dxdt.ru: занимательный интернет-журнал

Помните известную идею про “незапертую консоль”? То есть, оставленный без присмотра компьютер, на котором только что был выполнен логин добросовестным пользователем – и теперь система доступна проходившему мимо злодею? Вот в DARPA озаботились постройкой инструмента, позволяющего непрерывно мониторить, кто там за компьютером работает: тот же человек, у которого есть соответствующий доступ, или уже другой человек.

Для решения задачи предлагается вычислять некую поведенческую (“когнитивную”, как вариант названия) сигнатуру. Без использования специальной аппаратуры, на первом этапе. Сигнатуру можно строить, основываясь, например, на наблюдении за вот такими характеристиками использования компьютера:

• работа с клавиатурой, мышью;
• движение взгляда по экрану (скорость, способ чтения);
• методика поиска информации (ключевые слова, построение запроса);
• методика отбора информации (выделение слов, терминов и так далее);
• структура методов коммуникации (электронная почта, всякие IM).

Ну и, очевидно, придумают ещё всяких признаков.

На основе анализа перечисленных особенностей определяется индивидуальная сигнатура пользователя, которую в DARPA называют биометрической. Анализ может проводить ПО, установленное на компьютере локально. Ну а сама сигнатура служит для аутентификации. Одно из применений – дополнение к паролям, используемым при входе в систему.

Ни чуть не менее интересна такая технология системам контекстной рекламы и банкам – для определения ботов, занимающихся всякого вида “фродом” (злонамеренной имитацией деятельности реальных пользователей с целью незаконного вывода денежных средств).

Кстати, данная технология является разновидностью давней идеи об обнаружении “офлайновых событий” с помощью удалённого анализа статистики использования компьютерной техники, я писал об этом некоторое время назад.

Понятно, что есть куча других, не менее интересных, практических направлений использования столь замечательной технологии, если она будет создана. Пока что DARPA публикует только сообщение о том, что такие разработки требуются агентству. Исходный документ с описанием задачи – доступен на сайте FBO.

Вооружённый смартфоном человек охотно считывает при помощи камеры встретившиеся в окружающем пространстве особые метки-коды. Одни из самых популярных – QR-коды. Технология позволяет отправить веб-браузер, встроенный в смартфон, на произвольный URL (да, нужно подтверждение от пользователя, но, как показывает практика, это не проблема).

Самая занятная особенность использования QR-кодов вместе с Интернетом – в идеальной “геолокационной” функции. Изображения, размещаемые в офлайне, могут содержать уникальные коды. Разместивший знает, где именно какой код он оставил. А использование встроенной в смартфон камеры для распознавания изображения практически гарантирует, что пользователь, только что обратившийся по данной ссылке к веб-серверу, находится рядом с картинкой. Наклейка на столике в кафе “Лютик”? Будьте уверены, что пользователь – за этим столиком. Очень точная система. Не использует GPS и тому подобных штук, которые могут быть пользователем отключены.

Да, конечно, можно придумать несколько исключений: сохранил картинку, вышел из кафе, спустился в метро – только тут прочитал код. Но это далеко от реальных привычек массового пользователя.

Получается, потребитель QR-кода ничего не знает о том, что стоит за кодом. Человек даже не в состоянии прочесть этот код самостоятельно, без использования электронного устройства (сравните с “текстовым” URL). А вот владелец сервера, на который приходит браузер смартфона (мобильного устройства), напротив, обладает как минимум следующей информацией: некий IP-адрес, связанный с устройством (определяет оператора, провайдера, дополнительный источник данных о местоположении); тип устройства; тип ПО на этом устройстве, сведения о браузере; ну и весьма точные данные о местоположении пользователя в данный момент. Удобно, полезно.

По традиции, о капчах. На форуме RU-CENTER мы довольно давно сделали особую геометрическую капчу, но, вроде бы, я про неё не писал раньше. Пример этой капчи:

Капча многослойная. Например, до сих пор приходят сообщения, что там ошибка в тексте описания. Но никаких ошибок нет, просто текст описания является неотъемлемой частью капчи. Основная особенность этой капчи в том, что она отсекает “биороботов”.

Давно уже не секрет, что есть специальные интернет-сервисы, предлагающие услуги по разгадыванию капч людьми. Озвучиваются цены в несколько долларов (или даже в десятки центов) за тысячу разгаданных капчей. Сложно сказать с уверенностью, насколько эти сервисы эффективны, но практика показывает, что многие капчи, на первый взгляд добротные, пропускают спамеров в заметном количестве.

Вернёмся к геометрической капче от упомянутого форума. Для того, чтобы её разгадать, соискатель регистрации на форуме должен прочитать текст, верно сопоставить его с изображением, и построить ключевое слово. Выполнение задания требует хорошего знания русского языка, понимания элементарных математических терминов. Работающий в автоматизированной системе заказного разгадывания капчей человек, во-первых, с высокой долей вероятности вообще не знает русского языка, а, во-вторых, находится в жёстких временных рамках (отвечать на капчи, работая по найму, нужно максимально быстро) и не станет проводить миниатюрное исследование, чтобы разгадать простейший ребус. В итоге, разгадывание такой капчи силами “биоробота” оказывается экономически невыгодным. Чего, собственно, и требовалось добиться. А другие методы заведомо не работают, к сожалению.

Занятно: браузер Chrome в Рунете выбрался в лидеры, LiveInternet насчитали аж 18.6% (первое место). Судя по графикам, Chrome вытесняет IE. Как и предполагали ещё в прошлом году, одна из причин в отсутствии внятного браузера от Microsoft под Windows XP: IE9 там не работает. Но это только одна из причин, да.

Спустя примерно месяц, я вновь собрал SSL-сертификаты с серверов, на которые указывают домены .ru. Методика описана в прошлой записке по этой теме. Кратко повторю основные моменты: на первом этапе делается попытка определить адрес сервера (A-запись) для каждого из делегированных доменов (учитывая www.) в зоне .ru; из найденных серверов с уникальными IP выбираются те, у которых открыт 443-й порт (https); на заключительном этапе каждый из отобранных серверов опрашиваются на предмет SSL-сертификатов путём открытия https-сессии; собранные сертификаты разбираются при помощи OpenSSL.

В результатах “много цифр”, поэтому прячу под “Читать полностью”.

Читать полностью

Очень удобно, когда имя сети Wi-Fi (SSID) говорит само за себя, то есть, содержит прямое указание на “административную” принадлежность: avtosalon-gorod, bank-takoyto, cafe-apelsin. У удобства есть обратная сторона: всякие современные мобильные устройства, поддерживающие Wi-Fi, пытаясь найти знакомую точку доступа, передают в эфир имена сетей, к которым они раньше подключались.

То есть, наблюдая при помощи доступного “снифера” пакеты, отправляемые в эфир, можно легко определить, где бывает обладатель того или иного мобильного устройства (коммуникатора, планшета, ноутбука). Ну хорошо, точнее: где он подключается к Wi-Fi. А для особо активных устройств, “анонсирующих” множество известных им сетей, можно проделать обратную операцию – “угадать” владельца устройства, используя некоторую дополнительную информацию.

(Кроме того, список известных устройству сетей, очевидно, годится для того, чтобы это устройство заманить в специально подготовленную сеть.)

В корневой зоне DNS технологию удостоверения адресной информации DNSSEC развернули больше года назад. Напомню, что DNSSEC криптографическими методами удостоверяет записи об адресации внутри того или иного домена, сильно затрудняя их подделку. Сейчас можно воспользоваться этим полезным механизмом для доменов, находящихся в наиболее технологически развитых зонах верхнего уровня.

К сожалению, в домене ru DNSSEC появится неизвестно когда, но точно нескоро. Другой российский (по факту) домен – su, – хоть и заявлен недавно на конференции ICANN как поддерживающий DNSSEC, на практике, насколько я смог выяснить, не позволяет воспользоваться защитными механизмами. Записи об su в корне DNS подписаны, но в самой этой зоне мне не удалось найти ни одного подписанного домена второго уровня. Более того, не подписан даже домен администратора SU – fid.su. Для рядового же пользователя проблема в том, что, на практике, отсутствует механизм “привязки” подписанной зоны второго уровня к ключам домена SU.

(Addon (17/11/11): как пишут из ТЦИ, реестр SU поддерживает работу с DNSSEC, но регистраторы пока не реализовали свою часть. Ждём.)

Вообще, подписать саму зону можно не прибегая к услугам администратора домена верхнего уровня (см., например, nox.su, который я подписал в порядке эксперимента – сами записи в зоне подписаны, но цепочка рвётся в .su, разместить там нужные данные сейчас не представляется возможным). “Привязка” доменов к единой цепочке выполняется с помощью специальных DS-записей (Delegation signer), вносимых в зону, уровнем выше удостоверяемой, для построения иерархии, ведущей к корневому ключу (кстати, опубликованному на сайте IANA). Если делать всё добротно, то данные DS-записей для подписывания должны передаваться минуя DNS, по другим каналам, подразумевающим некоторую аутентификацию отправителя – иначе теряется большая часть смысла в развёртывании DNSSEC. Стандартный путь проходит через регистраторов доменов.

