- Nullified
-
Als Nulled oder Nullified (frei übersetzt in etwa: von Schutzmechanismen befreit) werden kommerzielle Web-Skripte (überwiegend geschrieben in PHP, gelegentlich auch in Perl, ASP, etc.) bezeichnet, bei denen eventuelle „Call-Home“-Funktionen, Copyright-Hinweise, Lizenzschlüssel-Eingaben, Code-Verschleierungen, etc. entfernt oder modifiziert wurden, um diese ohne die eigentlich erforderliche Zahlung von Lizenzgebühren zu verbreiten oder zu verwenden.
Im Jargon der entsprechenden Szene wird auch der Begriff Scriptz verwendet, wobei das Plural-s im Sinne des Leetspeak durch ein z ersetzt wurde.
Inhaltsverzeichnis
Rechtliche Situation
Die Verbreitung und Nutzung genullter Skripte stellt in den meisten Ländern einen Verstoß gegen das Urheberrecht und somit eine strafbare Handlung dar.
Eine ernsthafte strafrechtliche Verfolgung oder Verurteilung einzelner Anwender oder an der Modifizierung oder Verbreitung Beteiligter ist allerdings wohl äußerst selten und bislang nicht bekanntgeworden – u. a. weil das Delikt normalerweise nur auf Antrag verfolgt wird. Wegen der Schwierigkeiten bei der Erkennung und beim Nachweis, wegen des im Verhältnis zum wirtschaftlichen Schaden jedes Einzelfalls unverhältnismäßig hohen Aufwandes, und um die Öffentlichkeit nicht noch zusätzlich auf das Phänomen aufmerksam zu machen, werden wohl nicht allzu häufig Strafanzeigen gestellt.
Bei gewerbsmäßigem Handel in größerem Umfang könnte die Situation zwar anders aussehen – ein solcher kommt jedoch praktisch nicht vor, da die meisten Scripte (im Gegensatz zu Software, die vornehmlich über fälsch- und handelbare CDs bzw. DVDs vertrieben wird) höchstens wenige MB groß sind und über das Internet schnell und weitgehend anonym heruntergeladen werden können.
Die Nutzer genullter Skripte haben allerdings damit zu rechnen, daß ihre Seiten bei Entdeckung vom Provider gesperrt werden, z.B. nach einem Hinweis des Rechteinhabers.
Herkunft
Die Ausgangsdateien stammen von offiziellen Käufern bzw. Kunden, die ein Anrecht auf Aktualisierungen haben, von in der Laufzeit oder Funktionsfähigkeit eingeschränkten kostenlosen Testversionen (Tryouts), oder von Mitarbeitern der Hersteller. Eine dreiste Methode, an den Original-Code zu gelangen besteht darin, ihn per Internet zu bestellen und herunterzuladen und die Zahlung dann per Rückbuchung (Chargeback) rückgängig zu machen, wogegen der Hersteller aufgrund der Rechtslage meist machtlos ist.
Sogenannte Cracker (aufgrund unscharfer Begriffsabgrenzungen manchmal auch Hacker genannt) im meist noch recht jugendlichen Alter, die meistens lose organisierten Gruppen angehören, entfernen dann möglichst alle Schutzmechanismen, die der rechtmäßige Anbieter zum Schutz gegen Produkt-Piraterie eingebaut hat, wozu der Code u. a. Zeile für Zeile manuell oder automatisch auf bestimmte Merkmale hin überprüft und ggf. abgeändert wird.
Hierin liegt auch eines der Risiken bei der Verwendung genullter Skripte: bei versehentlich oder beabsichtigt unvollständiger Entfernung der Sicherheitsmechanismen setzt sich der Nutzer dem Risiko der Entdeckung aus. Möglich ist auch eine Beeinträchtigung der Funktionalität durch fehlerhafte Änderungen des Originalcodes. Manche in der einschlägigen Szene bekannte und als zuverlässig geltende Crackergruppen legen den von ihnen genullten Skripten eine Verifizierungsdatei bei, mit denen eventuelle spätere Manipulationen entdeckt werden können.
Verbreitung
Verbreitet werden genullte Skripte über entsprechende Webseiten, die mittlerweile meistens als Weblog aufgebaut sind, oder über oftmals nur nach Registrierung zugängliche Webforen, häufig zusammen mit Warez, Cracks, MP3-Musik, E-Books und anderem z. T. urheberrechtlich geschütztem Material.
