Цифровой журнал «Компьютерра» № 166 - Коллектив Авторов

Технологии уже давно развиваются быстрее законов и норм этики. Каждая инновация всегда поначалу сопряжена с некоторыми социальными проблемами, но среди них нет принципиально нерешаемых. Главное, чтобы пользователь оставался хоть чуточку умнее своего компьютера и умел обходиться без него.

К оглавлению

По стопам Аарона Шварца: за что посадили Эндрю Арнхаймера и почему настоящий хакер должен молчать?

Евгений Золотов

Опубликовано 29 марта 2013

Когда в январе Сеть прощалась с Аароном Шварцем, казалось, в истории информационных технологий начинается новая эра. Интернет-активист, засуженный по древнему закону за проступок, который большинство сочувствующих расценивают как полезный для общества (он без спросу раздавал извлечённые из платной цифровой библиотеки научные труды), Шварц наложил на себя руки и немедленно стал символом Сопротивления. С его именем на устах идут сегодня на баррикады все протестующие против неадекватной жестокости киберправосудия, вне зависимости от того, идёт ли речь об авторских правах и пиратстве, вторжении на чужие компьютеры или простой «перепрошивке» приставок и телефонов. Казалось, ещё неделя, ещё месяц — и по обе стороны Атлантики будут переписаны несправедливые законы и здравый смысл наконец возьмёт верх (см. «Вор в законе Аарон Шварц»).

Что ж, не хочу вас расстраивать, но чуда не произошло. Хуже того, на прошлой неделе в Соединённых Штатах был приговорён к тюремному заключению ещё один активист, Эндрю Арнхаймер. По тому же закону и в общем за очень похожий проступок, что и мученик Аарон. Хорошая новость в том, что, хотя очередной жертве правосудия явно придётся отправиться за решётку, случай Арнхаймера всё-таки вносит некоторое разнообразие в становящуюся скучной модель «украл — похвастался — в тюрьму». Отчасти потому, что Эндрю, в отличие от Шварца, жив и имеет ненулевые шансы таки переписать законы. Отчасти из-за оригинальной киберфилософской концепции, которую он исповедует и которая теперь наверняка привлечёт внимание широкой общественности. Впрочем, давайте по порядку.

Если вы никогда о нём не слышали, Эндрю Арнхаймер, он же weev, — это 27-летний бородатый американский дядька, известный по своим «работам» в составе хакерской группы Goatse Security, а также нетипичным, интернет-ориентированным, часто асоциальным увлечениям. Он, к примеру, считает себя интернет-троллем — и с удовольствием травит публику рискованной чушью, граничащей с расизмом. Противопоставляет себя богатеям, ратует за абсолютную свободу слова в Сети и т.д. А с коллегами по Goatse занимается поиском уязвимостей в популярных программах и ИТ-системах крупных компаний, балансируя на тонкой грани между белым и чёрным хакерством. Кто-то его хвалит (Microsoft, TechCrunch), другие подозревают в тёмных делишках и миллионных криминальных заработках, но так или иначе ничего особенно страшного, равно как и великого, за ними официально не числилось. Вплоть до лета 2010 года.

«Сажусь за арифметику! Они меня не сломят!» Эндрю Арнхаймер считает себя пострадавшим безвинно, и больше того — героем. Но вот вопрос: почему, советуя молчать другим, сам он не молчал и молчать не собирается?

Тем летом Эндрю с ребятами отыскали на сайте корпорации AT&T забавную и в общем глупую «дыру». AT&T тогда была одним из немногих (если не единственным) операторов сотовой связи, полноценно обслуживавших недавно появившуюся планшетку iPad. При входе на корпоративный сайт от клиента требовалось ввести, в частности, адрес электронной почты, выданный ему во время регистрации. Однако, поскольку такие адреса формировались автоматически (из аппаратного идентификационного номера конкретного Айпада), AT&T решила облегчить клиентам жизнь: когда пользователь приходил на сайт, идентификатор его Айпада считывался, по нему восстанавливался почтовый адрес — и вписывался в соответствующее поле в браузере. Так что, просто меняя символы в строке URL, Арнхаймер и друзья извлекли из AT&T больше ста тысяч адресов, принадлежащих и простым смертным, и знаменитостям, и военным, и госчиновникам.

Добытые адреса и некоторые сопутствующие данные были переданы журналистам, после чего в известность была поставлена сама AT&T. Расставив события в такой последовательности, ребята предопределили свою судьбу. Расследование, начатое ФБР, привело на скамью подсудимых Арнхаймера и его товарища. Товарищ вину признал, Эндрю — нет. 18 марта сего года был вынесен приговор: 41 месяц тюрьмы, штраф в 73 тысячи долларов за возмещение понесённого AT&T ущерба, три года под надзором с контролируемым доступом в Сеть.

