Архив метки: Росс Андерсон

Смарт-карты: что показало вскрытие

(Сентябрь 2003)

Обзор методов взлома «самой безопасной» компьютерной технологии – как финал большой трехчастевой подборки материалов о защите платного ТВ (другие части см. тут: текст 1, текст 2).

camtamper

Индустрия смарт-карт переживает ныне период мощного расцвета. В 2002 году по всему миру было продано чуть меньше 2 миллиардов интеллектуальных карточек со встроенным микрочипом, а в ближайшие годы ожидается рост этих цифр в разы.

Причины тому просты, коль скоро области применения смарт-карт все время расширяются: от телефонной карты до жетона аутентификации пользователя ПК, от «электронного кошелька» для хранения цифровых наличных и до цифрового паспорта-идентификатора граждан.

Массовое внедрение смарт-карт в повседневную жизнь сопровождается непременными заверениями официальных представителей индустрии о том, что чип-карты – это наиболее безопасная из существующих на сегодня технологий, их, де, очень сложно, практически невозможно вскрывать. Однако так ли обстоят дела на самом деле?

Типичная смарт-карта – это 8-битный микропроцессор, постоянное запоминающее устройство или (ROM), оперативная память (RAM), электрически перепрограммируемая память (EEPROM или FLASH, где, в частности хранится криптографический ключевой материал), последовательные вход и выход. Все это хозяйство размещается в одном чипе, заключенном в корпус – обычно, пластиковую карту размером с кредитку.

Нравится это кому-то или нет, но вскрытие смарт-карт – явление весьма давнее и распространенное повсеместно. Как свидетельствуют специалисты, примерно с 1994 года практически все типы смарт-карточных чипов, использовавшихся, к примеру, в европейских, а затем в американских и азиатских системах платного ТВ, были успешно вскрыты кракерами методами обратной инженерной разработки.

Скомпрометированные секреты карт – схема и ключевой материал – затем продавались на черном рынке в виде нелегальных клон-карт для просмотра закрытых ТВ-каналов без оплаты компании-вещателю. Меньше освещенной в прессе остается такая деятельность, как подделка телефонных смарт-карт или электронных кошельков, однако известно, что и в этой области далеко не все в порядке с противодействием взлому.

Индустрии приходится регулярно заниматься обновлением технологий защиты процессора смарт-карт, кракеры в ответ разрабатывают более изощренные методы вскрытия, так что это состязание еще далеко не закончено.

Смарт-карты в своих потенциальных возможностях имеют целый ряд очень важных преимуществ в сравнении с другими технологиями. Обладая собственным процессором и памятью, они могут участвовать в криптографических протоколах обмена информацией, и, в отличие от карточек с магнитной полоской, здесь хранимые данные можно защищать от неавторизованного доступа.

Беда лишь в том, что реальная стойкость этой защиты очень часто переоценивается. Далее будет представлен краткий обзор наиболее важных технологий, используемых при вскрытии смарт-карт.

Эта информация важна для любого человека, желающего получить реальное представление о том, как происходит вскрытие защищенных устройств и каких затрат это стоит. Естественно, тщательное изучение применяемых методов вскрытия позволяет вырабатывать адекватные контрмеры и создавать намного более эффективную защиту смарт-карт.

Читать далее Смарт-карты: что показало вскрытие

Надежно ли защищены смарт-карты?

(Март 1999)

Одна из наиболее ранних публикаций о крипто-хакинге и обратной инженерной разработке микрочипов.

Smart-cards

По прогнозам фирмы Dataquest, рынок смарт-карт ожидает значительный скачок от нынешних 941 миллиона карт в год до 4,7 миллиардов в 2002 г.

Смарт-карта – инженерно-техническое устройство размером с кредитную карточку, которое содержит миниатюрный компьютерный чип и используется для самых разнообразных целей: от аутентификации пользователя ПК, хранения его криптографических ключей, шифрования электронной почты и вплоть до хранения так называемых «цифровых наличных».

При этом, как достаточно уверенно заявляют официальные представители смарт-картной индустрии,

«чип-карты являются наиболее безопасной из существующих технологий. Их очень сложно вскрывать».

Но так ли это на самом деле?

Читать далее Надежно ли защищены смарт-карты?

«Как-то раз Алиса и Боб заходят в бар…»

(Декабрь 2003)

Просто набор занятных коротеньких сюжетов из нашей странноватой жизни

Alice-and-Bob

Физики продолжают шутить

В декабрьском (2003 г.) номере журнала Physics World опубликованы результаты небольшого исследования-опроса «Юмор в физике», проведенного среди ученых за осенние месяцы. Несколько сотен писем подтвердили, что с юмором у ученых по-прежнему все в порядке. Но поскольку подобные исследования проводятся уже не первое десятилетие, множество шуток распадается на достаточно четко структурированный набор классов.

Читать далее «Как-то раз Алиса и Боб заходят в бар…»

Зияющие вершины

В текущих новостях 2015 г. явно обозначился очередной виток нескончаемой борьбы с так называемым «пиратством». В частности, стало известно, что в новой ОС Microsoft Windows 10 защита «высококачественного контента» от нелегального копирования будет возложена не на программные (как обычно), а на аппаратные криптографические средства компьютера… Имеет смысл вспомнить, как это все начиналось.

