 Witamy na polskim tłumaczeniu wykładu refleksje na temat nowego prawa dotyczącego inżyni wstecznej na żywo z 36. KS Communication Congress w Lipsku. Wszystkie wykłady są tłumaczone na żywo pomiędzy językiem angielskim i niemieckim oraz na jeden dodatkowy język. Więcej informacji oraz instrukcje, jak uzyskać dostęp do tłumaczeń, znajdziecie na 33lingo.org. Będziemy wdzięczni za informację zwrotną, prosimy o użycie hashtaga c3t. Dzisiaj tłumaczą Paweł i Dorota. Witam wszystkich, dziękuję za ugoszczenie mi tutaj. Jest trochę troźna, późna jak dla prawnika, ale dla Was to w ewentualnie dopiero początek dnia. Jesteśmy Stefan i Stefan. Będziemy rozmawiać na temat nowego prawa dotyczącego inżyni wstecznej, które pojawiło się ostatnio i ma dosyć duże implikacje. Ważna uwaga, to nie jest porada prawna. Każdy przypadek jest inny i Twój przypadek na pewno będzie inny. Wszystkie szczegóły się liczą, dlatego możemy dać tylko ogólne obraz sytuacji, a nie porady prawną. Na koniec poddamy kilka zasad, w którym je możecie się kierować. Oczywiście inni prawnicy będą to mogli podważać, ale pewnie nie powinniście się za bardzo martwić. Chciałbym na początku przeprosić też naszych tłumaczy, dlatego że terminologia prawna może być bardzo trudna do tłumaczenia, więc mogą po prostu używać wersji angielskiej i niemieckiej. Również witam. Dlaczego tutaj jesteśmy? Odpowiedź mi, to jest moja wina. Oglądałem wykład w zeszłym roku. Byli to badacze z trzech różnych uniwersytetów, którzy badali oprogramowanie, które otwierdziło, że zapewnia absolutne bezpieczeństwo, no nie, oni w tej nie wierzyli. Potem, jak opublikowali swoje badania, mieli duże kłopoty prawne. To stali deklaracje, żeby zaprzestać i żeniechać działań. Gdyby podpisali tę deklarację, to zakazano by im pracy, dlatego że nie mogli posiadać odpowiedniego odwojnych narzędzi do dekompilacji. No ale nie podpisali tej deklaracji i sprawy ta fiła do sądu. W sumie była to ponadroczna sprawa prawna dla nich. Na koniec zgodzili się na ugodę i firma zafłaciła odpowiednie okłady. Badacze powiedzieli, że następnym razem skorzystają z odpowiedniej procedury odpowiedzialnego w raportowaniach. Chcieliśmy zapytać się jaka jest w ogóle sytuacja prawna takich badaczy, którzy pracują w Niemczech albo w Unii Europejskiej. Trochę tła historycznego, jeżeli chodzi o grupę badawczą dla naszą uniwersytecie. Mamy długą historię, jeżeli chodzi o badanie urządzeń takich jak karty chipowe, albo zamki, albo nawet telefony saltelitarne. Ostatnio przyglądamy się przede wszystkim sprzętowi i chipom, używamy inżirnie irystecznej, żeby zrozumieć w jaki sposób działa ten proces. Chcemy też zrozumieć czy możemy w jakiś sposób manipulować sprzętem. Naszczęście nasza grupa badawcza jest interdyscyplinarna i tutaj pojawia się Stefan. Mamy ludzie z innych dyscypli, którzy zajmują się bezpieczeństwem, ale także prawników, którzy również rozumieją kwestii bezpieczeństwa. Dlatego zwróciliśmy się do Stefana i dał nam porady prawne na temat naszego projektu. To będzie na temat inżirnie irystecznej i właśnieściowych chipów, które są zwykle chronione różnymi patentami. Zajmuje się inżirnie irysteczną, chcemy na przykład wydostać netlistę albo jakoś bardzo wysokopoziomowy opis danego chipu. Chcemy wiedzieć, czy ten proces jest legalny, to trudne pytanie, ale spróbuję odpowiedzieć. Zajmuje się