Posted on

Страсти Галилейские

(Март 2002)

galileo

Не замечать происходящего нет никакой возможности. Голливуд поделил планету на «зоны» и пытается диктовать всему миру, когда (где и какие) фильмы положено смотреть в кинотеатрах, а когда — на DVD. Американские политики определяют, в каких частях планеты люди живут неправильно, а Пентагон пытается привить недоразвитым государствам любовь к демократии с помощью бомбежек и крылатых ракет. Министерство юстиции США настойчиво норовит распространить действие странноватых, мягко говоря, американских законов на  территорию практически любой суверенной страны — и агенты ФБР отправляются для ареста местных хакеров в Британию, Норвегию или на Филиппины…

Перечень этот можно продолжать долго, но и без него картина достаточно понятная. Имеется империя, уже до безобразия развращенная собственной силой и властью, и есть весь остальной мир, вынужденный до поры до времени с этим мириться. Будь то ради союзнического долга, по причине ощутимой экономической зависимости или просто во имя спокойной и сытой жизни.

Но все же степень терпимости не беспредельна, и пока что изредка (а из-за американской беспардонности все чаще) лагерь даже бесспорно  дружественных к США государств начинает демонстрировать здоровое стремление к независимости и самостоятельности. Ярким тому примером стали нынешние события, когда Европейский Союз в самых решительных выражениях отверг указания Вашингтона по поводу целесообразности сворачивания проекта Galileo — запланированной в Европе собственной, альтернативной GPS, спутниковой системы глобальной навигации.

Читать «Страсти Галилейские» далее

Posted on

Оптический обман

(Июнь 2002)

optical-attack

На прошедшем в Окленде, Калифорния, симпозиуме IEEE по приватности и безопасности был представлен метод вскрытия смарт-карт и защищенных микроконтроллеров, получивший название «optical fault induction attack» («атака оптическим индуцированием сбоев», https://www.cl.cam.ac.uk/~sps32/ches02-optofault.pdf).

Это совершенно новый класс атак, разработанный в Компьютерной лаборатории Кембриджского университета аспирантом Сергеем Скоробогатовым (выпускником МИФИ 1997 года) и его руководителем Россом Андерсоном (Ross Anderson).

Суть метода в том, что сфокусированное освещение конкретного транзистора в электронной схеме стимулирует в нем проводимость, чем вызывается кратковременный сбой. Такого рода атаки оказываются довольно дешевыми и практичными, для них не требуется сложного и дорогого лазерного оборудования. Например, сами кембриджские исследователи в качестве мощного источника света использовали фотовспышку, купленную в магазине подержанных товаров за 30 долларов.

Для иллюстрации мощи новой атаки была разработана методика, позволяющая с помощью вспышки и микроскопа выставлять в нужное значение (0 или 1) любой бит в SRAM-памяти микроконтроллера. Методом «оптического зондирования» (optical probing) можно индуцировать сбои в работе криптографических алгоритмов или протоколов, а также вносить искажения в поток управляющих команд процессора.

Читать «Оптический обман» далее

Posted on

«Ненадежна по своей сути»

(Октябрь 2010)

Вокруг технологии биометрического опознания в очередной раз разгорелся нешуточный спор. На этот раз схлестнулись наука и коммерция.

Biometrsq

В последних числах сентября (2010) Национальный исследовательский совет США (это такой объединенный рабочий орган американских Академии наук, Академии инжиниринга и национального Института медицины) опубликовал большой — почти на две сотни страниц — отчет, анализирующий современное состояние дел с биометрией.

Главные итоги этого документа, озаглавленного «Биометрическое опознание: вызовы и возможности» (ознакомиться можно тут — http://www.nap.edu/read/12720/), сводятся к весьма критическим выводам о возможностях тех биометрических технологий, что уже получили широчайшее распространение в самых разнообразных приложениях средств безопасности.

Если излагать суть этих выводов предельно кратко и популярно, то можно сказать так.

Благодаря гангстерским фильмам, полицейским ТВ-сериалам и шпионским триллерам, в народе обычно принято полагать, будто отпечатки пальцев и прочие биометрические средства опознания являются полностью и абсолютно надежными. В реальности, однако, все эти средства вовсе не таковы и никогда таковыми не были.

Причем очень мало кто из инженеров, реально занимающихся созданием такого рода биометрических инструментов, хоть когда-нибудь провозглашал что-либо подобное.

Тем не менее, миф о надежности биометрии остается чрезвычайно устойчивым — как среди публики в целом, так и особенно среди официальных лиц, принимающих важные решения с далеко идущими последствиями.

