1992/12/31 Softwareklau und Softwareschutz
DIR Die Aktion der deutschen Firma CADSOFT, mittels kostenlos versandter "Demoprogramme" Raubkopien ihrer eigenen Produkte a...
Die Aktion der deutschen Firma CADSOFT, mittels kostenlos versandter "Demoprogramme" Raubkopien ihrer eigenen Produkte aufzuspüren, (DIR berichtete in der letzten Ausgabe kurz darüber) hat in der Fachpresse eine Flut kontroversieller Statements ausgelöst. Eines sei vorwegenommen: der Softwareschutzdes Programms war sichtlich dürftig - trotz "Dongle". Die Möglichkeiten, Software vor unerwünschter Vervielfältigung zu schützen, sollen hier analysiert werden. Denn das CADSOFT-Dongle war sicher nicht der Weisheit letzter Schluß.
Was ist "Software-Schutz"
Illegales Kopieren von Software wird zur Zeit noch immer als Kavaliersdelikt betrachtet. Was bislang auch so manche Softwareanbieter mit einem gewissen Augenzwinkern sahen, sind doch eifrig kopierende Studenten von heute die Entscheidungsträger und Auftraggeber von morgen, und stellen dann mit ihrenPräferenzen oft die Weichen für Jahrzehnte überdauernde Systemlösungen.
Software-Schutz, vulgo "Kopierschutz", soll das im Allgemeinen unerwünschte Vervielfältigen von Software verhindern. Ziel des Software-Schutzes ist es, Umsatzausfälle beim Softwareproduzenten, die durch Verwendung illegaler Kopien entstehen, zu minimieren und trotzdem die Möglichkeit offenzuhalten,die Software (bzw. Demoversionen) auf breiter Basis in die interessierte Öffentlichkeit zu bringen. D.h. den Werbeeffekt des studentischen Kopierbedürfnisses mit der Unterbindung eines schwarzen Marktes zu kombinieren.
Nicht abgedeckt wird von den beschriebenen Software-Schutzmaßnahmen der "Ideendiebstahl", d.h. das Verwenden von Bestandteilen fremder Software zur Nachahmung bzw. Neuentwicklung gleichartiger Produkte.
Die EG-Richtlinie vom 14. Mai 1991 verbessert zwar die Urheberrechtssituation für Software, schutzwürdig sind allerdings nur Programme, die eine "eigentümliche" (im Sinne von individuell) geistige Schöpfung darstellen. Eine Zusammenstellung von Standardroutinen zu einer bestimmten Applikation, undsei sie auch noch so gelungen, wird mit hoher Wahrscheinlichkeit nicht darunter fallen.
Man überlege sich aber, daß eine Strafdrohung weitaus weniger wirksam ist als technische Schutzmaßnahmen. Jedes Parkverbot in der City kann das belegen. Darüberhinaus bieten spezielle Schutzvorrichtungen bei den stetig komplexer werdenden Applikationen neue Möglichkeiten des Vertriebs und derKundenakquisition: Installationen auf Probe oder zeitlich begrenzter Verleih von Software. Bei geschützter Software ist der Gefahr vorgebeugt, daß der Kunde auch nach dem Ablauf der Nutzungsdauer mit einer Kopie des Programms ohne Wissen des Lieferanten weiterarbeitet. Selten eingesetzte, und dazukostspielige Software kann auf diese Art neue Kundenkreise erschließen.
Aber auch das Risiko des Softwarekaufs und -verkaufs wird damit für beide Seiten reduziert; der Kunde kann im Probebetrieb die Software ausreichend auf ihre Funktionalität testen und in der Praxis feststellen, wie sehr sie seinen Bedürfnissen entspricht. Der Anbieter hat die Sicherheit, daß dieOriginalsoftware nach dem Test zurückgegeben wird und etwaige beim Kunden verbleibende Kopien für diesen wertlos sind.
Allgemeines zu Schutzverfahren
Grundsätzlich kann kein Verfahren, das ausschließlich auf Geheimhaltung beruht, als sicher bezeichnet werden. Mit der Veröffentlichung interner, geheimer Information - etwa über die Codierung - wird ein derartiges Verfahren schlagartig wertlos und stellt ab diesem Zeitpunkt eine nicht abzuschätzendeGefahr dar.