Итак, для получения работающей конфигурации пришлось dxdt.ru и nox.su предпочесть домен tooktook.org, так как зона .org корректно подписана и размещение DS-записей в ней поддерживается крупными регистраторами (я воспользовался GoDaddy).

Функционирование каждого домена обеспечивают серверы имён (NS). Для tooktook.org я взял пару серверов с BIND 9.7.3 (это известная реализация DNS-сервера), который полностью поддерживает DNSSEC. На сайте ISC есть подборка инструкций по настройке DNSSEC в BIND-е. Я не стану приводить подробных деталей, потому что это будет офтопик, на мой взгляд (если что, то пишите вопросы в комментарии). Сам процесс создания подписанной зоны DNS несложен, и сводится к генерации нескольких ключей (закрытых и открытых), с последующим удостоверением с их помощью записей в файле зоны. В пакете с BIND есть все утилиты: dnssec-keygen, dnssec-signzone и т.п. То есть, на входе у вас текстовый файл зоны без подписей, на выходе – текстовый файл зоны, но уже с дополнительными записями (RRSIG, DNSKEY), содержащими подписи и открытые ключи для их проверки.

После того, как зона подписана, генерируем DS-запись (записи), содержащую значение хеш-функции от открытой части ключа (KSK), с помощью которого подписан ключ (ZSK), удостоверяющий записи в зоне. (Пара ключей используется для удобства их ротации и оптимизации процедуры подписывания зоны. И, да, можно сгенерировать DS-запись до подписывания зоны.) В случае с доменом tooktook.org я без каких-то трудностей разместил DS-запись при помощи клиентского веб-интерфейса GoDaddy. На удивление, весь процесс – генерация подписанной зоны, размещение записей, – занял примерно 20 минут, включая ожидание обновления информации в DNS.

Теперь tooktook.org подписан (проверить можно с помощью веб-интерфейса от VeriSign). Зачем? Следующий шаг – проверка на практике технологии, дополняющей, с помощью DNSSEC, механизмы использования SSL-сертификатов в браузерах и уже поддерживаемой в Chrome. Нужно же посмотреть, что нас ждёт в ближайшем будущем.

В этом году “народное голосование” на сайте “Премии Рунета” не порадовало нас новой капчей. Похоже, просто доработана прошлогодняя. Но чтобы не нарушать традиции с разбором капчи и предложением общего решения для роботов, поделюсь ссылкой на прошлую записку по теме, с описанием методов автоматического решения.

Update (25.11.11): в итоге капчу поменяли на ходу (видимо, накрутки давали о себе знать); новый вариант – reCAPTCHA, стандартное решение со словами.

Вот, кстати, с АМС “Фобос-Грунт” связь возможна в редких окнах. Для того чтобы бороться с подобными неприятными эффектами в отношении других аппаратов готовят специальные спутники-ретрансляторы. Например, “Луч-5А”, который, как пишут, доставили на Байконур:

Запуск ракеты космического назначения «Протон-М» с разгонным блоком «Бриз-М» и кластером из двух спутников – российского «Луч-5А» и израильского «Амос-5» (AMOS-5) запланирован на декабрь.

Раньше для обеспечения связи использовали сеть наземных станций и станций морского базирования. Сейчас эта сеть явно поредела. Но спутники-ретрансляторы, это, конечно, более прогрессивное решение. Хотя, в стратегическом смысле, гораздо менее гибкое, если сравнивать с наземной сетью: ведь для обеспечения связи нужно ещё и уверенно управлять самим ретранслятором, а он находится на орбите. Наземные же системы, очевидно, более доступны для перенастройки, замены, обслуживания.

Занятно, что, в теории, для связи со спутником на низкой орбите, – а это и есть случай “Фобос-Грунта”, – необязательно городить огромную станцию с многометровыми антеннами. Можно использовать мобильный комплект оборудования, умещающегося в один автомобиль. Посудите сами: это примерно та же ситуация, что и организация спутниковой телефонной связи. Да, конечно, в случае с космическим аппаратом мощность передатчиков и чувствительность бортовых приёмных антенн могут быть не самыми подходящими. Но не в такой степени, чтобы с расстояния в несколько сотен километров не было возможности принимать телеметрию, если уж не компактным любительским радиосканером, то с грузовичка.