Рубрика: Риски компьютерных систем

Posted on

Micro$oft как угроза национальной безопасности

( Апрель 2024, idb@kiwiarxiv )

Для кого и зачем существует наука история? Странный, казалось бы вопрос с очевидным ответом. Но тогда почему никого, никогда и ничему уроки истории не учат?

В двадцатых числах апреля с.г. известное британское веб-издание The Register, освещающее новости компьютерных технологий, опубликовало примечательное интервью с недавним бывшим директором по киберполитике в администрации Президента США. [1]

Бывших ответственных руководителей, понятное дело, всегда слушать намного интереснее, чем руководителей нынешних. По той хотя бы причине, что бесстыже врать «во имя государственных интересов» высокая должность их уже не заставляет. А потому теперь можно хотя бы отчасти признать и реальное положение дел.

А дабы нынешняя реальная ситуация в области инфобезопасности воспринималось более объёмно и в исторической, так сказать, ретроспективе, одновременно полезно сделать ещё кое-что. Сопоставить сегодняшнюю картину с теми раскладами подобных вещей, что наблюдались четверть века назад.

Но сначала – свежая статья от The Register, которая в вольном переводе на русский выглядит примерно так:

Microsoft – это угроза национальной безопасности, говорит бывший директор по киберполитике Белого Дома.

Из-за слабой конкуренции на правительственном уровне у Windows-гиганта нет никаких стимулов для повышения безопасности своих систем.

Корпорация Microsoft обладает шокирующим уровнем контроля над инфотехнологиями правительства США. Этот уровень контроля настолько велик, что Эй Джей Гротто (AJ Grotto), бывший высокопоставленный директор Белого Дома по киберполитике, считает справедливым называть недавние провалы в защите ПО Microsoft реальной проблемой национальной безопасности.

В недавнем интервью, которое Гротто дал журналу The Register, он рассказал, что федеральным властям приходится серьёзно сражаться даже за то, чтобы добиваться хотя бы незначительных уступок со стороны Microsoft.

Читать «Micro$oft как угроза национальной безопасности» далее

Posted on

Письмо в прошлое из будущего сегодня

( Январь 2023, idb@kiwiarxiv )

Пока готовится большой материал об устройстве сознания человека, атома и вселенной – то есть единого сознания в природе – будет к месту опубликовать небольшой текст об озадачивающих успехах Искусственного Интеллекта, созданного людьми.

Скотт Ааронсон, как выдающийся компьютерный учёный и интересно мыслящий человек, уже становился героем публикуемых тут сюжетов. Ныне же, в связи с праздником Рождества и сложными чувствами учёного от работы в компании OpenAI, построившей самую мощную на планете систему ИИ, появилось необычное письмо Ааронсона, адресованное в прошлое.

Поскольку текст небольшой, имеет смысл привести здесь его перевод полностью.

Краткое письмо самому себе, 11-летнему

Дорогой Скотт,

Это написал себе ты. Из будущего через 30 лет, в канун Рождества 2022 года. Твой Рождественский Призрак будущего.

Чтобы побыстрее перейти к сути: в конечном итоге ты станешь профессором, который работает над квантовыми вычислениями. Квантовые вычисления – это…

Скажем так, ты ведь читал в популярных книжках о физике всякие странные вещи про то, как частица проходит все возможные пути сразу, чтобы попасть из точки А в точку Б, но только ты никогда на самом деле не видишь, как она это делает, потому что как только ты за ней следишь, то она проходит лишь одним путём?

Так вот, оказывается, что в этом есть нечто гигантски важное, даже несмотря на то, что популярные книжки полностью искажают тут объяснение. Это связано с комплексными числами. Квантовый компьютер – это такой новый тип компьютера, который люди пытаются построить, опираясь на подлинные основы этой истории.

Как бы там ни было, штука потрясающая, но ты в любом случае узнаешь про это уже через несколько лет. Я же пишу не о том.

Я пишу из такого будущего, которое… с чего бы начать? Читать «Письмо в прошлое из будущего сегодня» далее

Posted on

Государственная слежка и смена власти

( Август 2021 )

Стремительная перемена политических раскладов в Афганистане преподнесла много поучительных уроков. Один из таких уроков непосредственно связан с высокими технологиями слежки за гражданами.