Die eigentlichen Skript-Dateien, denen regelmäßig Informationen über das jeweilige Skript, die Releasegroup, die entfernten Schutzmechanismen etc. im NFO-Format (z. B. readme.nfo) beigefügt sind, liegen meist nicht auf diesen Webseiten, sondern sind lediglich verlinkt und gelangen überwiegend als Direct Downloads (DDL) sowie über Peer-to-Peer-Netze bzw. File Sharing zum Benutzer.
Die Dateiarchive sind in der Regel im ZIP- oder/und RAR-Format komprimiert, wobei ein automatisches Durchsuchen der Dateiarchive nach illegalem bzw. urheberrechtlich geschütztem Material (z. B. durch den Serverbetreiber) häufig durch einen Passwortschutz verhindert wird. Eine im Vergleich zu Software (Warez) geringe Dateigröße begünstigt die Verbreitung.
Motive
Das Nullen von Skripten wird von Crackern in ihren Selbstdarstellungen (in den beigefügten NFO-Dateien) oftmals als Spaß bringende Freizeitbeschäftigung, sportlicher Wettstreit sowie kostenloser Service dargestellt. In diesen Kreisen ist es verpönt, mit solchen Skripten zu handeln (trader), diese zu verkaufen (seller) oder sich zu Unrecht als deren Urheber auszugeben (code thieves). Wer durch eine Vielzahl genullter Skripts glänzt oder zuerst die Schutzmechanismen besonders beliebter Skripte aushebelt, genießt besondere Anerkennung.
Dem steht auf Seiten der Anwender natürlich zunächst der Wunsch gegenüber, Ausgaben und Umstände für den Skripterwerb zu vermeiden und nicht „die Katze im Sack“ kaufen zu müssen. Hinzu kommen Motive wie die Vorstellung, dass Software „frei“ sein müsse, das Unbehagen an der Preisgestaltung einiger Anbieter sowie der Reiz, eine Sache kostenlos zu benutzen, die normalerweise nur käuflich zu erwerben ist.
Manche Nutzer sind auch schlichtweg nicht in der Lage, die entsprechenden Lizenzgebühren zu bezahlen. Gemessen an der Herkunft der Internetseiten, auf denen genullte Skripte angeboten werden, sowie der Verbreitung nicht lizenzierter Software dürfte die Zahl der installierten genullten Versionen in manchen Ländern wie Russland, China oder Indonesien die der legal erworbenen Versionen übersteigen. Dies verwundert nicht wenn man bedenkt, dass dort der offizielle Preis mancher Skripte ein Vielfaches des durchschnittlichen ortsüblichen Monatseinkommens beträgt.
Als legitim wird häufig insbesondere die Verwendung von genullten Skripten angesehen, um diese vor einem evtl. Kauf ohne Einschränkungen auf dem eigenen Server zu testen und deren Code zu prüfen. Diese Argumentation ist insofern nicht ganz abwegig, als dass die Qualität von Skripten sehr unterschiedlich ist und eine Eignung für den gewünschten Zweck oftmals nur durch eine Installation geprüft werden kann, während eine Rücknahme bzw. Kaufpreiserstattung durch den Hersteller meistens ausgeschlossen ist.
Ein weiteres Motiv kann der Wunsch sein, den Code professioneller Skripte zu studieren, um daraus zu lernen (educational purposes) oder Ideen daraus abzuleiten, ohne gleich das betreffende Skript erwerben zu müssen. Nicht zuletzt wollen die Betreiber rechtlich fragwürdige Angebote (z. B. Warez-Seiten) durch die Verwendung genullter Skripte ihre Anonymität schützen.
Wirtschaftlicher Schaden
Die Hersteller von Skripten sind bestrebt, diese zu verkaufen und eine Schmälerung ihres Umsatzes durch eine unkontrollierte Verbreitung zu verhindern. Diejenigen, die genullte Skripte einsetzen, besitzen allerdings oftmals weder die Mittel noch die Neigung, für Software zu zahlen und bedeuten daher häufig gar keinen Umsatzausfall. Der tatsächliche wirtschaftliche Schaden genullter Skripte dürfte sich daher – im Gegensatz zu dem auf Basis der geschätzten Zahl der Installationen errechneten – sowohl für den einzelnen Hersteller als auch in der Summe in Grenzen halten.
