Здравствуйте, LuciferArh, Вы писали:
LA>Это получается, что ежели я, разработав программу и желая получить за это хоть какую-то компенсацию, автоматически становлюсь "киберпреступником"? Изюмительно! (с)
Ну откуда это стремление к максимализму во всем и вся? Почему бы тогда не сделать вывод, что ты не только не имеешь права требовать компенсацию, но вообще разрабатывать не можешь? Так же аргументированно и рационально
Я уже писал об этом в "О жизни", повторюсь. Ты, как разработчик ИС имеешь полное право предпринимать шаги по защите от использования ее контрафактных копий. Но есть твоя ИС, а есть информация, которую она обрабатывает, передает и хранит. Так вот информация, в отличии от ИС тебе не принадлежит, принадлежать не может и у тебя на нее нет никаких прав. Она — священная корова, на которую ты даже криво дышать не имеешь права, несмотря на то, что она была создана в твоей системе, она в ней хранится и в ней же обрабатывается. Эта информация защищается в т.ч. уголовным правом. И в соответствующих статьях черным по белому написано, что нельзя с ней делать. В том числе и косвенно, через создание ИС, которые совершают эти деяния (как раз та самая 273 статья). Если ты разработал ИС:
1. которая нарушает целостность, доступность или конфиденциальность информации, принадлежащей пользователю, которая в ней циркулирует;
2. которая делает это скрытно, без явного согласия на это пользователя (т.е. несанкционированно);
^^^ -> вредоносное ПО
3. алгоритмы которой (включая вредоносную часть) разрабатывались для извлечения прямой коммерческой выгоды;
то значит что мы имеем:
1. желание получить вознаграждение за использование твоей ИС. МОТИВ.
2. принуждение пользователя к выплате материального вознаграждения. ЦЕЛЬ.
3. осуществление ЦЕЛИ через несанкционированное блокирование и/или искажение информации пользователя. ВИНА, а именно: КОСВЕННЫЙ УМЫСЕЛ на реализацию перечисленных информационных угроз.
Выделенное суть — состав правонарушения, предусмотренного ст.273 УК РФ. Есть лишь одна лазейка, которая бы позволила вывести это за пределы УК РФ: сделать реализацию информационных угроз санкционированной, т.е. осуществленной с согласия пользователя. Причем юридически-безупречно это можно оформить только в виде письменного договора, с живой подписью пользователя, либо через публичную оферту (хотя тут уже есть нюансы). Но если для пользователя подобное поведение ИС становится сюрпризом, то разработчик такой ИС преступник.
Теперь по поводу того, является ли пользователь контрафактной копии, пользователем... А это не имеет ни малейшего значения. В ст.273 пользователи как-то не упоминаются. Совсем. Есть субъект правонарушения — разрабочтик компьютерной программы. Есть перечень характеристик, по которым программа может быть классифицирована как вредоносная. В комментариях к статье есть замечательная фраза:
Преступление, предусмотренное ст. 273 УК, считается оконченным, когда программа создана или внесены изменения в существующую программу, независимо от того, была ли она использована или распространена.
Т.е. пользователя вообще может и не быть, если что. Суть не в пользователе, а в реализованных возможностях программы. Как бы это вам, разработчикам, не нравилось
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>1. которая нарушает целостность, доступность или конфиденциальность информации, принадлежащей пользователю, которая в ней циркулирует; KV>2. которая делает это скрытно, без явного согласия на это пользователя (т.е. несанкционированно);
KV>^^^ -> вредоносное ПО
KV>3. алгоритмы которой (включая вредоносную часть) разрабатывались для извлечения прямой коммерческой выгоды;
KV>то значит что мы имеем:
KV>1. желание получить вознаграждение за использование твоей ИС. МОТИВ. KV>2. принуждение пользователя к выплате материального вознаграждения. ЦЕЛЬ. KV>3. осуществление ЦЕЛИ через несанкционированное блокирование и/или искажение информации пользователя. ВИНА, а именно: КОСВЕННЫЙ УМЫСЕЛ на реализацию перечисленных информационных угроз.
