Рубрика: Тестирование

Posted on

Смарт-карты: что показало вскрытие

(Сентябрь 2003)

Обзор методов взлома «самой безопасной» компьютерной технологии – как финал большой трехчастевой подборки материалов о защите платного ТВ (другие части см. тут: текст 1, текст 2).

camtamper

Индустрия смарт-карт переживает ныне период мощного расцвета. В 2002 году по всему миру было продано чуть меньше 2 миллиардов интеллектуальных карточек со встроенным микрочипом, а в ближайшие годы ожидается рост этих цифр в разы.

Причины тому просты, коль скоро области применения смарт-карт все время расширяются: от телефонной карты до жетона аутентификации пользователя ПК, от «электронного кошелька» для хранения цифровых наличных и до цифрового паспорта-идентификатора граждан.

Массовое внедрение смарт-карт в повседневную жизнь сопровождается непременными заверениями официальных представителей индустрии о том, что чип-карты – это наиболее безопасная из существующих на сегодня технологий, их, де, очень сложно, практически невозможно вскрывать. Однако так ли обстоят дела на самом деле?

Типичная смарт-карта – это 8-битный микропроцессор, постоянное запоминающее устройство или (ROM), оперативная память (RAM), электрически перепрограммируемая память (EEPROM или FLASH, где, в частности хранится криптографический ключевой материал), последовательные вход и выход. Все это хозяйство размещается в одном чипе, заключенном в корпус – обычно, пластиковую карту размером с кредитку.

Нравится это кому-то или нет, но вскрытие смарт-карт – явление весьма давнее и распространенное повсеместно. Как свидетельствуют специалисты, примерно с 1994 года практически все типы смарт-карточных чипов, использовавшихся, к примеру, в европейских, а затем в американских и азиатских системах платного ТВ, были успешно вскрыты кракерами методами обратной инженерной разработки.

Скомпрометированные секреты карт – схема и ключевой материал – затем продавались на черном рынке в виде нелегальных клон-карт для просмотра закрытых ТВ-каналов без оплаты компании-вещателю. Меньше освещенной в прессе остается такая деятельность, как подделка телефонных смарт-карт или электронных кошельков, однако известно, что и в этой области далеко не все в порядке с противодействием взлому.

Индустрии приходится регулярно заниматься обновлением технологий защиты процессора смарт-карт, кракеры в ответ разрабатывают более изощренные методы вскрытия, так что это состязание еще далеко не закончено.

Смарт-карты в своих потенциальных возможностях имеют целый ряд очень важных преимуществ в сравнении с другими технологиями. Обладая собственным процессором и памятью, они могут участвовать в криптографических протоколах обмена информацией, и, в отличие от карточек с магнитной полоской, здесь хранимые данные можно защищать от неавторизованного доступа.

Беда лишь в том, что реальная стойкость этой защиты очень часто переоценивается. Далее будет представлен краткий обзор наиболее важных технологий, используемых при вскрытии смарт-карт.

Эта информация важна для любого человека, желающего получить реальное представление о том, как происходит вскрытие защищенных устройств и каких затрат это стоит. Естественно, тщательное изучение применяемых методов вскрытия позволяет вырабатывать адекватные контрмеры и создавать намного более эффективную защиту смарт-карт.

Читать «Смарт-карты: что показало вскрытие» далее

Posted on

Военные гаджеты: сегодня и завтра

(Июль 2016)

pd-100-2

Когда у каждого человека в кармане сегодня находится комплекс чипов под названием «смартфон», уже никто и не вспоминает, что несколько десятилетий назад куда меньшую вычислительную мощь имели самые быстрые суперкомпьютеры планеты. Крошечные и стремительно прогрессирующие, микропроцессоры в корне меняют практически все, чем занимается человек. Включая и военное дело, естественно.

И точно так же, как в бытовом обиходе современных людей теперь неотъемлемо присутствуют ноутбуки, планшеты, смартфоны и прочие цифровые гаджеты, арсенал технических средств даже у обычных пехотинцев на поле боя компьютеризирован ничуть не меньше. А порой и намного более внушителен. Но пока, правда, лишь в войсках самых богатых и/или особо озабоченных своей мощью государств.

