Коллектив Авторов - Цифровой журнал «Компьютерра» № 166

Технологии уже давно развиваются быстрее законов и норм этики. Каждая инновация всегда поначалу сопряжена с некоторыми социальными проблемами, но среди них нет принципиально нерешаемых. Главное, чтобы пользователь оставался хоть чуточку умнее своего компьютера и умел обходиться без него.

К оглавлению

Опубликовано29 марта 2013

Когда в январе Сеть прощалась с Аароном Шварцем, казалось, в истории информационных технологий начинается новая эра. Интернет-активист, засуженный по древнему закону за проступок, который большинство сочувствующих расценивают как полезный для общества (он без спросу раздавал извлечённые из платной цифровой библиотеки научные труды), Шварц наложил на себя руки и немедленно стал символом Сопротивления. С его именем на устах идут сегодня на баррикады все протестующие против неадекватной жестокости киберправосудия, вне зависимости от того, идёт ли речь об авторских правах и пиратстве, вторжении на чужие компьютеры или простой «перепрошивке» приставок и телефонов. Казалось, ещё неделя, ещё месяц — и по обе стороны Атлантики будут переписаны несправедливые законы и здравый смысл наконец возьмёт верх (см. « Вор в законе Аарон Шварц»).

Что ж, не хочу вас расстраивать, но чуда не произошло. Хуже того, на прошлой неделе в Соединённых Штатах был приговорён к тюремному заключению ещё один активист, Эндрю Арнхаймер. По тому же закону и в общем за очень похожий проступок, что и мученик Аарон. Хорошая новость в том, что, хотя очередной жертве правосудия явно придётся отправиться за решётку, случай Арнхаймера всё-таки вносит некоторое разнообразие в становящуюся скучной модель «украл — похвастался — в тюрьму». Отчасти потому, что Эндрю, в отличие от Шварца, жив и имеет ненулевые шансы таки переписать законы. Отчасти из-за оригинальной киберфилософской концепции, которую он исповедует и которая теперь наверняка привлечёт внимание широкой общественности. Впрочем, давайте по порядку.

Если вы никогда о нём не слышали, Эндрю Арнхаймер, он же weev, — это 27-летний бородатый американский дядька, известный по своим «работам» в составе хакерской группы Goatse Security, а также нетипичным, интернет-ориентированным, часто асоциальным увлечениям. Он, к примеру, считает себя интернет-троллем — и с удовольствием травит публику рискованной чушью, граничащей с расизмом. Противопоставляет себя богатеям, ратует за абсолютную свободу слова в Сети и т.д. А с коллегами по Goatse занимается поиском уязвимостей в популярных программах и ИТ-системах крупных компаний, балансируя на тонкой грани между белым и чёрным хакерством. Кто-то его хвалит (Microsoft, TechCrunch), другие подозревают в тёмных делишках и миллионных криминальных заработках, но так или иначе ничего особенно страшного, равно как и великого, за ними официально не числилось. Вплоть до лета 2010 года.

Тем летом Эндрю с ребятами отыскали на сайте корпорации AT&T забавную и в общем глупую «дыру». AT&T тогда была одним из немногих (если не единственным) операторов сотовой связи, полноценно обслуживавших недавно появившуюся планшетку iPad. При входе на корпоративный сайт от клиента требовалось ввести, в частности, адрес электронной почты, выданный ему во время регистрации. Однако, поскольку такие адреса формировались автоматически (из аппаратного идентификационного номера конкретного Айпада), AT&T решила облегчить клиентам жизнь: когда пользователь приходил на сайт, идентификатор его Айпада считывался, по нему восстанавливался почтовый адрес — и вписывался в соответствующее поле в браузере. Так что, просто меняя символы в строке URL, Арнхаймер и друзья извлекли из AT&T больше ста тысяч адресов, принадлежащих и простым смертным, и знаменитостям, и военным, и госчиновникам.

Добытые адреса и некоторые сопутствующие данные были переданы журналистам, после чего в известность была поставлена сама AT&T. Расставив события в такой последовательности, ребята предопределили свою судьбу. Расследование, начатое ФБР, привело на скамью подсудимых Арнхаймера и его товарища. Товарищ вину признал, Эндрю — нет. 18 марта сего года был вынесен приговор: 41 месяц тюрьмы, штраф в 73 тысячи долларов за возмещение понесённого AT&T ущерба, три года под надзором с контролируемым доступом в Сеть.

Так в чём же виновен weev? Центральный пункт обвинения и он же — главная нестыковка: несанкционированный доступ к чужому компьютеру. Чувствуете конфликт? AT&T не прятала свои данные, она разместила их на открытом сайте. Но раз информация была свободно доступна всем желающим, разве доступ к ней может считаться несанкционированным? Иначе говоря, как можно сажать кого-то в тюрьму за цитирование строчки текста, опубликованной в интернете? Увы, по крайней мере в США можно, и причиной тому — закон «О компьютерном мошенничестве и злоупотреблении» (Computer Fraud and Abuse Act).

Принятый ещё в 1984 году, CFAA стал к настоящему моменту фундаментом, на котором Америка строит законодательство, регулирующее жизнь в киберпространстве. Его многократно расширяли и продляли, и как раз сейчас предложена новая поправка, ужесточающая наказание за умышленное причинение ущерба. Проблема в том, что если для своего времени CFAA был необходим, сегодня он и морально, и технически устарел. Ведь принимали его ещё при Рейгане, в эпоху «Звёздных войн» (была такая стратегическая оборонная инициатива), надеясь предотвратить проникновение взломщиков в компьютерные системы, управляющие ракетным щитом США. Но если в те далёкие времена, например, термин «защищённый компьютер» означал только машины оборонного ведомства, сегодня под него подпадает практически любая персоналка. Та же проблема — с «(не)санкционированным доступом», который чётко не определён. В результате CFAA, по образному выражению специалистов, превратился в дубину, которой пытаются лечить болезни, требующие скальпеля, а может быть, и всего лишь таблетки.

Шварц и Арнхаймер — далеко не единственные, кого «залечили» этой дубиной, но в случае с Эндрю правозащитники усматривают реальную возможность повернуть инертную машину правосудия вспять. После вынесения приговора бесплатно помочь Арнхаймеру вызвались несколько авторитетов по киберправу (в том числе юристы EFF), прошение об апелляции уже подано. Как минимум адвокаты надеются скостить подзащитному срок: в Штатах принято начислять года в соответствии с причинённым ущербом, а AT&T фактического ущерба не понесла, а только лишь потратилась на информирование клиентов о выявленной бреши в безопасности, причём способ она выбирала сама. Как максимум же дело weev станет прецедентом, который поможет переписать устаревший закон. Для этого адвокатам «всего лишь» нужно доказать, что доступ Арнхаймера к сайту AT&T не может считаться «несанкционированным».