Интервью с Дмитрием Скляровым и компанией ElcomSoft

Введение

Нет нужды описывать, кто такой Дмитрий Скляров, чем он занимается, и как приобрел свою известность. Достаточно сказать, что в публикуемом экспертами Silicon.com ежегодном рейтинге 50-ти самых влиятельных персон, определяющих будущее мира высоких технологий (Agenda Setters 2003) Дмитрий занял 29-е место.

Тем же, кто все-таки не знает, чем знаменит Дмитрий Скляров, рекомендуем в начале прочесть интервью с президентом компании ElcomSoft (в ней работает Дмитрий), а уже затем читать интервью с самим Дмитрием. Благо вы, уважаемый читатель, всегда можете воспользоваться гиперссылками в начале статьи...

Совсем недавно на русском языке вышла книга Дмитрия Склярова "Искусство защиты и взлома информации". Многие технические вопросы, обсуждаемые с Дмитрием, ссылаются на факты, изложенные в этой работе.

Интервью с Дмитрием Скляровым

Алексей Доля: Вам часто приходится давать интервью? Вообще, любите это делать?

Дмитрий Скляров: Сейчас уже не часто. Ваше интервью, кажется, третье за этот год. Отвечать на типовые вопросы, наверное, мало кому интересно. Зато иногда попадаются такие вопросы, отвечая на которые сам себя начинаешь понимать, и это здорово.


Алексей Доля: Дмитрий, вы не могли бы рассказать немного о себе? Какое образование вы получили, где работаете и чем занимаетесь?

Дмитрий Скляров: Сначала общеобразовательная школа с небольшим математическим уклоном. Потом кафедра САПР МГТУ им. Баумана. Потом там же аспирантура на кафедре "Информационная безопасность". Основное место работы - компания "ЭлкомСофт".


Алексей Доля: Преподаете?

Дмитрий Скляров: Да, на кафедре "Информационная безопасность".


Алексей Доля: Каков уровень вашей математической подготовки? Какие ощущения у вас вызывает фраза "кантровское множество возрастает на мере Лебега нуль"?

Дмитрий Скляров: Нормальный уровень для выпускника технического вуза, но явно слабый для того, чтобы серьезно заниматься математикой. Что до приведенной фразы, то ее смысл я понимаю, но другие формулировки из той же области могут вызвать затруднения.


Алексей Доля: Насколько близко вы знакомы с криптографией и криптоанализом? На уровне математика, прикладного криптографа или ученого криптографа? Вы, конечно же, можете предложить что-нибудь свое.

Дмитрий Скляров: У меня явно недостаточно знаний для серьезных исследований в области криптографии. Но на прикладном уровне, который я немного знаю, это и не требуется. Гораздо важнее иметь целостное представление о сфере применения криптографии.


Алексей Доля: То есть уметь правильно применять криптографические алгоритмы на практике? Избегать подводных камней?

Дмитрий Скляров: Защита информации, наверное, отличается от большинства областей информатики тем, что в ней нет проверенных путей. Если задача чуть-чуть изменилась, то хорошо проработанное и многократно проверенное решение может оказаться "дырявым". И очень важно уметь найти все слабые места или, как Вы их назвали, подводные камни. Ведь степень защищенности системы в целом определяется самым слабым звеном.


Алексей Доля: По какой теме вы защищали кандидатскую диссертацию, если не секрет?

Дмитрий Скляров: Тема была "Метод анализа программных средств защиты электронных документов", но диссертацию я пока не защищал :).


Алексей Доля: Извините, обознался. Просто на обложке книги было написано, что вы являетесь доцентом кафедры информационной безопасности МГТУ им. Баумана. Вот я и подумал, что вы уже защитились... Хотя, подождите, вы же и тему назвали! Значит, планируете защищаться в ближайшем будущем?

Дмитрий Скляров: Диссертация была практически готова в 2001 году, но в силу разных причин пока не удается довести ее до защиты. Но защищаться все еще собираюсь.


Алексей Доля: Вы разделяете между собой понятия "информационная безопасность" и "защита информации"?

Дмитрий Скляров: Я не припомню ситуации, в которой эти понятия не взаимозаменяемы.


Алексей Доля: В каких областях, связанных с информационными технологиями, вы считаете себя экспертом?

Дмитрий Скляров: Лучше всего мне даются, наверное, исследовательские задачи. Это и Reverse Engineering, и поиск ошибок, и анализ алгоритмов, и многое другое.


