Реверс инжиниринг

Black Fri-0-day

Здесь исследуется вопрос о том, являются ли уязвимости программного обеспечения интернет-сервисов (так называемые 0-day уязвимости) объектами электронной коммерции и какими специфическими деталями они обладают в качестве таких объектов.


в соавторстве с Екатериной Ивановой
первоначально была опубликована в "E-commerce и взаимосвязанные области (правовое регулирование): Сборник статей"[1]


В XXI в. значимость развития информационно-коммуникационных технологий очень высока и ее сложно переоценить. Уже ни для кого не секрет, что в настоящее время информация (будь то большие данные, иная структурированная информация или сведения, составляющие охраняемую законом тайну) имеет особую ценность, и именно информацию (данные) постоянно называют нефтью XXI века – достаточно вспомнить речи видных государственных и политических деятелей нашего времени.[2]

Поскольку обладание соответствующей информацией практически всегда позволяло извлечь существенную экономическую выгоду, двигать вперед технический и научный прогресс, улучшать уровень жизни потребителей, в определенный момент информация стала таким же объектом экономических отношений сторон, как и некоторые схожие объекты (пусть и наделенные своей спецификой, впоследствии потребовавшей, например, разработки авторского и патентного права, регулирования персональных данных и т.п.). Именно поэтому можно говорить о существовании проработанного (в разных странах с разной степенью) механизма правовой охраны таких объектов, как запатентованные изобретения, секреты производства (ноу-хау), информация, составляющая государственную и иную охраняемую законом тайну (в том числе коммерческую).

Обладание информацией, которая изначально известна одному лицу или очень узкому кругу лиц, зачастую приносит большую экономическую выгоду для ее обладателя (обладателей) и определенные риски (правовые, экономические, репутационные) для других лиц.

Самый простой пример – пароль от электронной почты. Если лицо получает доступ к электронной переписке предпринимателя вследствие обладания паролем от его электронной почты, то в результате таких действий могут наступить, в частности, такие последствия: этому лицу может стать известно содержание почтовой переписки, из которой он может извлечь значимую для себя или третьих лиц информацию, в то время как предпринимателю может быть нанесен ущерб ввиду несанкционированного доступа к содержанию его почты вследствие извлечения из нее информации, которая может быть использована против этого предпринимателя либо в ущерб ему или иным лицам.

Приведенный абстрактный пример с электронной почтой позволяет обратить внимание и на то, что завладение посторонним лицом таким паролем – тоже следствие каких-либо действий (бездействия). Порой это происходит, когда лицо, в итоге получившее доступ к паролю, использовало соответствующую информацию, представляющую собой программную уязвимость того интернет-сервиса электронной почты, которым пользовался пострадавший предприниматель. Что собой представляет такая программная уязвимость? Может ли она становиться объектом правовых, экономических отношений сторон? Какая существует связь между сведениями такого характера и сферой электронной коммерции (e-commerce)? В рамках настоящей статьи мы постараемся ответить на эти и сопутствующие вопросы и определить сопряженные и актуальные проблемы.

Что такое 0-day уязвимости

В приведенном примере шла речь о программных уязвимостях. К ним относятся и так называемые уязвимости нулевого дня (0-day уязвимости). При определении значений терминов предлагаем пойти от большего к меньшему.

Под уязвимостью применительно к информационным системам понимается свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации (ГОСТ Р 50922).[3]

Программная уязвимость, как и эксплойт, может быть определена как программа компьютерная, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на компьютерную систему, целью которой может быть как захват контроля над системой (повышение привилегий), так и нарушение ее функционирования (DoS-атака).[4]

В свою очередь под уязвимостью нулевого дня (0-day уязвимостью) следует понимать тип неизвестного или непредвиденного недостатка программного обеспечения или дыры безопасности в информационной системе, которая может быть использована хакерами. При этом само понятие нулевого дня (0-day) может относиться как к самой уязвимости такого типа, так и к эксплойту нулевого дня, атаке, которая задействует уязвимости нулевого дня и направлена на уязвимые (информационные) системы.[6]

Таким образом, в рамках настоящей статьи под уязвимостью нулевого дня (0-day уязвимостью) предлагаем понимать сведения технического характера и иную соответствующую информацию о программном обеспечении, интернет-сервисе или информационной системе, использование которой может сделать такие цифровые продукты и ресурсы уязвимыми, при условии, что такие сведения обладают параметрами, которые будут рассмотрены ниже.