Так в чём же виновен weev? Центральный пункт обвинения и он же — главная нестыковка: несанкционированный доступ к чужому компьютеру. Чувствуете конфликт? AT&T не прятала свои данные, она разместила их на открытом сайте. Но раз информация была свободно доступна всем желающим, разве доступ к ней может считаться несанкционированным? Иначе говоря, как можно сажать кого-то в тюрьму за цитирование строчки текста, опубликованной в интернете? Увы, по крайней мере в США можно, и причиной тому — закон «О компьютерном мошенничестве и злоупотреблении» (Computer Fraud and Abuse Act).

Принятый ещё в 1984 году, CFAA стал к настоящему моменту фундаментом, на котором Америка строит законодательство, регулирующее жизнь в киберпространстве. Его многократно расширяли и продляли, и как раз сейчас предложена новая поправка, ужесточающая наказание за умышленное причинение ущерба. Проблема в том, что если для своего времени CFAA был необходим, сегодня он и морально, и технически устарел. Ведь принимали его ещё при Рейгане, в эпоху «Звёздных войн» (была такая стратегическая оборонная инициатива), надеясь предотвратить проникновение взломщиков в компьютерные системы, управляющие ракетным щитом США. Но если в те далёкие времена, например, термин «защищённый компьютер» означал только машины оборонного ведомства, сегодня под него подпадает практически любая персоналка. Та же проблема — с «(не)санкционированным доступом», который чётко не определён. В результате CFAA, по образному выражению специалистов, превратился в дубину, которой пытаются лечить болезни, требующие скальпеля, а может быть, и всего лишь таблетки.

Говорят, заслушав приговор и выдав зажигательный спич напоследок, Эндрю попробовал достать свою планшетку — и был немедленно уложен на стол шестёркой охранников. Остаётся лишь надеяться, что в тюрьме ему не запретят пользоваться интернетом. Кевину Митнику, впрочем, запрещали даже телефон

Шварц и Арнхаймер — далеко не единственные, кого «залечили» этой дубиной, но в случае с Эндрю правозащитники усматривают реальную возможность повернуть инертную машину правосудия вспять. После вынесения приговора бесплатно помочь Арнхаймеру вызвались несколько авторитетов по киберправу (в том числе юристы EFF), прошение об апелляции уже подано. Как минимум адвокаты надеются скостить подзащитному срок: в Штатах принято начислять года в соответствии с причинённым ущербом, а AT&T фактического ущерба не понесла, а только лишь потратилась на информирование клиентов о выявленной бреши в безопасности, причём способ она выбирала сама. Как максимум же дело weev станет прецедентом, который поможет переписать устаревший закон. Для этого адвокатам «всего лишь» нужно доказать, что доступ Арнхаймера к сайту AT&T не может считаться «несанкционированным».

Что ж, пожелаем Эндрю и его адвокатам удачи. Но в этой истории есть ещё один любопытный и даже практически полезный момент. Он связан с оригинальной концепцией, сторонником которой Эндрю Арнхаймер был и, насколько мне известно, до сих пор остаётся. Её можно назвать философией антибезопасности (в оригинале: antisec). В основе её — простая, основанная на наблюдениях хакеров идея: если ты не желаешь причинить миру зла, никогда и ни с кем не делись полученной тобою уникальной информацией.

Представьте ситуацию: хакер находит в популярной программе новую уязвимость. Поделится ею с разработчиком программы — и будет считаться «белым» (добрый!). Продаст её на чёрном рынке — станет «чёрным» (злой!). Реальность, однако, такова, что вне зависимости от выбранного пути вскоре появляются эффективные инструменты эксплуатации обнаруженной «дыры», а конечный пользователь парадоксальным образом начинает чувствовать себя ещё менее защищённым. Почему? Со вторым случаем всё понятно, а вот в первом — возможно, разработчик программы оказался не слишком расторопным, возможно, вообще решил не патчить уязвимость (чтоб не сломать каких-то функций или не тратиться на апдейт). К тому же большинство пользователей не торопятся ставить заплатку, провоцируя эпидемии, а антивирусные вендоры и правительства умело используют это, нагнетая страху для достижения своих целей (новые законы, новые продажи). Короче говоря, в игру вступают обычные лень и эгоизм (корпоративный, государственный), а значит, как ни крути, раскрытие информации приведёт к новым проблемам.