Информационная безопасность

       

Несмотря на все усилия различных


Несмотря на все усилия различных организаций во главе с BSA в последние годы продолжается рост компьютерного пиратства. В среднем доля пиратского ПО в глобальном масштабе составляет 40%, то есть каждые четыре из десяти копий программы оказываются в каком-то смысле украденными у производителя и лишают его прибыли. По расчетам BSA в 2002 году убытки софтверной отрасли от пиратства составили порядка 13 миллиардов долларов .
Россия находится на пятом месте в списке стран с наивысшими показателями пиратства, и доля пиратского ПО в нашей стране составляет 89% (!) . Для западных компаний это хоть и приносит ощутимые убытки, но не является критичным для их бизнеса. Для российских же компаний такая распространённость пиратства может оказаться подводной скалой, о которую разобьются все инвестиционные планы.
С пиратством можно бороться различными способами. Основным, наверное, всё же должен быть легитимный. То есть взлом и незаконное распространение программного обеспечения должны быть правильно описаны в соответствующих законах, и государство должно осуществлять преследование пиратов и привлекать их к ответственности. Но наше государство пока еле справляется с исполнением своих обязанностей в других областях.
Ещё одним эффективным методом борьбы с пиратством является экономический. Это когда цена продукта настолько низкая, что может сравниться с ценой взломанного продукта, продаваемого пиратами. В большинстве случаев, если цена будет приблизительно одинаковой, покупатель предпочтёт лицензионный продукт пиратскому. Тем не менее, экономическая конкуренция с пиратством дело очень тяжелое и подходит далеко не всем производителям программного обеспечения. Такие производители (а их большинство) обращаются к третьему методу - защите программного обеспечения от взлома и нелегального копирования. Хорошая защита доставляет больше всего хлопот пиратам и, в конечном счёте, приводит софтверные предприятия к требуемой цели (получению прибыли).
На рис. 1 показаны графики получения прибыли от продаж незащищённого и защищённого продуктов.
Как видно из графиков, если продукт плохо защищён, то его достаточно быстро "вскрывают", и на рынке появляется дешёвая пиратская версия, которая не позволяет лицензионной версии завоевать свою долю рынка, и продажи легального продукта быстро падают. Если же продукт хорошо защищён, то у пиратов уходит достаточно много времени на вскрытие защиты и продукт успевает достичь требуемого уровня продаж и достаточно долго удерживаться на рынке.

Рис. 1 - Динамическая зависимость прибыли от степени защищённости продукта
Технологии защиты постоянно эволюционируют. Как показывает практика, для взлома новой защиты требуется от нескольких дней, до нескольких месяцев. Также существуют пока не взломанные защиты, о них речь пойдёт ниже.
Целью данной статьи является ознакомление читателя с различными решениями, предлагаемыми сегодня на рынке защит. Этим я постараюсь внести свой посильный вклад в дело борьбы с компьютерным пиратством.
В начале статьи проводится обзор архитектуры и характеристик современных средств защиты. Далее рассматриваются основные способы взлома программных продуктов и методы противодействия. В завершение проводится анализ рынка защит и приводятся сравнительные характеристики основных на сегодняшний день продуктов в этой области. И самое главное, в конце статьи даются рекомендации по выбору. Причем рекомендации не абстрактные, конкретные, ведь написание данной статьи предварила Научно-исследовательская работа по подбору защиты для одной из российских компаний, которая стремительно выходит на отечественный и международный рынок высокотехнологичного ПО и очень нуждается в защите собственных инвестиций от посягательства пиратов разных мастей.
Итак, заказчик изначально имеет несколько программных продуктов, рассчитанных на разные сегменты рынка. Известно, что систем защит существует множество, и не все из них могут удовлетворять заказчика по соотношению цена\качество.


В таблице 1 приведены все исходные данные по программным продуктам.
Особое внимание хочется отметить на ценовые категории и сегмент рынка, хотя каждую позицию в таблице нужно считать ключевой.


Таблица 1. Характеристика программ для ЭВМ.

Программа для ЭВМ Ценовая категория ($, тыс.) Объем продаж Тип лицензии Сегмент рынка Объект защиты
LSHead 0.5-2 100-1000 Раб. место USA, Индивидуальный EXE, DLL plug-in к 3D-MAX, Maya
LSHead Pro 10-30 10-100 Раб.место, время USA, Корпоративный EXE, DLL plug-in к 3D-MAX, Maya
LSHead SDK 10-30 10-20 % с тиража, время USA, Корпоративный LIB
LSHead WWW 3-10 10-100 Сайт, время USA, Корпоративный ActiveX
PsyTest 0.4-2 100-1000 Раб.место РФ, Корпоративный EXE
Game 1-20 100-1000 Раб.место РФ, частный сектор EXE

Итак, мы имеем 6 программных продуктов, для которых необходимо подобрать защиту.
Кратко опишем каждый из продуктов
Таблица 2. Описание программных продуктов Заказчика

Продукт Краткое описание
LSHead Дополнительный модуль расширения к трехмерным программам, предназначенный для отображения мимики лица персонажей в реальном масштабе времени
LSHead Pro Дополнительный модуль расширения к трехмерным программам, предназначенный для отображения мимики лица персонажей в реальном масштабе времени. Профессиональный вариант.
LSHead SDK Набор библиотек и документов для компаний-разработчиков игрового ПО, которые хотят использовать технологию мимики персонажей в своих играх
LSHead WWW
PsyTest Программа психологического тестирования
Game Условно-игровая программа с элементами квеста и аркады

Прошу обратить особое внимание читателей на стоимость каждого программного продукта. Так как любая система защиты удорожает исходный продукт, то нужно выбрать именно ту защиту, которая не одинаково удорожает стоимость продукта для каждой отдельной категории.
Рассмотрим основные требования, которые можно предъявить к современной системе защиты:

  • Защита должна быть с большим запасом прочности. Учитывать высокий уровень пиратов вообще, и Российских в частности, способная противостоять их натиску долгое время;

  • Известно, что абсолютно надежной защиты не бывает, но выбранная система должна обеспечить компании-разработчику достаточную фору во времени, пока пираты не научатся вскрывать данный продукт.


    По возможности не привязываться к аппаратной конфигурации компьютера, поскольку персональный компьютер не есть вещь в себе, и его отдельные компоненты могут и должны быть заменяемыми по мере старения;
    Данный критерий в процессе работы над отчетом менялся довольно часто, поскольку компании-разработчики защиты смогли сделать так, что привязка к оборудованию не вызывает особых проблем при работе. не следует привязываться к аппаратной конфигурации компьютера (правильно - логичнее привязывать защиту к ключу или компакт-диску). Ключи - вещь хорошая, с их помощью можно реализовывать различные схемы продаж. Но, самое главное,- ключами осмысленно защищать достаточно дорогой софт. И совсем противоположная ситуация с дисками - для них подходят и недорогие программные продукты
    По возможности не использовать для защиты дорогие дополнительные аппаратные приспособления, которые только повышают стоимость защиты, а стало быть, и конечного продукта;
    Защиту от проникновения и копирования можно организовать разными способами. При этом учитывается, что для недорогой программы нельзя использовать дорогую защиту. Во-вторых, при расчете стоимости защиты учитываем стоимость защищаемого программного продукта
    Должна быть основана на оригинальных принципах защиты от взлома. Показателем критерия может служить тот факт, что защита еще не взломана, либо взломана, но всеми возможными способами;
    Это критерий прогрессирования. Защита может быть эффективной, если она находится в состоянии постоянного развития. Если разработчики защиты отслеживают хакерские форумы и делают выводы о дырах собственных систем.
    Не препятствует свободному копированию защищенных данных (должна запрещать только несанкционированный запуск, то есть копируется копировщиком, но не исполняется);
    В принципе можно рассматривать отдельно защиту от копирования и от распространения (или нераспространения). Данный критерий предполагает свободное копирование, но авторизованный запуск.
    Защита должна быть подобрана с учетом традиций данного сегмента рынка ПО.
    Самый интересный критерий, изменивший начальный расклад советов по выбору. Поскольку заказчик хочет выйти на мировой рынок, то используемая защита, должна быть типичной для того сегмента, на который направлена программа. Так, например, мало кто решится ставить защиту, основанную на электронных ключах на игровую программу, поскольку НИКТО из производителей в данном сегменте не пользуется такой защитой.
    Соответственно, защита НЕ ДОЛЖНА вызывать отторжения у конечного пользователя своей экстравагантностью.
    Стоимость защиты для разработчика и покупателя должна соотноситься со стоимостью программы.


Содержание раздела