Новый сайт у “Почты России“. HTTPS – в качестве основного протокола, запросы с HTTP – редиректят на соответствующие URL с HTTPS. Поддерживается TLS 1.2; соответственно, AES в режиме GCM. Нет только ECDSA, а то был бы самый пик технологий TLS. Но и в действующей конфигурации сайт можно приводить в пример внедрения TLS на сайте крупного ФГУП.



Комментарии (3) »

Old ComputerВ современном мире, оборудованном глобальной Сетью, появляется занимательная возможность для реализации следующего сценария. Для ведения качественной радиоэлектронной борьбы, с использованием сложных активных помех, нужны большие вычислительные мощности. Этих мощностей может не быть в наличии у одной из противоборствующих сторон, но, благодаря Интернету, мощности можно арендовать, например, в Amazon AWS. Аренда обойдётся дешевле, чем построение собственного вычислительного кластера. Для использования амазоновских мощностей потребуется только организовать канал связи от места применения средств РЭБ, что, в общем-то, не всегда представляет трудность: возможно ведь и временно несколько километров оптоволокна кинуть до опорного узла, а дальше – штатные каналы Интернета.

Конечно, возникает существенная задержка на передачу данных – скорее всего, сотни миллисекунд. Но далеко не все вычислительные задачи РЭБ требуют мгновенного ответа. Например, подбор ключей или анализ спектра записанных сигналов, с построением сигнатур, – вообще могут проводиться в режиме офлайн. Более того, на другой чаше весов – отсутствие нужных вычислительных мощностей, соответственно, даже с дополнительной задержкой в одну секунду можно смириться, когда речь идёт об ускорении вычислений в десятки раз.

Наверное, администрация сервиса может обнаружить подозрительные вычисления, но для этого нужно будет озаботиться анализом программного кода, исполняемого на сданных в аренду мощностях, а это не так-то просто проделать. Насчёт утечки результатов – можно не беспокоиться: РЭБ не всегда нуждается в сокрытии подобных вычислений. Кроме того, если озаботиться сложной математикой, то вычисления вообще можно проводить над зашифрованными данными (без расшифровки), что, впрочем, чрезвычайно усложняет программирование.

Так или иначе, сама идея использования арендованных в “облачном сервисе” мощностей для обеспечения РЭБ, с доставкой данных по Интернету – довольно привлекательна.



Comments Off on Аренда вычислительных мощностей в целях РЭБ

Wired пишет про то, как доступный беспилотник использовали для разрисовки огромного рекламного щита в Нью-Йорке, прицепив к аппарату баллончик с краской. Событие характеризуют как первый случай дрон-вндализма. Краска весит не так много, если пересчитать на покрываемую площадь поверхности. Основным недостатком использованной схемы с простой подвеской баллончика является то, что для рисования нужно перемещать дрон. Правильным развитием идеи является оснащение дрона небольшим пневматическим “краскопультом”, стреляющим красящими каплями. Красящее устройство должно быть подвижным, тогда дрон сможет зависнуть неподалёку от атакуемой поверхности, пока “краскопульт” отрисовывает нужную надпись или картинку. (В качестве прототипа годится ружьё для пейнтбола, правда, там используются шарики с краской, что не даст нужной точности в форме пятна.)



Комментарии (1) »

TractorЛет десять назад подобную гипотетическую ситуацию использовали бы в качестве иллюстрации, показывающей к чему может привести перенос законов “копирайта” из области цифровых явлений в реальную жизнь. Теперь ситуация перестаёт быть гипотетической: в Штатах производители сельскохозяйственной техники настаивают на том, что купившие трактор фермеры, может, и получают какие-то детали трактора в собственность, но только не трактор в целом, потому что используемое программное обеспечение лишь передаётся в пользование по лицензии. В статье по ссылке ситуация передана с некоторым преувеличением: пока что явно право собственности на трактор не отбирают, но идёт всё именно к этом – тут сложно поспорить.

Юридическая база, подводимая под преобразование прав фермеров, строится вокруг программного обеспечения, которое управляет трактором: без программного кода машина не работает, а программный код подпадает под “законы о копирайте”. Всё это повторяет ограничения на анализ и пересборку смартфонов, но только теперь касается тракторов и, как получается, последующего отъёма прав собственности у фермеров. Последние в скором времени не смогут сами обслуживать свои трактора или, скажем, выводить их в поле, если производитель решит, что сейчас не подходящее время. (Да и топливо нужно будет заливать только сертифицированное.)

Посмотрите, что получается – осталось сделать всего пару шагов и у граждан, так сказать, капиталистических государств, не останется фактических прав собственности на средства производства: фермер, покупая трактор, не получает его в собственность, а лишь приобретает ограниченную лицензию на управление трактором. Конечно, в качестве реакции на такое положение дел могут появиться различные “открытые платформы”, в том числе, касающиеся и механических устройств, вплоть до тракторов. Вот только когда, с какими затратами?