KV>Выделенное суть — состав правонарушения, предусмотренного ст.273 УК РФ. Есть лишь одна лазейка, которая бы позволила вывести это за пределы УК РФ: сделать реализацию информационных угроз санкционированной, т.е. осуществленной с согласия пользователя. Причем юридически-безупречно это можно оформить только в виде письменного договора, с живой подписью пользователя, либо через публичную оферту (хотя тут уже есть нюансы). Но если для пользователя подобное поведение ИС становится сюрпризом, то разработчик такой ИС преступник.
Вот бы кто-то Microsoft за это засудил. Если не за винду, так за блокировку жесткого диска с пользовательскими данными в XBOX.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Ну откуда это стремление к максимализму во всем и вся? Почему бы тогда не сделать вывод, что ты не только не имеешь права требовать компенсацию, но вообще разрабатывать не можешь? Так же аргументированно и рационально
Да не к максимализму, а лишь некая гипертрофия исходных условий.
KV>Я уже писал об этом в "О жизни", повторюсь. Ты, как разработчик ИС имеешь полное право предпринимать шаги по защите от использования ее контрафактных копий. Но есть твоя ИС, а есть информация, которую она обрабатывает, передает и хранит. Так вот информация, в отличии от ИС тебе не принадлежит, принадлежать не может и у тебя на нее нет никаких прав. Она — священная корова, на которую ты даже криво дышать не имеешь права, несмотря на то, что она была создана в твоей системе, она в ней хранится и в ней же обрабатывается. Эта информация защищается в т.ч. уголовным правом. И в соответствующих статьях черным по белому написано, что нельзя с ней делать. В том числе и косвенно, через создание ИС, которые совершают эти деяния (как раз та самая 273 статья).
Да знаю. Сам являюсь админом ИБ. И много раз говорил своим об этом. Так много раз, что даже сам запомнил.
KV>Если ты разработал ИС:
KV>1. которая нарушает целостность, доступность или конфиденциальность информации, принадлежащей пользователю, которая в ней циркулирует; KV>2. которая делает это скрытно, без явного согласия на это пользователя (т.е. несанкционированно);
KV>^^^ -> вредоносное ПО
Так. Исходная моя посылка такова: я разрабатываю ИС, оперирующую персональными данными. Причем в полном соответствии с духом и буквой закона "О защите...". При этом моя ИС никоим образом не искажает никаких данных, хранящихся в БД. Она — о чем совершенно русским в лицензии, текст которой выводится при инсталляции, — просто выводит их неполностью. Опять же — с какой точки зрения посмотреть. Если пользователь купил ее легально, то никаких таких действий моя ИС не производит. А если приобрел нелегально, то...
Но я не о том. Я подробностей этого дела так и не нашел. Поэтому не могу судить о том, что там в реалиях происходило. Я только озвучиваю совю позицию по поводу разработки, то есть, как бы поступил я.
KV>3. алгоритмы которой (включая вредоносную часть) разрабатывались для извлечения прямой коммерческой выгоды;
То есть, защита от "пиратед эдишн" — это уже вредоносный код? Антиресно... (с) Нет, ну если на постоянной основе вымогать деньги, то таки да. Это как-то неправильно, и за это надо наказывать.
KV>то значит что мы имеем:
KV>1. желание получить вознаграждение за использование твоей ИС. МОТИВ. KV>2. принуждение пользователя к выплате материального вознаграждения. ЦЕЛЬ. KV>3. осуществление ЦЕЛИ через несанкционированное блокирование и/или искажение информации пользователя. ВИНА, а именно: КОСВЕННЫЙ УМЫСЕЛ на реализацию перечисленных информационных угроз.
Еще раз — моя ИС никоим образом никакой информации не искажает. Она ее выдает неполностью. Согласись, что это никак не может подпадать под злой умысел.