В итоге же огромные суммы денег затрачиваются на то, чтобы не обеспечивать безопасность, а порождать у людей ложное чувство безопасности, которое — строго говоря — ничем не обосновано…

Если же пояснить суть этих выводов чуть более подробно, то комиссия ученых, инженеров и других специалистов, на протяжении пяти лет проводившая данное исследование, пришла к заключению, что биометрическое опознание не только «ненадежно по своей сути» (inherently fallible), но также сильнейшим образом нуждается в фундаментальных научных исследованиях относительно биологических основ технологий, выявляющих различия между людьми.

Читать ««Ненадежна по своей сути»» далее

Posted on

Есть чем гордиться?

(Ноябрь 2009)

В конце октября (2009) прошло несколько приметных международных форумов, посвященных технологиям безопасности вообще и биометрии в частности. В речах с высоких трибун на подобных конференциях обычно можно услышать любопытные факты о текущем состоянии дел в индустрии.

biometrics

Для сбалансированной оценки всякого процесса, ясное дело, полезно узнать не только о масштабах роста, ярких достижениях и прочем позитиве, но и о ситуации с бесперспективными или тупиковыми направлениями. Однако победных реляций, впрочем, тут всегда несоизмеримо больше.

Так, на прошедшей в Лондоне конференции Biometrics 2009 директор компании Biostore Э. Дэррок (Alasdair Darroch) рассказал о том, сколь мощно оснащаются ныне биометрической техникой британские школы.

Компания Biostore специализируется на поставке биометрических средств опознания в образовательные учреждения и с гордостью сообщает, что ныне ее сканеры отпечатков пальцев и соответствующие базы учета внедряются в школах на самых разных участках — от библиотек и учета посещений занятий до системы общественного питания и доступа к принтерам или копировальной технике. В целом же, по свидетельству докладчика, биометрические средства контроля развернули уже около 10% английских школ.

Читать «Есть чем гордиться?» далее

Posted on

Автомобиль как компьютер: угрозы и риски

(Май 2016)

auto_hacking

Угроза национальной безопасности

В апреле нынешнего года городу Детройту – как столице автопромышленности США – довелось принимать у себя Всемирный конгресс международного Общества автомобильных инженеров. Среди же основных докладов на этом форуме наиболее неожиданным для всех, вероятно, оказалось выступление «человека со стороны» – заместителя Генерального прокурора США Джона Карлина, отвечающего за вопросы национальной безопасности.

Как это ни странно, но речь высокого госчиновника была действительно посвящена автомобилям. Точнее, множеству связанных в сеть компьютеров на борту всякой современной автомашины. А еще точнее, тому, что каждая такая мобильная сеть, находясь на трассе, постоянно поддерживает ныне сложные беспроводные коммуникации с другими компьютерными сетями и участниками движения. А потому риски массового и злонамеренного хакинга подобных систем возрастают многократно – вплоть до масштабов серьезной потенциальной угрозы для безопасности государств…

В качестве особо подходящего фона для этого выступления надо упомянуть, что буквально накануне, в марте 2016, с весьма похожими по сути обращениями уже выступили ФБР и федеральные законодатели из Конгресса США. Но только обращались они не к автомобильным инженерам, а к существенно иным аудиториям.

Совместная публикация ФБР и NHTSA (Администрации по безопасности движения на национальных автотрассах США) была предназначена для широкой общественности в целом. Этот документ не только в развернутой форме предупредил всех автоводителей об актуальности рисков автомобильного хакинга, но и дал целый ряд практических рекомендаций по защите компьютерной начинки машин. Что же касается законодателей из американского Конгресса, то от сенаторов прозвучали специальные послания для капитанов автоиндустрии – с призывом к ним и к их акционерам начать уделять повышенное внимание проблемам укрепления кибербезопасности машин.

Сопоставляя все эти три выступления, несложно, наверное, сообразить, что столь характерная синхронность в действиях сразу трех ветвей власти – судебной, исполнительной и законодательной – наверняка не может быть случайностью. Как показывает опыт предыдущих подобных реакций, причиной является, скорее всего, какой-то внутренний секретный отчет, подготовленный аналитиками спецслужб или специально учрежденной комиссии, а затем разосланный для ознакомления по высоким инстанциям.

Обычно сам факт существования и содержание подобного рода аналитических отчетов перестают быть тайной лишь много лет спустя, когда их рассекречивают по запросам озабоченной и что-то проведавшей общественности. Однако именно в данном случае история проблемы складывалась так, что восстановить объективную картину вполне возможно и прямо сейчас – с опорой на достоверную открытую информацию.

