Рубрика: Хакинг и хакеры

Posted on

Надежно ли защищены смарт-карты?

(Март 1999)

Одна из наиболее ранних публикаций о крипто-хакинге и обратной инженерной разработке микрочипов.

Smart-cards

По прогнозам фирмы Dataquest, рынок смарт-карт ожидает значительный скачок от нынешних 941 миллиона карт в год до 4,7 миллиардов в 2002 г.

Смарт-карта – инженерно-техническое устройство размером с кредитную карточку, которое содержит миниатюрный компьютерный чип и используется для самых разнообразных целей: от аутентификации пользователя ПК, хранения его криптографических ключей, шифрования электронной почты и вплоть до хранения так называемых «цифровых наличных».

При этом, как достаточно уверенно заявляют официальные представители смарт-картной индустрии,

«чип-карты являются наиболее безопасной из существующих технологий. Их очень сложно вскрывать».

Но так ли это на самом деле?

Читать «Надежно ли защищены смарт-карты?» далее

Posted on

«Том и Джерри» эры спутникового ТВ

(Февраль 2001)

tomandjerry

В двадцатых числах января (2001) сразу несколько крупных компаний спутникового телевидения нанесли массированные «удары возмездия» по пиратским приемникам-телеприставкам, позволяющим их владельцам смотреть все передачи бесплатно.

Две крупнейших американских фирмы DirecTV и Echostar Dish Network, а также испанская Canal Satelite Digital практически одновременно применили против пиратов так называемые «электронные контрмеры» или ЭКМ (electronic countermeasure, ECM), то есть дистанционные средства активного воздействия на аппаратуру, обычно рассматривающиеся лишь как сугубо военное «информационное оружие».

Читать ««Том и Джерри» эры спутникового ТВ» далее

Posted on

Филантро-капитализм как хакинг системы

(Декабрь 2015)

Если у кого-то заводится очень много денег, то и применение для них находится весьма разнообразное. Особо интересно, когда миллиардеры-филантропы начинают менять базовые основы социально-экономического устройства.

new-philantropy

Когда в первый день декабря 2015 счастливые и о-очень богатые молодые родители, Марк Цукерберг и Присцилла Чан, объявили о крайне необычном подарке для своей новорожденной дочки Макс, реакция интернета и мира на новость оказалась не только бурно эмоциональной, но и гигантски различающейся в оценках.

Казалось бы, ну как вообще можно выражать недовольство, когда счастливая чета миллиардеров объявляет, что решила раздать на благотворительность чуть ли не все свое состояние – 99% имеющихся у них акций корпорации Facebook. Особенно, если учесть, что по нынешним рыночным ценам этот пакет акций стоит астрономические деньги – около 45 миллиардов долларов…

И действительно, не только среди множества простых людей, но и весьма знаменитых богачей – включая миллиардеров Билла Гейтса и бывшего мэра Нью-Йорка Майкла Блумберга – столь щедрый жест доброй воли вызвал неподдельное восхищение и самые положительные отклики.

Но с другой стороны, сразу же нашлось немало и таких людей, которые восприняли известие крайне скептически, тут же начав искать скрытые мотивы и корыстные намерения. Предложив, для начала, повнимательнее присмотреться к тому, что именно объявили Марк и Присцилла, и в каких именно формах они собираются реализовать свои широко объявленные планы.

Читать «Филантро-капитализм как хакинг системы» далее

Posted on

Проблема одна — итоги разные

(Март 2007)

whitehat-hackers

В отличие от хакеров криминальных, осмысленно совершающих уголовно наказуемые деяния ради личного обогащения, существенно иной класс хакеров обычных состоит из вполне порядочных людей, занимающихся проблемами компьютерной безопасности по роду профессиональной деятельности и/или по зову сердца.

Но сколь бы разными ни были эти классы, все хакеры, как правило, знают о своем предмете несколько (или сильно) больше, чем остальные. А это многих крайне раздражает, особенно крупные корпорации, чья безопасность оказывается то и дело скомпрометирована каким-нибудь очередным хакерским исследованием.