KV>Выделенное суть — состав правонарушения, предусмотренного ст.273 УК РФ. Есть лишь одна лазейка, которая бы позволила вывести это за пределы УК РФ: сделать реализацию информационных угроз санкционированной, т.е. осуществленной с согласия пользователя. Причем юридически-безупречно это можно оформить только в виде письменного договора, с живой подписью пользователя, либо через публичную оферту (хотя тут уже есть нюансы). Но если для пользователя подобное поведение ИС становится сюрпризом, то разработчик такой ИС преступник.
Тут не могу не согласиться. Но только в рамках выделенного. Если кто-то, не читая предлагаемый ему текст лицензии, кликает кнопку "Далее", в чем виноват разработчик?
KV>Т.е. пользователя вообще может и не быть, если что. Суть не в пользователе, а в реализованных возможностях программы. Как бы это вам, разработчикам, не нравилось
Да нам нравится... Нам все нравится.
Здравствуйте, LuciferArh, Вы писали:
LA>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Ну откуда это стремление к максимализму во всем и вся? Почему бы тогда не сделать вывод, что ты не только не имеешь права требовать компенсацию, но вообще разрабатывать не можешь? Так же аргументированно и рационально
LA>Да не к максимализму, а лишь некая гипертрофия исходных условий.
Я вот на более точную формулировку наткнулся:
«Желая, например, защитить свое мнение, он (софист) выбирает самое крайнее и самое нелепое противоположное из других мыслимых решений вопроса и противопоставляет своему мнению. Вместе с тем он предлагает нам сделать выбор: или признать эту нелепость, или принять его мысль. Чем ярче контраст между нелепостью и защищаемым им мнением, тем лучше. Все остальные возможные решения намеренно замалчиваются.»
(с) из учебника Т.В. Анисимовой и Е.Г. Гимпельсона «Современная деловая риторика»
LA>То есть, защита от "пиратед эдишн" — это уже вредоносный код?
Ну вот... Опять
LA>Еще раз — моя ИС никоим образом никакой информации не искажает. Она ее выдает неполностью. Согласись, что это никак не может подпадать под злой умысел.
Не соглашусь. Она блокирует доступ пользователя к информации. Это тоже информационная угроза, одна из.
KV>>Выделенное суть — состав правонарушения, предусмотренного ст.273 УК РФ. Есть лишь одна лазейка, которая бы позволила вывести это за пределы УК РФ: сделать реализацию информационных угроз санкционированной, т.е. осуществленной с согласия пользователя. Причем юридически-безупречно это можно оформить только в виде письменного договора, с живой подписью пользователя, либо через публичную оферту (хотя тут уже есть нюансы). Но если для пользователя подобное поведение ИС становится сюрпризом, то разработчик такой ИС преступник. LA>Тут не могу не согласиться. Но только в рамках выделенного. Если кто-то, не читая предлагаемый ему текст лицензии, кликает кнопку "Далее", в чем виноват разработчик?
В том, что совершил деяние, классифицирующееся по ст.273. В том, что создал такую программу.
KV>Преступление, предусмотренное ст. 273 УК, считается оконченным, когда программа создана или внесены изменения в существующую программу, независимо от того, была ли она использована или распространена.
Круто. Это если я написал батник RUNME.BAT со строкой @DELTREE C:\, то меня уже можно в тюрьму садить? Хорошая статья, нужная.
Здравствуйте, quwy, Вы писали:
Q>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>
KV>>Преступление, предусмотренное ст. 273 УК, считается оконченным, когда программа создана или внесены изменения в существующую программу, независимо от того, была ли она использована или распространена.
Q>Круто. Это если я написал батник RUNME.BAT со строкой @DELTREE C:\, то меня уже можно в тюрьму садить? Хорошая статья, нужная.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, LuciferArh, Вы писали:
В комментариях к статье есть замечательная фраза:
KV>
KV>Преступление, предусмотренное ст. 273 УК, считается оконченным, когда программа создана или внесены изменения в существующую программу, независимо от того, была ли она использована или распространена.
KV>Т.е. пользователя вообще может и не быть, если что. Суть не в пользователе, а в реализованных возможностях программы. Как бы это вам, разработчикам, не нравилось
только там еще должен быть умысел и состав преступления. если я пишу программу, которая намеревается причинить ущерб ИС для того чтобы посмотреть как эта ИС на это отреагирует, при этом я уполномочен заниматься подобными эксприментами (да и сама ИС в песочнице), то под 273 УК я не попадаю. но это как бы и так очевидно, ибо здесь нет не только состава преступления, но и самого преступления, а так же нет пострадавших.
самый простой пример -- это программа, которая рекурсивно запускает сама себя. мы пишем скрипт из одной строки, не заморачиваясь с выводом на экран никаких сообщений и подвтерждений. запускаем ее в песочнице и смотрим как отреагиирует система, предполагая, что ей очень сильно поплохеет. вредоносная программа? да. попадает ли под данную статью? нет. по крайней мере при условии, что не произойдет утечки этой программы в плохие руки, которые ее используют для атак. а если используют, тогда нам придется несладно так скажем...
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>>
KV>>>Преступление, предусмотренное ст. 273 УК, считается оконченным, когда программа создана или внесены изменения в существующую программу, независимо от того, была ли она использована или распространена.
Q>>Круто. Это если я написал батник RUNME.BAT со строкой @DELTREE C:\, то меня уже можно в тюрьму садить? Хорошая статья, нужная. KV>Предложения?
Убрать процитированное, что тут непонятного? Наказание должно действовать по факту причинения вреда а не по факту наличия такой возможности, иначе можно прямо сейчас половину страны за изнасилование сажать.
Вы хоть понимаете, что с такой формулировкой можно привлечь любого программиста в любой момент?
Здравствуйте, kochetkov.vladimir, Вы писали:
LA>>Это получается, что ежели я, разработав программу и желая получить за это хоть какую-то компенсацию, автоматически становлюсь "киберпреступником"? Изюмительно! (с)
KV>Я уже писал об этом в "О жизни", повторюсь. Ты, как разработчик ИС имеешь полное право предпринимать шаги по защите от использования ее контрафактных копий. Но есть твоя ИС, а есть информация, которую она обрабатывает, передает и хранит. Так вот информация, в отличии от ИС тебе не принадлежит, принадлежать не может и у тебя на нее нет никаких прав. Она — священная корова, на которую ты даже криво дышать не имеешь права, несмотря на то, что она была создана в твоей системе, она в ней хранится и в ней же обрабатывается. Эта информация защищается в т.ч. уголовным правом. И в соответствующих статьях черным по белому написано, что нельзя с ней делать. В том числе и косвенно, через создание ИС, которые совершают эти деяния (как раз та самая 273 статья).
В законодательстве (п.1 ст.2 ФЗ N 149-ФЗ от 27.07.2006) дано определение информации:
информация — сведения (сообщения, данные) независимо от формы их представления;
Вот к примеру, в исходной теме, с которой началось обсуждение, база данных программы была стандартной клипперовской и она была неизменной после нарушения функционирования программы. Эксперт там утверждал, что в заблокированной части программы находилась логическая структура базы данных, и поэтому блокирование информации имело место. (Как я уже писал, такие умозаключения находятся за пределами компетенции эксперта, ну да ладно). Предположим, что в документации к программе обнаружится спецификация таблиц базы. Будет ли в этом случае иметь место блокировка информации? А если вдруг вместо клипперовской базы там окажутся стандартные *.bmp — картинки с содержимым таблиц в графическом представлении?
