Главная | Новости | Информация | Статьи | Программы Законы | Ссылки | О проекте | Off topic

Проблема теневого распространения программных продуктов для микро-ЭВМ  возникла практически одновременно с возникновением рынка программных средств для персональных компьютеров и актуальна по сей день. На сегодняшний день разработаны и используются различные меры и средства предотвращения несанкционированного распространения программного обеспечения (ПО). Бóльшая часть этих методов неявно предполагает "силовой подход" к решению проблемы, т.е. направлена либо на техническое затруднение самого процесса копирования программных продуктов либо на облегчение выявления фактов нелегального распространения программ и ужесточение мер наказания "пиратов" [2, 3, 7, 9]. Подобные меры являются традиционными для рынка программного обеспечения.

Однако, как показывает статистика BSA [4, 5], указанные меры неэффективны в борьбе с теневым рынком ПО, это доказывает общемировая положительная динамика доли указанного рынка за последние два года (Рис. 1.).

Рисунок 1. Относительная доля теневого рынка ПО (%)
[Выполнено на основе данных Business Software Alliance (www.bsa.org)]

Ещё более показательна в этом смысле динамика теневого рынка, выраженная в абсолютных единицах (миллиардах долларов США). Если внимательно с ней ознакомиться, становится очевидным, что за все годы (с 1994 по 2001) объёмы продаж на теневом рынке кардинально не менялись, незначительно отклоняясь от средней цифры 11,785 миллиардов. В этом контексте нисходящая динамика доли "пиратского" рынка, зарегистрированная в период с 1994 по 1999 год, объясняется активным ростом рынка ПО в указанные годы. Аналогично, рост доли теневого рынка ПО в период с 1999 по 2001 год обусловлен влиянием общемирового экономического кризиса, приведшем к сокращению рынка ПО. Т.е. теневой рынок ПО, фактически, никак не отреагировал на все "антипиратские" меры, применяемые до настоящего времени (Рис. 2.).

Рисунок 2. Динамика теневого рынка ПО (млрд. долл. США)
[Выполнено на основе данных Business Software Alliance (www.bsa.org)]

Таким образом, можно заключить, что решить проблему теневого рынка лишь "силовыми мерами" не представляется реально возможным.

Нами предлагается подход, в рамках которого традиционные методы защиты ПО сочетаются с анализом и управлением рисками, связанными с теневым распространением ПО.

Суть управления рисками при производстве и реализации ПО состоит в определении временнóго периода, в течение которого продукт будет продаваться исключительно производителем ПО. Это время зависит от таких параметров как: распространенность / доступность продукта широкой публике, объем дистрибутива, сложность документации и ее необходимость для работы с продуктом, развитость "пиратского" рынка, стойкость технической защиты ПО, системные требования программного продукта, функциональная направленность ПО - и ряда других факторов.

Анализ рисков можно представить в виде следующих этапов:

1. Определение множества возможных угроз;
2. Выделение подмножества вероятных угроз;
3. Определение потенциального ущерба по каждой угрозе;
4. Выработка контрмер;
5. Разработка общей стратегии поведения в условиях риска.

Определение множества возможных угроз

Угрозы безопасности ПО можно условно подразделить на следующие категории:

1. Угрозы технического характера:
   

   а)

   Угрозы, аналогичные угрозам безопасности ИС: "Маскарад" (обман СЗПО путем ввода похищенной у легального пользователя аутентичной информации); Перехват пароля (введенного с клавиатуры или переданного по ЛВС); Подбор либо генерация пароля; Повторное использование объектов (использование того факта, что расшифрованный/незащищенный код ППр остается в ОЗУ после завершения работы системы защиты ПО); "Суперзаппинг" (использование полного контроля над функционированием ОС с целью обхода СЗПО); Мониторинг работы ППр (анализ протокола обмена данными СЗПО и электронного ключа/ключевого файла/диска, анализ сетевого трафика); Получение злоумышленниками несанкционированного доступа к серверу глобальной сети с дистрибутивами ППр;

   б)

   Угрозы, специфичные для ПО: Дизассемблирование; Декомпиляция; Анализ алгоритмов защиты (статический и динамический); Модификация кода (статическая и динамическая); "Раздевание" (снятие внешних СЗПО); "Отвязка" (снятие СЗПО с ключевыми дисками/файлами, электронными ключами, систем "привязки" к ЭВМ пользователя); Плагиат (несанкционированное использование ППр или его частей в других коммерческих продуктах);

   
   
2. Угрозы нетехнического характера:

а)	Нелегальное распространение копий ППр легальными пользователями;
б)	Нелегальное завладение копиями ППр со стороны третьих лиц;
в)	Приобретение ППр злоумышленниками "в складчину";
г)	Приобретение ППр злоумышленниками по украденной/фальшивой кредитной карте.