Darüber hinaus sind zahlreiche Codierungsverfahren der Vergangenheit heute bedeutungslos geworden, da auch der hoffnungsvolle BASIC-Programmierer mit seinem Hobbycomputer eine systematische Analyse in wenigen Minuten vollziehen kann (wie man das ohne Computer macht, ist in der Kurzgeschichte "DerGoldkäfer" von E.A.Poe nachzulesen). Bei teilweiser Kenntnis des Resultats sind sogar als sehr sicher geltende Verfahren mittels Computerhilfe erfolgreich angreifbar.
Als sicher kann ein Verfahren gelten, in dem sowohl ein zufälliges Knacken des Schutzes extrem unwahrscheinlich ist, als auch - bei genauer Kenntnis der Funktionsweise - ein systematisches Herangehen aussichtslos erscheint oder einen Zeitaufwand bedeutet, der in keinem Verhältnis zum Erfolg steht.Die Mathematik kennt dazu sogenannte "Falltürfunktionen", deren Formel in der einen Richtung leicht berechenbar ist, bei der die Umkehrfunktion (d.h. das Rückrechnen der Ausgangswerte aus den Ergebnissen) aber extrem zeitaufwendig wird. Und das auch mit schnellsten Computern.
Software-Schutzverfahren
Im Prinzip kann man zwischen drei Verfahren unterscheiden:
Sicherungen durch Codes, diskettenspezifische Verfahren und Hardwaresicherungen.
Sicherung durch Codes
Vorweg: Als alleinige Sicherungsmaßnahme relativ untauglich. Bei der Installation der Originaldisketten muß der Benutzer eine getrennt mitgelieferte Codezahl eingeben, um das Programm funktionstüchtig zu machen. Eventuell werden in Zusammenhang damit Name bzw. Firma angegeben und im Programmmitcodiert. Das unerlaubte Abziehen des bereits installierten Programms ist damit bis an seine Quelle rückverfolgbar.
Wirkungslos ist dieser Schutz, wenn die Originaldisketten vor der Installation dupliziert werden und dem Kopierer dazu die Codezahl bekannt ist. Er kann ein derartiges Produkt dann beliebig oft installieren. Die in manchen Betrieben praktizierte Unsitte, ein Programm nur einmal zu kaufen unddutzende Male einzusetzen, kann damit nicht unterbunden werden, wohl aber ist der nachträgliche Softwareklau durch Benutzer prinzipiell verfolgbar. Für eine offizielle Verwendung ist eine Kopie des installierten Programms also wertlos. Womit Mitarbeiter ihre privaten PCs füllen, entzieht sich jedochmeist der Kenntnis Außenstehender, dürfte für den Softwarehandel aber auch nicht sehr atemberaubend sein.
Eine weitere Variante, die von Computerspielen her eine gewisse Bekanntheit hat, arbeitet mit zwei Codeziffern. Die Software selbst ist ohne Einschränkungen installierbar - und auch kopierbar. Einige wesentliche Funktionen (Ausdruck, Abspeichern, bzw. höhere Levels des Spiels) aber nur durch Eingabeeines bestimmten Codes aktivierbar. Diesen erhält man erst dann vom Hersteller, wenn man ihm eine vom Programm selbst generierte Codesequenz (die im Prinzip auf bestimmten Eigenschaften der eigenen Hardware basiert und daher recht individuell ist) zuschickt. Aus dieser wird beim Hersteller derSchlüssel errechnet.
Der Vorteil für den Produzenten bei dieser Methode: keine Neuinstallation bleibt ihm verborgen, will sie ordnungsgemäß funktionieren. Nachteil für den Benutzer: Der Umstieg auf einen neuen Computer (oder oft auch nur ein Upgrade des alten) verändert die hardwarespezifische Codesequenz und bedeutetquasi eine Neuinstallation - für die man wieder Lizenzgebühr berappen muß, sonst funktioniert das Programm nicht mehr. Und größere Firmen mit einer Serie von hundertprozentig identen Geräten bekommt der Hersteller auf die Art wieder nicht in den Griff.
