НовостиСобытияКонференцииФорумыIT@Work
Open Source:

Блог

Чего боится власть?

Сергей Голубев
28.08.2012 10:24:44
Теги: НПП

CNews сообщил:

Цитата
Скрытая функция в Windows 8 под названием Windows SmartScreen отсылает в Microsoft информацию о каждом приложении, которое пользователь загрузил из интернета, попытался установить или установил в операционной системе...


С одной стороны, секрет Полишинеля. С другой - комментарии к заметке вновь заставляют нас вспомнить о концепции НПП.

Читаю:

Цитата
А вот почему до сих пор нет государственных стандартов для платного ПО? И быстроисполняемых диких штрафов за несоблюдение. Пора уже разобраться со стандартами на лицензионные договора, заключаемые между правообладателями и пользователями.


Действительно, непонятно. Приходится признать, что в ИТ-отрасли права потребителя практически никак не защищены. По сути производитель не отвечает ни за что. Программа может работать с ошибками, может шпионить за владельцем (впрочем, владелец ПО - понятие очень условное) - никому, включая наше родное государство, до этого дела нет.

Иногда возникает впечатление, что власть просто боится даже косо посмотреть в сторону ИТ-компаний.

Комментариев: 30

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

Usvad
28.08.2012 11:03:51

К сожалению я так и не понял про какие стандарты идет речь в комментариях на CNews, да и бог с ними - такой уж CNews...
А вот по поводу:

Цитата
Приходится признать, что в ИТ-отрасли права потребителя практически никак не защищены. По сути производитель не отвечает ни за что.

ситуация будет такой и впредь пока все таки не выяснится что же такое лицензия на ПО и по какой схеме происходит взаимоотношения между заказчиком и продавцом - продажа товара? оказание услуги?
По сути и продажа товара и оказание услуг в законодательстве достаточно регламентировано - что на доле продавца, а что на доле покупателя. А здесь какой-то непонятный лицензионный договор. Так много в нем слов и есть ли соответствие с законодательством?... Так же совершенно непонятно должен ли быть отдельный листочек или его можно спрятать в недрах электронной начинки самого ПО?
Все говорят, что практика применения покажет, но что-то пока никто не хочет выносить это на "практику" и почему то ответственные ведомства так и норовят рассмотреть наклейку на вашем корпусе....

28.08.2012 11:46:23

Совершенно верно. И именно эту задачу надо решать в первую очередь в рамках создания НПП.

28.08.2012 11:06:09

Для начала нужно провести тщательное расследование данного вопроса, выяснить достоверность факта и объяснения по его поводу. Мало что написал кто-то в блоге и что опубликовала CNews.

Темы "несанционированной" отсылки информации с компьютеров - совершенно спекулятивная, используемая исключительно для популистских политиков. Любой специалист по ИБ сможет пояснить, как можно полностью блокировать любой несанкционированный обмен данными между ПК и сервером.

28.08.2012 11:48:07

Объяснить-то он может. А вот реализовать на практике... сомневаюсь. Да и не в этом дело. Моя покупка живет некой самостоятельной и неподконтрольной мне жизнью. Это что - хищные вещи века?

28.08.2012 12:13:19

Цитата
А вот реализовать на практике... сомневаюсь. Да и не в этом дело. Моя покупка живет некой самостоятельной и неподконтрольной мне жизнью.

Уважаемый? А вы можете что гарантировать? ППО закрыто(тут очень трудно что-то найти), СПО просто сложно и не каждый в нем будет лазить(правда лазают и гарантии больше, чем в ППО), так что никто ничего не гарантирует по большому счету.
В этом плане я выбираю меньшее из зол, то ест СПО. Я предпочитают сам решать как живет мой ПК, а не чтоб ПК вместе с ППО решал как мне жить.

28.08.2012 13:06:43

Именно - меньшее из зол. За закладки в СПО по крайней мере отвечает конкретный человек своим именем, а не какая-то безликая компания.

