Назад

ГЛАВА I

 

ОСНОВЫ ЗАЩИТЫ 

ПРОГРАММНОГО  ОБЕСПЕЧЕНИЯ

 

·      Виды защиты прав производителей программного обеспечения

·      Классификация защиты программного обеспечения

·      Виды технических средств защиты

·      Надежность механизмов, алгоритмов, методов защиты

 

 

Виды защиты прав производителей программного обеспечения

 

Существует два вида защиты прав производителей программных продуктов - юридическая и техническая.

          Юридическая защита основана на том, что создана достаточная правовая база для охраны прав авторов интеллектуальной собственности и в том числе компьютерных программ.

Юридическая защита предусматривает гражданскую, уголовную и административную ответственность за нарушение авторских прав создателей программных продуктов. Юридическая защита является эффективной, так как она гарантирует возмещение ущерба автору, права которого были нарушены. (Подробнее аспекты юридической защиты будут рассмотрены в следующей главе.)

          Техническая защита направлена на то, чтобы техническими средствами затруднить или сделать невозможным использование программного продукта незаконным пользователем.

Техническими средствами защиты программных продуктов можно реализовать несколько подходов к данной проблеме:

1) противодействовать копированию программы на другой диск;

2)  разрешив собственно копирование программы, противодействовать попыткам запуска и/или исполнения незаконной копии;

Заметим, что при таких подходах необходимо также противодействовать попыткам нарушителя исследовать легальную копию программы;

3)  не противодействовать ни копированию, ни исполнению программы, но, сопроводив ее скрытой информацией об управлении правами, в случае необходимости иметь достоверную улику, подтверждающую авторство и незаконное использование.

Фирмы-производители по-разному подходят к защите своих программных продуктов. Одни решают проблемы с помощью технических средств защиты, включая их в состав своих программных продуктов. Другие - используют юридическую защиту, как, например, корпорация Microsoft. В состав своих знаменитых продуктов производители не включают технические средства защиты от копирования, противодействующие созданию копий продуктов. Программные продукты свободно копируются, но сопровождаются информацией об управлении правами. Корпорация использует предупреждающие сообщения о том, что продукт защищен авторским правом и международными соглашениями.

 

Новые технологии защиты оригинальных продуктов корпорация Microsoft включила в операционную систему Windows 2000 и пакет Office 2000. На все лицензионные компакт-диски, содержащие операционную систему, наносится голографическое изображение на лицевой стороне. «При повороте диска под определенным углом к источнику света на голограмме проявляется название продукта и специфичеcкие для этого продукта графические символы, занимающие всю поверхность диска от сетевого отверстия до внешнего края... на системные блоки компьютеров, приобретаемых с предустановленной операционной системой Windows 2000, на заметном месте должна наклеиваться новая этикетка с «сертификатом подлинности» (Certificate of Authenticity, COA). На этикетке должно быть голографическое изображение медной плетеной нити со словами «Microsoft» и «Genuine», а также с названием продукта и его уникальным номером. При повороте этикетки цвет эмблемы Microsoft меняется с золотистого на серебристый и наоборот. Розничные версии Windows 2000 будут поставляться в коробках с аналогичными сертификатами подлинности».  Для защиты от незаконных установок пакета Office 2000 корпорация Microsoft также использует сплошные голограммы на компакт-дисках, содержащих данный программный продукт, а также специальную программу мониторинга через Internet, которая способна предотвращать нелегальную установку пакета Office 2000 (Мастер регистрации - Registration Wizard).

 

Классификация защиты программного обеспечения

 

В соответствии с различными подходами к защите прав создателей компьютерных программ, защиту программного обеспечения можно классифицировать следующим образом:

·      защита от собственно незаконного копирования

(воспроизведения); 

·      защита от незаконного использования;

·      защита от исследования программ;

·      идентификация программных продуктов.

Очевидно, что комплексный подход к защите программного продукта с использованием одновременно нескольких методов повышает надежность защиты. Именно поэтому чаще говорят о технологиях или системах защиты, основанных на том или ином подходе.

 

Виды технических средств защиты

 

Технические средства защиты можно разделить на

·      программные,

·      аппаратные и

·      программно-аппаратные средства.

 

Это наиболее доступные средства.

Относительно программной защиты необходимо принять во внимание следующее.

 Любая программная защита может быть раскрыта в конечное время.

Известный специалист по программной защите от копирования А.Щербаков разъясняет: «Верность этого утверждения следует из того, что команды программы, выполняющей защиту, достоверно распознаются компьютером и в момент исполнения присутствуют в открытом виде как машинные команды. Следовательно, достаточно восстановить последовательность этих команд, чтобы понять работу защиты. А таких инструкций, очевидно, может быть лишь конечное число [4]

Аппаратная защита является самой надежной, но слишком дорога и рассчитана поэтому в основном на корпоративных заказчиков. В настоящее время многие фирмы и организации во всем мире работают над тем, чтобы сделать аппаратную защиту удобной и дешевой, а также рассчитанной и на массового индивидуального пользователя.

Это наиболее оптимальные средства защиты. Они обладают преимуществами как аппаратных, так и программных средств.

 

Надежность механизмов, алгоритмов, методов защиты

 

Для определения надежности механизмов, алгоритмов и методов, используемых для защиты авторских прав в области программного обеспечения, возьмем за основу базовые понятия и положения существующих стандартов по оценке безопасности информационных технологий.

Основополагающими документами в области оценки безопасности информационных технологий являются:

·      «Критерии оценки надежных компьютерных систем» (Trusted Computer Systems Evaluation Criteria, TCSEC) [5], известные под названием «Оранжевая книга» (по цвету обложки), опубликованные в 1983 году Министерством обороны США;

·      «Критерии оценки безопасности информационных технологий» (Information Technology Security Evaluation Criteria, ITSEC) [6], известные под названием «Гармонизированные критерии Европейских стран», опубликованные в 1991 году от имени соответствующих органов Франции, Германии, Голландии и Великобритании;

·      Руководящие документы Гостехкомисии России [7-11], являющиеся российскими нормативными документами по критериям оценки защищенности средств вычислительной техники и автоматизированных систем, принятые в 1992 году.

·      И наконец, «Общие критерии оценки безопасности информационных технологий» (далее - Общие критерии), являющиеся международным стандартом, в котором отражена современная нормативная база оценки безопасности информационных технологий; принятые в июне 1999 года.  В разработке этого стандарта участвовали США, Канада, Англия, Франция, Голландия.

С позиций перечисленных нормативно-технических документов оценка безопасности информационных технологий - это методология исследования свойств безопасности продукта или системы  информационных технологий.

Замечание. Под безопасностью здесь понимается обеспечение  целостности, доступности, конфиденциальности объекта оценки.

Оценка безопасности информационных технологий имеет качественное, а не количественное выражение, и представляет собой определенным образом упорядоченные качественные требования к механизмам обеспечения безопасности, их эффективности и гарантированности реализации.

Рассмотрим базовые понятия документов по оценке безопасности информационных технологий, которые следует применять для оценки надежности методов и механизмов защиты.

Надежность объекта оценки рассматривается как степень доверия, которую разумно оказать данному объекту.

Гарантированность определяется как мера уверенности, с которой можно утверждать, что меры безопасности объекта эффективны и корректно реализованы.

          Для проверки способности механизмов (методов) защиты противостоять внешним (попытки взлома) и внутренним (неправильная эксплуатация) угрозам необходимо провести оценку уязвимости механизма (метода) защиты.

          При оценке уязвимости с точки зрения противодействия внешним угрозам необходимо:

n    произвести анализ уязвимости  (слабых мест) механизма;

n    оценить мощность механизма.

          Анализ уязвимости предполагает выявление возможных недостатков механизма защиты, которые могли бы быть использованы злоумышленником для взлома защиты. Предполагается различный уровень подготовленности и оснащенности злоумышленника.

На основе анализа уязвимости оценивается мощность механизма защиты.

          Замечание. В Общих критериях мощность механизма защиты получила название силы функции безопасности .

Для мощности механизма защиты определены три градации мощности - базовая, средняя и высокая.

Другими словами, механизм защиты обладает базовой мощностью, если он способен противостоять отдельным случайным угрозам (атакам).

Другими словами, механизм защиты обладает средней мощностью, если он способен противостоять злоумышленнику с ограниченными ресурсами и возможностями.

О высокой мощности механизма защиты стоит говорить в случае, если защита может быть нарушена только злоумышленником с высокой квалификацией, набор возможностей и ресурсов которого выходит за пределы практичности.

___________________________________________________________

 

Далее мы подробнее рассмотрим юридические аспекты защиты прав авторов компьютерных программ, а затем и технические средства защиты программного обеспечения.