¿Están las compañías de antivirus a menudo cometiendo piratería de software?

Primero, me cuestionaría seriamente si un autor de malware traería una demanda contra un proveedor de antivirus, ya que requeriría la admisión de un delito grave. Pero supongamos que el autor del malware ya ha sido cobrado por la creación y el uso del malware y, por lo tanto, no tiene nada que perder al admitir completamente la autoría.

El software de copia para el análisis de malware parece un caso de uso justo de un libro de texto (bajo la ley de EE. UU.). Por supuesto, el uso justo de los EE. UU. Es una defensa que solo se puede usar una vez que ya está involucrado en una demanda (y sus parámetros son notoriamente vagos), pero nos entregamos a una pequeña especulación de sillón sobre cómo podría ser tal demanda. resolver. Para tomar los criterios de uso justo uno por uno:

• Propósito y carácter de uso: el uso de la copia es legalmente < em> transformative , lo que significa que crea algo nuevo, en lugar de simplemente intentar recrear el original. Aquí, los analistas están produciendo una evaluación de malware basada en el software original. No están creando una copia solo para tener una copia adicional; Utilizan la copia para producir algo novedoso. Este factor favorece mucho a los analistas.

• Naturaleza del trabajo copiado : la pieza de malware es un trabajo publicado y creativo que goza legítimamente de la protección de los derechos de autor. Este factor favorece a los autores de malware.

• Cantidad y sustancialidad: los analistas utilizan todo el software en sus análisis. Este factor favorece a los autores de malware.

• Efecto sobre el valor del trabajo: Prácticamente ninguno, lo que favorece a los analistas. De hecho, el trabajo tiene poco mercado legítimo, ya que su uso principal es ilegal. (Si bien puede ser el caso de que los proveedores de AV reduzcan el valor del malware al crear defensas contra él, esto no es lo mismo que el daño causado por la creación de un trabajo sustituto . no . Wikipedia lo resume adecuadamente: "Los tribunales reconocen que ciertos tipos de daños en el mercado no se oponen al uso justo, como cuando una parodia o revisión negativa perjudica el mercado del trabajo original". )

Si bien los factores # 2 y # 3 están a favor de los autores de malware, el uso transformativo del malware otorga un peso legal tremendo al argumento de uso justo a favor de los analistas. Solo un juez puede tomar una decisión final sobre el uso justo, pero sospecho que un juez razonable decidirá a favor de copiar el malware con fines analíticos.

N.B .: Esta respuesta considera la legalidad de la copia desde una perspectiva limitada y de solo derechos de autor. Hay otros estatutos más allá del copyright (por ejemplo, ACTA, DMCA) que pueden violarse al copiar malware o software legítimo sin el permiso del titular del copyright. Incluso si un uso está protegido por un uso justo, la defensa de uso justo protege solo contra la infracción de los derechos de autor, no otras violaciones que también pueden ocurrir durante (o que sean necesarias para) el acto de un uso justo.

(Por ejemplo, es posible que desee incluir algunos segundos de una película en un informe de video para su clase de cinematografía, pero su copia de la película solo se reproduce en un reproductor propietario que no permita la exportación de fragmentos de la película. Si descarga una herramienta para eludir la restricción de "no exportar fragmentos de código" de su reproductor, luego ha violado el DMCA, aunque su objetivo final probablemente fue el uso legítimo.)

En resumen : la infracción de los derechos de autor de los analistas es probablemente legalmente defendible bajo un uso justo, pero los analistas pueden estar aún violando otros estatutos que están separados de los derechos de autor tradicionales.

Porque no hay ilegalidad en el análisis de software pirateado. Es ilegal usarlo e ilegal difundirlo. Incluso podría ser ilegal o estar en contra del EULA para editar software (al descifrarlo, a menudo se editan algunos archivos o archivos binarios).

También tu segundo comentario es un poco raro. El software normalmente viene con una licencia que necesita aceptar explícita o implícitamente cuando usa el software. Debe estar disponible para cualquier persona que lo solicite. Eso es bastante problemático con Stuxnet, ya que nadie dirá "Hey, escribí esa pieza de software que pudo destruir tu planta nuclear y refinerías". No existe tal cosa como un autor oficial de malware corporativo / estatal, porque nadie en su sano juicio dirá abiertamente "Construyo malware operativo para ganarme la vida". El único lugar que puede publicitarlo abiertamente, es el de académicos o investigadores.

Si bien los autores de malware en principio obtendrían los mismos derechos, no se puede decir que es ilegal analizarlo. Los autores de software no tienen los mismos derechos que, por ejemplo, los artistas (escritores, pintores, ...).

Pero solo tenerlo y analizarlo en principio no es ilegal por lo que yo sé.

EDIT:

También se trata de un asunto legal, por lo que el factor más importante será la intención de la persona que obtiene el software.

No debería ser un problema.

Sí, si compra Photoshop y carga partes de él en un servidor de la empresa, eso es una infracción de derechos de autor. Pero las compañías de AV no necesitan copiar la totalidad de Photoshop y conservarla. Los desarrolladores pueden instalar una instancia legítima de Photoshop en una sola máquina. Una vez que lo han analizado, pueden almacenar el análisis en su lugar. P.ej. hashes de todos los archivos, que podrían usarse para identificar archivos de Photoshop y buscar modificaciones potencialmente maliciosas. Habrá áreas grises, y el EULA de Photoshop afirmará que cualquier análisis profundo es ilegal, pero no son lo suficientemente negras como para ser realmente preocupantes.

Con malware: sí, podemos asumir que cualquier trabajo creativo tiene derechos de autor, y sin una licencia no tiene derecho a copiarlo. IANAL. Sin embargo, para obtener daños, el autor del malware tendría que reclamar su autoría ante el tribunal. Para el software negro, esto generalmente sería indeseable. Y hay conceptos legales como "manos limpias": si el software se instaló ilegalmente, entonces sospecho que oponerse a las actividades de AV se reirán de la corte.

Creo que puedo crear algunas áreas grises más oscuras. Considere una herramienta de prueba de penetración costosa que es "robada" e incorporada en una "herramienta de ataque malicioso". Las empresas de seguridad desean analizar la herramienta de ataque, pero es posible que tengan que infringir los derechos de autor de la herramienta de prueba de la pluma para usarla ... pero creo que es un problema mucho más limitado que su preocupación.

Clasifica como uso justo para fines de investigación de acuerdo con la DMCA. Sin embargo, debe tener en cuenta que, en la práctica, esta ley solo se aplica realmente a grandes empresas, las investigaciones independientes o incluso las vinculadas a grandes universidades corren el riesgo de ser demandadas por hacer exactamente lo mismo.