Золотой ключик

Архив

Сергей Груздев, генеральный директор фирмы "Аладдин", поставляющей на российский рынок электронный ключи и Smartcard технологии. Что любопытно, это одна из немногих фирм, которая смогла обернуть российский кризис себе на пользу, превратив электронные ключи из обыденного средства защиты в средство, облегчающее продажу софта. Теперь ключи используются для продажи дорогого софта в рассрочку, сдачи в лизинг, позволяют дилерам оптимизировать склад. Однако сам характер такого бизнеса предполагает его постоянный контакт с тем, что овеяно романтикой и легендами: пираты, крэкеры, взломы...

   В последнее время ваша фирма стала предлагать решения, использующие ключи не только для защиты программного обеспечения, но и для организации оптимального маркетинга, оптимизации процесса продаж. Как показывает ваша статистика продаж, в условиях кризиса это стало палочкой-выручалочкой для многих российских софтверных фирм. Может статься, что электронный ключ перейдет из разряда экзотики в разряд обыденных вещей?
   - Да, это уже происходит. Особенно в России. Внутри страны мы продаем примерно столько же, сколько продается во всей Европе.
   Впрочем, не мы первыми применили такой подход. Однако нам удалось наглядно показать, что ключ - это не средство защиты, а прежде всего - инвестиции в технологии раскрутки продажи, в маркетинг. Причем мы начали делать это довольно давно, около пяти лет назад, по сути, потратив это время на подготовку рынка. А сейчас, когда наступил кризис и все ищут пути оптимизации бизнеса, мы такой инструмент предложили.
   Что же касается перспективы вообще, открывается еще одна очень мощная ниша, так называемые token-устройства, или электронные жетоны, которые одновременно с защитой информации решают и проблему персонализации доступа. По сути - это электронные ключи с USB-интерфейсом, в которые заложен ряд дополнительных возможностей. После осенней "Comdex" стало ясно, что уже в 2001 году абсолютно все выпускаемые устройства будут оснащены шиной USB. И, кстати, этот процесс уже идет вовсю. Недавно к нам пришел бухгалтер. Показал ноутбук, на который ему поставили "1С:Бухгалтерию", и пожаловался: мне что, продали неправильный ноутбук или неправильную программу? Стали смотреть. Оказалось, что у ноутбука попросту нет разъема параллельного порта. Только два USB-разъема. Хорошо, что мы заранее предусмотрели возможность такой ситуации и запаслись USB-ключами.
   А что такое USB? Это расположение разъема в удобных и доступных местах. Клавиатура, монитор. И потом, он же маленький, этот USB-ключ. Просто брелок на связке ключей. И вот этот брелочек из разряда средств для защиты переходит в разряд средств аутентификации доступа: к компьютеру, локальной сети, Интернету, к чему угодно. Если можно так выразиться, это слияние "города" с "деревней", нечто, обладающее преимуществами и ключей, и смарт-карточек. Но для смарт-карты нужен довольно дорогой кард-ридер, а token-устройство - это хорошая альтернатива. Причем альтернатива многофункциональная, служащая и для защиты, и для продвижения продукта, и для разграничения доступа, и для его персонализации, ведь один ключ может выполнять сразу все функции.

   Вот тут мы и подходим к предмету нашей беседы. Вы используете в своей продукции различные способы защиты информации, криптографические методы (я не буду употреблять слово "шифрование"). Политика практически всех стран мира направлена сейчас на регулирование этой деятельности. В России, как известно, ФАПСИ настаивает, чтобы использовались только сертифицированные этим агентством криптографические методы. Но ведь ясно, что вам просто не обойтись без алгоритмов и методов, которые являются в мире стандартом де-факто, но ФАПСИ не сертифицированы.
   - Давайте сначала разберемся с терминологией. Когда ФАПСИ должно появляться на горизонте? По указу президента в России разрешено применять только сертифицированные криптосредства. Когда речь идет о криптографии? Когда надо шифровать информацию, например, передаваемую по открытым каналам, в системе "клиент-банк", с хранением ключа на нашей смарт-карточке или в token-устройстве. Здесь мы активно разрабатываем технологии, а шифрованием как таковым не занимаемся.
   У нас есть лицензия Гостехкомиссии на право деятельности в области защиты информации от несанкционированного доступа. Кстати, "Аладдин" - единственная из компаний на этом рынке, имеющая такую лицензию. В принципе, формально, электронные ключи - как раз и есть система защиты информации от несанкционированного использования или доступа.
   А вот там, где криптография действительно нужна, мы поступили следующим образом. Совместно с ФАПСИ (точнее, с НТЦ "Атлас") мы учредили фирму и, если требуется криптосредство, просто переводим стрелку на эту нашу совместную компанию. Есть и другой путь: в некоторых наших новых продуктах мы сделали отдельный слот для подключения внешних криптографических процедур (plug-in), и вы можете сами подключить туда все, что угодно, на свое усмотрение.

