Запросы к заглушкам всегда зашифрованы, и сами они защищены от аппаратного перепрограммирования множеством различных хитростей. Тем не менее программы, использующие заглушки, по сей день регулярно взламываются без применения ухищрений, направленных на преодоление криптографии или системы сопротивления вторжению.
Как это происходит? Хакеры вне зависимости от того, устояла заглушка или нет, внедряются в код и удаляют из него все обращения к ней. Это кропотливая работа: хакеры должны просмотреть весь код строку за строкой, функцию за функцией, вызов за вызовом. Им необходимо подключить логический анализатор к заглушке и проследить адреса обращений к ней. Сложная программа может содержать десятки мегабайтов кода. Но вспомним, что было сказано в главе 2, и мои рассуждения о том, чем Интернет отличается от реального мира: лишь первый взломщик должен добиться успеха, взломанной версией программы смогут пользоваться все остальные.
Несмотря на успехи пиратов, компании-производители не прекращают попыток защитить свою продукцию от копирования. Версия Quake 1996 была выпущена на зашифрованном компакт-диске: позволено было использовать ее практически бесплатно, если позвонить в компанию и приобрести пароль. Однако и она была взломана, так же как и все другие популярные программы, имевшие защиту от копирования.
Взломанные программы называются warez, и каждый может самостоятельно собрать целую их коллекцию, блуждая по Интернету. Вы не найдете соответствующие руководства, но в вашем распоряжении есть множество полезных книг.
Производители средств защиты от копирования стараются сохранить свои позиции, ссылаясь на возможности новых технологий в этой области. Они уверяют, что серийный номер микропроцессора является гарантией того, что законно приобретенная программа будет установлена на одном-единственном компьютере. Они рассуждают о возможности применения кодирования с использованием особенностей конкретной материнской платы. Все это неправда. Это может удержать Джо Середнячка от распространения программ, имеющихся в его распоряжении, но не остановит Джейн Хакер от того, чтобы взломать программу и предоставить ее версию для всеобщего пользования.
Двоякая природа рисков в этом случае точно такая же, как и рассматривавшаяся в связи с проблемой водяных знаков. Посмотрите, что происходит в видеоиндустрии: пиратство было гораздо менее распространено, когда видеомагнитофоны были еще в диковинку. Тому есть две причины. Во-первых, изящная защита от копирования не позволяла Джо Середнячку использовать для этих целей ни один из существовавших видеомагнитофонов. Во-вторых, розничная цена видеозаписей была настолько низка, что все ухищрения Джейн Хакер были экономически не оправданны.
Что действительно интересно в связи с проблемой защиты от копирования и пиратства, так это идея о том, что проблема на самом деле не существует. Не столь важно защитить от копирования коммерческий продукт. В условиях конкуренции ключевым моментом является распространение продукта на рынке. Многие компании руководствуются принципом: пираты не причинят нам ущерба, если наша продукция не пользуется спросом. Это вроде того, как если кто-то принимает наши телепередачи вне нашей сети. Почти все те, кто крадет наши программы, не в состоянии заплатить за них. Однако когда эти пираты окажутся перед выбором, они будут покупать нашу продукцию, а не продукцию конкурентов. Пиратство оказывается неожиданным средством рекламы.
Компания Microsoft имела в виду именно это, когда переводила свои программы на китайский язык и распространяла их в этой стране. Было очевидно, что программы будут взламываться, но потери будут составлять меньше одной десятой со всех продаж. Часто цитировали слова одного из сотрудников Microsoft, Стивена Бальмера: «Готовность к тому, что ваши программы будут взламывать, означает, что вы понимаете – это будут ваши программы, а не конкурентов. Важно, чтобы в развивающихся странах на рынке были широко распространены краденые программы». Когда Китай войдет в число свободных стран, он будет ориентироваться на продукцию Microsoft. До тех пор Microsoft ничего не теряет. В этом состоит стратегия бизнеса[44].
