7 Апреля 1999

Как и обещали - статья от United Crackers League, касающаяся подоплёки недавних событий с Андреем Лишутиным, взломом HASP и т.д. Для проформы отметим, что опубликование некоторого материала не означает согласия редакции с позицией автора.

Что нам стоит дом построить, что нам стоит дом сломать

Юрий Мелкаас

Так повелось, что издавна особый интерес у людей вызывали события, которые каким-то образом влияли на их жизнь, но адекватного объяснения не имели. Как правило, множество трактователей и описателей подобных событий неизбежно вкладывают, помимо объективных фактов, всякого рода выражения, как-то: "я думаю", "это, скорее всего значит", "налицо", и т.д. Что в свою очередь трактуется далее и т.п. В общем, нет смысла объяснять механизм возникновения слухов и домыслов. Все прекрасно наслышаны про "тайные знания" колдунов, про таинственный преступный мир и наркомафию, проделки злобных и всемогущих хакеров... Однако иногда, когда так называемое "бытующее мнение" переходит границы домыслов и начинает оказывать реальное воздействие на реальный мир и реальных людей, волей-неволей кому-то приходится развеивать мифы, даже если это выглядит как оправдания, дескать - "ладно вам отмазываться, все и так все знают".

Но ближе к фактам. Двадцать девятого марта 1999 года российская группа UCL (United Crackers League) официально прекратила свое существование, о чем было объявлено на сайте http://www.ucl.ru. В дальнейшем все упоминания о UCL и ее "членах" надо рассматривать с приставкой "бывшие". Само по себе это событие достаточно малозначимое, но, тем не менее на http://www.computerra.ru появилось достаточно сомнительная статья под названием "Хакерам надают по мозгам". В ней факт реорганизации группы объясняется повышением интереса правоохранительных органов к деятельности группы, а также реальным фактом ареста одного из якобы членов группы, некоего Лишутина Андрея ("Лешего"). Возникшая затем дискуссия на данном сайте не привела ни к чему, потому что в ответ на доводы бывших членов UCL автор статьи занял наиудобнейшую позицию - "если можете - опровергните, нет - молчите в тряпочку". "В тряпочку", естественно, молчать никому не хочется, и желание хоть как-то приостановить тот бред, который несут некоторые компьютерные издания, и послужило предпосылкой написания этой статьи.

Прежде всего, целесообразно отделить United Crackers League в частности, и так называемых крэкеров (crackers) вообще, от того, что именуют хакерами (hackers). Единственное общее и у тех и у других - это "средство производства" - компьютер. Хакеры занимаются взломом сетевых устройств и сетевых операционных систем. Как правило, наглядный результат работы хакеров - порча web-страниц и прочий явный вред - в основном, дело рук ребят по 14-16, очень редко 17 лет. На этот счет, кстати, есть определенное мнение. Вот, например, когда такие же ребятишки расписывают стены из баллончиков - что с ними делают? Уж точно не врываются с ОМОНом и конфискуют все красительные средства, не говоря о более серьезных последствиях. Хотя это уже отдельный разговор.

Итак, United Crackers League (далее UCL) была создана в 1994 году и сразу же заняла лидирующее место в снятии защит с программ. UCL объединила ведущих российских (и не только) крэкеров - людей, занимающихся снятием защит именно с программ. Основным отличием UCL от аналогичных зарубежных групп было то, что команда не являлась пиратской и не занималась распространением программного обеспечения.

Во всем мире существует достаточно развитая система обмена пиратским программным обеспечением. Как правило, в подобных "пиратских" группах крэкеры занимают отнюдь не ведущую роль. Постольку поскольку достаточное количество программных средств вообще не имеет никакой защиты (кроме правовой, конечно), и может свободно, при наличии всего одного ключа, использоваться кем угодно. (Кстати, некоторым поборникам легального программного обеспечения советуем задуматься, как бы в пример, - легальна ли ваша копия Windows, или это просто "спираченная" операционка с "левым" ключиком?) Дело в том, что истинно пиратские группы функционируют в силу определенных обстоятельств в основном в странах "развитого капитализма", поскольку только там люди понимают, что любая программа имеет свою конечную стоимость. Поэтому способ "натурального обмена" очень просто объясняет отсутствие какой-либо денежной базы внутри пиратской группы, либо на рынке пиратских групп.

