Разработка ПО в условиях новых вызовов
Управляющий партнер, генеральный директор Компании «Актив» Константин Черников в приветственном слове обозначил основные цели GuardConf. По его словам, конференция поможет российским разработчикам обменяться опытом, узнать преимущества разных способов защиты и монетизации программных продуктов и выбрать для себя наиболее эффективные, научиться лучше понимать потребности бизнеса, разобраться в регулировании отрасли и понять, как превратить актуальные вызовы рынка в новые возможности.
«Когда только наступала эпоха Интернета, у всех было впечатление, что Интернет позволит контролировать любое программное обеспечение и системы лицензирования сильно упростятся. На практике выходит, что Интернет помогает не только контролировать, но и обходить этот контроль, находить какие-то лазейки… Сегодня мы будем говорить о том, как в нынешних обстоятельствах строить системы и делать бизнес эффективнее. Мы как компания чрезвычайно заинтересованы в том, чтобы клиенты вас лучше понимали – ведь наша деятельность ведется на основе ваших интересов, взаимодействия с вашими клиентами, партнерами, возможностей. совместного развития бизнеса, совместного развития страны. Об этом наша конференция», – резюмировал Константин Черников.
Технологии, которые реально помогают
В дискуссии «За пределами хайпа. Какие технологии реально помогают в разработке продукта» приняли участие представители ИТ-холдинга Т1, компаний Naumen и «Солар», Guardant. Модератором выступил Максим Горшенин, блогер и соучредитель Ассоциации 26.20. Эксперты сошлись во мнении о том, что после ухода западных вендоров ПО, предназначенного для поддержки разработки, крупным ИТ-компаниям пришлось кардинально менять инструментарий. При этом функциональность продуктов open source для них оказывается недостаточной, поэтому для части задач они используют российские коммерческие сервисы, но иногда и могут и рассмотреть разработку собственных специализированных решений. Также большое внимание уделяется поиску сценариев применения искусственного интеллекта для помощи специалистам.
Руководитель направления Guardant Компании «Актив» Михаил Чухломин представил детальную карту технологий для защиты софта и «умных» устройств.
«Софтверный бизнес, построенный на тиражируемых программных продуктах, – это, конечно, мечта. Да, нужно один раз хорошо вложиться в разработку, это непростая задача. Но зато потом это бизнес с огромным потенциалом масштабирования, потому что у вас отсутствуют ограничения физического мира, вы можете продавать десятки тысяч копий своего продукта по всему миру. Но, конечно, в этом тоже есть нюансы. Придумать программный продукт с хорошим потенциалом продаж – это задача, мягко говоря, нетривиальная. Также нужно потратить ресурсы на его реализацию. И все это сопряжено с огромным количеством рисков как технических, так и бизнесовых», – начал спикер.
Карта безопасности софтверного бизнеса должна учитывать все аспекты, позволяющие техническому директору минимизировать риски компании. Она начинается с безопасности инфраструктуры разработчика: например, нужно настроить доступ к репозиториям, разграничить права. Далее необходимо задуматься о принципах безопасной разработки: не забывать о статическом и динамическом анализе кода, контроле зависимостей от сторонних библиотек. Также важно обеспечить защиту продукта от реверс-инжиниринга и внедрить систему контроля лицензионных ограничений, чтобы исключить пиратство.
Кроме кода, нужно подумать про безопасность данных: как тех, которые разработчик встраивает в свой программный продукт, так и тех, которые пользователи накапливают в нем. Особенно это важно для продуктов, работающих с чувствительными данными – например, для медицинских информационных систем. О безопасности важно не забывать даже после выхода продукта на рынок: постоянно проводить аудит самого программного продукта и инфраструктуры разработчика. Последняя задача решается путем проведения пентестов и участия в программах Bug Bounty. В любом случае компания всегда должна быть готова к наступлению потенциального инцидента, сотрудники должны знать, как реагировать на него, чтобы минимизировать ущерб. В идеале – составить соответствующий документ и донести его до всей команды.
Кроме технических вопросов нужно не забывать о юридических аспектах безопасности софта, а также о кадровой безопасности. «Так или иначе все угрозы, инциденты происходят из-за действий людей: намеренных или ненамеренных. Поэтому, конечно, компания должна инвестировать в обучение сотрудников, повышать их грамотность в плане безопасности», – резюмировал Михаил Чухломин.
Передовые технологии для защиты и лицензирования софта
Коммерческий директор, управляющий партнер Компании «Актив» Дмитрий Горелов побеседовал с руководителем отдела анализа приложений Positive Technologies Дмитрием Скляровым, автором уникальной для российского рынка книги «Искусство защиты и взлома информации» – практического пособия для технических специалистов.
