(Март 2006)
Популярный в давние советские времена остросюжетный кинофильм “Возвращение Святого Луки” вошел в народную память, главным образом, бессмертной фразой “Как жить, как жить? Кругом одно жулье!”. Особый колорит этому воплю отчаяния придавало то, что исходил он от законченного прохиндея, занимавшегося перепродажей краденых картин.
И хотя события, происходящее ныне в Интернете вокруг бурно расплодившихся шпионских и зловредных программ — spyware & malware — не имеют абсолютно никакой связи с сюжетом старого советского кинодетектива, при попытках их анализа в голове все время почему-то крутится та самая ключевая фраза из фильма…
Тревога на зоне
Подобно тому, как имя фирмы Xerox в свое время стало у публики синонимом новой технологии фотокопирования, так и ZoneAlarm, название популярнейшей программы сетевой защиты, для пользователей из многих стран сегодня стало чуть ли не эквивалентом понятия “файрвол”.
В январе 2006 г. один из крупнейших международных компьютерных журналов, PC Magazine, добавил этой программе очередной приз и без того в длиннейший список наград, назвав ZoneAlarm Security Suite 6.0 (наиболее полную версию пакета) “лучшим продуктом 2005 года” в своей категории — “за надежный и комплексный подход в защите ПК от хакеров, шпионских программ и других интернет-угроз”.
Но, как известно, нет в мире совершенства, и практически одновременно с этой парадной реляцией появились в компьютерной прессе и совсем иные сообщения о программе ZoneAlarm, причем именно в той самой обласканной комплектации ZA Security Suite 6.0. А конкретно, было обнаружено, что ZoneAlarm втайне от владельца “звонит домой”, т.е. отправляет в Сеть пакеты с информацией о компьютере, на котором установлен, даже если владелец машины явным образом запретил это делать в настройках файрвола.
Говоря простым языком, подобными вещами занимаются шпионские программы, почему и было крайне неприятно поймать за тем же самым хваленый инструмент, созданный для надежной охраны компьютера от такой заразы. Самые бдительные начали замечать эту “странность” ZoneAlarm уже давно, но затем безрадостное открытие сделал далеко не рядовой пользователь, а именно Джеймс Борк, один из старших редакторов американского издания InfoWorld.
Осенью прошлого года, когда шумный скандал вокруг “руткита Sony” [см. «Корень зла» ] у многих продвинутых пользователей вызвал повышенный интерес к реальной безопасности своих компьютеров, Борк тоже решил внимательнее присмотреться к сетевому трафику собственной машины с помощью программы-анализатора пакетов. И был сильно удивлен, обнаружив, что ZoneAlarm втайне отсылает зашифрованные пакеты по адресам четырех разных серверов, несмотря на то, что в настройках программы были запрещены все внешние коммуникации.
Борк немедленно потребовал объяснений у фирмы-разработчика Zone Labs, а то, что за этим последовало, должно было, по идее, насторожить любого внимательного человека еще больше. Потому что переписка Борка с Zone Labs длилась в общей сложности два месяца, в течение которых позиция фирмы-разработчика менялась следующим образом: (1) ничего подобного быть не может, потому что у нас это не воспроизводится; (2) это мелкий дефект в программе, который мы скоро исправим; (3) это важное и неотъемлемое свойство пакета, отключать которое крайне нежелательно.
Последняя версия в ряду столь противоречивых ответов Zone Labs ныне вывешена на сайте компании, ибо краткие результаты частной переписки Борка с темнящим в объяснениях разработчиком в конце концов были опубликованы в InfoWorld, а общественность, естественно, заволновалась.
Для успокоения публики фирмой был создан специальный документ, объясняющий, что исключительно ради безопасности клиентов серверы компании регулярно опрашивают их компьютеры, дабы поддерживать защиту на должном уровне, а “вызвавшие споры коммуникации — это просто зашифрованные запросы GET, проверяющие, в современном ли состоянии поддерживается программное обеспечение”.
Иными словами, даже если владельцы ПК запрещают внешние связи, программа “для их же пользы” все равно это делает, а реально отключить это, как выясняется, можно лишь с помощью нетривиальной многоходовой операции, включающей закачку и установку особого плагина (RegisterPluginCam.exe) с сайта компании.