28.08.2012 12:28:53

Нужно выяснить истинность данного факта.

28.08.2012 12:08:52

Цитата
Темы "несанционированной" отсылки информации с компьютеров - совершенно спекулятивная, используемая исключительно для популистских политиков. Любой специалист по ИБ сможет пояснить, как можно полностью блокировать любой несанкционированный обмен данными между ПК и сервером.

Андрей, вы можете мне сказать насколько квалифицированы у нас сотрудники СБ в ИБ на местах в банках, МНС, МВД и т.д.? Помню, как зашел в Сбербанк потолковать со знакомым и удивился, что у них на каждом столе стоял модем, я ему про безопасность и т.д.
Выяснилось, что им запретили иметь интернет из-за информационной безопасности! Как следствие, они не могут его подключить официально, а вот с модемов приходили счета на межгород, что укладывалось в бюджет и все пользовались интернетом. Сейчас там используют 3G-модемы. Вирусы ходят табуном по всей сети, потому как КАВ ловит только известные, а не те что живут в сети... И если у кого-то что-то уходит, то это никого не волнует.

28.08.2012 12:30:53

Я ничего не могу сказать конкретно про квалификацию ИТ-безопасников.

Но могу утверждать, что проблемы безопасности в целом у нас стране решаются из вон рук плохо.
У нас много разговоров и спекуляций на этому тему, а в реальности - часто просто "шпик".

Usvad
28.08.2012 13:26:36

Цитата
У нас много разговоров и спекуляций на этому тему, а в реальности - часто просто "шпик".

Хотят перевести на бизнес-рельсы, а в реальности оказывается в необходимости вложения кучи денег в неизвестно что.

Usvad
28.08.2012 13:27:40

smile:o Перечитал - что-то много "в".... smile:(

Aceler
28.08.2012 14:54:07

А поздно уже, слух запущен, это совершенно очевидно на руку Microsoft.

28.08.2012 22:10:00

Андрей, Вы меня постоянно поражаете какой-то детской самоуверенностью и верой в непогрешимость всех и вся.. Это, конечно, хорошо. Но реалии намного прозаичней.
<qoute>Темы "несанционированной" отсылки информации с компьютеров - совершенно спекулятивная, используемая исключительно для популистских политиков. Любой специалист по ИБ сможет пояснить, как можно полностью блокировать любой несанкционированный обмен данными между ПК и сервером. [/quote]
Вы почему-то думаете, что отсылка информации с компьютера происходит только через интернет. Как же вы наивны. smile:) Существуют вполне легальные источники утечки информации с компьютеров и самое интересное, что люди сами своими руками могут отдать ценную информацию в руки недоброжелателей. Думаете я про социальную инженерию? smile;) Нет smile:) все проще. Нужно просто внимательно читать договора и лицензионные соглашения.
Был в моей практике такой пунктик в договоре на техподдержку:
при сбое программного обеспечения ХХХ необходимо в службу техподдержки передать не только код ошибки, но и дамп памяти и набор данных, при которых произошел сбой ПО.
Как Вам такой поворот? Не, ну Вы программист и скажите, что Вы же должны как-то воспроизвести ошибку. Согласен! Но если учитывать, что ПО было приобретено одним из заводов ВПК, который разрабатывает перспективные системы вооружений, и ошибка воспроизводилась только при определенных условиях, которые являлись одним из ноу-хау, обеспечивающих конкурентные и прочие преимущества, то это наводит на очень интересные мысли. Мало того, попытки специалистов воспроизвести подобную ошибку на более безобидном наборе данных в течении двух месяцев не увенчались успехом. Все решилось просто через три месяца после инцидента вышло обновление ПО, после которого ошибка уже не воспроизводилась.
К чему это я? А к тому, что пункты похожие по своей сути встречаются в договорах на поддержку серьезного ПО достаточно часто. И в этой ситуации не надо и прямой связи с интернет, чтобы передать сведения содержащие коммерческую (или иную) тайну совершенно посторонним людям, которые не несут никакой ответственности за сохранность этих данных.

