Популярная тема: если оснастить номерные знаки автомобилей радиометками (RFID), а дороги – считывателями (прототип системы, так сказать, есть в распоряжении профильного НИИ), то можно автоматизировать учёт нарушений правил дорожного движения и выписку штрафов. В ответ пользователи автодорожной сети пишут, что, мол, поставят металлические экраны – метки перестанут действовать.

Тут нужно учитывать, что главное во всякой подобной системе тотального контроля – не наличие меток в номерах, а развертывание всепроникающей сети считывателей. Если уж устанавливать датчики, то они должны фиксировать проезд автомобиля на основании механических колебаний (или ещё как-то), и, отдельно, пытаться установить его идентификационный номер, считывая метку. Соответственно, в такой системе всякий автомобиль, не выдающий в эфир свой идентификатор, будет тут же выявлен в автоматическом режиме. А так как движение с испорченным номерным знаком это нарушение, то уже на следующем пункте контроля автомобиль будет остановлен (хорошо, что не обездвижен прямо в потоке по радиокоманде летающего полицейского робота – хотя, кто знает, какой шаг будет следующим).



Комментарии (5) »

В Штатах из государственной информационной системы украли данные о нескольких миллионах отпечатков пальцев граждан (и, видимо, не только граждан). На такой выборке можно построить всякую интересную статистику, можно идентифицировать человека по следам, которые он оставляет практически везде (для этого, впрочем, потребуются дополнительная работа, но специальные службы могут её провести – для них это не так сложно). Давно известно, что биометрическую информацию нельзя изменить сколь-нибудь простым способом. Сошлюсь на свою старую колонку, написанную для проекта “Информационный бум” в 2006 году: проблем с биометрией с тех пор стало только больше. Ну и, кстати, если перестать рассматривать “отпечатки” разнообразной биометрической природы как средство авторизации, то и проблем станет меньше. А важным инструментом идентификации конкретного, так сказать, организма, биометрические показатели, конечно, остаются.



Комментарии (2) »

Нередко к мобильному телефонному номеру привязаны все подряд онлайн-сервисы, включая электронную почту. Где-то такая привязка просто обязательна, так как предписана правилами идентификации пользователя, например, для систем интернет-банка или платёжных систем. Где-то пользователь сам следует настойчивой рекомендации “повысить безопасность аккаунта” и привязывает его к телефонному номеру (оставим за скобками охоту отделов маркетинга за телефонными номерами, которая иногда прикрывается мнимой заботой о безопасности).

Хорошо известна следующая атака: злоумышленники, используя подлог документов, перевыпускают SIM-карту на номер атакуемого пользователя. Это делается через оператора связи. Перехватив таким образом телефонный номер можно захватить и привязанные к нему сервисы, так как появляется возможность принимать SMS и звонки. Часто телефонный номер используется для получения в SMS кода, позволяющего сбросить пароль от пользовательского аккаунта. Этот механизм приготовлен на случай, если пользователь пароль забыл. Интересно, что и механизм замены (перевыпуска) SIM-карты у оператора – служит той же цели: позволить абоненту получить доступ к выделенному ему номеру, если абонент потерял SIM-карту (читай – забыл пароль, хотя SIM-карта – собственность оператора, о чём, кстати, многие равно так же забывают).

То есть, тотальная привязка авторизации сервисов к телефонному номеру означает, что добросовестный пользователь сделал защиту всех этих сервисов эквивалентной защите механизма перевыпуска SIM-карты оператора связи. И защита этого механизма у оператора крайне слаба. Но у оператора связи механизм тоже служит для восстановления доступа, а так как третьей стороны, на которую можно было бы спихнуть “дополнительную проверку”, уже нет, оператор оказывается в невыгодном положении. Посудите сами: попытка загородить перевыпуск SIM-карты кучей препятствий (дополнительные проверки паспорта, дополнительное время на обработку данных, просмотр сетевых событий службой безопасности, “выстаивание” заявки) грозит не только дополнительной нагрузкой на персонал, но и отдельным потоком жалоб от недовольных пользователей, которым отказывают в восстановлении, потому что они не могут пройти проверку. Получается некоторый клинч: в нынешней реальности замена SIM-карты оказывается чрезвычайно ответственной операцией для абонента, превышающей по требованиям безопасности первичное заключение договора, но при этом данная операция изначально являлась рутинной, не затрагивавшей безопасность других сфер жизни абонента. Отсюда и проблемы. И, конечно, свою роль играет тот факт, что сопоставить номер абонента с его персоной и, скажем, адресом электронной почты – часто не составляет труда.



