Страсти Галилейские

(Март 2002)

galileo

Не замечать происходящего нет никакой возможности. Голливуд поделил планету на «зоны» и пытается диктовать всему миру, когда (где и какие) фильмы положено смотреть в кинотеатрах, а когда — на DVD. Американские политики определяют, в каких частях планеты люди живут неправильно, а Пентагон пытается привить недоразвитым государствам любовь к демократии с помощью бомбежек и крылатых ракет. Министерство юстиции США настойчиво норовит распространить действие странноватых, мягко говоря, американских законов на  территорию практически любой суверенной страны — и агенты ФБР отправляются для ареста местных хакеров в Британию, Норвегию или на Филиппины…

Перечень этот можно продолжать долго, но и без него картина достаточно понятная. Имеется империя, уже до безобразия развращенная собственной силой и властью, и есть весь остальной мир, вынужденный до поры до времени с этим мириться. Будь то ради союзнического долга, по причине ощутимой экономической зависимости или просто во имя спокойной и сытой жизни.

Но все же степень терпимости не беспредельна, и пока что изредка (а из-за американской беспардонности все чаще) лагерь даже бесспорно  дружественных к США государств начинает демонстрировать здоровое стремление к независимости и самостоятельности. Ярким тому примером стали нынешние события, когда Европейский Союз в самых решительных выражениях отверг указания Вашингтона по поводу целесообразности сворачивания проекта Galileo — запланированной в Европе собственной, альтернативной GPS, спутниковой системы глобальной навигации.

Читать далее Страсти Галилейские

Оптический обман

(Июнь 2002)

optical-attack

На прошедшем в Окленде, Калифорния, симпозиуме IEEE по приватности и безопасности был представлен метод вскрытия смарт-карт и защищенных микроконтроллеров, получивший название «optical fault induction attack» («атака оптическим индуцированием сбоев», https://www.cl.cam.ac.uk/~sps32/ches02-optofault.pdf).

Это совершенно новый класс атак, разработанный в Компьютерной лаборатории Кембриджского университета аспирантом Сергеем Скоробогатовым (выпускником МИФИ 1997 года) и его руководителем Россом Андерсоном (Ross Anderson).

Суть метода в том, что сфокусированное освещение конкретного транзистора в электронной схеме стимулирует в нем проводимость, чем вызывается кратковременный сбой. Такого рода атаки оказываются довольно дешевыми и практичными, для них не требуется сложного и дорогого лазерного оборудования. Например, сами кембриджские исследователи в качестве мощного источника света использовали фотовспышку, купленную в магазине подержанных товаров за 30 долларов.

Для иллюстрации мощи новой атаки была разработана методика, позволяющая с помощью вспышки и микроскопа выставлять в нужное значение (0 или 1) любой бит в SRAM-памяти микроконтроллера. Методом «оптического зондирования» (optical probing) можно индуцировать сбои в работе криптографических алгоритмов или протоколов, а также вносить искажения в поток управляющих команд процессора.

Читать далее Оптический обман

«Ненадежна по своей сути»

(Октябрь 2010)

Вокруг технологии биометрического опознания в очередной раз разгорелся нешуточный спор. На этот раз схлестнулись наука и коммерция.

Biometrsq

В последних числах сентября (2010) Национальный исследовательский совет США (это такой объединенный рабочий орган американских Академии наук, Академии инжиниринга и национального Института медицины) опубликовал большой — почти на две сотни страниц — отчет, анализирующий современное состояние дел с биометрией.

Главные итоги этого документа, озаглавленного «Биометрическое опознание: вызовы и возможности» (ознакомиться можно тут — http://www.nap.edu/read/12720/), сводятся к весьма критическим выводам о возможностях тех биометрических технологий, что уже получили широчайшее распространение в самых разнообразных приложениях средств безопасности.

Если излагать суть этих выводов предельно кратко и популярно, то можно сказать так.

Благодаря гангстерским фильмам, полицейским ТВ-сериалам и шпионским триллерам, в народе обычно принято полагать, будто отпечатки пальцев и прочие биометрические средства опознания являются полностью и абсолютно надежными. В реальности, однако, все эти средства вовсе не таковы и никогда таковыми не были.

Причем очень мало кто из инженеров, реально занимающихся созданием такого рода биометрических инструментов, хоть когда-нибудь провозглашал что-либо подобное.

Тем не менее, миф о надежности биометрии остается чрезвычайно устойчивым — как среди публики в целом, так и особенно среди официальных лиц, принимающих важные решения с далеко идущими последствиями.

В итоге же огромные суммы денег затрачиваются на то, чтобы не обеспечивать безопасность, а порождать у людей ложное чувство безопасности, которое — строго говоря — ничем не обосновано…

Если же пояснить суть этих выводов чуть более подробно, то комиссия ученых, инженеров и других специалистов, на протяжении пяти лет проводившая данное исследование, пришла к заключению, что биометрическое опознание не только «ненадежно по своей сути» (inherently fallible), но также сильнейшим образом нуждается в фундаментальных научных исследованиях относительно биологических основ технологий, выявляющих различия между людьми.

Читать далее «Ненадежна по своей сути»

Есть чем гордиться?

(Ноябрь 2009)

В конце октября (2009) прошло несколько приметных международных форумов, посвященных технологиям безопасности вообще и биометрии в частности. В речах с высоких трибун на подобных конференциях обычно можно услышать любопытные факты о текущем состоянии дел в индустрии.

biometrics

Для сбалансированной оценки всякого процесса, ясное дело, полезно узнать не только о масштабах роста, ярких достижениях и прочем позитиве, но и о ситуации с бесперспективными или тупиковыми направлениями. Однако победных реляций, впрочем, тут всегда несоизмеримо больше.

Так, на прошедшей в Лондоне конференции Biometrics 2009 директор компании Biostore Э. Дэррок (Alasdair Darroch) рассказал о том, сколь мощно оснащаются ныне биометрической техникой британские школы.

Компания Biostore специализируется на поставке биометрических средств опознания в образовательные учреждения и с гордостью сообщает, что ныне ее сканеры отпечатков пальцев и соответствующие базы учета внедряются в школах на самых разных участках — от библиотек и учета посещений занятий до системы общественного питания и доступа к принтерам или копировальной технике. В целом же, по свидетельству докладчика, биометрические средства контроля развернули уже около 10% английских школ.

Читать далее Есть чем гордиться?

Автомобиль как компьютер: угрозы и риски

(Май 2016)

auto_hacking

Угроза национальной безопасности

В апреле нынешнего года городу Детройту – как столице автопромышленности США – довелось принимать у себя Всемирный конгресс международного Общества автомобильных инженеров. Среди же основных докладов на этом форуме наиболее неожиданным для всех, вероятно, оказалось выступление «человека со стороны» – заместителя Генерального прокурора США Джона Карлина, отвечающего за вопросы национальной безопасности.

Как это ни странно, но речь высокого госчиновника была действительно посвящена автомобилям. Точнее, множеству связанных в сеть компьютеров на борту всякой современной автомашины. А еще точнее, тому, что каждая такая мобильная сеть, находясь на трассе, постоянно поддерживает ныне сложные беспроводные коммуникации с другими компьютерными сетями и участниками движения. А потому риски массового и злонамеренного хакинга подобных систем возрастают многократно – вплоть до масштабов серьезной потенциальной угрозы для безопасности государств…

В качестве особо подходящего фона для этого выступления надо упомянуть, что буквально накануне, в марте 2016, с весьма похожими по сути обращениями уже выступили ФБР и федеральные законодатели из Конгресса США. Но только обращались они не к автомобильным инженерам, а к существенно иным аудиториям.

Совместная публикация ФБР и NHTSA (Администрации по безопасности движения на национальных автотрассах США) была предназначена для широкой общественности в целом. Этот документ не только в развернутой форме предупредил всех автоводителей об актуальности рисков автомобильного хакинга, но и дал целый ряд практических рекомендаций по защите компьютерной начинки машин. Что же касается законодателей из американского Конгресса, то от сенаторов прозвучали специальные послания для капитанов автоиндустрии – с призывом к ним и к их акционерам начать уделять повышенное внимание проблемам укрепления кибербезопасности машин.

Сопоставляя все эти три выступления, несложно, наверное, сообразить, что столь характерная синхронность в действиях сразу трех ветвей власти – судебной, исполнительной и законодательной – наверняка не может быть случайностью. Как показывает опыт предыдущих подобных реакций, причиной является, скорее всего, какой-то внутренний секретный отчет, подготовленный аналитиками спецслужб или специально учрежденной комиссии, а затем разосланный для ознакомления по высоким инстанциям.

Обычно сам факт существования и содержание подобного рода аналитических отчетов перестают быть тайной лишь много лет спустя, когда их рассекречивают по запросам озабоченной и что-то проведавшей общественности. Однако именно в данном случае история проблемы складывалась так, что восстановить объективную картину вполне возможно и прямо сейчас – с опорой на достоверную открытую информацию.

Читать далее Автомобиль как компьютер: угрозы и риски

Как в кино

(Июль 2009)

11sept01

На протяжении ряда последних лет Брюс Шнайер, часто цитируемый околокомпьютерной прессой гуру по безопасности, в международный день дураков 1 апреля проводит на своем сайте открытые конкурсы на лучший «киношный заговор».

Одна из целей этого поучительного развлечения — спародировать методы некоторых спецслужб, которые вместо «скучной» работы с реальными рисками то и дело изобретают мифические угрозы, зачастую весьма экзотического толка, а затем тратят на их предотвращение кучу собственных сил и средств, не говоря о нервной энергии простых граждан.

С другой стороны, все знают (да и Шнайер сам с готовностью признает), что в реальной жизни нередко случаются истории столь колоритные, что любая из них отлично впишется в кинокартины с остроприключенческим или полуфантастическим сюжетом. И дабы не ходить далеко за подтверждающими это примерами, достаточно привести три события из июльской ленты новостей (2009 года).

Читать далее Как в кино

О процессе принятия AES [продолжение]

(Декабрь 1999)

Хронологически вторая статья о самом значительном событии в мировой криптографии на рубеже XX-XXI веков. Начало см. тут.

stand-crypto

Процессу AES или Advanced Encryption Standard – как коллективной инициативе по созданию «шифра 21 века» – скоро исполняется три года. Все это время работа над созданием «передового стандарта шифрования» ведется совместными усилиями NIST (Национального института стандартов США, где инициатива родилась), ИТ-промышленности и мирового криптографического сообщества.

Официальная цель работы – разработать Федеральный стандарт на обработку информации (FIPS), определяющий алгоритм шифрования, который будет способен защищать важную, но несекретную правительственную информацию на значительном протяжении следующего столетия.

Как показывает опыт с DES, предыдущим стандартом такого рода, данный алгоритм будет использоваться не только правительством США, но также и американским частным сектором вкупе с финансовыми, промышленными и частными пользователями всего мира.

Читать далее О процессе принятия AES [продолжение]