Уничтожение информации
Очень часто возникает необходимость уничтожения информации. Если вы хотите удалить секретный файл со своего компьютера, вам хочется быть уверенными в том, что никто впоследствии не сможет восстановить его. Если вы используете секретный ключ шифрования связи – телефонных переговоров, например, – вам хотелось бы, чтобы ключ был уничтожен по окончании разговора и никто не смог бы воспользоваться им.
Уничтожение информации оказывается делом гораздо более сложным, чем это можно себе представить.
Когда вы удаляете файл с магнитного диска (жесткого, гибкого диска), данные в действительности не уничтожаются. (Поэтому и возможно их восстановление с помощью утилиты unerase.) Файл попросту помечается как «удаленный», и впоследствии соответствующие биты перезаписываются новыми данными. Единственный способ полностью удалить файл с магнитного диска состоит в том, чтобы записать на его место другой файл. Некоторые утилиты удаления именно это и делают.
Менее известно, что существуют технологии, позволяющие восстановить удаленные данные, даже если на их место были записаны новые. Я не буду вдаваться в премудрости этой науки, но вы можете представить, что перезапись некоего фрагмента является попросту записью в его начало. Некоторые данные, расположенные ниже, сохраняются. И когда вы вновь производите перезапись, сохраняются фрагменты двух предыдущих записей, и т. д. Технология, известная под названием «магнитная микроскопия», позволяет восстановить данные после многократной перезаписи. Сколь много может быть перезаписей, точно не известно, некоторые утверждают, что до десяти.
Эти «микроскопы» достаточно дороги (хотя любительские версии дешевеют), и проверки такого рода доступны только государственным структурам. Если у вас возникает беспокойство в связи с интересом государственных служб, единственным действенным способом уничтожения информации на магнитном диске будет стереть его в порошок.
Уничтожить данные, оказавшиеся в аппаратуре, нелегко. Как SRAM, так и DRAM сохраняют некоторые следы данных после отключения питания. Биты, содержащиеся в RAM, могут быть восстановлены путем определения изменений содержимого ячейки памяти. Изменением температуры чипа и подаваемого напряжения можно достичь восстановления удаленных данных. Существует множество физических методов, которые применимы для этих целей.
Оборудование для военной криптографии в США построено таким образом, чтобы уничтожать, или «обнулять», ключи в случае вторжения. Это нелегкая задача, и тому есть две причины: удалить данные непросто, а кроме того, нужно еще успеть сделать это вовремя. Были разработаны специальные датчики, сигнализировавшие о попытках проникновения внутрь оборудования. Они реагируют на изменение различных параметров: напряжения и силы тока, освещенности и температуры. Однако если нападающий знает, что представляют собой эти датчики, он в состоянии их обойти. (Он может работать при таком освещении, к длине волны которого датчик нечувствителен, или может медленно изменять температуру, чтобы обмануть его, а также использовать множество других приемов.) Опять-таки, это проблема в первую очередь государственных структур, и она очень сложна.
Одна из основных трудностей состоит в том, что устройство должно обеспечивать полную сохранность ключей в нормальных условиях и полностью удалять их, не оставляя следов, в чрезвычайных ситуациях. Если используется хорошая технология обеспечения сохранности ключей, неизбежно возникают трудности С их уничтожением. Решить сразу обе противоречащие друг другу задачи весьма непросто.
Коммерческие системы сталкиваются с этой проблемой в тех случаях, когда требуется, чтобы владелец устройства, например смарт-карты или приемника передач платного телевидения, не мог добраться до его секретов. Я уже говорил о системах сопротивления вторжению и способах их преодоления. Техника «обнуления» позволяет обезопаситься от нападений этого рода. Однако существуют способы борьбы и с «обнулением». В основном коммерческие системы не приобретают права на использование «обнуления» (мне известно только одно устройство коммерческого назначения, имеющее государственный сертификат «обнуления» FIPS 140-3), поскольку стоит это весьма дорого.