Szerző: Voith Hunor

2016. április 19. 10:30

Szerzői jog és az etikus hackerek - van megoldás?

Etikus hacker cikksorozatunk annyira felkeltette egyik - szintén hozzáértő - olvasónk figyelmét, hogy némi kiegészítéssel keresett meg bennünket. Írását a sorozat szerzőjének megjegyzésével együtt közöljük.

Jogászok és informatikusok - korábban többször fellángolt a vita, hogy a két szakterület sokszor konfliktusos viszonya hogyan békíthető össze, parafrazálhatnám az etikus hacker cikksorozat első mondatát. És igaz lenne így is.

A számítástechnika kezdetek óta a szabadság terepe volt, a rendszermérnökök és rendszergazdák sosem viselték túl jól a jogászok „kotnyeleskedését”. Az üzemeltetők hálózata, infrastruktúrája, szoftverrendszere vár, és ezt a várat meg akarják védeni. A védelem egyik leghatékonyabb eszköze pedig az, ha mindenkinél hamarabb tesztelhetik le ezek biztonságát. Vannak, akik ebben a tevékenységükben azt érzik, hogy a jog csupán hátráltatja őket - és az etikus hackerek alkalmazásakor ez az érzésük, mint azt Dr. Horváth Katalin cikkei alapján láttuk, megalapozott lehet.

Bár az etikus hackernek egyéb eszközei is vannak a penetrációs tesztekre, mégis félkarú marad a szoftverrendszerek működésének megfigyelése és esetleges visszafejtése nélkül. Két, álláspontom szerint IT szakmailag és jogilag is helytálló lehetőség azonban adódik ezekre is.

Szoftver tanulmányozása, megfigyelése – adjunk jogot rá!

Ha az etikus hacker szoftvert auditál, akkor – ha eltekintünk a fórumok olvasgatásától, szabadon hozzáférhető kézikönyvek vagy demóváltozatok megismerésétől – nincs mese, felhasználási cselekményekbe kell kezdeni. Ehhez pedig az esetek többségében – mint korábban láttuk – nem lehetséges megbízással megszerezni a felhasználási jogosultságot.

Az Európai Bíróság C-128/11 ügyben hozott döntése azonban módot ad a gordiuszi csomó átvágására: ruházzuk át ideiglenesen az etikus hackerre a felhasználási jogot! Lehetséges ez? Igen, még akkor is, ha egyes licencszerződések ezt megtiltanák. Az Oracle kontra UsedSoft ügyben kimondta a bíróság, hogy a szoftvergyártók nem zárhatják ki használt szoftvereik továbbértékesítését.

A döntés alapját a műpéldány terjesztési jogának jogkimerülése adja. Vagyis ha a szerzői jog jogosultja eladta a program egyik példányát és biztosította a használatra vonatkozó jogot, azzal kimeríti a szoftverre vonatkozó terjesztési jogát a jövőre nézve, így az engedélye nélkül is továbbadható. Az így felhasználási engedélyt szerző személy tehát „jogszerűen megszerző személynek” minősül és az uniós (így itthon is érvényes) Szoftver Irányelv 5. cikk (1) bekezdése alapján jogosult a hibajavításra is. Az etikus hacker ezzel célba ért.

A megbízó erre az időre természetesen köteles az érintett szoftvert az átadott licencmennyiségnek megfelelően eltávolítani és azon felhasználási cselekményeket az engedély visszaszerzéséig leállítani. Aláhúzandó továbbá, hogy a jogkimerülés lehetősége nem minden esetben áll fenn, például online szolgáltatások vagy szoftverbérlés esetén.

(Szerintem ez a kitétel az akadálya annak, hogy életszerűen működjön ez a felvetés. Ingyenes átruházásnál cégek esetében adójogi kérdések merülhetnek fel. Az etikus hackernek vissza is kell ruháznia majd a szoftvert a megbízójára, ha végzett a vizsgálattal, és közben a cég nem tudja használni a szoftvert. Jogi szempontból igaz, amit Péter ír, de ugyanúgy nem reálisan megvalósítható, mint eltérni az EULA-tól, ha az tiltja az átruházást/továbbruházást. - Dr. Horváth Katalin)

Szoftverhibák felderítése - az interoperábilitás-alapú tesztelés

Az esetek nagy részében a megrendelő nem tudja nélkülözni az auditálni kívánt szoftvert, így a fenti út járhatatlan lehet. A Szoftver irányelv azonban lehetőséget ad a többszörözésre és a lefordításra, ha ezekre önálló program más programokkal való együttműködése miatt van szükség (6. cikk (1)). A kérdés az, hogy az etikus hacker módszerei közül vajon melyik minősül interoperábilitási problémának?