Ironischerweise entstehen im Laufe der Zeit sogar einige echte Kunden dadurch, dass die Anwender genullter Versionen von einem Produkt abhängig geworden sind, dass sie Aktualisierungen benötigen, die sie nicht durch die ursprünglichen illegalen Kanäle finden können. Kunden, die mit einem Skript geschäftliche Anforderungen erfüllen müssen, bezahlen dafür oftmals gerne, weil sie erkennen, dass die Zeit für das Suchen nach genullten Kopien, der Mangel an technischer Unterstützung, Aktualisierungen und Bug Fixes, die Gefahren für das Geschäft durch das Verwenden illegalen Codes, sowie die damit verbundene Erpressbarkeit, unwirtschaftlich sind.
Call-Home-Schutzmechanismus
Eine „Call-Home“-Funktion ermöglicht dem Hersteller eines Web-Skripts festzustellen, auf welchem Server und ggf. mit welcher Lizenz das Skript betrieben wird. Dazu werden insbesondere für den Betrachter der Seite unsichtbare, pixelgroße Bilder oder andere eingebundene Dateien verwendet. Diese werden beim Aufrufen des Skriptes vom Server des Herstellers abgerufen, wobei Informationen wie z. B. die URL des Skripts übermittelt werden. Manchmal werden auch im Hintergrund und vom Anwender unerkannt E-Mails verschickt, z. B. während des Installationsprozesses. Möglich sind auch Verbindungen zu einer Datenbank des Herstellers, z. B. um den Lizenzcode zu überprüfen.
Solche Praktiken sind aber durchaus fragwürdig, weil es die entsprechenden Skripte zu Spyware macht, mit der zumindest theoretisch auch Dinge ausspioniert werden können, die den Hersteller gar nichts angehen. So könnte z. B. ein Shopskript alle Transaktionen an den Hersteller melden, oder bei einer genullten Version an den Cracker. Wegen der leichten Möglichkeit der Entdeckung ist eine so weitreichende Bespitzelung aber eher unwahrscheinlich.
Wenn ein Skript nicht legal erworben wurde, kann der Hersteller aufgrund der mit der Call-Home-Funktion gewonnenen Informationen das Entfernen des Skriptes bzw. dessen Erwerb oder evtl. sogar eine Strafzahlung erzwingen und ggf. Anzeige gegen den Verwender erstatten. Dies soll mit dem Nullen von Skripten verhindert werden. Unter Umständen kann der Hersteller auch die Funktionsfähigkeit von Skripten von seinem Server aus "ferngesteuert" unterbinden oder einschränken, z. B. wenn diese mit ungültigen Lizenzschlüsseln arbeiten.
Weitere Schutzmechanismen
Eine Reihe von Herstellern beugt der Verbreitung nicht lizenzierter Versionen ihrer Skripte vor, indem sie diese komplett, für die Funktion wesentliche Teile davon oder zumindest die Testversionen in einem kompilierten bzw. verschlüsselten Code ausliefern, wie er z. B. vom Zend Encoder bzw. von ionCube oder SourceGuardian erzeugt wird. Solche Skripte waren bislang meistens nicht in einer genullten Version erhältlich, da eine Rückübersetzung und Veränderung des so aufbereiteten Codes nicht möglich war.
Mittlerweile wurden die entsprechenden Algorithmen jedoch geknackt, und die Wiederherstellung des Ausgangscodes wird u. a. von einer chinesischen Firma als Dienstleistung angeboten. Dies hat das Vertrauen in die Wirksamkeit aufwendiger Schutzmechanismen nachhaltig erschüttert und wird sich wohl auch auf die Verfügbarkeit genullter Versionen auswirken. Da jedoch auch die Schutzmechanismen ständig weiterentwickelt und an neue Situationen angepasst werden, können zukünftige Skriptversionen möglicherweise (zumindest eine Zeitlang) wieder wirksam geschützt werden.
Skripte, die lediglich mit schwächeren Algorithmen verschleiert wurden, z. B. basierend auf Base64, können mit vertretbarem Aufwand zurückübersetzt und als genullte Version verbreitet werden. Solche Methoden bieten dem Hersteller aber einen gewissen Schutz vor „Gelegenheitsnutzern“, ohne dass für die Verwendung Lizenzgebühren anfallen.
Auch die Verwendung von Lizenzschlüsseln ist aus Herstellersicht nur sinnvoll, wenn der Funktionsmechanismus nicht transparent ist, also in Verbindung mit einer Kompilierung, Verschlüsselung oder Verschleierung. Allen Schutzmechanismen, die mit einem Verbergen des Originalcodes verbunden sind, steht allerdings aus Herstellersicht der Nachteil gegenüber, dass viele Kunden nicht bereit sind, Skripte zu kaufen, über deren Code sie keine volle Kontrolle haben.
