Разработка аппаратной части комплекса защиты коммерческого ПО от несанкционированного копирования

К достоинствам УВИП на базе электронных  ключей iButton относятся:

- надежность, долговечность (время  хранения информации в памяти идентификатора составляет не менее 10 лет);

- высокая степень механической  и электромагнитной защищенности;

- малые размеры;

- относительно невысокая  стоимость.

Недостатком этого устройства является зависимость его срабатывания от точности ручного соприкосновения идентификатора и считывателя, осуществляемого вручную.

 

 

Устройства ввода на базе смарт-карт

Устройства ввода идентификационных  признаков на базе смарт-карт относятся  к классу электронных устройств. Они могут быть контактными и бесконтактными (дистанционными).

Основой внутренней организации  смарт-карты является так называемая SPOM-архитектура (Self Programming One-chip Memory), предусматривающая  наличие центрального процессора (CPU), ОЗУ, ПЗУ и электрически перепрограммируемой постоянной памяти EEPROM (рис. 4). Как правило, в карте также присутствует специализированный сопроцессор.

Рис.4. Структура контактной смарт-карты

Процессор обеспечивает разграничение  доступа к хранящейся в памяти информации, обработку данных и реализацию криптографических алгоритмов (совместно  с сопроцессором). В ПЗУ хранится исполняемый код процессора, оперативная  память используется в качестве рабочей, EEPROM необходима для хранения изменяемых данных владельца карты.

В структуру бесконтактных  смарт-карт на базе стандарта MIFARE 1 S50 IC (или MIFARE Standard) дополнительно входит радиочастотный модуль со встроенной антенной, необходимой для связи со считывателем и питания микросхемы. Смарт-карта является пассивной, расстояние считывания составляет не более 10 см. Обмен информацией осуществляется на частоте 13,56 МГц с максимальной скоростью 106 кбит/с.

 Идентификация по  серийному номеру, шифрование данных и аутентификация областей памяти с помощью секретных ключей обеспечивают надежную защиту смарт-карт от взлома.

По отношению к компьютеру устройства чтения смарт-карт могут  быть внешними и внутренними (например, встроенными в клавиатуру, гнездо 3,5” дисковода, корпус компьютера). Считыватель работает под управлением специальной программы - драйвера устройства чтения.

Несомненными достоинствами  УВИП на базе смарт-карт считаются удобство хранения идентификатора (например, его  можно держать в бумажнике вместе с другими карточками) и считывания идентификационных признаков. К недостаткам можно отнести ограниченный срок эксплуатации из-за неустойчивости смарт-карты к механическим повреждениям и высокую стоимость считывателей смарт-карт.

Proximity

Устройства ввода идентификационных  признаков на базе идентификаторов Proximity (от англ. proximity - близость, соседство) или RFID-системы (radio-frequency identification - радиочастотная идентификация) относятся к классу электронных бесконтактных радиочастотных устройств.

Радиочастотные идентификаторы выпускаются  в виде карточек, брелоков, браслетов, ключей и т. п. Каждый из них имеет  собственный уникальный серийный номер. Основными их компонентами являются интегральная микросхема, осуществляющая связь со считывателем, и встроенная антенна. В состав микросхемы входят приемо-передатчик и запоминающее устройство, хранящее идентификационный код и другие данные. Внутри Proximity может находиться источник питания - литиевая батарея. Такие идентификаторы называются активными. Они обеспечивают взаимодействие со считывателем на значительном расстоянии (в несколько метров). Дистанция считывания для пассивных идентификаторов (не имеющих батареи) измеряется десятками сантиметров.

Считывающее устройство постоянно излучает радиосигнал. Когда идентификатор оказывается на определенном расстоянии от считывателя, антенна поглощает сигнал и передает его на микросхему. Получив энергию, идентификатор излучает идентификационные данные, принимаемые считывателем. Дистанция считывания в значительной степени зависит от характеристик антенного и приемо-передающего трактов считывателя. Весь процесс занимает несколько десятков микросекунд.

Основными достоинствами УВИП на базе идентификаторов Proximity являются:

- бесконтактная технология считывания;

- долговечность пассивных идентификаторов (некоторые фирмы-производители дают на карты пожизненную гарантию);

- точность, надежность и удобство считывания идентификационных признаков.

К недостаткам RFID-систем относят слабую электромагнитную защищенность и высокую стоимость.