własnością intelektualną, więc to niekoniecznie jest dokładnie moja dziedzina, ale zaintergowało mnie to. No i teraz mogę odpowiedzieć, że z całą pewnością to zależy. Popatrzmy na odpowiednie obszary prawa. Niestety nie ma jednego kodeksu, którego możemy popatrzeć, które da nam wszystkie odpowiedzi. Są różne obszary, tak jak własność intelektualna i tajemnicy handlowej określenia konkurencji. Są różne gromadzie tego prawa, na przykład prawo patentowe, prawa autorskie. Sytuacja prawna jest dosyć służona. Mogą być poważne konsekwencje, jeżeli chodzi o te prawa, dlatego że czasem mamy tylko postępowanie cywilne. No i wtedy trzeba zapłacić odpowiedni zwrot kosztów i kwoty w euro mogą być dość wysokie. Może też się zdarzyć, że trzeba płacić karę i może nam grozić również postępowanie karne. Na przykład jeżeli chodzi o prawo związane z półprzewodnikami, dlatego pytanie, czy to jest legalne czy nie, to nie jest łatwe pytanie, tylko to zależy. Popatrzmy na pierwsze prawo, które dotyczy półprzewodników, tak, istnienie takiej prawo. Dlatego, że mamy prawo do wszystkiego, także do półprzewodników. Odpowiada odnolog głównie prawu patentowemu i ochrania struktury trochę wymiarowe złożone z półprzewodników. To jest prawna definicja topografii, która jest transformowana. Dobra lektura do poduszki. No i niestety jest tam właśnie taka definicja topografii. Topografia jest schroniona, ale sama topografia, czyli tylko ta struktura to wymiarowa. To oznacza, że sama informacje, takie jak firmware, nie są chronione tym prawem. Zasada jest prosta. Nie można kopiować tej topografii. Jeśli na przykład zastosujmy inżynierię wsteczną i spróbuję zrozumieć jak coś działa, to to jest właśnie to, co jest zabronione. Ale to jest dokładnie to, co chcemy zrobić. Ale jest taki wyjątek. Ten wyjątku w topograf 6, w sekcjach 6 topografii 2, kopiowanie topografii po to, żeby je zanalizować, nie jest chronione. Oczywiście jeżeli chcesz chronić, oczywiście kraj chce chronić własność intelektualną, ale jednocześnie chcę, żeby były możliwości badania tego. Jest wyjątek dla instytutów takich jak uniwersytety w celu zwiększenia wiedzy na ten temat i zrobienia lepszych produktów. Więc badaczy mają wyjątek w ochronie półprzewodników. Drugie prawo, które może mieć tutaj wpływ, jest takie, że może mieć związek z patentami. Czasami produkt może być związany z wieloma patentami w tym samym czasie. I pomysł jest taki, żeby chronić wynalazek, który jest do własnością intelektualną. I taka zasada jest, że nie można bez pozwolenia używać produktu, który jest chroniony przez patent. Jeżeli mamy pozwolenie od producenta, to możemy go użyć, a jeżeli nie mamy to nie. Ale znów, podobnie jak w prawie na ten temat półprzewodników, to ochrona nie jest absolutna, bo jest możliwość wykorzystania tego do eksperymentów. Tu jest takie, że chcemy chronić badania. Chcemy chronić tych, którzy nie chcą używać tej wiedzy po to, żeby tworzyć konkurencję, nie po to, żeby używać tej wiedzy przeciwko oryginalnej firmie, ale po to, żeby znajdować np. problemy z tymi wynalazkami. Po to jest wyjątek i ten termin działania eksperymentalne badawcze jest różnie interpretowany. Gdy rejestrujemy patent, to trzeba opisać bardzo szczegółowo, jaki ten produkt wygląda. Gdzieś jest jakaś niepewność techniczna, to wtedy jest ciężko unikać z tego patentu. No więc w przypadku