Записи

Posted on

Пароль — не нужен

(Сентябрь 2014)

История с разговорами вокруг фундаментальной небезопасности связки «логин+пароль» тянется настолько давно и при этом остается столь вопиюще неизменной, что вызывает сильнейшие подозрения в некоторой безумности происходящего…

take-password

«Кибер-вор» и просто жулики

В мире инфобезопасности все давно уже, к сожалению, привыкли, что каждый год — причем неоднократно и неизбежно — то тут, то там происходят гигантские хищения баз данных с реквизитами пользователей. Фактически, если накопленный массив данных о клиентуре хоть кому-нибудь интересен, то его непременно похищают.

Причем совсем уже не редкость, когда количество людей, потенциально пострадавших от украденной базы с их реквизитами, исчисляется миллионами и десятками миллионов душ. Но даже в этих условиях публику сильно впечатлила недавняя новость о том, что у криминальных хакеров обнаружилось воистину гигантское хранилище — примерно на 1,2 миллиарда записей с парами «логин+пароль», автоматически похищенных ботами из баз тысяч и тысяч разных интернет-сайтов.

Читать «Пароль — не нужен» далее

Posted on

Главная тайна Со-знания

(Февраль 2014)

Случилось так, что в первые недели 2014 года практически одновременно и совершенно независимо друг от друга были опубликованы две солидные и весьма любопытные научные работы — на одну и ту же, в сущности, тему. О том, что физикам и математикам уже наконец по силам всерьез подступиться к разгадке тайн сознания.

Quantum-Universal-Mind

Когда сегодня умные и образованные люди обсуждают весьма нетривиальную тему о природе сознания, то обычно речь ведется о качествах и особенностях «предмета обсуждения».

Например, практически все согласны, что Сознание подразумевает осведомленность, то есть субъективный опыт восприятия внутреннего и внешнего миров. Кроме того, Сознание подразумевает наличие таких свойств, как ощущение себя, чувства, способность выбора, управление добровольным поведением, память, мысли, язык и, наконец, внутренне порождаемые образы (когда мы закрываем глаза, к примеру, или когда занимаемся медитацией).

Представленный перечень свойств можно без особого труда развивать и дальше. Однако куда полезнее на этом остановиться и констатировать бесспорный факт. Сколь бы мудрые и эрудированные люди ни обсуждали эту тему, все они в итоге вынуждены признать одно. По сию пору для науки так и остается неизвестным, что же это такое в действительности – Сознание. И откуда оно в наших мозгах берется…

Читать «Главная тайна Со-знания» далее

Posted on

Мужчины с ошеломительным оснащением

Фрагмент книги «Гигабайты власти» (2004) с компиляцией материалов 1999-2002 годов, посвященных теме TEMPEST

banksy

В безбрежном море научно‑исследовательских публикаций, посвященных технологиям связи и компьютерной обработки информации, время от времени появляются любопытные статьи, существенно раздвигающие представления общества о шпионских возможностях современной техники.

Нельзя сказать, что происходит это часто, но вот в начале 2002 г., к примеру, в Интернете были опубликованы сразу две новые работы, в которых эффектно продемонстрированы неизвестные прежде методы дистанционного съема информации с экранов мониторов и другого компьютерного оборудования.

Читать «Мужчины с ошеломительным оснащением» далее

Posted on

Бизнес в помощь

(Сентябрь 2013)

Шум прессы вокруг гранд-слива компромата от Эдварда Сноудена все время норовят опустить до мелочей и пустяков. То есть «понизить уровень дискуссии», выражаясь профессиональными терминами. Именно поэтому здесь хотелось бы уровень повысить. И поговорить о вещах действительно серьезных.

fiber_optic_cable_backbone

К мелочам и пустякам относятся не только концентрация на личности Сноудена или на проколах людей, занимающихся анализом и публикацией полученных от диссидента тысяч файлов.

Столь же несущественной, строго говоря, является и другая тема, обсуждаемая бурно и абсолютно бесцельно – о том, что «шпионы шпионят». Поскольку шпионят де чересчур много, без всякого стыда, совести и уважения законов.

А чем еще, интересно, им следует заниматься, если работа у них такая? Причем именно за эту бесстыжую шпионскую работу государство совершенно официально и платит своим разведкам деньги налогоплательщиков…

Но вот очень важный и близко связанный с этим вопрос – о больших деньгах, крутящихся вокруг шпионажа и национальной безопасности, а также о том, кто и как эти деньги «пилит» – все время как-то в поле дискуссий не попадает. А если и попадает, то быстро забалтывается и переводится в общее русло типа «борьбы с терроризмом».

