dxdt.ru: занимательный интернет-журнал

Популярная тема: давайте сделаем шифрование обязательным элементом HTTP. Речь, понятно, о новой версии протокола HTTP2 (2.0). Это такой способ борьбы с массовой “слежкой через Интернет”, которая сейчас регулярно фигурирует в газетных заголовках. Конечно, шифрование полезно. Но в случае с HTTP есть интересные моменты.

Так, с трафиком работает большое количество разнообразных программно-аппаратных комплексов, не занимающихся “слежкой” как таковой. Хороший пример: системы обнаружения атак и средства противодействия этим атакам. С зашифрованным трафиком они работать не смогут, так как там, по определению, не существует сигнатур, связанных с атаками уровня протокола HTTP, да и вообще – анализировать, с целью обнаружения атак, особенно нечего. Скажем, сейчас, при работе защищаемого веб-ресурса по HTTPS, анализаторы трафика (специальные брандмауэры и разные “гарды”) используют сеансовые ключи, которые в их сторону экспортирует веб-сервер. Эти ключи позволяют просматривать, фильтровать трафик и отрабатывать атаки. Естественно, в случае с тотальным шифрованием – владельцам важных веб-ресурсов поступать придётся точно так же, а ведь именно их трафик и представляет интерес.

Что это означает? А вот что: за периметром, во внутренней сети, трафик всё равно будет нешифрованным. И тотальное введение шифрования HTTP всего лишь сузит круг тех организаций, которые смогут читать “шифрованный” трафик, резко подняв порог доступа. Да, не смогут работать провайдерские системы DPI, пытающиеся балансировать нагрузку и выявлять всякую вредоносную активность, а попутно – строить поведенческие профили пользователей. Но если для анализа трафика используется порт, установленный во внутренней сети крупного сервиса, проблем с анализом не будет. И, естественно, если сервис передаёт вам сеансовые ключи, то трафик можно расшифровывать самостоятельно, записывая его на любой доступной точке.

Странно опять читать “новость” о том, что у АНБ есть доступ к трафику, идущему по подводным оптоволоконным кабелям. Идея с организацией дополнительных подключений старше самих подводных линий связи. И, в случае с первыми такими линиями, каких-то сомнений насчёт считывания данных не было и более ста лет назад. Дилемма, обычно, возникала другая – что важнее: перерезать кабель в случае военного конфликта или продолжать слушать?

Задача технической разведки состоит в том, чтобы использовать все доступные уязвимости систем связи для получения информации. Это основа, хорошо известная. А следующий логичный шаг – это самостоятельное создание таких уязвимостей, то есть, переход к активному методу перехвата. Новостей тут нет уже сто лет. Как минимум.

Написал для издания TheRunet.com очередную колонку, на этот раз – про управление боевыми роботами, обладающими “летальным действием”.

На фото ниже – поворотная часть наплыва пятого лётного ПАК ФА. Если судить по значку “ионизирующее излучение”, то внутри наплыва находится передатчик и антенна РЛС, как, собственно, и было заявлено разработчиками ранее. Подобное решение, без сомнения, сильно увеличивает возможности радиолокационного оборудования истребителя, так как добавляет несколько метров к физическому “базису” антенны, приёмных и передающих модулей. Интересен другой вопрос: как скажутся на степени радиолокационной заметности эти дополнительные антенные секции, да ещё и расположенные в поворотном агрегате, который периодически меняет их ракурс?

На фото – антарктическая нейтринная обсерватория IceCube:

Обсерватория, строительство которой завершили в 2010 году, использует детекторы, размещённые в толще льда на специальных “подвесах”. Общий объём льда, служащего в качестве “экрана”, приближается к кубическому километру. Да. Неплохое место действия для научно-фантастического детектива.

В Renesys нашли много подтверждений тому, что целевой перехват трафика в Интернете реализуется и путём подмены маршрутов через BGP. Странно, конечно, что они в заголовке называют такое явление “новой угрозой” (The New Threat) – подобные методы известны достаточно давно: например, я писал об одном из сценариев BGP-перехвата в начале 2010 года, это равно тот механизм, который пронаблюдали в Renesys. Но, похоже, сейчас к этой теме привлекут внимание.

Проблема там следующая. Логическую основу Интернета, как сети передачи данных, составляют автономные системы (AS) – это обособленные вычислительные сети, имеющие собственную административную и техническую политику. Существует старый протокол BGP, по которому пограничные узлы-маршрутизаторы автономных систем обмениваются информацией об известных путях доставки пакетов данных. Эти пути (“роуты”) формируют динамическую глобальную систему маршрутов, благодаря которой пакеты от узла в одной автономной системе могут быть доставлены узлу в другой автономной системе, проследовав через ряд транзитных автономных систем. Так работает глобальная Сеть. У BGP есть фундаментальные особенности, которые позволяют автономным системам, активно манипулирующим маршрутами, “заводить” к себе трафик, предназначенный для любой другой автономной системы. Делать так можно даже в том случае, если атакующая система не являлась, в штатном варианте, транзитной для перехватываемого пути (маршрута). Другими словами – узел, находящийся, например, в Праге, может слушать IP-трафик между двумя узлами, находящимися в Вашингтоне.

