Разработчики защиты иногда прибегают к средствам, которые используют нападающие

Эффективная защита должна учитывать возможности нападения, чтобы адекватно на них реагировать. Поэтому разработчикам защиты иногда приходится прибегать к механизмам, которые используют в своей практике нападающие. Особенно это характерно для средств защиты от копирования. Им приходится сопротивляться такой сложно контролируемой атаке как дизассемблирование. Для этого иногда приходится скрывать присутствие в системе средств защиты. Вот, например, как поясняет ситуацию Денис Жидков из компании StarForce: «Защита от копирования должна интегрироваться в операционную систему настолько глубоко, насколько необходимо, чтобы оставаться эффективной».

Sony защищает свои аудиодиски с помощью программы XCP2, удалять которую и сложно и опасно

Однако в соперничестве со взломщиками можно и заиграться, вызвав недовольство легальных покупателей. В частности именно так и случилось с компанией Sony BMG, которая решила защищать свои музыкальные диски от копирования на компьютере. Для этого она купила систему XCP2 для защиты от копирования или управления цифровыми правами у компанией First 4 Internet. А продукт этой компании использует для контроля копий метод глубокого погружения в операционную систему, то есть он не просто подмешивает белый шум при перекодировании в mp3, но также модифицирует драйвер CD-ROM и скрывает свое присутствие в системе, используя для этого методы, характерные для программ-невидимок или rootkit. При этом программа защиты оставалась в работе даже при вынутом компакт-диске, который она защищала, и к тому же расходовала определенные ресурсы процессора. Обнаружил эту особенность дисков Sony разработчик средства борьбы с rootkit Марк Русинович.

Сообщение Русиновича вызвало резонанс, и Sony пришлось признать, что она защищает свои музыкальные композиции с помощью программы XCP2, которую сложно и опасно удалять с компьютера. Было выявлено по крайней мере 19 дисков, защищенных подобной программой. Для удаления своей защиты компания выпустила специальную заплатку, получить которую можно было, только пройдя сложную систему регистрации и указав свои персональные данные. Однако практически все производители антивирусов объявили данную программу «шпионом», так что появилась возможность удалить непрошеного гостя с помощью стандартных антивирусных и антишпионских средств.

Издательская фирма EMI, конкурент Sony BMG, заявила, что не скрывает свои средства защиты, которые можно удалить средствами Windows. Открестилась от подобной практики и StarForce.

«Профессиональная версия защиты StarForce предполагает установку на ПК пользователя специальных драйверов для перехвата программ-эмуляторов. Эти драйверы инсталлируются в явном виде, покрываются лицензионным соглашением EULA, и в любой момент могут быть деинсталлированы. Мы не используем в своих средствах защиты элементов, которые бы устанавливались на ПК пользователя тайно или для других целей, кроме целей непосредственной защиты от копирования», — подчеркнул Жидков.

Закончилась история XCP2 печально. В Internet была обнаружена троянская программа Breplibot.b, которая использовала имена, скрываемые защитой Sony. Если такая программа запускалась на компьютере, где ранее проигрывались диски, защищенные XCP2, то зловредные компоненты также становились невидимы. В результате Sony уже обвинили в пособничестве хакерам — только в Калифорнии было подано несколько судебных исков.


Хронология

В соперничестве с взломщиками можно и заиграться, вызвав недовольство легальных покупателей

1 ноября: Опубликовано исследование Марка Русиновича о защите Sony

6 ноября: Вышли исправления от Sony для удаления защиты

9 ноября Антивирусные компании начали распознавать защиту от Sony как шпионское ПО

10 ноября Появилась троянская программа Breplibot.b

Поделитесь материалом с коллегами и друзьями