Xakep #305. Многошаговые SQL-инъекции
Американец Уильям Дженовезе,
арестованный по обвинению в незаконной
продаже исходного кода операционных систем
Windows NT 4.0 и Windows 2000, отказывается признавать
себя виновным. По словам Дженовезе, Microsoft и
правоохранительные органы задержали его
только потому, что не смогли установить
личности тех, кто украл исходный код Windows в
самой компании.
"Они используют меня как пример,
показывают, что доберутся до того, кто
делает нечто подобное. Почему арестовали
меня, а не того, кто украл код и выложил его в
интернет?" - спросил Дженовезе в
телефонном интервью
сайту Security Focus.
Исходные коды Windows NT 4.0 и Windows 2000 общим
объемом 200 мегабайт появились в
файлообменных сетях и на веб-сайтах в
феврале текущего года. Содержимое файлов
указывало на то, что их источником стал
партнер Microsoft - компания Mainsoft, занимающаяся
разработкой UNIX-утилит для сопровождения
Windows. Однако как исходные коды вышли за
пределы офиса Mainsoft, установить не удалось.
В отличие от тысяч других пользователей,
воспользовавшихся появившимся исходным
кодом, Уильям Дженовезе разместил его на
своем сайте illmob.org. "В шутку я разместил
объявление, в котором пообещал за небольшую
плату поделиться с желающими кодом Windows,
который в то время любой желающий качал по
IRC", - пояснил Дженовезе. Через несколько
дней после того, как Дженовезе разместил
свою шутку, ему позвонил человек и
поинтересовался суммой, которую надо
заплатить за получение кода. "Мне было
смешно. Я подумал, что это какой-нибудь
идиот, который не знает, как скачать код",
- рассказал Дженовезе.
Покупатель заплатил Дженовезе 20 долларов
через систему PayPal и американец позволил
скачать незнакомцу код со своего сервера. В
июле этот человек снова обратился к
Дженовезе: "Он написал, что
отформатировал жесткий диск и поэтому
снова хочет скачать у меня код. У меня его
больше не было". Покупатель продолжал
проявлять интерес и выразил готовность
заплатить Дженовезе даже, если тот назовет
ему другой источник кода.
Согласно судебным отчетам, покупатель,
обратившийся к Дженовезе, оказался
следователем из компании, к которой Microsoft
обратилась в рамках расследования пропажи
исходного кода и его распространения по
сети. Как только Дженовезе провел со
следователем первую сделку, информация о
нем была передана в ФБР. В ФБР информацию
восприняли очень серьезно. По запросу
агентов бюро нанятый Microsoft следователь
повторно обратился к Дженовезе.
Обвинения против Дженовезе базируются на
законе об экономическом шпионаже, принятом
в США в 1996 году. Этот закон предусматривает
наказание в виде лишения свободы до 10 лет за
хищение коммерческих секретов ради
собственного обогащения или ради выгоды
третьей стороны. В течение первых пяти лет
после принятия закон можно было применять
только с одобрения Министерства юстиции.
20-долларовый платеж через систему PayPal
позволил правоохранительным органом
применить редко используемый закон об
экономическом шпионаже в отношении Уильяма
Дженовезе. "Главный вопрос - можно ли
считать эту информацию коммерческой тайной
после того, как она оказалась широко
доступной всем, у кого есть выход в интернет.
Вполне возможно, что правительство
предъявляет обвинения, с которыми не
согласятся гражданские суды", - пояснила
ситуацию исполнительный директор центра
"Интернет и общество" при Стэнфордском
университете Дженнифер Грэник.