Рубрика: Безопасность через неясность

Posted on

«Том и Джерри» эры спутникового ТВ

(Февраль 2001)

tomandjerry

В двадцатых числах января (2001) сразу несколько крупных компаний спутникового телевидения нанесли массированные «удары возмездия» по пиратским приемникам-телеприставкам, позволяющим их владельцам смотреть все передачи бесплатно.

Две крупнейших американских фирмы DirecTV и Echostar Dish Network, а также испанская Canal Satelite Digital практически одновременно применили против пиратов так называемые «электронные контрмеры» или ЭКМ (electronic countermeasure, ECM), то есть дистанционные средства активного воздействия на аппаратуру, обычно рассматривающиеся лишь как сугубо военное «информационное оружие».

Читать ««Том и Джерри» эры спутникового ТВ» далее

Posted on

Всевидящее око

(Апрель 2002)
Cypher-UAV

Не так давно на «разоблачительном» сайте http://www.almartinraw.com, принадлежащем американцу Элу Мартину, появилась статья с неуклюжим, но задиристым названием «Летающий фашизм у твоего порога».

Основную часть статьи занял рассказ некоего полковника, своими глазами увидевшего на военной ярмарке Redstone Arsenal’s Arms Bazaar небывалое чудо техники – аппарат под названием DCHD, или Domestic Control Hover Drone, что можно перевести как «парящий робот внутреннего надзора».

Формой этот беспилотный аппарат представляет собой тор с двумя соосными винтами по центру, для устойчивости машины вращающимися в противоположных направлениях. Он может вертикально взлетать и садиться, а также зависать на любой высоте до 200 м. Летает практически бесшумно, в движение приводится электромотором, источник энергии – топливный элемент, позволяющий находиться в воздухе до трех часов.

Шпионскую «тарелку» можно оснастить самой разнообразной аппаратурой слежения, от телекамер с мощной оптикой и приборов ночного видения до направленных микрофонов.

Кроме того, летающий робот может комплектоваться оружием нелетального поражения для обездвиживания подозрительных лиц, мощным громкоговорителем и телескопическим кронштейном, который увенчан считывателем смарт-карт – для проверки идентификационных удостоверений граждан.

Дистанционное управление системой осуществляется либо с подвижного наземного пункта, либо удаленно через спутниковую систему. По свидетельству демонстрировавшей оборудование компании (в статье Мартина ее имя не называется), аппарат можно купить хоть сейчас по цене от 180 до 350 тысяч долларов в зависимости от комплектации…

Читать «Всевидящее око» далее

Posted on

Глядя из собачьей будки

(Апрель 2007)

Dog-House

В стародавние времена, когда знаменитый ныне гуру по безопасности Брюс Шнайер был известен лишь в узких криптографических кругах, а слово «блог» еще и на свет не появилось, Шнайер общался с миром при помощи своего ежемесячного, быстро набиравшего популярность бюллетеня Crypto-Gram (который, собственно, жив и поныне).

И был в том бюллетене интересный раздел Dog-house или «собачья будка», где автор, подобно сторожевому псу, «облаивал», так сказать, всяческими нелицеприятными и довольно резкими словами разного рода сомнительные шифрсредства, в те времена изобильно выводимые на рынок доморощенными криптографами-программистами.

Прошедшие с той поры годы все расставили по местам, давние никудышные криптопрограммы вымерли естественным образом, качественные выжили и получили повсеместное распространение, а раздел Dog-house реанимируется Шнайером в его блоге лишь крайне изредка, когда в Сети вдруг всплывает какая-нибудь очередная новая фирма молодых нахалов, уверенных, что сделали революцию в криптографии.

Но если «собачья конура» Шнайера практически прекратила свое существование, то это вовсе не означает, что на рынке перестали появляться средства защиты информации, откровенно слабые или даже просто абсурдные с точки зрения безопасности. Напротив, средств таких по-прежнему выпускается в достатке. Ленты текущих новостей регулярно предоставляют тому живые примеры, а значит, все также нужен какой-то, пусть и не чисто криптографический, Dog-house для предупреждения потребителей. И нечто подобное можно устроить прямо здесь и сейчас.

Читать «Глядя из собачьей будки» далее

Posted on

Проблема одна — итоги разные

(Март 2007)

whitehat-hackers

В отличие от хакеров криминальных, осмысленно совершающих уголовно наказуемые деяния ради личного обогащения, существенно иной класс хакеров обычных состоит из вполне порядочных людей, занимающихся проблемами компьютерной безопасности по роду профессиональной деятельности и/или по зову сердца.

Но сколь бы разными ни были эти классы, все хакеры, как правило, знают о своем предмете несколько (или сильно) больше, чем остальные. А это многих крайне раздражает, особенно крупные корпорации, чья безопасность оказывается то и дело скомпрометирована каким-нибудь очередным хакерским исследованием.

Два заметных события, только что (2007 г.) произошедшие в США и связанные с работой «хакеров в законе», сильно похожи по существу, однако принципиально различаются по итоговому результату. О причине такого отличия будет сказано в конце, а сначала — о сути происходящего.

Знаменитая конференция Black Hat, традиционно собирающая специалистов по компьютерной безопасности в конце лета в Лас-Вегасе, в последние годы получила специфическое весеннее ответвление — Black Hat Federal. Как можно понять уже по названию, данный форум ориентирован, главным образом, на ИТ-специалистов федеральных органов власти США и организуется, соответственно, в столичном округе Колумбия, в непосредственной близости от Вашингтона.

Но, несмотря на столь солидную «крышу», уже ставшие традиционными для Black Hat громкие скандалы вокруг разоблачительных докладов хакеров теперь добрались из невадской пустыни и до столицы. Несколько лет назад, напомним, в Лас-Вегасе сотрудниками ФБР был арестован россиянин Дмитрий Скляров, делавший доклад о слабостях защиты электронных книг Adobe. В 2005 году корпорация Cisco Systems приложила все силы, чтобы сорвать выступление Майкла Линна (Michael Lynn) о выявленных им уязвимостях в «непробиваемой», якобы, операционной системе IOS.

Теперь же, на Black Hat Federal 2007, те же самые неприятности — с вырыванием соответствующих страниц о докладе из каталога конференции и изъятием сопутствующего CD с презентацией — постигли Криса Пэйджета (Chris Paget). Вся вина Пэйджета и небольшой фирмы IOActive, где он возглавляет подразделение исследований и разработок, заключалась в намерении развернуто продемонстрировать значительные слабости в так называемых proximity-картах транснациональной компании-гиганта HID Global.

HID-clones

Читать «Проблема одна — итоги разные» далее

Posted on

Ключ от парадной двери

(Сентябрь 2015)

Странные и удивительные дела творятся ныне вокруг технологии сканирования отпечатков пальцев в смартфонах.

iphone-fingerprint-scanner

С одной стороны, грамотные специалисты по инфобезопасности отлично знают, что дактилоскопическая биометрия может быть легко подделана злоумышленниками. А защита компьютеров и данных с помощью сканера отпечатков пальцев – это скорее средство отпугивания случайных чужаков, нежели надежное средство контроля доступа. Причем все последние исследования дают массу новых подтверждений этим давно установленным фактам.

Глядя же с другой стороны, можно видеть, как именно сейчас в ускоренных темпах раскручиваются глобального масштаба инициативы по массовому внедрению мобильных платежных систем вроде Apple Pay, Android Pay или Samsung Pay. Систем, очевидно конкурирующих друг с другом, однако имеющих одну существенную общую черту. Все они непременно опираются на сканер отпечатка пальца, фигурирующий в качестве ключевой технологии защиты в основе смартфона как цифрового кошелька и базового инструмента для быстрых бесконтактных переводов денег.

Более того, в скандинавской стране Норвегии, устойчиво лидирующей в списках наиболее благополучных и технически передовых государств планеты, сразу несколько ведущих банков объявили в 2015 году о «революционных новациях» в своей работе. Теперь их клиенты могут загружаться в свои онлайновые банковские кабинеты не через традиционную процедуру авторизации, а гораздо проще – с собственного смартфона через сканер отпечатка пальца.