Два заметных события, только что (2007 г.) произошедшие в США и связанные с работой «хакеров в законе», сильно похожи по существу, однако принципиально различаются по итоговому результату. О причине такого отличия будет сказано в конце, а сначала — о сути происходящего.

Знаменитая конференция Black Hat, традиционно собирающая специалистов по компьютерной безопасности в конце лета в Лас-Вегасе, в последние годы получила специфическое весеннее ответвление — Black Hat Federal. Как можно понять уже по названию, данный форум ориентирован, главным образом, на ИТ-специалистов федеральных органов власти США и организуется, соответственно, в столичном округе Колумбия, в непосредственной близости от Вашингтона.

Но, несмотря на столь солидную «крышу», уже ставшие традиционными для Black Hat громкие скандалы вокруг разоблачительных докладов хакеров теперь добрались из невадской пустыни и до столицы. Несколько лет назад, напомним, в Лас-Вегасе сотрудниками ФБР был арестован россиянин Дмитрий Скляров, делавший доклад о слабостях защиты электронных книг Adobe. В 2005 году корпорация Cisco Systems приложила все силы, чтобы сорвать выступление Майкла Линна (Michael Lynn) о выявленных им уязвимостях в «непробиваемой», якобы, операционной системе IOS.

Теперь же, на Black Hat Federal 2007, те же самые неприятности — с вырыванием соответствующих страниц о докладе из каталога конференции и изъятием сопутствующего CD с презентацией — постигли Криса Пэйджета (Chris Paget). Вся вина Пэйджета и небольшой фирмы IOActive, где он возглавляет подразделение исследований и разработок, заключалась в намерении развернуто продемонстрировать значительные слабости в так называемых proximity-картах транснациональной компании-гиганта HID Global.

HID-clones

Читать «Проблема одна — итоги разные» далее

Posted on

Конец эпохи

(Сентябрь 2010)

Криптосистема HDCP, защищающая от копирования контент высокой четкости, взломана полностью и окончательно. По сути, пал последний бастион «изначально дефективной» концепции DRM или Управления Цифровыми Правами.

hdcp-rip

На всю эту историю с тотальной компрометацией HDCP, чуть ли не последней «публично недовскрытой» технологии для защиты контента от копирования, ушло времени меньше недели.

В понедельник 13 сентября (2010) некий анонимный источник опубликовал на сайте Pastebin.com (http://pastebin.com/kqD56TmU) здоровенную матрицу чисел, представив ее как универсальный «мастер-ключ» для вскрытия HDCP.

А в четверг 16 сентября официальный представитель корпорации Intel, в свое время создавшей HDCP, честно признал, что опубликованный ключ действительно работает и в принципе позволяет снимать всю защиту, обеспечиваемую их системой. К великому неудовольствию Голливуда и прочих владельцев драгоценного медиа-контента высокой четкости.

Иными словами — по давно уже известной схеме — ИТ-индустрии в очередной раз пришлось невольно согласиться, что полностью надуманная, искусственно изобретенная «правообладателями» идея о техническом недопущении копирования информации является нежизнеспособной и реально воплощена быть не может.

Самое же поразительное в данном сюжете то, что при естественном ходе событий происходить он должен был бы не сегодня, а примерно лет 10 тому назад. Точнее, летом-осенью 2001 года.

Читать «Конец эпохи» далее

Posted on

Мокси, или жизнь как мыслепреступление

(Август 2015)

Рассказ о личности и делах интереснейшего человека – хакера и моряка, анархиста и криптографа – по имени Мокси Марлинспайк. При рождении сюда он получил от родителей совсем другое имя, но в мире стал широко известен именно под этим.

moxie-marlinspike-1

О людях, как известно, принято судить по их делам. А главное дело жизни Мокси – на протяжении вот уже многих последних лет – это компьютерные программы защиты информации, разрабатываемые в рамках организованного им коллективного предприятия Open Whisper Systems.

Программные продукты от Марлинспайка и его команды демонстрируют в себе весьма редкое – когда все это одновременно – сочетание таких качеств, как реально очень высокий уровень безопасности, удивительная простота применения сложной криптографии для обычных пользователей, плюс полностью открытый и действительно хорошо написанный код.