Комментарии (13) »

В Сирии повстанцы используют самодельные вооружения. Артиллерия – один из самых старых родов войск, поэтому на фотографиях встречаются разнообразные артиллерийские системы. Например, самоходные, большого калибра.

Credit: Reuters

cnsyr19035

Здесь можно видеть не примитивный “требушет”, а казнозарядное орудие, снабжённое системой тормозов и компенсаторов – вероятно, отдача должна быть существенной, либо конструкторы предполагают, что рама не выдержит отдачи. Насколько можно судить по другим фото, такие “миномёты” стреляют минами (снарядами), изготовленными из газовых баллонов. Кстати, рама грузовика снабжена дополнительными опорами. Под ограждением кузова (справа, ближе к кабине) установлен какой-то откидываемый щит (зачем?). Ствол почему-то камуфлированный, а сам автомобиль – нет.



Комментарии (2) »

В продолжение заметки про лазерную турель, перехватывающую подлетающие снаряды. Чисто “кинетическая” турель стреляет не лазером, а своим снарядом, который должен угодить прямо в снаряд подлетающий. Попасть снарядом в снаряд сложнее, чем лазером, но возможно. При столкновении на встречных курсах – мгновенный гарантированный результат: сумма скоростей будет такой, что оба снаряда разрушатся. Даже если перехватчик мал, относительно перехватываемого снаряда, например, составляет лишь десять процентов его массы, попадание всё равно приводит к разрушению цели.

В прошлом примере, про лазер, перехватываемый снаряд летит со скоростью 1300 м/сек (что является заведомо завышенным показателем – обычно скорость раза в два-три меньше). Путь, на котором требуется перехватить снаряд, – 900 метров: предполагаем, что снаряд обнаружен на расстоянии в километр, а если он не перехвачен до рубежа 100 метров от прикрываемого объекта, то перехвата, считаем, не состоялось (таковы условия задачи). Выходит, на всё про всё у перехватывающего комплекса 750 мс. Это как минимум.

Основной проблемой для кинетического перехватчика становится подлётное время до снаряда. Лазер тут действует мгновенно, а вот стальной болванке ещё нужно лететь. Пусть у нас столь же сверхмощная фантастическая пушка, как и у атакующих, поэтому снаряд на перехват вылетает со скоростью 1300 м/сек. Тогда, если пренебречь падением скорости, 100 метров он преодолеет за 76 мс. В реальности, конечно, несколько медленнее. Это означает, что нижний предел запаса времени на полёт перехватчика – примерно 100 мс. Осталось 650 мс. В предыдущем упражнении, на поворот лазерной турели мы отводили 300 мс. Это показатель, отражающий предел сверху: действительно, за 0,3 сек. можно повернуть на 180 градусов даже массивную турель, если заранее озаботиться электрическим или, на худой конец, паровым приводом. Итак, 300 + 100 = 400, а осталось 350 мс, но это только механическая часть. Кстати, интересная оптимизация состоит в том, что турель может всё время быстро вращаться: это, во-первых, позволяет экономить на разгоне (хотя, тут можно поспорить); во-вторых, снижает средний показатель угла доворота, необходимого для обстрела подлетающего снаряда – в некоторых случаях мы уже будем смотреть примерно на подлетающий снаряд, когда тот будет обнаружен (лучше всего, конечно, сразу развернуться в сторону вероятного противника). Для того, чтобы понять, куда же стрелять, как и в случае с лазером, придётся провести траекторные вычисления, пусть, как и в прошлый раз, это 50-100 мс. 350 – 100 = 250 мс, столько осталось времени на выстрел.

Кинетический перехватчик должен маневрировать, чтобы корректировать свой полёт и попадать в цель. Маневрирование, кроме того, позволяет сократить время поворота турели: оптимизированный вариант стреляет, развернув турель в некий сектор, захватывающий снаряд, а перехватчик дальше наводится дополнительно. Траектория полёта изменяется, расстояние несколько увеличивается, но это может оказаться оправданным. Особенно, если выпускать несколько перехватчиков. А для получения высокой вероятности перехвата – именно так и придётся поступать. Выстрелы могут происходить параллельно, поэтому 250 мс не нужно делить между десятью, как минимум, стволами. Естественно, 250 мс – более чем достаточно. Если начать раньше, то перехватчик получит шанс встретить снаряд на большем удалении от критического рубежа. Проблема в том, что обычный, не реактивный, перехватчик довольно быстро теряет скорость с расстоянием. Поэтому лучше всего стрелять кинетическим перехватчиком из электромагнитной пушки, разгоняющей снаряд хотя бы до 2500 м/сек. Сооружение громоздкое, но зато всепогодное и эффективное. Это вам не лазер.