Diskettenspezifische Schutzverfahren
Ehemalige APPLE-II-Hacker bekommen einen nostalgisch verklärten Blick: war dies doch das Paradegerät für immer wieder neue, oft schon skurille und doch immer schneller geknackte Tricks in den Aufzeichnungsformaten. Manch einer entwickelte sich da zum Spezialisten für "protected formats", alsounkopierbare Disketten - das auf beiden Seiten. Selten zuvor und danach wurde Hardware auf so unverschämte Weise gequält - etwa wenn der Lesekopf des Laufwerks zum inneren Anschlag befördert wurde, um dort noch eine zusätzliche, undokumentierte Spur aufzuzeichnen - was nicht immer funktionierte,wenn der Laufwerkstyp dies nicht zuließ.
Das Karussell der "Protectors" und "Unprotectors" drehte sich immer schneller. Wo immer der normale Diskettenkopierbefehl beim Benutzer versagte, wirkte aber letzten Endes das Programm "Locksmith" wahre Wunder. Die Struktur der Diskette wurde analysiert, beabsichtigt eingebaute Fehler enttarnt,unerlaubte Datenspuren entdeckt und letztlich war das Ergebnis entweder das exakte Duplikat des Originals oder eine ganz normal weiterkopierbare Diskette im Standardformat.
Um beim "Industriestandard", vulgo IBM-PC, die Kompatibilität einigermaßen zu wahren, verzichtete man auf die ärgsten Auswüchse dieser Spezialformate - deren Sicherheit war ohnehin nur eine zweifelhafte Zeitfrage. Ein Prinzip setzte sich eine Zeitlang durch und verschwand nach Protesten und üblerReputation nach und nach wieder: der "Bad Sector Test". Zuerst mechanisch, später mittels Laserstrahl wurde auf der zu schützenden Diskette ein Defekt erzeugt. Vom geschützten Programm aus wurde auf die defekte Stelle zugegriffen - kam eine Fehlermeldung, war alles ok und das Programm lief weiter,war der Sektor jedoch fehlerlos lesbar, mußte es sich um ein Duplikat handeln. Kratzer auf der Disk sind schließlich nicht elektronisch kopierbar.
Der Vorwurf, beschädigte Disketten an die Kunden auszuliefern, machte diesen Kopierschutz bald unbeliebt. Auch seine verfeinerte Variante, einen lesbaren Datensektor nur als defekt zu markieren und trotzdem von dort Daten zu lesen, überlebte letztlich in seiner größten Verbreitung nur als sattsambekannter Michelangelo-Virus.
Der wesentliche Nachteil des Verfahrens, zum Start bzw. zur Installation des Programms völlig auf eine einzige Originaldiskette angewiesen zu sein, ließ auch die Endlösung dieses Problems nur zu berechtigt erscheinen: sie hieß "Ramkey", war ein Programm, das vor dem Start der geschützten Softwaregeladen werden mußte, und das derartige Prüfvorgänge, die programmtechnisch relativ leicht zu identifizieren waren, abfing.
Schließlich ist es im professionellen Einsatz nicht vertretbar, daß etwa der Buchhaltungsrechner für ein paar Tage ausfällt, weil die viel beanspruchte Startdiskette ihren Geist aufgibt und erst gegen ein funktionierendes Exemplar beim Distributor eingetauscht werden muß. Ganz abgesehen davon, daßauch Software-Distributoren gelegentlich pleite machen und von der Bildfläche verschwinden können...
Verbreitet sind diese und ähnliche Diskettenschutzverfahren vor allem bei Spielprogrammen. Hier sind Systemstandards nicht von großer Wichtigkeit, denn der Rechner wird von der Diskette selbst gestartet und holt sich damit oft ein speziell verändertes Betriebssystem herein, das exklusiv für dasSpiel läuft. Kompatibilität zu anderer Software ist hier nicht gefragt. Nach Beendigung des Spiels muß in der Regel der Rechner neu gestartet werden, um wieder die Standardvorgaben zu erfüllen. Ein Ausfall der Startdiskette mag für den Spieltrieb zwar quälend, aber gewiß nicht wirtschaftlichexistenzbedrohend sein.
Ökonomisches Argument für all diese Diskettenschutzverfahren sind die geringen Kosten. Was ebenfalls für den Einsatz bei Spielprogrammen spricht, bei qualifizierten Applikationen, die etliche tausend Schilling kosten, aber nicht mehr einen maßgeblichen Faktor darstellt.
Hardware-Schutz
Bei hochwertiger und umfangreicher Software wird es wirtschaftlich überlegenswert, diese mit Hardwarezusätzen zu vertreiben, um Mißbrauch vorzubeugen. Den Sicherheitsbedürfnissen der Anwender wird damit voll Rechnung getragen, da die Software beliebig oft kopiert werden kann. Einsatzfähig ist sieaber nur dann, wenn sie auf den Hardwarezusatz, gemeinhin "Dongle" genannt, zugreifen kann. Das "Dongle" ist in der Regel ein Zwischenstecker in der Größe einer Streichholzschachtel, der auf den - fast immer vorhandenen - Druckeranschluß des Computers gesteckt wird. Die Druckerfunktionen werdendadurch nicht beeinträchtigt - nach einhelliger Versicherung aller Hersteller solcher Zusätze.
Aber auch bei den Dongles gibt es Qualitätsunterschiede. Die primitivste und billigste Variante - gelegentlich auch bei Spielprogrammen zu finden - meldet auf Anfrage vom Programm lediglich ihr Vorhandensein, eventuell mit der zugehörigen Seriennummer. Die Funktion ist also rein passiv.Materialwert: ein Stecker mit Logikchips um ein paar Schilling. Jederzeit knackbar, sobald die Abfragesequenz im Programm erkannt ist und entfernt wird. Grundkenntnisse in Assemblerprogrammierung und ein gewisses Fingerspitzengefühl für sensible Programmteile reichen dazu aus.
Schwieriger wird es, wenn das Dongle imstande ist, vom Programm gesendete Sequenzen zu ver- bzw. entschlüsseln. Der Aufwand an Elektronik kann dabei durchaus noch in Grenzen sein und der Preis ebenso: ein "Schieberegister" - eine Standardschaltung der Digitalelektronik - mit ein bißchen zusätzlicherLogik ist auf ein fixes Codierverfahren eingestellt. Die verschlüsselten Programmbestandteile der Software werden dann via Dongle in lauffähigen Maschinencode bzw. lesbare Daten decodiert. Diese Variante erlaubt hunderte verschiedene Codierverfahren, die mit entsprechendem programmtechnischenAufwand natürlich durchgetestet und erkannt werden könnten - ein Fall für Hacker mit viel Geduld und Spezialprogrammen zum Test des Hardwarezusatzes.
Ist das verwendete Verfahren aber einmal publik, dann müssen nur mehr die verschlüsselten Programmteile als solche identifiziert und ein für alle Mal dekodiert werden. Ein möglicherweise realistischer Aufwand, besonders, wenn der Hersteller bei all seinen Produkten dieselben Methoden zur Sicherungverwendet.
Man sieht: eine Verschlüsselung des Codes mittels des Hardwarebausteins selbst erhöht den Aufwand für eine mißbräuchliche Decodierung um ein Beträchtliches, kann die Analyse des Programmcodes schließlich keinerlei Erkenntnisse über die Codierung selbst bringen. Qualitativ gute Dongles haben dahereine hochkomplexe Integrierte Schaltung in ihrem Inneren, einen sogenannten ASIC (Application Specific Integrated Circuit), der diese Aufgabe erfüllt. Er verfügt über einen eigenen Mikroprozessor, Speicher,sowie Programmcode in einem ROM (Read Only Memory), das von außen nicht zugänglich ist. Einelektrisch löschbarer Festwertspeicher (EEPROM) kann vom Software-Hersteller selbst programmiert werden und steuert das Verhalten des Chips.
Die Technologie des Hardwarezusatzes ist vergleichbar mit der der oftzitierten Chip-Card - auch die Aufgabenstellung ist ähnlich: Identifikationsfunktion, Verschlüsselung, individuelle Programmierung der zulässigen Funktionen. Der Preis ist dementsprechend höher, als bei einfacheren Systemen -nämlich in der Größenordnung von DM 50.- bis DM 100.-.
Die Funktionsweise im Detail: Wer als Software-Hersteller seine Produkte mit Hardwareschutz vertreiben will, erhält vom Dongle-Produzenten ein spezielles Steckmodul bzw. eine Einsteckkarte mit einer individuellen Seriennummer und einer dazugehörigen, einmaligen Codesignatur. Dieser Zusatz erlaubtdem Softwarehersteller die individuelle Programmierung einer beliebigen Anzahl von - vorerst neutralen - Dongles.
Dazu wird das Dongle mit dieser firmenspezifischen Seriennummer des Softwareproduzenten und einer zweiten, von ihm selbst wählbaren Seriennummer (zu der der Programmierzusatz ebenfalls eine unverwechselbare Codesignatur erzeugt) geladen. Beide Zahlen liegen im Millionenbereich. Im Programm selbsthat der Produzent noch die Möglichkeit, mittels einer dritten Zahl aus tausenden Varianten von Codierungsalgorithmen zu wählen.
Diese drei voneinander unabhängigen Zahlen steuern die Verschlüsselung der Software des Herstellers. Damit wird der lauffähige Programmcode der Software umgewandelt: zu einem kurzen Programm, das mit den erwähnten drei Zahlen die Entschlüsselung aktiviert, und dem unentzifferbaren Programm selbst.Die drei Zahlen können dem Anwender durchaus bekannt sein; erstens kann jeder Hersteller dafür Sorge tragen, daß ihre Kombination weltweit einmalig ist, und damit Rückschlüsse auf deren Funktionsweise unterbinden; zweitens sind die zugehörigen Code-Signaturen, mit denen die Entschlüsselungletztlich durchgeführt wird, im Dongle lokalisiert und für den Anwender praktisch unzugänglich.
Da die Codierungsprogramme und die zu den Kennzahlen gehörenden Signaturen im ROM des Dongles hardwaremäßig implementiert sind, könnte lediglich eine Analyse der Chipstruktur unter dem Elektronenmikroskop Erkenntnisse über deren Programmierung geben - ein praktisch aussichtslosen Unterfangen fürjeden, der nicht gerade über ein ultramodernes Labor in einem Elektronikkonzern verfügt.
Die relativ aufwendige Konstruktion solcher Chips ermöglicht auch eine Besonderheit: es können mehrere Kennzifferkombinationen (bei manchen Herstellern bis zu 10) nebeneinander im Chip programmiert werden - prinzipiell auch durch verschiedene Hersteller. Denn diese können aufgrund ihrerindividuellen Programmierhardware nur auf ihre eigenen Codes zugreifen, die des Konkurrenten sind tabu. Die Perspektive, hinter dem Computer in Zukunft eine Kaskade von Dongles anstecken zu müssen, ist damit zumindest theoretisch gebannt - sobald sich herstellerübergreifende Standardsdurchsetzen.
Vorteile :
Sicherungskopien der Software können nach den Bedürfnissen der Anwender ungehindert erstellt werden. Erst beim Aufruf des Programms tritt die Schutzfunktion in Aktion.
Sicherung gegen unbefugte Benutzung ist relativ problemlos durch Abziehen des Dongles möglich. Auch der Schutz von Daten kann solcherart gewährleistet werden. Betriebssysteme ohne userspezifische Schutzmechanismen, wie z.B. MS-DOS, erhalten hier eine weitere Überlebenschance.
Die Zugriffsberechtigung ist ausschließlich an das Dongle geknüpft - was nicht selten wesentlich einfacher zu handhaben ist, als eine Passwortzuteilung oder dgl.
Rechnerunabhängige Überprüfung des Programmcodes auf Korrektheit (gegen Virenprogramme, Hardwaredefekte) ist technisch realisierbar.
Mehrfachinstallation derselben Software ist problemlos möglich und kann den Hersteller nicht mehr beunruhigen; lauffähig ist sie schließlich immer nur auf dem Rechner, an dem das Dongle steckt. Wobei Programmaktivierung durch Umstecken oft einfacher ist als ein Installationswechsel.
Die Ein-Chip-Hardware hat verglichen mit Datenträgern eine hohe Zuverlässigkeit; Allerdings: hier ist in den Betriebsdaten des Dongle-Produzenten auf entsprechende Spezifikationen zu achten (Überspannungsfestigkeit etc.).
Nachteile:
Ein merklich höherer Preis dieses Schutzverfahrens ist durch die komplexere Hardware bedingt.
Eine entsprechende Schnittstelle muß beim Rechner vorhanden sein. Was ohnehin meist der Fall ist, aber im ungünstigsten Fall Mehrkosten von öS 500.- bis öS 1000.- nach sich zieht.
Ein Problem für den Softwareproduzenten: Programmbibliotheken für den Donglezugriff (welche die Funktionen zum Aktivieren des Dongles enthalten) sind möglicherweise nicht für alle Betriebssysteme bzw. Programmiersprachen verfügbar. Bei neuen Betriebssystemreleases (z.B. auch bei Windows) sindZeitverzögerungen bis zur Verfügbarkeit eines einsatzfähigen Updates in der Produktion der eigenen Software mitunter einzukalkulieren.
Eine komplexe Decodierung kostet Rechenzeit und kann das Programm merkbar verlangsamen - was aber durch geeignete Programmgestaltung in Grenzen gehalten werden kann.
Allgemein: Hardware-Schutzmechanismen der dargestellten Art erfüllen das Kriterium der "Falltürfunktionen" in mehrfacher Weise.
Die Produktion in Großserie ist relativ kostengünstig, ein Nachbau der Elektronik oder eine Software-Simulation durch den Anwender praktisch aussichtslos.
Die vom Softwarehersteller durchgeführte Programmierung des Dongles ist für den Benutzer irreversibel, und bildet mit dem dazugehörigen Software-Programmcode eine Einheit. Die Erzeugung der Codierung ist technisch nicht sehr aufwendig, das nachträgliche Ermitteln unbekannter Codesequenzen praktischchancenlos, oder genauer: die Chancen stehen in Größenordnungen von 1 : 10 hoch 100 bis 10 hoch 160. Sechs Richtige im Lotto wirken dagegen schon fast gewiß (angenähert bei 1 : 10 hoch 8)
Wirtschaftliche Überlegungen zum Softwareschutz
Eine Kalkulation der Umsatzerwartungen kann die höheren Kosten des Softwareschutzes durchaus rechtfertigen. Das gilt nicht nur für teure Programme mit höherem Erlös pro verkauftem Exemplar, sondern kann auch für billigere Programme zutreffen. Hier wirken sich die Kopierschutz-Kosten bei geringeremErlös pro Programm zwar stärker aus, aber auch die Umsatzverluste durch illegale Kopien sind durch die größere Verbreitung höher anzusetzen (wobei allerdings die oft kolportierte Milchmädchenrechnung, nach der jedes illegal kopierte Programm einem verkauften gleichkommt, ziemlich unsinnig ist: wergezwungen ist, teuer zu kaufen statt zum Nulltarif zu kopieren, schränkt sich eben mehr ein und/oder wählt viel kritischer aus).
Nach Aussagen von Microsoft wird z.B. in Deutschland im Durchschnitt 40% der professionell genutzten Software raubkopiert. In kleinen Firmen wegen der Kostenersparnis, in Großfirmen wegen des Verwaltungsaufwands für Neubestellungen. Nicht ersichtlich ist allerdings, wie dieser Prozentsatz ermitteltwurde - weshalb man solchen Schätzungen mit Vorsicht begegnen sollte, besonders bei der Kalkulation der Umsatzerwartung. Marktbeherrschende Firmen mit Allerweltsprogrammen sind davon sicherlich weit stärker betroffen, als kleine Softwareunternehmen mit Speziallösungen. Für letztere kann dagegen einerfolgter Verkauf mehr oder weniger bereits gewinnentscheidend sein, weshalb auch hier Kopierschutzvorkehrungen überlegenswert sind.
|
