Le società di anti-virus stanno regolarmente commettendo pirateria informatica?

In primo luogo, mi chiedevo seriamente se un autore di malware avrebbe mai fatto causa contro un venditore di antivirus, dal momento che avrebbe richiesto l'ammissione di un crimine grave. Supponiamo però che l'autore del malware sia già stato addebitato per la creazione e l'uso del malware e quindi non abbia nulla da perdere ammettendo completamente la paternità.

La copia del software per l'analisi del malware sembra un caso da manuale di fair use (in base alla legge degli Stati Uniti, comunque). Certamente, il fair use negli Stati Uniti è una difesa che è utilizzabile solo quando sei già coinvolto in una causa (e i suoi parametri sono notoriamente vaghi), ma concediamoci una piccola speculazione su come una tale causa potrebbe risolvere. Per prendere i criteri di utilizzo corretto uno per uno:

• Scopo e carattere di utilizzo: l'uso della copia è legalmente < em> transformative , il che significa che crea qualcosa di nuovo, invece di limitarsi a tentare di ricreare l'originale. Qui, gli analisti stanno producendo una valutazione del malware basata sul software originale. Non stanno creando una copia solo per avere una copia in più; usano la copia per produrre qualcosa di nuovo. Questo fattore favorisce pesantemente gli analisti.

• Natura del lavoro copiato : il pezzo di malware è un lavoro creativo pubblicato che gode giustamente della protezione del copyright. Questo fattore favorisce gli autori di malware.

• Quantità e sostanzialità: gli analisti utilizzano l'intero software nelle loro analisi. Questo fattore favorisce gli autori di malware.

• Effetto sul valore del lavoro: praticamente nessuno, che favorisce gli analisti. In realtà, il lavoro ha poco mercato legittimo, dal momento che il suo uso principale è illegale. (Anche se i produttori di AV possono ridurre il valore del malware costruendo delle difese contro di esso, questo è non uguale al danno causato dalla creazione di un lavoro sostitutivo . lo giustifica in modo appropriato: "I tribunali riconoscono che certi tipi di danni al mercato non si oppongono al fair use, come quando una parodia o una recensione negativa danneggia il mercato dell'opera originale." )

Mentre i fattori 2 e 3 sono a favore degli autori di malware, l'uso trasformativo del malware presta tremendo peso legale all'argomento del fair use a favore degli analisti. Solo un giudice può emettere una sentenza definitiva sul fair use, ma sospetto che un giudice ragionevole possa decidere di copiare malware per scopi analitici.

N.B.: questa risposta considera la legalità della copia da una prospettiva limitata, protetta da copyright. Esistono altri statuti che esulano dal copyright (ad es. ACTA, DMCA) che possono essere violati durante la copia di malware o software legittimo senza l'autorizzazione del detentore del copyright. Anche se un uso è protetto da un uso corretto, la difesa del fair use protegge solo contro la violazione del copyright, non altre violazioni che possono verificarsi durante (o essere necessarie per) l'atto di un uso corretto.

(Ad esempio, potresti voler includere alcuni secondi di un film in un report video per la tua classe cinematografica, ma la tua copia del film viene riprodotta solo in un lettore proprietario che non consente l'esportazione di frammenti del film. scarichi uno strumento per aggirare la restrizione "non esportare i frammenti" del tuo giocatore, quindi hai violato il DMCA, anche se il tuo obiettivo finale era probabilmente il fair use.)

In breve : la violazione del copyright degli analisti è probabilmente legalmente difendibile in base al fair use, ma gli analisti potrebbero ancora violare altri statuti che sono separati dal copyright tradizionale.

Perché non c'è illegalità nell'analisi del software piratato. È illegale usarlo e illegale diffonderlo. Potrebbe anche essere illegale o contro EULA modificare il software (cracking spesso modifica alcuni file o binari).

Anche il tuo secondo commento è un po 'strano. Il software normalmente viene fornito con una licenza che è necessario accettare esplicitamente o implicitamente quando si utilizza il software. Dovrebbe essere prontamente disponibile a chiunque su richiesta. Questo è piuttosto problematico con Stuxnet dato che nessuno dirà mai "Ehi, ho scritto quel pezzo di software che è stato in grado di distruggere il tuo impianto nucleare e le raffinerie". Non esiste un autore ufficiale di malware aziendale / statale, perché nessuno sano di mente dirà apertamente "Costruisco malware operativo per vivere". L'unico posto che può pubblicizzare apertamente questo, è accademici o ricercatori.

Sebbene gli autori di malware in linea di principio ottengano gli stessi diritti, non si può dire che sia illegale analizzarlo. Gli autori di software non hanno gli stessi diritti degli artisti (scrittori, pittori, ...).

Ma il fatto di averlo e analizzarlo in linea di principio non è illegale per quanto ne so.

Modifica

Anche questo è un problema legale, quindi il più grande fattore sarà l'intento della persona che ottiene il software.

Non dovrebbe essere un problema.

Sì, se acquisti Photoshop e carichi parti di esso su un server aziendale, si tratta di una violazione del copyright. Ma le aziende AV non hanno bisogno di copiare la totalità di Photoshop e tenerla. Gli sviluppatori possono installare un'istanza legittima di Photoshop su una singola macchina. Una volta analizzati, possono invece archiviare l'analisi. Per esempio. hash di tutti i file, che potrebbero essere utilizzati per identificare i file di Photoshop e verificare eventuali modifiche potenzialmente dannose. Ci saranno aree grigie - e il contratto EULA di Photoshop affermerà che qualsiasi analisi approfondita è illegale - ma non sono abbastanza nere per essere davvero preoccupanti.

Con il malware - sì, possiamo presumere che qualsiasi opera creativa sia coperta da copyright e senza una licenza non hai il diritto di copiarla. IANAL. Tuttavia, al fine di ottenere dei danni, l'autore del malware dovrebbe rivendicarne la paternità in tribunale. Per il software nero, questo di solito sarebbe indesiderabile. E ci sono concetti legali come "mani pulite" - se il software è stato installato illegalmente, allora sospetto che l'opposizione alle attività AV sarebbe derisa ingiustificata.

Penso di poter escogitare alcune aree di grigio più scuro. Considera uno strumento costoso per test di penetrazione che viene "rubato" e incorporato in uno "strumento di attacco malevolo". Le società di sicurezza vogliono analizzare lo strumento di attacco, ma potrebbero dover violare il copyright dello strumento di test delle penne per poterlo usare ... ma penso che sia un problema molto più ristretto della tua preoccupazione.

Classificare come fair use per scopi di ricerca secondo il DMCA. Tuttavia, si dovrebbe notare che in pratica questa legge tende ad applicarsi solo alle grandi aziende, le ricerche indipendenti o anche quelle collegate a grandi università rischiano di essere citate in giudizio per aver fatto esattamente la stessa cosa.