Однако главное, чему научил нас прогресс компьютерных технологий, это простой истине: то, что было вчера ужасно дорого и недоступно, завтра появится практически у всех…

Читать «Военные гаджеты: сегодня и завтра» далее

Posted on

Отец Биткойна, или плутовской хайтек-роман

(Июнь 2016)

История о том, как один проходимец пытался обмануть весь мир. А основными помощниками в этой афере с энтузиазмом выступили средства массовой информации, постоянно жаждущие «горячих новостей».

craig-wright

Центрального героя этой истории, австралийского предпринимателя в возрасте между 40 и 50, зовут Крейг Стивен Райт. Суть же главного приключения в жизни Райта для всех читателей, знакомых с классикой советской литературы, можно было бы передать такой конструкцией из аналогий: «О том, как сын лейтенанта Шмидта объявил себя подпольным мультимиллионером Корейко. А заодно и отцом мировой демократии».

Иначе говоря, Крейг Райт – это такой современный вариант Остапа Бендера. Типичного плута и пройдохи, в условиях бурного прогресса инфотехнологий поначалу стригущего здесь деньги как все обычные жулики. Однако от ощущения переполняющих его, но никем не признаваемых талантов, этот персонаж пускается в особо масштабную и сомнительную авантюру. Сулящую, как ему кажется, грандиозный куш в финале…

В силу неких субъективных и, возможно, медицинско-психиатрических причин Крейг Райт, безусловно образованный в компьютерных науках человек, отчего-то вдруг решил, что сумеет всех убедить, будто именно он и есть легендарный Сатоши Накамото. То есть тот самый загадочный гений и герой интернета, кто сначала подарил миру Bitcoin, принципиально новую технологию цифровых наличных, а затем вдруг исчез, не оставив последователям ни малейших зацепок или идей о том, кто же это приходил.

Читать «Отец Биткойна, или плутовской хайтек-роман» далее

Posted on

Слесаря вызывали?

(Февраль 2003)

Locksmith-masterkey

В жизни физика-теоретика Ричарда Фейнмана, одного из самых блестящих американских ученых XX века и просто безгранично любознательного человека, был такой забавный эпизод.

Работая в рамках Манхэттенского проекта над созданием атомной бомбы, Фейнман сильно заинтересовался устройством цифровых замков на новых сейфах, установленных в Лос-Аламосских лабораториях для охраны самой большой тайны США. Повозившись с изучением устройства замков и даже разобрав один в собственном кабинете, Фейнман обнаружил, что при выработке определенного навыка он способен открыть без ключа практически любой сейф на сверхсекретном объекте.

Будучи добропорядочным гражданином, физик уведомил о своем открытии военные власти, отвечавшие за безопасность проекта. Крайне обеспокоенные, генералы пообещали разобраться и что-то с этим сделать. Через некоторое время был издан специальный циркуляр, строго предписывавший сотрудникам Лос-Аламоса не подпускать Ричарда Фейнмана к своим сейфам…

Весьма похожая по сути история повторилась ныне, когда устройством механических замков заинтересовался известный в криптографических кругах исследователь Мэтт Блэйз (Matt Blaze) из компании AT&T.

Читать «Слесаря вызывали?» далее

Posted on

Конкурс AES [начало]

(Апрель 1999)

Первая — самая большая — статья из цикла материалов, в реальном времени отражавших процесс появления нынешнего глобального стандарта на шифрование данных.

stand-crypto

В сентябре 1999 года начинается второй раунд конкурса на «передовой стандарт шифрования» AES или Advanced Encryption Standard. Теперь среди финалистов первого круга предстоит избрать лучший алгоритм, который станет новым американским криптостандартом на XXI век.

Но прежде, чем говорить об участвующих в конкурсе шифрах-кандидатах и о наиболее вероятных финалистах первого раунда, следовало бы напомнить, что у всего этого мероприятия имеется достаточно длительная и содержательная предыстория, с которой имеет смысл вкратце познакомиться.