Соответственно, вся работа внутри пиратской группы делится между ее членами по "профессиям". Если приблизительно описать механизм, то одни поставляют программное обеспечение (suppliers), другие, если необходимо, его взламывают (crackers), третьи (couriers) разносят эти уже взломанные программы по серверам, четвертые (traders) осуществляют обмен между различными серверами различных групп. За эту работу все члены группы имеют доступ к данным серверам и получают программное обеспечение бесплатно. Вот это пример истинно пиратской группы, которая занимается распространением программного обеспечения в "тираж". В день может таким образом выходить до 100 наименований программного обеспечения. Можно представить себе размах и масштабы функционирования такого синдиката. Но, говоря о "рынке пиратского программного обеспечения", прежде всего надо помнить именно о таких "натуральных" взаимоотношениях, но ни в коем случае не об извлечении денежной прибыли.

Другое дело Россия, в которой изначально не существовало (да и по сей день не существует) мощных компьютерных коммуникаций. Как правило, крэкеры в России имели совсем другую предпосылку для появления. Но об этом позже. За несколько лет команда UCL разрослась и стала практически единственной группой такого профиля в республиках бывшего Советского Союза. Принадлежность к UCL являлась лучшей рекомендацией; это также означало, что человек может не только копаться отладчиком в чужих программах и защитах, но в состоянии написать свою программу любого уровня сложности (чего стоит только то, что в любой пиратский синдикат или группу крэкеров из UCL зачисляли без рекомендаций и испытательных сроков). Да и кто может создать свою собственную систему, которая не будет уступать, а будет превосходить аналоги, если не человек, способный быстро разобраться в математических алгоритмах и методах, имеющий опыт анализа более чем тысячи различных видов защит?

Возвращаясь немного назад, необходимо немножко пояснить, как все-таки появились крэкеры в России. Естественно, отрезанные от мира долгое время и не имеющие online-поддержки, а так же технических консультаций т.д., российские пользователи и программисты приобрели странный менталитет. В основном его можно обозначить как "если программа не работает как надо - значит, необходимо сделать так, чтобы она работала". Принципиально это можно перенести не только на программный рынок. Но, тем не менее, сложилось так, что крэкеры в России в большинстве своем занимались проблемами тех, кто в силу отсутствия знаний не мог сам адаптировать программу. И естественно, что на каком-то этапе начали возникать денежные отношения. На самом деле здесь нет ничего общего с тем, что порой пишут в некоторых СМИ - дескать, "ломають, а потом ходють по людям и предлагают ломаные программы за полцены".

На самом деле крэкер обычно выполняет разовую работу по снятию защиты по просьбе заказчика. Это можно сравнить я думаю с тем, что вы просите кого-то сделать дубликат ключа от двери. И естественно платите за это деньги. И очень спорный вопрос - "кто несет ответственность за то, что этим ключом кто-то еще вскроет дверь чужой квартиры?". Скорее всего - тот, кто им эту дверь открыл.

Тем не менее, 29 марта 1999 года общим собранием UCL было принято решение о расформировании группы. Многие, как уже было сказано, связывают этот факт с задержанием Андрея Лишутина, но это не так: никакой прямой и косвенной связи нет, группа шаг за шагом шла к осознанию того, что крэкерство и продажа "крэков" не может принести ощутимого дохода, и что создание своих систем защиты ПО может служить более серьезным основанием для формирования своего бизнеса, чем их снятие. Кроме того, в мире существует огромное количество тестовых криптоаналитических лабораторий, которые, по сути, занимаются крэкерством в чистом виде, но при этом являются, что называется, юридическими лицами, и получают от фирм производителей средств защиты реальные деньги. Тем более что опыта для этого более чем достаточно и к тому же появились потенциальные источники финансирования этого бизнеса.

Но все-таки, кто же такой "Леший"?

Итак, как уже было сказано, 31 марта 1999 года в журнале "Компьютерра-Online" появилась претенциозная статья главного редактора А. Шипилова "ЛЕШИЙ АРЕСТОВАН! Хакерским движениям в России приходит конец!", в которой автор со свойственной ему некомпетентностью приводит свою версию случившегося, и связывает закрытие сайта UCL (www.ucl.ru) с задержанием Андрея Лишутина, без малейшего уважения называя последнего Лешим. Такую вольную трактовку автор допускает и по отношению к профессии Андрея, вдруг превратившегося из простого специалиста по программным продуктам фирмы 1C в "одного из наиболее квалифицированных и талантливых российских взломщиков". Свои сведения о задержании (а не аресте, как утверждает Шипилов) Андрея Лишутина и прочих "фактах" автор якобы получил из никому не ведомых источников, даже не удосужившись связаться с Андреем.

