Wolność badań naukowych nad oprogramowaniem

Czy istnieje perfekcyjny program komputerowy, pozbawiony wszelakich wad? Można w to wątpić, zwłaszcza że niedoskonałości wielu aplikacji są powszechnie znane. Warto przyjrzeć się relacjom pomiędzy wolnością prowadzenia badań naukowych a przepisami prawa autorskiego.

Czy istnieje perfekcyjny program komputerowy, pozbawiony wszelakich wad? Można w to wątpić, zwłaszcza że niedoskonałości wielu aplikacji są powszechnie znane. Warto przyjrzeć się relacjom pomiędzy wolnością prowadzenia badań naukowych a przepisami prawa autorskiego.

Okazuje się bowiem, że w niektórych przypadkach ograniczają one środki i metody weryfikowania bezpieczeństwa systemów informatycznych.

Błędów nie da się uniknąć

Dylematy pojawiające się w kontekście publikowania analiz informatycznych mają przede wszystkim walor praktyczny. Dziwić więc może milczenie ustawodawcy w kwestii dopuszczalności ingerowania w materiały chronione prawem autorskim w ramach badań naukowych. Przecież czasem nawet najmniejszy błąd programisty w konsekwencji może prowadzić do zatrważających skutków. Dzieje się tak głównie za sprawą wielu złożonych interakcji, zachodzących w ramach użytkowania aplikacji.

Choć producenci oprogramowania starają się za wszelką cenę uniknąć wpadek, korzystając chociażby ze sztabu beta-testerów, to nie zawsze analizy te kończą się powodzeniem. Po wprowadzeniu programu na rynek, wykorzystywanie go w różnorodnych konfiguracjach, czasem w powiązaniu z dodatkowymi nakładkami oraz na odmiennych systemach operacyjnych ujawnia wiele jego wad.

Ponadto o wielu niedociągnięciach programistów dowiadujemy się dopiero z wyników analiz obejmujących swym zakresem bezpieczeństwo informatyczne. Badania takie mogą opierać się bądź na dostępnych na rynku instrumentach testujących, bądź na prowadzonych analizach przez doświadczonych informatyków.

Złożone relacje

Potencjalne relacje pomiędzy publikowaniem wyników analiz z zakresu informatyki a prawem autorskim można rozpatrywać na kilku płaszczyznach. Odzwierciedlają one możliwości stojące przed badaczami błędów popełnianych przez programistów.

Tak więc w grę wchodzą przede wszystkim publikacje naukowe, wygłaszanie referatów oraz udostępnianie oprogramowania wykazującego wady produktów informatycznych.

Dwie pierwsze metody komunikacji efektów analiz aplikacji niemal z definicji powinny być dozwolone w pełnym zakresie, lecz pewne wątpliwości wiążą się z ujawnianiem w ich ramach fragmentów cudzego oprogramowania, na co zwrócę jeszcze uwagę. Na marginesie trzeba mieć przy tym na uwadze specyfikę środowiska zajmującego się wyłapywaniem defektów aplikacji.

Nawet osoba wkraczająca dopiero w arkana wiedzy informatycznej zdaje sobie sprawę z tego, że znakomita część użytecznych rozwiązań nie powstaje w zaciszu instytutów badawczych, lecz jest wynikiem wysiłku osób hobbystycznie parających się tą problematyką.

Większe obycie z zagadnieniami bezpieczeństwa sieciowego pozwala też na poszukiwanie użytecznych materiałów na prywatnych stronach www badaczy, które stają się czasem nieprzebraną skarbnicą wiedzy.

Ponadto niektóre fora dyskusyjne stanowią swoisty kanał komunikacyjny w środowisku badaczy bezpieczeństwa sieciowego. Jest to o tyle istotne, że ewentualne rozwiązania gwarantujące wolność badań z zakresu bezpieczeństwa informatycznego nie mogą ograniczać się jedynie do tradycyjnych, papierowych publikacji oraz osób będących pracownikami naukowo-dydaktycznymi.

Badawczy dylemat

Wiele dyskutuje się, czy analizy badawcze same w sobie stanowią realne zagrożenie dla bezpieczeństwa sieciowego. Zwraca się uwagę, że granica między publikacją zdatną do zrozumienia jedynie przez wąski krąg odbiorców a informacjami przydatnymi dla osób pragnących bezprawnie wykorzystywać istniejące wady i luki mechanizmów technologicznych jest płynna.

Przyczyn takiego stanu rzeczy poszukiwać można przede wszystkim w praktycznych zastosowaniach większości z efektów analiz prowadzonych w ramach badań nad bezpieczeństwem informatycznym. Nastawienie na użyteczność analiz wiąże się głównie z wypunktowaniem niedociągnięć konkretnych rozwiązań, ilustrowanych nierzadko fragmentami kodu źródłowego.

Niektórzy uciekają się jeszcze dalej, udowadniając słuszność swoich tez badawczych poprzez tworzenie oprogramowania wykorzystującego luki. Dochodzi więc do sytuacji, że im wyraźniejsze przedstawienie problemu w publikacji, tym większe szanse, iż stanie się ona użyteczna dla szeroko pojętego środowiska hakerskiego.