prawa patentowego wszystko jest mniej więcej w porządku. Jest inna sytuacja w kwestii prawa handlowego i to jest te prawo, które się zmieniło. Dlatego tu jesteśmy i mówimy. Tajemnica handlowa to jest coś wynikające z prawa handlowego i konkurencyjnego. Jest to coś, co chroni wewnętrzną wiedzę przeciwko użyciu przeciwko tej firmie. Szczególnie w kompeticjonach kompryzują tych rów, a szczególnie w seksie 17.2 to było powiedziale, że jest generalnie prohibitowane używać tych rów. To dlaczego mnie to dotyczy, skoro nie jestem, nie należy do konkuracji. To prawda, ale jednocześnie to prawo zapewnia, że tajemnice handlowe są rzeczywiście chronione w jak najbardziej absolutny sposób. Jeśli chodzi o nowe prawo, to każdy mógłby przyjść i ujawnić taką tajemnicę handlową. W teorii, przynajmniej każdy mógłby naruszyć tę tajemnicę. Ostatnio bardzo dużo osób patrzy na ten obszar prawa. Jest dużo informacji takich jak na przykład firmark, które nie są chronione na przykład przez prawo patentowe albo dotyczące półprzewodników. Więc można tutaj wykorzystać tajemnice handlowe. Jeśli chodzi o prawo patentowe, należy ujawnić wszystkie informacje, ale prawo o tajemnicach pozwala ci nie ujawniać żadnej informacji przy rejestracji danego tajemnicy. W 2016 roku weszło życie nowe prawo. Jest dość szczegółowa. To jest regulacja, więc ma limit czasu po jakim musi być wprowadzone przez wszystkie państwa członkowskie. Ten limit to był czerwie 2018 roku. Niemcy nie grają zgodnie z zasadami i nie przeszeglali tego terminu i zaadaptowało to prawo dopiero w 2019 roku, ale lepiej póżno niż wcale. Dlatego, że w tej chwili mama już uspłynione prawo w Unii Europejskiej. No a na przykład czasem mamy odwrotną sytuację we Francji albo w Wielkiej Brytanii, kiedy różnie rzeczy są w jednych miejscach chronione, a w innych nie, dlatego dobrze jest, że w Niemczech sytuacja jest uregulowana. Na początku było trudno zdefiniwać czym właściwie jest tajemnica handlowa, no i przez dekady to był problem. W tej chwili to jest zdefiniowane informacje, które nie są ogólnie znane dla wszystkich w odpowiednich kręgach, ludzi, którzy zajmują się takimi rzeczami. Podjęto odpowiednie kroki, żeby tajemnica została zachowana i odpowiednia strona ma w tym odpowiedni interes. Tutaj pojawia się już problem, dlatego że jeżeli chodzi o inżynier wsteczną, to czym jest właściwie tajemnica handlowa? Dlatego, że patrzymy na to, czy podjęto rozsądne kroki, ale rozsądny to nie jest dobrze zdefiniowane termin, więc musimy to jakoś wyjaśnić. W starej ustawie nie zostało to również, możemy pewnywać sytuację ze starą ustawą. To jest taka sprawa związana z prasą budów, gdy jeden producent się produkował, drugi chciał zrobić podobną i jeden z nich zrobił inżynierię wsteczną po to, żeby zrobić kopię. Przyszli do sądu, po pierwsze próbowali sprawdzić, co to jest, definiować, co to jest tajemnica handlowa i sprawdzić, czy informacja była odpowiednio skryta. Sąd stwierdził, że to zależy od tego, ile czasu należy włożyć po to, żeby zastosować inżynierię wsteczną, więc w końcu nie wiemy, co to znaczy odpowiednie, czy nie. W przypadku układów komputerowych inżynieria wsteczna jest przeważnie bardzo kosztowna w czasie i w pieniądzach, więc tajemnica handlowa jest po tym względu bezpieczna. Jeżeli chodzi o inżynierię wsteczną i układów wstolonych, to przeważnie