Журнал «Компьютерра» N 10 от 13 марта 2007 года
Шрифт:
Два заметных события, только что происшедшие в США и связанные с работой «хакеров в законе», очень похожи по существу, однако принципиально различаются по итоговому результату. О причине такого отличия будет сказано в конце, а сначала - о сути происходящего.
Знаменитая конференция Black Hat, традиционно собирающая специалистов по компьютерной безопасности в конце лета в Лас-Вегасе, в последние годы получила специфическое весеннее ответвление - Black Hat Federal. Как можно понять уже по названию, этот форум ориентирован главным образом на ИТ-специалистов федеральных органов власти США и организуется, соответственно, в столичном округе Колумбия, в непосредственной близости от Вашингтона. Но, несмотря на столь солидную «крышу», уже ставшие традиционными для Black Hat громкие скандалы вокруг разоблачительных докладов хакеров теперь
Теперь же, на Black Hat Federal 2007, те же самые неприятности - с вырыванием соответствующих страниц о докладе из каталога конференции и изъятием сопутствующего CD с презентацией - постигли Криса Пэйджета (Chris Paget). Вся вина Пэйджета и небольшой фирмы IOActive, где он возглавляет подразделение исследований и разработок, заключалась в намерении развернуто продемонстрировать значительные слабости в так назывемых proximity-картах транснациональной компании-гиганта HID Global. Эти карты на основе технологии RFID (чипов радиочастотной идентификации) повсеместно используются в США и множестве других стран мира в качестве пропусков для доступа в здания и вообще для автоматизированного контроля за посещениями сотрудниками охраняемых помещений и объектов.
Можно сказать, карты HID используются ныне в мире примерно столь же широко, как и популярные механические замки ABLOY (изготовляемые той же группой компаний). Но, в отличие от замков ABLOY, имеющих весьма высокую репутацию среди специалистов, технология RFID уже давно славится своими слабостями к компрометациям. Не являются исключением и карточки-пропуска HID, что, собственно, и собирался продемонстрировать в своем докладе Крис Пэйджет. За несколько месяцев и без отрыва от основной работы он сконструировал портативный прибор для считывания и клонирования таких пропусков, затратив «на все про все» чуть больше двадцати долларов в магазине радиодеталей.
По причинам простоты содеянного доклад Пэйджета должен был называться «RFID для начинающих», однако встревоженная администрация HID, прознав, что к презентации будет приложен еще и код программы для устройства клонирования, в последний момент решила сорвать выступление любыми способами. Самым внушительным аргументом стала угроза засудить IOActive и ее руководство до полного разорения - за посягательство на интеллектуальную собственность HID, защищенную патентами. Весовые категории конфликтующих сторон оказались совершенно несопоставимы, поэтому Пэйджет и его коллеги сочли разумным ретироваться, не доводя дело до суда и непосильных тяжб с армией ушлых адвокатов корпорации-гиганта. Хотя никто заранее не знает, чем бы обернулся такой суд, коль скоро фирма IOActive не искала никакой финансовой выгоды от своего исследования и действовала исключительно в интересах общества, привлекая внимание к явным слабостям в защите зданий множества компаний и правительственных ведомств.
Весьма созвучное судебное разбирательство вокруг бескорыстной деятельности хакера и понесенного им в результате ущерба - это, собственно, вторая сегодняшняя тема. Суд штата Нью-Мексико в минувшем феврале вынес совершенно беспрецедентное решение, обязывающее ядерный центр Sandia Labs выплатить несправедливо уволенному сотруднику Шону Карпентеру (Shawn Carpenter) штраф в 4,3 млн. долларов плюс компенсацию в размере 350 тысяч за понесенный моральный ущерб и еще 36 тысяч за потери в зарплате и премиях. Весь изюм произошедшего в том, что Карпентера с жутким скандалом уволили в январе 2005 года за самодеятельное хакерское исследование, вскрывшее существенные дыры в защите сетей Sandia, корпорации Lockheed Martin, NASA и американских вооруженных сил.
Бывший офицер-специалист ВМС США, Карпентер отвечал в Sandia за компьютерную безопасность. В 2003-04 гг., расследуя выявленные случаи проникновений в систему, он обнаружил уходящую корнями в Китай организацию из весьма квалифицированных и хорошо скоординированных хакеров, регулярно занимавшихся хищениями секретной информации из сетей армии, военно-промышленного и космического комплекса США. Когда Карпентер доложил
Около двух лет о необычном хакере, явно несправедливо пострадавшем за правду и бескорыстную заботу о национальной безопасности, практически ничего не было слышно. И вот теперь пришло буквально потрясшее всех сообщение о выигранной Карпентером судебной тяжбе и неожиданном призе почти в 5 млн. долларов - сумме, вдвое превышающей размер первоначального иска пострадавшей стороны. В истории правосудия США, как известно, иногда бывают чудесные случаи победы маленького человека над большими и сильными корпорациями. Однако нынешняя история вряд ли подходит под категорию «чудесных». Ибо у Шона Карпентера были и остаются весьма влиятельные друзья в вашингтонских коридорах власти. Вплоть до недавнего времени он работал в Подразделении анализа киберугроз Госдепартамента США. А в настоящее время занимает пост главного аналитика в совсем молодой компании NetWitness, которую возглавляет Амит Йоран (Amit Yoran), чуть ранее - директор Управления национальной киберзащиты в DHS, Департаменте госбезопасности США. Именно здесь, скорее всего, и следует искать причины столь благосклонного отношения суда к «недисциплинированному» хакеру-патриоту.
Искусство неприятных сюрпризов: Патентные ловушки
Автор: Родион Насакин
«Патентными троллями» прозвали мелкие компании и частных лиц, которые тем или иным способом получают в собственность (обычно скупают по дешевке) множество патентов, но вместо разработки товаров и услуг стараются продать их заинтересованным корпорациям по баснословной цене, то есть, попросту говоря, занимаются вымогательством, не выходя за рамки закона.
Так «тролли» ждут, пока потенциальная жертва не приступит к разработке и выпуску на рынок продукции, содержащей запатентованные элементы, а потом, угрожая иском или сразу обращаясь в суд, требуют возмещения убытков за несанкционированное использование своей технологии и выплаты отступных. Такие «теневые» патенты называют «подводными лодками» (submarine patents). «Лодки» наносят удар в тот момент, когда сворачивание проекта уже чревато колоссальными убытками и проще выплатить «троллю» требуемую сумму.
Вместе с тем известны случаи, когда руководство той или иной компании запрещало сотрудникам провести проверку на патентную чистоту, дабы убедиться в том, что ничьи права в ходе разработок не нарушаются. Парадокс заключается в следующем. Если экспертиза ничего не обнаружит, а претензии все же появятся и суд сочтет претензии истца справедливыми, то сумма штрафа с компании увеличится в несколько раз.
Согласно общепринятому мнению, выражение «патентный тролль» придумал Питер Деткин (Peter Detkin), который когда-то работал в Intel и по долгу службы недолюбливал шантажистов в законе, а в конце концов сам перебрался в компанию к одному из таких персонажей Натану Мирвольду (см. «Пугало Силиконовой Долины»). По другой версии, не очень симпатичными мифологическими персонажами охотников за патентами обозвали пиарщики крупных корпораций, в рамках кампании по формированию негативного и пугающего облика таких деятелей у изобретателей-одиночек. Расчет был на то, чтобы последние охотно продавали свои идеи акулам бизнеса. Хотя не секрет, что рыночные гиганты зачастую действуют ничуть не лучше «троллей» и препятствуют развитию инноваций, блокируя за счет патентов в своих копилках появление альтернативных продуктов.