(Январь 2004)

Babel-T-escher

Начиная с весны прошлого (2003) года, почти каждый месяц приносит какое-нибудь новое известие о все более отчетливой и конкретной материализации инициативы под завлекательным, на первый взгляд, названием Trusted Computing (TC).

На русский доходчивее всего это можно перевести как “ДоверяйКо” (от Доверяемый Компьютер). Ныне многим уже, вероятно, известно, что несколько лет назад несколько ведущих фирм-изготовителей компьютерной индустрии — Intel, IBM, AMD, HP Compaq и Microsoft — объединились в консорциум, чтобы “более широко внедрять доверие и безопасность в разнообразные компьютерные платформы и устройства — от ПК и серверов до карманных компьютеров и цифровых телефонов”.

Поначалу альянс назывался TCPA, а с апреля 2003 года все затеянные работы по внедрению доверия ведутся под эгидой специально созданной ради этого “открытой промышленной группы” Trusted Computing Group, она же TCG (www.trustedcomputinggroup.org). К настоящему времени членами TCG являются свыше 200 компаний самого разного профиля и масштаба.

Платформе партии — доверяем… Или нет?

Итак, цель, поставленная альянсом, звучит очень благородно — “создание архитектурной платформы для более безопасного компьютера”. Вот только позиции, с которых в TCG определяют “безопасность”, вызывают сильные возражения у очень многих независимых и авторитетных экспертов в области защиты информации.

Потому что машины, создаваемые по спецификациям Trusted Computing, будут более “доверяемыми” с точки зрения корпораций, создающих программное обеспечение, и индустрии развлекательного контента. А вот с точки зрения самих владельцев новых компьютеров доверия к машинам станет значительно меньше.

Потому что совершенно очевидно — в конечном счете спецификации “ДоверяйКо” перемещают весь контроль за работой ПК от владельца к тем, кто изготовил программы и создал файлы по лицензии TCG.

Читать далее Зияющие вершины

Инженерия Науки

 (Апрель 2014)

О том, что инакомыслящие — также известные как хакеры — крайне полезны в области укрепления инфобезопасности, наслышаны, наверное, все. А вот идея о том, что подобная категория людей жизненно необходима еще и для развития науки, пока что звучит довольно редко. (Текст весьма большой и разветвленный, предупреждение на всякий случай.)

MechanicsCogs

= 1 =

В марте нынешнего (2014) года имели место два почти синхронных события – на первый взгляд, абсолютно никак друг с другом не связанных и примечательных просто сами по себе.

Но в действительности, как известно (т.е. о чем ныне в курсе уже практически все, кто не в танке), любые события этого мира так или иначе находятся между собой в тесных или не очень тесных, но взаимосвязях. Выявление же глубоких, однако пока что не очевидных связей, соответственно, позволяет обнаружить и некие скрытые до поры тенденции развития. А значит – более аккуратно прогнозировать будущее. Ну а кому не интересно, что ожидает нас в будущем?

Короче говоря, речь идет о таких двух событиях.

Читать далее Инженерия Науки

Ощущение и реальность

(Ноябрь 2009)

На стыке областей, исследующих психологию и проблемы безопасности, рождается новая наука.

whoagainstus

Видный английский криптограф Росс Андерсон, возглавляющий в Кембриджском университете лабораторию компьютерной безопасности, завел на своем веб-сайте чрезвычайно информативную страницу Psychology and Security Resource Page (www.cl.cam.ac.uk/~rja14/psysec.html).

Как можно понять уже по ее названию, это страница сетевых ресурсов, посвященных совсем новой, но уже весьма обширной междисциплинарной области, лежащей на границе безопасности и психологии. Иначе говоря, здесь собраны и продолжают накапливаться ссылки на большое число важнейших статей, семинаров и значимых книг, домашних страниц активных исследователей и других содержательных источников в тему.

Благодаря целенаправленным усилиям самого Андерсона и его не менее известного американского коллеги Брюса Шнайера, за несколько последних лет удалось существенно расширить интересный и содержательный диалог между психологами и специалистами по безопасности. Что же в этом взаимодействии важного и чем оно так интересно?

Читать далее Ощущение и реальность

Психология безопасности

(Август 2008)

О человеческом факторе в защите компьютеров, сетей и самого человека.

psy-sec

В самый разгар лета (2008) Массачусетский технологический институт, США, стал местом проведения весьма неординарной конференции под названием «Первый междисциплинарный семинар по безопасности и человеческому поведению» или кратко SHB 08 (от Security and Human Behavior, подробности см. www.cl.cam.ac.uk/~rja14/shb08/agenda.html).

Количество участников мероприятия было очень небольшим, меньше полусотни. А о существовании такой конференции весь остальной мир узнал лишь вместе с ее началом – из блогов организаторов да нескольких статей специально приглашенных журналистов.

Собственно говоря, и абсолютно каждый из участников семинара получил на него индивидуальное приглашение от организаторов. Но замечательна данная встреча, конечно же, вовсе не этой «секретностью».

Читать далее Психология безопасности