Prawo autorskie a swoboda badań naukowych

Zasadnicze ograniczenia w wolności badań wiążą się z szerokim uprawnieniem do kontroli reprodukcji dzieła, wynikającym z przepisów prawa autorskiego. Twórcom przyznaje się bowiem tradycyjnie prerogatywę do kontrolowania kopiowania choćby fragmentów ich dzieł.

Z kolei obrazowanie wyników analiz może wymagać ilustrowania ich elementami kodu źródłowego aplikacji. Restrykcyjne postrzeganie przepisów prawa autorskiego może więc stanowić w konkretnych sytuacjach tamę dla obrazowania efektów różnorakich testów nad bezpieczeństwem sieciowym.

Zresztą problem pojawia się często już na wcześniejszym etapie prób oceny produktów informatycznych, gdy utrudnione pozostanie dotarcie do samego kodu źródłowego programu komputerowego. Jest to wynikiem ograniczonego zakresu dekompilacji, której nie można podejmować w celach innych niż zapewnienie kompatybilności. Z kolei wykrywanie błędów i luk rozwiązań informatycznych nie może być automatycznie utożsamiane ze wspomnianym celem.

Mocno akcentowany wątek badań naukowych pojawia się także w przypadku kontroli jakości zabezpieczeń technicznych opatrujących materiały dystrybuowane za pomocą elektronicznych środków komunikacji. Dotyczy to w szczególności oceny rozwiązań kryptograficznych.

Digital Millennium Copyright Act

Specyficzny sposób rozwiązania problemu badań naukowych w zakresie szyfrowania przewiduje prawo amerykańskie. Ustawa Digital Millennium Copyright Act skrupulatnie precyzuje zarówno przesłanki pozwalające na przyjęcie, że informatyk prowadzi działania naukowe, jak i przesłanki legalności jego praktyk, gdy wiążą się one z obchodzeniem zabezpieczeń technicznych. Zgodnie z definicją przyjętą przez ustawę, badaniami naukowymi pozostają działania skierowane na osiągnięcie rozleglejszej wiedzy z zakresu szyfrowania bądź powiązane z rozwojem produktów wykorzystywanych przy szyfrowaniu danych.

Co ciekawe przy ocenie dopuszczalności oddziaływania na mechanizmy zabezpieczające prace - przykładowo zawartość płyt DVD - bierze się pod uwagę dotychczasową edukację i doświadczenie w zakresie kryptografii oraz to, kiedy prowadzący testy skontaktował się z podmiotem, któremu przysługują prawa autorskie do owych zabezpieczeń, i poinformował go o wnioskach z badań.

Choć przepisy nie precyzują dokładnie czasu, w którym badacz miałby podjąć taki kontakt, to niektóre analizy ustawy wskazują, że jedną z interpretacji jest istnienie tego obowiązku jeszcze przed udostępnieniem w Internecie spostrzeżeń o wadach zabezpieczeń.

Chociaż DMCA nie prowadzi do "zamrożenia" przyszłości badań naukowych, to może zmienić sposoby komunikowania ich użytkownikom. Obawy budzi jednak potrzeba dość ścisłej "współpracy" osób weryfikujących poprawność działania zabezpieczeń z ich twórcami, albowiem ta ostatnia grupa może decydować się na wprowadzanie swego rodzaju "cenzury" - chociażby poprzez zagrożenie wytoczeniem powództwa cywilnego w razie ujawnienia wad programu.

Brak rozwiązań w Europie

Europejskie regulacje w zasadzie nie rozwiązują problemów na styku badań naukowych i prawa autorskiego.

W dyrektywie z dnia 21 maja 2001 r. o harmonizacji niektórych aspektów prawa autorskiego w społeczeństwie informacyjnym, jedynie w preambule znalazło się zapewnienie o potrzebie zachowania proporcjonalności przy ochronie zabezpieczeń technicznych utworów. Jednocześnie zaznaczono, że regulacje prawne nie powinny utrudniać badań w ramach kryptografii.

Założenie takie, choć trafne, w zasadzie nie przynosi realnych konsekwencji. Żaden z przepisów nie wymaga bowiem podjęcia od państw członkowskich UE konkretnych działań respektujących możliwości nieskrępowanych analiz rozwiązań szyfrujących, a w szczególności badania ich wytrzymałości. Wiele zależy od postrzegania aktu opublikowania wyników analiz w kontekście ochrony zabezpieczeń technicznych, a w szczególności komponentów systemów Digital Rights Management.

Jeśli regulacje prawne w ustawodawstwach krajowych będą uwypuklać nie tyle cel działania osoby, ile możliwość wykorzystania rezultatów analiz w atakach hakerskich, to wielu informatyków znajdzie się w nie lada kłopotach.

Nadmienić można jednak, że trudno wyobrazić sobie poprawne funkcjonowanie modelu wzorowanego na amerykańskim, w którym informatycy podejmujący się w szerokim zakresie analiz "wytrzymałościowych" pozostawaliby w swego rodzaju stosunku zależności od podmiotów uprawnionych z tytułu praw autorskich. Taka sytuacja, choć pożądana z perspektywy dystrybutorów rozwiązań informatycznych, kłóciłaby się z wolnością prowadzenia badań naukowych.


TOP 200