Ha úgy tekintünk egy-egy auditálandó szoftverrész működésére, mint interoperábilitáson keresztül elérhető funkcionalitásra, akkor az etikus hacker a felhasználó felhatalmazásával jogszerűen szerezheti meg az ennek eléréséhez szükséges információkat a programból, akár visszafejtés útján is.

Amennyiben például egy számlázóprogram export funkcióját teszteli abból a célból, hogy a számlaadatbázis jogosultság nélkül is exportálható-e, akkor ezt megteheti úgy, hogy egy nem hitelesített számlaexport kérést küld saját programjából az auditált szoftvernek a két rendszer együttműködésének céljából. Ha erre a kérésre egy számlalistát kap, akkor ez a „funkció” – nevezzük nevén: biztonsági rés – létezik, és erre az interoperábilitás cselekménye vezetett. Az így megismert hiba miatt a program a szerzőnek javításra – határidőn belül – akár vissza is adható.

Míg a korábbi, jogkimerülési esetben az 5. cikk (1) elvárta a rendeltetési célnak megfelelő használatot, a visszafejtésről szóló 6. cikk ezt már nem tartalmazza. Az információk megszerzéséhez szükséges dekompilációra ráadásul a felhasználási jogosultsággal rendelkező személy maga helyett mást is felhatalmazhat, ha ez az információ nem könnyen hozzáférhető és ezek a cselekmények kizárólag az eredeti programnak az együttes működtetéséhez szükséges részeire korlátozódnak (6. cikk (1)).

További elvárás, hogy az így nyert információ más célra nem használható fel és mással nem közölhető, illetve szerzői jogot más módon sértő cselekményhez nem vezethet (6. cikk (2)). Fontos továbbá, hogy e cselekmények indokolatlanul nem károsíthatják a jogosult jogos érdekeit és nem akadályozhatják a program rendes felhasználását (6. cikk (3)).

Legalább egy kérdés még megválaszolhatatlan ezzel együtt is: jogosult-e az etikus hacker az eredeti programot a kívánt funkcionalitás elérése érdekében (például, hogy csak megfelelő jogosultsággal legyen elérhető a számlaexport a másik rendszerrel való együttműködés érdekében) módosítani? Erre, akárcsak az eredeti cikksorozatban többször, csak az a válasz adható: a bírói gyakorlat ismeretében nem tudható.

Murphy és a biztonságos programozás: néhány tanulságos történet (x)

Klasszikus security fail mesék kíváncsi fejlesztőknek.

Murphy és a biztonságos programozás: néhány tanulságos történet (x) Klasszikus security fail mesék kíváncsi fejlesztőknek.

Érdemes megemlíteni végül, hogy kizárólagos felhasználási engedély esetén a szerző az Szjt. 51. § (1) b) alapján a szerződést felmondhatja (öt évnél hosszabb időtartamú szerződés esetén kizárólag a szerződéskötést követő két éven túl) vagy a kizárólagosságát megszüntetheti díjcsökkentés mellett, így a fenti cselekményekbe csak erre való tekintettel érdemes belekezdeni.

Merre tovább?

Hatályos uniós és hazai jogunk sok kérdésre nem ad még választ az etikus hackereken innen és túl sem, legyen az a szoftverek átdolgozása vagy éppen az eredetiségi mérce kérdése. Szűk, de járható mezsgyék mégis látszódnak az etikus hackerek számára, ám biztosat csak hosszú évek következetes – akár uniós szintű – bírói gyakorlata után tudhatunk majd.

A szerző Dr. Somkutas Péter programtervező matematikus, jogász, jelenleg multinacionális szoftverfejlesztések vezető tervezője. Szakterülete a hazai és a közösségi szerzői jog, különös tekintettel a szoftverfejlesztés és a jog határterületeire. A Szerzői Jogi Szakértői Testület tagja.

4 alkalmas, 12 órás biztonságos szoftverfejlesztés alapjai és Scrum otthonról képzésekkel köszönünk el 2020-tól.

a címlapról