Устройства ввода на базе USB-ключей

Устройства ввода идентификационных  признаков на базе USB-ключей относятся  к классу электронных контактных устройств. В составе УВИП данного  типа отсутствуют дорогостоящие  аппаратные считыватели. Идентификатор, называемый USB-ключом, подключается к USB-порту непосредственно или с помощью соединительного кабеля.

Конструктивно USB-ключи  выпускаются в виде брелоков (рис. 5), которые легко размещаются на связке с обычными ключами. Каждый идентификатор имеет собственный уникальный серийный номер. Основными компонентами USB-ключей являются встроенные процессор и память. Процессор выполняет функции криптографического преобразования информации и USB-контроллера. Память предназначается для безопасного хранения ключей шифрования, цифровых сертификатов и любой другой важной информации. Поддержка спецификаций PC/SC позволяет без труда переходить от смарт-карт к USB-ключам и встраивать их как в существующие приложения, так и в новые.

Рис.5. Идентификатор eToken R2

На российском рынке безопасности предлагаются следующие USB-ключи:

- серии iKey 10xx и iKey 20xx (разработка  компании Rainbow Technologies);

- eToken R2, eToken Pro (Aladdin Knowledge Systems);

- ePass1000 и ePass2000 (Feitian Technologies);

- WebIdentity, CryptoIdentity (Eutron).

В таблице 1 представлены некоторые характеристики USB-ключей.

Таблица 1. Характеристики USB-ключей

Достоинства УВИП на базе USB-ключей заключаются  в отсутствии аппаратного считывателя, малых размерах и удобстве хранения идентификаторов, а также в простоте подсоединения идентификатора к USB-порту.

К недостаткам можно  отнести сравнительно высокую стоимость (на российском рынке цена USB-ключей в зависимости от типа превышает $20) и слабую механическую защищенность брелока.

Биометрические устройства ввода

Биометрические УВИП относятся  к классу электронных устройств. Они могут быть контактными и  бесконтактными (дистанционными).

В основе биометрической идентификации  и аутентификации лежит считывание и сравнение предъявляемого биометрического признака пользователя с имеющимся эталоном. Такого рода признаки включают в себя отпечатки пальцев, форму и термограмму лица, рисунок сетчатки и радужной оболочки глаза, геометрию руки, узор, образуемый кровеносными сосудами ладони человека, речь и т. д. Высокий уровень защиты определяется тем, что биометрия позволяет идентифицировать человека, а не устройство.

Считыватели (или сканеры) отпечатков пальцев представляют собой  подключаемые к одному из портов компьютера отдельные устройства либо они встраиваются в компьютерные мыши (рис. 6), клавиатуры, корпуса мониторов. Наибольшее распространение получили дактилоскопические мыши, ориентировочная цена которых на российском рынке составляет от 50 долл.

Рис.6. Сканирующее устройство и мышь компании SecuGen

Есть способ обмануть сканер, применимый не только к емкостным сенсорам, - взять отпечаток пальца, оставленного пользователем на какой-нибудь поверхности, и скопировать его с помощью графитовой пудры и липкой ленты. Кроме того, искусственный силиконовый палец позволяет одурачить некоторые дактилоскопические сканеры, система распознавания по чертам лица может быть обманута путем демонстрации на мониторе ноутбука видеопортрета ранее зарегистрированного пользователя и т. д.

Комбинированные устройства ввода

Эффективность защиты компьютеров  от НСД может быть повышена за счет комбинирования различных УВИП. Эта  тенденция наглядно просматривается в изделиях ведущих мировых компаний.

Корпорация HID разработала карты-идентификаторы, объединяющие в себе различные технологии считывания идентификационных признаков. Например, в устройстве Smart ISOProx II сочетаются Proximity 125 кГц и контактная смарт-карт-технология MIFARE 13,56 МГц, в HID MIFARE Card - контактные и бесконтактные смарт-карт-технологии.

Альянс Fujitsu Siemens Computers предлагает комбинированное УВИП под названием KBPC-CID. Данное изделие представляет собой объединенные встроенные в клавиатуру компьютера считыватель для смарт-карт и дактилоскопический сканер (рис. 7). Клавиатура подключается к USB-порту защищаемого компьютера.

Рис.7. Изделие KBPC-CID

В компании Siemens найдено решение, позволяющее  хранить в смарт-карте три биометрических идентификационных признака пользователя: отпечаток пальца, черты лица и  голос.