Читать «Конкурс AES [начало]» далее

Posted on

Проблема одна — итоги разные

(Март 2007)

whitehat-hackers

В отличие от хакеров криминальных, осмысленно совершающих уголовно наказуемые деяния ради личного обогащения, существенно иной класс хакеров обычных состоит из вполне порядочных людей, занимающихся проблемами компьютерной безопасности по роду профессиональной деятельности и/или по зову сердца.

Но сколь бы разными ни были эти классы, все хакеры, как правило, знают о своем предмете несколько (или сильно) больше, чем остальные. А это многих крайне раздражает, особенно крупные корпорации, чья безопасность оказывается то и дело скомпрометирована каким-нибудь очередным хакерским исследованием.

Два заметных события, только что (2007 г.) произошедшие в США и связанные с работой «хакеров в законе», сильно похожи по существу, однако принципиально различаются по итоговому результату. О причине такого отличия будет сказано в конце, а сначала — о сути происходящего.

Знаменитая конференция Black Hat, традиционно собирающая специалистов по компьютерной безопасности в конце лета в Лас-Вегасе, в последние годы получила специфическое весеннее ответвление — Black Hat Federal. Как можно понять уже по названию, данный форум ориентирован, главным образом, на ИТ-специалистов федеральных органов власти США и организуется, соответственно, в столичном округе Колумбия, в непосредственной близости от Вашингтона.

Но, несмотря на столь солидную «крышу», уже ставшие традиционными для Black Hat громкие скандалы вокруг разоблачительных докладов хакеров теперь добрались из невадской пустыни и до столицы. Несколько лет назад, напомним, в Лас-Вегасе сотрудниками ФБР был арестован россиянин Дмитрий Скляров, делавший доклад о слабостях защиты электронных книг Adobe. В 2005 году корпорация Cisco Systems приложила все силы, чтобы сорвать выступление Майкла Линна (Michael Lynn) о выявленных им уязвимостях в «непробиваемой», якобы, операционной системе IOS.

Теперь же, на Black Hat Federal 2007, те же самые неприятности — с вырыванием соответствующих страниц о докладе из каталога конференции и изъятием сопутствующего CD с презентацией — постигли Криса Пэйджета (Chris Paget). Вся вина Пэйджета и небольшой фирмы IOActive, где он возглавляет подразделение исследований и разработок, заключалась в намерении развернуто продемонстрировать значительные слабости в так называемых proximity-картах транснациональной компании-гиганта HID Global.

HID-clones

Читать «Проблема одна — итоги разные» далее

Posted on

Наличные 2.0 ?

(Август 2007)

Бесконтактные платежные карточки и проблемы с их безопасностью.

Contactless-payment-1

К карточкам бесконтактных платежей ныне как бы само собой понемногу приклеивается название «наличные 2.0». С одной стороны, для подобного термина имеются основания, коль скоро небольшие оплаты наличными деньгами действительно начинают все чаще заменять поднесением платежной смарт-карты или мобильника с RFID-чипом к окошку ридера в транспортном турникете, торговом автомате или кассовом терминале магазина.

Но с другой стороны, подобная подмена понятий не совсем корректна, поскольку важнейшие свойства наличных денег — их анонимность и неотслеживаемость платежей — в широко внедряемых ныне системах бесконтактной оплаты не предусмотрены. Ибо так называемые «наличные 2.0» при ближайшем рассмотрении ничем принципиальным не отличаются от обычных кредитных или дебетовых карточек, жестко привязанных к конкретным людям и к их банковским счетам.

С коммерческой точки зрения, вообще говоря, никакой потребности в персональной привязке платежных смарт-карт к конкретным людям нет. А вот с точки зрения безопасности, как считают многие независимые эксперты, бесконтактные платежные карты на основе RFID, чипов радиочастотной идентификации, не только тащат за собой тяжкое наследие неважно защищенных кредитных карточек с магнитной полоской, но и порождают кучу новых проблем.

