Проект 'ПОтребитель'
Главная | Новости | Информация | Статьи | Программы
Законы | Ссылки | О проекте | Off topic



Управление жизненным циклом программных продуктов как фактор сокращения теневого рынка программного обеспечения


[Доклад представлен на конференции BiT+ "INFORMATION TECHNOLOGIES - 2003"]
[Секция "Information Security"]

Середа С.А. (serge_sereda@hotmail.com)
Экономическая академия Республики Молдова
Кафедра кибернетики и экономической информатики



Проблема теневого распространения программных продуктов для микро-ЭВМ  возникла практически одновременно с возникновением рынка программных средств для персональных компьютеров и актуальна по сей день. На сегодняшний день разработаны и используются различные меры и средства предотвращения несанкционированного распространения программного обеспечения (ПО). Бóльшая часть этих методов неявно предполагает "силовой подход" к решению проблемы, т.е. направлена либо на техническое затруднение самого процесса копирования программных продуктов либо на облегчение выявления фактов нелегального распространения программ и ужесточение мер наказания "пиратов" [2, 3, 7, 9]. Подобные меры являются традиционными для рынка программного обеспечения.

Однако, как показывает статистика BSA [4, 5], указанные меры неэффективны в борьбе с теневым рынком ПО, это доказывает общемировая положительная динамика доли указанного рынка за последние два года (Рис. 1.).




Рисунок 1. Относительная доля теневого рынка ПО (%)
[Выполнено на основе данных Business Software Alliance (www.bsa.org)]


Ещё более показательна в этом смысле динамика теневого рынка, выраженная в абсолютных единицах (миллиардах долларов США). Если внимательно с ней ознакомиться, становится очевидным, что за все годы (с 1994 по 2001) объёмы продаж на теневом рынке кардинально не менялись, незначительно отклоняясь от средней цифры 11,785 миллиардов. В этом контексте нисходящая динамика доли "пиратского" рынка, зарегистрированная в период с 1994 по 1999 год, объясняется активным ростом рынка ПО в указанные годы. Аналогично, рост доли теневого рынка ПО в период с 1999 по 2001 год обусловлен влиянием общемирового экономического кризиса, приведшем к сокращению рынка ПО. Т.е. теневой рынок ПО, фактически, никак не отреагировал на все "антипиратские" меры, применяемые до настоящего времени (Рис. 2.).




Рисунок 2. Динамика теневого рынка ПО (млрд. долл. США)
[Выполнено на основе данных Business Software Alliance (www.bsa.org)]


Таким образом, можно заключить, что решить проблему теневого рынка лишь "силовыми мерами" не представляется реально возможным.

Нами предлагается подход, в рамках которого традиционные методы защиты ПО сочетаются с анализом и управлением рисками, связанными с теневым распространением ПО.

Суть управления рисками при производстве и реализации ПО состоит в определении временнóго периода, в течение которого продукт будет продаваться исключительно производителем ПО. Это время зависит от таких параметров как: распространенность / доступность продукта широкой публике, объем дистрибутива, сложность документации и ее необходимость для работы с продуктом, развитость "пиратского" рынка, стойкость технической защиты ПО, системные требования программного продукта, функциональная направленность ПО - и ряда других факторов.

Анализ рисков можно представить в виде следующих этапов:


Определение множества возможных угроз

Угрозы безопасности ПО можно условно подразделить на следующие категории:

  1. Угрозы технического характера:

    а)

    Угрозы, аналогичные угрозам безопасности ИС:
    1. "Маскарад" (обман СЗПО путем ввода похищенной у легального пользователя аутентичной информации);
    2. Перехват пароля (введенного с клавиатуры или переданного по ЛВС);
    3. Подбор либо генерация пароля;
    4. Повторное использование объектов (использование того факта, что расшифрованный/незащищенный код ППр остается в ОЗУ после завершения работы системы защиты ПО);
    5. "Суперзаппинг" (использование полного контроля над функционированием ОС с целью обхода СЗПО);
    6. Мониторинг работы ППр (анализ протокола обмена данными СЗПО и электронного ключа/ключевого файла/диска, анализ сетевого трафика);
    7. Получение злоумышленниками несанкционированного доступа к серверу глобальной сети с дистрибутивами ППр;

    б)

    Угрозы, специфичные для ПО:
    1. Дизассемблирование;
    2. Декомпиляция;
    3. Анализ алгоритмов защиты (статический и динамический);
    4. Модификация кода (статическая и динамическая);
    5. "Раздевание" (снятие внешних СЗПО);
    6. "Отвязка" (снятие СЗПО с ключевыми дисками/файлами, электронными ключами, систем "привязки" к ЭВМ пользователя);
    7. Плагиат (несанкционированное использование ППр или его частей в других коммерческих продуктах);

  2. Угрозы нетехнического характера:



Рисунок 3. Угрозы безопасности программных продуктов



Выделение подмножества вероятных угроз

Подмножество вероятных угроз получается путем анализа конкретной ситуации в рамках вывода ППр на рынок и усечения множества возможных угроз. На этом этапе, из существующего множества исключаются не относящиеся к данному типу ППр угрозы, а также угрозы, реализация которых в анализируемой ситуации признана экспертами невыгодной для злоумышленника. Например, в случае применения стойкой системы программно-технической защиты злоумышленнику может быть выгоднее приобрести легальную полнофункциональную копию ППр "в складчину" или по украденной кредитной карте, либо скопировать ППр с ПК легального пользователя [8, 9].


