Програмне забезпечення відкриває компаніям нові способи обманювати клієнтів та перевіряльників і гарантувати собі безпеку. Адже, на відміну від фізичних об’єктів, перевірити чесність програми дуже складно. Особливо це стосується проприєтарного софту, зазирнути в код якого допустять далеко не кожного контролера.
Об’єкти реального світу людство з певним успіхом навчилося захищати. Це пломби, регулярний контроль показань, періодичні перевірки тощо. Однак програмне забезпечення базується на принципі, який підриває розроблені методи захисту від шахрайства.
Софт використовує просту ідею: «якщо трапляється подія, тоді виконати дію №1, інакше – дію №2». Завдяки цьому програма може використати таку тактику: «якщо я під перевіркою – я буду працювати чесно, в інший час буду мухлювати».
Прикладів використання такої гнучкості софту досить багато: речі, якими ми володіємо, обманюють своїх власників. Згадайте лише скандал з викидами дизельних двигунів Volkswagen – так званий «дизельгейт». Він уже коштував компанії мільярди, однак сума збитків продовжує зростати. Суть скандалу була в тому, що деякі двигуни автомобілів Volkswagen виявляли, що вони проходять екологічну перевірку, та вмикали спеціалізований економний режим. Так вони знижували свої характеристики, чим підвищували ефективність споживання пального, знижали шкідливі викиди. Увесь інший час вони споживали більше пального та не відповідали заявленим характеристикам.
Приклад дизельгейту показує, як виробники обманюють стандартизовані перевірки. Наступний рівень шахрайства – обманути незалежних дослідників.
Обман дослідників
Свіжий приклад такого – епідемія вірусу-шифрувальника Wannacry. Він шифрує всі файли на диску та вимагає гроші за повернення доступу. Однак цікавим був спосіб, у який цю епідемію зупинили. Незалежний дослідник знайшов, що Wannacry має вбудований вимикач. Це адреса веб-сайту, яку вірус перевіряв. Якщо ця адреса не була зареєстрована, вірус продовжував працювати. Як тільки дослідник зареєстрував її, вірус зупинив своє розповсюдження, одночасно врятувавши світ.
Ситуація з миттєвим вимикачем виглядає дивною. Але мотиви автора Wannacry стають зрозумілими, коли припустити, що він хотів обдурити незалежних дослідників.
Найбільший ризик для таких програм, як Wannacry, – потрапити в пастку дослідників. Це спеціальний комп’ютер з чистою ОС, який навмисне заражають вірусом для подальшого дослідження. Часто такі пастки налаштовані так, щоб вірус «думав», ніби доступ в інтернет відкритий. Однак насправді вихід онлайн заблокований.
Якщо Wannacry не отримував відгуку від певного сайту з довгим іменем, він продовжував працювати та шифрувати файли. Як тільки відгук з’являвся, вірус вважав, що він потрапив в пастку, та переходив у режим захисту, в якому він захищав свій код від аналізу.
Деякі експерти вважають, що Wannacry був першопроходцем нового типу шахрайства – обману незалежних дослідників. Уявіть, що наступний дизельгейт не пробує обдурити державного регулятора – це коштує мільярдів штрафу. Натомість обдурювати будуть оглядачів та користувачів, коли ті намагатимуться визначити реальні характеристики двигунів. Увесь інший час двигуни «коптітимуть» на повну.
Подібний тип обману вже відбувається. Згадайте історії MSI та Asus – двох великих виробників відеокарт. Їх неодноразово ловили на тому, що відеочіпи спеціально підвищують свої частоти, коли хтось запускає тестові додатки. Так вдається показати вищі результати. Увесь інший час чіпи працюють на нижчих частотах з нижчою продуктивністю.
Інший приклад дають виробники струменевих принтерів. Не секрет, що чорнило – це найдорожча рідина в домі, яка коштує більше за фірмовий парфум. Однак це лише початок – у 2015 році HP випустила оновлення для власників принтерів Officejet. Воно з’явилося як стандартний апдейт, але після інсталяції власник власноруч запускав бомбу. Після шести місяців принтери з таким оновленням починали перевіряти, який картридж використовується. Якщо це був повторно заправлений – принтер відмовлявся друкувати.
Виробники також активно протистоять свободі користувачів, і принтери – це лише один з прикладів. Згадайте Apple, яка змусила всіх власників iPhone завантажувати додатки лише з її магазину. Власники смартфонів Android отримують вбудоване рекламне програмне забезпечення, яке неможливо видалити, та магазин Google Play.
Електроніка – не єдина категорія товарів, які звужують свободу користувачів. Відома історія із сільгосптехнікою John Deer, яку виробник не дозволяє ремонтувати самостійно. Якщо фермер власноруч замінить деталь, трактор відмовиться працювати. При цьому офіційний ремонт часто коштує більше, а офіційний сервісний центр може знаходитися за тисячі кілометрів.
Проблеми підтримує закон
Ситуація, що склалася, виглядає не дуже гарно: ми маємо техніку, яка може багато чого робити, бути економічною, зручною, довго функціонувати. Однак часто те, що добре для користувача, – погано для корпорацій. Проаналізувавши сьогодення, можна прийти до думки, що вільний користувач – це ворог корпорацій.
Сподіватися на Робін Гудів, які зламають софт та відучать його обдурювати, не варто. Корпорації захищені законами країн. Наприклад, Computer Fraud and Abuse Act від 1986 року погрожує тюрмою кожному, хто порушить умови використання. Наприклад, спроба дізнатися, як поводиться програма в інших умовах, може вважатися злочином.
Секція 1201 документа Digital Millennium Copyright Act (1998) оголошує, що будь-яка спроба обійти обмежувальні засоби програмного забезпечення є злочином. Це дозволяє виробникам погрожувати тюрмою кожному, хто модифікує їхнє ПЗ.