Андрей Лишутин никогда не являлся членом UCL, и тем более никогда не был крэкером (хотя вопрос о членстве в UCL, конечно, недоказуем, как справедливо заметил г-н Шипилов, особенно если говорить о простом объединении, даже не зарегистрированном официально). Возвращаясь к разговору о ключах и дверях, заметьте разницу, можно не являться крэкером, но заниматься продажей взломанного программного обеспечения (это не совсем относится к Лишутину в данном случае - ниже мы объясним, почему). Задержание Андрея, бывшего дилером программного аналога электронного ключа HASP, по мнению некоторых членов UCL, было инспирировано фирмой Aladdin, которая пошла на такие меры из-за желания сохранить монополию на средства защиты, в частности, на ключ HASP. Но не желая опускаться до уровня некоторых изданий, мы не будем развивать эти домыслы, а просто расскажем, что же на самом деле представляет собой HASP.

Это система программно-аппаратной защиты на основе электронных ключей с энергонезависимой памятью. Существует несколько моделей ключа, такие как HASP-3, Memo HASP-1, Memo HASP-4, Time HASP, Time HASP-4, Net HASP, PCMCIA-HASP, Open HASP, и еще несколько вариантов для компьютера Apple Macintosh.

Не так давно группа UCL сделала полную программную модель данного ключа. То есть вам необходимо вставить ключ на 10 секунд в LPT порт, запустить сканер и более HASP вам не нужен. При этом не требуется внесения абсолютно никаких изменений в программу, которая защищена этим ключом, т.к. ключ полностью эмулируется программными драйверами. Это и называется программным аналогом электронного ключа HASP, который распространял Андрей Лишутин.

С точки зрения здравого смысла данный программный эмулятор является отдельной самостоятельной программой, и его абсолютно справедливо можно считать защитой, так как программы без наличия данного эмулятора не работают. Итак, все, что делает внешний ключ, спокойно выполняется программно - зачем же тогда платить за него деньги, ведь этот набор микросхем стоит гораздо дороже, чем набор программных инструкций? Тем более что все патенты и сертификаты на алгоритмы здесь не при чем. Программисты UCL использовали свои более простые и эффективные алгоритмы для написания эмулятора, которые даже приблизительно не походят на оригинальные.

Самое интересное, что ключ HASP получил сертификат Министерства Обороны США не так давно, когда он был уже взломан на все 100%. Зарубежные специалисты оценили его криптостойкость как 99.9%, что соответствует 64-битным и выше методам шифрования с ключом, и это при том, что его реальная криптостойкость составляет 5^6, то есть 15625 комбинаций, а это меньше 10 секунд перебора. Напрашивается вполне резонный вопрос - кто его тестировал, и что же это за специалисты? И почему никто не нашел этого, кроме UCL? И даже теперь зная об этом, Aladdin все равно продолжает рекламировать и продавать этот ключ, заранее зная, что обманывает своих покупателей.

Есть еще много интересных примеров на эту тему, касающихся не только ключа HASP, а и более продвинутых защит и электронных ключей. И какой смысл в сертификации таких защит непрофессионалами, когда 16-20-летние ребята взламывают программы с суперсертифицированными защитами, стоимость которых доходит до 20.000 долларов и даже больше? Это случай, когда один программный продукт стоит в несколько раз дороже более-менее мощного компьютера. А все потому, что обыкновенный программист и крэкер - это люди, имеющие практически одинаковую базу, но разные области применения. Потому что они думают как те, кто будет эти защиты вскрывать. Потому что нет методики, которая позволяла бы разрабатывать хорошие программные защиты, не анализируя уже существующие. Иначе все бы повторяли (да, в общем-то, повторяют) ошибки предшественников в разработке методов. И, в конце концов, потому что защитой дорогого и мощного программного обеспечения должны заниматься не просто профессионалы-теоретики, а суперпрофессионалы. В этом случае выигрывают оба - и производитель и исследовательская лаборатория, и затраты на тестирование и создание окупаются полностью. Иначе... что ж, результаты знают все.

Фирма Parametric Technology может, например, смело подавать в суд на производителей менеджера лицензий (еще один способ защиты) FlexLM. Потому что сам запатентованный алгоритм достаточно криптостоек, а его программная реализация уменьшает его криптостойкость в два раза. Pro Engineer вместе c комплектом дополнительных программ стоит около 200 000 долларов. Вот и посчитайте, какой примерно они понесли ущерб.

