«Цифровое управление авторскими правами» (или попросту системы защиты от копирования) формально призвано защищать интеллектуальную собственность. Однако не деле оно не только не выполняет своей непосредственной функции, но и делает наши компьютеры уязвимыми для злоумышленников. Как и почему это происходит?
Прежде всего системы DRM сами по себе могут быть небезопасными: некорректные варианты реализации защиты от копирования могут открывать дыры в системе безопасности компьютераы, которые в случае отсутствия DRM были бы закрыты. Дело в том, что для блокирования обычных функций копирования в операционных системах программные пакеты управления правами требуют самых широких прав доступа к системным файлам и фактически перехватывают управление такими функциями.
Типичный пример опасной реализации DRM — появившаяся в 2005 году система защиты от копирования СD-аудио компании Sony BMG. Этот руткит в своё время был размещён на огромном числе компакт-дисков одного из ведущих музыкальных лейблов мира. При загрузке такого диска в компьютерный дисковод автоматически запускалась установка специальной программы XCP для Windows, которая была призвана воспрепятствовать копированию всего альбома или «граблению» отдельных треков с этого диска.
Руткит XCP проникал глубоко внутрь операционной системы, причём он устанавливался без какого-либо участия пользователя, а деинсталлировать обычными способами его было невозможно. Более того, в процессе работы он отнимал заметную часть вычислительных ресурсов и мог служить причиной сбоев. И, наконец, об этом рутките и о том, как он работает, ни слова не говорилось в пользовательском соглашении (EULA); не будем здесь о том, что их всё равно никто не читает.
Но самое главное — руткит XCP создавал явную угрозу для безопасности всей системы. В частности, после его установки все файлы, начинающиеся с $sys$, становились скрытыми, чем не преминули воспользоваться вирусописатели. К примеру, «троянский конь» Breplibot, рассылавшийся во вложениях к электронным письмам, можно было обнаружить только с помощью антивирусных программ и сканеров, а для пользователя потенциально опасные файлы были просто не видны.
К сожалению, этот пример не единственный. Совсем недавно, в 2012 году, разразился громкий скандал вокруг игрового программного обеспечения Ubisoft uPlay: для доступа к сетевым сервисам нужно было установить специальный плагин для браузера, который мог открыть злоумышленникам полный удалённый доступ к системе.
Определённым образом составленный Java-скрипт, размещённый на веб-странице, мог автоматически запустить uPlay, что, в свою очередь, позволяло беспрепятственно загрузить на компьютер жертвы практически любую программу. Ссылки на такие страницы могли рассылаться в том числе и в виде спама по электронной почте. К чести Ubisoft, она быстро выпустила патч и исправленную версию uPlay, однако осадок от того, что даже такие крупные компании позволяют себе распространять столь неряшливо написанный код, всё-таки остался.
Между тем далеко не всегда удаётся установить опасные недостатки систем DRM. Более того, такая работа с лёгкостью может быть признана незаконной! Например, действующий в США «Закон об авторском праве в цифровое тысячелетие» (DMCA) напрямую запрещает обход систем ограничения доступа. Существует несколько исключений из этого правила, в том числе касающихся случаев изучения проблем безопасности, но в широком смысле все попытки обхода систем защиты могут быть признаны незаконными.
Подобные законы и подход к проблеме сам по себе провоцирует многочисленные угрозы безопасности, ведь чтобы не подпасть под действие санкций, специалисты вынуждены не афишировать работы по изучению присутствующих на рынке систем DRM и сохранять в тайне от общества выявленные ими уязвимости.
Именно это в своё время произошло при обнаружении опасных свойств руткита Sony BMG: после того как сведения о них просочились в прессу, многие исследователи систем безопасности заявили, что им уже давно было известно об уязвимости в XCP, но они просто боялись обнародовать эти сведения, опасаясь преследований со стороны государства.
По результатам опроса Sophos, 98% бизнес-пользователей считают систему DRM Sony BMD угрозой, и лишь 2% — допустимым средством борьбы с пиратством. Между тем, согласно букве DMCA, даже деинсталляция руткита XCP может быть признана незаконной — ведь это в прямом смысле способ обхода системы DRM.
Любые системы DRM применительно к персональным компьютерам ограничивают ваши возможности управления собственным ПК. Если перед вами обычная машина на Windows или OS X, то вы можете делать на ней всё что угодно — при наличии соответствующих навыков и программного обеспечения. А это значит, что вы имеете возможность нарушать авторские права самыми разными способами — от записи потокового видео и копирования CD до скачивания и распространения торрент-файлов с новинками киноиндустрии.
Соглашаясь на ограничения, мы настолько доверяем разработчикам софта или владельцам авторских прав, что передаём им часть возможностей по управлению нашими собственными компьютерами. Именно поэтому, например, для установки многих брандмауэров, диспетчеров аккаунтов или трекинговых приложений на Android требуется получить права «рута», поскольку такие программы не могут работать в условиях установленных производителем ограничений для пользователя.
Современные компьютеры, смартфоны и планшеты становятся всё более закрытыми для пользователя: сегодня, не прибегая к различным ухищрениям, мы не можем устанавливать программы, полученные не из официального магазина производителя, не можем смотреть видеоконтент, предназначенный не для нашей страны, не можем обмениваться файлами между нашими же собственными устройствами.
Что же напоминает такая ситуация? Совершенно верно: машину, заражённую вирусом, шпионской программой, которая, не спрашивая нашего разрешения, меняет настройки, мешает выполнять привычные и естественные операции и в конце концов полностью выводит компьютер из подчинения владельца. То есть DRM — это тот же самый вирус, только распространяемый на совершенно законных основаниях и защищаемый тем же самым законом.
Давно пора признать, что технологии DRM не только не препятствуют незаконному копированию и распространению интеллектуальной собственности, но и создают серьёзные проблемы с безопасностью компьютерных систем. Ситуацию усугубляет законодательство, препятствующее поиску уязвимостей в таких технологиях и вынуждающее скрывать результаты таких исследований. Может быть, хотя бы наши законодатели, обожающие запрещать всё, что попадает в их поле зрения, подадут наконец пример всему миру и запретят что-то действительно вредное и опасное?