Читать «Автомобиль как компьютер: угрозы и риски» далее

Posted on

Как в кино

(Июль 2009)

11sept01

На протяжении ряда последних лет Брюс Шнайер, часто цитируемый околокомпьютерной прессой гуру по безопасности, в международный день дураков 1 апреля проводит на своем сайте открытые конкурсы на лучший «киношный заговор».

Одна из целей этого поучительного развлечения — спародировать методы некоторых спецслужб, которые вместо «скучной» работы с реальными рисками то и дело изобретают мифические угрозы, зачастую весьма экзотического толка, а затем тратят на их предотвращение кучу собственных сил и средств, не говоря о нервной энергии простых граждан.

С другой стороны, все знают (да и Шнайер сам с готовностью признает), что в реальной жизни нередко случаются истории столь колоритные, что любая из них отлично впишется в кинокартины с остроприключенческим или полуфантастическим сюжетом. И дабы не ходить далеко за подтверждающими это примерами, достаточно привести три события из июльской ленты новостей (2009 года).

Читать «Как в кино» далее

Posted on

О процессе принятия AES [продолжение]

(Декабрь 1999)

Хронологически вторая статья о самом значительном событии в мировой криптографии на рубеже XX-XXI веков. Начало см. тут.

stand-crypto

Процессу AES или Advanced Encryption Standard – как коллективной инициативе по созданию «шифра 21 века» – скоро исполняется три года. Все это время работа над созданием «передового стандарта шифрования» ведется совместными усилиями NIST (Национального института стандартов США, где инициатива родилась), ИТ-промышленности и мирового криптографического сообщества.

Официальная цель работы – разработать Федеральный стандарт на обработку информации (FIPS), определяющий алгоритм шифрования, который будет способен защищать важную, но несекретную правительственную информацию на значительном протяжении следующего столетия.

Как показывает опыт с DES, предыдущим стандартом такого рода, данный алгоритм будет использоваться не только правительством США, но также и американским частным сектором вкупе с финансовыми, промышленными и частными пользователями всего мира.

Читать «О процессе принятия AES [продолжение]» далее

Posted on

Отрицание и обман

(Май 2016)

Конфликт между Apple и ФБР США из-за сильной криптографии в смартфонах приобрел занятный оборот. Увлекшись напусканием секретности и тумана, в руководстве ФБР вдруг поняли, что запутались в собственных иносказаниях.

apple-master

Раскрыть нельзя ничего

Суть истории, которую власти США в данном случае сообщают публике через СМИ, сводится к единственной фразе: «Для получения доступа к смартфону преступника, устроившего стрельбу в Сан-Бернардино, по информации от нескольких неназываемых источников, некие нераскрываемые умельцы помогли ФБР своей неразглашаемой технологией хакинга»…

Иначе говоря, правительство решило здесь скрыть по сути все существенное. Но при этом, даже окружив столь резонансное дело мощными стенами секретности и умолчаний (что законы спецслужбам позволяют), органы все равно не удержались от вранья. И в своих попытках скрыть реальную историю вскрытия запустили в прессу сразу несколько разных слухов, которые явно противоречат друг другу.

Всякий раз, когда анонимные источники из осведомленных сфер сливают журналистам некие интересные новые сведения, то заранее никогда не скажешь, что это такое – утечка или запуск дезинформации. Реальная картина становится яснее лишь впоследствии, при сопоставлении слитых данных с подлинными документами и надежно установленными фактами.

Именно вот этим, собственно, мы сейчас и займемся. Максимально четко проводя линию раздела – где тут факты, а где просто слухи и домыслы. Лишь этого одного оказывается уже достаточно, чтобы ясно увидеть, где конкретно в историю подмешана очевидная ложь. А увидев, можно понять кое-что важное.

Читать «Отрицание и обман» далее

Posted on

Пища для размышлений

(Апрель 2016)

Эту военную технику именуют по-разному. Одни говорят о роботах-убийцах, другие предпочитают термин «системы летальных автономных вооружений». Но как бы это ни называлось, угрозы нового оружия для человечества уже очень серьезны.

Robot-at-war

В середине апреля этого года, в Женеве под эгидой ООН прошла третья «неофициальная встреча экспертов» по проблемам и вопросам вокруг полностью автоматизированных военных систем, способных убивать людей самостоятельно.

Для того, чтобы стало сразу понятно, сколь серьезно воспринимаются ныне такие проблемы, достаточно отметить, что среди специалистов роботы-убийцы расцениваются как «третья великая революция» в военном деле. То есть речь идет о технологии уничтожения, по значимости сравнимой лишь с изобретением пороха и ядерного оружия.

Читать «Пища для размышлений» далее