Выбор эффективного средства защиты программного обеспечения
Если разработчик хочет защитить свой программный продукт и гарантировать соблюдение лицензионного соглашения, ему в первую очередь необходимо сделать выбор между аппаратными и программными средствами защиты, имеющимися на рынке. В данной статье будут представлены сценарии использования двух различных типов защиты и рассмотрены вопросы экономической целесообразности каждого из них. Таким образом, будут указаны точные ориентиры, которыми следует руководствоваться при выборе средства защиты.
О технических характеристиках программных и аппаратных средств защиты написано немало. Чаще всего авторы ломают копья, пытаясь выяснить, какой из двух подходов надежнее, то есть лучше обеспечивает более высокий уровень безопасности. Для этого составляются обширные таблицы параметров исследуемых средств защиты, проводятся испытания в полевых условиях и т.д. В итоге авторы на основании проведенного анализа отдают предпочтение какому-то одному типу защиты. Тем не менее такой подход представляется несколько однобоким. Рассмотрим, например, по одному лучшему продукту из каждого типа защитных средств.
Из средств программной защиты наиболее логично остановиться на системе StarForce от одноименной компании, занимающей третье место по популярности в мире и первое в России. Несколько шире выбор аппаратных средств защиты программ: ключи HASP от компании Aladdin, Guardant производства фирмы "Актив", Sentinel от Rainbow, Rockey от Fetian. Среди всех этих продуктов наибольшей популярностью пользуются ключи HASP.
По данным IDC1, начиная с 2002 года это наиболее распространенные ключи в мире. Вдобавок с помощью ключей HASP защищено более двух третей коммерческих программ, разработанных и продаваемых на территории СНГ и стран Балтии2 .
Для сравнения уровней защиты, предлагаемых ключами HASP и программными средствами StarForce, лучше всего обратиться к реальной практике их использования. Так, разработчики программных защит гордятся тем, что в их портфолио есть "популярные программные продукты, продержавшиеся невзломанными более 6 месяцев"3. На самом же деле то, что программная защита продержалась под натиском взломщиков 3 месяца, уже можно считать успехом. Однако для аппаратных защит срок жизни менее 2 лет считается недопустимо низким. Например, ключи HASP4 выдерживали напор хакеров в течение 6 лет. Следовательно, уровень защиты, предлагаемый аппаратными и программными средствами, сравнению не подлежит — в силу слишком большого разрыва.
Однако такой вывод не является основанием для того, чтобы отдать абсолютное предпочтение ключам HASP. Ведь применение аппаратных ключей подразумевает и более высокие издержки для разработчика или издателя программных продуктов. Вдобавок убытки
в случае взлома продуктов также могут серьезно различаться в зависимости от используемого средства защиты. Таким образом, следует более подробно рассмотреть экономические аспекты лицензионной безопасности программного обеспечения.
Экономические основы защиты ПО
Прежде всего остановимся на убытках, которые несет разработчик, когда хакеры взламывают защиту продукта. Если в качестве системы лицензионной безопасности использовалось программное средство, то издатель теряет только одну взломанную копию продукта. Однако в случае аппаратной защиты для ликвидации последствий вскрытия защиты придется заменить еще и ключи, которые становятся бесполезными после взлома программы. Другими словами, в последнем варианте требуются дополнительные инвестиции.
Дешевизна программных средств защиты проявляется не только в том, что не надо платить за физическое устройство, которое необходимо распространять вместе с продаваемым продуктом. Помимо этого издатели и разработчики могут сэкономить на расходах на логистику (одновременно повысив скорость распространения защищенного программного обеспечения), а также осуществлять полный цикл продажи продукта через Интернет.
Итак, все упирается в финансовую сторону вопроса. Именно экономические факторы обусловливают выбор средства защиты. Очевидно, что в случае защиты дешевых продуктов вопрос о том, какое средство выбрать, даже не возникает. Этим средством однозначно будет программная защита. Данное утверждение легко проверить, посмотрев на продукты, представленные на рынке: все компьютерные игры, обучающие программы и многие другие виды софта стоимостью менее 50 долл. защищены без использования аппаратных ключей.
Однако указанный рубеж в 50 долл. — весьма условный критерий. Основная проблема заключается как раз в более точном определении ценового порога для конкретного продукта, начиная с которого разработчик может задумываться об использовании средств аппаратной защиты.
Чтобы ответить на поставленный вопрос, следует рассмотреть типичный пример. Предположим, разработчик хочет выпустить на рынок программный продукт и обезопасить его от взлома с помощью одного из типов защиты. Зададим условия:
- цена программного продукта — 100 долл.;
- периодичность выхода версий с новой функциональностью — 1 год;
- планируемый уровень продаж — 100-400 копий в квартал;
- цена аппаратной защиты — 20 долл. за копию;
- цена программной защиты — 2 долл. за копию.
В таблице приведены простейшие расчеты прибыли разработчика в зависимости от объемов продаж и типа используемой защиты.
