ТАСС сообщает:

Продукт российских инженеров из НИЯУ МИФИ представляет собой беспроводную гарнитуру. Устройство подключается к смартфонам на базе операционной системы iOS и Android и на аппаратном уровне защищает переговоры от прослушивания.

Неизвестно, как работает данная гарнитура, но идея – здравая: если вы шифруете голос прямо в гарнитуре и правильно распределяете ключи, то нет особой разницы, содержит “транспортная операционная система” бекдоры или не содержит. Такие решения использовались и раньше, достаточно давно. Например, предоставленные “заокеанскими партнёрами” спутниковые телефоны снабжались надстройкой – скремблером, обрабатывавшим аналоговый речевой сигнал и преобразовывавшим его в тоже аналоговый сигнал, но зашифрованный, который уже отправлялся в трубку телефонного аппарата. Таким образом переговоры, шедшие через чужое оборудование, оказывались недоступны для прослушивания партнёрами. С цифровыми устройствами дело обстоит даже несколько проще.

(В случае с новостью, процитированной выше, некоторые сомнения вызывает заявленная защита “текстовой переписки и обмена файлами” – зачем здесь может понадобиться гарнитура? Разве что в качестве аппаратного криптомодуля.)



Комментарии (4) »

Новый сайт у “Почты России“. HTTPS – в качестве основного протокола, запросы с HTTP – редиректят на соответствующие URL с HTTPS. Поддерживается TLS 1.2; соответственно, AES в режиме GCM. Нет только ECDSA, а то был бы самый пик технологий TLS. Но и в действующей конфигурации сайт можно приводить в пример внедрения TLS на сайте крупного ФГУП.



Комментарии (3) »

Биометрическая информация – это те или иные сведения об устройстве конкретного организма, позволяющие этот организм отличить от любого другого (ну, или почти от любого). Самый известный вариант, применительно к человеку, отпечаток пальца. Не менее широко известен и соответствующий электронный инструмент – сканер отпечатка пальца. Такие сканеры теперь широко используют в качестве элемента системы авторизации, вместо пароля (то есть, даже не в дополнение к паролю, как следовало бы, а вместо). Отпечатки крадут из баз данных. Это делается дистанционно, без ведома и участия носителя отпечатка. Отпечатки можно получить и разными другими способами: например, сфотографировать, снять со стакана. Всё это касается не только пальцев, но и прочей биометрии. Информационные технологии автоматизируют и получение биометрических данных и их использование.

К чему всё это приведёт? В обозримой перспективе – к появлению всё более совершенных биометрических имитаторов. Например, продвинутый имитатор пальца должен иметь систему нагрева, некий суррогат кровеносной системы, детальный, вплоть до сердцебиения, встроенную кость, повторяющую настоящую по плотности и “трубчатости”. Имитатор управляется микроконтроллером, а блок, собственно, отпечатка – печатается на принтере (не обязательно 3D) и присоединяется через особый механический интерфейс. Сканеры постараются оснастить дополнительными “детекторами живого пальца”, но они здесь обязательно будут сильно проигрывать. По той причине, что добавление в сканеры всё новых и новых параметров, позволяющих отличить настоящий палец от имитатора, приводит не только к удорожанию сканера, но и к тому, что он перестаёт срабатывать на вполне живых людях – пальцы-то у всех разные, так что с некоторого момента в ряд имитаторов будет записан какой-нибудь вполне натуральный человек.

Остаётся надеяться, что ситуация повлияет на отношение к биометрическим данным и к их роли в системах авторизации. Вообще говоря, с древних времён известно: даже узнанный часовым человек, хорошо знакомый, но не сумевший назвать пароль, в крепость пройти не может, какая бы там не была биометрия – настоящая или с имитацией.



Comments Off on Имитаторы биометрии

Как известно, гражданский сигнал GPS может быть модифицирован оператором так, чтобы резко снизить точность (либо вообще сделать использование сигнала бесполезным). Искажения можно включать для определённых регионов на земле (сейчас пишут про территорию Сирии). Военный сигнал не только отделён от гражданского, но и содержит дополнительные ключи и опорную информацию, поэтому продолжает давать точные данные, если только его не задавили помехами. Ставить помехи масштабным военным системам GPS не так уж и просто. А самое интересное, что отличным инструментом порчи спутниковой навигации является помехопостановщик, находящийся на орбите. Я писал об этом несколько лет назад, и не один раз. Так что интереснее обсуждать вариант, когда GPS не только портит свой сигнал, но и служит источником помех для конкурирующих систем, конечно, только над некоторой территорией. (Естественно, никто не отменял различных секретных спутников, также находящихся на орбите – но они не так хорошо подходят для глобального воздействия, просто потому, что их меньше, и они вряд ли предназначены для таких экзотических задач.)

Addon: поясню – основное преимущество спутника GPS, как активного помехопостановщика, мешающего работе других систем (например, ГЛОНАСС), в том, что этот спутник заточен на работу со сходными сигналами. То есть, он оснащён передатчиками, антеннами и задающей управляющие параметры вычислительной техникой, которые предназначены для формирования именно такого сигнала, который используют приёмники других систем. Естественно, кодирование и частоты отличаются, но они логически очень близки к возможностям спутника GPS.



Комментарии (2) »

Пишут, что Windows Update некоторое время раздавал весьма странный патч для Windows 7. Так, описание обновления представляет собой строку символов, которая практически неотличима от тех псевдослучайных последовательностей символов, которые получаются у разработчиков, когда они наобум пробегают по клавиатуре пальцами – ну, вместо того, чтобы набрать какой-нибудь типовой тестовый текст, типа “This is not a virus”.

Microsoft утверждает, что случайно тестовый патч выкатился на сервера обновлений. Как такое могло произойти? В большой корпорации, занимающейся программными системами, под которыми работает большая часть компьютеров мира, – могло произойти всё что угодно, особенно, если это касается системного администрирования. Поэтому объяснение, в принципе, выглядит нормально. Но гораздо интереснее представить, что силами Microsoft пытались провести целевую атаку на некоторое подмножество систем, но странный патч случайно выкатился на весь мир, на всеобщее обозрение. Впрочем, если бы это была спланированная атака, то название представляло бы собой тщательно сгенерированную случайную последовательность символов (она может требоваться для проверки и заметания следов после того, как операция завершилась), а не результат пробежки пальцами по клавиатуре. Хотя, с другой стороны, если ещё подумать – да, богатство теорий заговора очень велико: наверняка, что-нибудь выяснится про эту строку.



Комментарии (3) »

Популярная тема: если оснастить номерные знаки автомобилей радиометками (RFID), а дороги – считывателями (прототип системы, так сказать, есть в распоряжении профильного НИИ), то можно автоматизировать учёт нарушений правил дорожного движения и выписку штрафов. В ответ пользователи автодорожной сети пишут, что, мол, поставят металлические экраны – метки перестанут действовать.

Тут нужно учитывать, что главное во всякой подобной системе тотального контроля – не наличие меток в номерах, а развертывание всепроникающей сети считывателей. Если уж устанавливать датчики, то они должны фиксировать проезд автомобиля на основании механических колебаний (или ещё как-то), и, отдельно, пытаться установить его идентификационный номер, считывая метку. Соответственно, в такой системе всякий автомобиль, не выдающий в эфир свой идентификатор, будет тут же выявлен в автоматическом режиме. А так как движение с испорченным номерным знаком это нарушение, то уже на следующем пункте контроля автомобиль будет остановлен (хорошо, что не обездвижен прямо в потоке по радиокоманде летающего полицейского робота – хотя, кто знает, какой шаг будет следующим).



Комментарии (5) »

В Штатах из государственной информационной системы украли данные о нескольких миллионах отпечатков пальцев граждан (и, видимо, не только граждан). На такой выборке можно построить всякую интересную статистику, можно идентифицировать человека по следам, которые он оставляет практически везде (для этого, впрочем, потребуются дополнительная работа, но специальные службы могут её провести – для них это не так сложно). Давно известно, что биометрическую информацию нельзя изменить сколь-нибудь простым способом. Сошлюсь на свою старую колонку, написанную для проекта “Информационный бум” в 2006 году: проблем с биометрией с тех пор стало только больше. Ну и, кстати, если перестать рассматривать “отпечатки” разнообразной биометрической природы как средство авторизации, то и проблем станет меньше. А важным инструментом идентификации конкретного, так сказать, организма, биометрические показатели, конечно, остаются.



Комментарии (2) »

Нередко к мобильному телефонному номеру привязаны все подряд онлайн-сервисы, включая электронную почту. Где-то такая привязка просто обязательна, так как предписана правилами идентификации пользователя, например, для систем интернет-банка или платёжных систем. Где-то пользователь сам следует настойчивой рекомендации “повысить безопасность аккаунта” и привязывает его к телефонному номеру (оставим за скобками охоту отделов маркетинга за телефонными номерами, которая иногда прикрывается мнимой заботой о безопасности).

Хорошо известна следующая атака: злоумышленники, используя подлог документов, перевыпускают SIM-карту на номер атакуемого пользователя. Это делается через оператора связи. Перехватив таким образом телефонный номер можно захватить и привязанные к нему сервисы, так как появляется возможность принимать SMS и звонки. Часто телефонный номер используется для получения в SMS кода, позволяющего сбросить пароль от пользовательского аккаунта. Этот механизм приготовлен на случай, если пользователь пароль забыл. Интересно, что и механизм замены (перевыпуска) SIM-карты у оператора – служит той же цели: позволить абоненту получить доступ к выделенному ему номеру, если абонент потерял SIM-карту (читай – забыл пароль, хотя SIM-карта – собственность оператора, о чём, кстати, многие равно так же забывают).

То есть, тотальная привязка авторизации сервисов к телефонному номеру означает, что добросовестный пользователь сделал защиту всех этих сервисов эквивалентной защите механизма перевыпуска SIM-карты оператора связи. И защита этого механизма у оператора крайне слаба. Но у оператора связи механизм тоже служит для восстановления доступа, а так как третьей стороны, на которую можно было бы спихнуть “дополнительную проверку”, уже нет, оператор оказывается в невыгодном положении. Посудите сами: попытка загородить перевыпуск SIM-карты кучей препятствий (дополнительные проверки паспорта, дополнительное время на обработку данных, просмотр сетевых событий службой безопасности, “выстаивание” заявки) грозит не только дополнительной нагрузкой на персонал, но и отдельным потоком жалоб от недовольных пользователей, которым отказывают в восстановлении, потому что они не могут пройти проверку. Получается некоторый клинч: в нынешней реальности замена SIM-карты оказывается чрезвычайно ответственной операцией для абонента, превышающей по требованиям безопасности первичное заключение договора, но при этом данная операция изначально являлась рутинной, не затрагивавшей безопасность других сфер жизни абонента. Отсюда и проблемы. И, конечно, свою роль играет тот факт, что сопоставить номер абонента с его персоной и, скажем, адресом электронной почты – часто не составляет труда.



Комментарии (13) »

В Сирии повстанцы используют самодельные вооружения. Артиллерия – один из самых старых родов войск, поэтому на фотографиях встречаются разнообразные артиллерийские системы. Например, самоходные, большого калибра.

Credit: Reuters

cnsyr19035

Здесь можно видеть не примитивный “требушет”, а казнозарядное орудие, снабжённое системой тормозов и компенсаторов – вероятно, отдача должна быть существенной, либо конструкторы предполагают, что рама не выдержит отдачи. Насколько можно судить по другим фото, такие “миномёты” стреляют минами (снарядами), изготовленными из газовых баллонов. Кстати, рама грузовика снабжена дополнительными опорами. Под ограждением кузова (справа, ближе к кабине) установлен какой-то откидываемый щит (зачем?). Ствол почему-то камуфлированный, а сам автомобиль – нет.



Комментарии (2) »

В продолжение заметки про лазерную турель, перехватывающую подлетающие снаряды. Чисто “кинетическая” турель стреляет не лазером, а своим снарядом, который должен угодить прямо в снаряд подлетающий. Попасть снарядом в снаряд сложнее, чем лазером, но возможно. При столкновении на встречных курсах – мгновенный гарантированный результат: сумма скоростей будет такой, что оба снаряда разрушатся. Даже если перехватчик мал, относительно перехватываемого снаряда, например, составляет лишь десять процентов его массы, попадание всё равно приводит к разрушению цели.

В прошлом примере, про лазер, перехватываемый снаряд летит со скоростью 1300 м/сек (что является заведомо завышенным показателем – обычно скорость раза в два-три меньше). Путь, на котором требуется перехватить снаряд, – 900 метров: предполагаем, что снаряд обнаружен на расстоянии в километр, а если он не перехвачен до рубежа 100 метров от прикрываемого объекта, то перехвата, считаем, не состоялось (таковы условия задачи). Выходит, на всё про всё у перехватывающего комплекса 750 мс. Это как минимум.

Основной проблемой для кинетического перехватчика становится подлётное время до снаряда. Лазер тут действует мгновенно, а вот стальной болванке ещё нужно лететь. Пусть у нас столь же сверхмощная фантастическая пушка, как и у атакующих, поэтому снаряд на перехват вылетает со скоростью 1300 м/сек. Тогда, если пренебречь падением скорости, 100 метров он преодолеет за 76 мс. В реальности, конечно, несколько медленнее. Это означает, что нижний предел запаса времени на полёт перехватчика – примерно 100 мс. Осталось 650 мс. В предыдущем упражнении, на поворот лазерной турели мы отводили 300 мс. Это показатель, отражающий предел сверху: действительно, за 0,3 сек. можно повернуть на 180 градусов даже массивную турель, если заранее озаботиться электрическим или, на худой конец, паровым приводом. Итак, 300 + 100 = 400, а осталось 350 мс, но это только механическая часть. Кстати, интересная оптимизация состоит в том, что турель может всё время быстро вращаться: это, во-первых, позволяет экономить на разгоне (хотя, тут можно поспорить); во-вторых, снижает средний показатель угла доворота, необходимого для обстрела подлетающего снаряда – в некоторых случаях мы уже будем смотреть примерно на подлетающий снаряд, когда тот будет обнаружен (лучше всего, конечно, сразу развернуться в сторону вероятного противника). Для того, чтобы понять, куда же стрелять, как и в случае с лазером, придётся провести траекторные вычисления, пусть, как и в прошлый раз, это 50-100 мс. 350 – 100 = 250 мс, столько осталось времени на выстрел.

Кинетический перехватчик должен маневрировать, чтобы корректировать свой полёт и попадать в цель. Маневрирование, кроме того, позволяет сократить время поворота турели: оптимизированный вариант стреляет, развернув турель в некий сектор, захватывающий снаряд, а перехватчик дальше наводится дополнительно. Траектория полёта изменяется, расстояние несколько увеличивается, но это может оказаться оправданным. Особенно, если выпускать несколько перехватчиков. А для получения высокой вероятности перехвата – именно так и придётся поступать. Выстрелы могут происходить параллельно, поэтому 250 мс не нужно делить между десятью, как минимум, стволами. Естественно, 250 мс – более чем достаточно. Если начать раньше, то перехватчик получит шанс встретить снаряд на большем удалении от критического рубежа. Проблема в том, что обычный, не реактивный, перехватчик довольно быстро теряет скорость с расстоянием. Поэтому лучше всего стрелять кинетическим перехватчиком из электромагнитной пушки, разгоняющей снаряд хотя бы до 2500 м/сек. Сооружение громоздкое, но зато всепогодное и эффективное. Это вам не лазер.



Комментарии (8) »

Доменное имя onion, соответствующее зоне .onion, которая используется внутри TOR для адресации скрытых сервисов, включили в реестр специальных доменов IANA. Зона .onion – это особый домен, доступный только при использовании сети анонимизации TOR. Имена .onion являются криптографическими индексами, связанными с ключами, которые аутентифицируют сервис. То есть, адрес .onion также решает задачу обеспечения “подлинности” ресурса (условно, потому что сеть анонимная). Теперь, после того как домен включили в реестр, можно ожидать выпуска хорошо известными удостоверяющими центрами SSL-сертификатов для этой зоны. Через TOR официально работают и некоторые “обычные” популярные сервисы, например, Facebook.

Действительная анонимность TOR сейчас вызывает вопросы, есть ряд работ, посвящённых методам успешной деанонимизации и скрытых сервисов, и пользователей. Однако, TOR, как минимум, позволяет обходить различные блокировки и системы массового мониторинга. В принципе, технология TOR это один из вероятных кандидатов на использование в качестве нового сетевого слоя, который является ответом на современную тенденцию к блокированию доступа (и на стороне провайдеров, и на стороне сервисов). Потому что если анонимность и под вопросом, то блокирование TOR-трафика представляет для провайдеров большую проблему.



Comments Off on .onion, IANA и SSL-сертификаты