Но вопрос на самом деле очень интересный.

Читать «Бизнес в помощь» далее

Posted on

BOSS и мусор следят за тобой

(Сентябрь 2013)

От Лондона до Нью-Йорка и Москвы – повсюду совершенно обычные люди в массе своей оказываются объектом постоянной и пристальной слежки со стороны властей и корпораций. В принципе, следящие понимают, что это не очень красиво, но остановиться уже не могут – уж больно заманчивы возможности технологий.

presence-orb

Для всякого человека, мало-мальски интересующегося проблемами защиты информации и обеспечения безопасности в целом, наверняка должны быть известны имя и блог Брюса Шнайера. Самым выдающимся талантом этого американского гуру является редкая способность – очень внятно и доступно излагать идеи, факты и концепции, принципиально важные для правильного, то есть разумного и спокойного реагирования на жизнь вообще и на всевозможные риски-угрозы этой жизни в частности.

То есть множество удачных идей или подходов, которыми постоянно оперирует Шнайер, как правило придумано вовсе не им. Но именно Шнайеру удается сформулировать вещи так, чтобы люди (а) обратили, наконец, на них свое внимание; (б) с их помощью могли оценить реальные риски; (в) оценив, перестали, наконец, бояться; и (г) начали думать, как решать реальные проблемы (а не бороться, к примеру, с терроризмом при помощи идиотских запретов на бутылки с водой, требований снимать обувь и заглядываний-прощупываний, что там у пассажиров в трусах).

Короче говоря, Шнайер убежден сам и очень доходчиво объясняет остальным, что массовым «терроризированием» населения (дословно, «сеянием ужаса») занимаются не столько преступники-террористы, сколько спекулирующие на искусственно раздутых угрозах власти и корпорации. Одни постоянно нагнетают в людях страхи для проталкивания непопулярных шпионских законов, другие – пользуются ситуацией для наращивания собственного шпионажа за потребителями. Но все делают это, фактически, ради собственных корыстных интересов.

Bruce Scheier, keynote address to Computers, Freedom and Privacy 2011 at Georgetown Law

Среди недавних публикаций Брюса Шнайера была, в частности, и статья, посвященная именно этой теме – весьма прибыльному и взаимовыгодному партнерству государства и бизнеса в области тотальной слежки за гражданами. Зачин этой статьи, в вольном пересказе, звучит примерно так.

Читать «BOSS и мусор следят за тобой» далее

Posted on

Крипто-акустика

(Январь 2014)

Акустические технологии – одно из самых экзотических, пожалуй, направлений в составе науки криптологии. Но и здесь имеется своя, довольно колоритная и богатая на события история.

acoustic-spies

Под самый конец уходящего 2013 года группа израильских ученых-криптографов  опубликовала в интернете весьма неординарную исследовательскую работу.

Суть этого исследования, если совсем вкратце, сводится к тому, что в принципе по одним лишь звукам работы компьютера удается реально восстанавливать секретный криптографический ключ, с помощью которого данный компьютер шифрует информацию…

Люди, имеющие скептический склад ума, но при этом не обремененные познаниями относительно обширной предыстории вопроса, тут же отвергли результаты израильтян – как технически невозможные и просто невероятные.

О том, сколь глупо выглядят «скептики», решительно отметающие любые факты лишь потому, что те противоречат их личным взглядам и опыту, рассказывать надо отдельно и с подробностями.

Здесь же – для общего представления о предмете и понимания глубины конкретно решенной задачи – лучше рассказать об истории появления и развития акустического направления в криптологии.

Читать «Крипто-акустика» далее

Posted on

Чума на ваши USB

(Август 2014)

Очередное открытие хакерского сообщества — угроза под названием BadUSB — совсем не случайно своим именем напоминает о BadBIOS. Природа у этих напастей, по существу, одна и та же.

badusb

По давней хакерской традиции на месяц август приходится один из главных ежегодных форумов этого сообщества — конференция Black Hat / Def Con в Лас-Вегасе, США. Среди множества докладов, как это повелось, непременно находятся и такие, о которых СМИ шумят особенно сильно — причем в данном случае практически всегда шум идет по делу, а не ради дешевой сенсационности.