   Теперь о наболевшем. О хакерах. Я имею в виду настоящих взломщиков. Ведь по роду деятельности вы должны с ними сталкиваться и, может быть, даже сотрудничать...
   - Я бы назвал наши отношения с хакерами сочетанием войны и сотрудничества. Года полтора-два назад мы даже проводили конкурс, хотели привлечь их к работе в отделе разработки и в отделе техподдержки. Резон простой: кто как не хакер лучше всех разбирается в этой кухне!
   Ведь хакер прежде всего очень квалифицированный специалист. А все остальное - легенды. Многие называют себя хакерами. Научился два байта в отладчике заменить - уже хакер.
   Так вот, среди этих очень квалифицированных специалистов (их можно назвать как угодно: хакером, крэкером, - но прежде всего это люди с опытом) мы и проводили конкурсный отбор. В прессе, помню, даже поднялся шум. Как так, "Аладдин" с ума сошел, хакеров надо отстреливать, а он их на работу приглашает! Они же неуправляемые, таких дел натворят!
   В общественном сознании уже сформировался весьма своеобразный образ хакера. Недавно съемочная группа НТВ попросила меня познакомить их с настоящим хакером: дескать, отснимем его за работой, сделаем передачу. Как он хакает чужую программу, как лазает по сетям... Я дал им пару человек. Потом они мне звонят:
   - Ты кого прислал! Мы же хакера просили!
   - А в чем дело? - спрашиваю.
   - Да как же, - приехал крутой мужик, на "Вольво 960", в дорогом костюме, весь обвешан сотовыми телефонами, дорогим одеколоном от него пахнет. Ты же нам хакера обещал! А приехал какой-то банкир.
   - А каким же должен быть хакер?.
   - Ну как же: небритым, волосатым, с прыщами и запахом пива. Дерганый такой!
   А хакеры - это профессионалы, они много умеют и способны хорошо заработать, не "переходя грань". У них на пустяки просто нет времени. Хакеры прекрасно понимают, что просто так гадить - себе дороже. Они выше этого.

   А с вашим ключом они могут "разобраться"?
   - Были такие попытки. Кстати, сделал этот небезызвестный Бэтмен, который недавно "прославился" тем, что взломал платежную систему "Золотая корона".
   Так вот, он пытался взломать наш ключ. Правда, до взлома не дошло. Началось с того, что он позвонил мне и сказал, что знает, как устроен наш чип.
   - Я на электронном микроскопе послойно снял его масочку. И могу все воспроизвести.
   - А микрокод считал? - спрашиваю.
   - Нет, - отвечает, - микрокод пока снять не смог. Вот если бы там пережигаемые перемычки были, тогда бы считал. Но у вас память с зарядовой связью, пытаюсь снять, а заряд стекает... Но ничего, полгодика еще покопаюсь и считаю.
   - Извини, - говорю, - можно вопрос? Не обижайся, но ты вообще-то нормальный?
   - Нормальный, - говорит. - Просто мне это интересно. Я это делаю не корысти ради, а для поддержания квалификации.
   Мне его ответ понравился. Ну представьте: сидит человек где-то в далеком сибирском городе, особой работы нет. Кто-то пивные пробки собирает, кто-то бабочек коллекционирует, а кто-то сканирует микросхемы. В то время он показался мне безобидным, угрозы бизнесу не представлял.
   Где сейчас в России центры криминала на программном рынке? Это как раз бывшие научные интеллектуальные центры: Омск, Томск, Новосибирск, Питер. В меньшей степени - Москва, потому что здесь квалифицированному специалисту можно найти хорошую работу. А там есть возможности, оборудование, но нет работы, тяжело себя реализовать.

   Кстати, как становятся хакерами?
   - Обычно начинают с вирусов. Вирусы, взлом защит программ, изготовление сканеров, подсадка на радиотелефонные трубки, потом появляется интерес к взлому сотовых телефонов. Потом идет что-то более серьезное, и в конце концов - взлом телефонных карточек, платежных карточек, платежных систем. Потом непременно попадаются. Некоторые останавливаются, найдя способ применить свои способности, не преступая закон, находят хорошую работу. Есть некая черта, линия безопасности, некоторые ее чувствуют и не переступают или переступают ненадолго, но потом отбегают, у них есть чувство опасности. Но есть и такие, у кого детство все еще играет в одном месте. Для них это некая бравада.

   И ваши ключи - это преграда на пути пиратства?
   - Я бы так вопрос не ставил. Дело в том, что собственно защита от копирования - это только процентов десять возможностей ключа. Люди начали понимать, что, если уж используешь ключ, делай это на все сто процентов. Сейчас почти весь экономический софт идет с ключами. Пять лет назад программа с ключом была в диковинку. Сейчас же ключ - непременный атрибут софта с ценовой планкой от 150-200 долларов.
   Использование ключей в маркетинговых целях, для построения специальных моделей бизнеса позволяет получить выигрыш до 60 процентов. Здесь и сдача софта в аренду, и продажа через Интернет, и программы поддержки дилеров.
   Еще недавно дилер, покупая тот или иной софт, рисковал. Взял, к примеру, десять дисков с программой "А" и сто - с программой "Б". А в итоге "А" продается за несколько дней, а "Б" не идет. Склад полон, дилер терпит убытки. Теперь же он берет сто дисков, на которых записана и программа "А", и программа "Б", да еще и десятки других программ. Но вот то, какая программа может быть с этого диска установлена, определяется ключом, идущим в комплекте. Запрограммировать же ключ на установку именно той программы, что хорошо продается, - дело нескольких минут. Покупатель, может, даже и не будет знать, что на диске есть еще что-то. При такой схеме торговли у дилера просто не может быть неликвидного софта. За месяц-два люди удваивают оборот.
   А что касается пиратства... Бороться с ним? Оно же неистребимо.
   Можно провести такое сравнение. Вот в природе есть зайчики, и есть волки, которые едят зайчиков. Пока сохраняется некий баланс - волки полезны, они выполняют санитарные функции. Баланс нарушается - надо принимать меры. Так же и с пиратами. Есть пиратский рынок, есть цивилизованный. Когда баланс нарушается - это плохо, когда он есть - нормально.
   Кстати, бывают случаи, когда производители сами "косят" под пиратов, заказывают диски, чтобы "накрутить" себе популярность. Мне случается видеть разработчиков, которые просто сияют от счастья, если их продукты попадают на пиратские диски. "Мы популярны! Нас заметили!"
   Всегда есть некая граница, не переходя которую, пиратство бизнесу не мешает. Но если пираты пересекают ее, это побуждает нас и наших партнеров к активным действиям.

   И какова технология "военных действий"? Я, к примеру, недавно получил письмо. Человек пишет: хочу открыть хакерский сайт, публиковать крэки, пароли, давать советы по взлому... Могут привлечь за это к ответственности?
   - Еще как могут. Формально - это прямое нарушение законов Российской Федерации. Сразу двух статей УК.

   А вам приходилось привлекать таких нарушителей к ответственности?
   - Мы помогали нашим партнерам инициировать судебные процессы.

   И успешно?
   - Довольно успешно. За прошедший год мы закрыли восемнадцать сайтов. Пятнадцать в СНГ и три за рубежом. В Канаде и Штатах.
   Кстати, сейчас в МВД создано несколько подразделений для борьбы с пиратами, крэкерами и пр. Все чаще проводятся "зачистки" на рынках, в киосках и магазинах.

   А они реально что-то дают? Мне кажется, что это в большей степени работа "на публику". Эдакое PR-мероприятие!
   - Да, в какой-то мере это борьба с ветряными мельницами. Но результаты она, тем не менее, приносит. Во всяком случае, реализаторы уже предпочитают не брать на продажу продукцию тех фирм, которые выступают инициаторами антипиратских рейдов. Пройдитесь по московским киоскам. Продукции некоторых наших софтверных фирм уже практически не встретишь в пиратском исполнении. Пираты знают, что с такой-то фирмой лучше не связываться.
   Я часто бываю на Петровке и вижу, что работа действительно идет. Польшу уже практически перекрыли. Раньше много "левой" продукции шло из Польши, теперь больше из Киева. Так что рейды безусловно эффективны, но только для отдельно взятых фирм.
   Впрочем, это касается "мелкого" софта. Серьезный же экономический софт, который стоит приличных денег, как правило, идет с защитой. Защиту, конечно, взломать можно, но людей, способных на это, не так много. Я имею в виду квалифицированных специалистов, которые это делают профессионально. Эти люди все на виду. Они известны. Ну, если кто из них и решится переступить грань, то что ж. Заканчивается это часто не в их пользу.