Комментарии (8) »

Доменное имя onion, соответствующее зоне .onion, которая используется внутри TOR для адресации скрытых сервисов, включили в реестр специальных доменов IANA. Зона .onion – это особый домен, доступный только при использовании сети анонимизации TOR. Имена .onion являются криптографическими индексами, связанными с ключами, которые аутентифицируют сервис. То есть, адрес .onion также решает задачу обеспечения “подлинности” ресурса (условно, потому что сеть анонимная). Теперь, после того как домен включили в реестр, можно ожидать выпуска хорошо известными удостоверяющими центрами SSL-сертификатов для этой зоны. Через TOR официально работают и некоторые “обычные” популярные сервисы, например, Facebook.

Действительная анонимность TOR сейчас вызывает вопросы, есть ряд работ, посвящённых методам успешной деанонимизации и скрытых сервисов, и пользователей. Однако, TOR, как минимум, позволяет обходить различные блокировки и системы массового мониторинга. В принципе, технология TOR это один из вероятных кандидатов на использование в качестве нового сетевого слоя, который является ответом на современную тенденцию к блокированию доступа (и на стороне провайдеров, и на стороне сервисов). Потому что если анонимность и под вопросом, то блокирование TOR-трафика представляет для провайдеров большую проблему.



Comments Off on .onion, IANA и SSL-сертификаты

Изогении суперсингулярных эллиптических кривых как основа постквантовой криптографии. Это предложение, которое могло бы быть заголовком научно-популярной статьи, пока что размещено здесь для индексации поисковым роботом.



Comments Off on Изогении кривых

Написал для издания TheRunet колонку про тотальное шифрование в вебе – в меру сил продвигаем использование TLS. Небольшая цитата:

Кроме правильного применения шапочки из фольги, важно не прийти к выводу, что HTTPS не делает вашу приватность «более приватной». Делает, ещё как: никакие теории заговора и «разоблачения Сноудена» не могут отменить того факта, что при использовании защищённого протокола в вашу сессию чтения новостного сайта не вмешается взломщик-одиночка, перехвативший управление устаревшей WiFi-точкой интернет-кафе, где вы расположились в компании с печеньками и чашечкой горячего напитка. Но не нужно чрезмерно доверять HTTPS. Если вы вдруг решили, что у вас есть какие-то действительно секретные сведения (а это является маловероятным: вспомните, что веб пока что не зашифрован полностью, поэтому откуда бы этим секретным сведениям взяться?) — защищать их нужно другими способами.



Comments Off on “Данные в непрозрачных пакетах”

Сообщают, что приложение “Яндекс.Навигатор” записывало звук в потоковом режиме, фактически, работая диктофоном. “Яндекс” признаётся, что такая “недокументированная функция” – всего лишь следствие принятого в компании метода разработки программных продуктов (это что-то вроде варианта Agile, как я понимаю, но когда “в продакшн” вываливают всё что угодно, лишь бы взятый с потолка срок сдачи не подвинуть). Между тем, интеллектуальный диктофон, активирующий запись по ключевым словам (а яндексовское приложение, как они сами говорят, использует запись звука для получения голосовых команд) – очень удобная шпионская штука: пишет только то, что заказывали. Список актуальных ключевых слов может скачиваться с сервера.

Если на клиенте есть словарь и хорошая функция распознавания речи, то результат записи можно передавать в центр сбора и обработки не в виде бинарного потока звукозаписи, а в текстовой расшифровке. Текстовое представление, при условии использования синхронных словарей на клиенте и сервере, позволяет эффективно кодировать записанные фразы. Получается что-то вроде телеграммы, для передачи которой требуется буквально несколько байтов. Эти байты легко спрятать в легитимном трафике. Сложности составляет маскировка словаря на клиенте. Вдруг, кто-то разберёт приложение и обнаружит подозрительный словарь, содержащий не только голосовые команды. С другой стороны, такие “пользовательские разоблачения” сейчас не особенно беспокоят даже самих пользователей, что уж говорить о компаниях-разработчиках, которым вообще всё равно.

Отдельная полезная функция – известно, где находится говорящий в данный момент. Такая замечательная система смогла бы отвечать на следующие запросы: “где находятся пользователи, обсуждающие пролёт НЛО?”. “Пролёт НЛО” отдельно описывается в виде “семантического фильтра”, с набором слов и грамматических конструкций. Естественно, НЛО можно заменить на другие интересные объекты и явления.



Комментарии (3) »
Навигация по запискам: « Позже Раньше »