Коммерческие Самораспаковывающиеся Архивы: Безопасность, Принципы Работы

Одной из серьезных существующих проблем в развитии и распространении информационных технологий является защита авторских прав на такие объекты интеллектуальной собственности, как программное обеспечение, аудио-, видеоматериалы и любую другую информацию, которая может быть представлена в электронном виде.

Владельцы таких объектов вынуждены прибегать к различным средствам защиты от копирования и несанкционированного распространения, которые зачастую обходятся дороже, чем сами охраняемые объекты.

Однако в ряде случаев возникает задача коммерческого распространения цифрового контента, стоимость которого достаточно низка, а потому использовать дорогостоящие средства защиты экономически нецелесообразно.

В связи с этой ситуацией в последнее время на рынке интеллектуальной собственности появились средства защиты контента, доступные (по сути, бесплатные) для любого пользователя, в том числе не обладающего какими-либо специальными навыками, позволяющие получать прибыль от распространения интеллектуальная собственность.

Принцип работы таких инструментов основан на создании самораспаковывающегося архива [1] (далее SPA) (англ.

самораспаковывающийся архив, сокращенно «SFX archive»), требующего соответствующей оплаты и последующего ввода ключевое слово (код) для извлечения файлов.

CPA создается с помощью специальной клиентской программы, использующей особенности формата исполняемого файла [2] (по сути, стеганографическая вставка данных).

Основателем коммерческого CPA-сервиса стала программа от сервиса ZipCoin, появилась она в 2009 году.

Последующие проекты подхватили идею и начали развивать это направление.

Общая информация о СПА Следует отметить, что СПД до сих пор не являются средством защиты от несанкционированного распространения и копирования информации, поскольку упакованные объекты интеллектуальной собственности после единоразовой оплаты и распаковки не содержат средств защиты и, соответственно, могут распространяться бесконтрольно.

Поэтому, когда мы говорим о платных CPA, мы в первую очередь имеем в виду удобный, простой, практически бесплатный способ коммерческого распространения информации без применения дорогостоящих мер безопасности.

Оплата распаковки коммерческого CPA может производиться всеми возможными способами, доступными пользователю, например, переводом на электронные деньги (Webmoney, Яндекс.

Деньги, РБК-деньги, PayPal, Деньги@Mail.ru, Moneymail RUR, EasyPay и т.д. [3]), оплата через СМС, перевод на банковскую карту.

Возможности: разнообразие способов оплаты напрямую зависит от возможностей «посредника», который выступает арбитром в расчетах между «владельцем информации» и конечным пользователем.

Как правило, в качестве оплаты за посредничество взимается некоторая комиссия за совершенные транзакции.

Зачастую такие «посредники» пользуются услугами платежных систем [4], которые предоставляют свои услуги по приему и оплате платежей практически в любой электронной валюте, с помощью СМС-сообщений, через различные системы денежных переводов, платежные терминалы, а также банковские карты.

Примером таких сервисов является система Робокасса ( http://robokassa.ru/ ), LiqPAY ( http://liqpay.com ), АвисоСМС ( http://avisosms.ru/ ), a1pay ( http://a1pay.ru/ ).

В настоящее время на рынке существуют следующие сервисы, предоставляющие CPA-услуги:

1. ВебЗипМани ( http://webzipmoney.ru/ , 2010).

2. ЗипМонстр ( http://zipmonster.ru/ , 2010).

3. КэшМагнат ( http://cashmagnat.ru/ , 2010).

4. ФАЙЛКАШ ( http://filecash.su/ , 2009).

5. ЗИПЫ ( http://zipseller.ru/ , 2010).

6. ЗипКоин ( http://zipcoin.ru/ , 2009).

1. Клиентская программа.

2. Веб-сервис для обслуживания партнеров.

3. База данных.

4. Платежный сервис.

5. Веб-каталог (хранилище файлов).

Веб-сервис необходим для регистрации партнеров, которые используют клиентскую программу для упаковки файлов и дальнейшего их коммерческого распространения.

