, чем простые граждане), однако следующее поколение технологий распространения музыкальных записей уже поднимает важные этические вопросы.
В качестве примера рассмотрим одноранговую сеть, участники которой вполне законно обмениваются файлами: музыкой, ставшей достоянием общественности, домашними видео, религиозной литературой (не составляющей коммерческой тайны) и т.д. Возможно, какая-то небольшая часть этих файлов защищена законом об авторских правах. Допустим, все пользователи проекта постоянно находятся в сети (по ADSL или кабелю). На каждом компьютере хранится список того, что есть на его жестком диске, а также список всех компьютеров сети. В поисках конкретного файла можно выбрать случайного пользователя и узнать, есть ли у него нужный материал. Если нет, проверяются остальные компьютеры из имеющегося списка, затем — из списков, хранящихся у других участников, и т.д. Компьютеры отлично справляются с такой работой. Найдя нужный файл, можно просто скопировать его.
Если найденная работа защищена авторским правом, вероятнее всего, пользователь его нарушает (хотя при международной передаче важно знать, чей закон применяется: в некоторых странах загружать файлы в систему нельзя, а скачивать можно). А виноват ли поставщик информации? Является ли преступлением хранение на своем жестком диске легально скачанной музыки, за которую были заплачены деньги, при условии, что к диску имеют доступ посторонние лица? Если в ваш незапертый загородный домик проникает вор с ноутбуком и сканером, снимает копию с книги, защищенной авторским правом, и уходит восвояси, разве вы виноваты в том, что не защитили чужие авторские права?
Существует еще одна проблема, связанная с авторскими правами. Между Голливудом и компьютерной индустрией ведется ожесточенная борьба. Киностудии требуют усилить защиту интеллектуальной собственности, а компьютерщики говорят, что они не обязаны охранять голливудские ценности. В октябре 1998 года Конгресс принял Закон об авторском праве в цифровую эпоху (Digital Millenium Copyright Act, DMCA), в котором говорится, что взлом механизма защиты объекта авторского права, а также распространение сведений о методе взлома является преступлением. Аналогичный акт был принят и в Евросоюзе. Разумеется, мало кто думает, что пираты с Дальнего Востока должны иметь возможность нелегально копировать чужие работы, однако многие считают, что новый закон нарушил баланс между интересами владельцев авторских прав и интересами общества.
Взять хотя бы такой пример. В сентябре 2000 года некий музыкальный консорциум в попытках построить непробиваемую систему онлайн-продаж аудиозаписей организовал конкурс и пригласил всех желающих попробовать ее взломать (это действительно важный этап при создании новой системы защиты). Группа экспертов по безопасности данных из разных университетов под руководством профессора Эдварда Фельтена (Edward Felten) из Принстона приняла вызов и взломала систему. Выводы, сделанные в ходе исследования, они описали в статье и направили ее на конференцию USENIX, посвященную защите информации. Доклад был рассмотрен коллегией и принят. Однако незадолго до конференции Фельтен получил письмо от Американской ассоциации звукозаписывающих компаний (Recording Industry Association of America, RIAA) с угрозами судебного разбирательства за нарушение DMCA в случае публикации статьи.
В ответ на это ученые подали иск в федеральный суд по поводу легальности публикации научных статей по защите информации. Опасаясь, что окончательное решение суда будет вынесено не в пользу консорциума, его представители были вынуждены снять свои претензии к Фельтену, и на этом инцидент был исчерпан. Несомненно, отзыв иска был продиктован тем, что дело изначально было проигрышное для музыкального консорциума: он сам устроил конкурс на взлом системы, а после угрожал судом тем, кому это удалось. После того как конфликт был улажен, статья все-таки была напечатана (Крейвер и др.; Craver et al., 2001). Очевидно, впереди нас ждет еще много подобных споров.
Тем временем люди обменивались контентом, защищенным авторским правом, через одноранговые сети. Со своей стороны правообладатели стали рассылать пользователям и интернет-провайдерам автоматические уведомления о нарушении закона DMCA. Сначала владельцы авторских прав пытались предупреждать пользователей (и привлекать их к суду) индивидуально, однако это оказалось неудобно и неэффективно. Теперь они судятся с интернет-провайдерами за отсутствие реакции на нарушение DMCA клиентами. Это ненадежные основания для обвинений, поскольку узлы одноранговых сетей часто выдают ложные сведения о том, что они предлагают для скачивания (Куэвас и др.; Cuevas et al., 2014; Сантос и др.; Santos et al., 2011), и в результате злоумышленником могут посчитать даже ваш принтер (Пиатек и др.; Piatek et al., 2008). Однако этот подход позволил правообладателям добиться некоторого успеха: в декабре 2019 года федеральный суд США обязал компанию Cox Communications выплатить владельцам авторских прав $1 млрд за ненадлежащее реагирование на уведомления о нарушении прав.