А также еще один немаловажный плюс – абсолютно свободная и бесплатная доступность криптоприложений для всех (ибо труд разработчиков финансируют добровольные пожертвования сообщества и гранты от заинтересованных состоятельных партнеров или единомышленников).

О достоинствах этих программ очень высоко отзываются самые авторитетные независимые эксперты в области защиты информации. Наиболее же кратко и ёмко, пожалуй, высказался по этому поводу небезызвестный человек по имени Эдвард Сноуден. Который неоднократно давал такой совет, когда его просили назвать действительно надежное и удобное в использовании средство криптозащиты:

«Используйте что угодно от Мокси Марлинспайка и его Open Whisper Systems».

Читать «Мокси, или жизнь как мыслепреступление» далее

Posted on

Спецтехника своими руками

(Август 2010)

Умельцы-хакеры создают из подручных средств оборудование, по своим ключевым характеристикам вполне соответствующее шпионской технике спецслужб. За исключением, разве что, стоимости аппаратуры.

chris-paget-defcon18

Группа голландских хакеров смастерила вполне работоспособный шпионский «дрон» или, пользуясь более официальной терминологией, «беспилотный летательный аппарат» для разведывательных целей. Для создания аппарата были использованы общедоступные комплекты деталей из магазинов типа «Умелые руки» и «Моделист-конструктор», а также программное обеспечение с открытыми кодами для авиационного автопилота Ardupilot, коллективно разрабатываемого энтузиастами в рамках проекта «Дроны своими руками» (http://diydrones.com/).

Построенный хакерами шпионский дрон получил название W.A.S.P., что, с одной стороны, по-английски можно прочитать как «оса» (логотип проекта), а конкретно в данном случае расшифровывается как Wifi Aerial Surveillence Platform, т.е «Платформа для воздушной разведки беспроводных сетей WiFi».

Исходной платформой для дрона послужила крупномасштабная радиоуправляемая модель советского истребителя МиГ 23 Flogger с электрическим приводом. По каким именно причинам хакеры остановили свой выбор конкретно на этой модели, точно неизвестно. Известно лишь то, что выбор этот вряд ли можно назвать естественным, коль скоро для поддержания данной модели в воздухе требуется немало энергии, а полет длится лишь довольно ограниченное время.

Но как бы там ни было, конструкторами реально продемонстрирована работоспособная разведывательная платформа, позволяющая организовывать дистанционное электронное и визуальное наблюдение с воздуха – при весьма небольших затратах средств и с минимальными рисками для шпионов. Все подробности об этом хакерском проекте можно найти в Сети на сайте конструкторов Rabbit-Hole (http://rabbit-hole.org/).

Еще несколько созвучных примеров – с весьма продвинутой шпионской техникой, которую ныне удается создавать при очень скромных финансовых вложениях – были продемонстрированы на недавней конференции BlackHat–DefCon в Лас-Вегасе. Здесь, в частности, один из докладчиков, Крис Пэйджет (Chris Paget), показал в действии собственную систему для прослушивания телефонных звонков и перехвата текстовых сообщений в сетях GSM, создание которой обошлось ему примерно в полторы тысячи долларов.

Читать «Спецтехника своими руками» далее

Posted on

О дроне в угоне

(Декабрь 2011)

Операцию Ирана по захвату новейшего стелс-дрона США можно, наверное, назвать «высшим пилотажем хакинга» – в самом прямом смысле этих слов.

RQ-170_iran-tv-2

На протяжении всего декабря 2011 года главной темой в непростых ирано-американских отношениях оказался эффектный захват иранцами разведывательного беспилотного самолета США. Или шпионского «дрона», как их все чаще становится принято называть. И поскольку данный сюжет содержит в себе очень существенный технический элемент, непосредственно связанный с компьютерным хакингом, явно имеет смысл рассказать об этой истории поподробнее.