Веб-сервис должен иметь следующие функции:

• предоставить подробную информацию о правилах, действующих тарифах, возможностях системы
• обеспечить регистрацию партнеров
• вести статистический учет количества запросов/покупок архивов, их стоимости
• предоставить клиентской программе необходимые данные для работы с архивами (информацию о партнере, архиве, ключевые слова и т.д.)
• предоставлять административные функции, такие как добавление, редактирование, удаление, блокировка архивов и/или партнеров,
• обеспечить выплату средств на оплату архивов, учет расчетных операций.

С помощью платежных систем платежный сервис осуществляет комплекс процедур, обеспечивающих перевод денег от пользователя на веб-сервис с последующим перераспределением средств между веб-сервисами в виде комиссионного вознаграждения за посредничество и оплаты покупки контента веб-сервису.

партнер.

Веб-каталог используется для рекламы и распространения соответствующего контента.

Это может быть каталог программы, каталог аудио- или видеоматериалов, файловое хранилище и т.п.

Ниже, на рисунке 1, представлена типовая функциональная схема коммерческого CPA-сервиса: Алгоритм обслуживания можно разделить на следующие этапы:

1. Регистрация партнера.

2. Скачать у партнера программы.

3. Создание архивов.

4. Публикация архивов.

5. Пользователь загружает архив.

6. Инициализация процесса оплаты.

7. Сопровождение денежных переводов.

8. Формирование ключевого слова.

9. Получение, ввод ключевого слова и распаковка архива.

1 Функциональная схема коммерческого сервиса На этапе регистрации партнера на веб-сервисе персональные данные и платежная информация о партнере фиксируются и вносятся в базу данных.

Партнеру предоставляется уникальный номер и регистрационные данные для входа в «личный кабинет» на веб-сервисе.

После регистрации партнером самостоятельно или через третьих лиц выполняются шаги 2-4. При этом на этапе создания архива партнер указывает его стоимость, название, а также дополнительную информацию об архиве.

После того, как потенциальный пользователь скачает архив, если он согласен приобрести встроенный в архив контент, инициируется процесс оплаты.

На этом этапе встроенная в архив клиентская программа отправляет запрос веб-сервису, указанному на рисунке 1. В запросе указываются уникальные характеристики архива.

Веб-сервис совместно с платежным сервисом обеспечивает перевод и перераспределение денежных средств:

• вознаграждение веб-сервиса в размере заявленной комиссии;
• комиссия платежного сервиса;
• комиссия платежным системам;
• партнерское вознаграждение за цифровой контент.

Информация о покупке заносится в базу данных и в дальнейшем отображается в виде статистики продаж партнеров и статистики веб-сервиса.

Клиентская программа получает код, проверяет его корректность, а затем инициирует процесс распаковки содержимого, после чего пользователь может получить к нему доступ.

Описание подхода к системе защиты цифрового контента в самораспаковывающихся архивах.

Самораспаковывающийся архив — это файл (компьютерная программа), сочетающий в себе архив и исполняемый код для его распаковки.

Такие архивы, в отличие от обычных, не требуют отдельной программы для их распаковки (получения исходных файлов, из которых они созданы), если исполняемый код может быть выполнен в указанной операционной системе.

Как правило, коммерческие CPA используют возможности формата PE [5] — формата исполняемых файлов, объектного кода и динамических библиотек, используемого в 32- и 64-битных версиях операционной системы Microsoft Windows, позволяющего встраивать данные на конец файла.

Обобщенная структура PE-файла представлена на рисунке 2. Например, формат исполняемого EXE-файла позволяет добавлять в конец программного файла абсолютно любые данные, и программа будет работать как прежде.

Фактически используются возможности компьютерной стеганографии и сокрытия стеганографических данных в формате исполняемого файла [6].

Эти возможности формата PE используются некоторыми CPA-сервисами.

Рис.

2 Обобщенный формат файла PE На рис.

3 показан возможный вариант схемы CPA.



Рис.

