Skype: игры в слова

(Август 2012)

Последний месяц в сетевых СМИ отмечался заметный всплеск дискуссий о (не)безопасности коммуникаций в системе Skype относительно перехвата и прослушки. Теперь же, когда «пыль споров осела», имеет смысл спокойно подвести итог.

Skype logo

Skype следит за тобой?

Система интернет-телефонии Skype в следующем году отметит свой десятилетний юбилей. На протяжении всех этих лет, как известно, популярность сервиса быстро и стабильно росла, так что ныне услугами Skype на регулярной основе пользуются порядка четверти миллиарда пользователей по всему миру.

Примечательную популярность Скайпа нередко принято объяснять тем, что данный сервис сумел не только предложить удобный, легкий в освоении и фактически бесплатный интернет-телефон для связи между любыми точками планеты, но и еще весьма надежно защищает коммуникации от прослушки третьей стороной.

Безопасность связи обеспечивают две главные особенности системы: (а) пиринговая архитектура, благодаря которой абоненты могут связываться напрямую без центрального сервера (где удобнее всего осуществлять перехват); и (б) сильные алгоритмы шифрования, автоматически и по умолчанию закрывающие все коммуникации в Skype.

Поскольку перечисленные особенности были заложены разработчиками в конструкцию Skype изначально, то прослушка телефонных разговоров в быстро набиравшей популярность системе стала серьезной проблемой не только для злоумышленников или шпионов, но и для правоохранительных органов.

Соответственно, среди довольных пользователей Скайпа стало отмечаться все больше и больше деятелей, имеющих конфликты с госвластями – от диссидентов и оппозиционеров до мошенников и криминальных структур. А администрации сервиса, в свою очередь, все чаще приходилось сталкиваться с претензиями и недовольством властей самых разных стран. Читать «Skype: игры в слова» далее

Куриная слепота

(Август 2012)

О том, что имеющиеся на рынке средства антивирусной защиты компьютеров, выражаясь помягче, далеки от совершенства, знают наверное все. Однако то, сколь удручающе плоха реальная ситуация, становится очевидно только теперь.

stupidchicken

В конце мая (2012) российская антивирусная фирма Kaspersy Lab объявила о выявленном ею экстраординарном вредоносном ПО, получившем название Flame.

Все ключевые признаки данной шпионской программы-руткита (высочайшая степень невидимости, качество кода, разнообразие функциональных возможностей и т. д.) указывают на то, что это боевое «оружие кибервойны» из арсенала спецслужб технологически передовых государств. То есть из того же самого ряда, что и выявленные в последние годы вредоносные программы Stuxnet и DuQu.

Никакого особого секрета в том, кто все это делает, в общем-то нет. Расследования журналистов и экспертов по компьютерной безопасности ранее вполне аргументированно показали, что все перечисленные программы практически наверняка сработаны совместными усилиями спецслужб США и Израиля. Теперь же, в силу специфики политического момента, на данный счет не остается никаких сомнений.

В мае-июне 2012, то есть накануне осенних выборов президента США, госадминистрация Барака Обамы сочла полезным подчеркнуть избирателям «крутизну» своего лидера еще и тем, как лихо он сражается с врагами Америки на полях невидимой кибервойны.

Явно с этой целью в центральные американские газеты, New York Times и Washington Post, некие «неназываемые официальные лица» практически одновременно слили информацию о том, что все эти шпионско-боевые программы – и Stuxnet, и DuQu, и Flame – были сработаны и пущены в дело силами АНБ, ЦРУ и спецслужб Израиля.

Организовано это все было, якобы, исключительно ради срыва усилий Ирана в области его ядерных проектов. В итоге, правда, следы проникновения упомянутых шпионско-диверсионных программ обнаруживаются на сотнях тысяч компьютеров по всему миру…

Но здесь, впрочем, речь пойдет не о побочных эффектах кибервойн, а о наглядно проявленной ими неэффективности антивирусного ПО.