28.08.2012 23:25:27

Вы знаете, я не очень понял, что вы имели в виду, говоря о моей самоуверенности.
Т.е., самоуверенность, конечно, есть (а как без нее?), но что вы иметете в виду по сути - не понимаю.

Как и не понимаю, что вы хотели сказать вашим примером. О какой службе техподдержке идет речь, почему туда нужно что-то отдавать и пр.
Не хотите отдать дамп - не отдавайте. В чем проблема-то?

29.08.2012 15:26:13

Цитата
Как и не понимаю, что вы хотели сказать вашим примером. О какой службе техподдержке идет речь, почему туда нужно что-то отдавать и пр.
Не хотите отдать дамп - не отдавайте. В чем проблема-то?

Очень подозреваю, что мы с Вами пользуемся немного разным ПО для выполнения своих служебных обязанностей.
Что я хочу сказать - лишь то, что для утечки информации не нужно подключать компьютер к интернет; лишь то, что существуют вполне законные каналы утечки информации и хомячки на это часто попадаются. Вот примеры из моей практики (не называю продукты по определенным причинам):

1. Система уровня "тяжелого" CAD/CAM/CAE. При разработке сложного изделия приложение в определенный момент, но при вполне обычных данных, закрывается без указания ошибки, при этом создается дамп памяти. По договору о технической поддержке в подобном случае нужно связаться с техподдержкой и они обязаны представить решение. Только вот в договоре присутствует еще пункт, который обязывает высылать не только описание ошибки и дамп памяти системы, но и полный набор данных, с которыми работала программа в момент сбоя. Если учесть, что описываемый сбой произошел при работе со сборкой из нескольких сотен деталей (что является штатным режимом работы программы) практически готового узла, то резонно возникает вопрос - а не уйдет ли информация на сторону? Связываемся с техподдержкой, объясняем ситуацию и спрашиваем - можно выслать только дамп памяти. Отвечают, нет. Только с полным набором данных. Иначе рассматривать даже не будет. Спрашиваем, вы можете дать гарантию что информация не уйдет на сторону (хотя, какой смысл спрашивать - разработчики все на Западе). Нет, говорят, гарантий не даем, но наш многолетний опыт работы с такими фирмами как ...... (идет перечисление западных компаний, наших прямых конкурентов) подтверждает нашу благонадежность. Вот и все.

2. Система информационной безопасности, которая должна обеспечить защиту от несанкционированного доступа в корпоративную сеть предприятия. Абсолютно схожая ситуация. Штатный режим работы и вдруг система падает. Есть логи с подробным описанием ошибки. Обращаюсь в техподдержку, благо за это заплачено. Сначала запросили логи, потом полную спецификацию железа и сопутствующего ПО. Уже несколько насторожило. Апофеозом стала просьба пустить в корпоративную сеть снаружи. Ага. Щас. Спрашиваю - гарантии есть? НЕТ! И опять ссылка на кучи партнеров, с которыми они работают. Пошли вы в сад со своим ПО.

3. Опять же система информационной безопасности. Только защищает уже компьютеры локально. На идентичных компьютерах, с идентичным установленным ПО работает как бог на душу положит. Сообщаю в техподдержку конфигурацию компьютеров и установленного ПО вплоть до версий системных программ. Передаю многомегабайтные логи с выводом ошибок и дампы памяти. Так нет же! Просят удаленный доступ на эти компьютеры, а на них критически важная информация для бизнеса компании. Послал точно также погулять в сад.

Есть и еще похожие примеры. Так что ушки должны быть на макушке. )))

Usvad
31.08.2012 00:09:32

Цитата
Нет, говорят, гарантий не даем, но наш многолетний опыт работы с такими фирмами как ......

Цитата
Система информационной безопасности.......Апофеозом стала просьба пустить в корпоративную сеть снаружи. Ага. Щас. Спрашиваю - гарантии есть? НЕТ! И опять ссылка на кучи партнеров, с которыми они работают.