Начиналось все с того, что в первых числах декабря иранское агентство новостей IRNA кратко сообщило об успехе вооруженных сил Ирана, которым удалось засечь и приземлить вторгшийся в страну самолет-разведчик США. Итогом же этой операции стал попавший в руки иранских военных шпионский дрон-«невидимка» RQ-170 Sentinel с минимальными повреждениями.

Американские власти, как это принято в шпионских делах, поначалу пытались все отрицать. Затем все же признали потерю RQ-170 – из-за отказа электроники в ходе его полета над территорией Афганистана. Однако если этот самолет и упал ненароком в Иране, то оставшуюся от него груду обломков иранцы просто пытаются использовать в своих пропагандистских целях.

Однако еще через несколько дней, 8 декабря, иранское государственное телевидение во время основного вечернего выпуска новостей показало заранее записанный видеоматериал – об осмотре высоким военным начальством захваченного дрона RQ-170 в практически целом состоянии. По случаю демонстрации самолет водрузили на пропагандистский постамент, декорированный антиамериканскими лозунгами и тканью в расцветках флага США, но с символами человеческих черепов вместо звезд.

Читать «О дроне в угоне» далее

Posted on

Пока риски не стали угрозами

(Август 2011)

Вместе с тем, как персональная медицинская техника становится все более умной и коммуникабельной, начинают ощутимо возрастать и риски хакинга подобных устройств.

Insulin-Pump

Если на двух независимых конференциях в существенно разных профессиональных областях незнакомые друг с другом исследователи почти синхронно делают доклады, посвященные изучению одной и той же проблемы, то – как минимум – на эту проблему имеет смысл обратить внимание и всем остальным. Тем более, что тема исследований непосредственно затрагивает самое дорогое, что есть у людей – их здоровье.

Суть конкретной проблемы, о которой идет речь, – это потенциальные уязвимости в безопасности персонального компьютерно-медицинского устройства под названием «инсулиновая помпа». Такого рода портативные аппараты, подсоединяемые к организму и почти постоянно носимые на теле людей, страдающих сахарным диабетом, ныне избавляют их обладателей от тяжких мучений. И вообще, делают жизнь куда более комфортной и полноценной для миллионов больных на планете.

В одних только США, к примеру, с весьма недешевыми инсулиновыми помпами ныне живут около 400 тысяч человек. А если взглянуть на цифры общего распространения этого заболевания в масштабах планеты, то по оценкам Международной диабетической ассоциации сейчас в мире насчитывается 285 миллионов диабетиков.

Что же касается ситуации в России, то по данным Всемирной организации здравоохранения, на сегодняшний день в стране 9,6 миллиона человек страдают от сахарного диабета, однако далеко не все из них (примерно двое из пяти) знают о своем диагнозе и встали на официальный учет.

Более того, технические проблемы, о которых пойдет здесь речь, касаются далеко не только диабетиков и их инсулиновых помп. Совершенно аналогичное положение дел характерно вообще для всех тех компьютерных медицинских устройств, которые за последние десятилетия в быстро нарастающих количествах применяют непосредственно на или даже в теле больных для постоянного мониторинга состояния и внесения необходимых коррективов в работу организма.

Особенно серьезными риски стали с той поры, когда подобную технику начали оснащать встроенными средствами радиосвязи.

Но удобнее все же рассмотреть проблему по частям.

Читать «Пока риски не стали угрозами» далее

Posted on

Э-выборы в Эст-Индии

(Май 2014)

Как и все прочие компьютеры, электронные системы голосования в высшей степени уязвимы для хакерских атак. Поэтому вопрос доверия к таким системам пытаются переносить из сугубо технической области в сферы «национальной гордости»…

India-Evoting

Казалось бы, что общего может быть между совсем небольшой – с населением менее полутора миллиона человек – балтийской республикой и огромной державой Азии с народонаселением в тысячу раз большим, достигшим уже порядка 1,3 миллиарда?

А общим между ними оказывается то, что Эстония и Индия – это на сегодняшний день две самые (по мнению их властей) «передовые на планете демократии» в деле электронного голосования.

Читать «Э-выборы в Эст-Индии» далее