Da letztlich vermutlich jeder Schutzmechanismus geknackt werden kann, ist es für viele Hersteller nicht sinnvoll, sich an dem aufwendigen Wettlauf mit den Crackern zu beteiligen. Schließlich ist nur eine einzige genullte und über das Internet verbreitete Version ausreichend, um alle entsprechenden Bemühungen hinfällig werden zu lassen. Hin und wieder findet sich sogar im Quellcode ein Hinweis auf diesen Sachverhalt, verbunden mit der Bitte, das Urheberrecht und die Arbeit der Entwickler zu respektieren, wobei sich dort übrigens manchmal auch die Cracker mit Aufforderungen wie „if you like it – buy it!“ verewigen.
Entdeckung genullter Skripte
Skripte können außer durch Call-Home-Funktionen auch anhand von Kriterien wie Copyrighthinweise, Dateinamen und -größen, Nutzeroberfläche, Besonderheiten der Dateistruktur, der im Querystring (Teil der URL) übergebenen Parameter oder des ausgegebenen HTML- oder JavaScript-Codes, Tags wie z. B. „nulled by scriptmafia“, etc. identifiziert werden.
Eine Entdeckung installierter genullter Skripte durch den Hersteller, ggf. auch mit Hilfe von Tippgebern oder Suchmaschinen, oder in seltenen Fällen durch den Serverbetreiber ist also auch nach dem Entfernen der verräterischsten Hinweise keineswegs ausgeschlossen.
Zum Zwecke der Weiterverbreitung bei Upload-Diensten deponierte Skripts oder sogenannte Skriptdumps, d.h. Ansammlungen genullter Skripte auf Servern, werden nicht selten entdeckt und dann in der Regel vom Provider gelöscht. Daher sind die Links zu diesen Skripten auf den einschlägigen Internetseiten oftmals nicht lange gültig, und dieselben Skripte werden in periodischen Abständen immer wieder mit neuen Links gepostet.
Prinzipiell ist es auch möglich, über die oftmals in den Logdateien von Internet-Servern festgehaltenen IP-Adressen die Zielcomputer von Downloads und somit potentielle Urheberrechts-Verletzer festzustellen.
Alternativen
Neben den rechtlichen und moralischen Aspekten ist bei der Nutzung genullter Skripte zu bedenken, dass für nicht lizenzierte kommerzielle Skripte natürlich kein Herstellersupport gewährt wird und keine Aktualisierungen und Sicherheits-Patches zur Verfügung gestellt werden. Beim Bezug aus obskuren Quellen ist weder sichergestellt, dass alle Schutzmechanismen des Herstellers entfernt wurden und dass das Skript überhaupt noch ordnungsgemäß funktioniert, noch ist es auszuschließen, dass nachträglich potentiell schädliche Routinen eingefügt wurden, die z. B. eine Backdoor auf den Server bereitstellen.
Außerdem stehen oftmals gleichwertige oder sogar bessere Open-Source-Skripte zur Verfügung, die über einschlägige Verzeichnisse im Internet leicht zu finden sind. Diese Skripte stehen im Allgemeinen unter der GPL und dürfen frei verwendet, geändert und weitergegeben werden. Dabei erhält man technische Unterstützung durch die Nutzergemeinde und kann aktiv auf die Weiterentwicklung (z. B. Ergänzung durch neue Features) Einfluss nehmen.
Ein Beispiel dafür ist das beliebte kommerzielle Webforums-Skript vBulletin, zu dem als Open-Source-Äquivalent insbesondere phpBB existiert, das ebenfalls mit einer großen Benutzergemeinde aufwarten kann. Hieran lässt sich aber auch ablesen, dass bestimmte häufige Vorzüge kommerzieller Skripte (z. B. hohe Funktionsvielfalt und Nutzerfreundlichkeit, leichte Anpassbarkeit) von den Anwendern der genullten Versionen als wichtiger eingestuft werden als die Vorteile der jeweiligen Open-Source-Skripte (sofern diese überhaupt existieren).
Anders liegt der Fall z. B. bei dem ebenfalls als Open Source erhältlichen, sehr komplexen und ausgereiften, u. a. von der Wikipedia benutzten MediaWiki-Skript, für das es wegen der hohen Spezialisierung und des Nischenmarktes, der damit bedient wird, vermutlich gar keine kommerzielle Alternative geben dürfte. Ein Nullen erübrigt sich hier also…
Siehe auch
Wikimedia Foundation.