Представляется интересным желание  объединить USB-ключ с биометрической системой идентификации. Подобное предложение поступило от компании Trekstor, выпустившей изделие ThumbDrive Touch. Основными компонентами устройства, выполненного в виде USB-брелока (рис. 8), являются дактилоскопический сканер и энергонезависимая флэш-память емкостью от 32 до 512 Мб. В памяти выделяются открытая и защищенная области. Пользователь получает доступ к защищенной области памяти после проверки отпечатков пальцев. Скорость чтения и записи данных составляет 500 и 250 Кб/с соответственно.

Рис.8. Изделие ThumbDrive Touch

Электронные замки

На электронные замки возлагается  выполнение следующих защитных функций:

- идентификация и аутентификация  пользователей с помощью УВИП;

- блокировка загрузки операционной  системы с внешних съемных  носителей;

- контроль целостности программной  среды компьютера;

- регистрация действий пользователей  и программ.

Свои основные функции электронные замки реализуют до загрузки операционной системы компьютера. Для этого в составе каждого изделия имеется собственная память EEPROM, дополняющая базовую систему ввода-вывода BIOS компьютера. При включении компьютера выполняется копирование содержимого EEPROM замка в так называемую теневую область (Shadow Memory) оперативной памяти компьютера, с которой и ведется дальнейшая работа.

На российском рынке разработкой  электронных замков занимается ограниченное число фирм. Ниже рассматриваются  наиболее известные сертифицированные  изделия отечественных компаний.

Так неужели компьютеры, содержащие важную и ценную информацию, не нуждаются  в надежной защите от возможных нападений недобросовестных сотрудников? Ответ очевиден: нуждаются. И здесь неплохую службу могут сослужить аппаратно-программные средства контроля доступа к компьютерам.

 

 

 

 

3.     Шифрование исполняемого кода

Даная операция предназначена для сокрытия наиболее важных частей программы и наложения ограничений и/или неработоспособности программы без наличия лицензии.

    Шифрование исполняемого кода – это один из самых надежных способов защиты программы от несанкционированного использования. Однако зашифрованная программа останется уязвимой от атаки следующего рода: взломщик приобретает лицензионную копию, запускает ее и, из дампа памяти, получает расшифрованную версию. Во избежание подобного взлома после исполнения зашифрованного кода его необходимо зашифровать. Таким образом, у взломщика останется только возможность вручную опознавать и получать отдельные части зашифрованной программы и собирать их, что очень трудоемко.

    Пример №1: есть программа, обладающая неким проверочным периодом (несколько дней). Без наличия лицензии данная программа должна позволять работать, но не позволять сохранять полученный результат. По истечении проверочного срока программа должна прекратить работу до появления лицензии (покупки программы).

 

    Существующие методы защиты шифрованием исполняемого кода основаны на следующих тезисах:

1. В исполняемом файле секции данных и кода находятся в одном адресном пространстве, поэтому мы можем работать с секцией кода как с данными.
2. Мы можем ввести в исполняемый код программы (в момент разработки) некоторое количество однозначно воспринимаемых меток, позволяющих ограничить некоторые блоки исполняемого кода на момент его разработки. Практическим путем установлено, что метка имеющая длину не менее 15 байт воспринимается однозначно и вероятность совпадения этой метки с некоторой последовательностью байт в двоичном коде исполняемого файла практически равна 0.
3. Мы можем, зная структуру исполняемого файла (например, PE или PE64 ОС Windows) можем внедрять в него функции шифрации и дешифрации с последующим изменением данных в структуре исполняемого файла в соответствии с изменениями.

    В случае отсутствия лицензии (ключа дешифрования) блок кода, помещенный между маркерами, «невидим» для программы и она просто пропускает его. Дойдя до маркера программа либо расшифрует и выполнит его (купленная версия, есть лицензия), либо «перепрыгнет» (проверочная, не оплаченная версия).

Рис.9. Маркеры в программе.

    Маркерами в программе являются ассемблерный код:

asm

      DB 0E9h

      DD «Длина маркера»

      DB «маркер»

end;

    Модуль, производящий шифрование  блока, должен будет  также  изменить первый безусловный  переход, то есть удвоить четырехбайтное  значение «Длина маркера» и прибавить к нему расстояние между маркерами.

Чем длиннее маркер, тем меньше вероятность того, что в других местах программы встретятся такие  же последовательности байт. Практика показывает, что 8 байт вполне достаточно.