Влада США дозволили дослідникам займатися пентестами і реверс-інжиніринг без юридичних наслідків



У п'ятницю, 28 жовтня, на сайті бібліотеки Конгресу США був опубликован оновлений список винятків з правил закону Digital Millennium Copyright Act (DMCA), що забороняють здійснення «обходу цифрових засобів управління доступом». Ці правила регулюють умови, на яких приватні користувачі можуть взаємодіяти і маніпулювати цифровим контентом, що належать правовласникам, без ризику юридичних наслідків для себе.

В поточний список винятків входять і ті, які полегшать дослідникам інформаційної безпеки проведення робіт з тестування програмних продуктів.

Починаючи з 2003 року подібні виключення з DMCA публікуються кожні три роки — однак у даному випадку цей термін був продовжений ще на рік, який пішов на обговорення наслідків з правовласниками. Представники бізнесу побоювалися наслідків, які могло мати дозвіл, фактично, займатися зворотного розробкою софта і його тестуванням на проникнення.

Найбільш цікаві такі винятки (повний їх список опубликован у виданні The Register):

  • Здійснення джейлбрейка смартфонів і планшетів для забезпечення сумісності софта і видалення небажаних програм.
  • Спроби отримання доступу до програмного забезпечення автомобілів.
  • Спроби обходу механізмів захисту і управління 3D-принтерів.
  • Спроби пацієнтів отримати доступ до персональних даних медичних пристроїв.
  • Реверс-інжиніринг програмного забезпечення в цілях дослідження безпеки.
словам Аарона Алвы (Aaron Alva), який працює офіцером з регулювання технологій (Tech Policy Fellow) у Федеральної торгової комісії США, «нові винятки — це велика перемога для спільноти ІБ-дослідників і користувачів продуктів, які стануть безпечнішими».

Незважаючи на набуття чинності нових винятків, дослідники, як і раніше, зобов'язані дотримуватися Закону про комп'ютерному шахрайстві (Computer Fraud and Abuse Act). Крім того, умови винятків припускають наявність певних умов при проведенні зворотної розробки і деобфускации коду — їх необхідно здійснювати в контрольованому середовищі, розробленої для уникнення нанесення будь-якої шкоди конкретним особам і суспільству».

Також будь-яка інформація, отримана від таких заходів, повинна використовуватися для підвищення рівня захищеності пристроїв, що використовують досліджуваний код, або безпеці людей, що використовують кінцевий продукт. Забезпечення цього «підвищення захищеності», в свою чергу, ніяк не повинні порушувати прав правообладетелей.

«Якщо ви дотримуєте всі правила, то цілком можете протестувати захищеність підключається до інтернету тостера з метою оцінки ризиків того, що зловмисники зможуть захопити над ним контроль і спалити ваш бейгл або віддалено отримувати інформацію про ваші уподобання у випічці, — каже Алба. — Проте, звичайно ж, все це не дає нікому права красти такий тостер, зламувати тостер сусіда або змушувати пристрій загорітися поряд з легкозаймистими матеріалами».
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.