Даже в таком виде объяснения Zone Labs не вызывают особого доверия и демонстрируют, что сотрудники фирмы, отвечающие за техпомощь и связи с общественностью, не представляют в действительности, как работает их программа. А те люди, которые представляют, толком объяснять почему-то не хотят.
Особо выпукло данный факт проиллюстрировали обсуждения новости на страницах официального онлайнового форума пользователей программы forum.zonelabs.org. Там один из участников дискуссии попросил компанию в явном виде сообщить, какие именно данные о компьютере программа собирает и отсылает в зашифрованном виде (потому что, по мнению автора вопроса, информация типа версии программы и сигнатур файлов является открытой и не требующей шифрования).
В ответ на этот вполне резонный вопрос администрация Zone Labs резко заявила, что это вопрос “вне темы”, поскольку в статье InfoWorld об этом не спрашивалось, а значит, и здесь они отвечать не будут. После чего “неудобная” ветвь обсуждения была сначала заблокирована от дальнейших продолжений и развитий, а еще через два часа вообще удалена из форума вместе с реакцией других участников дискуссии.
Как показывает опыт, столь бесцеремонные и быстрые действия “по пресечению”, не сопровождающиеся даже для видимости традиционной риторикой насчет “коммерческой тайны”, свидетельствуют, скорее всего, о задетых интересах некой могущественной третьей стороны — незримо присутствующей между разработчиками и пользователями программы безопасности.
Если принять во внимание бдительное око Большого Брата — в лице какой-нибудь мощной американской спецслужбы, — то сразу становятся понятны и вопиющее несоответствие между первоначальной и окончательной реакцией на “баг”, и клятвенные заверения Zone Labs в том, что пользователям абсолютно не следует волноваться о недокументированных “шпионских” функциях программы, и крайне решительное, наконец, пресечение любых обсуждений темы по существу. Для обычно вежливой пиар-деятельности подобная грубость равносильна грубейшему проколу, однако в данном случае вмешиваются, похоже, факторы куда более высокого порядка.
Теперь же, когда волны скандала более-менее улеглись, для всех пользователей ZoneAlarm остаются, можно сказать, две взаимоисключающие альтернативы. Первая, это убедить себя, что во всем остальном ZA остается отличной программой, а куда и зачем она там время от времени позванивает, для обычного человека, не замышляющего ничего дурного, в сущности, не так уж и важно.
Ну а в качестве второй альтернативы — для людей, плохо переносящих откровенную ложь в лицо — предлагается поискать что-нибудь адекватное ZoneAlarm, но пока не замеченное в неискренности. Например, немало положительных отзывов уже успел собрать относительно новый межсетевой экран Lavasoft Personal Firewall от одноименной германской фирмы (www.lavasoft.de), хорошо себя зарекомендовавшей своей популярной антишпионской программой AdAware.
Драйверы Звездной Силы
Вскользь упомянутая чуть ранее история с руткитом Sony стала своего рода катализатором, резко усилившим в Сети масштаб и накал дискуссий вокруг разнообразных средств защиты цифрового контента от копирования. Те или иные формы антикопировальной борьбы применялись издателями игр и ПО всегда, однако лишь сравнительно недавно технологии защиты стали погружать в низкий системный уровень, где малейшие недочеты в “охранных” драйверах начинают серьезнейшим образом влиять на общую стабильность работы компьютера, его отдельных компонентов и программных приложений.
Подобно “руткиту Sony”, который для защиты своих аудио-CD изготовила вообще-то не сама компания-гигант, а сравнительно небольшая английская фирма First 4 Internet для всей индустрии звукозаписи, средства защиты компакт-дисков с играми и ПО, как правило, тоже изготовлены разработчиками третьей стороны. Таких фирм, специализирующихся в области антикопировальных технологий, на рынке не одна и не две, из-за чего между ними идет острейшая конкуренция.
И так уж получилось, что больше всего нареканий, жалоб и ругательств со стороны пользователей игр вызывает в последнее время компания StarForce, защитными технологиями которой охраняются свыше сотни популярных в народе игр, включая, в частности, такие, как Etherlords II, Heroes of Might and Magic V, King Kong, Prince of Persia: The Two Thrones, Splinter Cell 3: Chaos Theory и многие другие.