jest tak, teraz mamy zakaz taki, że tajemnica handlowa nie może być poznana poprzez nieautoryzowane dostęp do dokumentów opisujących to. A nie przez nic innego, co nie jest definywane jak niemoralne. Brzmi to trochę dziwnie z tej perspektywy, a w przypadku pracy do budów, Sond nie zdecydował, czy to było niemoralne, czy nie. Zdecydował, czy to było niemoralne. I teraz mamy takie pytanie, czy inżynieria wsteczna jest ogólnie niemoralna, czy moralna. Taki dobry aspekt jest taki, że jest kolejna zasada, mówiąca, że inżynieria wsteczna, przynajmniej tajemnica handlowa jest legalna. Poznawanie tajemnic handlowych jest dozwolona poprzez obserwację, badania, rozbrajanie, czy testowanie produktów. Gdy produkt jest dostępny na rynku, wtedy jest dostępny do każdego, każdy może go kupić i można go badać za pomocą inżynierii wstecznej na przykład. To jest trochę inne, gdy niektóre firmy mają możliwość w pierwszych testów jakiegoś produktu, ale gdy w momencie, kiedy produkt dostaje się na szerokich rynek, to wtedy jest poddany sekcji trzeciej tego prawa. Więc w końcu powiedziałbym, że mamy po pierwsze dobrą ideę, czym jest prawo intelektualne, własności intelektualnej i to, że prawo tajemnic handlowej pozwala na inżynierię wsteczną. Jeżeli chodzi o programowanie, może być trochę inaczej, bo mamy jeszcze prawo autorskie, z trochę innymi zasadami czasami. Ogólny pomysł jest taki, że inżynieria wsteczna nie jest ogólnie nielegalna, ale są jeszcze komplikacje, gdy mamy sprzęt i firmware o programowanie. Więc przekłada się to jako programowanie i prawo autorskie. Wtedy, kiedy nie mamy pewności w tym momencie ze strony prawa własności intelektualnej, to musimy traktować inżynierę wsteczną jako legalną. W przyszłych debatach na temat własności intelektualnej możemy się tego spodziewać. Ogólnie myślę, że to wygląda całkiem dobrze. Ostatecznie zasady dla badaczy są całkiem proste, więc nie należy się bać prawników, którzy mogą się pojawić. Niektórzy będą próbować i może nawet im się uda w pewnych przypadkach, ale zwykle myślę, że tak nie powinno się stać. Co prawo nie mówi? Prawo nie mówi, że powinniśmy odpowiedzialnie reportować to, co znajdziemy, ale powinniśmy to robić. Ponieważ inżynieria wsteczna jako działanie to jest jedna rzecz, a to, co zrobimy potem z wiedzą, którą uzyskamy, jest zupełnie inna. Nie jest to zapisane w kodeksach, ale ta różnica jest istotna. Ogólnie jest prawdopodobnie legalny, jeżeli opublikujemy swoje badania w jakimś żurnalnukowym, ale należy by się strażnym. Ostatnio mieliśmy dobre wrażenia po odpowiedzialnym reportowaniu. Kolega znalazł problem sprzętowy w milionach urządzeń, które będą na rynku przynajmniej 10 albo jeszcze 20 lat. Jest to jedna z większych producentów oprogramowania i mają pewne mechanizmy po to, żeby im reportować odpowiednio, odpowiedzialnie. Mój kolega z pracy dostał odpowiedź od nich po tylko dwóch dniach i poprosili go o to, żeby opisać ten problem. Potrzebowali kilku dni, żeby go sprawdzić, a potem z jednej strony powiedzieli klientom, że coś takiego zostało znalezione, że taka dziura została znaleziona i nie upublicznili tego od razu, ale powiedzieli to klientom. Potem synchronizowali publikację tej dziury sprzętowej z badaczami. Nie wiem, jak to jest ze mniejszymi firmami w Niemczech. Może nigdy nie odpowiedzą, ale ogólnie powinni to zrobić, zanim