Autóipar vs. szerzői jog – I. rész

Néhány hónappal ezelőtt az amerikai közlekedési hatóság (NHTSA) sofőrnek ismerte el az Alphabet/Google autójának önvezető rendszerét[1]. A szoftver ezzel egy csapásra az autó megkerülhetetlen részévé vált, gondolhatnánk – tévesen. A programalkotások ugyanis évek óta lényeges szereplői a járműiparnak, még ha a jogalkotás nemhogy a kodifikált válasz megadásánál, de a probléma felismerésénél sem tart. – Somkutas Péter írása.

Sajnálatos tény ugyanis: nincsen szoftver hiba nélkül[2]. Ha pedig szoftverhiba, akkor sebezhetőség. Ha sebezhetőség, akkor hibajavítás. Ha nincs hibajavítás, akkor behatolás – és behatolás esetén akár a számtógép feletti teljes hatalomátvétel. Mindez okostelefon vagy személyi számítógép esetén is bosszantó, gépjárművekkel kapcsolatban azonban ijesztő: száz vagy (száz)ezer, ugyanazon a sebezhetőségen keresztül feltört és távolról irányított gépjármű felmérhetetlen biztonsági kockázatot jelent. Mindez túlzásnak tűnhet – és maradjon ez örökre is így -, a következőkben azonban arról kívánom meggyőzni a kedves olvasót, hogy túlzásról szó sincs és a megoldás egyik akadálya jelenleg éppen a szerzői jog.

Szabad felhasználás, szabad bütykölés

A boldog (vagy az autószerelőnél éppen kevésbé boldog) autótulajdonos nem is gondolná, hogy a tulajdonában levő gépjármű nem kizárólagosan az övé, bizonyos részein – kiváltképpen a szoftveren – nincsen korlátlan, mindenre kiterjedő jogosultsága, nem „tulajdonosa” annak. Az autószerelőnek pedig szintén ritkán juthat eszébe, hogy egy-egy szoftveres hibakeresés, elemzés, javítás esetén a nagyvállalati rendszereket fürkésző és foltozó etikus hackerekkel kerül egy gyékényre[3].

Old MacDonald had a traktor. Vagy mégsem?

Old MacDonald had a traktor. Vagy nem.

Az Egyesült Államokban a General Motors és a John Deere ügyfelei már tudják mindezt. A két cég évek óta konzekvensen áll ki a gépjárműveiken futó szoftverek érinthetetlensége mellett[4], magukra haragítva a járműiket bütykölni és javítani szerető amerikaiakat, hiszen a felhasználók – magyarul a gépjárműtulajdonsok – sem diagnosztikai, sem finomhangolási vagy módosítási céllal nem férhettek hozzá a szoftverekhez. Így járt Dave Alford amerikai farmer is, amikor aratás idején kellett egy teljes napot földjei mellett vesztegelnie[5] olyan hiba miatt, amely amúgy szoftveresen is elhárítható lett volna. A jelenlegi szabályozás mellett azonban traktorára támaszkodva várhatta a legközelebbi John Deere szerelőt, akinek nem csak tudása, de jogosultsága is volt a hiba elhárítására.

A korlátozások megtartása érdekében szerzői jogi szempontból is érzelmes húrokat pengetett az emissziós és közlekedésbiztonsági érveken túl a John Deere akkor, amikor a szoftver hatásos műszaki intézkedésének megkerülése és a szoftvermódosítás ellen úgy érvelt, hogy így a gazdák akár illegálisan másolt zenéket is lejátszhatnának traktoraikon. Azonban még a Delerium – Underwater Love c. remixét aratás közben hallgató McDonald rémképe is kevés volt ahhoz, hogy a Copyright Office ne döntsön úgy, megadja a DMCA 1201. alóli mentességet[6], vagyis a gépjárműtulajdonosok nem követnek el törvénysértést, ha megkerülik az szoftverek hatásos műszaki intézkedését és célhoz kötötten elemzik, finomhangolják, módosítják azt. Az eljárás lényege, hogy miközben az USA törvényellenesnek minősíti a hatásos műszaki intézkedések megkerülését, mégis mentességet ad három éves időtartamokra olyan eszközök és élethelyzetek számára, amelyekben indokoltnak látja a hatásos műszaki intézkedés kiiktatását. A DMCA e rendkívül gyakorlatias megközelítése természetesen nem sokat számít az Európai Unióban, ahol a hatásos műszaki intézkedés törvényi védelme szintén fennáll.

Az Unióban tovább súlyosbítja a helyzetet, hogy mind a közösségi, mind a hazai szerzői jogi szabályozás szűk körben ismeri el csupán – és általában véve helyesen – a szoftverek megismerésének, visszafejtésének, módosíthatóságának lehetőségét (például hibajavítási de nem(!) hibakeresési céllal). Ez megnehezíti biztonsági rések és egyéb programhibák feltárását a „jófiúk” számára, miközben a rosszhiszemű felhasználási cselekmények elkövetőit a legkisebb mértékben sem akadályozza. A szoftver felhasználója – jelen esetben az autó tulajdonosa – ezért el van tiltva a védelem alapvető eszközeitől (például a szervízben egy harmadik féltől származó hibakereső szoftver futtatásától), egyetlen reménye a kellően gyakran érkező javítócsomagok telepítése lehet. A korábbi gyakorlat szerint ezek jelenleg se nem gyakran, se nem sűrűn, hanem többnyire sosem érkeznek meg.

Lopás nyom nélkül

Az ilyen sebezhetőségek vonzó célponttá teszik az autókat. Úgy, ahogyan lehetséges feltörhető weboldalak, számítógépek után automatikusan az interneten kutatni, miért ne lenne lehetséges a parkolóban vagy az interneten keresni a sebezhető gépjárműveket? Aki ezt túlzásnak tartja, annak minden bizonnyal nem VW embléma lóg a kulcstartóján. A német konszern ugyanis autók tízmillióit érintő problémával néz szembe, nevezetesen a távirányító algoritmusa és a mesterkulcsok közismertek[7], így néhány valódi ajtónyitó és ajtózáró jel elfogása után a tolvajoknak lehetőségük van érvényes ajtónyitó utasításokat klónozni és nyom nélkül kinyitni a gépjárművet. Aláhúznám, mindez nem egy összetett szoftverrendszer, csupán egy slusszkulcsnyi elektronika.

A biztonsági rés évek óta ismert, ezért okkal gondolhatnánk, hogy ebből okulva az autógyártók komoly biztonsági intézkedéseket vezettek be az összetettebb, akár autók vezérlésére is képes szoftvereikben, vagy legalább architekturális elvé vált a kritikus rendszerek szeparációja? Hát, nem.

És akkor valaki padlóig nyomta a pedálokat

És akkor valaki padlóig nyomta a pedálokat

Jeep sikeres hackertámadás után. Ki vezet a végén?

Andy Greenberg éppen Jeep Cherokeeját vezette St. Louis felé, amikor az autó irányítását hackerek vették át. A támadók kedvük szerint kapcsolták ki-be az elektromos rendszereket, használták a fékeket és az autó végül az árokban kötött ki. Andy szerencsére a Wired informatikai magazin újságírója volt[8], a két hacker pedig előre szólt a támadásról – a sebezhetőség ettől függetlenül létezett, működött és nem volt lehetőség a védekezésre.

Ahogyan mindenki biztonságos szoftvereket vár el a szoftvergyártó cégektől, hatványozottan igaz ez az elvárás személyautóinkra. Az elvárás azonban sokszor elvárás csupán, mert sokáig sem az autógyárak, sem a jogszabályi környezet látszólag nem tett érdemi lépéseket – a bug bountyk[9] legfeljebb tüneti kezelésnek jók. Jogszabályi oldalról a probléma ráadásul kettős:

  • egyrészt a szerzői (és bizonyos esetekben egyéb) jog akadályozza a hibák, sebezhetőségek feltárását, javítását, szakmai nyilvánossághoz való eljutását
  • másrészt az amúgy példamutató közlekedésbiztonsági szabályozás szinte tudomást sem vett az autókban felhasznált szoftverekről, nem támasztott minőségi és szakmai minimumokat, standardokat

Ez az egyrészt tiltó-szankcionáló, másrészt negligens normarendszer ad zöld utat olyan bűncselekményeknek, amelyek már-már a sci-fi határát súrolják – de erről már a következő részben.

„A szerző Dr. Somkutas Péter programtervező matematikus, jogász. Szakterülete a hazai és a közösségi szerzői jog, különös tekintettel a szoftverfejlesztés és a jog határterületeire. A Szerzői Jogi Szakértő Testület tagja.”


Hivatkozások:

[1] http://isearch.nhtsa.gov/files/Google%20–%20compiled%20response%20to%2012%20Nov%20%2015%20interp%20request%20–%204%20Feb%2016%20final.htm#_ftnref6

[2] http://programmers.stackexchange.com/questions/195571/is-it-possible-to-reach-absolute-zero-bug-state-for-large-scale-software

[3] https://www.sztnh.gov.hu/sites/default/files/files/kiadv/szkv/szemle-2016-04/03-horvathkatalin.pdf

[4] http://www.wired.com/2015/04/dmca-ownership-john-deere/

[5] http://www.npr.org/sections/alltechconsidered/2015/08/17/432601480/diy-tractor-repair-runs-afoul-of-copyright-law

[6] http://www.ipwatchdog.com/2015/11/09/copyright-office-dmca-exemptions-for-automotive-software-jailbreaking-smart-tvs/id=62834/

[7] http://computerworld.hu/computerworld/sokmillio-volkswagen-feltorheto-egy-egyszeru-trukkel.html

[8] https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/

[9] http://www.hwsw.hu/hirek/56193/tesla-auto-biztonsag-sebezhetoseg.html#kommentek

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük