Архив рубрики: Риски компьютерных систем

Активность на уровне тюрьмы

(Август 2011)

Среди обильного урожая плодов, порожденных компьютерным супер-червем Stuxnet, ныне обозначилась еще и реальная угроза для охраны мест заключения. Но хотя проблема налицо – к ответственности привлекать некого. Как обычно в подобных делах.

Хакерская конференция DefCon, каждый август проходящая в Лас-Вегасе, по давно сложившейся традиции устраивается в тандеме с более пестрым форумом Black Hat USA. Хотя и докладчики, и участники на этих двух мероприятиях естественным образом пересекаются, тематика DefCon значительно четче ориентирована на интересы государственных ведомств.

Среди выступлений нынешней, 19-й по счету, конференции 7 августа (2011) ожидается доклад на весьма редкую тему – о недавно выявленных серьезнейших слабостях ИТ-систем, обеспечивающих безопасность тюрем и прочих исправительных учреждений. Доклад делает весьма солидный исследовательский коллектив авторов, многие годы работающих в области обеспечения физической и инфотехнологической безопасности для государственных учреждений США.

Результаты докладываемой на форуме работы имеют самое непосредственное отношение к компьютерному червю Stuxnet, поскольку заложенные в эту вредоносную программу идеи и возможности с равным успехом можно применять, как выясняется, не только против иранской ядерной программы, но и против электронной техники, обеспечивающей безопасность практически всех американских тюрем.

Но прежде, чем переходить к содержательной части этого познавательного доклада, имеет смысл обратить внимание на два довольно загадочных «шпионских» сюжета, почти никак, казалось бы, не связанных с данной темой.

Читать далее Активность на уровне тюрьмы

RFID многоликая

(Ноябрь 2003)

Первая часть большой подборки материалов – о массовом приходе в нашу жизнь технологии RFID.

rfid-hall

В ноябре 2003 года почти одновременно в разных точках планеты прошли два независимых друг от друга мероприятия, тесно связанных, тем не менее, единым предметом обсуждения.

Сначала, 15 ноября в Массачусетском технологическом институте, США, прошел семинар «RFID и приватность» (от RadioFrequency IDentification — технология радиочастотной идентификации), в дискуссиях которого приняли участие ученые-разработчики, представители продвигающих технологию компаний, правозащитники и журналисты. Подобный научно-практический семинар организован впервые, однако актуальность его очевидна практически для всех, кто понимает, сколь серьезную угрозу тайне личной жизни представляют новейшие технологии бесконтактной идентификации и базы данных на этой основе.

Всего несколькими днями позже, 20-21 ноября, по другую сторону Атлантики, в парижском отеле «Шарль де Голль» состоялся большой международный конгресс ID World 2003. Под общим девизом «Революция идентификации в реальном и цифровом мирах» участники форума обсуждали достижения и перспективы бурно развивающихся ныне технологий RFID, биометрии, смарт-карт, а также в целом сбор информации на основе этих технологий.

Поскольку оба форума прошли практически в одно время, прежде всего бросилось в глаза то, сколь по-разному оценивают технологию бизнес-круги в зависимости от места, где она обсуждается.

На семинаре в МТИ много выступали правозащитники, рассказывавшие о лицемерии, двуличности и лжи, сопровождающих внедрение новых технологий идентификации. А представители бизнеса, в свою очередь, напирали на то, сколь сильно преувеличивают неспециалисты опасности чипов идентификации, сколь слабым и подверженным помехам является излучение RFID, как много способов сделать чип бездействующим и сколь легко его блокируют всякие материалы — от жидкостей и человеческого тела до пластмасс и фольги.[1]

Ну, а на парижском конгрессе ID World доклады рисовали совсем другую захватывающую картину: победного шествия новаций едва ли не во всех мыслимых сферах — от торговли и учета производства до охраны объектов.

rfid-tags

Читать далее RFID многоликая

Из хроники хайтек-паспортизации

Подборка кратких новостей за период 2004-2006 гг. — о хитростях и проколах в повсеместном внедрении новых удостоверений личности с чипами и биометрией.

passports-w-biometr

Все страньше и страньше

(Сентябрь 2004)

Эпопея с обязательным включением биометрической идентифицирующей информации в документы всех лиц, пересекающих границы США, получила новый, несколько неожиданный оборот. Госдепартамент США завершил в августе рассмотрение всех вариантов «биометрической» модификации новых американских загранпаспортов и принял решение в пользу наименее надежного из всех вариантов – опознания личности по лицу.

Читать далее Из хроники хайтек-паспортизации

Консервирование скоропортящихся продуктов

(Март 2002)

О попытках решения крайне нетривиальной проблемы – как обеспечить долгосрочное хранение информации в цифровую эпоху.

«Капсула времени», заложенная в 2000 г. в Нью-Йоркском музее естественной истории и среди прочего содержащая диск HD-Rosetta

 

Повальная  компьютеризация нашей жизни и тотальный перевод в цифровую форму всего, что поддается оцифровке, — эти человеческие порывы становятся, похоже, наиболее характерной особенностью эпохи высоких технологий. Причем предпринимаются такого рода шаги (как правило) весьма торопливо, беспорядочно и спонтанно, без критического осмысления уже накопленного опыта и тщательных оценок возможных будущих последствий.

К счастью, вынесенная в скобки ремарка чрезвычайно важна,  поскольку ныне «правила» начинают понемногу изменяться, и все больше людей проникаются важностью идеи обеспечения долговечного хранения оцифрованной информации.

Так, в Великобритании первая неделя весны (2002 г) ознаменовалась рождением межведомственной «Коалиции цифровой сохранности» или кратко DPC (Digital Preservation Coalition) — первой общенациональной организации, поставившей перед собой цель «обеспечить, чтобы порождаемая нами цифровая информация не утрачивалась для нынешнего и будущих поколений».

Среди главных организаторов Коалиции можно упомянуть государственный архив страны Public Record Office (PRO), Британскую библиотеку, Лондонский университет и Объединенный комитет по информационным системам образовательных учреждений (JISC). А одним из важнейших побудительных стимулов к созданию DPC стал фактический крах крупномасштабного мультимедийно-компьютерного проекта 16-летней давности под названием «BBC Domesday Project».

Читать далее Консервирование скоропортящихся продуктов

Смарт-карты: что показало вскрытие

(Сентябрь 2003)

Обзор методов взлома «самой безопасной» компьютерной технологии – как финал большой трехчастевой подборки материалов о защите платного ТВ (другие части см. тут: текст 1, текст 2).

camtamper

Индустрия смарт-карт переживает ныне период мощного расцвета. В 2002 году по всему миру было продано чуть меньше 2 миллиардов интеллектуальных карточек со встроенным микрочипом, а в ближайшие годы ожидается рост этих цифр в разы.

Причины тому просты, коль скоро области применения смарт-карт все время расширяются: от телефонной карты до жетона аутентификации пользователя ПК, от «электронного кошелька» для хранения цифровых наличных и до цифрового паспорта-идентификатора граждан.

Массовое внедрение смарт-карт в повседневную жизнь сопровождается непременными заверениями официальных представителей индустрии о том, что чип-карты – это наиболее безопасная из существующих на сегодня технологий, их, де, очень сложно, практически невозможно вскрывать. Однако так ли обстоят дела на самом деле?

Типичная смарт-карта – это 8-битный микропроцессор, постоянное запоминающее устройство или (ROM), оперативная память (RAM), электрически перепрограммируемая память (EEPROM или FLASH, где, в частности хранится криптографический ключевой материал), последовательные вход и выход. Все это хозяйство размещается в одном чипе, заключенном в корпус – обычно, пластиковую карту размером с кредитку.

Нравится это кому-то или нет, но вскрытие смарт-карт – явление весьма давнее и распространенное повсеместно. Как свидетельствуют специалисты, примерно с 1994 года практически все типы смарт-карточных чипов, использовавшихся, к примеру, в европейских, а затем в американских и азиатских системах платного ТВ, были успешно вскрыты кракерами методами обратной инженерной разработки.

Скомпрометированные секреты карт – схема и ключевой материал – затем продавались на черном рынке в виде нелегальных клон-карт для просмотра закрытых ТВ-каналов без оплаты компании-вещателю. Меньше освещенной в прессе остается такая деятельность, как подделка телефонных смарт-карт или электронных кошельков, однако известно, что и в этой области далеко не все в порядке с противодействием взлому.

Индустрии приходится регулярно заниматься обновлением технологий защиты процессора смарт-карт, кракеры в ответ разрабатывают более изощренные методы вскрытия, так что это состязание еще далеко не закончено.

Смарт-карты в своих потенциальных возможностях имеют целый ряд очень важных преимуществ в сравнении с другими технологиями. Обладая собственным процессором и памятью, они могут участвовать в криптографических протоколах обмена информацией, и, в отличие от карточек с магнитной полоской, здесь хранимые данные можно защищать от неавторизованного доступа.

Беда лишь в том, что реальная стойкость этой защиты очень часто переоценивается. Далее будет представлен краткий обзор наиболее важных технологий, используемых при вскрытии смарт-карт.

Эта информация важна для любого человека, желающего получить реальное представление о том, как происходит вскрытие защищенных устройств и каких затрат это стоит. Естественно, тщательное изучение применяемых методов вскрытия позволяет вырабатывать адекватные контрмеры и создавать намного более эффективную защиту смарт-карт.

Читать далее Смарт-карты: что показало вскрытие

Мета-организм и его здоровье

(Июль 2016)

Эта концепция пока еще не получила у человечества ни сколь-нибудь целостного осмысления, ни даже общепринятого собственного наименования. Одни называют это Холосом, другие – «всемирным роботом». Третьи предпочитают какие-то еще словесные конструкции, подчеркивающие те или иные особенности глобального, но пока что лишь нарождающегося инфотехнологического феномена.

1-IoT

Соответственно, и рассказывать об этом многогранном явлении можно тоже очень по-разному. В частности, с точки зрения компьютерной (не)безопасности системы. О рисках и уязвимостях такой незримой системы, которая начинается от базовых бытовых вещей, окружающих людей в повседневной жизни, а заканчивается на уровне единой всемирной сети, уже охватившей планету в целом…

В начале лета этого года Федеральная торговая комиссия США, ведающая в государстве вопросами регулирования коммерции, направила Министерству торговли особый меморандум, посвященный большим проблемам с безопасностью и защитой информации в системах Internet of Things, то есть в «Интернете Вещей» (IoT или ИнВ). Под этим названием, как известно, принято понимать широчайший спектр всевозможных электронных устройств, подсоединенных к глобальной сети ради расширения их общей функциональности и наращивания искусственного интеллекта.

И коль скоро тема угроз и уязвимостей в ИнВ считается ныне весьма горячей, попутно вышло так, что меморандум государственно-коммерческих структур США оказался обрамлен выступлениями двух высокопоставленных руководителей американских разведслужб. Которые, что очевидно из речей боссов, тоже активно занимаются изучением перспектив на этом направлении, причем с нарастающим интересом.

Читать далее Мета-организм и его здоровье

Мобильная самозащита

(Март 2004)

Дурак говорит, мудрый человек слушает. [Африканская пословица]

pict

Насколько сотовый телефон может быть опасен для жизни и здоровья его владельца? Даже никак не касаясь крайне мутной, плохо пока еще изученной области микроволновых воздействий на организм и степени их вредности, специалисты выделяют по меньшей мере пять мест, в которых мобильный телефон имеет смысл отключать (см. http://www.cellphonesafety.info).

Место #1: в самолете. Теоретически имеется шанс просто свалиться с неба, поскольку излучение телефона может фатально повлиять на работоспособность бортовых электронных систем. На практике известно несколько авиакатастроф, основной причиной которых предполагается не вовремя затеянный разговор по сотовой связи.

Место #2: на автозаправочной станции. Если у людей обычно хватает благоразумия не курить и не зажигать спички на бензоколонках, то разговоры по мобильной связи многими не воспринимаются как нечто опасное. Хотя минздрав и тут предупреждает — лучше не болтать, иначе, при неудачном стечении обстоятельств,  все может взорваться к чертовой матери.

Место #3: в больницах. Здесь здоровью владельца телефона (если он / она — не пациент) ничего не угрожает, но от беспечного использования аппарата могут пострадать жизни других людей. Известны случаи, когда из-за сотовых телефонов отключались системы поддержания жизнедеятельности в реанимационных отделениях. В других случаях отключается соображение у врачей, как в Гонконге, к примеру, где некий хирург и его больной попали в серьезнейшие неприятности, поскольку в процессе сложной операции доктор чересчур увлекся посторонним разговором по мобильнику.

Место #4: за рулем автомобиля. Водитель, болтающий по приложенному к уху сотовому телефону, — хуже пьяного. Это экспериментально установленный факт. Специально проведенные в Британии исследования показали, что у занятого телефонным разговором шофера оказываются более медленная реакция, большее время на остановку и больше незамеченных дорожных знаков, чем у водителей в реально наказуемой для этой страны степени опьянения. По данным канадских врачей, количество смертельных исходов при дорожных авариях в четыре раза выше в тех случаях, когда водитель в момент произошедшего разговаривал по сотовому телефону.

Места #5: в кино, театре, тихом ресторане и прочих подобных заведениях. Здесь любители шумно общаться по телефону все чаще просто рискуют элементарно получить по морде. Сотрудники больниц свидетельствуют, что у них явно растет количество пациентов, обращающихся за медицинской помощью с подбитым глазом или сломанным ребром — как результатами эмоциональных разборок на почве пользования мобильником в неподобающем месте.

Такое социальное явление, как “ярость от сотовых телефонов” понемногу обретает формы чуть ли не самостоятельного общественного движения. Чтобы убедиться в этом, достаточно в окне запроса поисковой интернет-системы ввести соответствующие слова — “cell phone rage”. Система даст ссылки на огромное количество сайтов, посвященных этой проблеме и методам борьбы — коллективным и индивидуальным —с “напастью” сотовых телефонов, используемых не в том месте и не в то время.

Читать далее Мобильная самозащита