Перевод небольшой, но содержательной статьи-комментария от британского обозревателя Джона Нофтона (Beware state surveillance of your lives – governments can change for the worse. By John Naughton. The Guardian, 21 Aug 2021).

Остерегайтесь государственного надзора за вашей жизнью – власти могут меняться к худшему

С учётом того, что личные данные и биометрия афганских граждан теперь находятся в руках талибов, все прежние допущения о контроле, который предотвращает злоупотребления накопленной информацией, оказываются весьма далеки от истины.

Летом 2013 года, вскоре после того, как начали появляться разоблачения Эдварда Сноудена о реальных возможностях американского Агентства национальной безопасности (АНБ) в делах слежки за народом, у меня была частного характера беседа с одним из бывших министров британского правительства – о последствиях всех этих утечек. И на каком-то из поворотов разговора я упомянул известное высказывание, идущее от главного архитектора некоторых из этих систем АНБ, – о том, что сливы Сноудена отодвинули США «на шаг дальше от тоталитаризма».

Государственный человек эту идею высмеял. Что вам требуется запомнить, заявил он мне тем высокомерным тоном, каким барин разговаривает со своими садовниками, так это то, что США и Великобритания являются «зрелыми демократиями». А в государствах такого рода шансы на то, что к власти придут люди со склонностью использовать столь огромную власть в злонамеренных целях, были, по его словам, равны нулю.

Три года спустя США избрали Дональда Трампа. Через пять лет после избрания Трампа оглянитесь вокруг: всё больше и больше демократий управляется ныне автократами разнообразных мастей. Посмотрите на Орбана в Венгрии, на Партию закона и справедливости в Польше, на Дутерте на Филиппинах, на Эрдогана в Турции, на Моди в Индии, на Болсонару в Бразилии и прочих вроде него в Латинской Америке.

Ни один из этих автократов не испытывает ни малейших угрызений совести по поводу использования тех разведданных, что собирают государственные органы, против своих критиков, против диссидентов и прочих потенциальных противников. Фактически, они просто довольны, что ситуация находится всего в одном шаге от установления тоталитарного контроля.

И вот теперь, вместе с новым поворотом событий, банда религиозных фанатиков с уровнем мышления седьмого века захватила власть в Афганистане. Они будут управлять таким обществом, в котором сбежавшие ныне иностранные советники активно поощряли оцифровку баз данных и повсеместное внедрение цифровых удостоверений личности с биометрией.

Читать «Государственная слежка и смена власти» далее

Posted on

Обратная сторона тотальной слежки

( Май 2021, idb.kniganews )

В повседневной жизни все знают: чем сильнее защита – тем надёжнее безопасность. В делах государственных, однако, теперь нередко получается так, что залог безопасности – это защита слабая…

В мире профессионалов компьютерной безопасности весьма давно существует и имеет заслуженную популярность бюллетень The RISKS Digest – дайджест публикаций прессы и комментариев специалистов относительно рисков компьютеров и сетевых систем.

Один из последних выпусков дайджеста, RISKS Digest Volume 32 Issue 62 , начинается с любопытной статьи, написанной профессором Россом Андерсоном, широко известным кембриджским криптографом и специалистом по инфобезопасности. Оригинал статьи опубликован в апрельском номере журнала The Economist под таким примерно заголовком: «Внутренние программы слежки Китая дают преимущества иностранным шпионам».

Как прокомментировал тему этого текста редактор дайджеста Питер Нойман:

Неприязнь властей к сильному шифрованию делает уязвимыми собственные сети страны. Статья посвящена ситуации в Китае, но также актуальна и для любой другой страны!

Имеет смысл пересказать здесь содержание данной публикации по-русски в максимально близком к оригиналу виде.

Читать «Обратная сторона тотальной слежки» далее

Posted on

Регрессоры-прогрессоры, или UEFI как метафора

( Октябрь 2020, idb.kniganews )

Лаборатория Касперского представила миру очередную «новую-старую» компьютерную угрозу, прячущуюся в прошивках микросхем и получившую название MosaicRegressor. Имеет смысл рассмотреть этот сюжет в необычном контексте реальной научно-фантастической истории.

Для начала погружения в главную тему всей этой разветвлённой и несколько странной саги – одновременно научно-технической и детективно-эпической – вполне естественно было бы предоставить слово тем людям из Kaspersky Lab, прежде всего, которые сделали собственно Зачин. То самое, иными словами, примечательное нынешнее открытие в области компьютерных угроз.

Но сами эти люди почему-то предпочитают изъясняться на данный счёт только по-английски: MosaicRegressor: Lurking in the Shadows of UEFI. By Mark Lechtik, Igor Kuznetsov, Yury Parshin. (Kaspersky) Securelist, October 5, 2020.

Поэтому здесь, дабы не заниматься сомнительными делами типа перевода на русский англоязычного текста от русскоязычных авторов, достаточно просто дать ссылки на сопутствующие материалы, уже появившиеся в Рунете. В частности, компетентно и в более популярном виде английский текст оригинала, насыщенного техническими подробностями, пересказан по-русски на страницах Блога Касперского , на сайтах Хабр и Хакер.ру .

В кратком варианте перекрёстных цитирований вводно-содержательная часть всех этих статей рассказывает следующее:

Аналитики «Лаборатории Касперского» рассказали об обнаружении шпионской кампании, которая использовала сложную модульную структуру MosaicRegressor, куда, в числе прочего, входит буткит или загрузочный вредонос для UEFI, всего второй, насколько известно, из обнаруженных в «дикой природе» за всю историю наблюдений.

Атаки на UEFI (от Unified Extensible Firmware Interface, «Единый расширяемый интерфейс прошивок») – это настоящий Святой Грааль для хакеров. Что же представляет собой UEFI и в чем опасность буткита?

Если попробовать упростить, можно сказать, что UEFI (как и подсистема BIOS, которой UEFI пришло на смену) — это программное обеспечение, которое запускается при старте компьютера, ещё до запуска самой операционной системы. При этом оно хранится не на жёстком диске, а на отдельном чипе материнской платы.

Отсюда и главная опасность, связанная с компрометацией этой среды: если внести изменения в код UEFI, то можно получить полный контроль над компьютером. Например, изменять содержимое оперативной памяти, содержимое диска или, как в случае с буткитом MosaicRegressor, заставить операционную систему запустить вредоносный файл и/или использовать его для доставки прочего вредоносного ПО в систему жертвы. Поскольку речь идёт о низкоуровневой вредоносной программе, избавиться от неё с помощью замены жёсткого диска или переустановки ОС не получится.

В ходе описываемой кампании был обнаружен именно такой случай. Исследователи Лаборатории обнаружили сложную целевую атаку, модифицирующую код UEFI и направленную на дипломатические учреждения и общественные организации в Африке, Азии и Европе… [конец цитирования]

Ну а теперь, когда Зачин этой истории «после упрощения» стал вроде бы ясен и понятен, настала пора предупредить, что на самом деле всё тут очень и очень непросто. Куда более интересно и запутаннее. А чтобы начать этот клубок распутывать, полезно рассмотреть тот же самый сюжет ещё с двух иных позиций, существенно отличающихся друг от друга.

В одной проекции эта история – при её аккуратном разворачивании в прошлое – с любопытными параллелями накладывается на абсолютно реальные, хорошо известные, но при этом и весьма загадочные факты из хронологии открытий в физике XX века.

Ну а при рассмотрении с позиции другой – в проекции на известные всем произведения братьев Стругацких и других выдающихся фантастов – та же самая история предоставляет довольно неожиданные ключи к пониманию будущего человечества. То есть будущего в наиболее вероятных вариантах его развития…

Читать «Регрессоры-прогрессоры, или UEFI как метафора» далее

Posted on

Thunderspy, или Шпионская техника самозащиты

( Май 2020, idb )

Новые технологии компьютерного шпионажа – или методы взлома защиты и хищения данных – ныне могут подаваться как весьма респектабельное дело. С особым логотипом и через специально созданный для этого веб-сайт. Самое же интересное, что это очень хорошо – когда дело устроено именно так…

У братьев Стругацких в фантастической повести «Волны гасят ветер» на редкость удачно применяется сильный (пусть и не братьями придуманный) художественный приём. Выстраивать повествование как череду разнообразных документов – научных отчётов и справок, газетных вырезок и писем, служебных докладных и так далее. Авторами всех этих документов являются совершенно разные люди, а в своей совокупности их тексты складываются в мозаичную картину весьма и весьма непростой для понимания Истории.

