Власти США разрешили исследователям заниматься пентестами и реверс-инжинирингом без юридических последствий
В пятницу, 28 октября, на сайте библиотеки Конгресса США был опубликован обновленный список исключений из правил закона Digital Millennium Copyright Act (DMCA), запрещающих осуществление «обхода цифровых средств управления доступом». Эти правила регулируют условия, на которых частные пользователи могут взаимодействовать и манипулировать цифровым контентом, принадлежащим правообладателям, без риска юридических последствий для себя.
В список текущий исключений входят и те, которые облегчат исследователям информационной безопасности проведение работ по тестированию программных продуктов.
Начиная с 2003 года подобные исключения из DMCA публикуются каждые три года — однако в данном случае этот срок был продлен еще на год, который ушел на обсуждения последствий с правообладателями. Представители бизнеса опасались последствий, которые могло иметь разрешение, фактически, заниматься обратной разработкой софта и его тестированием на проникновение.
Наиболее интересны следующие исключения (полный их список опубликован в издании The Register):
- Осуществление джейлбрейка смартфонов и планшетов для обеспечения совместимости софта и удаления нежелательных программ.
- Попытки получения доступа к программному обеспечению автомобилей.
- Попытки обхода механизмов защиты и управления 3D-принтеров.
- Попытки пациентов получить доступ к данным персональных медицинских устройств.
- Реверс-инжиниринг программного обеспечения в целях исследования безопасности.
По словам Аарона Алвы (Aaron Alva), который работает офицером по регулированию технологий (Tech Policy Fellow) в Федеральной торговой комиссии США, «новые исключения — это большая победа для сообщества ИБ-исследователей и пользователей продуктов, которые станут более безопасными».
Несмотря на вступление в силу новых исключений, исследователи по-прежнему обязаны соблюдать Закон о компьютерном мошенничестве (Computer Fraud and Abuse Act). Кроме того, условия исключений предполагают наличие определенных условий при проведении обратной разработки и деобфускации кода — их необходимо осуществлять «в контролируемой среде, разработанной для избежания нанесения любого вреда конкретным лицам и обществу».
Также любая информация, полученная от подобных мероприятий, должна использоваться для повышения уровня защищенности устройств, использующих исследуемый код, или безопасности людей, использующих конечный продукт. Обеспечение этого «повышения защищенности», в свою очередь, никак не должны нарушать прав правообладетелей.
«Если вы соблюдаете все правила, то вполне можете протестировать защищенность подключаемого к интернету тостера с целью оценки рисков того, что злоумышленники смогут захватить над ним контроль и спалить ваш бейгл или удаленно получать информацию о ваших предпочтениях в выпечке, — говорит Алба. — Однако, конечно же, все это не дает никому право красть такой тостер, взламывать тостер соседа или заставлять устройство загореться рядом с легковоспламеняющимися материалами».