opublikujemy nasze znalaziska. W każdym razie, jeżeli znajdziesz się w sytuacji awryjnej i dostaniesz e-mail, który próbuje cię pozwać, może zawsze zapytać prawnika, co z tym zrobić. Bo po pierwsze, może ktoś próbuje cię nastraszyć. Jeżeli zapytasz prawnika i poprosisz o pierwszą radę, to koszt dla prawnika nie jest jakiś sam strasznie wysoki. Jest takie prawo, że pierwsza konsultacja nie może być droższa niż 190 euro. To jest taka dobra strona. Ostatecznie mamy całkiem dobry prawo po naszej stronie, jeżeli zajmujemy się inzernierówsteczną. Więc jeżeli wygramy sprawę, to druga strona płaci wszystkie koszty sprawy. Oczywiście to nie rozwiązuje wszystkich problemów, bo pewne sprawy nie są zbyt jasne od strony prawnej. Ale jednocześnie coś, co możemy powtórzeć po zeszłym roku. Sędzia powiedział, że sprawa przeciwko naszym współpracownikom była bardzo słaba, więc ostatecznie nie przegraliby tej sprawy. Więc jako podsumowanie wydania na temat bezpieczeństwa, jest raczej dobrze widziane przez prawdawców, szczególnie dotyczy to pozwolenia, pozwolenia na badania szyfrowania. Badanie w tym aspekcie jest generalnie chronione, więc bez względem prawne to nie wygląda jakoś źle, ale oczywiście nie ma żadnej gwarancji, że to jest pewne, ale jako ogólną zasadę po prostu nie należy się martwić. Bardzo dziękuję. Czekamy na pytania. Cześć, jeżeli stworzę narzędzia do inżynierystecznej i chcę je sprzedawać, czy wtedy odpowiadam za to, co się z nimi stania? Jeżeli chodzi o sprzedaż takich narzędzi, tak naprawdę to jest, jeżeli chodzi o sprzedaż takich narzędzi, tak na rynku, nie, ogólnie to nie. To osoba, która zajmuje się badaniami albo inżynierią wsteczną, ta osoba musi zadeklarować, że to, co robią jest do celów badawczych. Więc to oni, kiedy używają twojego narzędzia, jeżeli używają go do innych celów, no to jest już ich sprawa i to oni mogą to robić niezgodnie z prawą. Sam produkt nie jest nielegalny. Jeżeli dostawca zabrania w swoich warunkach inżynierystecznej i dekompilowania, jak mocne są w tym momencie takie zasady? To zawsze w takiej sytuacji, jeżeli prawo czegoś zabrania, no to potrzebne jest indywidualny kontakt, który tego zabrania. Szczególnie w Niemczech powiedziałeś się o dekompilacji. Jeżeli chodzi o opygramowanie, to może być problem, jeżeli rzeczywiście dekompilujesz opygramowanie, dlatego że to nie jest dozwolona inżyniera wsteczna. Powiedziałem wcześniej, że z opygramowaniem jest trochę inaczej. Jeśli mamy klauzule, która mówi, że nie wolno badać danego sprzętu i robić inżynierystecznej, to prawdopodobnie taka klauzula nie utrzyma się w sądzie. Sąd może w tym momencie zdecydować o zgodności z prawem w takiej umowę. W tym momencie sąd może zdecydować, że dana klauzula jest niezgodna z ogólnym prawem. Jeżeli prawo dość jasno mówi, że taka inżyniera wsteczna jest dozwolona, to jest dozwolona. No i w tym momencie taka umowa z dostawcą nie utrzymałoby się w sądzie, ale mogą być od tego wyjątki i szczególnie, że chodzi o dekompilację. Mówiliście przede wszystkim o sprzęcie. Potem, jak zbadamy sprzęt, to zwykle próbujemy wydostać jakieś dane z chipu i to jest sekwencja bitów i te bity zwykle kodują jakieś program komputerowe i wreszcie inżyniery wstecznej dotyczy oprogramowania. Nie powiedzieliście o tym, jak sprawy wygląda z programami komputerowe? O ile wiem, to prawo pozwala robić