В связи с этим также встает вопрос о доктрине добросовестного использования (fair use doctrine), ставшей результатом судебных решений во многих странах. Она состоит в том, что покупатели защищенной продукции имеют некие ограниченные права на копирование этих материалов, включая частичное использование в научных целях, применение в качестве обучающего материала в школах и колледжах, а также создание архивных резервных копий на тот случай, если исходный носитель выйдет из строя. Чтобы определить, является ли использование добровольным, нужно ответить на следующие три вопроса: 1) является ли оно коммерческим, 2) каков процент скопированных данных, 3) влияет ли копирование на объем продаж. Так как DMCA и аналогичные законы Евросоюза не позволяют обходить системы защиты от копирования, они заодно запрещают и легальное добросовестное использование. По сути, DMCA отбирает у потребителей историческое право активно поддерживать продавцов контента. Налицо столкновение интересов.
Еще одно явление, которое затмевает собой по уровню смещения баланса между правообладателями и потребителями даже DMCA, — это доверенные вычисления (trusted computing). Этот проект продвигается такими отраслевыми организациями, как Группа доверенных вычислений (Trusted Computing Group, TCG), и разрабатывается совместными усилиями Intel и Microsoft. Идея состоит в том, чтобы обеспечить тщательное наблюдение за действиями пользователя (например, за нелегальным воспроизведением музыки) на уровне ниже операционной системы с целью не допустить нежелательного поведения. Это возможно благодаря небольшому чипу TPM (Trusted Platform Module — модуль доверенной платформы), в работу которого сложно вмешаться. Сегодня многие ПК поставляются со встроенным TPM. Он позволяет программам правообладателей манипулировать компьютером таким образом, что пользователь не может на это повлиять. Это ставит вопрос о том, кто является «доверенным» в этой системе. Очевидно, не пользователь. Стоит ли говорить, что эта схема вызвала огромный общественный резонанс. Конечно, здорово, что индустрия наконец обратила внимание на проблемы безопасности, однако то, что большинство усилий направлено на ужесточение законов об авторских правах, а не на борьбу с вирусами, взломщиками, мошенниками и другими проблемами, волнующими большинство пользователей, — весьма прискорбно.
Коротко говоря, авторам законов и юристам теперь предстоит в течение долгих лет пытаться урегулировать взаимоотношения владельцев авторских прав и потребителей. Виртуальный социум ничем не отличается от реального: здесь постоянно сталкиваются интересы различных групп, что приводит к борьбе за власть и судебным разбирательствам. Обычно рано или поздно люди находят некий компромисс — до появления следующей инновационной технологии.
8.14. Резюме
Безопасность представляет собой соединение таких важных свойств, как приватность, целостность и доступность. К сожалению, зачастую трудно сказать, насколько безопасной является система. Однако мы можем неукоснительно соблюдать принципы безопасности, сформулированные Зальцером и Шредером и другими исследователями.
Разумеется, злоумышленники будут пытаться взломать систему, комбинируя базовые составляющие атаки — разведку (попытки выяснить, что, где и при каких условиях происходит), прослушивание (изучение содержимого трафика), подмену данных (выдача себя за другого) и нарушение работы (DoS-атаки). Все эти элементы могут быть чрезвычайно сложными. Для защиты от атак сетевые администраторы устанавливают брандмауэры, системы обнаружения и предотвращения вторжений. Они могут быть развернуты как во всей сети, так и на отдельном хосте, и работают на основе сигнатур или аномалий. В любом случае важным показателем полезности таких решений является число ложноположительных результатов (ложных тревог) и ложноотрицательных результатов (незамеченных атак). В силу так называемой ошибки базовой оценки высокая доля ложноположительных результатов сильно снижает эффективность системы обнаружения вторжений, особенно если атаки происходят редко при большом количестве событий.
Криптография — это инструмент обеспечения конфиденциальности информации, а также проверки ее целостности и аутентичности. Все современные криптографические системы основаны на принципе Керкгоффса, гласящем, что алгоритм должен быть общеизвестным, а ключ — секретным. Чтобы зашифровать открытый текст, многие алгоритмы выполняют сложные преобразования с заменами и перестановками. Между тем если на практике удастся реализовать принципы квантовой криптографии, то с помощью одноразовых блокнотов можно будет создать действительно непробиваемые криптосистемы.
Криптографические алгоритмы делятся на два типа: с симметричным и с открытым ключом. Алгоритмы с симметричным ключом при шифровании искажают значения битов в последовательности итераций, параметризованных ключом. К числу наиболее популярных алгоритмов этого типа относятся тройной DES и AES (Rijndael). Такие алгоритмы могут работать в режиме электронного шифроблокнота, сцепления блоков шифра, потокового шифра и др.