Системи захисту програмного забезпечення

3. Можливість  конфліктів із системним ПО.

 

2.3.3. Програмно-апаратні засоби захисту  ПО з електронними ключами

В даний час  даний клас СЗПО здобуває усе велику популярність серед виробників програмного забезпечення (ПО). Під програмно-апаратними засобами захисту розуміються засоби, засновані на використанні так званих «апаратних (електронних) ключів». Електронний ключ – це апаратна частина системи захисту, що представляє собою плату з мікросхемами пам'яті і, у деяких випадках, мікропроцесором, поміщену в корпус і призначену для установки в один з стандартних портів ПК (COM, LPT, PCMCIA, USB) або слот розширення материнської плати. Так само як такий пристрій можуть використовуватися смарт-карты (SmartCard).

За результатами проведеного аналізу, програмно-апаратні засоби захисту в дійсний момент є одними із самих стійких систем захисту ПО від НСД.

Електронні  ключі по архітектурі можна підрозділити на ключі з пам'яттю (без мікропроцесора) і ключі з мікропроцесором (і пам'яттю).

Найменш стійкими є системи з апаратною частиною першого типу. У таких системах критична інформація (ключ дешифрування, таблиця переходів) зберігається в пам'яті електронного ключа. Для дезактивації таких захистів у більшості випадків необхідно наявність у зловмисника апаратної частини системи захисту (перехоплення діалогу між програмною й апаратною частинами для доступу до критичної інформації).

Найбільш стійкими є системи з апаратною частиною другого типу. Такі комплекси містять в апаратній частині не тільки ключ дешифрування, але і блоки шифрації/дешифрації даних, у такий спосіб при роботі захисту в електронний ключ передаються блоки зашифрованої інформації, а приймаються відтіля розшифровані дані. У системах цього типу досить складно перехопити ключ дешифрації тому що усі процедури виконуються апаратною частиною, але залишається можливість примусового збереження захищеної програми у відкритому виді після відпрацьовування системи захисту. Крім того, до них застосовні методи криптоаналізу.

Позитивні фактори:

1. Значне утруднення  нелегального поширення і використання ПО.

2. Рятування  виробника ПО від розробки власної системи захисту.

3. Висока автоматизація  процесу захисту ПО.

4. Наявність  API системи для більш глибокого  захисту.

5. Можливість  легкого створення демо-версий.

6. Досить великий  вибір таких систем на ринку.

Негативні фактори:

1. Утруднення  розробки і налагодження ПО  через обмеження з боку СЗ.

2. Додаткові  витрати на придбання системи захисту і навчання персоналу.

3. Уповільнення  продажів через необхідність  фізичної передачі апаратної частини.

4. Підвищення системних вимог через захист (сумісність, драйвери).

5. Зниження отказоустойчивости  ПО.

6. Несумісність  систем захисту і системного  або прикладного ПО користувача.

7. Несумісність  захисту й апаратури користувача.

8. Обмеження  через несумісність електронних ключів різних фірм.

9. Зниження розширюваності  комп'ютерної системи.

10. Утруднення  або неможливість використання  захищеного ПО в переносних

і блокнотних ПК.

11. Наявність  в апаратної частини розмірів  і ваги (для COM/LPT = = 5 × 3 × 2 див ~ 50гр).

12. Погроза крадіжки  апаратного ключа.

 

2.3.4. Засоби захисту ПО з «ключовими дисками»

В даний момент цей тип систем захисту мало розповсюджений, через його морального старіння. СЗПО цього типу багато в чому аналогічні системам з електронними

ключами, але тут критична інформація зберігається на спеціальному, ключовому, носії. Основною погрозою для таких СЗПО є перехоплення зчитування критичної інформації, а так само незаконне копіювання ключового носія.

Позитивні і  негативні сторони даного типу СЗПО практично повністю збігаються з такими в систем з електронними ключами.

 

3. Показники ефективності систем захисту

Необхідно відзначити, що користувачі явно відчувають лише негативні сторони систем захистів, а виробники ПО розглядають тільки стосовні до них «плюси» і «мінуси» систем захисту і практично не розглядають фактори, що відносяться до кінцевого споживача. За результатами досліджень був розроблений набір показників застосовності і критеріїв оцінки СЗПО.

Показники застосовності

Технічні – відповідність СЗПО функціональним вимогам виробника ПО і вимогам по стійкості, системні вимоги ПО і системні вимоги СЗПО, обсяг ПО й обсяг СЗПО, функціональна спрямованість ПО, наявність і тип СЗ в аналіз ПО – конкурентів.

Економічні – співвідношення утрат від піратства і загального обсягу прибутку, відношення утрат від піратства і вартості СЗПО і її впровадження, співвідношення вартості ПО і вартості СЗПО, відповідність вартості СЗПО і її впровадження поставленим цілям.

Організаційні – поширеність і популярність ПО, умови розповсюдження і використання ПО, унікальність ПО, наявність погроз, імовірність перетворення користувача в зловмисника, роль документації і підтримки при використанні ПО.

Критерії оцінки

Захист  як така – утруднення нелегального копіювання і доступу, захист від моніторингу, відсутність логічних проломів і помилок у реалізації системи.

Стійкість до дослідження/зломові – застосування стандартних механізмів, нові/нестандартні механізми.

Отказоустойчивость (надійність) – імовірність відмовлення захисту (НСД), час наробки на відмовлення, імовірність відмовлення програми захисту (крах), час наробітку на відказ, частота помилкових спрацьовувань.

Незалежність  від конкретних реалізацій ОС – використання не документованих можливостей, «вірусних» технологій і «дір» ОС.

Сумісність – відсутність конфліктів із системним і прикладним ПО, відсутність конфліктів з існуючої АТ, максимальна сумісність з розроблювальним АТ і ПО.

Незручності для кінцевого користувача ПО – необхідність і складність додаткового настроювання системи захисту, приступність документації, приступність информації про відновлення модулів системи захисту через помилки/несумісності/нестійкості, приступність сервісних пакетів, безпека мережної передачі пароля/ключа, затримка через фізичну передачу пароля/ключа, порушення прав споживача.

Побічні ефекти – перевантаження трафіка, відмовлення в обслуговуванні, уповільнення роботи захисту ПО й ОС, захоплення системних ресурсів, перевантаження ОЗУ, порушення стабільності ОС.

Вартість – вартість/ефективність, вартість/ціна захисту ПО, вартість/ліквідовані збитки.

Доброякісність – приступність результатів незалежної експертизи, доступність інформації про побічні ефекти, повна інформація про СЗ для кінцевого користувача.

З чотирьох зазначених вище видів середовища взаємодії стороні, що захищається, підконтрольні (або частково підконтрольні) три види – організаційна, технічне й економічне середовище. Найважливішим середовищем взаємодії є безсумнівно економічне середовище, тому що економічна взаємодія, у даному випадку, є першопричиною і метою усієї взаємодії.

При розробці й  аналізі захисту програмного  забезпечення необхідно враховують існуючу законодавчу базу, при цьому потрібно проводити докладний економічний аналіз ситуації, застосовуючи різні критерії оцінки, а потім створювати стратегію захисту, що включає застосування технічних і організаційних мір захисту програмного забезпечення.