Если принять во внимание, что в этих банках для онлайновой работы с клиентами уже давно применяется достаточно надежная трехчленная процедура идентификации BankID (персональный ID-номер + секретный пароль + одноразовый код доступа, генерируемый компьютером), то нынешний поворот к упрощению проверки личности порождает у специалистов вполне естественные вопросы.

Понятно ведь, что в банках обычно работают опытные и компетентные люди, способные объективно оценивать преимущества и силу одних технологий по сравнению с другими. И если на замену одной форме защиты вводится существенно иная, в традиционных представлениях менее надежная, то это означает, скорее всего, что чего-то тут народу не договаривают.

Читать «Ключ от парадной двери» далее

Posted on

Наличные 2.0 ?

(Август 2007)

Бесконтактные платежные карточки и проблемы с их безопасностью.

Contactless-payment-1

К карточкам бесконтактных платежей ныне как бы само собой понемногу приклеивается название «наличные 2.0». С одной стороны, для подобного термина имеются основания, коль скоро небольшие оплаты наличными деньгами действительно начинают все чаще заменять поднесением платежной смарт-карты или мобильника с RFID-чипом к окошку ридера в транспортном турникете, торговом автомате или кассовом терминале магазина.

Но с другой стороны, подобная подмена понятий не совсем корректна, поскольку важнейшие свойства наличных денег — их анонимность и неотслеживаемость платежей — в широко внедряемых ныне системах бесконтактной оплаты не предусмотрены. Ибо так называемые «наличные 2.0» при ближайшем рассмотрении ничем принципиальным не отличаются от обычных кредитных или дебетовых карточек, жестко привязанных к конкретным людям и к их банковским счетам.

С коммерческой точки зрения, вообще говоря, никакой потребности в персональной привязке платежных смарт-карт к конкретным людям нет. А вот с точки зрения безопасности, как считают многие независимые эксперты, бесконтактные платежные карты на основе RFID, чипов радиочастотной идентификации, не только тащат за собой тяжкое наследие неважно защищенных кредитных карточек с магнитной полоской, но и порождают кучу новых проблем.

Однако индустрия карточных платежей, энергично пытающаяся внедрять новую технологию, с подобными воззрениями категорически не согласна и пытается убедить людей в обратном — что их бесконтактная система якобы даже более безопасна, чем традиционная. Для того чтобы понять аргументы сторон и оценить их убедительность, понадобится рассмотреть проблему в ее историческом контексте и хотя бы в минимальных технических подробностях.

Читать «Наличные 2.0 ?» далее
Posted on

О чем скандал?

(Май 2010)

Власти Китая выступили с весьма любопытной криптографической инициативой. Властям США и Евросоюза эта инициатива чрезвычайно не нравится, однако причина конфликта разъясняется крайне мутно.

China-Wants-Crypto

Начиная с 1 мая сего (2010) года в Китае вступили в силу интересные правила, обязывающие поставщиков компьютерно-сетевого обеспечения предоставлять властям всю информацию об имеющихся в их продуктах технологиях шифрования.

Лишь те китайские и иностранные компании, что подчиняются данным требованиям, будут допускаться к конкурсам на поставку оборудования и программ для государственных структур Китая — как в центре, так и во всех провинциях. А значит речь идет о контрактах, общая стоимость которых исчисляется если и не миллиардами, то сотнями миллионов долларов ежегодно.

Вся эта история тянется уже довольно давно, по меньшей мере с 2007 года. За прошедшее время набор требований к поставщикам существенно менялся в сторону послаблений, общие формулировки правил по-прежнему звучат довольно расплывчато, однако вполне очевидно, что власти США и Евросоюза выступают категорически против подобных нововведений.

С самого начала оппоненты настаивают, что предоставление информации о встроенных в продукты технологиях шифрования — это «нечто такое, что компании не могут и не будут делать», цитируя слова Йорга Вуттке (Jorg Wuttke), президента Торговой палаты Евросоюза. Иначе говоря, скандал, давно тлеющий вокруг спорной криптоинициативы Китая, ныне вступил в очевидную фазу обострения.

