Власти США разрешили исследователям заниматься пентестами и реверс-инжинирингом без юридических последствий

^[1]

В пятницу, 28 октября, на сайте библиотеки Конгресса США был опубликован ^[2] обновленный список исключений из правил закона Digital Millennium Copyright Act (DMCA), запрещающих осуществление «обхода цифровых средств управления доступом». Эти правила регулируют условия, на которых частные пользователи могут взаимодействовать и манипулировать цифровым контентом, принадлежащим правообладателям, без риска юридических последствий для себя.

В список текущий исключений входят и те, которые облегчат исследователям информационной безопасности проведение работ по тестированию программных продуктов.

Начиная с 2003 года подобные исключения из DMCA публикуются каждые три года — однако в данном случае этот срок был продлен еще на год, который ушел на обсуждения последствий с правообладателями. Представители бизнеса опасались последствий, которые могло иметь разрешение, фактически, заниматься обратной разработкой софта и его тестированием на проникновение.

Наиболее интересны следующие исключения (полный их список опубликован ^[3] в издании The Register):

• Осуществление джейлбрейка смартфонов и планшетов для обеспечения совместимости софта и удаления нежелательных программ.
• Попытки получения доступа к программному обеспечению автомобилей.
• Попытки обхода механизмов защиты и управления 3D-принтеров.
• Попытки пациентов получить доступ к данным персональных медицинских устройств.
• Реверс-инжиниринг программного обеспечения в целях исследования безопасности.

По словам ^[4] Аарона Алвы (Aaron Alva), который работает офицером по регулированию технологий (Tech Policy Fellow) в Федеральной торговой комиссии США, «новые исключения — это большая победа для сообщества ИБ-исследователей и пользователей продуктов, которые станут более безопасными».

Несмотря на вступление в силу новых исключений, исследователи по-прежнему обязаны соблюдать Закон о компьютерном мошенничестве (Computer Fraud and Abuse Act). Кроме того, условия исключений предполагают наличие определенных условий при проведении обратной разработки и деобфускации кода — их необходимо осуществлять «в контролируемой среде, разработанной для избежания нанесения любого вреда конкретным лицам и обществу».

Также любая информация, полученная от подобных мероприятий, должна использоваться для повышения уровня защищенности устройств, использующих исследуемый код, или безопасности людей, использующих конечный продукт. Обеспечение этого «повышения защищенности», в свою очередь, никак не должны нарушать прав правообладетелей.

«Если вы соблюдаете все правила, то вполне можете протестировать защищенность подключаемого к интернету тостера с целью оценки рисков того, что злоумышленники смогут захватить над ним контроль и спалить ваш бейгл или удаленно получать информацию о ваших предпочтениях в выпечке, — говорит Алба. — Однако, конечно же, все это не дает никому право красть такой тостер, взламывать тостер соседа или заставлять устройство загореться рядом с легковоспламеняющимися материалами».

Автор: Positive Technologies

Источник ^[5]