Почему это возможно? Грубо говоря, потому, что в BGP нет эффективных механизмов проверки того, какие маршруты могут проходить через данную автономную систему. Глобальная таблица заполняется на основе так называемых анонсов, которые выдают пограничные маршрутизаторы, если маршрутизатор анонсирует “чужой” маршрут, то, часто, обнаружить это удаётся только после того, как трафик уже утёк. (Англоязычное название явления: Internet route hijacking.) Очевидно, что трафик, следующий по перехваченному маршруту, может прослушиваться в транзитной автономной системе – для чего и делается перехват. При этом существуют методы, позволяющие скрыть следы такого перенаправления.

Противодействуют перехвату маршрутов с помощью различных фильтров, вводимых в точках обмена трафиком. Это не слишком эффективный способ. Радикально решить проблему может глобальное введение особой системы электронных подписей анонсов маршрутов – инициатива называется RPKI, она более или менее активно развивается сейчас. Видимо, шумиха подстегнёт развитие.

(Кстати, а в материале Renesys, отчего-то, упоминаются белорусские сети, замеченные в описанной выше подмене маршрутов.)

На фото (КнААЗ) – ПАК ФА в новом, примерно “морском”, камуфляже:

Другие фото на сайте КнААЗ.

Хорошо известно, что спецслужбы разных государств используют в целях разведки территории собственных посольств: здесь, например, можно разместить антенны и принимать локальный коммуникационный трафик. При этом, возможности более или менее свободного применения технических средств ограничены территорией посольства. Да, разные специальные устройства для сбора информации могут быть размещены и за территорией, но это уже несколько другая история: пространство вокруг посольства контролируется государством, где это посольство размещено.

А вот если рассматривать Интернет как новое “виртуальное пространство”, то ситуация тут хитрее. “Посольства” здесь есть у многих государств, а вот принимающей стороной выступает ряд “надгосударственных” образований (например, ICANN). При этом, если взять – и огородить суверенный национальный сетевой сегмент, с целью предотвращения в нём “бурной иностранной деятельности”, то окажется, что, из-за технических особенностей организации Сети, потеряны выходы в общее пространство, где можно было бы вести самостоятельную, вполне активную, деятельность по сбору полезной информации и анализу разных “метаданных”. И не так просто определить, что тут важнее: закрытие сетевых границ или игра на чужом, пока что, информационном поле.

В продолжение истории “отпечатанного” 3D-принтером металлического пистолета. Оборудование, которое использовали для изготовления этого пистолета – весьма дорогое. Точнее, из оборудования там один станок, сам принтер. То есть, по сравнению с другими схемами организации производства данного пистолета, получаем существенное упрощение: вместо нескольких специализированных станков – один, пусть сложный, но самодостаточный.

Понятно, что простой пистолет, классической конструкции, можно изготовить в мастерской, не имеющей современных средств производства. При этом потребуется не только несколько станков, но и высококвалифицированный специалист, который с этими станками сможет управиться. Либо несколько специалистов, каждый работает на своём участке. Пистолет может быть довольно сложным механизмом, и тут, при классическом подходе, требуется сверлить стволы, штамповать детали рукоятки и так далее.

Современным вариантом производства была бы линия, где автоматические станки изготавливают детали, из которых другие автоматы тут же собирают готовое изделие. Разработка, наладка и пуск такой линии – уже весьма сложный процесс.

Вариант же с 3D-печатью позволяет качественно пересмотреть организацию производства: станок один, работает автономно, делает сразу весь комплект, а модели загружаются из Сети. Удобно. Новый уровень. В этом и преимущество. Хотя, в жилой комнате пока не разместить.

Авианосец для Индии “Викрамадитья” окончательно поставили на ход и он, наконец-то, отправляется к берегам заказчика:

Авианосец “Викрамадитья” покинет российские территориальные воды в конце ноября 2013 года. Корабль совершит дальний переход и прибудет в Индию в конце января – начале февраля 2014 года.

Сегодня исполняется 25 лет первому и последнему орбитальному полёту советского космического корабля “Буран”, который был успешно выполнен 15 ноября 1988 года. “Буран” – прежде всего военная разработка, выполненная, в общем-то, в рамках идеи о военном использовании космоса посредством некоторой, более гибкой, чем МБР, системы. Развитием могли быть и орбитальные бомбардировщики, и даже десантные корабли. Тема эта популярна до сих пор. Например, к ней относится современная Штатовская концепция “быстрого глобального удара”.