Во-первых, важным и неотъемлемым параметром уязвимостей именно такого типа является узкий круг субъектов: это может быть либо один человек (тот, кто выявил недостатки или недокументированные неочевидные функциональные возможности исследуемого цифрового продукта, назовем его исследователем), либо группа лиц (например, группа исследователей; заказчик информации и исполнитель, обнаруживший такую информацию для заказчика; отдельные лица, независимо друг от друга пришедшие к одним и тем же результатам относительно уязвимостей цифрового продукта). Если такой круг становится более широким, то такую уязвимость уже нельзя расценивать как 0-day уязвимость – она становится программной уязвимостью (т.е. известной широкому кругу лиц или даже доступной для всеобщего сведения).

Вторым важным параметром такой уязвимости является (в большей степени практическая) возможность с помощью такой уязвимости получить доступ (в том числе несанкционированный) к такого рода сведениям или данным, доступ к которым нельзя получить по тем или иным причинам, в том числе по причине ограничений, обусловленных функциональными возможностями соответствующего программного обеспечения или иного цифрового продукта. Такими сведениями, например, могут быть: идентификационные данные учетных записей пользователей и данные для аутентификации пользователей (например, как в вышеописанном примере, пользовательские пароли), информация, составляющая коммерческую тайну (например, статистические данные о продажах на сайте определенного интернет-магазина).

Определив, что представляют собой программные уязвимости, уязвимости нулевого дня, следует перейти к рассмотрению вопроса о том, может ли программная уязвимость (на примере уязвимости нулевого дня) быть результатом интеллектуальной деятельности (и, как следствие, подлежать правовой охране). Исходя из определения правового статуса таких объектов, мы сможем более точно определить их статус применительно к сфере электронной коммерции.

Юридическая ответственность за программные уязвимости
О разных видах ответственности за использование уязвимостей в ПО (нарушение авторских прав, нанесение вреда, неправомерный доступ к компьютерной информации).
Узнайте про ответственность за эксплуатацию 0-day уязвимостей

0-day уязвимость как результат интеллектуальной деятельности

На наш взгляд, программная уязвимость определенно является результатом интеллектуальной деятельности, а сведения, представляющие собой в совокупности информацию, которую можно признать 0-day уязвимостью, наиболее близки по своей сути к секрету производства (ноу-хау).

Полагаем, что секрет производства (ноу-хау) занимает особое место среди объектов экономических отношений сторон, напрямую связанных с информацией как таковой. Его понятие в качестве результата интеллектуальной деятельности сформулировано в ст. 1465 ГК РФ следующим образом: «Секретом производства (ноу-хау) признаются сведения любого характера (производственные, технические, экономические, организационные и другие) о результатах интеллектуальной деятельности в научно-технической сфере и о способах осуществления профессиональной деятельности, имеющие действительную или потенциальную коммерческую ценность вследствие неизвестности их третьим лицам, если к таким сведениям у третьих лиц нет свободного доступа на законном основании и обладатель таких сведений принимает разумные меры для соблюдения их конфиденциальности, в том числе путем введения режима коммерческой тайны».

В качестве сведений, составляющих секрет производства, в частности, В. Никитин выделяет такие, как техническая и технологическая документация; результаты опытов и испытаний; методики; материалы исследования применяемых технологий и технологических процессов.[7] Этот перечень не является исчерпывающим, т.е. в него могут входить и иные сведения, но в рамках настоящей статьи значимостью обладают именно перечисленные.

Важным и неотъемлемым элементом сведений, представляющих собой секрет производства, является принятие соответствующих мер для сохранения их конфиденциальности (в том числе в режиме коммерческой тайны). Этот вывод вытекает из содержания п. 57 постановления Пленума ВС РФ № 5, Пленума ВАС РФ № 29 от 26.03.2009 «О некоторых вопросах, возникших в связи с введением в действие части четвертой Гражданского кодекса Российской Федерации», который изложен следующим образом:

«Секретом производства (ноу-хау) признаются сведения любого характера (производственные, технические, экономические, организационные и другие) о результатах интеллектуальной деятельности в научно-технической сфере и о способах осуществления профессиональной деятельности, имеющие действительную или потенциальную коммерческую ценность вследствие неизвестности их третьим лицам, если к таким сведениям у третьих лиц нет свободного доступа на законном основании и обладатель таких сведений принимает разумные меры для соблюдения их конфиденциальности, в том числе путем введения режима коммерческой тайны».

На наш взгляд, зачастую процесс выявления, обнаружения таких уязвимостей, определение их связи с исследуемыми цифровыми продуктами соответствуют критерию творческой деятельности, что впоследствии находит воплощение в фиксации результата таких исследований на материальном или цифровом носителе. Это позволяет говорить, что по итогам таких действий, направленных на объект исследования, у субъекта исследования появляется результат интеллектуальной деятельности (содержащий в себе необходимую информацию, позволяющую ее идентифицировать как 0-day уязвимость).

Наличие такого параметра 0-day уязвимости, как ограниченность круга субъектов, обладающих информацией об этой уязвимости, косвенно подтверждает принятие мер для сохранения их конфиденциальности. Очевидные меры такого характера позволяют более уверенно утверждать, что 0-day уязвимости являются результатами интеллектуальной деятельности – секретом производства.

Распоряжение правами на 0-day уязвимости

Секрет производства (ноу-хау) признается законодательством самостоятельным результатом интеллектуальной деятельности, ввиду чего правообладателю этого секрета принадлежит исключительное право его использования и распоряжения любым не противоречащим закону способом, в том числе при изготовлении изделий и реализации экономических и организационных решений (п. 1 ст. 1466 ГК РФ).

Если лицо добросовестно и независимо от других обладателей секрета производства стало обладателем сведений, составляющих содержание этого ноу-хау, то такое лицо приобретает самостоятельное исключительное право на этот секрет производства (п. 2 ст. 1466 ГК РФ). Данная норма позволяет сделать вывод о том, что у ноу-хау может быть несколько независимых правообладателей, если каждый из них правомерно и отдельно от других смог в силу опыта, знаний либо исследований достигнуть того информационного результата, который представляет собой соответствующий секрет производства.

При этом законодательно определено, что правовая охрана секрета производства действует до тех пор, пока сохраняется конфиденциальность сведений, составляющих его содержание (ст. 1467 ГК РФ). Как только конфиденциальность сведений утрачивается, исключительное право на этот секрет производства прекращается у всех правообладателей. При этом, если правообладатель такого ноу-хау пожелает прекратить его правовую охрану путем правомерного раскрытия конфиденциальной информации, составляющей секрет производства, он не обязывается законом уведомлять иных правообладателей о своем решении и наступающих вследствие этого правовых последствиях, а тем более согласовывать с ними такие свои действия.[8]

Таким образом, правообладатель секрета производства вправе:

  1. осуществить отчуждение исключительного права на этот секрет производства и тем самым прекратить использовать этот объект (ст. 1467 ГК РФ). Здесь надо иметь в виду положения п. 2 ст. 1467 ГК РФ, согласно которым при отчуждении исключительного права на секрет производства лицо, распорядившееся своим правом, обязано сохранять конфиденциальность секрета производства до прекращения действия исключительного права на него. Эта обязанность связана с тем, чтобы обезопасить приобретателя секрета производства от ситуации, когда прежний правообладатель ноу-хау после получения вознаграждения «обнуляет» коммерческую ценность переданного секрета вследствие разглашения его содержания, лишая тем самым выгоды нового правообладателя;
  2. предоставить право использования ноу-хау на условиях соответствующей лицензии (ст. 1468 ГК РФ). Применительно к лицензионному договору следует иметь в виду, что в российской судебной практике встречались примеры, когда при отсутствии режима коммерческой тайны лицензионный договор на секрет производства признавался незаключенным.[9] Поэтому для того, чтобы обладатель информации (полученной по лицензионному договору) мог считать соответствующую информацию своим секретом производства, он должен принять необходимые меры, чтобы в отношении нее действовал режим коммерческой тайны в соответствии с положениями Федерального закона от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне»;
  3. предоставить содержание секрета производства в общий доступ (раскрыть информацию), тем самым прекратив правовую охрану ноу-хау.

В отношении последнего из перечисленных способов распоряжения правами на секрет производства применительно к 0-day уязвимости хотелось бы отметить следующее. Не должно казаться странным распоряжение исключительным правом на 0-day уязвимость путем раскрытия такой информации. Наиболее частыми сценариями такого вида распоряжения будут следующие:

  1. когда такая информация становится известной правообладателю цифрового продукта, в котором была выявлена уязвимость (даже если он, например, получил ее вследствие приобретения у лица, выявившего такую информацию первоначально и ставшего ее правообладателем), и он выпустил общедоступное программное обновление (патч) своего цифрового продукта для устранения такой уязвимости с возможностью ознакомиться с содержанием такого обновления (например, когда такой патч предоставляется в виде решения с открытым исходным кодом (исходном текстом в понимании ст. 1261 ГК РФ) программы;
  2. когда исследователь, выявивший такую информацию и ставший ее обладателем, в силу определенных причин раскрыл ее в общий доступ[10] (оценка этичности таких действий в рамках настоящей статьи даваться не будет).
Правовой статус секрета производства (ноу-хау)
Правовой статус секрета производства (ноу-хау).
С обзором правовых аспектов ноу-хау как объекта охраны знакомьтесь здесь

0-day как объект e-commerce

В настоящее время существует ряд интернет-сервисов, в рамках которых пользователи (по словам представителей таких сервисов) могут легально осуществить продажу информации, представляющей собой 0-day уязвимости. Среди них можно упомянуть, в частности: zerodium.com (юридическое лицо, владеющее сервисом, зарегистрировано в Вашингтоне, округ Колумбия, США[11]), zerodayinitiative.com (проект японской компании Trend Micro по предоставлению информации о найденных уязвимостях непосредственно вендорам программных продуктов[12]), zeronomi.com (сервис со штаб-квартирой в Милане, Италия[13]), российский проект expocod.com, специализирующийся на реализации сведений об уязвимостях в операционных системах и программном обеспечении (в частности, Adobe Flash, Windows, Tor, iOS).

В определенных случаях такие сервисы следует расценивать как своего рода аналоги магазинов цифровых приложений наподобие App store, Google Play, в которых пользователь может получить нужные ему мобильные приложения или контент (например, фильмы, музыку, книги). Перечисленные интернет-сервисы рассчитаны на других клиентов: заинтересованное лицо приобрести контент и программные решения специфического характера, представляющие собой информацию о тех или иных 0-day уязвимостях для конкретных операционных и информационных систем, программного обеспечения. Поэтому есть основания полагать, что такие интернет-сервисы представляют собой разновидности интернет-магазинов с присущей им спецификой, разница между ними состоит лишь в различии как содержания предлагаемых объектов, так и по кругу лиц, так как доступ к приобретению 0-day уязвимостей может быть существенно ограничен владельцем сервиса.

Более того, сами правообладатели цифровых продуктов поощряют исследование их продуктов (в пределах, определяемых самими правообладателями) и готовы выплачивать вознаграждение лицам, обнаружившим в них программные уязвимости (в большей степени речь идет про 0-day уязвимости). В качестве примеров открытых предложений об этом можно привести, в частности, конкурс Яндекса «Охота за ошибками»,[14] конкурс ООО «Газинформсервис» «Поиск уязвимостей в техническом решении по защищенному удаленному доступу к автоматизированной системе заказа пропусков»[15], программу поиска уязвимостей QIWI,[16] bug bounty program компании Uber.[17]

С учетом сказанного можно полагать, что рынок в отношении 0-day уязвимостей уже сформировался. Так, по словам генерального директора компании ALT Linux Алексея Смирнова, деятельность компаний по таким сделкам не противоречит закону:[18]

«Многие вендоры, например, тоже покупают информацию об уязвимостях и не только в своем софте. Например, антивирусные компании покупают ее, чтобы обновлять свои антивирусные базы. В бизнесе по покупке-продаже эксплойтов просто большие риски – есть вероятность недобросовестного использования информации».

В нашем понимании существенное значение имеют порядок и детали проведения исследования соответствующего цифрового продукта на предмет поиска программных уязвимостей и выявления в нем 0-day уязвимостей. Если исследователь цифровых продуктов сумел легально получить информацию, собрать сведения и данные, составляющие в своей совокупности 0-day уязвимость, то он вправе ею распоряжаться любым правомерным способом, в том числе путем реализации такой информации непосредственно правообладателю исследованного цифрового продукта или третьему лицу (в том числе и специализированным интернет-сервисам, которые приобретают такую информацию на возмездной основе). В отношении второго варианта (реализация третьему лицу) будет иметь значение и то, в каком виде передается информация и сопутствующие материалы – не происходит ли нарушение чьих-либо авторских прав, режима охраны персональных данных или информации, составляющей государственную или иную охраняемую законом тайну.

Выводы

Изложенное позволяет сделать вывод о том, что в настоящий момент узкоспециализированная информация о технической стороне программного обеспечения (в том числе мобильных приложений), уязвимостях интернет-сервисов уже является объектом экономических правоотношений сторон, а также обладает необходимыми признаками, позволяющими классифицировать ее как объект, охраняемый правом. Во многих случаях остается открытым вопрос, насколько правомерно такая информация была получена первоначально (сотрудником организации – правообладателя соответствующего программного обеспечения, независимым исследователем информационных систем или иным лицом), и проработка такого вопроса должна проводиться по каждому соответствующему случаю. Но в случае когда такая информация ее обладателем была получена правомерно и он вправе распоряжаться такой информацией, то когда ее обладатель реализует свое право на распоряжение ею, она становится полноценным объектом в экономических отношениях в сфере электронной коммерции ее обладателя с третьими лицами. Наличие на текущий момент интернет-ресурсов, позволяющих легально совершать сделки по распоряжению такой информацией (как минимум в тех, в соответствии с законодательством которых функционируют такие интернет-ресурсы) является дополнительным подтверждением того, что вышеуказанная информация уже стала частью сферы e-commerce.

Пристатейный библиографический список

  1. Батоврин В. Системная и программная инженерия: Словарь-справочник https://books.google.ru, дата последнего обращения: 09.04.2018.
  2. Доротенко Д., Романенков А. Ответы юриста: как избежать ответственности за поиск уязвимостей (https://xakep.ru/2017/01/12/lawyer-answers-hacker-responsibility-howto/, дата последнего посещения: 10.04.2018).
  3. Доротенко Д.А. Секрет производства (ноу-хау): правовой статус (информационно-правовой портал ГАРАНТ.РУ, https://www.garant.ru/ia/opinion/author/dorotenko/1186956/, дата последнего обращения: 09.04.2018).
  4. Имеющий бреши да услышит (https://www.kommersant.ru/doc/3001495, дата последнего обращения: 12.04.2018).
  5. Никитин В.В. Исключительное право на секрет производства (ноу-хау): вопросы учета и налогообложения // Пищевая промышленность: бухгалтерский учет и налогообложение. 2013. № 11.
  6. Эксплойт: Словарь терминов информационной безопасности (https://glossary.ib-bank.ru/solution/1333, дата последнего посещения: 15.04.2018).
  7. Zero Day Vulnerability (https://www.techopedia.com/definition/29737/zero-day-vulnerability, дата последнего посещения:12.04.2018).
  8. Zero-day (computer) (https://searchsecurity.techtarget.com/definition/zero-day-vulnerability, дата последнего посещения: 15.04.2018).
  9. Защита от атаки Meltdown в OpenBSD. Стабильное обновление микрокода Intel. Иски против AMD (https://www.opennet.ru/opennews/art.shtml?num=48120, дата последнего обращения 24.04.2018).
  10. Michael Mimoso, Роутеры Netgear содержат критическую уязвимость (https://threatpost.ru/netgear-routers-remain-exposed-to-critical-flaw/19648/ дата последнего посещения: 18.04.2018).
  11. Zerodium (http://infosecindex.com/companies/zerodium/ дата последнего посещения: 18.04.2018), (https://www.crunchbase.com/organization/zerodium#section-overview, дата последнего посещения: 18.04.2018).
  12. THE ZDI MISSION (https://www.zerodayinitiative.com/about/, дата последнего посещения: 18.04.2018).
  13. Zeronomicon. Contact us (https://www.zeronomi.com/contact.html, дата последнего посещения: 18.04.2018).
  14. Coders’ Rights Project Vulnerability Reporting FAQ (https://www.eff.org/issues/coders/vulnerability-reporting-faq, дата последнего посещения: 15.04.2018).

Сноски и примечания

[1]: Высказанные в настоящей статье суждения являются личным мнением авторов и могут не совпадать с официальной позицией ООО «ЯНДЕКС» и АО «Первый канал. Всемирная сеть».
[2]: См.: Пан Ги Мун: информация – это «нефть» XXI века // Информационный центр ООН в Москве (http://www.unic.ru/event/2015-05-21/v-oon/pan-gi-mun-informatsiya-eto-neft-xxi-veka, дата последнего посещения: 09.04.2018); См.: Греф призвал «не повторять ошибок прошлого». РБК (https://www.rbc.ru/economics/21/05/2016/574058cd9a79470d425ea5a1, дата последнего посещения: 09.04.2018).
[3]: Батоврин В. Системная и программная инженерия: Словарь-справочник https://books.google.ru дата последнего обращения: 09.04.2018).
[4]: https://glossary.ib-bank.ru/solution/1333
[5]: https://www.techopedia.com/definition/29737/zero-day-vulnerability
[6]: https://searchsecurity.techtarget.com/definition/zero-day-vulnerability
[7]: Никитин В.В. Исключительное право на секрет производства (ноу-хау): вопросы учета и налогообложения // Пищевая промышленность: бухгалтерский учет и налогообложение. 2013. № 11.
[8]: Доротенко Д.А. Правовой статус секрета производства (ноу-хау) (https://www.garant.ru/ia/opinion/author/dorotenko/1186956/, дата последнего посещения: 18.04.2018).
[9]: См., например, постановление Девятого арбитражного апелляционного суда от 18.08.2017 по делу № А40-137995/2016.
[10]: Mimoso Michael. Роутеры Netgear содержат критическую уязвимость (https://threatpost.ru/netgear-routers-remain-exposed-to-critical-flaw/19648/, дата последнего посещения: 18.04.2018).
[11]: По данным http://infosecindex.com/companies/zerodium/ (дата последнего посещения: 18.04.2018), https://www.crunchbase.com/organization/zerodium#section-overview (дата последнего посещения: 18.04.2018.
[12]: https://www.zerodayinitiative.com/about/, дата последнего посещения: 18.04.2018.
[13]: https://www.zeronomi.com/contact.html, дата последнего посещения: 18.04.2018.
[14]: Конкурс «Охота за ошибками» (https://yandex.ru/bugbounty/, дата последнего обращения: 18.04.2018).
[15]: http://2012.zeronights.ru/includes/sequence.pdf
[16]: https://hackerone.com/qiwi
[17]: https://hackerone.com/uber
[18]: https://www.kommersant.ru/doc/3001495

{{content}}