Сегодня история из мира ИБ. На днях в новостях написали, что (некие неназванные) эксперты, анализирующие безопасность мобильных телефонов, обнаружили встроенную уязвимость в устройствах бренда Digma. А конкретно в телефонах, причем в кнопочных телефонах. И эта уязвимость «позволяет управлять телефоном через интернет: удаленно рассылать СМС и принимать их, передавая данные на сторонние серверы, регистрировать на номер телефона аккаунты в мессенджерах и т. д.».
Интересно тут даже не то, что это именно кнопочные телефоны, которые внезапно «сейчас занимают 5,9% рынка, и их продажи растут». Это как раз в целом понятно – кнопочные телефоны считаются считались вроде как безопаснее смартфонов и их за это любили и ИБ-специалисты, и просто верующие в ИБ люди. Да и в плане общей своей живучести они, конечно, поинтереснее в разрезе цена/жизнеспособность. Интереснее другое – речь идет именно про «встроенную уязвимость». То есть не ту, что пользователь сам себе поймал, что-то нехорошее открыв или скачав. А ту, что кто-то специально поставил заранее еще до того, как пользователь этот самый телефон достал из коробки.
Так это или нет, массовая это проблема или нет, кто виноват и что делать – тут, полагаем, разберутся и без нас. Тем более что мы и не про ИБ, а так, мимо проходили. А мы хотим вот про что поговорить – а может ли вообще покупатель сам найти и доказать, что в закупленном им софте или ПАКе (а тот же телефон – это вполне себе ПАК) что-то работает не совсем так, как ему рассказывали на пресейле? И как это сделать в рамках закона.
Начнем с простого. Если есть ТЗ к договору или какая-то иная техническая документация, где написано, что и как должно работать. Это условно 100% требуемого функционала. И если ваша покупка справляется только с 50-70-90% – тут все ясно, качества нет. Доказывается плюс-минус не сложно, сопоставлением заявленного (либо заказанного) функционала и реально полученного. Для B2B и B2G сегментов это, например, уже ставшая классикой экспертиза сравнения результата разработки с ТЗ на нее.
Но что, если покупка работает не меньше требуемого, а больше? Хорошо выполняет все 100% заявленного официально, то есть вроде как все ок. Но потихонечку делает еще что-то. Так, процентов на 3-5%. Майнит что-то само себе на старость, смски куда-то шлет, регистрируется где-то. Это называется «недокументированные возможности» или «НДВ» на ибешном. И что с этим делать?
Если это из-за «вирусов», то пользователь (рано или поздно) это все найдет. На это, как минимум, актуальные антивирусы есть, а сверх них – 100500 разных ИТ/ИБ-аудиторских софтин, железяк и консультантов. Тут уже твой риск и сам виноват – вирусы они такие, от их ловли гарантий нет.
А если это «бэкдор» из коробки? Тут, конечно, тоже все найти, но уже более глубоким исследованием. Станет видно, это дыра в стороннем предустановленном приложении или в самой системе. И, соответственно, кому претензии предъявлять. Тут вроде бы тоже все понятно.
Но то техническая сторона. А есть ещё юридическая. И она о том, что ненароком пойманные вирусы – это «внешнее». Оно вам, скорее всего, не поставлялось с купленным софтом или ПАКом. И не имеет никакого отношения к поставщику или разработчику. А вот то, что было внутри с самого начала, из коробки – оно будет куда ближе к области его IP-прав. К чему мы это? А к тому, что сегодня во многих лицензионных договорах пишут что-то типа «Лицензиат не вправе сам и/или с привлечением третьих лиц изменять код Программы, включая любые его элементы, а также декомпилировать или иным образом пытаться получить исходный код Программы, в том числе проводить процедуры деобфускации, реверсинжиниринга и обратного анализа кода Программы». И как вы в таких условиях проведете анализ и поиск этих самых НДВ, не нарушив договор? Возможно, на свой страх и риск, в надежде, что если что-то «эдакое» найдете, то поставщик (разработчик или кто-то еще, кто по вашему мнению виноват), устыдится и про этот аргумент не будет вспоминать. Ну или просто риски взвесит и примет адекватное решение. Но это не точно.
