Ошибки неизбежны, но предположим, что пользователь замечает ошибку, которая вызывает странное поведение в системе. Предположим, что затем пользователь выясняет, как это поведение можно использовать с пользой. Является ли это взломом и наказуемо ли оно законом, в частности Законом о компьютерном мошенничестве и злоупотреблениях?
Это не теоретический аргумент. Джон Кейн, заядлый игрок в покер, играл в покер так много часов, что случайно заметил неясную ошибку. Если он играл на автомате до тех пор, пока не выиграл, у него была возможность удвоить ставку, нажав кнопку и вставив немного денег. На этом этапе, если игрок снова нажимает кнопку «сумма», становится возможным изменить размер выплаты джекпота. Итак, играйте на автомате за 1 доллар до выигрыша, нажимая кнопку удвоения, вводя еще немного денег, и игрок может изменить сумму выплаты, скажем, 10 долларов, а затем немедленно обналичить ее — таким образом, выиграв в десять раз больше, чем исходная выплата.
Итак, есть ошибка, и вы можете ее использовать — но разве это взлом? Подпадает ли это под действие Закона о компьютерном мошенничестве и злоупотреблении (CFAA)?
CFAA содержит пункт, согласно которому превышение разрешенного доступа к машине является преступлением. Именно по этому пункту Аарон Шварц преследовался по совершенно иному стечению обстоятельств и привел к кампании за Закон Аарона, который его отменил.
Покерная ошибка была использована на сотни тысяч долларов до того, как это заметили сотрудники казино. Местный окружной прокурор предъявил обвинения по множеству различных обвинений, но основными из них были мошенничество с использованием электронных средств связи и взлом компьютеров. Обвиняемые наверняка посчитали, что ничего плохого не произошло, и сравнили использование ошибки с подсчетом карт, что не является незаконным, даже если оно запрещено казино. Соответствующее обвинение состоит в том, что машина не была взломана извне, но игрок превысил законный доступ, чтобы получить измененную информацию на компьютере, которую аксессоры не имеют права получать или изменять. Аргументом в пользу защиты является то, что игроки работали в рамках правил, установленных автоматом — ошибка и все такое.
В конце прошлого года федеральный судья обнаружил, что CFAA не применяется, и рекомендовал снять обвинение в хакерских атаках. Дело сейчас находится на рассмотрении Окружного суда США в ожидании окончательного вердикта. Более ранний случай приводился в качестве прецедента, что CFAA не применяется в ситуации неправильного использования компьютера, и судья попросил обе стороны пересмотреть свое решение.
Вы можете получить гораздо более полную версию деталей, о которых сообщает Wired, но основные проблемы довольно ясны. CFAA применялся в случаях неправильного использования компьютера, а не явного манипулятивного взлома. Если ошибка присутствует, то она, скорее всего, будет использована пользователями, которые обнаружат ее, если есть какое-либо вознаграждение.
Более сложный вопрос заключается в том, является ли использование ошибки преступлением?
Если банкомат выходит из строя и выдает в тысячу раз больше, чем вы запрашивали, то хранение этих денег в большинстве стран является преступлением. Если в банкомате есть ошибка, и вы знаете комбинацию клавиш, чтобы автомат выплачивал в тысячу раз больше денег, тогда это тоже должно быть преступлением. Однако игровой автомат — это не банкомат — это автомат, который играет в игру, и если ошибка изменяет правила этой игры, то игрок может заявить, что ее использование является справедливой стратегией в игре. Ошибки иногда появляются?