Джейлбрейк и взлом машин с целью исследования разрешен

ИБ-специалисты, занимающиеся исследованием безопасности систем автомобилей, и любители джейлбрейка получили радостную новость от Библиотекаря Конгресса США Дэвида Мао (David Mao). 30 Октябрь 2015, 12:27
Бюро регистрации авторских прав при Библиотеке Конгресса США внесло временные исключения в секцию 1201 закона о защите авторских прав Digital Copyright Millennium Act (DCMA). Согласно послаблениям, действующим в течение трех лет, модификация автомобильного ПО с легальными целями, в том числе, с целью исследования на наличие уязвимостей, не преследуется по закону.
«Организации, поддерживающие дальнейшее распространение исключений из DCMA, утверждают, что компьютерные программы уже стали неотъемлемой частью современных машин и устройств, в том числе автомобилей, бытовой техники и медицинских приспособлений; в связи с этим проверка данных программ независимыми экспертами на наличие уязвимостей становится насущной необходимостью», — говорится в постановлении.
Перед конференцией Black Hat этим летом исследователи Чарли Миллер (Charlie Miller) и Крис Валасек (Chris Valasek) продемонстрировали возможность удаленной эксплуатации уязвимостей в бортовом ПО Uconnect, применяемом в джипах производства Fiat Chrysler. Концерн оперативно отозвал 1,4 млн автомобилей и даже рассматривал возможность уголовного преследования за манипуляции с кодом.
Через удалённое подключение можно переключать передачи, активировать и отключать тормоза и даже поворачивать колёса в любую сторону независимо от положения рулевого колеса.

Но сегодняшнее постановление развяжет ИБ-исследователям руки – хотя оно ступит в силу только год спустя.

«Я не знаю, будут ли производители пытаться оспорить внесение в закон исключений. Конечно, им не стоит этого делать, так как потенциальный вред, который, по их словам, могут нанести исследования кода, – не более чем беспочвенные страхи и спекуляции. В любом случае, это совершенно не имеет отношения к защите авторских прав, — отметила Коринн МакШерри (Corynne McSherry), юрист организации Electronic Frontier Foundation, подавшей петицию. – То, что вступление этих исключений в силу отсрочено на год, должно дать автомобильному лобби время на подготовку к возможным апелляциям, но в этом нет никакого смысла. Как исследователям, так и владельцам автомобилей нужно, чтобы поправка вступила в силу сейчас».

Миллер и Валасек, уже получившие работу в ИБ-команде Uber, известны своими передовыми исследованиями в области безопасности автомобилей. Два года назад на Black Hat они продемонстрировали атаку на тормозную систему и акселератор изнутри. В этом году они успешно повторили эксперимент, но уже удаленно.

Однако до сегодняшнего дня секция 1201 DCMA запрещала доступ к коду автомобильного ПО, что было чревато исками к исследователям со стороны производителей. Принятие исключений дает ИБ-экспертам доступ к методам TPM от имени владельца автомобиля.

«Это очень важное событие для отрасли, но различные подводные камни и ограничения, свойственные индустрии, обуславливают потребность в проведении фундаментальных реформ», — подчеркнула МакШерри.

Предыдущая петиция, поданная EFF с целью продлить действие предыдущего исключения, разрешающего джейлбрейк смартфонов, а также распространить его на планшеты и смарт-часы, также была удовлетворена.

«Это исключение проясняет действие закона о защите авторских прав в отношении джейлбрейка: согласно принятой поправке, пользователи имеют право запускать операционную систему устройства с любого источника, не ограничиваясь источником, рекомендуемым производителем по умолчанию, — говорится в официальном блоге EFF. – Сегодняшнее решение – это победа для пользователей, артистов и исследователей. Однако необходимо претворить в жизнь ряд фундаментальных изменений, чтобы отвести угрозу уголовного преследования от людей, использующих методы, подобные джейлбрейку, для легальных целей».