Читать «О чем скандал?» далее

Posted on

Э-выборы в Эст-Индии

(Май 2014)

Как и все прочие компьютеры, электронные системы голосования в высшей степени уязвимы для хакерских атак. Поэтому вопрос доверия к таким системам пытаются переносить из сугубо технической области в сферы «национальной гордости»…

India-Evoting

Казалось бы, что общего может быть между совсем небольшой – с населением менее полутора миллиона человек – балтийской республикой и огромной державой Азии с народонаселением в тысячу раз большим, достигшим уже порядка 1,3 миллиарда?

А общим между ними оказывается то, что Эстония и Индия – это на сегодняшний день две самые (по мнению их властей) «передовые на планете демократии» в деле электронного голосования.

Читать «Э-выборы в Эст-Индии» далее

Posted on

Инженерия Науки

 (Апрель 2014)

О том, что инакомыслящие — также известные как хакеры — крайне полезны в области укрепления инфобезопасности, наслышаны, наверное, все. А вот идея о том, что подобная категория людей жизненно необходима еще и для развития науки, пока что звучит довольно редко. (Текст весьма большой и разветвленный, предупреждение на всякий случай.)

MechanicsCogs

= 1 =

В марте нынешнего (2014) года имели место два почти синхронных события – на первый взгляд, абсолютно никак друг с другом не связанных и примечательных просто сами по себе.

Но в действительности, как известно (т.е. о чем ныне в курсе уже практически все, кто не в танке), любые события этого мира так или иначе находятся между собой в тесных или не очень тесных, но взаимосвязях. Выявление же глубоких, однако пока что не очевидных связей, соответственно, позволяет обнаружить и некие скрытые до поры тенденции развития. А значит – более аккуратно прогнозировать будущее. Ну а кому не интересно, что ожидает нас в будущем?

Короче говоря, речь идет о таких двух событиях.

Читать «Инженерия Науки» далее

Posted on

Будьте здоровы

(Сентябрь 2007)

Поначалу данная статья мыслилась как обзор последних новостей в области беспроводной связи: USB и HDMI по радиоканалу, плюс сопутствующие аспекты безопасности, естественно. Однако порой сам материал может содержать в себе — скрытно или явно — и собственную идею воплощения. Что и случилось на этот раз.

cell-tower-file

Тема высокочастотных радиосетей, все более плотно заполняющих места обитания человека, ныне уже настолько тесно переплетена с проблемами всевозможных заболеваний и охраны здоровья, что не говорить об этом — значит игнорировать очевидное. И продолжать в подобном духе вряд ли дальновидно, коль скоро данные вопросы касаются абсолютно всех, а в особенности детей. Нашего будущего, иными словами.

Низы не хотят

В день взятия Бастилии 14 июля (2007), слывущий не только главным национальным праздником Франции, но и — более широко — символом стихийного народного гнева, в противоположном от Европы конце планеты австралийский гражданин Джон Паттерсон устроил собственную маленькую революцию. Он захватил танк и шумно проехал на нем по улицам Сиднея.

Причем не просто проехал, а умышленно разрушил при этом 6 мачт телефонной сотовой связи и питавшую их электрическую подстанцию. В прошлом 45-летний Паттерсон работал техником по телекоммуникациям и со временем пришел к убеждению, что мачты сотовой связи, установленные посреди плотно населенных кварталов, серьезно подрывают здоровье людей вообще и конкретно его в частности.

Отчаянная акция протеста в Австралии стала, возможно, наиболее масштабной по размаху, но далеко уже не первой по существу. За последние годы, скажем, группы гражданского сопротивления в Англии и Северной Ирландии повалили не одну мачту — используя пилы, развинчивая болты крепежа, или опрокидывая сооружения с помощью тягачей и тросов. В одном из таких случаев местное население выкупило покореженный лом поваленной антенны и устроило распродажу ее кусков как сувениров — для помощи в финансировании будущих акций протеста.

Читать «Будьте здоровы» далее