coś z oprogramowaniem, ale jest bardzo surowe, jeżeli chodzi o publikację. Czy w momencie, kiedy zaczynacie analizować bity i oprogramowania? Bardzo dobre pytania. Mieliśmy na ten temat dyskusje wcześniej. Jeśli dostanie jeszcze oprogramowanie, to w tym momencie bierze pod uwagę prawa autorskie. I tutaj jest zasada, postawa zasada, że inżynieria wsteczna jest dozwolona, ale nie wolno dekompilować. I inaczej mówiąc, jeżeli produkujesz kod źródłowy, to będzie dekompilacja i dekompilacja jest dozwolona tylko, jeżeli chcemy poprawić kompatybilność z innymi systemami. Jeżeli chcesz zrobić coś innego, to jest to problematyczne i prawdopodobnie nie dozwolona. Inna sytuacja to może być testowanie typu black box, przy którym nie dekompiliujemy kodu, ale używamy go do odpowiedniej rzeczy, np. testowania typu black box. W tym momencie to już nie będzie dekompilacja i nie podlega tej zasadzie. W tym przypadku inżynieria wsteczna jest legalna, także w ogóle nie zależy to od warunków, jakichś czegoś używamy. W odpowiedzi na pierwsze czytanie wiedzieli, że jeżeli mamy narzędzie, które zostały i użyte do jakiegoś złego celu, to wtedy producent nie odpowiada za to, a co jeżeli producent powie, że nie ma tego, a co jeżeli nie ma tego, a co jeżeli nie ma tego, a co jeżeli producent powie, że to narzędzie może być wykorzystane do inżynierii wstecznej, nigdy nie próbowałem, ale można tak zrobić. Zawsze jest tak, że ten, kto robi tę inżynierię wsteczną, nie, chodzi o tego, który produkuje narzędzia. Jeżeli to jest całkowicie legalne narzędzie i inne osoby go używano, to wszystko jest w porządku. Nawet jeżeli ktoś powie, że można w ten sposób złamać prawo, nie powinieneś tak robić. Nigdy nie powiedziałbym tego głośno oczywiście. Najlepiej nie wdawać się nawet do dyskusji. Najlepiej uniechać w ogóle tematu. Najlepiej powiedzieć, że robimy to dla celów badawczych, żeby być bezpiecznym. Ostatnie pytanie. Chciałbym zadać dwa pytania. Jako badać wolno mi badać i przebudowywać produkty, czy coś się zmienia, jeżeli publikuje dokumentację. Na przykład zbadałem jakiś kawałek sprzętu i to podpada prawo patentowe, ale teraz publikuje to, co zrobiłem, pod otwartą licencją. Tutaj też mamy dyskusję. To jest legalne, jeżeli ta informacja podlega odpowiednio prawie własności intelektualnej. Nie jest jeszcze jasne. Ale prawdopodobnie jest to też własności intelektualna. Prawdopodobnie można również dokonać publikacji w odpowiedniej publikacji. Czy mogę na przykład opublikować na bitkawie i umieścić link w moim artykule? Prawdopodobnie ogólnie tak. Czy będę traktowany jako badać, jeżeli po prostu robię moje badania całkiem w san i po prostu mówię, że robię je dla dobra nauki? W różnych obszarach prawa definicji są bardzo różne. Sytuacja jest jasna oczywiście, jeżeli pracujesz z jakimś instytutem, jeżeli robisz to prywatnie, to też są odpowiednie wyjątki dotyczące użytku własnego użytku, ale wtedy nie możesz niczego opublikować. Jeśli jesteś badaczem, musisz zakomunikować, jakie dokładnie masz oczekiwania, jeżeli chodzi o to, czego się dowiesz, nie możesz po prostu powiedzieć, że prowadzisz jakicholwiek badania, ale musisz powiedzieć, co właściwie chcesz osiągnąć swoimi badaniami. Dziękujemy za uwagę. To było polskie tłumaczenie wykładu. Rzepleks i na temat nowego prawa dotyczącego inżynierii wstecznej na żywo z 36. kiosk.