В этом году еще за неделю до начала Black Hat USA особый резонанс в Интернете и компьютерной прессе получил анонс доклада под названием «BadUSB — об аксессуарах, обратившихся во зло». Авторами исследования являются германские хакеры Карстен Ноль и Якоб Лелль (Karsten Nohl, Jakob Lell) из берлинской фирмы инфобезопасности Security Research Labs.

Если в двух словах, то авторы работы тотально скомпрометировали повсеместно распространенную технологию USB — продемонстрировав такой самовоспроизводящийся вирус, который распространяется по каналам USB, невидим для стандартных средств антивирусной защиты, а самое главное, для которого сегодня в принципе нет эффективных средств борьбы и уничтожения.

Читать «Чума на ваши USB» далее

Posted on

«Никто кроме нас»

(Август 2014)

Продукция корпорации Apple продолжает оставаться особенной во всем — и в элегантном дизайне, и в удобствах для пользователей, и в специфических хитростях, ослабляющих защиту их информации. Не успел затихнуть громкий скандал вокруг «ошибки кода #gotofail«, как в iOS обнаружился еще целый букет закладок-бэкдоров.

An illustration picture shows the logo of the U.S. National Security Agency on the display of an iPhone in Berlin

Ныне всем уже, наверное, известно, сколь сложной и практически невыполнимой задачей является надежная защита информации в компьютере. Невыполнимой по той, в первую очередь, причине, что в эпоху «после Сноудена» доверие к любым коммерческим средствам инфобезопасности оказалось подорвано в самом корне. На фундаментальной, можно сказать, основе.

Ну какое тут, в самом деле, может быть доверие, когда документально и достоверно стало известно, что любые средства инфобезопасности, имеющиеся на рынке, абсолютно целенаправленно и на постоянной основе искусственно ослабляются. Причем зачастую делают это сами же изготовители – дабы облегчать доступ к данным для тех, «кому надо». То есть для могущественных инстанций, представляющих закон и государство.

Конечно же, в обществе по сию пору идут горячие дебаты относительно того, где именно должна проходить грань между «законным» доступом к данным (строго по предписанию суда) и «незаконным» шпионажем (когда просто берут все, до чего могут дотянуться). Но как бы там ни было, умышленное и тотальное ослабление средств инфозащиты – это очевидный и неоспоримый факт.

Ну а поскольку прямо и честно в таких вещах признаваться не принято, всегда интересно разбираться, как именно подобного рода трюки с ослаблением безопасности и криптографии происходят в каждом конкретном случае. Особенно, когда речь идет о какой-нибудь супер-успешной и знаменитой ИТ-компании. Типа, скажем, корпорации Apple…

Читать ««Никто кроме нас»» далее

Posted on

Визуальный вредонос

(Октябрь 2012)

Как говорил один мудрец, людям всегда удавалось намного талантливее, изобретательнее и остроумнее шпионить друг за другом, нежели защищать себя от подобных угроз. Новая программа PlaceRaider для изощренного шпионажа через смартфоны – еще один пример этой закономерности.

visual-malware

По давней традиции, принятой среди профессионалов в области слежки за врагами и ближними, тему побочных утечек компрометирующей информации обобщенно принято именовать кодовым словом TEMPEST.

За более чем полувековую – и по сию пору чрезвычайно секретную – историю Tempest-атак умельцам спецслужб удавалось придумывать столь поразительные технологии шпионажа, что порою противнику даже при тщательном изучении «захваченного в плен» устройства не всегда удавалось понять, как же эта штуковина работает.

eyemonitor Читать «Визуальный вредонос» далее

Posted on

Время не ждет

(Август 2014)

digicar

Прошел год после трагической смерти американского журналиста Майкла Хастингса, занимавшегося разоблачительными расследованиями и погибшего в автомобильной аварии при очень подозрительных обстоятельствах.

Ныне группа известных исследователей в области компьютерной безопасности, объединившихся в организацию «I am the Cavalry«, опубликовала открытое письмо (PDF) к руководителям автомобильной промышленности — с призывом не терять время и всерьез заняться, наконец, инфобезопасностью машин.

В частности, эта группа настаивает на реализации пяти ключевых программ, которые должны ощутимо улучшить безопасность автомобилей и тех средств кибер-защиты, что встроены в системы программного обеспечения, управляющего разнообразными функциями современных машин.

(О реакции автоиндустрии говорить еще рано, поэтому пока кое-что из предыстории… )

Читать далее о серьезности проблем в «сети на колесах» и об обстоятельствах гибели Майкла Хастингса: «Машина и преступление» (Август 2013).

1_mh-crash