<< Предыдущая

стр. 30
(из 39 стр.)

ОГЛАВЛЕНИЕ

Следующая >>

Скорее всего, разработчики полагались в некоторой степени на протектор РАСЕ
InterLok, который использовался для предотвращения исследования кода Glass-
Book Reader. Однако InterLok плохо спраапялся с возложенной на него задачей,
что делало GlassBook Reader уязвимым для целого спектра атак на DRM.
После перехода GlassBook Reader в собственность Adobe и превращения его
в Adobe eBook Reader никаких значительных технических улучшений в пла-
не снижения уязвимости системы DRM так и не было сделано.
Однако с появлением Acrobat 6 работа с электронными книгами была пере-
несена в Adobe Acrobat и Adobe Reader, a Adobe eBook Reader, похоже, пере-
стал развиваться.


16.4.3. Общая проблема с DRM для PDF
С обеспечением DRM в отношении документов в формате PDF существует
еще одна сложность.
Глава 16. Особенности реализации DRM 203

Дело в том, что на протяжении многих лет защита документа обеспечива-
лась по следующей схеме:
• Acrobat выяснял, какой модуль был использован для защиты документа,
и передавал ему информацию о защищенном документе;
П модуль защиты проверял права доступа, и если пользователь имел все
необходимые разрешения для открытия документа, в Acrobat возвращался
ключ шифрования;
• Acrobat использовал ключ, полученный от модуля защиты, для расшиф-
рования фрагментов документа перед отображением их на экране.
В этой схеме очень легко найти слабое место. После того как модуль защи-
ты вычислил ключ шифрования, этот ключ передается в Acrobat, а значит,
может быть перехвачен и использован внешней программой для получения
незащищенной копии документа.
Возможность такой атаки практически сводила к нулю все усилия по по-
строению DRM, т. к. любые ограничения становились бессмысленными,
если можно было перехватить ключ шифрования при первом показе доку-
мента на экране.
Начиная с шестой версии продуктов семейства Acrobat, модули защиты по-
лучили возможность самостоятельно решать, каким именно способом будет
зашифрована та или иная часть PDF-документа. И при такой реализации
перехват ключа уже не работает, т. к. передачи ключа между отдельными
узлами защиты просто не происходит.
Но тут возникает другая проблема. Начиная с шестой версии, показ элек-
тронных книг ведется не через eBook Reader, а через Adobe Acrobat или
Adobe Reader. И, разумеется, сама программа, показывающая документ,
имеет полный доступ к его содержимому, какой бы алгоритм шифрования
не использовался в модуле защиты.
Но и Acrobat, и бесплатный Reader поддерживают модули расширения.
И совершенно очевидно, что если противник сможет создать свой модуль
расширения и сделать так, чтобы он был загружен в тот момент, когда от-
крывается защищенная книга, то из этого модуля (фактически выполняю-
щегося как часть программы просмотра) можно получить полный доступ
к содержимому книги.
Разумеется, Adobe предприняла некоторые усилия для того, чтобы предот-
вратить возможность загрузки посторонних модулей расширения в тот мо-
мент, когда идет работа с книгами, защищенными DRM. Но, как было по-
казано в разд. 2.3, самые последние версии программ семейства Acrobat
продолжают загружать модули расширения, имеющие поддельную цифро-
вую подпись, но только в "несертифицированном" режиме, в котором работа
с защищенными электронными книгами невозможна.
204 Часть IV. Основные аспекты защиты данных


Но после того как модуль расширения был загружен и получил управление,
он может "убедить" Acrobat в том, что все загруженные модули расширения
имеют правильные сертификаты, а значит, можно и открывать электронные
книги.
К сожалению, представители Adobe утверждают, что загрузка модулей рас-
ширения с поддельными подписями является нарушением лицензии (что,
в общем, справедливо) и, следовательно, не может считаться проблемой
безопасности. Однако здравый смысл подсказывает, что к вопросам безо-
пасности относится все, что хоть как-то влияет на возможность использо-
вать данные любым способом, отличным от способа, запланированного из-
дателем.


16.4.4. Microsoft LIT
Еще одна независимая попытка построения рынка электронных документов
была предпринята корпорацией Microsoft. Были разработаны новый формат
электронных книг LIT (Literature) и бесплатная программа Microsoft Reader
для просмотра представленных в нем документов.
Формат внутреннего представления данных в LIT основан на спецификации
ОЕВ (Open eBook Publication Structure), разрабатываемой организацией Open
еВоок Forum, к настоящему моменту объединившейся с ЕВХ Workgroup.
При разработке LIT было предложено реализовать 5 уровней защиты доку-
мента с возрастанием защищенности при переходе к следующему уровню.
Однако уровень 1 (без защиты вообще) и уровень 4 (ограничено защищен-
ный от копирования) были отброшены как бесперспективные. В результате,
Microsoft Reader поддерживает документы трех степеней защиты:
• уровень 2 — "опечатанный" (Sealed). Содержимое книги упаковано и за-
шифровано, чтобы избежать нарушений целостности. При этом книга не
считается защищенной от копирования;
• уровень 3 — "надписанный" (Inscribed). To же, что и "опечатанный", но
на титульную страницу электронной книги выводится информация о по-
купателе (как правило, это имя покупателя и уникальный идентификатор
покупки). Подобная информация позволяет выяснить происхождение
конкретного экземпляра, что является дополнительным стимулом к чест-
ному использованию;
• уровень 5 — "для личного пользования" (Owner-Exclusive). Книга зашиф-
рована и может быть открыта для чтения только на том устройстве, кото-
рое было активировано для прочтения именно этой книги.
Для использования книг, имеющих пятый уровень защиты (Owner-
Exclusive), необходимо активировать Microsoft Reader, привязав его к учет-
Глава 16. Особенности реализации DRM 205

ной записи в системе MS Passport. К одному паспорту можно привязать
суммарно до 8-ми разных персональных компьютеров и устройств Pocket
PC. Тогда книги, купленные с одного из этих устройств, можно будет читать
с любого другого компьютера, привязанного к тому же паспорту.
При выполнении активации на компьютер пользователя передаются не-
сколько библиотек, необходимых для работы с защищенными книгами. Эти
библиотеки очень неплохо защищены от исследования. Так, например, если
один компьютер дважды привязать к одному и тому же паспорту, то биб-
лиотеки окажутся совершенно разными, хотя и будут работать одинаково.
Однако как минимум одному британскому программисту Дэну А. Джексону
(Dan A. Jackson) удалось разобраться с устройством средств защиты, приме-
няемых в Microsoft Reader, и разработать программу Convert LIT, позво-
ляющую переводить Owner-Exclusive книги в Sealed, а также извлекать все
содержимое книг и сохранять его в виде набора файлов ОЕВ. Convert LIT
распространяется под лицензией GPL (GNU General Public License) бес-
платно и с исходными текстами.
Microsoft не стала устраивать истерии по поводу появления программы для
снятия защиты с электронных книг, в результате чего инцидент прошел
практически незамеченным средствами массовой информации. С тех пор
было выпущено несколько обновлений Microsoft Reader, препятствующих
снятию защиты, но автор Convert LIT в ответ оперативно создает новые вер-
сии своей программы.
Похоже, что Convert LIT умеет напрямую работать с библиотеками защиты,
получаемыми при активации, и может заставить их расшифровать книгу.
Однако существует и другой сценарий атаки, позволяющий расшифровы-
вать документы LIT и извлекать их содержимое.
Дело в том, что Microsoft при разработке LIT использовала несколько суще-
ствующих технологий. Так для вычисления хэш-функции применяется мо-
дификация алгоритма SHA1, в которой 9 трансформаций из 80 были изме-
нены. Шифрование выполняется при помощи модифицированной версии
алгоритма DES. Но, самое главное, внутреннее устройство файлов LIT
очень похоже на внутреннее устройство файлов СНМ (Compiled HTML Help
file), применяемых для хранения справочной информации.
Но про СНМ-файлы достоверно известно, что они являются одной из реа-
лизаций структурированного хранилища, т. е. поддерживают интерфейс IS-
torage. Следовательно, можно сделать вывод, что и LIT-файлы поддержива-
ют этот интерфейс. Если противнику удастся перехватить управление в тот
момент, когда все защитные механизмы отработают и Microsoft Reader будет
иметь указатель на объект, соответствующий корню хранилища, снятие за-
щиты станет тривиальным. Достаточно будет вызвать методы интерфейсов
206 Часть IV. Основные аспекты защиты данных