Определение потенциального ущерба по каждой угрозе

Для установленного множества вероятных угроз необходимо определить возможный ущерб, который может быть нанесён производителю ПО в результате реализации каждой угрозы либо нескольких угроз одновременно. Кроме того, очень важным показателем является вероятность реализации той или иной угрозы. Как правило, подобная оценка проводится на основе собственного опыта и/или опыта других участников рынка. В случае отсутствия точных данных по определённой угрозе прибегают к методу экспертных оценок.

Самой простой оценкой потенциального ущерба является математическое ожидание потерь от угрозы, т.е. произведение суммы ущерба от угрозы и вероятности её реализации. При упорядочении полученных величин математических ожиданий определяются наиболее опасные угрозы, а так же их иерархия.


Выработка контрмер

После получения данных о вероятных угрозах для ППр и ожидаемом ущербе от их реализации необходимо сопоставить каждой угрозе или их ряду определённый набор контрмер, которые позволят свести ущерб к минимуму. Как уже упоминалось выше, часть указанных контрмер должна охватывать процессы проектирования и технической защиты ПО, а часть - организационные аспекты реализации готового программного продукта, а так же работы с пользователями. На данном этапе производится тактическое планирование ответных действий в зависимости от реализации злоумышленниками той или иной угрозы или их комбинации. Обычно, как оценка ущерба, так и выработка контрмер в случае комбинации угроз, представляют собой намного более сложную задачу нежели аналогичная оценка единичных угроз.


Разработка общей стратегии поведения в условиях риска

В результате анализа вышеперечисленных факторов процесс торговли ППр на рынке можно условно разбить на 3 периода:





Рисунок 4. Жизненный цикл программного продукта


Т.к. основной целью производителя ПО является максимизация прибыли, а не "окончательная победа" над "пиратами" [9], его рыночная стратегия должна учитывать деление на указанные периоды и изменяться в зависимости от их смены.

Таким образом, в период "безопасной торговли" производитель уверен в отсутствии "пиратского" рынка своего продукта и свободен в своих рыночных действиях. В то же время, возможно планирование получения основной доли ожидаемой прибыли именно в этот период, что будет эквивалентно применению стратегии "снятия сливок" на рынках новых разработок.

Как правило, этот период определяется способом распространения ПО (через Сеть или "из рук в руки"), популярностью ПО (т.е. наличием спроса на нелегальные копии), объёмом дистрибутива (степенью сложности передачи по Сети) и стойкостью системы защиты ПО. К сожалению точно определить длительность этого периода не представляется возможным, в настоящее время возможно строить лишь оценочные суждения.

Период "рискованной торговли" находится на стыке первого с третьим. В это время нельзя утверждать с точностью о появлении на рынке "пиратских" копий, но с завершением предполагаемого периода "безопасной торговли" риск появления таких копий постоянно возрастает.

В это время разумно было бы смягчать пользовательскую политику и начинать активное использование неценовых методов конкурентной борьбы для стимулирования перехода потенциальных покупателей/нарушителей в ряды легальных пользователей ППр. Обычно они включают в себя предоставление скидок, продажу в рассрочку, качественное сопровождение продукта, "бонусы", лотереи и проч.

Наконец, период конкуренции с "пиратами" определяется точно установленным наличием нелегальных копий реализуемого продукта на рынке. Таким образом, производителю ППр приходится вступать в конкуренцию с "пиратами", реализующими его же продукт по минимальной цене. На стороне производителя в рамках ценовой конкуренции находится лишь риск уличения покупателей в незаконном использовании ПО, чреватый определённой ответственностью.

Здесь необходимо, вкупе с реализацией ПО, активно продвигать сервис и сопровождение ПО и, возможно, снижать цены с общей ориентацией на скорый выпуск новой версии продукта.

По нашему мнению, управление жизненным циклом программных продуктов, основанное на анализе рисков их теневого распространения, является более гибкой  и действенной мерой борьбы с теневым рынком ПО по сравнению с традиционно используемыми.


Использованная литература:

  1. Сяо Д., Керр Д., Мэдник С. Защита ЭВМ /Пер с англ./. - М., Мир, 1982.
  2. Расторгуев С.П. Программные методы защиты информации в компьютерах и сетях. - М.: Яхтсмен, 1993.
  3. Bjones R., Hoeben S. Vulnerabilities in pure software security systems // Utimaco Software AG, 2000.
  4. Sixth Annual BSA Global Software Piracy Study // BSA, 2001
  5. Seventh Annual BSA Global Software Piracy Study // BSA, 2002
  6. Devanbu P.T., Stubblebine S. Software Engineering for Security: a Roadmap // ICSE 2000.
  7. Середа С.А. Оценка эффективности систем защиты программного обеспечения // КомпьЛог. - 2000. №2.
  8. Середа С.А. Анализ средств преодоления систем защиты программного обеспечения // ИНФОРМОСТ: Радиоэлектроника и Телекоммуникации. - 2002. №4(22).
  9. Середа С.А. Экономический анализ поведения участников рынка программного обеспечения // ИНФОРМОСТ: Радиоэлектроника и Телекоммуникации. - 2002. №6(24).

 




Наверх Письмо Web-мастеру