Если побродить по форумам компаний, выпустивших все эти игры, а также по независимым онлайновым тусовкам игроманов, то общий список претензий к StarForce накопится довольно длинный. Наиболее часто звучащие обвинения сводятся к тому, что драйверы StarForce замедляют работу компьютера и повышают количество ошибок считывания/записи, чем фатально ухудшают работу пишущих CD/DVD приводов и программ прожига.
Из-за этого не только заметно возрастает количество испорченных болванок, но и вообще многие приводы, особенно высокоскоростные и мультиформатные DVD, становятся фактически непригодными для записи. Внешне подобная беда обычно проявляется в том, что программа прожига приступает к работе на нормальной высокой скорости, затем обороты привода постепенно начинают снижаться и нередко падают до такого уровня, когда запись (особенно DVD) становится невозможной, так что процесс останавливается с выдачей сообщения о неясной ошибке и возвратом запоротой болванки.
Компания StarForce, с другой стороны, категорически отрицает свою вину в этих и прочих подобных проблемах с компьютером у пользователей игр. Фирма не раскрывает подробностей своей технологии, подтверждая лишь то, что ее драйверы не позволяют запускать программы-эмуляторы или отладчики-дебаггеры в то время, когда в лоток привода помещена находящаяся под защитой игра. Однако тут же подчеркивается, что никакого вреда дисководам от StarForce быть не может.
Настаивая на этой позиции, фирма-разработчик защиты не только не собирается извиняться перед теми, кто считает себя невинно пострадавшими, но и весьма агрессивно отстаивает свою правоту, рассылая гневные письма-угрозы журналистам и авторам, пытающимся привлечь более широкое внимание общественности к серьезной по их мнению проблеме.
В частности, стоило Кори Доктороу, известному писателю-фантасту и активному борцу за более либеральные подходы к авторским правам в цифровой век, написать обо всем этом критическую статью в своем популярнейшем блоге Boing Boing, как уже на следующий день в его ящике электронной почты появилось такое письмо-предупреждение от бдительного представителя фирмы:
Уважаемый сэр, обзывать StarForce “зловредной антикопировальной программой” — это уже достаточно веское основание для предъявления вам официальных обвинений, и это именно то, чем вовсю сейчас занимается адвокат нашей компании. Настоятельно рекомендую удалить вашу статью с сайта http://www.boingboing.net, поскольку она полна оскорблений, неправды, ложных обвинений и слухов. Ваша статья нарушает приблизительно 11 международных законов. Вскоре с вами свяжется наш американский адвокат. Кроме того, я обратился в ФБР, поскольку то, чем вы занимаетесь — это агрессивное оскорбление.
Кори Доктороу, надо сказать, человек в подобных конфликтах весьма опытный, поскольку является европейским представителем видной правозащитной организации Electronic Frontier Foundation и “на пушку” его не возьмешь. Поэтому он, конечно же, ничуть не испугался, не только оставив исходную статью, но и присовокупив к ней столь выразительное письмо-угрозу на всеобщее обозрение в своем блоге. Да еще, быть может, искренне удивившись, что это за “международные законы” такие, запрещающие свободу слова в странном количестве “приблизительно одиннадцати” штук.
Ну а всех остальных в этом занятном сюжете больше всего должен удивить следующий факт. Живущего и работающего в Лондоне канадца Доктороу российская фирма StarForce, базирующаяся в Москве, пугает жалобой в Федеральное бюро расследований США…
Скорее всего, американский юрист компании StarForce быстро разъяснил воинственному пиар-менеджеру, рассылающему угрозы, что с правовой точки зрения его эмоциональные демарши — это чистейший нонсенс.
Но сам подход все равно интересен, ибо свидетельствует, что в тесно переплетенном ныне ИТ-бизнесе, когда даже небольшая компания вроде российской StarForce имеет собственные представительства и основные дела за рубежом — в Западной Европе, Азии и Америке, — то ФБР США уже начинает представляться неким грозным наднациональным “милицанером”, который всех призовет к ответу (примерно как в стихах большого российского поэта Дмитрия Александровича Пригова: “Но придет Милицанер / Скажет им: Не баловаться!”).