IStorage и IStream, описанные в MSDN (Microsoft Developers Network), что-
бы перебрать все вложенные хранилища и потоки и сохранить их на диске
в виде директорий и файлов.

16.4.5. Тенденции рынка электронных книг
Не совсем понятно, что ждет индустрию электронных книг в будущем.
На настоящий момент прибыль от продаж защищенных электронных изда-
ний составляет единицы, если не доли процента от прибылей, получаемых
за счет бумажных книг. И особых поводов к изменению такого соотноше-
ния пока не заметно.
Маловероятно, что электронные книги плохо продаются из-за того, что кто-
то снимает с них защиту и начинает бесплатно раздавать направо и налево.
Скорее уж пользователи опасаются иметь дело с защищенными книгами,
т. к. многим пришлось столкнуться с проблемами потери доступа из-за сбо-
ев в программном обеспечении или изменении аппаратной конфигурации.
Также, несмотря на все удобства, которые сопутствуют электронным книгам
(а это гиперссылки, возможности поиска и аннотирования, озвучивание и
многое другое), защищенные книги во многом ограничивают пользователя.
Далеко не всегда книгу удается читать там, где хочется. Ведь многие люди
используют, например, Linux, но ни Microsoft Reader, ни Adobe eBook
Reader под Linux не работают. Да и бумажную книгу, которая больше не
нужна, можно подарить или просто дать почитать. А выполнение подобных
действий с электронными книгами почти всегда запрещается издателями.
В любом случае, 9 сентября 2003 года онлайновый книжный магазин, при-
надлежащий Barnes&Noble, одной из крупнейших мировых книготорговых
компаний, объявил о прекращении продаж электронных книг в форматах
Microsoft Reader и Adobe Reader.


16.5. Digital Property Protection
Компанией Infraworks, занимающейся вопросами борьбы с воровством ин-
теллектуальной собственности, была разработана технология inTether (на
привязи), которую сами разработчики предпочитают называть не DRM,
a DPP — Digital Property Protection (защита цифровой собственности). Воз-
можно, разница между DPP и DRM — это всего лишь игра терминов, по-
зволяющая не бояться обвинений в нарушении патентов на системы DRM.
Во всяком случае, у DRM и DPP очень много общего.
Отличительная особенность InTether заключается в том, что эта технология
может применяться для защиты документов практически любого типа —
совершенно не обязательно знать, с чем именно будет иметь дело защита.
Глава 16. Особенности реализации DRM 207

