Добытые адреса и некоторые сопутствующие данные были переданы журналистам, после чего в известность была поставлена сама AT&T. Расставив события в такой последовательности, ребята предопределили свою судьбу. Расследование, начатое ФБР, привело на скамью подсудимых Арнхаймера и его товарища. Товарищ вину признал, Эндрю — нет. 18 марта сего года был вынесен приговор: 41 месяц тюрьмы, штраф в 73 тысячи долларов за возмещение понесённого AT&T ущерба, три года под надзором с контролируемым доступом в Сеть.

Так в чём же виновен weev? Центральный пункт обвинения и он же — главная нестыковка: несанкционированный доступ к чужому компьютеру. Чувствуете конфликт? AT&T не прятала свои данные, она разместила их на открытом сайте. Но раз информация была свободно доступна всем желающим, разве доступ к ней может считаться несанкционированным? Иначе говоря, как можно сажать кого-то в тюрьму за цитирование строчки текста, опубликованной в интернете? Увы, по крайней мере в США можно, и причиной тому — закон «О компьютерном мошенничестве и злоупотреблении» (Computer Fraud and Abuse Act).

Принятый ещё в 1984 году, CFAA стал к настоящему моменту фундаментом, на котором Америка строит законодательство, регулирующее жизнь в киберпространстве. Его многократно расширяли и продляли, и как раз сейчас предложена новая поправка, ужесточающая наказание за умышленное причинение ущерба. Проблема в том, что если для своего времени CFAA был необходим, сегодня он и морально, и технически устарел. Ведь принимали его ещё при Рейгане, в эпоху «Звёздных войн» (была такая стратегическая оборонная инициатива), надеясь предотвратить проникновение взломщиков в компьютерные системы, управляющие ракетным щитом США. Но если в те далёкие времена, например, термин «защищённый компьютер» означал только машины оборонного ведомства, сегодня под него подпадает практически любая персоналка. Та же проблема — с «(не)санкционированным доступом», который чётко не определён. В результате CFAA, по образному выражению специалистов, превратился в дубину, которой пытаются лечить болезни, требующие скальпеля, а может быть, и всего лишь таблетки.

Шварц и Арнхаймер — далеко не единственные, кого «залечили» этой дубиной, но в случае с Эндрю правозащитники усматривают реальную возможность повернуть инертную машину правосудия вспять. После вынесения приговора бесплатно помочь Арнхаймеру вызвались несколько авторитетов по киберправу (в том числе юристы EFF), прошение об апелляции уже подано. Как минимум адвокаты надеются скостить подзащитному срок: в Штатах принято начислять года в соответствии с причинённым ущербом, а AT&T фактического ущерба не понесла, а только лишь потратилась на информирование клиентов о выявленной бреши в безопасности, причём способ она выбирала сама. Как максимум же дело weev станет прецедентом, который поможет переписать устаревший закон. Для этого адвокатам «всего лишь» нужно доказать, что доступ Арнхаймера к сайту AT&T не может считаться «несанкционированным».

Что ж, пожелаем Эндрю и его адвокатам удачи. Но в этой истории есть ещё один любопытный и даже практически полезный момент. Он связан с оригинальной концепцией, сторонником которой Эндрю Арнхаймер был и, насколько мне известно, до сих пор остаётся. Её можно назвать философией антибезопасности (в оригинале: antisec). В основе её — простая, основанная на наблюдениях хакеров идея: если ты не желаешь причинить миру зла, никогда и ни с кем не делись полученной тобою уникальной информацией.

Представьте ситуацию: хакер находит в популярной программе новую уязвимость. Поделится ею с разработчиком программы — и будет считаться «белым» (добрый!). Продаст её на чёрном рынке — станет «чёрным» (злой!). Реальность, однако, такова, что вне зависимости от выбранного пути вскоре появляются эффективные инструменты эксплуатации обнаруженной «дыры», а конечный пользователь парадоксальным образом начинает чувствовать себя ещё менее защищённым. Почему? Со вторым случаем всё понятно, а вот в первом — возможно, разработчик программы оказался не слишком расторопным, возможно, вообще решил не патчить уязвимость (чтоб не сломать каких-то функций или не тратиться на апдейт). К тому же большинство пользователей не торопятся ставить заплатку, провоцируя эпидемии, а антивирусные вендоры и правительства умело используют это, нагнетая страху для достижения своих целей (новые законы, новые продажи). Короче говоря, в игру вступают обычные лень и эгоизм (корпоративный, государственный), а значит, как ни крути, раскрытие информации приведёт к новым проблемам.