Цитата
Опять же система информационной безопасности.........Просят удаленный доступ на эти компьютеры,

Это не анекдот - здесь плакать надо....

28.08.2012 12:29:23

"... в ИТ-отрасли права потребителя практически никак не защищены ..."
"... А здесь какой-то непонятный лицензионный договор ... "

Представляется, что противоречия с ПО возникают по двум причинам:
1. ПО непохоже на чисто материальный товар (как транспортное средство, продукты питания, предметы гигиены).
2. ПО непохоже на чисто интеллектуальный товар (как впечатление от книги или картины, звуковые волны в атмосфере в виде музыки).

ПО - нечто особенное, поэтому для него право должно быть особенным. Что и происходит.

28.08.2012 13:07:40

Согласен. Но за особенный товар следует платить особенные деньги. А с нас берут обычные smile:).

28.08.2012 14:11:30

ПО - товар особенный еще и тем, что его работоспособность определяется другим товаром. Например, имею я программу - надстройку для Excel, которая выполняет нужные мне функции. И неплохо выполняет, НО при: 1) исправной аппаратуре компьютера, 2) корректно установленной и неповрежденной вирусами операционной системе, 3) корректно установленном офисном пакете, содержащем Excel, 4) корректно установленной самой настройке и верных установках безопасности. К тому же я должен быть обучен работе со всеми указанными 4-мя компонентами. Как будем искать виноватого в плохой работе надстройки? Кто гарантирует ее верную работу при столь большом числе условий?

Программу я скорее уподобил бы научной монографии (точнее ее содержанию без материального носителя), чем материально полезному товару. С той разницей, что ошибка в отпечатанной монографии навсегда покрывает автора позором. А ошибку в программе можно исправить и разослать исправления пользователям. Развивая мысль, СПО уподоблю полностью всему тексту монографии, чтобы каждый мог прочесть и подивиться гениальности или дурости автора (уж как придется), а ППО, извините, уподоблю первой странице, оглавлению и выводам с вырванной остальной частью. Добавление - в последнем случае обязательно присутствие последней страницы - с указанием цены.

Usvad
28.08.2012 14:31:29

Цитата
ПО - товар особенный еще и тем, что его работоспособность определяется другим товаром. Например, ....

Если отталкиваться от приведенного примера, то:
- Windows - собственник MS, даже если Вы и купили лицензию
- Excel - собственник MS, даже если Вы и купили лицензию
- Ваша надстройка над Excel - Ваша собственность
Все что имею я - это только компьютер - это моя собственность. С Windows и Excel MS может делать что хочет - Вам (или скорее мне - компьютер то мой) она предоставляет только право использовать (временно на период поддержки данного ПО, а в дальнейшем полностью снимая всякую ответственность?)
На каких правах Вы предоставляете свою надстройку?

Usvad
28.08.2012 13:23:58

Цитата
интеллектуальный товар (как впечатление от книги или картины, звуковые волны в атмосфере в виде музыки)

Это что-то новое... У нас есть такое понятие в законодательстве?

28.08.2012 14:01:59

Авторское право называется. А в скобках примеры. Вы сходили на концерт Киркорова - вы же унесли с собой впечатление и воспоминания. А вообще интересный вопрос - а за что вы заплатили, посетив концерт? smile:)

Usvad
28.08.2012 14:20:11

Цитата
Авторское право называется.

Вот это уже ближе к делу. smile:) , но это не товар в прямом смысле.
Почему я все это уточняю - все таки "своими словами" впоследствии начинают принимать за чистую монету и далее путаться в определениях, например, Колесов считает, что ПО может выступать в качестве товара. Я же считаю что ПО больше тянет на услугу (учитывая также и авторское право).
Каково Ваше мнение?
Цитата
А вообще интересный вопрос - а за что вы заплатили, посетив концерт?