Диалог был посвящен способам борьбы со взломами и уязвимостями в В2В софте. Собеседники вспомнили историю защиты от нелегального копирования: например, когда софт еще распространялся на дискетах, на магнитных дисках делались специальные отверстия, благодаря которым можно было создать неформатируемые блоки, содержащие защитную программу.
Спикеры отметили, что до 1970-х годов софт вообще не имел защиты от копирования, потому что считался приложением к «железу». Всё изменилось после выхода MS DOS от Microsoft – тогда зародилась идея о том, что софт может продаваться отдельно от «железа» и, соответственно, должен отдельно лицензироваться. Однако у того же Microsoft долгое время все инструменты защиты от копирования были заведомо слабые – это было сделано, чтобы облегчить распространение десктопных операционных систем и обеспечить их мировую популярность. Такая тактика может быть применима, если программный продукт предназначен для широкого рынка, но она не работает, если это узкоспециализированная, нишевая система. В целом, по мнению экспертов, разработчики до сих пор по-разному рассчитывают необходимый уровень защиты своих продуктов: от практически полного ее отсутствия то тотального контроля над каждым компонентом.
«С начала 2000-х годов мало что изменилось в менталитете людей. Было два основных стимула, почему люди занимались анализом кода: деньги и интерес. То есть были те, кто стремился продать взломанную версию, и те, кому просто было интересно, как она устроена. Я тогда работал в софтверной компании и прекрасно понимал, что софт нужно покупать, а не красть – ведь в противном случае разработчики останутся без зарплаты. Сегодня те, кто занимался анализом и взломом софта для заработка, скорее всего, пошли в поиск уязвимостей, потому что за уязвимость в условном Android теоретически можно получить намного больше, чем за взлом любого софта. Если же человек занимался этим из интереса, хотел разобраться в технологии, понять, как сделали другие и сделать еще лучше, – он продолжает этим заниматься. Возможно, это уже не взлом коммерческого софта, а анализ безопасности каких-то систем, но не для заработка, а потому, что это интересно», – рассказал Дмитрий Скляров.
Секция продолжилась выступлениями экспертов Компании «Актив»: руководитель департамента разработок и тестирования Guardant Михаил Бакаляров проанализировал методы атак на системы лицензирования программного обеспечения и превентивные меры борьбы с ними. Он напомнил, что существуют две основные модели распространения ПО: в контуре заказчика (on-premise) и облачная (SaaS). SaaS-модель гораздо проще лицензировать, и она менее подвержена атакам извне. А вот по модели on-premise решение работает в недоверенной среде, и лицензия часто может быть подвергнута таким атакам, как копирование, продление срока действия и другие. Полностью защититься от них невозможно, и цель разработчиков – максимально усложнить для злоумышленников процесс клонирования лицензии.
«Основная цель злоумышленника – сделать максимально простое решение, чтобы взломать защитное приложение. Как человек с амбициями, он попытается сделать универсальное решение, чтобы оно работало не только для конкретного взломанного ПО, а чтобы его можно было использовать повторно. В первую очередь всегда пытаются клонировать именно лицензию. Задача системы лицензирования – полностью исключить данный сценарий, заставить злоумышленников делать глубокий анализ и реверс-инжиниринг приложения. Причем добиться того, чтобы каждый раз при обновлении приложения, при выходе новой версии приходилось реверсировать его снова. Это исключит создание универсального решения для взлома», – отметил Михаил Бакаляров.
Далее спикер рассмотрел различные сценарии атак: от клонирования аппаратных ключей до атак на программные лицензии.
Менеджер по работе с клиентами Guardant Алексей Дьяков представил экосистему решений, наглядно показав, что Guardant — это комплексное решение для вендоров ПО, которое позволяет им решить все задачи, связанные с защитой, лицензированием и монетизацией софта. Практическую часть провел менеджер по продуктам Антон Тихиенко, который продемонстрировал, как эти принципы работают на практике, превращая технические средства защиты в инструмент для повышения доходности программных продуктов.
Секция завершилась докладом директора по научной работе Компании «Актив» Сергея Панасенко на тему квантового компьютера и криптографии. Эксперт рассказал, какие новые угрозы несут квантовые вычисления и как на них правильно реагировать уже сейчас, какие реальные ограничения у квантовых вычислений, на чем строятся постквантовые алгоритмы и что приходит на смену вычислениям общего ключа, какие постквантовые криптоалгоритмы разработаны в России и в мире.