Алексей Доля: Разве Reverse Engineering не запрещается многими лицензионными соглашениями на те программы, которые вы исследовали? Я, конечно, не уверен, но в лицензиях к некоторым программам из состава Microsoft Office точно указано, что дизассемблировать и отлаживать (то есть Reverse Engineering) их запрещено. Наверное, другие производители тоже накладывают подобные ограничения на свои продукты.

Дмитрий Скляров: Reverse Engineering - это не только декомпиляция или дизассемблирование - это любые действия, направленные на восстановление деталей функционирования некоторого объекта. И, например, утилита Microsoft Spy++, поставляемая в комплекте Visual Studio, является очень мощным инструментом для Reverse Engineering.


Алексей Доля: Раз уж мы заговорили о лицензиях, то довольно интересным кажется тот феномен, что разработчики ПО не несут никакой ответственности за то, как это ПО работает и какой вред оно может причинить. Как вы думаете, такое положение дел когда-нибудь изменится? Будут ли разработчики нести ответственность?

Дмитрий Скляров: Что-то слабо в это верится... Во всяком случае, гиганты софтверной индустрии сделают все возможное, чтобы ответственность не нести. А возможностей у них довольно много.


Алексей Доля: Почему вам нравится заниматься именно защитой ПО от нелегального использования? Почему, например, не сетевой безопасностью и уязвимостью ПО?

Дмитрий Скляров: Может быть потому, что когда-то у меня был доступ к компьютерам, но не было доступа к сетям?


Алексей Доля: В таком случае вы во многом самоучка? Или я не прав?

Дмитрий Скляров: Наверное, правы. Хорошо структурированной учебной литературы по этому направлению нет до сих пор. Правда, в Интернет можно по крупицам собрать такое количество полезной информации, что учебники и не понадобятся.


Алексей Доля: Как вы приобрели такие глубокие знания и опыт в исследовании защитных механизмов?

Дмитрий Скляров: "Неважно чем заниматься, главное делать это регулярно". Пятнадцать лет серьезной работы в одной области, и кто угодно сможет приобрести глубокие знания :).


Алексей Доля: То есть вы копали и копали... Пока не набрались ума-разума?

Дмитрий Скляров: Примерно так :).


Алексей Доля: Никогда не было желания переступить черту?

Дмитрий Скляров: Чтобы переступать, надо иметь цель. Я никогда не верил в "легкие деньги", так как придерживаюсь мнения, что за все в этом мире надо платить. И собственное спокойствие плюс безопасность семьи мне гораздо ценнее, чем машина с шестилитровым двигателем.


Алексей Доля: А среди ваших знакомых есть люди, которые оказались по другую сторону?

Дмитрий Скляров: Пару раз мне доводилось общаться через Интернет с "кардерами" ("кардер" - человек, производящий незаконные операции с чужими кредитными картами - прим. редактора). Вроде умные ребята, но слишком уверенные в своей безнаказанности. Может быть из-за возраста (15-16 лет), и это пройдет. А может и не пройдет...


Алексей Доля: В своей книге "Искусство защиты и взлома информации" вы в пух и прах разбили миф о непоколебимости защиты ПО, основанной на аппаратных ключах. Между тем широкие массы действительно часто попадаются на удочку рекламных и маркетинговых трюков. С практической точки зрения, есть ли смысл использовать аппаратные ключи при создании защиты ПО или лучше попытаться организовать привязку к носителям информации или что-нибудь еще?

Дмитрий Скляров: Смотря, чью практическую выгоду мы оцениваем :). Конечный потребитель, которого заставляют приобретать совершенно ненужное устройство, всегда в проигрыше. Производитель ключей всегда в выигрыше. А разработчик программ, защищаемых аппаратными ключами, может оказаться и в плюсе, и в минусе. Это очень сильно зависит от того, какой продукт защищается, на какую аудиторию он нацелен, и т.п.


Алексей Доля: Вы не могли бы подробнее объяснить, в каких случаях в плюсе оказывается именно разработчик? Если это совсем уж не тривиально, то хотя бы на примерах.

Дмитрий Скляров: Практика показывает, что вероятность появления в Интернет программы со снятой защитой зависит не столько от надежности защиты, сколько от популярности программы. И пока продукт не является уникальным или широко распространенным, аппаратная защита может производить впечатление надежного барьера от пиратов. Но по мере роста популярности продукта на попытки взлома его защиты направляется все больше ресурсов. И в 99% случаев защита не выдерживает.