Невольно напрашивается вопрос - зачем крэкерам это надо? Сидели бы, ломали потихоньку этот HASP и все остальное и никому ничего не говорили - больше было бы заказов на крэк. Ведь бытует мнение о том, что настоящие хакеры/крэкеры никогда не будут светиться, потому что все, кто умеет что-то "серьезное", сидят себе тихонько, а на весь свет кричат только дилетанты и идиоты, которые и "пороху не нюхали"...

Все объясняется просто - UCLabs (ex-UCL), как было сказано, действительно начал заниматься серьезными вещами и именно легальным бизнесом. Поэтому, не претендуя на рекламу, скажем все же, что защиту программ надо доверять только специалистам, и всячески поощрять их стремления, а не прибегать к каким-либо репрессивным мерам, не разобравшись в том, кто есть кто. К сожалению, немало времени потребуется всем, в том числе законодателям и правоохранительным органам, чтобы разобраться в специфике компьютерного мира. До этого момента сторонних людей, не имеющих никакого отношения к определенным областям компьютерной деятельности, так и будут во всеуслышание называть хакерами, крэкерами, фрикерами и т.д. не имея малейшего понятия, что это такое на самом деле (вспомните историю с Левиным). И до этого момента достаточное количество разного рода компьютерных изданий будут делать себе рекламу на разного рода дилетантских "хакерских" историях.

Юрий Мелкаас

Хочется выжать пару-тройку сухих остатков. Я вижу в этой статье несколько утверждений.

1. Да, мы крэкали, но больше не будем, у нас появилась другая работа.

2. Защита HASP настолько плоха, что ленивый не взломает. (Тут разумно вспомнить старое утверждение "возможность украсть рождает вора".)

3. Предъявить авторам HASP-эмулятора претензии судебного характера крайне сложно.

4. Лишутин тут вообще сбоку припёку.

Никакой особенной морали вынести из всего этого мне не удалось, но, по крайней мере, становится понятно, что же вообще произошло. По пункту 1 остаётся лишь радоваться, по пункту 2 - избегать HASP, по пунктам 3 и 4 задуматься на тему совершенства законодательства и расслабиться - всё равно поймать автора хака и доказать, что он виновен, почти невозможно. Да и нужно ли.

Мне представляется такая сцена. Фирма Ф продает суперзамки СЗ-1 и гарантирует, что ключи от них не копируются. Домовладелец Д ставит суперзамок на вход в дом, а один из жильцов, сняв в нём квартиру на месяц копирует ключ у мастера М. Копией затем пользуется вор В, чтобы грабануть этот самый дом.

Есть два варианта. В первом мастер знал, во втором - не знал. Доказать, что знал, всяко нереально, а значит, нет и смысла за ним бегать. Преступление следует предотвращать наиболее эффективным способом.

Кстати, в реальной жизни напирают, по большей части, на замки, а не на показательные казни. Вопрос, применима ли аналогия к жизни компьютерной.

Вот письмецо кстати подоспело. Имя автора опускаю, на всякий случай, но письмо любопытное.

Ниже описан НЕ МЫСЛЕННЫЙ эксперимент. Я сделал отдельную локалочку для бухгалтерии на базе Netware. В этой сети два года прекрасно работала 1С:Бухгалтерия 6.0 - честно купленная и собственноручно установленная. "Специалист" одной франчайзинговой конторы (не хочу её называть) при установке полного комлекта 1С:Предприятие 7.0 (тоже честно купленного) долго бился с этой му@#$%кой защитой. То работала новая - не работала старая, то наоборот. Через недели две кончилось тем, что он привёз вскрытые VXDшники защиты и ВСЁ заработало. Это РЕАЛЬНЫЙ случай. Произошёл в январе этого года.

В общем, у меня сложилось ощущение, что Alladin приложил массу усилий к тому, чтобы его сломали. :-(

Это, конечно, не превращает злоумышленников в ягнят, не даёт никому права нарушать закон, ни в коем разе. Просто дверь-то, всё же, запирать надо, мне так кажется.

Я вчера писал о том, что, мол, вот - мы ищем сисадмина для домашних машин и тому такие-то причины... Обдумав это, прихожу к выводу, что ситуация идиотская. Мне же не приходит в голову объяснять, почему я вызываю мастера по холодильникам, а не заливаю сам фреон (или что там), отгоняю машину в мастерскую, а не меняю колодки вручную, вызываю телемастера, хотя уж ремонтом-то телевизоров я занимался треть сознательной жизни. Чем компьютер хуже телевизора, в конце концов...