Стопами Аарона Шварца за що посадили Ендрю Арнхаймера і чому справжній хакер повинен мовчати,
Що ж, не хочу вас засмучувати, але дива не сталося. Найгірше, минулого тижня в Сполучених Штатах був засуджений до тюремного ув'язнення ще один активіст, Ендрю Арнхаймер. За тим же законом і загалом за дуже схожу провину, що й мученик Аарон. Хороша новина в тому, що, хоча черговій жертві правосуддя явно доведеться вирушити за ґрати, випадок Арнхаймера все-таки вносить деяку різноманітність у нудну модель «украв — похвалився — у в'язницю». Почасти тому, що Ендрю, на відміну Шварца, живий і має ненульові шанси таки переписати закони. Почасти через оригінальну кіберфілософську концепцію, яку він сповідує і яка тепер напевно приверне увагу широкого загалу. Втім, давайте по порядку.
«Сідаю за арифметику! Вони мене не зламають! Ендрю Арнхаймер вважає себе безвинно постраждалим, і більше того – героєм. Але ось питання: чому, радячи мовчати іншим, він не мовчав і мовчати не збирається?
Прийнятий ще в 1984 році, CFAA став зараз фундаментом, на якому Америка будує законодавство, що регулює життя в кіберпросторі. Його багаторазово розширювали і продовжували, і саме зараз запропоновано нову поправку, яка посилює покарання за навмисне заподіяння шкоди. Проблема в тому, що якщо для свого часу CFAA був необхідний, то сьогодні він і морально, і технічно застарів. Адже приймали його ще за Рейгана, в епоху «Зоряних воєн» (була така стратегічна оборонна ініціатива), сподіваючись запобігти проникненню зломщиків у комп'ютерні системи, що управляють ракетним щитом США. Але якщо в ті далекі часи, наприклад, термін «захищений комп'ютер» означав лише машиниоборонного відомства сьогодні під нього підпадає практично будь-яка персоналка. Та сама проблема – з «(не)санкціонованим доступом», який чітко не визначено. В результаті CFAA, за образним висловом фахівців, перетворився на кийок, яким намагаються лікувати хвороби, що вимагають скальпеля, а може бути, і лише таблетки.
Що ж, побажаємо Ендрю та його адвокатам удачі. Але в цій історії є ще один цікавий і практично корисний момент. Він пов'язаний із оригінальною концепцією, прихильником якої Ендрю Арнхаймер був і, наскільки мені відомо, досі залишається. Її можна назвати філософією антибезпеки (в оригіналі: antisec). В основі її - проста, заснована на спостереженнях хакерів ідея: якщо ти не бажаєш заподіяти світові зла, ніколи і ні з ким не поділися отриманою тобою унікальною інформацією.
Уявіть ситуацію: хакер знаходить у популярній програмі нову вразливість. Поділиться нею з розробником програми і вважатиметься «білим» (добрий!). Продасть її на чорному ринку - стане "чорним" (злий!). Реальність, однак, така, що незалежно від обраного шляху незабаром з'являються ефективні інструменти експлуатації виявленої «дірки», а кінцевий користувач парадоксально починає почуватися ще менш захищеним. Чому? З другим випадком все зрозуміло, а ось у першому — можливо, розробник програми виявився не надто спритним, можливо, взагалі вирішив не патчити вразливість (щоб не зламати якихось функцій або не витрачатися на апдейт). До того ж більшість користувачів не поспішають ставити латку, провокуючи епідемії, а антивірусні вендори та уряди вміло використовують це, нагнітаючи страху для досягнення своїх цілей (нові закони, нові продажі). Коротше кажучи, в гру вступають звичайні лінощі та егоїзм(корпоративний, державний), а отже, як не крути, розкриття інформації призведе до нових проблем.
Чому це вже окрема розмова. Але, гадаю, все з тієї ж давньої причини: слава, слава...