Алексей Доля: Почему так много внимания в своей книге вы уделили именно электронными ключам? На их примере разобрано очень много поучающих ошибок. Конечно, не имеет значения, на чем приводить примеры - на защите электронных книг или текстовых редакторов. Может у вас есть личный интерес в этой области или какие-то другие мотивы?

Дмитрий Скляров: Просто в свое время была проделана значительная работа по анализу механизмов защиты электронных книг (вспомните тему моей диссертации), и странно было бы не использовать такой богатый материал.


Алексей Доля: В двух разных главах своей книги вы анализировали возможности аппаратных ключей для защиты ПО и средства обеспечения секретности, в частности шифрования дисков. Однако современных средств шифрования дисков вы так и не рассмотрели. Между тем сегодня очень популярны средства шифрования дисков, использующие аппаратные ключи. Такие программно-аппаратные продукты выпускает и отечественная компания Физтех-софт, и хорошо вам известная Aladdin Software Security R.D. Можете что-нибудь сказать о такой модели шифрования дисков или вы никогда не анализировали эти технологии?

Дмитрий Скляров: В основном, большинство технологий шифрования дисков очень похожи друг на друга. Правильно разработанная и применяемая технология практически неуязвима техническими средствами. Хотя "правильное применение" подразумевает отсутствие на компьютере программ-шпионов и то, что аппаратный ключ никогда не попадает в руки противника. Ну и всегда остаются атаки, нацеленные на человека - от шантажа и угроз до применения физической силы.


Алексей Доля: То есть использование аппаратных ключей для корректного шифрования данных на дисках позволяет действительно эффективно защитить информацию. А если аппаратный ключ попадет к злоумышленнику, то он довольно быстро получит доступ к данным, так? Насколько я знаю, одного ключа недостаточно, нужно еще знать PIN-код.

Дмитрий Скляров: Аппаратные ключи - не панацея. Они просто вводят новый уровень контроля секретности. Основное достоинство правильного аппаратного ключа аутентификации - его некопируемость. То есть, некоторые операции, необходимые для доступа к зашифрованному диску, производятся внутри ключа, и нет возможности повторить то, что там происходит. И пока Вы уверены, что ключ в безопасности, можно считать, что и данные - в безопасности. В случае с паролем, например, это не так - теоретически, кто-то может узнать Ваш пароль, а вы об этом даже не будете подозревать. Но далеко не все ключи, используемые для аутентификации, сами выполняют какие-то криптографические преобразования. Очень часто в ключе просто хранится некоторая секретная информация, защищенная PIN-кодом. Фактически, это ненамного надежнее, чем дискета, на которой хранится файл, защищенный паролем. Зато продается дороже :). Да и разработчики ключей иногда ошибаются. Например, в июле 2000 года компания @Stake опубликовала подробное описание процедуры, позволяющей за несколько минут получить административный доступ к ключу типа Rainbow Technologies' iKey 1000.


Алексей Доля: Дмитрий, в своей книге вы исследовали в основном средства защиты, применяемые для операционной системы Windows (конечно, анализируемые концепции во многом не зависят от используемой ОС, но примеры анализируемых средств защиты работали только под Windows). Неужели в мире Unix и Linux проблем с защитой информации не возникает? Или вы сознательно сузили круг анализируемых технологий и программ?

Дмитрий Скляров: Наверное, проблемы везде примерно одинаковые, но я работаю преимущественно под Windows :).


Алексей Доля: После прочтения вашей книги становится очевидным, что правильная защита программы должна быть построена на корректно примененном криптографическом алгоритме. Можете дать еще какие-нибудь краткие рекомендации по созданию правильной защиты или у разработчиков нет больше союзников, кроме математически корректной криптографии?

Дмитрий Скляров: Я стремился к несколько иному - чтобы после прочтения книги становилось очевидным, что хорошего криптографического алгоритма недостаточно для построения надежной защиты. Нужно видеть и понимать всю схему защиты в целом, вплоть до мельчайших деталей. А этому нельзя научиться, прочтя одну книгу, и даже 10 книг. Так что лучше доверить разработку защиты профессионалам.


Алексей Доля: Вы никогда сами не брались за разработку защиты?

Дмитрий Скляров: Защиты целиком - пока нет, но несколько раз доводилось консультировать тех, кто брался.


Алексей Доля: В каких случаях разработчикам нужно разрабатывать библиотеку криптографических примитивов самим? Всегда ли можно воспользоваться уже готовой чужой библиотекой для защиты разрабатываемого коммерческого ПО?