И время от времени, когда в нашей – совершенно реальной – жизни приходится сталкиваться с ситуацией, окружающей нетривиальное открытие и множество очень разных взглядов на его суть или важность, тот же самый художественный приём оказывается удобен для конструирования статьи. Теперь уже на основе подлинных документов из интернета.

Читать «Thunderspy, или Шпионская техника самозащиты» далее

Posted on

Голосование через интернет, или Анатомия глупости

( Февраль 2020, idb )

Большинству людей, пребывающих в разуме, свойственно обычное житейское здравомыслие. Но вот когда надо продемонстрировать, как в некоторых вопросах массовое сознание вдруг радикально и напрочь глупеет, мало что сравнится с темой онлайн-голосования. Ибо глупость – это не отсутствие ума, это такой ум.

Вряд ли хоть кому-то надо в деталях объяснять, что понимается под обычным житейским здравомыслием. Если вся система здравоохранения, скажем, никак не может победить особо тяжкие заболевания, а группа деятелей вообще без медицинского образования вдруг объявит, что ими найдено чудо-лекарство от любого рака – не предъявив при этом никаких доказательств – то вряд ли кто их словам поверит. Разве что совсем уж доверчивые и отчаявшиеся.

Когда другая группа деятелей, абсолютно далеких от научных основ физики и астрономии, громко заявляет, что на самом деле Земля плоская, причем они могут это всем доказать, то даже обычного житейского здравомыслия для большинства обычно достаточно, чтобы воспринимать подобные заявления как безответственный треп. А всерьез на такую клюкву клюют обычно лишь те, кто уже совсем запутался в сопоставлениях бесконечного вранья от политиков и домыслов от конспирологов.

Но вот когда дело доходит до выборов в органы власти с помощью компьютеров или, еще хуже, до онлайнового голосования через интернет, то здесь здравый смысл народа почему-то отказывает самым решительным образом. Уже всем, казалось бы, известно, что профессиональные специалисты в области защиты информации давно и надежно показали, почему на основе имеющихся компьютеров и сетей в принципе невозможно создать такую систему голосования, которая была бы лучше традиционных бюллетеней и урн. Просто по той причине, что нынешние компьютерные технологии уже по природе своей намного больше уязвимы для компрометации.

И тем не менее, вот уже сорок лет – с момента появления персональных компьютеров и вплоть до сегодняшних дней – стабильно появляются деятели, громко и уверенно заявляющие о «подлинном прорыве» в компьютерных технологиях для голосования. При этом заявления подобные звучат тем громче, чем меньше персонажи такие понимают в компьютерах и инфобезопасности. А самым главным залогом успеха у них считается тщательное сокрытие подробностей о том, как это очередное новое чудо работает.

Самое же поразительное, что публика стабильно продолжает верить этим басням. Верить, несмотря ни на что. Отчего очередные системы электронного голосования упорно внедряются властями многих стран вновь и вновь – на смену всем тем безнадежно скомпрометированным системам, никудышное устройство и/или слабости защиты которых стали-таки общеизвестны благодаря настойчивым исследованиям специалистов.

И есть немалая доля иронии в том, что на две заметные новости февраля 2020 – об очередной компрометации «надежных онлайновых выборов» в двух разных державах – характерно наложился сюжет о глупой и странной гибели одного из активистов движения «за Плоскую Землю». Более наглядной демонстрации для удивительных сочетаний «здравомыслия и глупости» в существенно разных реакциях народа на новости одного, в общем-то, ряда и не придумать, наверное…

Читать «Голосование через интернет, или Анатомия глупости» далее

Posted on

LINUX: свобода от драконов здесь и сейчас

(Апрель 2019, idb)

Успешное массовое распространение ОС Windows 10 по планете – это неоспоримый факт. Но вот то ли это направление, куда нам хотелось бы двигаться? И можем ли мы лично что-то здесь изменить?