Таблица. Прибыль разработчика в зависимости от используемого типа защиты
| |||||||||||
I квартал | II квартал | III квартал | IV квартал | Итого | |||||||
| |||||||||||
Количество продаж | 100 | 170 | 300 | 400 | 970 | ||||||
| |||||||||||
Из них лицензионных при использовании программной защиты | 100 | 170 | 210 | 180 | 660 | ||||||
| |||||||||||
Из них лицензионных при использовании аппаратной защиты | 100 | 170 | 300 | 400 | 970 | ||||||
| |||||||||||
Доход при использовании программной защиты, долл. | 9800 | 16660 | 20580 | 17640 | 47040 | ||||||
| |||||||||||
Доход при использовании аппаратной защиты, долл. | 8000 | 13600 | 24000 | 32000 | 77600 | ||||||
| |||||||||||
На базе полученных результатов уже можно делать обоснованные выводы. В частности, расчеты показывают, что, начиная со сравнительно недорогого программного обеспечения, использование ключей HASP значительно повышает прибыль издателя. Здесь следует отметить, что в таблице приведен расчет прибыли в течение 1 года. Очевидно, что если разработчик планирует продавать свой продукт в течение более длительного срока, то выгода от применения ключей HASP будет еще больше.
Таким образом, каждый разработчик программного обеспечения, планирующий защитить свои продукты ключами HASP или программной системой, может произвести необходимые расчеты, исходя из индивидуальных характеристик планируемого к продаже товара.
Убытки разработчика в случае взлома
Выше уже указывалось, что издатель несет убытки в тех случаях, когда ему приходится менять взломанную хакерами аппаратную защиту. Это верно для большинства производителей аппаратных ключей, однако разработчикам HASP удалось обойти это серьезное препятствие.
На смену ключам HASP4, продержавшимся 6 лет, компания Aladdin выпустила новое поколение ключей HASP HL. Во-первых, разработчики аппаратно реализовали публичный симметричный алгоритм AES с ключом шифрования длиной 128 бит, что сделало неэффективными ранее использовавшиеся механизмы эмуляции ключей HASP. Во-вторых, что намного важнее, фирма Aladdin отошла от "гонки вооружений" с хакерами и реализовала возможность обновления firmware, то есть программного обеспечения, встроенного в ключи HASP HL. Другими словами, если возникает угроза вскрытия защиты, то издатель защищенных продуктов может удаленно, не изымая ключей у пользователей, изменить механизмы работы защиты и перепрограммировать алгоритм шифрования, реализованный в ключе. В результате теперь нет необходимости заменять самую дорогую аппаратную часть защиты — USB ключ. Достаточно лишь заново прошить физическое устройство и восстановить надежность аппаратной защиты.
Таким образом, стоимость защиты при использовании HASP HL уже не включает дополнительные убытки в случае взлома. Разработчик приобретает несравненно более стойкую аппаратную защиту по сравнению с предыдущими версиями ключей и средствами конкурентов и по цене, сопоставимой с альтернативной софтверной защитой в долгосрочной перспективе. При этом ключи HASP HL защищают не только само тиражируемое коммерческое программное обеспечение, но и инвестиции разработчиков в его защиту.
Функциональные возможности защиты
Если перейти от экономических факторов к методам лицензирования, предлагаемым ключами HASP и программной защитой StarForce, то особых различий здесь не обнаружится. Сегодня это справедливо практически для всех известных представителей данных типов продуктов.
Несколько различаются процессы внедрения защиты в продукт. Например, в StarForce преобладают автоматические методы, в то время как для построения защиты с помощью аппаратных электронных ключей HASP HL профессиональные разработчики рекомендуют использовать фантазию, позволяющую учесть специфические характеристики защищаемого продукта. Отметим, что автоматические методы программных защит не могут обеспечить полет фантазии, поскольку их однажды заложенные параметры в большинстве случаев не могут быть изменены. В результате устанавливаться (впрочем, как и ломаться) такая защита будет по одним и тем же схемам.
Стоит отдельно отметить отсутствие различий в схемах лицензирования, предлагаемых обоими типами продуктов. Так, и StarForce, и ключи HASP позволяют формировать trial-версии программ, ограничивать количество пользователей в сети, устанавливать ограничения на те или иные компоненты защищаемых приложений и т.д. Это свидетельствует о достаточно высоком общем уровне продающихся сегодня средств защиты.
Итоги
Рациональный подход к защите своих продуктов лучше всего проиллюстрировать на примере компании "1С". Как известно, эта фирма издает массу обучающих программ и компьютерных игр, которые защищены системой StarForce, а также более тяжелые корпоративные приложения, находящиеся под защитой ключей HASP.
Очевидно, что игры и обучающиеся программы относятся преимущественно к категории дешевых продуктов. Более того, спрос на игры начинает падать буквально через несколько месяцев после официального выхода продукта. Поэтому разработчику просто не нужен высокий уровень защиты, который он к тому же не сможет себе позволить — игры окажутся слишком дорогими.
Совсем другое дело — корпоративные приложения, которые компания "1С" защищает ключами HASP с 1997 года. Отметим, что за это время фирма не разочаровалась в данном средстве защиты и продолжает закупать сотни тысяч ключей ежегодно. Здесь это абсолютно оправданно, так как продаваемые продукты стоят намного дороже обучающих программ и игр, а следовательно, им необходим серьезный уровень защиты.
Таким образом, можно резюмировать, что окончательный выбор разработчика по использованию аппаратных или программных средств защиты зависит исключительно от цены продаваемого программного обеспечения, а значит, от необходимости обеспечить тот или иной уровень защиты. Чем выше цена, тем более высокий уровень защиты требуется заказчику и тем сильнее чаша весов склоняется в сторону аппаратных электронных ключей.
|
1Hardware Authentication Token 2005-2009 Forecast & 2004 Vendor Shares, IDC. Декабрь 2005.
2http://=$_SERVER["HTTP_HOST"]?>/solutions/hasp.php.
3http://www.star-force.ru/protection/.