Каким образом Microsoft проверяет подлинность на сайтах обновлений

10.02.2010

Когда фирма Microsoft принимала решение о принятии мер против свободного распространения её продуктов, то она, на мой взгляд, сделала довольно странные вещи. Первое, что приходит в голову - это слова Михаила Задорного "Ну тупые!". Если честно, то я до сих пор не понял, что же это было, реальная попытка ограничить распространение, или просто психологическое давление на потребителя. Достаточно странно и подозрительно выглядят терминология и методы применяемые для определения свойств ключа. Подлинный ключ - как это трактовать? А если - не подлинный, то - какой? Поддельный? Свойства и качество продукта Microsoft никоим образом не зависят, от свойств ключа (подлинный / не подлинный). Такая терминология применима для сравнения, например, бриллианта и подделки из стекла. Потому что существуют критерии, позволяющие любому независимому эксперту совершенно однозначно определить, что есть что. В случае с Microsoft всё совсем не так. Основным критерием для оценки свойств ключа является факт оплаты продукта. Заплатил деньги - подлинный ключ, не заплатил - не подлинный. Для проверки факта оплаты не используются никакие финансовые/платёжные документы! Вместо этого собирается информация об оборудовании, на которое установлен программный продут, что само по себе уже подозрительно. Microsoft  не является собственником этого оборудования, кто дал право Microsoft собирать информацию о чужой собственности? Это информация передается на серверы Microsoft, там храниться, и на основании этой информации и определяются свойства ключа. Другими словами, определить свойства ключа может только Microsoft, независимые эксперты бессильны. Ситуация вплотную приблизилась к тому, что Microsoft - это царь, а все владельцы компьютеров - её рабы. Где же, спрашивается, хвалёная американская демократия? Молчит в тряпочку. Из всего вышесказанного можно сделать вывод: ни терминология Microsoft, ни методы Microsoft для определения свойств ключа не могут быть признаны действительными. Я себя не считаю ни пиратом, ни хакером. У меня есть компьютер. Я заплатил за него уйму денег, это моя собственность. И служить мне моя собственность будет именно так, как это нужно мне, а не фирме Microsoft.

Одной из таких мер Microsoft против свободного распространения её продуктов было ограничение доступа к обновлениям на сайтах Update для владельцев копий Windows, которые не заплатили деньги за лицензию. Как же устроена и на чём основана система проверки подлинности ключа на сайтах Update? Или где лоханулась Microsoft? До этого все обновления и веб страницы, на которых их можно было найти, были как общедоступные ресурсы. После принятия мер борьбы с пиратством ничего не изменилось. Сейчас, как и по-прежнему, любой желающий может скачать всё, что ему требуется, через общедоступный канал. Изменилась только система навигации на сайтах Update. Сайт - это обычно энное число страничек, на которых расположены ссылки на другие страницы этого сайта. Навигационная система представляет собой совокупность всех таких ссылок, и при грамотном построении навигационной системы, посетитель, попав на одну страницу сайта, может обойти весь сайт, используя навигационную систему сайта. Но если на сайте есть страница, на которую не ссылается никакая другая страница, то попасть на неё нельзя, используя навигационную систему сайта. А это, в свою очередь, вовсе не означает, что эту страницу нельзя загрузить. Можно ! Но для этого нужно знать адрес этой страницы или URL (Uniform Resource Locator). Microsoft выстроила навигационную систему следующим образом: ссылки на страницы с описанием обновлений и кнопкой "Download" формируются только на специальных страницах, оборудованные средствами проверки подлинности ключа продукта, и при положительном результате проверки. В противном случае формируется URL страницы с предложением купить лицензию. И это называется защитой?

Аналогия: Представьте себе 30-ти этажный небоскрёб. В нём есть лифт. Для того чтобы попасть на 25-ый этаж нужно зайти в лифт, и нажать кнопку 24. На 24-ом этаж вас проверят охранники, и если всё в порядке, то скажут "нажмите в лифте кнопку 25", а если не всё в порядке, то скажут "нажмите в лифте кнопку 1". Но есть небольшой нюанс: Если в лифте сразу нажать кнопку 25, то лифт вас доставит прямо к месту назначения, а на 24-ом этаже даже никто знать не будет, что мимо них кто то проехал.

Если пользователь с "подлинным" ключом может узнать, "какую кнопку нажимать", то почему этого не может сделать кто то другой? Самый банальный способ обхода системы проверки подлинности: Идём в любое место, где есть "подлинное" программное обеспечение (Интернет-кафе, библиотека, и пр.), путешествуем по сайтам Update, и по ходу путешествий фиксируем URL интересных страничек (записываем в блокнот, отправляем по почте на свой e-mail, и т.д.). После, достаточно на любом компьютере набрать в адресной строке браузера эти URL, и попадаем прямиком туда, куда хотим. Конечно, на практике такой способ обхода проверки подлинности является самым не удобным, но зато наглядно показывает, какую туфту изобрела Microsoft, потратила на это тонны долларов, а теперь пытается выжать из нас обратно эти деньги. Чёрта лысого!

Вывод:  Microsoft, как всегда, брешет. Реально никакого ограничения в доступе на серверы обновлений не существует. Единственным препятствие в получении ссылок на файлы (а не самих файлов) являются "жучки" Microsoft, которые называются модулями проверки подлинности, распростаняются в виде критический обновлений, и после установки шпионят за вами.

Другой мерой Microsoft против свободного распространения её продуктов стало встраивание модулей проверки подлинности в инсталляторы разных продуктов. При запуске инсталлятора выполняется проверка подлинности Windows Genuine Advantage (WGA), если она не дала положительных результатов, то установка прерывается. Вообще глупая ситуация, некоторые инсталляторы (Internet Explorer 7, Media Player 11) уже распространяются как обновления. Можно сказать в принудительном порядке, но не устанавливаются, если не проходит WGA. Что можно сделать в таких ситуациях написано здесь: Установка Internet Explorer 7 и здесь: лечение пакетов Windows Installer (*.msi).

Всё вышеперечисленные меры применяются к операционной системе семейства Windows XP и продуктам семейства Office. Про новоиспеченную Windows Vista и Office 2007 пока ничего не могу сказать.

Примечание: обновления, относящиеся к критическим, и связанные с безопасностью системы, доступны через автоматическое обновление без проверки подлинности ключа!