Однако индустрия карточных платежей, энергично пытающаяся внедрять новую технологию, с подобными воззрениями категорически не согласна и пытается убедить людей в обратном — что их бесконтактная система якобы даже более безопасна, чем традиционная. Для того чтобы понять аргументы сторон и оценить их убедительность, понадобится рассмотреть проблему в ее историческом контексте и хотя бы в минимальных технических подробностях.

Читать «Наличные 2.0 ?» далее
Posted on

Мифы и реальность HDMI-кабелирования

(Май 2011)

4hdmi

В специализированных изданиях для истинных любителей высокого звука и кристально-чистого изображения уже давным-давно сформировался и устойчиво сохраняется консенсус экспертных мнений, согласно которому цена соединительных проводов должна составлять примерно 10% от общей стоимости достойного аудио-видеокомплекса.

Цифры эти появились еще во времена аналоговой High-End-аппаратуры для аудиофилов, однако переход на цифровую технику мало что изменил. Иначе говоря, и сегодня на рынке без проблем можно отыскать цифровые кабели по цене не только в сотни, а даже тысячи долларов за штуку.

Но вот задумайтесь, доводилось ли вам встречать людей, которые абсолютно всерьез убеждены, что качество картинки в видеоклипе, скачанном с сайта типа YouTube, можно ощутимо улучшить, если подсоединить компьютер к Интернету через более дорогой и высококачественный Ethernet-кабель?

Вопрос можно воспринимать как риторический, ибо вряд ли человеку, хотя бы приблизительно представляющему себе принципы цифровой записи и передачи данных, придет в голову столь странная идея. Ведь, согласно такого рода идее, получается, что один и тот же файл, состоящий из абсолютно тех же нулей и единиц, будет воспроизводиться компьютером по-разному — в зависимости от того, через дорогой шнур эти биты в него поступали или же через дешевый.

Как бы дико подобные умозаключения не звучали, в специфической общности людей под условным названием «аудиофилы» обнаруживается достаточное количество энтузиастов, занимающих именно такую позицию.

Известная компания Denon одной из первых, наверное, заметила столь необычный взгляд подлинных ценителей прекрасного на цифровые технологии. И ухватила суть происходящего очень четко: если в мире хватает людей, которых просто распирает от желания потратить на технику как можно больше денег, то почему бы им в этом не помочь?

Читать «Мифы и реальность HDMI-кабелирования» далее

Posted on

Кондуктор нажал на тормоза

В свете выхода новой ОС Windows 10, оснащенной разного рода  хитростями для защиты контента от копирования, полезно вспомнить созвучную историю из прошлого.

(Февраль 2008)

vistaГод, прошедший со времени выхода Windows Vista на рынок, был вполне достаточным сроком для обстоятельной оценки плюсов и минусов новой операционной системы Microsoft. По итогам этой оценки один из наиболее известных в мире компьютерных журналов, к примеру, назвал Vista «главным техническим разочарованием 2007 года».

В другом месте, солидной софтверной фирме в США, аккуратно сравнили скорость работы Vista, улучшенной только что выпущенным сервис-паком SP1, с аналогичными показателями предыдущей ОС XP SP3. И установили, что в условиях одних и тех же машин / приложений «старая» XP уверенно и заметно (примерно в два раза) превосходит новую Vista по ключевым показателям производительности. Из чего возникает, как говорится, естественный вопрос…

Что, собственно, происходит?

Ответов на этот простой вопрос много. Даже чересчур, пожалуй, много.

Читать «Кондуктор нажал на тормоза» далее

Posted on

Э-выборы в Эст-Индии

(Май 2014)

Как и все прочие компьютеры, электронные системы голосования в высшей степени уязвимы для хакерских атак. Поэтому вопрос доверия к таким системам пытаются переносить из сугубо технической области в сферы «национальной гордости»…

India-Evoting

Казалось бы, что общего может быть между совсем небольшой – с населением менее полутора миллиона человек – балтийской республикой и огромной державой Азии с народонаселением в тысячу раз большим, достигшим уже порядка 1,3 миллиарда?

А общим между ними оказывается то, что Эстония и Индия – это на сегодняшний день две самые (по мнению их властей) «передовые на планете демократии» в деле электронного голосования.

Читать «Э-выборы в Эст-Индии» далее