за услугу по "поднятию настроения"?
Вообще-то концертная деятельность и по бухгалтерии и по налоговому учету - это услуга

28.08.2012 14:21:52

Я и говорю - совершенно особенная вещь сущность.

Usvad
28.08.2012 14:32:14

Так все таки не товар

28.08.2012 14:49:53

Цитата
А вообще интересный вопрос - а за что вы заплатили, посетив концерт?


За аренду кресла.
Но концерт - это несколько иное. Это не информационный товар, поскольку его нельзя бесконечно тиражировать (тиражировать можно только звучащую там музыку).

Aceler
28.08.2012 14:52:44

И опять MS в роли догоняющей — во всех остальных ОС, включая мобильные, уже давно реализованы в том или ином виде отсылка информации об установленных программах. Правда, тут MS продвинулась дальше, отслеживая также и загруженные. К тому же, не факт, что эта отсылка будет отключаемой.

28.08.2012 22:12:45

Андрей, Вы меня постоянно поражаете какой-то детской самоуверенностью и верой в непогрешимость всех и вся.. Это, конечно, хорошо. Но реалии намного прозаичней.

Цитата
Темы "несанционированной" отсылки информации с компьютеров - совершенно спекулятивная, используемая исключительно для популистских политиков. Любой специалист по ИБ сможет пояснить, как можно полностью блокировать любой несанкционированный обмен данными между ПК и сервером.

Вы почему-то думаете, что отсылка информации с компьютера происходит только через интернет. Как же вы наивны. smile:) Существуют вполне легальные источники утечки информации с компьютеров и самое интересное, что люди сами своими руками могут отдать ценную информацию в руки недоброжелателей. Думаете я про социальную инженерию? smile;) Нет smile:) все проще. Нужно просто внимательно читать договора и лицензионные соглашения.
Был в моей практике такой пунктик в договоре на техподдержку:
при сбое программного обеспечения ХХХ необходимо в службу техподдержки передать не только код ошибки, но и дамп памяти и набор данных, при которых произошел сбой ПО.
Как Вам такой поворот? Не, ну Вы программист и скажите, что Вы же должны как-то воспроизвести ошибку. Согласен! Но если учитывать, что ПО было приобретено одним из заводов ВПК, который разрабатывает перспективные системы вооружений, и ошибка воспроизводилась только при определенных условиях, которые являлись одним из ноу-хау, обеспечивающих конкурентные и прочие преимущества, то это наводит на очень интересные мысли. Мало того, попытки специалистов воспроизвести подобную ошибку на более безобидном наборе данных в течении двух месяцев не увенчались успехом. Все решилось просто через три месяца после инцидента вышло обновление ПО, после которого ошибка уже не воспроизводилась.
К чему это я? А к тому, что пункты похожие по своей сути встречаются в договорах на поддержку серьезного ПО достаточно часто. И в этой ситуации не надо и прямой связи с интернет, чтобы передать сведения содержащие коммерческую (или иную) тайну совершенно посторонним людям, которые не несут никакой ответственности за сохранность этих данных.

30.08.2012 08:13:38

Я не понимаю, к чему эти все примеры.
Давайте для начала разделим проблему - санкционированная вам передача данных третьему лицу и несанкционированное получение ваших данных третьим лицом.
Проще говоря: одно дело, если вы сами одолжили денег приятелю, другое - он пришел к вам в гости и "спер" пачку денег из вашей тумбочки.

В посте говорится, как я понимаю, о, якобы, несанкционированном сборе информации.
Вот давайте эту тему и обсуждать тут.

Usvad
31.08.2012 00:19:34

Цитата
В посте говорится, как я понимаю, о, якобы, несанкционированном сборе информации.
Вот давайте эту тему и обсуждать тут.

По моему, мысль поста о бесправности пользователя. А по поводу несанкционированного сбора информации, то в этом замечалась не только Microsoft (ранее она уже сознавалась в этом и обещала исправиться)

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии