Спецпроекты

Безопасность Цифровизация Инфраструктура Бизнес-приложения

Джеймс Фентон: Программные средства не могут обеспечить высокую защиту ПО от взлома

О развитии технологий аппаратной защиты программного обеспечения в интервью CNews рассказывают Ирина Момчилович, коммерческий директор Rainbow Technologies и Джеймс Фентон, менеджер по продажам компании SafeNet в регионе EMEA.

CNews: По мнению специалистов, в России наметились сдвиги в борьбе с пиратством программных продуктов. Как вы оцениваете уровень пиратства ПО в мире и в России?

Джеймс Фентон: Пиратство и нарушение авторских прав представляют собой глобальную проблему широкомасштабного преступления против компаний-разработчиков программного обеспечения, лишающего их законных доходов. Эта проблема ощущается даже в странах со сравнительно низким уровнем подобного воровства. Пиратство затрагивает не только производителей ПО – пользователи вынуждены платить завышенную цену, в которую заложена частичная компенсация потерь от нелегального распространения.

В соответствии с отчетами Business Software Alliance, 36% установленного на компьютерах во всем мире ПО, является нелицензионным, а убытки от пиратства за 2003 год составили $29 млрд. Ситуация с выпускаемыми в России программными продуктами выглядит иначе. По нашим данным, в России процентное соотношение пиратского и лицензионного ПО составляет 90 к 10, то есть только 10% программных разработок надёжно защищены и не взломаны. Остальные программные продукты либо не защищаются вовсе, либо используют устаревшие технологии, не обеспечивающие должный уровень защиты. Такое положение дел говорит о необходимости изучения компаниями-разработчиками вопроса выбора высоконадёжных средств защиты своих программных продуктов.

CNews: Известно, что для защиты ПО от нелицензионного копирования используются как аппаратные, так и программные средства. В каких случаях, на Ваш взгляд, следует отдавать предпочтение программным, а в каких – аппаратным средствам?

Джеймс Фентон: Начнём с того, что программные и аппаратные средства защиты обеспечивают различные уровни безопасности программных продуктов. Выбор того или иного средства – комплексная задача поиска оптимального варианта, включающая множество факторов – от необходимого уровня защиты, до ценовых характеристик решения. Программные средства, как правило, не могут обеспечить высокую степень защиты от пиратского взлома, так как операционная среда, в которой работает защищаемое программное обеспечение, общедоступна, легко моделируема и предоставляет достаточные возможности для осуществления перехватов и подмен.

По этой причине разработчики ПО, заботящиеся о безопасности своих программ, и особенно в случае их высокой стоимости, для обеспечения необходимого уровня защиты обычно используют аппаратные средства – электронные ключи. Эти устройства обеспечивают мощную аппаратно-программную защиту и требуют минимального вмешательства в защищаемые программные продукты. Кроме того, аппаратные ключи предоставляют защищенное пространство, в котором информация или доступ к ней могут быть закодированы и сохранены внутри ключа, обеспечивая, тем самым, дополнительный уровень безопасности.

CNews: На что следует в первую очередь обращать внимание при выборе аппаратных ключей?

Джеймс Фентон: Практика показывает, что для адекватного выбора аппаратных средств защиты ПО разработчику потребуется ответить на следующие три вопроса. Первый - обеспечивает ли данное решение необходимый уровень защиты программного продукта от нелицензионного использования? Второй - соответствует ли рассматриваемое решение развитию собственной бизнес-модели? И третий - каков объём работ по внедрению, какова возможная задержка выпуска ПО на рынок и, как следствие, какова его общая стоимость?

Чтобы оставаться конкурентноспособными, разработчики ПО в соответствии с потребностями рынка должны предлагать, внедрять и поддерживать разнообразные модели лицензирования, то есть быть гибкими по отношению к запросам пользователей. Электронные ключи Sentinel UltraPro компании SafeNet поддерживают современные модели лицензирования, отвечающие как текущим, так и будущим потребностям клиентов. Дополнительную гибкость решению обеспечивает возможность расширения функциональных возможностей, включая поддержку новых моделей лицензирования и управление обновлениями без изменения схемы защиты при помощи электронных ключей. Кроме того, в наших электронных ключах, которые были выпущены осенью 2004 года, внедрена новая технология, которая предлагает разработчику набор наиболее популярных шаблонов моделей лицензирования.

CNews: Кто владелец этой технологии?

Джеймс Фентон: Наша компания – SafeNet. Эта запатентованная технология называется Business Layer API. Очевидно, что возможность выбора шаблона необходимой модели лицензирования существенно сокращает время программирования, необходимого для защиты приложения. Это, в свою очередь, сокращает время выхода продукта на рынок, и, соответственно, приближает первые легальные продажи. Использование готовых, поддерживаемых аппаратно, шаблонов моделей лицензирования ПО гарантирует высокий уровень защиты.

CNews: Предусмотрена ли возможность самостоятельного проектирования моделей защиты ПО, без использования предоставляемых шаблонов?

Джеймс Фентон: Конечно.

CNews: Некоторые оппоненты аппаратной защиты ПО говорят о задержках в сроках выпуска ПО на рынок. Как вы можете прокомментировать этот тезис?

Джеймс Фентон: В силу ряда причин модель защиты приложения часто выбирается и внедряется в конце процесса разработки, когда проблема времени вывода продукта на рынок достигает своего апогея. При этом разработчикам требуется решение, которое можно быстро внедрить в новый программный продукт без потери его качества. Наше решение максимально дружественное и удобное. Продуманный набор инструментальных средств значительно сокращает время разработки даже в случае внесения дополнительной функциональности.

CNews: Какие факторы, присущие вашим электронным ключам, обеспечивают реально высокий уровень защиты ПО от нелицензионного использования?

Джеймс Фентон: Новые технологии защиты, используемые в Sentinel UltraPro, являются равными по важности критериями. (Про одну из них мы уже рассказали выше.) Пожалуй, основной фактор – их одновременное использование. Немаловажно, чтобы в электронных ключах была реализована и возможность предотвращения подмены драйвера, и способность противостоять утилитам отладки. Ещё одним значимым фактором является использование современных алгоритмов кодирования данных. В электронных ключах Sentinel UltraPro для этого используется общепризнанный в индустрии симметричный алгоритм AES.

CNews: Но ведь любой программный продукт, даже если он защищён электронными ключами, всё равно подвергается попыткам взлома. Какие решения существуют на рынке и какие инновации предлагают разработчики Rainbow для предотвращения попыток взлома?

Джеймс Фентон: Вы правы. Средства взлома тоже не замерли в своём развитии, что подтверждается количеством пиратских версий программных продуктов. Даже при использовании аппаратных ключей производители ПО могут стать жертвами взлома, так как надёжность системы безопасности определяется самым слабым её звеном. Наиболее распространённые примеры – использование эмулятора (т.е. подмена драйвера), воспроизведение и простой перебор пароля. Для защиты своих продуктов от этих и других методов взлома компаниям-разработчикам следует выбирать решения и ключи, в которых реализованы надёжные механизмы защиты.

Несмотря на то, что надёжный аппаратный ключ является основой хорошего решения по защите программного обеспечения, он может быть скомпрометирован в том случае, если методы обмена данными с ключом незащищены. Механизм обмена данными между приложениями и аппаратными ключами основан на программном обеспечении и может быть подвержен атакам “man-in-the-middle”, результатом которых является замена или эмуляция драйвера. Использование устойчивых алгоритмов кодирования, реализованных на уровне драйвера и использующих электронные цифровые подписи (ЭЦП), представляет собой наиболее высокий уровень защиты от данного типа атак. Цифровая подпись обеспечивает аутентификацию драйвера аппаратным ключом. Если драйвер будет заменен, то аутентификация станет невозможной, и дальнейший обмен данными прекратится, что предотвращает несанкционированное использование приложения.

CNews: Помимо эмуляции/подмены драйвера к методам взлома относятся и атаки класса воспроизведение. Как в ключах обеспечивается защита от них?

Джеймс Фентон: Данный вид атаки основан на отслеживании и копировании данных, которыми обмениваются приложения и аппаратные ключи, и последующем их воспроизведении с целью компрометации устройства и получения несанкционированного доступа к приложению. Для защиты от данного вида атак аппаратный ключ отправляет случайные цифровые последовательности приложению таким образом, чтобы хакер не мог отличить настоящие данные от случайных и, таким образом, использовать эту информацию для взлома. В электронных ключах UltraPro реализована защита и от этого вида атак.

CNews: А если вернуться к самому простому виду взлома – подбору пароля?

Джеймс Фентон: Наиболее простой атакой на систему безопасности, которая не требует высокой квалификации, но требует больших вычислительных мощностей, действительно является метод подбора пароля, который называют ещё прямой перебор пароля. Каждый аппаратный ключ защищен паролем, который разрешает разработчикам ПО доступ и позволяет настраивать параметры ключа. Прямой перебор заключается в попытке получить пароль с помощью систематического перебора всех возможных комбинаций букв, цифр и символов, пока не будет найден правильный пароль. Используя сложные пароли, длина которых составляет не менее 8 символов, включая буквы верхнего и нижнего регистра, цифры и символы, разработчики сделают практически невозможным такой вид взлома. Более того, мы обеспечиваем возможность добавления функции блокировки ключа после заданного количества неверных попыток доступа.

Мы затронули лишь несколько видов известных атак и проблем безопасности, которые необходимо рассматривать производителям ПО при выборе решения. Прочность того или иного метода обеспечения защиты зависит от его устойчивости к атакам. По мере развития технологий средства защиты сталкиваются с новыми проблемами, и для обеспечения целостности защиты требуются инновационные методы, которые будут устойчивы к атакам.

CNews: Одновременное использование большого количества технологий может усложнить работу с ключами. Согласны ли вы, что такая проблема действительно есть?

Джеймс Фентон: Лёгкость использования (“Ease-of-use”) – это хорошая идея и довольно привлекательный девиз, который используют многие компании для продвижения своих решений. Однако настоящая проверка простоты использования наступает на стадии внедрения защиты в ПО. Мы уже говорили ранее, что технология Business Layer API, используемая в ключах UltraPro, обеспечивает удобство и лёгкость внедрения – на программирование защиты затрачивается всего около 10 минут.

Разработчику нужно всего лишь выбрать модель лицензирования, а не проектировать и строить защиту «с нуля». При этом не требуется тратить время на изучение «высоких материй глубокого залегания» – распределения памяти и архитектуры аппаратного устройства. Средства разработки, используемые с ключами UltraPro, обеспечивают внедрение защиты в приложения таким образом, что данные элементы не надо изменять при смене модели лицензирования в будущем.

Линейка электронных ключей UltraPro обеспечивает защиту приложений, разработанных не только на платформе Windows, но и на Macintosh и на Linux. Новый ещё более удобный комплект разработчика, облегчает процесс встраивания защиты в программное обеспечение. Интуитивно понятный интерфейс – облегчает работу с ключом. Ключи UltraPro выпускаются и для USB-порта, и для параллельного порта. Кроме того, сейчас ведутся работы по локализации ПО. В настоящее время уже доступно руководство разработчика на русском языке. В апреле в распоряжении разработчиков будет полный комплект утилит UltraPro с поддержкой русского языка.

CNews: Ирина Васильевна, ваша компания не случайно выбрала новые электронные ключи Sentinel UltraPro для продвижения на территории России. Почему вы остановили выбор именно на этом производителе?

Ирина Момчилович: Только практика позволяет оценить тот или иной продукт
Ирина Момчилович: Только практика позволяет оценить тот или иной продукт

Ирина Момчилович: Более 20 лет ключи Sentinel являются наиболее распространенными антипиратскими решениями – и сегодня защита более 40 млн. установленных приложений доверена именно ключам Sentinel. Мы предлагаем аппаратные ключи для защиты программ от пиратского копирования в России с 1998 года. Изначально торговая марка Sentinel, хорошо известная на нашем рынке, принадлежала компании Rainbow Technologies. После слияния с SafeNet, объединённая компания продолжила развитие технологии Sentinel, равно как и продвижение новых продуктов. SafeNet, предоставляя высококачественные продукты и поддержку, выпускает устройства, которые реально помогают разработчикам защищать свои приложения от растущей угрозы компьютерного пиратства. Продукты Sentinel UltraPro включают в себя последние технологические новшества, в том числе Business Layer API.

Кроме того, одна из значимых для рынка ПО задач, которую решают ключи UltraPro, – то, что компания-разработчик сможет доверить выпуск и обновление ключей своим дистрибьюторам или посредникам, контролируя каждый проданный ключ. Но в конечном итоге наша цель остается прежней: разработка надежного аппаратного ключа, который будет идти на шаг впереди любых попыток взлома.

CNews: Какими вы видите перспективы использования новых ключей в России? Какие темпы роста спроса на ключи вы закладываете в свои планы?

Джеймс Фентон: Мы прогнозируем довольно быстрый рост количества клиентов, использующих ключи UltraPro, и большое количество пользователей других ключей, которые будут переходить на использование UltraPro как наилучшего способа защиты.

Ирина Момчилович: Объективно считается, что только практика позволяет оценить по достоинству тот или иной продукт. Вне зависимости от того, первичный ли это интерес к устройствам такого класса или уже имеются знания и опыт использования подобных решений, мы предлагаем компаниям-разработчикам ПО попробовать ключи Sentinel UltraPro в работе. Комплект разработчика – SDK – поможет легко и удобно создать гибко перенастраиваемое высоконадёжное решение защиты приложений от пиратского распространения.

CNews: Спасибо.

CNews

Короткая ссылка