Лет шесть тому назад в одном из компьютерных журналов была, помнится, опубликована под именем kiwi byrd одна «неуместная» статья, рассказывающая, по большому счету, совсем-совсем и не про компьютеры вовсе. У статьи той неподходящим было не только название, «Уроки литературы» , но и рассказывала она действительно про книги. Про сатиру от Салтыкова-Щедрина, про фантастику от братьев Стругацких, про притчу-сказку «Дракон» от Евгения Шварца.

В разделе «про Дракона», в частности, главной темой статьи были причины, по которым отчетливо антифашистская пьеса Шварца, написанная в годы войны с гитлеризмом, не только вызвала дикое неприятие у сталинского режима, но и находилась под запретом к постановке и экранизации многие десятилетия и после смерти Сталина, вплоть до окончания брежневской эпохи.

Чем же так сильно раздражала эта притча-сказка советскую власть? Прежде всего, тем, конечно, что все диктаторы удивительно похожи друг на друга в своих методах угнетения народа — независимо от идеологии, на которую они опираются. Ну а во-вторых, и народ повсюду ведет себя одинаково. В пьесе Шварца те люди, которых герой спасает от поработившего их тирана, в большинстве своем и не особенно хотят-то, чтобы их спасали. Свобода им не нужна, что делать с ней они не знают, так что лучше уж оставаться в рабстве, лишь была бы стабильность и господин главный начальник был помягче. А потому, избавленные от гнета одного деспота, они с готовностью идут под тиранию другого…

Поскольку рассказ нынешний – вроде бы совсем не о книгах и пьесах, а об особенностях операционных систем для настольных и переносных компьютеров, то сразу и не поймешь, к чему здесь припоминается давняя притча про Дракона. Связь тут, однако, имеется самая непосредственная. Но пояснить её удобнее ближе к финалу.

А пока – вольный перевод совсем свежей, небольшой, но важной статьи, появившейся несколько дней назад на сайте SlashGear, одного из онлайновых ИТ-журналов интернета:

Причины для перехода с Windows на Linux

(оригинал на английском тут)

Вас таки достали проблемы с Windows 10? Кто-то, уже сытый ими по горло, планирует вернуться к установке старой-доброй Windows 7, однако с 14 января 2020 года эта ОС уже больше не будет получать поддержки от Microsoft. И если у вас нет денег на покупку компьютера от Apple, то для другой операционной системы на вашем компьютере остается не так уж много иных вариантов – кроме того или иного дистрибутива Linux.

Хотя некоторого периода обучения при смене платформы здесь не избежать, естественно, тех пользователей Windows, кто поинтересуется нынешним состоянием ОС Linux с точки зрения повседневного использования, почти наверняка ожидает приятное удивление. Потому что ныне уже совсем несложно найти для своей машины такой дистрибутив, который вполне подойдет на каждый день и не потребует больших затрат времени на освоение новой операционной среды.

Дабы не быть голословными, вот пять (как минимум) причин для того, почему имеет смысл не откладывая заняться переходом на Linux вместо Windows в качестве основной операционной системы на вашем настольном компьютере или ноутбуке.

Читать «LINUX: свобода от драконов здесь и сейчас» далее

Posted on

Думать самим или разумом ИИ?

(Октябрь 2017)

Одни умные люди уверены, что наша цивилизация выходит на крайне опасный этап развития, грозящий уничтожить человечество как вид. Их отнюдь не глупые оппоненты-скептики настаивают, что угрозы эти измышляются фантазерами. Кто-то из мудрецов явно неправ…

«Жизнь 3.0» и «Карта маршрутов»

Случилось так, что два известных в своих областях человека независимо и практически одновременно опубликовали две исследовательские работы, дающие диаметрально противоположные, по сути, взгляды на одну и ту же большую проблему. Собственно проблему можно сформулировать словами «Искусственный Интеллект как угроза существованию человечества», а суть принципиально разных к ней подходов у данных авторов сводится к следующему.

Макс Тегмарк наиболее известен в мире как физик-теоретик. Но кроме того, он активно занимается общественной деятельностью и несколько лет назад стал сооснователем Института «Будущее Жизни» в Кембридже, штат Массачусетс, США (девиз института: «Технологии как никогда раньше дают жизни потенциал к процветанию… или же к самоуничтожению. Так давайте сделаем так, чтобы разница зависела от нас!»).

Теперь же, в своей новой книге «Жизнь 3.0: быть Человеком в эпоху Искусственного Интеллекта» (Max Tegmark, «Life 3.0: Being Human in the Age of Artificial Intelligence», Knopf: 2017), Тегмарк подробно анализирует одну из наиболее существенных особенностей в развитии новейших технологий – стремительную эволюцию систем ИИ. Главным итогом анализов ученого здесь становится вывод, что очевидные риски данного процесса уже сейчас требуют от нас серьезнейших размышлений и очень аккуратных действий. Если, конечно, у людей имеется понимание, что наше «космическое предназначение» совсем не в том, чтобы по ходу прогресса оказаться выброшенными на обочину истории…

Работа вторая – оценивающая «угрозы ИИ» с абсолютно иных позиций – это аналитическое эссе от профессора-правоведа Райана Кало, опубликованное под названием «Политика в области Искусственного Интеллекта: карта маршрутов». За последние годы Кало, как профессиональный юрист, активно занимающийся проблемами на стыке инфотехнологий и права, заслужил в США авторитет «ведущего эксперта по законам роботехники».

Существенно подкрепили этот статус профессора такие, в частности, факты. В период президентства Обамы именно Кало устроил и провел в Белом доме первый семинар по политике в области ИИ. После чего он же организовал аналогичные семинары для Национальной академии наук и для NSF, Национального научного фонда США, раздающего исследователям гранты, а затем – ещё и для спецслужбы DHS, то есть Департамента безопасности отечества.

И вот теперь, в свежем эссе про «Карту маршрутов ИИ», Райан Кало развернуто подытоживает свои исследования и популярно объясняет, о чем в действительности «следует беспокоиться политикам в отношении искусственного интеллекта». В частности, здесь всячески раскритикованы аргументы таких пророков катастроф и несчастий, как Илон Маск и Ник Бострём, Стив Хокинг и уже упомянутый Макс Тегмарк.
Реальное же беспокойство у тех, кто принимает решения, должно вызывать, по мнению Кало, недостаточное финансирование наиболее перспективных ИИ-проектов. Недостаточное по той причине, что необходимые средства и ценные человеческие мозги интенсивно отвлекаются на предотвращение несуществующих угроз, придумываемых фантазерами…

Читать «Думать самим или разумом ИИ?» далее
Posted on

Большие Данные как большие риски

(Сентябрь 2017)

Все и повсюду, массово и с пользой накапливают гигантские базы данных. Беда в том, что никто и нигде не знает, как эти горы данных защищать от злоупотреблений.

Проблемы разные – суть одна

В ленту текущих новостей из разных концов планеты недавно попали три сообщения, рассказывающие о существенно разных, казалось бы, проблемах у людей и властей в связи с особенностями новейших инфотехнологий. Единственное, на первый взгляд, что их объединяет – это общая тема рисков и угроз, с которыми сталкивается общество по мере все более масштабного освоения Больших Данных.

Но вот если, однако, с этими неприятностями начать разбираться чуть внимательнее, то довольно быстро становится ясно, что на самом деле речь тут везде идет о разных сторонах одной и той же гранд-проблемы. Такого рода серьезные вещи обычно принято именовать «системными дефектами конструкции». Специалисты-профессионалы об этой беде отлично знают, конечно же. Вот только как это дело эффективно лечить – вопрос более чем дискуссионный… Ибо варианты ответов-решений сильно зависят от того, кому они адресованы.

Иначе говоря, владельцы баз с Большими Данными трактуют безопасность системы по-одному; профессионалы ИТ-сектора, занимающиеся разработкой и анализом защиты подобных систем, видят проблемы очевидно по-другому; ну а те люди, чьи персональные данные накапливаются и обрабатываются в этих системах в гигантских количествах, представляют себе заботу об их личной, чувствительной к разглашениям информации существенно по-третьему.

Проиллюстрировать суть возникающих здесь проблем и коллизий, ясное дело, удобнее всего на живых примерах. А потому самое время процитировать сообщения из ленты текущих новостей.

Читать «Большие Данные как большие риски» далее