Gdy program jest wadliwy

Ujawnienie wady programu rozpoczyna proces eliminowania zagrożeń dla użytkowników. W praktyce nie zawsze to producent rozwiązania IT jako pierwszy ma świadomość zaistnienia takich luk. Do rzadkości nie należą także sytuacje, w których korzystający z aplikacji o ich wadach dowiadują się dopiero wtedy, gdy na rynku pojawiają się odpowiednie patche. Jak przedstawia się więc prawna strona uzyskiwania informacji o wadach projektów IT, upubliczniania ich i reagowania na stwierdzone błędy?

Ujawnienie wady programu rozpoczyna proces eliminowania zagrożeń dla użytkowników. W praktyce nie zawsze to producent rozwiązania IT jako pierwszy ma świadomość zaistnienia takich luk. Do rzadkości nie należą także sytuacje, w których korzystający z aplikacji o ich wadach dowiadują się dopiero wtedy, gdy na rynku pojawiają się odpowiednie patche. Jak przedstawia się więc prawna strona uzyskiwania informacji o wadach projektów IT, upubliczniania ich i reagowania na stwierdzone błędy?

Spójrzmy na ten problem wieloaspektowo. Najpierw prześledźmy więc, jak prezentuje się z jednej strony odpowiedzialność za publiczne udostępnianie informacji o lukach systemów IT przez osoby inne niż producent programu. Z drugiej strony, trzeba zadać pytanie o konsekwencje zbyt późnego zareagowania przez twórcę rozwiązania na jego ujawnione wady. Ostatni, lecz równie ważny problem, to skutki mylnego poinformowania użytkowników o niedoskonałościach programu.

Udostępnianie informacji o wadach

Listy dyskusyjne, takie jak Bugtraq, obfitują w informacje o lukach w systemach IT. Nie istnieją normatywne zasady odnoszące się do kwestii ujawniania software bugs. Z uwagi na to, w istocie rzeczy, to od analizującego kod zależeć będzie, czy skontaktuje się wcześniej z producentem oprogramowania. Zabieg taki eliminuje w znacznym stopniu zagrożenia dla korzystających z programów, choć zdarzają się też przypadki ignorowania zgłoszeń o lukach przez producentów. Dochodzą do tego zwolennicy pełnej swobody udostępniania danych na temat wadliwości systemów, bez konieczności wcześniejszego informowania o tym firmy odpowiedzialnej za luki. Powstaje więc pytanie, jak publikować informacje o wadach systemów, aby nie narazić się na roszczenia ze strony ich producentów, którzy nie zawsze przyjmą z pokorą informowanie klientów o własnych niedociągnięciach. Z formalnego punktu widzenia, niektóre z wad systemów można zobrazować, przytaczając fragmenty kodu źródłowego. Wzmaga to ryzyko odpowiedzialności z tytułu naruszenia prawa autorskiego, bo w ostateczności producent oprogramowania może powołać się na nieuprawnioną reprodukcję fragmentu aplikacji. W roku 2005 odczuł to francuski badacz - Guillaume Tena - analizując wady programu antywirusowego firmy Tegamęs Viguard. Fragmenty chronionego prawem autorskim kodu znalazły się w opracowanych przez niego exploitach. Sąd uznał, iż w wyniku jego działań doszło do naruszenia prawa do zwielokrotniania utworu. Także z perspektywy polskiego prawa autorskiego, pod znakiem zapytania pozostaje korzystanie z kodu programu przy prezentacji jego wad. Chodzi przy tym o charakter exploita, z założenia wykorzystujący fragment aplikacji źródłowej i współpracujący z nią, celem wykorzystania błędów. W związku z tym producenci oprogramowania mogą sięgać po ograniczenia w reprodukcji programu (jak i jego części) jako powód zablokowania opublikowania exploita. Polskie sądy nie wypowiadały się w tej kwestii, lecz już sama groźba pozwu wywrze z pewnością duże wrażenie na poszukiwaczu błędów aplikacji. Sprawa nie jest jednak tak oczywista, bo prawo autorskie dopuszcza cytowanie fragmentów aplikacji. Musi być to podyktowane między innymi "prawami gatunku twórczości", co ma swoje uzasadnienie przy ukazywaniu, jak można wykorzystać wady programów. Jednocześnie restrykcyjne opieranie się na przepisach prawa autorskiego ograniczałoby swobodę rozpowszechniania informacji i poglądów o jakości oprogramowania.

Kontrowersje wokół upubliczniania błędów

Ujawnianie luk nie jest zasługą tylko indywidualnych badaczy. Wyłapywaniem i usuwaniem błędów zajmują się wyspecjalizowane laboratoria, np. iDefence Labs. Jednocześnie sama forma publikowania informacji o błędach nie wyczerpuje tematu. Na stronach internetowych firmy Secunia opublikowano w ub.r. korespondencję do producenta oprogramowania, dotyczącą przygotowań do opublikowania informacji o błędach, które zostały już usunięte z aplikacji (http://secunia.com/blog/15/). Warto zająć się prawnymi aspektami analogicznej sytuacji z punktu widzenia polskiego prawa. W przypadku przygotowywanego przez Secunię alertu podnoszono, że może być on mylący, ponieważ wadę już usunięto. W ocenie producenta oprogramowania prowadziłoby to także do wyrządzenia szkody jego interesom. Jeśli chodzi o rodzime przepisy, wskazanie na wadę aplikacji, mimo jej usunięcia, nie będzie zachowaniem wykraczającym poza ramy prawne. Istotne jest jednak zaznaczenie przy luce, że została ona usunięta, bądź w Internecie pojawił się już stosowny patch. Znaczenie ma tu interes klientów (uaktualnienia naprawiające luki nie zawsze są pobierane automatycznie). Warto zaznaczyć, że niektórzy decydują się na profilaktyczny kontakt z producentami rozwiązań IT, jeszcze przed upublicznieniem informacji o wadach. W konsekwencji zdarza się, że firma samodzielnie ujawnia te odkrycia, pomijając wkład informatyka. Jeśli doszło do tego wbrew woli i wiedzy osoby, która wychwyciła błąd, jej dobra osobiste zostały naruszone.

Nie sposób pominąć przy tym wypadków, w których osoba odkrywająca lukę zwraca się do tworzącego rozwiązanie z następującą ofertą: albo otrzyma stosowną kwotę pieniężną, albo opublikuje w Internecie informacje. Sytuacja taka może być traktowana jako dopuszczenie się przestępstwa zmuszania, wskazanego w art. 191 kodeksu karnego. Karze podlega bowiem ten, kto groźbą bezprawną zmusza pokrzywdzonego do określonego zachowania. Z drugiej strony trzeba pamiętać, że brak jest przeciwwskazań do obrotu informacjami o wadach, o ile nie przybiera to postaci wymuszenia na producencie oprogramowania.


TOP 200