После установки InTether на компьютер у конечного пользователя появляет-
ся возможность получать из Интернета или другого источника защищенные
документы и размещать их на диске. На самом деле, в файловую систему
будет помешен только файл нулевого размера, а содержимое окажется спря-
танным в специатьном защищенном хранилище. Но когда загружены драй-
вера защиты, создается ощущение, что файлы действительно существуют и
имеют ненулевой размер.
При попытке открытия защищенного документа любой программой в ход
вступает модуль защиты, предупреждающий пользователя о том, какие ог-
раничения наложены на этот документ. Набор поддерживаемых ограниче-
ний довольно широк и включает в себя такие возможности, как уничтоже-
ние документа через 10 минут после открытия, запрет на сохранение копии
документа, запрет на использование буфера обмена и многое другое.
Если пользователь подтверждает свое желание открыть документ, то про-
грамма, используемая для этого, попадает как бы в изолированный мир. Для
пользователя все будет работать практически как обычно: можно сохранять
файл, можно копировать выделенный текст в буфер обмена. Но ни один
другой процесс не увидит результатов этих действий, т. к. защита лишь эму-
лирует их для процесса, открывшего защищенный файл.
По утверждению главного администратора компании Infraworks, защита, на
разработку которой ушло более 3-х лет, состоит из 11 слоев, каждый из ко-
торых контролирует целостность всех остальных. И если противнику удастся
нейтрализовать один из слоев, это обнаружится в другом слое и защищаемая
информация будет уничтожена.
Действительно, защита устанавливает около 10 драйверов в ядро операци-
онной системы, что само по себе выглядит устрашающе. Но ведь общая
стойкость защиты определяется самым слабым звеном. А слабое звено,
в данном случае, не в драйверах, а в самой операционной системе.
Дело в том, что Windows поддерживает огромное количество различных спо-
собов для передачи информации от одного процесса к другому, например:
П COM (Component Object Model, модель компонентных объектов);
• Data Copy (сообщение WM_COPYDATA);
О DDE (Dynamic Data Exchange, динамический обмен данными);
• File Mapping (файлы, отображаемые в память);
О Mailslots (почтовые ящики);
• Pipes (каналы);
• RPC (Remote Procedure Call, удаленный вызов процедур).
208 Часть IV. Основные аспекты защиты данных


И, используя любой из этих методов, программа, открывшая защищенный
файл, может передать его содержимое другому процессу, на функциониро-
вание которого не будет наложено никаких ограничений.
Разработчики InTether были поставлены в известность относительно най-
денной уязвимости, и в последней версии программы используется понятие
"trusted applications" — приложения, которым разрешено открывать защи-
щенные документы.
Но, скорее всего, проблема осталась, ведь, например, Microsoft Word должен
оказаться в списке "trusted applications" для DOC-файлов. Но Word позволя-
ет выполнять программы, написанные на VBA (Visual Basic for Applications).
А средствами VBA можно читать и записывать файлы, обращаться к СОМ-
объектам, вызывать функции из динамически загружаемых библиотек и де-
лать многое другое. Следовательно, с большой вероятностью отыщется и
простой в реализации способ использования одного из механизмов межпро-
цессного взаимодействия (Interprocess communication, 1PC).
Хорошо было бы запретить выполнение всех видов в IPC в приложении,
открывшем защищенный документ, но такой метод вряд ли позволит дос-
тичь желаемого результата. Ведь многие современные программы активно
^спользуют средства IPC, и их блокировка, скорее всего, приведет к потере
работоспособности.
Глава 17


Стеганографическая
защита данных
Как было рассказано в предыдущих главах, криптографии, опирающейся на
методы, имеющие математическое обоснование стойкости, обычно доста-
точно для обеспечения секретности, но уже не хватает для обеспечения
DRM. А еще существуют ситуации, в которых оказываются неприменимы
даже методы защиты, основанные на принципе "черного ящика". И в таких
ситуациях на помощь может прийти стеганография.
Стеганография позволяет скрыть сам факт передачи сообщения. Для этого
используется так называемый стеганографический контейнер, в котором пе-
редаваемое сообщение размещается таким образом, чтобы его было очень
трудно извлечь или разрушить.
В качестве стеганографического контейнера может выступать почти все что
угодно: газетная заметка, точка в конце предложения, картинка и даже лист
белой бумаги. Главное — чтобы существовал способ незаметно разместить
в этом контейнере некоторый объем информации.
Не останавливаясь подробно на истории применения стеганографии в раз-
ные эпохи, трудно удержаться от упоминания нескольких исторических
фактов. Так, во время второй мировой войны в США предпринимались
серьезные меры по предотвращению утечки информации за рубеж. Были

<< Предыдущая

стр. 30
(из 39 стр.)

ОГЛАВЛЕНИЕ

Следующая >>