Одна из замечательных особенностей цифровой эпохи кроется в смысловых коллизиях, возникающих на стыке нового «цифрового» и старого «аналогового» миров. Грубо говоря, всякую новую идею, технологию, механизм, можно уподобить чему-то из старого мира — попытаться «измерить» виртуальный объект привычными нам нравственными, правовыми, физическими мерками. Но отнюдь не факт, что аналогия сработает!
Примеров тому масса, и вы сами легко назовёте несколько. Как оценить сложность программы: байтами, строками, человеко-часами? Расценивать ли обмен гиперссылкой на контент как обмен самим контентом? А предоставление документа для скачки в файлообменной сети — это его распространение? И отнимаем ли мы что-нибудь у владельца оригинального файла, когда изготовляем копию?
Список можно продолжать, но нам сейчас важно другое. Хорошо, если разница в понимании цифровых феноменов не портит никому жизнь. А ведь бывает и так, что от неё зависит человеческая свобода! Как в истории с американцем Эндрю Арнхаймером, из которого «прогрессивные круги» вот уже год пытаются изобразить борца за права человека номер один.
Подробно об Эндрю, более известному как Weev, о совершённом им проступке и проповедуемой (но не исповедуемой) идее антибезопасности рассказывалось в этой колонке ровно год назад (см. «По стопам Аарона Шварца»). Поэтому за подробностями отсылаю к той публикации, а здесь напомню только самые существенные детали. Weev — 28-летний бородач с весьма специфическим чувством юмора, много лет балансировавший на тонкой грани между «чёрным» и «белым» хакерством. Говорят, он похитил миллионы, но доказательств нет, да и в тюрьму попал за другое — за обнаружение и эксплуатацию глупой ошибки в веб-сервере корпорации AT&T. Просто подменяя символы в адресной строке браузера, он с товарищем сумел вытянуть из AT&T сто тысяч почтовых адресов, принадлежащих клиентам компании. И ровно год назад получил за это 41 месяц тюрьмы плюс «бонусы» вроде временного ограничения доступа в Сеть.
Откровенно говоря, приговор смущал многих уже тогда. Ведь Эндрю осудили по допотопному, 1984 года, закону «О компьютерных злоупотреблениях» (CFAA). Его принимали, когда свирепствовала холодная война, — чтобы помешать шпионам, но он работает и по сей день — неадекватно сурово карая за компьютерную «бытовуху». Его применение сравнивают с лечением болезни дубиной, когда достаточно всего лишь таблетки. И приснопамятного Шварца, кстати, чуть было не засудили по нему же.
Но вернёмся к Эндрю. Отбывший 12 месяцев в одиночной камере, он заметно порастерял харизму. Зато его адвокаты наконец получили возможность обжаловать приговор — и вчера состоялись первые слушания. Позиция защиты такова: то, что совершил Арнхаймер, не только не может считаться уголовным преступлением, но даже не тянет на проступок, заслуживающей внимания суда! Ведь он всего лишь обращался к публичному сайту и ничего не ломал (разве можно назвать взломом смену символов в URL? Да тогда каждого второго сетянина надо под суд отдавать!). Наконец, данные, которые он «украл», не были никак защищены, то есть их мог посмотреть всякий, вооружившись веб-браузером и здоровым любопытством!
Первая и естественная реакция на это — сочувствие. Тем более со стороны айтишников. Так что из десятков тысяч статей, посвящённых Weev’у за полтора года, едва ли отыщется хоть дюжина недоброжелательных к нему. В конце концов, у него не было даже намерения наживаться на проблеме AT&T! Он не требовал выкупа, не шантажировал клиентов, информацию о которых похитил, ничего не портил. И если даже что-то со «взлома» поимел, то не деньгами, а славой (результаты своего ммм… эксперимента немедленно обнародовал через сторонний сайт). Впрочем, понимающий человек усмотрит тут лукавство: если следовать этой логике, придётся признать, что взломщиков на интернет-просторах вообще не существует! Ведь почти любой взлом веб-сервера можно выполнить именно подстановкой символов в строку URL. Но это не главный и не самый страшный парадокс в деле Арнхаймера.
Самое страшное — в смысловой коллизии, возникающей при попытке оценить правомерность махинаций с адресной строкой. Совершил ли Эндрю Арнхаймер социально опасное деяние, когда подменял символы в URL? Здравый смысл тут пасует, ибо у цивилизации пока недостаточно опыта, чтобы однозначно сказать, хорошо это или плохо, опасно или нет. Но ведь можно провести аналогию со старым, «аналоговым» миром, верно? И сторона защиты, и сторона обвинения поступили именно так — и пришли к диаметрально противоположным выводам!
Давайте представим, что в каком-нибудь людном месте — скажем, в коридоре большого торгового центра — компания X ставит стол и усаживает за него своего сотрудника. Задача этого человека — регистрировать новых клиентов (например, подписывать их на услугу мобильного интернет-доступа). Каждый желающий волен подойти к столу, прочесть выложенные на нём рекламные листки, проконсультироваться с сотрудником, после чего (если пожелает) заполнить анкету и отбыть по своим делам. Но вот вместо того, чтобы хранить заполненные анкеты в запертом ящике, наш герой почему-то просто складывает их на тумбочку под столом — так что стопка анкет для мимо проходящих людей незаметна, но тот, кто про неё знает (например, проследил за хозяином стола), легко может протянуть руку и все анкеты умыкнуть.
Почему сотрудник не прячет анкеты под замок? Мы не знаем. Может быть, так для него удобней. Может быть, он счёл, что информация не представляет интереса для посторонних. Может быть, понадеялся на человеческую порядочность. В любом случае картина одна: мы видим ресурс, открытый для всех желающих, и массив данных, убранный с глаз, но не защищённый от несанкционированного доступа. Так вот: Weev в этой аналогии должен будет подвалить к столу и, делая вид, что собирается подписаться на услуги X, тайком утащить все анкеты.
Аналогия очевидна, но вот выводы из неё — нет. Сторона обвинения считает, что в цифровой реальности справедлива та же оценка, какую мы дали бы человеку, укравшему анкеты с настоящего стола: да, сайт публичный, да, данные не запаролены, но владелец не желал их обнародовать, а потому Weev должен сидеть. Больше того, по данным следствия, чтобы понять, как нужно менять URL, Эндрю и его другу пришлось сильно углубиться в технические нюансы задействованных программных продуктов, то есть, возвращаясь к нашей аналогии, изучить устройство стола. И это тем более подтверждает их вину.
Но вот знаменитая компания EFF (Electronic Frontier Foundation, «Фонд электронных рубежей»), предоставившая Арнхаймеру бесплатного адвоката, настаивает на обратном. Тут не стол и анкеты, а браузер и адресная строка. Ничего предосудительного Эндрю не совершал — и даже лучше того, помог крупной компании обнаружить опасную уязвимость!
С кем согласиться в такой ситуации, на чью сторону встанет суд — выбирайте сами. Но прежде чем соглашаться с авторами сочувственных публикаций, учтите ещё один нюанс. Вместо того чтобы, «умыкнув анкеты», сразу же показать их хозяину стола и тем помочь исправить проблему, Эндрю Арнхаймер отправился к журналистам и сдал им свою добычу (естественно, она была опубликована).
Арнхаймер хотел славы. Что ж, он её получил.