3. Вариант макета CPA Таким образом, технология эксплуатации ЦПА сводится к следующим этапам: 1. Запустите программу и введите учетные данные партнера для доступа к веб-сервису CPA с помощью клиентской программы.

2. Выбор необходимых файлов с указанием их параметров.

3. Упаковка выбранных файлов в CPA. 3.1. Запись исходного кода программы в целевой CPA-файл.

3.2. Запрос к веб-сервису об уникальных параметрах архива (идентификатор архива, ключевое слово).

3.3. Запись в CPA маркера начала заголовка встраиваемых данных после исходного кода программы.

3.4. Формирование и запись заголовка внедренных данных.

3.5. Архивирование цифрового контента.

3.6. Шифрование цифрового контента.

3.7. Запишите полученные данные в целевой файл.

Следует отметить, что на устойчивость к взлому CPA существенное влияние оказывают выбранный алгоритм шифрования, длина ключа и алгоритм генерации ключей.

Кроме того, CPA не лишены такого недостатка, как хранение ключа от архива в открытом виде в заголовке архива.

Как правило, в качестве шифрования используется простейшая операция сложения по модулю 2 " ", длина ключа не превышает 256 бит, а алгоритм шифрования сводится к вычислению хэш-значения на веб-сервере по алгоритму MD5 в зависимости от уникальности Характеристики ЦПУ.

На основании этого можно сделать вывод, что использование коммерческого CPA нецелесообразно для цифрового контента, имеющего высокую ценность и стоимость, и может использоваться только в ограниченных случаях, когда взлом не приведет к серьезным потерям.

В общедоступных источниках уже есть упоминания о взломе подобных коммерческих CPA (например, «Взлом платных архивов ZipCoin» — www.it-world.kz/Эp=999 – дата обращения 23.02.2011), что наносит серьезный ущерб партнерам этих систем.

БИБЛИОГРАФИЯ 1. Самораспаковывающийся архив.

[Ээлектронный ресурс].

URL-адрес: ru.wikipedia.org/wiki/SFX (дата обращения 23.02.2011)… 2. «Электронные деньги [Ээлектронный ресурс.

] URL: ru.wikipedia.org/wiki/Эelectronic_money (дата обращения 23.02.2011)… 3. Формат исполняемого файла.

[Ээлектронный ресурс].

URL-адрес: www.intuit.ru/department/pl/cil/3 (дата обращения 23.02.2011)… 4. Платежная система.

[Ээлектронный ресурс].

URL-адрес: ru.wikipedia.org/wiki/Платежная_система (дата обращения 23.02.2011)… 5. Майкл Дж.

О'Лири, Портативный исполняемый формат. Microsoft [Ээлектронный ресурс].

URL-адрес: www.nikse.dk/petxt.html (дата обращения: 23.02.2011).

6. Нехта И.

В.

Стеганография в файлах формата Portable Executable // Вестник СибГУТИ.

2009. № 1. Теги: #SPA #архивирование #самораспаковывающийся архив #защита данных #информационная безопасность

• Советы О Том, Как Купить Лучший 10-Дюймовый Планшет

  19 Oct, 24

• «Мегафон» И Tele2 Попросили Правительство Помочь Им Снизить Цены На Роуминг

  19 Oct, 24

• Минздрав Предупреждает: 3D-Фильмы Вредны Для Здоровья

  19 Oct, 24

• Финтех-Дайджест: Триллион Рублей На Ветер, Отделение Банка, Контролируемое Роботами, И Paypal Как Банк

  19 Oct, 24

• Playbook Как Платформа Для Игр: Чего Ожидать Разработчикам

  19 Oct, 24

• Большой Алгоритм

  19 Oct, 24

• Go Не Рекомендуется Для Разработки В 32-Битной Windows (Upd: И В Linux Тоже)

  19 Oct, 24

• Intel Исследует Потенциал Технологии Блокчейн

  19 Oct, 24

• Первое Впечатление.

  19 Oct, 24

• Регистрация На Портале Госуслуг: Простая Пошаговая Инструкция

  19 Oct, 24