|
|
  |
Главная страница / Архитектура отрасли ВРЕМЯ ЭЛЕКТРОННЫХ КЛЮЧЕЙПрава на интеллектуальную собственность и коммерческую тайну охраняются государством, однако на практике эта охрана реализуется обычно путем наказания тех, кто эти права нарушил и был пойман с поличным. Пострадавшему редко удается компенсировать понесенные потери, поэтому лучше просто запирать свою собственность на надежный замок, избавляя себя от дополнительных стрессов. Когда дело касается компьютерной информации, в роли такого замка могут выступать аппаратно-программные средства, которые позволяют защитить программное обеспечение от несанкционированного копирования и предотвратить несанкционированный доступ к программам и данным. Для этой цели обычно используются электронные ключи, которым и посвящена эта статья. Исторически сложилось так, что раньше всего производители начали думать о защите программного обеспечения от пиратов. Простые методы, требующие от пользователя программы ввести при инсталляции ее серийный номер, напечатать в ответ на запрос заданное слово из прилагаемой к легальному продукту инструкции или вставить в дисковод специальную ключевую дискету, используются еще и сегодня, однако для высококвалифицированных специалистов взлом такой защиты не составляет большого труда. Поэтому появились программы, снабженные аппаратными ключами – небольшими устройствами, подключавшимися обычно к параллельному порту компьютера, в отсутствие которых программа становилась неработоспособной. Скопировать такой ключ злоумышленнику сложно, а без него копировать программу не имело смысла. Первые модели ключей вызвали немало нареканий в свой адрес со стороны конечных пользователей. Они не только доставляли владельцу дополнительные хлопоты при работе с программой – применение этих ключей нередко вызывало еще и проблемы при работе с принтером: его приходилось подключать к вставленному в параллельный порт ключу, который далеко не всегда оказывался полностью "прозрачным" для проходящего через него потока информации, как декларировали разработчики. Однако постепенно ключи становились все более совершенными, и неудобство современных вариантов LPT-ключей состоит разве что в том, что такой ключ не позволяет придвинуть системный блок компьютера близко к стене. Если же защищены несколько программ на одном компьютере, то на задней панели блока повисает целая гирлянда ключей. Тем не менее LPT-ключи получили широкое распространение. Алгоритмы защиты программного обеспечения с использованием таких ключей постепенно усложнялись, их функциональные возможности становились все шире. Сегодня они не только предотвращают несанкционированное копирование программ, но и позволяют производить идентификацию пользователей и управлять их доступом к ресурсам компьютеров или компьютерных сетей. В качестве примера таких ключей с возможностью идентификации можно назвать eToken компании Aladdin и iKey компании Rainbow. Оснащение компьютеров считывателями смарткарт, изобретение так называемых "Далласских таблеток памяти" (Dallas Touch Memory) тут же приводили к саций электронных ключей, в которых использовались новые носители информации. На появление стандарта Universal Serial Bus и оснащение компьютеров USB-портами ведущие разработчики отреагировали созданием USB-версий электронных ключей, которые сохраняют все лучшие качества своих предшественников и в то же время лишены их недостатков. Ключ в форме брелка, который легко вставляется в USB-порт системного блока и вынимается из него, стал восприниматься как аналог ключа от квартиры или от автомашины и оказался на одной связке с ними. К этому времени в психологии пользователя произошли и другие перемены. Порядочных жуликов не бывает На раннем этапе компьютеризации нашего общества, каких-нибудь 10–15 лет назад, данные, хранившиеся в памяти компьютера, еще не воспринимались как главная ценность для его владельца. Не только частные лица, но и организации охотно покупали у пиратов взломанные (то есть лишенные защиты) компьютерные программы и беспокоились лишь о том, не нарушены ли их функциональные возможности. Однако, чем совершеннее становилась защита программ, тем труднее и дороже было взламывание защиты, и пиратов переставали удовлетворять доходы от тиражирования и продажи таких программ. Вот как говорит об этом Сергей Груздев, генеральный директор компании Aladdin: "Распространенный способ взлома – это создание эмулятора: хакер пишет драйвер, который "вклинивается" в общение между программой и ключом. Когда программа обращается к ключу, эмулятор перехватывает это обращение и посылает нужный ответ из набора, который хранится в базе данных эмулятора. Многие коммерческие фирмы поставили на свои компьютеры бухгалтерские программы, в которых использовались такие эмуляторы. Однако взломщики программ отнюдь не меценаты, им мало получить деньги один раз, продавая такую программу. Практически все эмуляторы, которые попадали к нам в руки и были подвергнуты анализу, содержали в себе "мины замедленного действия". Человек покупает «взломанную бухгалтерию», пользуется несколько месяцев или даже полгода, а потом в самый ответственный момент "мина" срабатывает и компьютер выдает сообщение: "Все, ребята, халява кончилась. Платите! Деньги прошу перевести на такой-то счет, иначе ваши данные будут уничтожены". Логика хакера такова: если это происходит за два-три дня до сдачи баланса, а баланс сведен, то бедняга бухгалтер предпочтет заплатить. Правда, в большинстве случаев пострадавшие не спешили платить хакеру, а обращались к разработчикам программы и покупали легальную версию, дабы больше не зависеть от чьей-то злой воли. И это имело большое воспитательное значение для многих, кто на эти грабли наступил. Такое развитие событий не самое страшное. Намного опаснее, на мой взгляд, был другой класс эмуляторов, которые собирали информацию о работе программы и передавали ее взломщику через сеть Интернет. Не секрет, что на многих предприятиях ведутся два вида учета – управленческий и "фискальный", так называемая "черная и нформация о полном управленческом учете попадает, скажем к представителям криминальных структур, которые начнут потом вымогать деньги, вот это особенно страшно". Приобретая программу, снабженную электронным ключом, покупатель может быть уверен в том, что это именно та версия, которую создал разработчик и она не несет в себе никакой потенциальной опасности. Так что защита программы оказывается еще и защитой пользователя, гарантией его спокойствия, и сегодня все больше покупателей программ именно так воспринимает встроенные аппаратно-программные системы защиты. Право на информацию В современных операционных системах, особенно многопользовательских, предусмотрены программные средства предотвращения несанкционированного доступа: при входе в систему требуется ввести имя пользователя и пароль. Так же организован доступ и в сеть Интернет, и к почтовым программам, и к целому ряду других программных продуктов. Однако применение паролей имеет ряд недостатков: во-первых, пароль должен быть достаточно длинным, чтобы злоумышленнику было трудно его подобрать, а длинные пароли трудно запоминаются и легко забываются. Во-вторых, в момент ввода имя пользователя и его пароль могут быть опознаны и похищены хакером. Поэтому в современных электронных ключах используется так называемая "двухфакторная" аутентификация пользователя: основная часть кода доступа хранится в электронном ключе и считывается компьютером в тот момент, когда ключ вставляется в соответствующий порт; после этого пользователь должен ввести еще пин-код в подтверждение того, что именно он является владельцем ключа. Пин-код обычно бывает значительно проще запомнить, чем длинный пароль, поэтому такой ключ оказывается весьма удобным. Что же касается той части кода, которая хранится в электронном ключе, то хорошо защищенная программа не просто считывает ее и сравнивает с хранящимся в программе образцом (такое взаимодействие позволяло бы похитить код и взломать защиту), а использует код ключа или отдельные его фрагменты в проводимых вычислениях, лишая хакера возможности выделить момент сопоставления кода пользователя с эталоном. Многие системы шифруют данные при обмене ими с компьютером. Кроме того, большой объем энергонезависимой памяти современных электронных ключей позволяет использовать весьма изощренные алгоритмы защиты информации. USB-ключи с большим объемом памяти позволяют решить сразу целый комплекс задач. В таком ключе могут быть записаны цифровой сертификат личности владельца для опознания его при входе в систему (при условии ввода соответствующего пин-кода) и сертификаты, определяющие его права доступа к определенным видам программ и определенным категориям данных, в Интернет или виртуальную частную сеть, права доступа к электронной почте, права администрирования и т. д. При этом в одном и том же брелке-ключе можно запрограммировать коды доступа ко многим программам – не нужно иметь для каждой свой отдельный ключ. Что происходит на рынке? На россий средств защиты программ и данных лидируют сегодня четыре компании: Aladdin Software Security R.D. – российское отделение израильской компании Aladdin Knowledge Systems Ltd.; российский филиал американской компании Rainbow Technologies; компания MultiSoft, представляющая продукцию итальянской фирмы Eutron Information Security, и российская компания "Актив", которая продает собственную продукцию. По объему продаж лидирует Aladdin – эта компания первой вышла на наш рынок с электронными ключами и в течение нескольких лет господствовала на нем почти безраздельно. Компания Rainbow представила свою продукцию российскому покупателю на несколько лет позже. Вот как комментирует ситуацию Ирина Ходолева, коммерческий директор российского филиала Rainbow: "Электронные ключи Sentinel производства компании Rainbow мы начали продавать в России с 1996 года, продажи пошли хорошо, и в 1998 году Rainbow решила здесь создать филиал. На мировом рынке Rainbow лидирует, занимая порядка 55% (Aladdin – около 27%), но в России Aladdin более известен. Тем не менее мы постепенно расширяем свою долю рынка: с тех пор как мы стали филиалом Rainbow, прирост продаж составляет в среднем 40–60% в год. Даже во время кризиса 1998 года падения продаж у нас не было". Интересно было узнать, как восприняли в российской компании Aladdin появление мощного конкурента. Рассказывает Сергей Груздев: "Когда впервые на одной из выставок появилась Rainbow, наш сильный конкурент по ключам, нам принадлежало почти 90% российского рынка. Я не то чтобы запаниковал, но заволновался и позвонил президенту компании, доложил: так и так. А он говорит: "Сергей, ты не понимаешь своей выгоды. Сильный конкурент, такой как Rainbow, – это замечательно. Да, они вас потеснят, ты прав, но любой сильный игрок, приходящий на рынок, этот рынок расширяет. Ты сейчас ведешь просветительскую работу, ты всем рассказываешь, что такое ключи, и тратишь свою энергию. Сколько человек тебя услышат? А когда вас будет двое – услышат как минимум вдвое больше. Вместе вы расширяете рынок, вы его раздвигаете". Здесь нельзя не отметить еще одно обстоятельство, характеризующее нынешнюю ситуацию на рынке электронных ключей: беседуя со специалистами и руководителями трех ведущих компаний, я трижды услышал фразу "О конкурентах – либо хорошо, либо ничего". Это не было голой декларацией: все, с кем я разговаривал, неукоснительно придерживались этого правила, чем немало затруднили мою задачу. Даже о широко известных фактах, таких как взлом хакерами одной из ранних моделей ключа HASP, говорилось очень осторожно и благожелательно. К примеру, Денис Гаврилов, технический специалист компании MultiSoft, так комментировал эту историю: "Все алгоритмы, которые используются у нас и у наших конкурентов, достаточно сильные для своего класса, и по этому параметру наши продукты находятся примерно на одном уровне. Выбор здесь определяется только вкусом пользователя и тем, что он знает о шифровании данных, или иными факторами, нными напрямую с алгоритмом защиты. Что же касается взлома одной из ранних версий ключа HASP, то я полагаю, причина в том, что на самой фирме произошла утечка информации, в результате чего ключ удалось вскрыть. Кстати, новые модели ключей имеют заметно более стойкую защиту и практически не поддаются взлому". Компания MultiSoft начала продвигать в России электронные ключи итальянской фирмы Eutron позже своих маститых конкурентов. Заместитель директора MultiSoft Ольга Полякова рассказывает: "То, что мы считали недостатком, оказалось нашим неоспоримым достоинством. Мы пришли на рынок электронных ключей последними, когда он был уже поделен, и нам пришлось участвовать в переделе рынка. Но компания Eutron, продукцию которой мы выводили на рынок, тоже понимала эту ситуацию и учитывала ее в своей ценовой политике. В результате наши цены были в среднем в полтора раза ниже, чем у конкурентов, но уже можно сказать, что фирма Eutron хотя и вышла на наш рынок последней, сегодня прочно заняла на нем свое место. К тому же она учла все ошибки и слабые места своих предшественников". Какой ключ выбрать? Информация о характеристиках конкретных ключей различных производителей представлена на сайтах компаний и легко доступна. Современные модели ключей имеют сходные объемы памяти, долговечны и прочны, характеризуются высокой стойкостью применяемых алгоритмов и тенденцией к преимущественному использованию USB-порта. Сравнивать их между собой – дело неблагодарное, тем более что надежность защиты во многом зависит от того, насколько грамотно составлена программа, которая защищена с помощью такого ключа. Тем, кто задумает оградить свои программы и данные от несанкционированного доступа и копирования, можно посоветовать проконсультироваться с техническими специалистами компаний-лидеров. Во всех случаях следует помнить, что защита информации – это не конечная цель, а лишь средство ведения бизнеса и совершенно не обязательно всегда пользоваться самыми надежными из существующих средств: важнее соразмерять расходы на защиту со стоимостью защищаемой информации. Вот что говорит об этом Ирина Ходолева: "Выбирая электронный ключ, нужно исходить из того, какую задачу вы собираетесь решать с его помощью. Скажем, для задач авторизации доступа лучше использовать ключи, специально для этого предназначенные. Если речь идет о защите программ, то нужно учитывать, что современные электронные ключи для компании-разработчика могут служить еще и маркетинговым инструментом по продвижению программных продуктов на рынок. А если думать о защите корпоративной информации и от атак извне, и от деструктивных действий сотрудников компании, то мы считаем, что использование ключей лишь частично решает эту задачу. Полноценно реализовать такую защиту можно только в комплексе с другими средствами". Все три ведущих компании предлагают линейки электронных ключей с широким спектром возможностей, и выбор может определяться даже не качеством защиты как ень трудно сравнивать в моделях одного класса), а множеством привходящих обстоятельств: ценой, используемой операционной системой, особенностями технической поддержки, объемом поставляемого с ключом программного обеспечения и полнотой технических описаний в руководствах по применению защиты, а также характером взаимоотношений изготовителя ключа с потребителями. Об этом стоит поговорить особо. Снова слово Сергею Груздеву: "Я стараюсь смотреть на вещи философски: скажем, сегодня у нас ключи лучше, чем у конкурентов, – у нас есть некая фора в полгода или год. Может быть, завтра у них будут лучше. То есть "железка" примерно одна, все почти то же самое. Спрашивается: если так, то чем мы лучше? Ответ: мы лучше своей инфраструктурой и опытом, то есть мы разработчикам программ предлагаем не просто голую "железку", а уже готовую инфраструктуру бизнеса: каналы продаж, бизнес-модель, помогаем им построить бизнес. Мы им предлагаем концепцию "лего-лэнда": тот кубик, который вы разработаете, его же нужно продавать, он должен встраиваться в систему! Беда многих российских компаний: делают отличный софт, но не умеют его довести до конечного коробочного продукта, не умеют его продать, представить. Есть проблема малых коллективов с директорами-самоучками, вышедшими из программистов. Директор – и он же программист. Он классный программист, но он мало понимает в бизнесе. С этой проблемой мы сейчас столкнулись вплотную, и одна из задач, которые мы перед собой поставили, это создание инфраструктуры продаж и помощь российским компаниям в преодолении пути от программы до продукта, а это огромный путь. Это выпуск грамотной документации, качественных маркетинговых материалов, листовок – таких, чтобы каждый потребитель мог понять, что именно он получит за свои деньги. Почему ему будет проще и легче жить, почему он будет защищеннее, почему он это должен купить? Тут важна и упаковка, и документация, и наличие учебных курсов: технический курс для пользователей и sales-курс для дилеров, для партнеров, которых надо учить продавать продукт. Это модель продаж через Интернет: "скачай, получи ключ, попробуй программу и после этого купи" (электронные ключи позволяют четко отследить сроки или количество запусков программы, которые предоставляются пользователю для ознакомления с ее возможностями, а перекодировать ключ после оплаты можно и через Интернет). Это и продажа российского софта на Западе – мы создали инфраструктуру, мы нашли инвесторов, мы открыли офис в Амстердаме. Сегодня электронный ключ для нас – это один из винтиков системы, а главное – мы знаем, что надо делать, мы знаем, как надо продавать и здесь, и на Западе. Это мы умеем, и этим мы сильнее конкурентов: мы помогаем партнерам строить бизнес, и у нас уже есть «конвейер» по подготовке продукта и по его продаже. Произвести продукт мало – его надо продать и заработать деньги, а для этого существует наша программа технологического партнерства с разработчиками". Этот подход к построению партнерских взаимоотиентами вообще характерен для всех игроков компьютерного рынка. Исторически сложилось так, что продавать продукцию Hi-Tech можно только при условии сильной маркетинговой и технической поддержки. Тенденции и проблемы Чем шире проникают современные информационные технологии во все сферы нашей жизни, тем больше внимания требует защита программ и данных от незаконного доступа и копирования. Сегодня USB-ключи представляются самым удобным аппаратным средством, с помощью которого такая защита может быть реализована, – хотя бы уже потому, что они не нуждаются в специальных считывающих устройствах, как смарткарты или таблетки Touch Memory, а объем их памяти быстро увеличивается. На рынке уже появились USB-брелки, способные хранить 128 и более мегабайт информации, а это значит, что пользователь может все важные данные (в зашифрованном виде) носить с собой, в памяти такого ключа, не оставляя их на жестком диске своего настольного компьютера или ноутбука. Даже развивающиеся средства биометрической идентификации пользователей (например, по отпечаткам пальцев или по рисунку радужной оболочки глаза) вряд ли вытеснят USB-ключи с рынка защитных средств. Важная современная тенденция – широкое использование криптографических средств защиты, включая так называемое шифрование с открытым ключом (PKI – Public Key Infrastructure). Проблема в том, что для широкого применения криптографических алгоритмов они должны быть сертифицированы ФАПСИ, но при всех условиях PKI – это технология близкого будущего. С нетерпением ожидают производители электронных ключей принятия российского закона о цифровой подписи: как только будет узаконено ее применение при совершении сделок наряду с традиционными подписью и печатью, должен вырасти спрос на электронные ключи, которые помогут сделать использование цифровой подписи простым, удобным и в высшей степени защищенным от подделки. Еще одна перспективная линия развития USB-ключей – это применение их в технологии лицензирования программных продуктов. По сути дела покупка программы все больше превращается в покупку лицензии – права пользоваться программой. Производители программных продуктов идут при этом на всевозможные ухищрения для защиты своих авторских прав и создают пользователям заметные неудобства – в качестве примера можно привести объявленную Microsoft политику привязки операционной системы Windows XP и пакета Microsoft Office XP к конкретной конфигурации компьютера пользователя. Это нововведение вызвало шумное недовольство даже не самим фактом жесткого лицензирования прав использования программы, а тем, что оно лишает пользователей мобильности – возможности работать сегодня на одном компьютере, завтра на другом, послезавтра на ноутбуке и так далее. Проблема элементарно просто решается с помощью USB-ключа: программное обеспечение может быть установлено на всех компьютерах, к которым имеет доступ купивший его пользователь, но работать оно будет только на том компьютере, в USB-порт кный электронный ключ с соответствующей лицензией. Возможности электронных USB-ключей позволяют очень эффективно разграничивать права доступа к информации в больших организациях: к примеру, достаточно отобрать у увольняющегося с работы сотрудника его электронный ключ, чтобы вся информация, с которой он работал в компании, стала ему недоступной (данные зарубежных исследований говорят о том, что именно через увольняющихся сотрудников, особенно сотрудников IT-подразделений и системных администраторов, происходят основные утечки информации). Анализ развития рынка электронных ключей показывает, что ведущие разработчики используют сходные современные технологии и аппаратные средства, достигают похожих результатов и предлагают пользователям во многом сходные услуги. Одним из решающих факторов успеха в этой ситуации становится эффективная координация работы отдельной компании с партнерами, которые приобретают ее продукцию. Как это происходит на практике, можно будет увидеть на осенней выставке "Софтул-2001": по словам Сергея Груздева, там планируется представить совместный стенд альянса 10–15 компаний, создающих аппаратно-программные средства защиты информации и использующих их в своих разработках. Что же, посмотрим. Ждать осталось недолго. Главная страница / Архитектура отрасли |