Дмитрий Скляров: Разработчику, не занимающемуся напрямую криптографией и защитой информации, лучше всегда использовать чужие криптографические библиотеки - значительно снижается вероятность ошибки и экономится куча времени. В мире существует достаточно готовых решений с разными типами лицензий, включая бесплатные. Лично мне пока хватало SSLeay/OpenSSL.


Алексей Доля: Как вы оцениваете возможности стеганографии, которые уже сегодня можно использовать для защиты ПО от нелицензионного использования? Может ли, например, цифровая метка, спрятанная где-нибудь внутри бинарного или мультимедиа- файла помешать тиражированию защищенной программы?

Дмитрий Скляров: Некоторые продукты уже несколько лет имеют подобную защиту. И любой пользователь понимает, что если его копия окажется в свободном доступе в Интернет, он окажется в проигрыше - потеряет подписку на последующие версии и, возможно, даже не сможет купить продукт снова. И пиратские копии таких продуктов практически не появляются. А чтобы за действия по нелегальному распространению коммерческого электронного продукта наступала реальная ответственность, возможно, потребуется изменить законодательство.


Алексей Доля: Вы действительно считаете, что анализ защищенной программы с помощью дизассемблера и отладчика в современных условиях (огромные исполняемые файлы, сложные программные комплексы и модели защиты) является не эффективным? Или не эффективность этих средств анализа проявляется при исследовании криптографических библиотек, протоколов и примитивов?

Дмитрий Скляров: Тут стоит определиться с критерием эффективности. Если время исследователя ничего не стоит то, используя лишь отладчик можно узнать почти все, что требуется. Однако на практике хорошие исследователи высоко ценятся, а их труд хорошо оплачивается. И чем быстрее они смогут справиться с поставленной задачей анализа, тем дешевле, в конечном итоге, обойдется проект в целом.


Алексей Доля: То есть исследование с помощью отладчика и дизассемблера это очень медленно, так?

Дмитрий Скляров: И отладчик, и дизассемблер практически незаменимы, когда надо проанализировать несколько сотен байт кода. Но искать нужные байты в отладчике - занятие весьма утомительное.


Алексей Доля: Еще один интересный вопрос - а сколько зарабатывает хороший исследователь? Если не секрет, конечно.

Дмитрий Скляров: Больше, чем хороший программист, но меньше, чем хороший менеджер :).


Алексей Доля: Понимаю, что делать прогнозы - дело не благодарное, но все-таки: есть ли какие-нибудь общие тенденции в развитии технологий, связанных с информационной безопасностью и защитой информации?

Дмитрий Скляров: Мне кажется, что на обеспечение информационной безопасности каждый год будет тратиться все больше средств, причем не только в абсолютном, но и в относительном выражении. То есть защита информации будет оттягивать ресурсы из других областей информационных технологий.


Алексей Доля: Звучит угрожающе. Вообще даже статистика таких компаний как Gartner и IDC указывает, что корпорации инвестируют в информационную безопасность все больше и больше средств. Но ведь это не может продолжаться бесконечно! Что произойдет тогда?

Дмитрий Скляров: Да ничего страшного не случится. Просто иначе станут считать стоимость информации. Раньше цена преимущественно зависела от объема ресурсов, затраченных на сбор и хранение информации. Сейчас на цену влияет еще оперативность получения доступа к информации. А ещё будет влиять защищенность информации.


Алексей Доля: Каким вы видите будущее стеганографии?

Дмитрий Скляров: Стеганография - это инструмент, позволяющий лучше или хуже решать задачи, которые пока не решаются другими способами. Какое-то место для стеганографических методов наверняка найдется, но вряд ли она будет применяться так широко, как криптография.


Алексей Доля: Можно ли как-то бороться с нелегальным использованием ПО и цифрового контента с помощью законов? Априори, кажется, что это - гиблый номер.

Дмитрий Скляров: Бороться можно, другой вопрос - насколько эффективно. Полностью искоренить пиратство вряд ли удастся, но сделать невозможным открытую торговлю контрафактной продукцией не очень сложно. Почитайте, например, предложения на сайте Бюро ЮС ГЕНТИУМ: http://ius.ru/?page=recomendation&jump=11.


Алексей Доля: На задней обложке вашей книги написано, что "в публикуемом экспертами Silicon.com ежегодном рейтинге 50-ти самых влиятельных персон, определяющих будущее мира высоких технологий (Agenda Setters 2003)" вы занимаете 29-е место. В чем именно вы видите свое влияние? В чем оно проявляется?

