виде распако- ванного и расшифрованного исполняемого файла, с которого уже снята защита. Фор- мальная чать преступления налицо - факт нарушения очевиден. То есть в этом и толь- ко в этом случае создатель такого крака может понести какую-либо ответственность. Хотя, тут вопрос опять-таки спорный: программа признается как совокупность комманд и данных, а, очевидно, между запакованной и распакованной будут некоторые отличия, хотя бы по размеру... Но! Недоказанной оказывается материальная сторона. Даже инкриминировать моральный ущерб тоже проблематично: иск может подать только физическое лицо. Хотя, следует отметить, что моральный ущерб еще более труднодо- казуем, чем материальный. Главный вывод отсюда: в подавляющем большинстве случаев создания крака не только недоказуемо, но и законно. Использование же его, равно как и использование shareware-программы по истечению trial-периода противозаконно.

2) В США.
В США главным нормативным документом, регулирующим правоотношения в области информационного права является билль Конгресса - Digital Millenium Copyright Act. Я имел возможность лишь бегло его проштудировать, но хочу отметить, что у США более жесткая, в некторых местах даже двусмысленная система информационного права. Что и говорить: норма права - прецендент. Многие отмечают, что печально известная статья 1201 накладывает очень широкие ограничения на эту область, равно как и непонятна законная трактовка ее - прецендентов использования статьи 1201 DMCA еще не было. Как видится, автор вируса может объявить его объектом авторского права (правда, при этом сразу же попадет под другую статью DMCA), и автор антивируса не сможет обеспечить лечение этого вируса - хоть он и является формально деструктивной программой, но находится под защитой статьи 1201 DMCA, т.е. антивирус будет просто противозаконным. Много еще можно найти интересного в DMCA. Но это тема отдельного и большого разговора. Желающим узнать больше я советую проанализировать имеющуюся информацию относительно дела Дмитрия Склярова.

Моральные аспекты.

1) Отождествление киберпреступников с реальными.
Многим авторам свойственно отождествлять кракеров с ворами реальной жизни. Это не так. Что делает вор? Он взламывает, к примеру, замок на квартире, забирает цен- ности и вещи и скрывается, вспоследствии стараясь получить выгоду путем продажи этих вещей, предметов ценности и т.д. То есть вор реальной жизни стремится извлечь сугубо материальную выгоду из своего занятия. Эта выгода конкретна и реально существует. Невозможно отделить причинение материального ущерба, извлечение личной выгоды вором от самого понятия "вор"! Нет ущерба - нет вора. Это очевидно. Попробуем отождествить создателя крака с вором, а квартиру - со взламываемой программой. Что будет использованием взломанной программы? Очевидно, вынос и извлечение выгоды от украденных вещей из квартиры. А что же создатель крака? Он не вор! Что же он тогда делает? Он взламывает маленький замочек на двери (ну, скажем, замок от почтового ящика), заходит внутрь, осматривается, убеждается в том, что замок на двери сломан хорошо, надежно, что он не захлопнется. И все? Автор крака после этого выходит из квартиры и предоставляет широкой публике (Сети) информацию о том, где находится эта квартира, как он ее взломал и т.п. Что будет делать с данной квартирой публика (Сеть) зависит только от личных качеств людей, входящих в нее! В большинстве случаев, взломщик имеет чисто спортивно-познавательный интерес к самому процессу, но редко - результату. В большинстве случаев программа его совершенно не интересует. Да, он взломщик. Но это надо еще доказать. Но он не вор! Вормаи будут являться как раз пользователи его способов и никто более... В большинстве случаев, взломщик не имеет ничего со взламываемой программы, кроме знаний и морального удовлетворения. На этом же его миссия заканчивается. Он не может быть отождествлен с вором уже по самому определению вора - он ничего не имеет для себя.
Абсурдом же являются совершенно беспочвенные сетования авторов на то, что злыдни-кракеры отбирают последний кусок! Автор терпит убытки только от несозна- тельности конечных пользователей. Значит, Автор сам так позаботился об имидже своего продукта, что пользователя предпочитают украсть его, нежели купить.

2) Вина авторов.
Рассматривая эту проблему, да и вообще впервые сталкиваясь с ней, авторы, как правило, всю вину возлагают на человека, снявшего защиту с программы и сделавшего крак. Но тут больше вина самого автора, чем этого человека. Сравнение замка на двери с замком от почтового ящика тут неслучайно. Практически, большинство компьютерных программ защищено из рук вон плохо. Причем, защита в программе за $30 бывает лучше и надежнее (ну там, ASProtect + крипто), чем в программе, ценой больше на два-три порядка (элементарная проверка на dongle). За примером далеко ходить не надо - компания Parametric Technology может, например, на полном основании подать в суд на производителя менеджера лицензий FlexLM GLOBErTrottet GmbH. Причина проста - сам запатентованный алгоритм, в принципе, криптостоек, а вот его программная реализация сделана из рук вон плохо. Комплект Pro Engineer вкупе с комплектом сопровождающих программ стоит порядка $200000. Посчитали убытки? Почему-то бытует мнение, что автор должен думать только об алгоритме программы. И все! О защите ни строчки кода. Господа! Вы напрочь забываете, что спасение утопающих дело рук самих утопающих. Вы забываете, в каком мире вы живете! Да, я утверждаю, что не бывает невзламываемых защит. Так почему бы вам не сделать так, чтобы стоимость взлома как такового превышала стоимость программы! (И такие примеры реально существуют). Немногие об этом думают! Также, следуем отметить и то, что авторы программ весьма неохотно идут на контакт с кракерами. Как вы это можете объяснить? Ведь это же в ваших интересах! Добровольное предложение кракера о сотрудничестве, в большинстве своем, просто игнорируется. В остальных случаях направляется abuse провайдеру или хостеру сайта. А программа так и остается голой. Только в одном случае из ста может произойти контакт. Но чем он закончится заранее сказать невозможно. Мне лично извеcтны единичные случаи. Почему? Бытует мнение, что кракеры - никудышные программисты и что нормальныу защиту запрограм- мировать они не в состоянии. Я этого, конечно, не отрицаю. Да, FineReader смогут написать единицы. Но не забывайте, что каждый - специалист в своей области, подавляющее большинство знают ассемблер лучше, чем вы - свой холодильник. Опыт не пропьешь, а их опыт накапливается годами. Даже у кракеров есть свое разделение (К примеру, MeteO занимается преимущественно HASP'ом, Mihal широко известено по редактору для Novex'а. Есть и крипто-гуру, способные закейгенить RSA-512, есть специалисты по FlexLM, по донглам). Каждый художник своего жанра...

Сейчас отмечается склонность применения репрессивных мер безо всякого разбора. Простая кляуза хостеру - и без разбирательства сайт отправляется в /dev/null. Это в корне неправильно - на месте закрытого сайта появятся два, краки будут передаваться на дискетах, лентах... Словом, смотрите эпиграф. Бороться с этим невозможно. Я призываю авторов... нет, не бросаться к кракерам сломя голову с просьбой о помощи, но хотя бы серьезно подумать, - чем является и что представляет в их жизни их творение, их opus magnum. Я призываю хорошо подумать, в состоянии ли Вы написать хорошую защиту, все взвесить и еще раз подумать...

Дискуссии, замечания и предложения допускаются.