KV>Если ты разработал ИС:
KV>1. которая нарушает целостность, доступность или конфиденциальность информации, принадлежащей пользователю, которая в ней циркулирует; KV>2. которая делает это скрытно, без явного согласия на это пользователя (т.е. несанкционированно);
KV>^^^ -> вредоносное ПО
KV>3. алгоритмы которой (включая вредоносную часть) разрабатывались для извлечения прямой коммерческой выгоды;
KV>то значит что мы имеем:
KV>1. желание получить вознаграждение за использование твоей ИС. МОТИВ. KV>2. принуждение пользователя к выплате материального вознаграждения. ЦЕЛЬ. KV>3. осуществление ЦЕЛИ через несанкционированное блокирование и/или искажение информации пользователя. ВИНА, а именно: КОСВЕННЫЙ УМЫСЕЛ на реализацию перечисленных информационных угроз.
KV>Выделенное суть — состав правонарушения, предусмотренного ст.273 УК РФ. Есть лишь одна лазейка, которая бы позволила вывести это за пределы УК РФ: сделать реализацию информационных угроз санкционированной, т.е. осуществленной с согласия пользователя. Причем юридически-безупречно это можно оформить только в виде письменного договора, с живой подписью пользователя, либо через публичную оферту (A — frogkiller) (хотя тут уже есть нюансы). Но если для пользователя подобное поведение ИС становится сюрпризом, то разработчик такой ИС преступник.
KV>Теперь по поводу того, является ли пользователь контрафактной копии, пользователем... А это не имеет ни малейшего значения. В ст.273 пользователи как-то не упоминаются. Совсем. Есть субъект правонарушения — разрабочтик компьютерной программы. Есть перечень характеристик, по которым программа может быть классифицирована как вредоносная. В комментариях к статье есть замечательная фраза:
KV>
KV>Преступление, предусмотренное ст. 273 УК, считается оконченным, когда программа создана или внесены изменения в существующую программу, независимо от того, была ли она использована или распространена. (B — frogkiller)
KV>Т.е. пользователя вообще может и не быть, если что. Суть не в пользователе, а в реализованных возможностях программы (C — frogkiller). Как бы это вам, разработчикам, не нравилось
Обрати внимание — утверждение А противоречит утверждениям B и C.
----
А вообще это всё больше меня убеждает, что ты путаешь (из-за особенностей национального ведения бизнеса, а может, сознательно уводишь обсуждение в сторону) работу ИБ и работу юриста. Проверкой на лицензионную/патентную чистоту установленного на машинах компании ПО должен заниматься юрист. Квалифицировать действия субъектов взаимоотношений при разработке, распространении и использоавнии ПО также должен юрист. Работа безопасника, имхо, должна заключаться в защите информации (контроль доступа к ней, противодействие разным атакам и т.д.), а не в юридической казуистике.
Курица — это инструмент, с помощью которого одно яйцо производит другие.
Здравствуйте, frogkiller, Вы писали:
F>А вообще это всё больше меня убеждает, что ты путаешь (из-за особенностей национального ведения бизнеса, а может, сознательно уводишь обсуждение в сторону) работу ИБ и работу юриста. Проверкой на лицензионную/патентную чистоту установленного на машинах компании ПО должен заниматься юрист. Квалифицировать действия субъектов взаимоотношений при разработке, распространении и использоавнии ПО также должен юрист. Работа безопасника, имхо, должна заключаться в защите информации (контроль доступа к ней, противодействие разным атакам и т.д.), а не в юридической казуистике.
Также предположу, что это может быть вызвано нехваткой юристов, обладающих достаточной компетентностью в области ИТ (не достаточно прочитать книжку из серии "для чайников" и прослушать курсы по ворду/экселю/ и т.д.). В прочем, среди программистов/админов таких людей тоже немного Не говоря уже об их компетентности в областях права.
Курица — это инструмент, с помощью которого одно яйцо производит другие.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Не соглашусь. Она блокирует доступ пользователя к информации. Это тоже информационная угроза, одна из.
А если она вообще не выводит информацию — то это тоже информационная угроза? Т. е. как, триальная версия перестала работать и соответственно выводить данные, и можно разработчика судить? Какой-то бред.