Дмитрий Скляров: Если честно, я не знаю. Но было очень приятно увидеть себя в одном списке с Дональдом Кнутом, Сергеем Брином и Линусом Торвальдсом :).


Алексей Доля: Как вы оцениваете деятельность ассоциации РусКрипто, членом которой вы являетесь?

Дмитрий Скляров: Положительно. Членами ассоциации являются многие серьезные специалисты в области криптологии и защиты информации. И ассоциация делает важную работу по развитию и продвижению гражданской криптографии в России.


Алексей Доля: Хотите сказать что-нибудь напоследок?

Дмитрий Скляров: Разве что поблагодарить тех, кто дочитает это интервью до конца :)


Алексей Доля: Спасибо, что потратили на нас время и так подробно ответили на все наши вопросы. Удачи вам и до свидания!

Интервью с Александром Каталовым, президентом ElcomSoft

Алексей Доля: Александр, расскажите, пожалуйста, о самой компании ElcomSoft. Чем она занимается и каковы масштабы ее деятельности?

Александр Каталов: Компания разрабатывает ПО для восстановления паролей (в приложениях Microsoft, Lotus, Adobe, в различных архивах и т.д.), создания резервных копий реестра Windows, проверки паролей пользователей и их восстановления (речь идет об утилите для администрирования системы), создания каталога различных типов данных, хранящихся на жестком диске. В фирме работает 20 человек. По размеру дохода, приходящегося на одного сотрудника, фирма, несомненно, является одним из лидеров в данной отрасли в России и вполне соответствует мировым стандартам. Но, естественно, при оценке общего оборота всей фирмы сравнения проводить сложно.


Алексей Доля: Как давно вы возглавляете компанию? Что входит в сферу ваших обязанностей сегодня?

Александр Каталов: Я являюсь президентом компании с момента ее основания в декабре 1990-го года. В сферу моих обязанностей входит работа в качестве президента фирмы :).


Алексей Доля: Дмитрий Скляров, как технический специалист, играет важную роль в вашей компании? Как вы лично оцениваете его человеческие и профессиональные качества?

Александр Каталов: Конечно, играет важную роль в том направлении, в котором он работает. Но я ценю всех наших сотрудников, и не готов выделять кого-то особо - в небольшой по численности фирме каждый сотрудник играет важную роль.


Алексей Доля: Как, на ваш взгляд, судебное разбирательство 2001-2002 года (в которое были вовлечены ваша компания и Дмитрий) повлияла на бизнес-позицию вашей компании? Со стороны кажется, что компания ElcomSoft приобрела широкую известность и не понесла особых финансовых потерь.

Александр Каталов: Не понесла потерь? Затраты на адвокатов составили сотни тысяч долларов, плюс мы потеряли несколько миллионных контрактов. А та "известность", которую компания приобрела - отнюдь не способствует развитию бизнеса.


Алексей Доля: Нельзя обойти стороной и моральную, нравственную составляющую этого разбирательства. Руководство компании и ее персонал, наверное, сильно переживали за исход дела?

Александр Каталов: Какой ответ ожидается? "Да, сильно переживали!" или "Нет, совсем не переживали!"? Естественно первое, так как под угрозой было все дальнейшее существование фирмы - если бы на нас наложили штраф в размере 2.5 миллиона долларов, мы могли бы не "вылезти".


Алексей Доля: На задней обложке книги Дмитрия Склярова написано, что "в публикуемом экспертами Silicon.com ежегодном рейтинге 50-ти самых влиятельных персон, определяющих будущее мира высоких технологий (Agenda Setters 2003)" он занимаете 29-е место. В чем лично вы видите его влияние? В чем оно проявляется?

Александр Каталов: Этот рейтинг отражает насколько деятельность в 2002 году присутствующих в списке людей (или связанные с этими людьми события, произошедшие в 2002 году) повлияли или могут повлиять на будущее мира высоких технологий. Естественно, первое уголовное дело по DMCA, равно как и первая победа в деле, связанном с DMCA - было воспринято составителями рейтинга как значительное событие. Интересно отметить, что в списке "Основных Hi-Tech событий 2001 года" по версии CNN иск против Дмитрия Склярова и фирмы "Элкомсофт" был на пятом месте, а выход операционной системы Windows XP - на восьмом...


Алексей Доля: Большое спасибо. Успехов вам лично и вашей компании!