дактилоскопия

14 июня, 201714 июня, 2017

АА+ИИ… и не нужно никаких паролей

(Июнь 2017)

То, что связка логин+пароль это слабое и неудачное решение для защиты доступа, хорошо понимали даже полвека назад, на заре компьютерной эпохи. Но вот что применять взамен – постигать начали совсем недавно…

Между прошлым и будущим

Случилось так, что в мае 2017 произошла весьма символичная встреча инфотехнологий прошлого и будущего – в той особенной области человеческой деятельности, что обычно принято именовать «контроль доступа и защита информации».

Если говорить о прошлом – и настоящем – этого дела, то в первых числах мая компьютерные пользователи всего мира отмечали довольно необычный праздник (о котором большинство людей, возможно, даже не в курсе). Международный праздник называется «День паролей» или World Password Day, отмечается 4 мая, а учрежден ради пропаганды грамотного использования этой важной меры безопасности среди широких народных масс.

Что же касается будущего, то в последних числах мая СМИ впервые сообщили о том, что корпорация Apple активно работает ныне над весьма необычным новым чипом – носящем название Neuro Engine или «нейродвижок» в более-менее адекватном переводе на русский. Грамотные обозреватели рынка в общем-то в курсе, что термин «нейро-» применительно к процессору означает аппаратное воплощение идеи нейросетей для систем искусственного интеллекта.

Однако сама компания Apple, знаменитая своей скрытностью, пока что категорически не желает ни комментировать слухи о новом чипе, ни – тем более – раскрывать цели его создания. Иначе говоря – пока это как бы загадка и «коммерческая тайна» фирмы.

Но с другой стороны, если хорошо представлять себе ту непростую ситуацию и проблемы, что давно характерны для роли паролей в сфере инфозащиты, то нынешняя инициатива Apple выглядит не только не загадочной, но и более того, совершенно естественной и своевременной. Если знать, конечно, каковы на сегодня важнейшие идеи и тенденции относительно ближайшего будущего в этой горячей области.

И поскольку просто так – в лоб – раскрывать «великую тайну» о новой разработке корпорации-гиганта было бы и неинтересно, и не особо убедительно, имеет смысл рассказать историю иначе. О том, что за беды и проблемы с этими паролями были всегда, какими способами их пытаются решать сегодня, почему это тоже не лучшее решение, и как, наконец, будет выглядеть действительно сильная защита доступа в нашем недалеком грядущем.

При такой подаче материала для понимания новой инициативы Apple уже не понадобится ни домыслов, ни дополнительной информации от инсайдеров. Но дабы картина эта выглядела действительно внятной и убедительной, прежде желательно иметь четкое представление о том, что же сегодня понимают под «сильными паролями». И почему эту силу так трудно обеспечить.

Читать «АА+ИИ… и не нужно никаких паролей» далее

27 сентября, 201527 сентября, 2015

Ключ от парадной двери

(Сентябрь 2015)

Странные и удивительные дела творятся ныне вокруг технологии сканирования отпечатков пальцев в смартфонах.

С одной стороны, грамотные специалисты по инфобезопасности отлично знают, что дактилоскопическая биометрия может быть легко подделана злоумышленниками. А защита компьютеров и данных с помощью сканера отпечатков пальцев – это скорее средство отпугивания случайных чужаков, нежели надежное средство контроля доступа. Причем все последние исследования дают массу новых подтверждений этим давно установленным фактам.

Глядя же с другой стороны, можно видеть, как именно сейчас в ускоренных темпах раскручиваются глобального масштаба инициативы по массовому внедрению мобильных платежных систем вроде Apple Pay, Android Pay или Samsung Pay. Систем, очевидно конкурирующих друг с другом, однако имеющих одну существенную общую черту. Все они непременно опираются на сканер отпечатка пальца, фигурирующий в качестве ключевой технологии защиты в основе смартфона как цифрового кошелька и базового инструмента для быстрых бесконтактных переводов денег.

Более того, в скандинавской стране Норвегии, устойчиво лидирующей в списках наиболее благополучных и технически передовых государств планеты, сразу несколько ведущих банков объявили в 2015 году о «революционных новациях» в своей работе. Теперь их клиенты могут загружаться в свои онлайновые банковские кабинеты не через традиционную процедуру авторизации, а гораздо проще – с собственного смартфона через сканер отпечатка пальца.

Если принять во внимание, что в этих банках для онлайновой работы с клиентами уже давно применяется достаточно надежная трехчленная процедура идентификации BankID (персональный ID-номер + секретный пароль + одноразовый код доступа, генерируемый компьютером), то нынешний поворот к упрощению проверки личности порождает у специалистов вполне естественные вопросы.

Понятно ведь, что в банках обычно работают опытные и компетентные люди, способные объективно оценивать преимущества и силу одних технологий по сравнению с другими. И если на замену одной форме защиты вводится существенно иная, в традиционных представлениях менее надежная, то это означает, скорее всего, что чего-то тут народу не договаривают.

Читать «Ключ от парадной двери» далее

19 июня, 201320 сентября, 2013

Улики под сомнением

(Впервые опубликовано – июль 2007)

Криминалистика – наука без научных критериев достоверности?

Постоянный рост доли преступлений, так или иначе совершаемых с применением компьютеров, – это, ясное дело, вполне закономерное следствие процессов всеобщей компьютеризации.

С одной стороны, остается лишь радоваться, что никому, похоже, не приходит в голову навязчивая идея винить именно компьютерные технологии в никак не снижающемся уровне преступности. С другой же стороны не может не озадачивать определенная, скажем так, неадекватность, с которой подобного рода технологии зачастую воспринимаются в судах.

Особенно в тех моментах, что связаны с извлекаемыми экспертами из компьютеров доказательствами вины – в виде разного рода лог-файлов и содержимого технических полей в файлах прочих данных и программ.

Как показывает жизнь, имеется вполне отчетливая тенденция к излишне завышенным оценкам достоверности подобного рода улик.

Типичный тому пример дает одно из недавних решений американского суда, по убеждению которого компьютерные записи «уникально надежны в том смысле, что они были сгенерированы компьютером, а не являются результатом записей человека»…

Для любого компьютерного специалиста – да и просто продвинутого пользователя – вполне очевидно, что сформулировать подобную идею мог лишь тот мыслитель, кто очень смутно представляет себе принципы работы компьютера и степень возможного контроля человека за содержимым файлов.

Конечно, в среде компьютерных экспертов, участвующих в криминальных расследованиях, имеется достаточно много честных и знающих людей, которые в своих выступлениях и статьях пытаются донести до суда, полиции и общества в целом более адекватное представление о реальной картине.

О том, что содержимое любого лог-файла при желании можно менять, что имеются и доступны специальные, несложные в управлении утилиты для быстрой перезаписи содержимого в технических полях файлов, невидимых обычному пользователю.

О том, наконец, что грамотный злоумышленник может сделать с содержимым компьютера что угодно – хочешь, вычистить практически все обычно доступные улики, а хочешь, залить в память машины тучу фальшивых доказательств вины вполне натурального вида.

Но главная проблема в том, что компьютерные улики – это лишь наиболее очевидный пример излишнего доверия правосудия к не особенно надежным доказательствам. И если копнуть чуть поглубже, то нечто весьма похожее откроется и в других, куда более освоенных областях криминалистической науки. Читать «Улики под сомнением» далее