Причем, шутки шутками, а дело понемногу действительно движется к этому, если обратить внимание, как политики с подачи большой индустрии развлечений все чаще и чаще пытаются увязать пиратский бизнес с финансированием терроризма. Ну, а кто возглавляет под звездно-полосатым флагом всемирную борьбу с террористами, это известно даже детям.
Однако, в непростом деле пиара главное все же — это не запугивание говорливых журналистов, а привлечение к продукту широких народных масс. А что для публики может быть интереснее, чем конкурс с хорошим денежным призом победителю?
И вот в начале декабря прошлого года компания StarForce, безусловно обеспокоенная растущим в Сети недовольством и призывами к бойкоту, объявила для всех “якобы пострадавших” любопытный приз — 1 000 долларов тому, кто действительно продемонстрирует экспертам, как драйверы компании портят оптический привод.
Заинтересовавшихся этим конкурсом оказалось действительно немало — к концу января счетчики соответствующей веб-страницы на сайте StarForce зарегистрировали свыше 200 тысяч заходов, однако поучаствовать, похоже, не выразил желания никто. Воодушевившись, в StarForce подняли сумму приза сначала до 3 тысяч, потом до пяти, а за неделю до 31 января — окончания срока конкурса — и до 10 000 долларов. После чего было торжественно провозглашено, что все злопыхатели и клеветники наглядно разоблачены, а упорно ходящие по Интернету слухи о “вредительстве” StarForce — это не более чем происки завистливых конкурентов.
В сетевых форумах, правда, противники драйверов StarForce абсолютно с подобным выводом не согласны, видя в устроенном конкурсе лишь показуху и подставу, условия которой таковы, что выиграть там невозможно в принципе. Потому что по условиям конкурса надо было на чистой машине инсталлировать игру с защитой StarForce, затем вынуть из компьютера привод и поставить его в другую чистую машину, продемонстрировав, что привод перестал нормально работать.
Однако суть подавляющего большинства претензий к StarForce не в том, что привод физически выходит из строя, а в том, что нередко драйверы не удаляются из машины вместе с деинсталляцией игры, вычистить их пользователю самостоятельно очень сложно, а для восстановления полноценной работоспособности машины приходится переустанавливать ОС.
Короче говоря, конфликтующие стороны по-прежнему смотрят на проблему с существенно разных точек зрения. Для всех, кто хотел бы составить о происходящем собственное информированное мнение, остается сообщить, что программа StarForce устанавливается в ПК как скрытый IDE-драйвер одновременно с процессом инсталляции игры, которую защищает от копирования. Никакой информации об установке StarForce владельцу компьютера не сообщается, в штатной утилите Windows для добавления/удаления программ она не появляется. Узнать, какие именно игры оснащены данной защитой, можно, например, здесь: http://www.glop.org/starforce/ (список постоянно пополняется).
Для того, чтобы определить, установлены ли драйверы StarForce на вашей машине, следует проделать такую последовательность шагов. В Проводнике щелкнуть правой кнопкой мыши на пиктограмме “Мой компьютер”, в появившемся меню выбрать “Свойства”, а в соответствующем окне — закладку “Оборудование”. Здесь нажать кнопку “Диспетчер устройств”, в новом окне кликнуть “Вид”, а там “Показать скрытые устройства”. Тут раскрыть раздел “Драйверы устройств не Plug and Play”, и если интересующие драйверы установлены, то их видно по названиям типа: StarForce Protection Environment Driver, StarForce Protection VFS Driver и тому подобное.
Поскольку за деинсталляцию отвечает не разработчик защиты, а фирма-изготовитель конкретной игры, установившая технологию StarForce, то после сноса игры эти драйверы часто из машины не удаляются и продолжают работать. Чтобы их удалить, следует воспользоваться специальной программой “чистильщиком” sfdrvrem.exe, созданной фирмой-разработчиком защиты и выложенной по адресу http://www.onlinesecurity-on.com/protect.phtml?c=55. Этот сайт также принадлежит StarForce, поэтому более надежный деинсталлятор и место его скачивания порекомендовать сложно.
Ну а уж “Как жить, как жить?” и как пользоваться всей этой информацией — каждый пусть решает сам.
The END
kiwi arXiv 