Следует особо подчеркнуть, что ни Stuxnet, ни DuQu, ни Flame, годами работая в компьютерах своих жертв, не были выявлены НИ ОДНИМ из стандартных средств защиты всей антивирусной индустрии, насчитывающей около 40 компаний по всему миру. Читать «Куриная слепота» далее

Большие маневры: Microsoft – Пентагон

(Фрагмент книги «Гигабайты власти», 2004, скомпилированный из публикаций периода 2000-2003)

О том, как крупнейшего в мире разработчика ПО интегрировали в военно-промышленный комплекс США.

uss-gb

Год 1998-й был одним из наиболее драматичных в многолетних отношениях весьма специфической пары – софтверной корпорации-гиганта Microsoft и министерства обороны США. Этот союз с самого начала выглядел довольно странно и противоестественно, принимая во внимание абсолютно разную природу партнеров.

Главное предназначение Пентагона, сама его суть, – это обеспечение безопасности американского государства военными средствами. А Microsoft – это, как ни крути, самый большой и известный на данной планете изготовитель программного обеспечения, главная цель (и залог успеха) которого – сделать свои продукты максимально дружественными и легкими в употреблении. Уделяя, конечно, вопросам компьютерной безопасности определенное внимание, но заведомо не ставя их в ущерб бизнесу.

И хотя американская софтверная индустрия в достатке имеет намного более защищенные программы других разработчиков, возлюбил-таки Пентагон горячей и постыдной любовью именно Microsoft, на весь свет знаменитую бессчетным количеством дыр в защите своего ПО. Особо эта противоестественная связь не скрывается, да и как ее спрячешь, однако наиболее срамные эпизоды партнеры все же стараются хоть как-то прикрыть. Читать «Большие маневры: Microsoft – Пентагон» далее

Тачки умные и не очень

(Октябрь 2009)

carchase

На автодорогах штата Калифорния местная полиция впервые, похоже, остановила реально похищенный автомобиль не традиционными методами погони, а с помощью спутниковой связи и дистанционно поданной команды на принудительное отключение педали газа.

Происходила эта история ранним утром 18 октября (2009), когда на автостоянке городка Линдсей в Калифорнии два брата садились в свою машину-внедорожник, но несколько замешкались с отъездом из-за разговоров по сотовому телефону.

В это время к ним подошел молодой человек, вооруженный дробовиком-обрезом, и наставив свою пушку, потребовал быстро отдать ему кошельки, мобильники и ключи от приглянувшейся грабителю машины, Chevrolet Tahoe выпуска 2009 года.

Затевать разборки с нервным и опасно вооруженным преступником было бы опрометчиво, а кроме того, владелец машины прекрасно помнил о своей подписке на телематический автосервис OnStar, который благодаря средствам спутниковой навигации обычно находит угнанные машины очень оперативно.

Как только грабитель уехал, владелец машины тут же поспешил к телефону-автомату, сообщить в полицию о нападении и угоне. Диспетчер полиции известил дорожные патрули и быстро связался с OnStar для быстрого GPS-розыска автомобиля.

Угнанный Tahoe тут же засекли на автотрассе всего в нескольких милях от места происшествия, но как только две местные патрульные машины сделали крутой разворот для задержания грабителя, тот резко прибавил скорости, пытаясь уйти от погони. Читать «Тачки умные и не очень» далее

Роботы на войне

(апрель 2009)

В боевых действиях роботы ныне применяются уже тысячами, однако никаких законов и правил на этот счет пока нет

droids

Два одновременных и совершенно независимых события, связанных с одной и той же, в сущности, проблемой – это всегда повод для более внимательного рассмотрения вопроса.

В последних числах марта (2009) в Гааге была устроена международная конференция «Вооруженные силы будущего 2020: готовы ли мы?», организованная совместными силами Академии министерства обороны Нидерландов и TNO, национального центра прикладных научных исследований.

А в США только что вышла из печати книга «Собраны для войны: революция и конфликты роботехники в 21 столетии» [“Wired for War: The Robotics Revolution and Conflict in the Twenty-First Century” by P. W. Singer, Penguin Press, 2009], автор которой П. Сингер является ведущим сотрудником аналитического центра Brookings Institution и директором его подразделения «Оборонная инициатива 21 века».

Дабы острая актуальность темы боевых роботов стала совсем очевидна, достаточно обратить внимание, что на сегодняшний день созданием роботов военного применения занимаются уже свыше 40 государств. А общую динамику развития в данной области можно оценить по таким аналитическим данным из книги Сингера.

Когда вооруженные силы США в 2003 вторглись в Ирак, в составе сухопутных сил поначалу вообще не было роботов. К концу 2004 года на территории Ирака американские военные использовали 150 роботов, год спустя их было 2400, а к началу 2009 года – уже свыше 12 тысяч роботов, насчитывающих примерно с две дюжины разных специализаций.

И если уж США на сегодняшний день являются бесспорными лидерами в военной роботехнике, имеет смысл рассмотреть эту тему на конкретном примере данной страны, воспользовавшись богатым фактическим материалом, собранным в упомянутой работе П. Сингера. Читать «Роботы на войне» далее

Страницы жизни Дж. Эдгара Гувера (ч.3)

Продолжение. Начало см. тут: часть 1, часть 2.

[1942 – 1952]

j-edgar-hoover

1942: ЗВЕРИНЫЕ КЛЕТКИ И ЭЛЕКТРИЧЕСКИЙ СТУЛ

Летом 1942 года на долю Эдгара Гувера выпала редкостная удача. Получилось родить одну из тех наиболее героических и насквозь фальшивых историй, что заложены в основу мифа о всеведении и несокрушимости гуверовского ФБР.

Начиналось же все достаточно серьезно и тревожно, когда у берегов острова Лонг-Айленд немецкая субмарина высадила диверсионную группу из четырех человек, снабженных деньгами, оружием, взрывчаткой и планами террористических актов на заводах, производивших важную военную продукцию.

Патрульный службы Береговой охраны, наткнувшийся на четырех подозрительных мужчин с плотом, не стал поднимать тревогу, поскольку те представились заплутавшими рыбаками, да еще дали ему денег, чтоб не было неприятностей. Отпустив «рыбаков», патрульный все же решил подстраховаться и доложил-таки о своих подозрениях начальству.

Когда о происшествии на следующий день узнало ФБР, Береговая охрана уже нашла у места высадки довольно небрежно устроенный тайник со взрывчаткой и другим снаряжением. Однако сами диверсанты бесследно исчезли.

Гувера происшествие чрезвычайно возбудило и встревожило, поскольку дело пахло угрозой диверсионных актов, а быть может и подготовкой военного вторжения. Он приказал сохранить инцидент в полнейшей тайне от прессы и объявил самую крупномасштабную облаву за всю историю ФБР.

Чем бы закончилась эта большая охота, сказать трудно, поскольку четверо диверсантов уже рассредоточились и поселились в разных отелях огромного Нью-Йорка.

Однако дальнейшие действия группы пошли совсем не по плану, поскольку ее руководитель, тридцатидевятилетний Георг Даш, до войны много лет проживший в США, был абсолютно не расположен к выполнению диверсионных задач. Об этом он рассказал своему ближайшему партнеру-приятелю по группе Эрнсту Бергеру, который тоже был не прочь тихо рассосаться в большой стране, поделив 84 тысячи долларов, полученные от германского военного командования.

Но Даш выбрал иной путь, позвонив в местное нью-йоркское отделение ФБР и сообщив, что только что прибыл из Германии и хотел бы передать господину Гуверу чрезвычайно ценную информацию. Когда Вашингтон уведомили о звонке, Георг Даш сам отправился в столицу и сдался вместе со всей кассой.

Помимо большой суммы денег ФБР получило в лице Даша ценный источник информации о составе и местах проживания остальных членов группы (Даш предупредил, что действовал с ведома Бергера), о составе и месте высадки другой диверсионной группы у берегов Флориды, о главных целях диверсионных актов и вообще о подготовке диверсантов в Германии.

На основе полученных данных ФБР быстро арестовало всех семерых коллег Даша, а ему самому было настоятельно рекомендовано признать себя на суде виновным и помалкивать о добровольной сдаче американским властям. В обмен же за молчание было обещано, что уже через несколько месяцев добрый президент Рузвельт его амнистирует и выпустит на свободу.

Даш все сделал так, как ему велели, за что едва не поплатился головой. Читать «Страницы жизни Дж. Эдгара Гувера (ч.3)» далее

UNUS MUNDUS

(Ноябрь 2008)

Окончание странной истории про массовую компрометацию платежных терминалов для карт Chip-and-Pin. Начало см. тут и тут.

Movie-Image

Латинское словосочетание «unus mundus» – т.е. один или, эквивалентно, единый мир – берет начало в трудах врача и алхимика XVI века Герхарда Дорна, полагавшего, что тайны мира и человека могут быть постигнуты лишь объединением души и тела в одно неразрывное целое.

В середине XX века эту же концепцию вновь пустили в научный обиход два больших ученых, Вольфганг Паули и Карл Густав Юнг, когда совместно пытались объединить парадоксальную физику невидимого микромира и не менее загадочную природу коллективного бессознательного (см. «Сны Вольфганга П«).

В данной статье идея unus mundus, впрочем, привлекается с куда менее скромными целями – просто в качестве мощной метафоры, символизирующей тесную и часто незамечаемую связь явлений и процессов в политике или экономике. Процессов, которые обычно кажутся совершенно независимыми друг от друга, однако именно в своих невидимых взаимосвязях существенно влияющих на события в мире.

Иллюстрировать эти идеи лучше всего яркими примерами из текущей жизни. Недавно, скажем, были сообщения о скандале с массовой компрометацией считывателей для кредитных карт типа Chip-and-Pin.

Техническая продвинутость позволила злоумышленникам похитить многие десятки, а может и сотни миллионов долларов с банковских счетов людей в Западной Европе. Но в истории этой остались совершенно неясными два весьма важных момента.

Во-первых, зачем информация вообще была запущена в прессу до того, как поймали злоумышленников? Ведь установленный сервер преступников, копивший похищаемые реквизиты карт, находился в пакистанском городе Лахор, а Пакистан – это вполне цивилизованная страна, сотрудничающая с международными правоохранительными органами типа Интерпола.

И во-вторых, почему эту информацию, касающуюся в первую очередь Европы, запустил в мировую прессу некто Джоэл Бреннер (Joel Brenner), директор национальной контрразведки США? Читать «UNUS MUNDUS» далее

Лаборатория и жизнь

(Октябрь 2008)

Продолжение реального техно-триллера, начало см. тут.

lab-n-life

В области безопасности платежных карт случился очередной гранд-скандал. Обнаружено, что некая международная группа преступников, используя лучшие достижения высоких технологий, сумела внедрить хитрую шпионскую закладку во множество терминалов-считывателей PED (PIN entry devices) для новых Chip-n-Pin-карточек.

На такие более безопасные карты, совмещающие в себе чип и магнитную полоску, уже массово перешли многие страны Западной Европы. А соответствующие терминалы-считыватели ныне работают в тысячах касс больших и мелких магазинов.

Выявленная в части таких устройств шпионская закладка не менее 9 месяцев позволяла преступникам похищать с банковских счетов граждан деньги на общую сумму порядка 100 миллионов долларов (лишь по самым грубым оценкам, в действительности может и больше).

Технология этого изощренного преступления сама по себе весьма любопытна. Но не менее интересно также то, что ровно год назад, в октябре-ноябре 2007, серьезнейшая слабость в защите данных, обрабатываемых терминалами-считывателями PED, была своевременно обнаружена. Читать «Лаборатория и жизнь» далее

Скрепка и булавка

(Февраль 2008)

needles-n-pins

Группа исследователей из Компьютерной лаборатории Кембриджского университета продемонстрировала серьезнейшую уязвимость новой технологии платежных карт «Chip & PIN» [www.cl.cam.ac.uk/techreports/UCAM-CL-TR-711.pdf ].

Такого рода гибридные контактные карточки, совмещающие в пластиковом корпусе микросхему и магнитную полоску, уже широко введены в странах вроде Британии, Австрии, Бельгии, а в еще большем количестве государств планируются к повсеместному внедрению на смену безнадежно устаревшим карточкам с магнитной полоской.

Строго говоря, кембриджскими специалистами ныне скомпрометированы не столько карты, благодаря добавлению чипа существенно прибавившие в безопасности, а скорее аппараты-терминалы, используемые в торговых точках и в банках для обработки транзакций и верификации карты – так называемые PED или «устройства ввода персонального идентификатора» (PIN Entry Devices).

Аспирант Саар Дример и два его более старших коллеги, Стивен Мердок и Росс Андерсон (Saar Drimer, Steven J. Murdoch, Ross Anderson), на примере двух наиболее популярных в Великобритании моделей PED – Ingenico i3300 и Dione Xtreme – наглядно показали, сколь ненадежно там защищены обрабатываемые данные о карте и ее владельце.

Разработанная учеными-компьютерщиками техника взлома носит название tapping attack («атака через отвод») и на удивление недорога в реализации. Все, что для нее требуется, это подходящего размера игла, скрепка для бумаги и устройство для записи отводимого сигнала. Плюс, конечно, знания и умение все это хозяйство собрать, воткнуть и подключить туда, куда надо. Читать «Скрепка и булавка» далее

Помесь банкомата и детектора лжи

(Июнь 2011)

В Сбербанке России создан уникальный аппарат, не имеющий аналогов в мире. Вот только россиянам об этом сообщать почему-то пока стесняются.

newATM

Среди перлов народного юмора в СССР эпохи застоя (она же стадия развитого социализма) ходила такая мрачноватая шутка: «Что будет, если скрестить ужа и ежа? – Полтора метра колючей проволоки»…

Трудно сказать по какой причине, но почему-то именно эта шутка юмора вдруг вспоминается как реакция на свежую новость о знаменательном достижении отечественной банковской индустрии: «Что будет, если скрестить кассовый аппарат и полицейский детектор лжи? – Новый банкомат российского Сбербанка»…

Задуманный и созданный в этом учреждении прототип банкомата для ближайшего будущего россиян действительно впечатляет своими способностями. Подошедшего к нему клиента этот агрегат способен обработать, что называется, по полной программе.

Сам делает трехмерную фотографию лица человека, и если опознает зарегистрированного клиента, то синтезированным голосом приветствует гостя по имени-отчеству (ну а если нет, то просто биометрически качественно зафиксирует физиономию подошедшего). И если потребуется (для выдачи, к примеру, кредита, платежной карточки или зачем-то еще), сам отсканирует предъявленный паспорт и снимет отпечатки пальцев владельца.

А кроме того, что самое интересное, такой банкомат еще и сам проводит с клиентами собеседование-дознание на предмет их искренности и платежеспособности.

То есть аппарат задает человеку ряд стандартных вопросов, типа «имеете ли вы постоянную работу?», «выплачиваете ли вы другие непогашенные кредиты?» и тому подобное. А попутно встроенная в банкомат программа речевого анализа не только фиксирует ответы, но и оценивает их на предмет правдивости. Иначе говоря, работает как детектор лжи, выявляющий в речи говорящего признаки неправды по характерным проявлениям нервозности и напряжения в голосе.

Можно сказать, что перед нами тут и не банкомат даже, а какой-то прямо, извините за выражение, компендиум самых передовых достижений в области биометрических технологий.

Но при этом сильно настораживает вот какое обстоятельство. По совершенно неясным причинам российские граждане смогли узнать об этом революционном прорыве отечественной науки и техники исключительно из зарубежных средств массовой информации. Вроде очень известных, но сугубо американских газет типа «Нью-Йорк Таймс» (русский перевод тут) или «Крисчен Сайенс Монитор».

И хотя последнее из упомянутых изданий в своей статье московского корреспондента ссылается на некий «пресс-релиз Сбербанка» (за пятницу, 10 июня 2011), тотальное прочесывание всех июньских и майских пресс-релизов на официальном сайте этого банка показывает, что никаких объявлений о новой выдающейся разработке – о «банкомате будущего» – здесь не сделано.

Дальше – еще страньше. Согласно дружным свидетельствам американской прессы, разработчиком самого необычного компонента – речевого детектора лжи – для банкоматов Сбербанка является питерская компания Центр речевых технологий (ЦРТ). На официальном сайте ЦРТ, speechpro.ru, этот факт определенно подтверждают – в разделе «Пресса о нас» имеется соответствующая ссылка с гордым подзаголовком «ЦРТ на первой полосе The New York Times». Но это, собственно, и все…

То есть обширный сайт ЦРТ, весьма подробно рассказывающий о действительно примечательных и передовых разработках компании в области обработки-распознавания-анализа-синтеза речи, не содержит ни единой страницы, ни какого-либо упоминания вообще о технологии речевого детектора лжи.

Согласитесь, что это довольно необычно. Читать «Помесь банкомата и детектора лжи» далее