Вывод тут – поле правовое на границе с ИБ неоднозначно и вариативно. Может и не поле даже, а лес густой. И в нем бы не заплутать.
Интересно тут даже не то, что это именно кнопочные телефоны, которые внезапно «сейчас занимают 5,9% рынка, и их продажи растут». Это как раз в целом понятно – кнопочные телефоны считаются считались вроде как безопаснее смартфонов и их за это любили и ИБ-специалисты, и просто верующие в ИБ люди. Да и в плане общей своей живучести они, конечно, поинтереснее в разрезе цена/жизнеспособность. Интереснее другое – речь идет именно про «встроенную уязвимость». То есть не ту, что пользователь сам себе поймал, что-то нехорошее открыв или скачав. А ту, что кто-то специально поставил заранее еще до того, как пользователь этот самый телефон достал из коробки.
Так это или нет, массовая это проблема или нет, кто виноват и что делать – тут, полагаем, разберутся и без нас. Тем более что мы и не про ИБ, а так, мимо проходили. А мы хотим вот про что поговорить – а может ли вообще покупатель сам найти и доказать, что в закупленном им софте или ПАКе (а тот же телефон – это вполне себе ПАК) что-то работает не совсем так, как ему рассказывали на пресейле? И как это сделать в рамках закона.
Начнем с простого. Если есть ТЗ к договору или какая-то иная техническая документация, где написано, что и как должно работать. Это условно 100% требуемого функционала. И если ваша покупка справляется только с 50-70-90% – тут все ясно, качества нет. Доказывается плюс-минус не сложно, сопоставлением заявленного (либо заказанного) функционала и реально полученного. Для B2B и B2G сегментов это, например, уже ставшая классикой экспертиза сравнения результата разработки с ТЗ на нее.
Но что, если покупка работает не меньше требуемого, а больше? Хорошо выполняет все 100% заявленного официально, то есть вроде как все ок. Но потихонечку делает еще что-то. Так, процентов на 3-5%. Майнит что-то само себе на старость, смски куда-то шлет, регистрируется где-то. Это называется «недокументированные возможности» или «НДВ» на ибешном. И что с этим делать?
Если это из-за «вирусов», то пользователь (рано или поздно) это все найдет. На это, как минимум, актуальные антивирусы есть, а сверх них – 100500 разных ИТ/ИБ-аудиторских софтин, железяк и консультантов. Тут уже твой риск и сам виноват – вирусы они такие, от их ловли гарантий нет.
А если это «бэкдор» из коробки? Тут, конечно, тоже все найти, но уже более глубоким исследованием. Станет видно, это дыра в стороннем предустановленном приложении или в самой системе. И, соответственно, кому претензии предъявлять. Тут вроде бы тоже все понятно.
Но то техническая сторона. А есть ещё юридическая. И она о том, что ненароком пойманные вирусы – это «внешнее». Оно вам, скорее всего, не поставлялось с купленным софтом или ПАКом. И не имеет никакого отношения к поставщику или разработчику. А вот то, что было внутри с самого начала, из коробки – оно будет куда ближе к области его IP-прав. К чему мы это? А к тому, что сегодня во многих лицензионных договорах пишут что-то типа «Лицензиат не вправе сам и/или с привлечением третьих лиц изменять код Программы, включая любые его элементы, а также декомпилировать или иным образом пытаться получить исходный код Программы, в том числе проводить процедуры деобфускации, реверсинжиниринга и обратного анализа кода Программы». И как вы в таких условиях проведете анализ и поиск этих самых НДВ, не нарушив договор? Возможно, на свой страх и риск, в надежде, что если что-то «эдакое» найдете, то поставщик (разработчик или кто-то еще, кто по вашему мнению виноват), устыдится и про этот аргумент не будет вспоминать. Ну или просто риски взвесит и примет адекватное решение. Но это не точно.
Вывод тут – поле правовое на границе с ИБ неоднозначно и вариативно. Может и не поле даже, а лес густой. И в нем бы не заплутать.