«Добросовестные» взлом автомобиля и джейлбрейк мобильного устройства проходят процедуру легализации в США в ходе проводящегося раз в три года Библиотекой Конгресса пересмотра исключений из правил, препятствующих исполнению Закона об авторском праве в цифровую эпоху (DCMA), о чём стало известно 27 октября. Среди исключений в разделе 1201 DCMA присутствуют в качестве допустимых действий «добросовестные» тесты автомобильных компьютерных систем с целью выявления и коррекции уязвимостей.
Регуляторы также, по утверждению Wired, «развеяли завесу неопределённости», объявив законным взлом или «джейлбрейк» iPhone, отметив, что «в авторском праве нет оснований для помощи Apple в отстаивании её запретительной бизнес-модели». Это также относится к устройствам на Android.
Хотя необходимость джейлбрейка — это другой вопрос.
Давайте сперва рассмотрим проблему взлома автомобилей.
Зарабатывать взломом
По-видимому, регуляторы обратили на сенсационные летние публикации, касавшиеся удалённого взлома автомобиля, который осуществляли мастера своего дела Чарли Миллер и Крис Валасек.
Годами они изучали бортовые системы автомобилей, выявляли в них уязвимости и демонстрировали возможность их злонамеренной эксплуатации. В начале года они успешно выполнили дистанционный перехват управления автомобилем при помощи эксплойта нулевого дня собственной разработки, чтобы заполучить посредством беспроводного подключения контроль над бортовой системой Jeep Cherokee — через интернет.
Метко окрещённый «кошмаром автопроизводителя» код позволяет хакерам отправлять команды через развлекательную систему джипа на исполнение «функций его приборной панели, рулевого управления, тормозной системы и трансмиссии, и всё это с ноутбука, который может находиться в другом конце страны».
Этот «эпический провал» автопроизводителя, не отделившего информационно-развлекательную систему от жизненно-важных функций приборной панели, превращает кошмарный сценарий автомобильного взлома в жестокую реальность.
Какое к этому отношение имеют исключения из DMCA? Короткий ответ: теперь исследования безопасности бортовых систем автомобилей законны (по-видимому, прежде были не вполне).
Длинный ответ: автопроизводители больше не имеют правовых оснований для сдерживания исследований безопасности бортовых систем и/или препятствования обмену полученными в результате данными. Другими словами, они больше не могут, ссылаясь на положения DMCA, отправлять эксперту по безопасности письмо с требованием прекратить ломать их (небезупречное) программное обеспечение.
Новая норма, таким образом, становится тревожным звонком для автопроизводителей: для них настаёт непростая пора, когда уже не получится больше скрывать изъяны бортового программного обеспечения. Тем не менее, сам закон вступит в силу через год, так что осталось ещё некоторое время, для того чтобы привести своё программное обеспечение в порядок и исправить ошибки.
Все эти в той или иной степени «умные» и подключённые к интернету автомобили явно представляют собой «эманации» маркетинговых отделов автопроизводителей. Простая бизнес-логика требует для сохранения преимущества над конкурентами делать новые предложения потребителям на регулярной основе, следовательно, машины «умнеют» прямо на глазах. Тем не менее, как пишет Евгений Касперский, «среди автопроизводителей распространено мнение об автономности технологий – вроде как в электронную начинку машины ни у кого ни желания, ни мозгов не хватит залезть. Ну, конечно же, и то и другое регулярно случается».
Но человеческие жизни уже зависят в самом прямом смысле от того, насколько безопасность ставится выше маркетинга.
Джейлбрейк — это законно, но, вероятно, неразумно
С джейлбрейком другая проблема — и весьма отличающаяся. По счастью, в этом случае речь не идёт об угрозе жизни, если только смартфон не встроен в некую критическую систему (надеюсь, такие применения чрезвычайно редки, если вообще есть).
Тем не менее, смартфоны могут использоваться в качестве точек входа для проникновения в корпоративную инфраструктуру, если они толком не защищены.
В случае iOS-устройств ограничительная политика компании Apple обеспечивает дополнительный уровень безопасности: когда App Store является единственным источником программного обеспечения для невзломанных устройств, вредоносные приложения крайне редки. Большинство вредоносных программ для iOS выявлены экспертами «Лаборатории Касперского» пока лишь на инфицированных взломанных устройствах. Некоторые из вредоносов также пользовались дополнительными правами на взломанных устройствах, становясь, таким образом, неудаляемыми.
В общем, число мобильных вредоносных программ постоянно растёт, так что добровольное понижения уровня безопасности устройств не представляется разумным. Кроме того, само устройство может стать дырой в безопасности корпоративной сети.
Лучше семь раз подумать, прежде чем решиться на джейлбрейк.
«В целом, куда сложнее защитить устройство, если оно взломано. Ни один вендор защитных решений не сможет закрыть все прорехи и уязвимости, которые открываются после джейлбрейка устройства. Нашему программному обеспечению пришлось бы использовать неофициальные API, и даже в таком случае всё равно будет почти невозможно контролировать все существующие уязвимости во взломанных устройствах. Если в двух словах, то взломанные устройства вряд ли можно защитить от вредоносных атак, — говорит Роман Унучек, старший аналитик вредоносных программ «Лаборатории Касперского». — Так как объемы вредоносных программ для мобильных устройств сильно выросли в последние годы, не имеет никакого смысла использовать незащищённые устройства. Джейлбрейк — плохой выбор».