Глядя из собачьей будки

(Апрель 2007)

Dog-House

В стародавние времена, когда знаменитый ныне гуру по безопасности Брюс Шнайер был известен лишь в узких криптографических кругах, а слово «блог» еще и на свет не появилось, Шнайер общался с миром при помощи своего ежемесячного, быстро набиравшего популярность бюллетеня Crypto-Gram (который, собственно, жив и поныне).

И был в том бюллетене интересный раздел Dog-house или «собачья будка», где автор, подобно сторожевому псу, «облаивал», так сказать, всяческими нелицеприятными и довольно резкими словами разного рода сомнительные шифрсредства, в те времена изобильно выводимые на рынок доморощенными криптографами-программистами.

Прошедшие с той поры годы все расставили по местам, давние никудышные криптопрограммы вымерли естественным образом, качественные выжили и получили повсеместное распространение, а раздел Dog-house реанимируется Шнайером в его блоге лишь крайне изредка, когда в Сети вдруг всплывает какая-нибудь очередная новая фирма молодых нахалов, уверенных, что сделали революцию в криптографии.

Но если «собачья конура» Шнайера практически прекратила свое существование, то это вовсе не означает, что на рынке перестали появляться средства защиты информации, откровенно слабые или даже просто абсурдные с точки зрения безопасности. Напротив, средств таких по-прежнему выпускается в достатке. Ленты текущих новостей регулярно предоставляют тому живые примеры, а значит, все также нужен какой-то, пусть и не чисто криптографический, Dog-house для предупреждения потребителей. И нечто подобное можно устроить прямо здесь и сейчас.

Первая история имеет непосредственное отношение к серьезнейшим проблемам, которые испытывают ныне корпорации и организации из-за повсеместного распространения миниатюрных носителей информации с огромными объемами памяти. USB-флэшки могут вмещать гигабайты важных документов, а потерять их или украсть — проще простого. По этой причине заметным спросом на рынке стали пользоваться USB-модули памяти со встроенными средствами защиты.

Однако ошибиться с выбором правильного средства оказывается на удивление просто, поскольку даже дорогая, солидная и «фирменно» смотрящаяся вещь с точки зрения защиты информации может быть полнейшей чепухой.

Голландский сайт ИТ-новостей Tweakers.net обратил внимание на один из продуктов подобного рода, USB-модуль памяти «Secustick», бойко продаваемый в Западной Европе одноименной компанией, требующий пароль для доступа к информации и (якобы) «саморазрушающийся», если пароль несколько раз введен неправильно.

secustick

Миниатюрное устройство имеет память 1 Гбайт, заключено в прочного вида металлический корпус, а продается и смотрится как стильная недешевая бижутерия — в элегантном, выложенном изнутри черным бархатом контейнере и с металлическим витым шнурком для ношения изделия на шее в виде кулона. Secustick продается по неслабой цене в 130 евро (что примерно в 17 раз больше средней европейской цены на обычный 1Гб-модуль флэш-памяти), и, по свидетельству пресс-релизов на сайте изготовителя, используется правительственными ведомствами Франции (включая министерство обороны) и Нидерландов, а также многими крупными мультинациональными корпорациями вроде Dassault и Credit Agrecole.

Журналисты Tweakers сами не решились расковырять столь солидную вещь, попросив помощи у знакомого хакера, известного в Сети как Sprite_tm. И вот этот Спрайт очень быстро установил, что вся защита информации в Secustick носит абсолютно бутафорский характер. Внутри модуль оказался совершенно обычным дешевым продуктом без какой-либо физической защиты электроники от инженерного доступа. Шифрования данных там нет в принципе, а доступ к содержимому памяти можно получить (поближе познакомившись с кодом управляющей windows-программы), даже не вскрывая корпус и без нудных подборов паролей.

Грамотному человеку оказалось достаточно совершенно обычного компьютера и обычной программы из хакерского инструментария, чтобы поменять значение единственного бита в регистре, управляющем доступом к памяти, и открыть для считывания все содержимое Secustick… Когда эта информация появилась в Интернете, сайт http://www.secustick.nl срочно приостановил работу «для технической модернизации».

#

История вторая связана с куда более солидной корпорацией Sony, которая, увы, в который уже раз наступает на одни и те же грабли под названием «DRM-защита контента». Наверняка всем еще памятного чудовищного скандала со шпионской программой-руткитом в аудиодисках Sony оказалось, видимо, недостаточно, чтобы и другие подразделения компании-гиганта стали более тщательно и аккуратно относиться к применению средств защиты контента от копирования.

Слухи о том, что киноподразделение Sony Pictures вновь по-тихому возродило на своих дисках DVD технологию защиты ArccOS, об отказе от которой объявлялось еще в феврале 2006, стали ходить с лета прошлого года. В сущности, это мало кого волновало, поскольку все популярные программы копирования DVD (AnyDVD, DVDFab Decrypter, RipIt4Me и т.д.) эту защиту легко снимают.

Однако теперь стало очевидно, что большие проблемы возникли у владельцев новых DVD-плееров — чаще всего упоминаются Sony DVP-CX995V, Toshiba SD4700, Harman Kardon DVD101, — которые оказываются не способны воспроизводить многие новые диски с фильмами компании Sony Pictures. Заглотив такой диск, плеер некоторое время пытается его прочесть, а примерно через 60 секунд просто выключается.

Самое, конечно, в этом потрясающее, что диски фирмы Sony отказываются воспроизводить плееры, изготовленные этой же компанией. Всех разъяренных покупателей сотрудники техподдержки Sony Electronics тут же перенаправляют в Sony Pictures, где им вежливо сообщают, что «знают об этой проблеме», но поделать пока ничего не могут. Ибо исправляется проблема с помощью новой перепрошивки плеера. Только вот прошивки такой пока нет, а когда будет — точно неизвестно…

Воистину, реальность оказывается «Страньше, чем выдумки» (примерно так в вольном переводе на русский звучит «Stranger Than Fiction» — название одного из свежих и не поддающихся просмотру DVD-фильмов от Sony Pictures).

# # #