Проблема безопасности программного обеспечения

ПО этого типа предназначено  для обеспечения выполнения приложений, созданных для одной программной/аппаратной платформы, на другой платформе. Б^ольшая часть подобных программ предоставляет также и отладочные возможности (сопоставимые с возможностями аппаратной отладки, а иногда и превосходящие их по функциональности).

Применение указанного типа программных средств к защищенному  ПО позволяет осуществлять преодоление СЗПО произвольного типа.

Симуляторы ОС производят динамический анализ вызовов системных функций обрабатываемого приложения, их конверсию в вызовы текущей ОС и обратную конверсию кодов возврата в коды симулируемой ОС. Симуляторы процессоров делают то же самое, но на уровне машинного кода процессоров.

Несмотря на совершенно "мирные" цели, заключающиеся в  обеспечении переносимости приложений между различными платформами, нестандартное  использование средств этого  типа позволяет преодолевать не только системы защиты программного обеспечения, но и схемы "управления цифровыми правами" (Digital Rights Management) на доступ к авторским произведениям, основанные на "привязке" к ЭВМ пользователя.

 
25. Средства пакетной  обработки команд (Batch Processors/Script Engines)

Данный тип программных  средств позволяет выполнять (последовательно или параллельно) сразу целый набор команд, предварительно заданный пользователем. В рамках пакетов заданий поддерживаются операторы цикла и ветвления. Подобные средства позволяют осуществлять создание виртуального окружения на время работы СЗПО.

Условно бесплатные ППр  доступны для использования до их приобретения как такового. Как правило, такие продукты содержат ограничения  по времени их использования, числу  запусков либо функциональному наполнению. При помощи средств пакетной обработки команд возможно создание необходимого программного окружения (установка системной даты, изменение файлов данных СЗПО, изменение параметров ОС и др.) до запуска защищенного ПО с возможностью возврата к предыдущему состоянию окружения по завершении работы ППр.

 
26. Средства криптоанализа (Password Crackers/Bruteforcers)

Указанный тип программных  средств предназначен для анализа  и преодоления систем криптографического закрытия информации. Обычно в них  реализуется несколько видов  атак на шифры: атака с использованием известного открытого текста, исчерпывающий перебор, направленный перебор с эвристикой, перебор по словарю. Используя подобные средства, можно производить криптоанализ СЗПО с шифрацией и парольных СЗПО.

Так как объектные  модули ПО состоят из инструкций машинного кода и последовательность таких инструкций иногда возможно предугадать, в ряде случаев возможно произвести атаку по известному открытому тексту, а также ряд других атак для преодоления СЗПО, использующих методы шифрации.

27. Средства генерации паролей  и серийных ключей (Key Generators)

Средства подобного  типа используются для генерации  ключевых последовательностей, удовлетворяющих  критериям используемых в СЗПО криптоалгоритмов. Указанный тип средств реализует преодоление парольных СЗПО, а также СЗПО с электронными ключами и ключевыми файлами.

Программы-генераторы различных ключей, кодов возврата и т.п., как правило, являются результатом предварительно проведенного криптоанализа СЗПО и  позволяют получать "подходящие" к СЗПО значения ключей для "легального" отключения СЗПО.

28. Средства ОС по контролю  доступа к программам и данным (Access Rights Managers)

Средства обеспечения  контроля и разделения доступа к  данным и приложениям являются одной  из основополагающих частей системы безопасности ОС. Данный тип программных средств, как правило, основывается на так называемой "матрице доступа", создаваемой администратором системы. Эта матрица содержит права на доступ к системным ресурсам различных категорий пользователей и прикладных программ (то есть пользователь трактуется как один из процессов ОС).

Применение подобных средств к  защищенному ПО реализует системный мониторинг СЗПО. В частности, в ОС Windows NT, например, возможно блокирование доступа к файлам с данными СЗПО или доступа к файлам системной конфигурации (ключам реестра), блокирование созданных СЗПО временных файлов и т.п.

Как уже было отмечено выше, практически  все перечисленные программные  средства относятся к обычному пользовательскому  или системному программному обеспечению. К "незаконным" средствам можно частично отнести лишь средства протоколирования клавиатурного ввода, средства статической модификации файлов и средства генерации серийных номеров ПО. В то же время даже эти типы программных средств способны использоваться (и реально используются) в областях, никак не относящихся к исследованию и преодолению СЗПО и нарушению авторских прав. Средства протоколирования клавиатурного ввода используются для обработки нажатий комбинаций клавиш в рамках функционирования пользовательских интерфейсов ПО, а также систем компьютерного обучения. Кроме того, они могут использоваться для архивирования всей информации, набранной с клавиатуры, с целью восстановления утерянной при сбое информации.

Средства модификации файлов используются в большом количестве областей, например, для оперативной модификации собственных программных проектов, служебных файлов и др.

Средства же генерации ключевых последовательностей могут легально использоваться для восстановления утерянной легальным пользователем ключевой информации (в случае отказа со стороны владельца авторских прав) либо в образовательных целях.

Таким образом, можно утверждать, что  необдуманное запрещение использования  перечисленных типов ПО (по аналогии с вредоносными программами) будет неэффективной мерой, так как повлечет за собой серьезные трудности либо полную невозможность использования ПО, необходимого для нормального функционирования компьютерных систем. Естественно, подобное запрещение неТаким образом, можно утверждать, что необдуманное запрещение использования перечисленных типов ПО (по аналогии с вредоносными программами) будет неэффективной мерой, так как повлечет за собой серьезные трудности либо полную невозможность использования ПО, необходимого для нормального функционирования компьютерных систем. Естественно, подобное запрещение не будет соблюдаться на практике из-за его невыполнимости.

Возможно законодательное запрещение "нецелевого использования" приведенных  типов ПО, но на законодательном  уровне практически невозможно регламентировать "целевые" и "нецелевые" виды использования ПО, что ведет к практической неприменимости (или высокой сложности и неоднозначности применения) подобных законодательных норм.

Из всего вышеперечисленного можно сделать вывод, что одни только технические меры защиты ПО, даже с учетом их законодательной поддержки, не способны обеспечить надлежащий уровень безопасности защищаемых программных продуктов. Следовательно, необходим более комплексный подход к защите ПО, с учетом многих других аспектов распространения, реализации и использования программного обеспечения.