Рисунок 3. Угрозы безопасности программных продуктов

Выделение подмножества вероятных угроз

Подмножество вероятных угроз получается путем анализа конкретной ситуации в рамках вывода ППр на рынок и усечения множества возможных угроз. На этом этапе, из существующего множества исключаются не относящиеся к данному типу ППр угрозы, а также угрозы, реализация которых в анализируемой ситуации признана экспертами невыгодной для злоумышленника. Например, в случае применения стойкой системы программно-технической защиты злоумышленнику может быть выгоднее приобрести легальную полнофункциональную копию ППр "в складчину" или по украденной кредитной карте, либо скопировать ППр с ПК легального пользователя [8, 9].

Определение потенциального ущерба по каждой угрозе

Для установленного множества вероятных угроз необходимо определить возможный ущерб, который может быть нанесён производителю ПО в результате реализации каждой угрозы либо нескольких угроз одновременно. Кроме того, очень важным показателем является вероятность реализации той или иной угрозы. Как правило, подобная оценка проводится на основе собственного опыта и/или опыта других участников рынка. В случае отсутствия точных данных по определённой угрозе прибегают к методу экспертных оценок.

Самой простой оценкой потенциального ущерба является математическое ожидание потерь от угрозы, т.е. произведение суммы ущерба от угрозы и вероятности её реализации. При упорядочении полученных величин математических ожиданий определяются наиболее опасные угрозы, а так же их иерархия.

Выработка контрмер

После получения данных о вероятных угрозах для ППр и ожидаемом ущербе от их реализации необходимо сопоставить каждой угрозе или их ряду определённый набор контрмер, которые позволят свести ущерб к минимуму. Как уже упоминалось выше, часть указанных контрмер должна охватывать процессы проектирования и технической защиты ПО, а часть - организационные аспекты реализации готового программного продукта, а так же работы с пользователями. На данном этапе производится тактическое планирование ответных действий в зависимости от реализации злоумышленниками той или иной угрозы или их комбинации. Обычно, как оценка ущерба, так и выработка контрмер в случае комбинации угроз, представляют собой намного более сложную задачу нежели аналогичная оценка единичных угроз.

Разработка общей стратегии поведения в условиях риска

В результате анализа вышеперечисленных факторов процесс торговли ППр на рынке можно условно разбить на 3 периода:

а)	Период "безопасной торговли" - "пираты" еще не успели завладеть копией ППр, преодолеть систему технической защиты ПО и начать распространение контрафактных копий ППр;
б)	Период "рискованной торговли" - есть отличная от нуля вероятность того, что "пираты" начали реализацию контрафактных экземпляров ППр;
в)	Период конкуренции с "пиратами" - существует 100% вероятность "пиратской" реализации копий ПО на рынке.

Рисунок 4. Жизненный цикл программного продукта

Т.к. основной целью производителя ПО является максимизация прибыли, а не "окончательная победа" над "пиратами" [9], его рыночная стратегия должна учитывать деление на указанные периоды и изменяться в зависимости от их смены.

Таким образом, в период "безопасной торговли" производитель уверен в отсутствии "пиратского" рынка своего продукта и свободен в своих рыночных действиях. В то же время, возможно планирование получения основной доли ожидаемой прибыли именно в этот период, что будет эквивалентно применению стратегии "снятия сливок" на рынках новых разработок.

Как правило, этот период определяется способом распространения ПО (через Сеть или "из рук в руки"), популярностью ПО (т.е. наличием спроса на нелегальные копии), объёмом дистрибутива (степенью сложности передачи по Сети) и стойкостью системы защиты ПО. К сожалению точно определить длительность этого периода не представляется возможным, в настоящее время возможно строить лишь оценочные суждения.

В это время разумно было бы смягчать пользовательскую политику и начинать активное использование неценовых методов конкурентной борьбы для стимулирования перехода потенциальных покупателей/нарушителей в ряды легальных пользователей ППр. Обычно они включают в себя предоставление скидок, продажу в рассрочку, качественное сопровождение продукта, "бонусы", лотереи и проч.

Наконец, период конкуренции с "пиратами" определяется точно установленным наличием нелегальных копий реализуемого продукта на рынке. Таким образом, производителю ППр приходится вступать в конкуренцию с "пиратами", реализующими его же продукт по минимальной цене. На стороне производителя в рамках ценовой конкуренции находится лишь риск уличения покупателей в незаконном использовании ПО, чреватый определённой ответственностью.

Здесь необходимо, вкупе с реализацией ПО, активно продвигать сервис и сопровождение ПО и, возможно, снижать цены с общей ориентацией на скорый выпуск новой версии продукта.

По нашему мнению, управление жизненным циклом программных продуктов, основанное на анализе рисков их теневого распространения, является более гибкой  и действенной мерой борьбы с теневым рынком ПО по сравнению с традиционно используемыми.