Комментарии (6) »

В системах двухфакторной авторизации нередко используется смартфон, играющий роль носителя “второго фактора”. То есть, для того, чтобы пройти авторизацию на каком-то сервисе, нужно держать в руках привязанный к системе авторизации смартфон. Если доступ желают получить злоумышленники, то они могут рассмотреть вариант кражи этого смартфона. Интересно, что грамотный подход это не просто кража, а подмена аппарата на аналогичный. Такую подмену может незаметно провести ловкий манипулятор. Подменный аппарат должен быть сломан, а лучше всего, если при первой попытке запуска он продемонстрирует поломку: например, показательно и непоправимо “зависнет”. Такой метод позволит выиграть время: владелец аппарата, скорее всего, не будет подозревать о краже и, соответственно, не кинется тут же менять доступы и удалённо блокировать утраченный смартфон.

Правда, злоумышленникам придётся весьма тщательно готовиться. Например, смартфон, предоставленный на замену, должен быть с SIM-картой внутри. Потому что владелец атакуемого аккаунта может достаточно быстро решить переставить карту в другой телефонный аппарат, чтобы, хотя бы, позвонить или иметь возможность принимать звонки. Обычная дефектная SIM-карта наведёт на подозрения. Поэтому нужна специальная карта, которая приводит к “зависанию” других аппаратов. К сожалению, из-за разнообразия оборудования такая карта вряд ли возможна.

Тем не менее, даже простая подмена смартфона даёт некоторое время для того, чтобы получить авторизацию в двухфакторной системе. Нужно, конечно, знать PIN-код от позаимствованного аппарата, но это дело наживное: обычно, код можно подглядеть или снять процесс его ввода при помощи видеокамеры, с достаточного расстояния. Идеальным завершением операции являлся бы обратный обмен смартфонов. Тогда незадачливый владелец аккаунта просто предположил бы, что его гаджет сам собой заработал – такое случается нередко, – и причин для беспокойства нет.



Комментарии (5) »

К вопросу доступности современных веб-сайтов, использующих HTTPS, для поисковых роботов. Несколько дней назад мне подсказали, что “Яндекс.Картинки” не индексируют файлы по HTTPS, требуя доступа по HTTP. Поверхностное исследование выдачи поисковика подтвердило, что это, похоже, так и есть (более того, в документации прямо сказано, что требуется HTTP для URL-ов картинок). Я воспользовался штатной формой обратной связи и написал в “Яндекс” следующее письмо:

Здравствуйте!

На странице http://help.yandex.ru/images/indexing.xml сказано, что поиск Яндекса по картинкам не поддерживает HTTPS. Точнее, для индексации файла картинки требуется, чтобы файл было доступен по HTTP. Сейчас веб-сайты массово переходят на защищённый протокол (более того, TLS является основным рекомендованным транспортом в HTTP/2). В идеале, весь контент современного веб-сайта должен передаваться веб-сервером по HTTPS, это касается и картинок, потому что “вынос” изображений в открытый протокол HTTP несёт с собой риски возникновения проблем с безопасным доступном к сайту в целом, так как предоставляет возможности для “деградации” протокола при доступе к определённым URL.

Таким образом, сейчас изображения с сайтов, поддерживающих только безопасный протокол HTTPS, не попадут в индекс поиска по картинкам. Планируется ли в ближайшее время исправить ситуацию, добавив поддержку для сайтов, доступных только по HTTPS?

Спустя три дня получил лаконичный ответ от Платона Щукина:

Здравствуйте, Александр!

Эта ситуация уже исправлена. Картинки индексируются по https.

Неплохо, если так, хотя и противоречит описанию на сайте. Что ж, ждём обновления индекса.



Comments Off on Индексация файлов изображений “Яндекс.Картинками”

После обновления “Яндекс.Карт” проблема с обработкой корневого домена в URL вернулась. Правда, теперь они показывают “ошибку 503” вместо некоторого “сервисного” XML-документа: https://maps.yandex.ru./

Конечно же, указание корневого домена в URL и близко не является какой-то распространённой практикой. О существовании этой “крайней точки” вообще знают только квалифицированные специалисты, а пользователи – вообще не догадываются обо всех этих крайне важных для работы Сети заморочках. Более того, не раз приходилось видеть, как про точку забывают даже те самые специалисты, хотя и работают с DNS, где важнее точки – разве что её отсутствие. (Забывчивость в DNS приводит к более плачевным, по сравнению с веб-сервисами, последствиям: целые густо населённые доменные зоны исчезают из Интернета, а иногда их трафик полностью перенаправляется в адрес ни о чём не подозревающего одинокого сервера.) Тем не менее, то, что пользователи браузеров не вводят адреса с корневым доменом, не означает, что огромный сервис, вроде “Яндекс.Карт”, может неверно обрабатывать URLы.



Comments Off on Корневой домен в URL “Яндекс.Карт” – продолжение

Диалог:

– Нужно увеличить мощность зомбоизлучателей.
– Почему? Зачем?
– У нас не хватает места в облачных хранилищах персональной биометрической информации.
– А при чём здесь зомбоизлучатели? Они же отдельная система.
– Люди стали думать разное – эффективность алгоритмов дедупликации резко снизилась: несжатые мысли забивают накопители!

(Другая заметка: про чтение мыслей.)



Комментарии (2) »

Инфраструктурная атака на национальный сегмент Интернета – это такая атака, после проведения которой никакая другая атака в этом же сегменте невозможна, потому что для неё просто не остаётся доступного транспорта.



Comments Off on Реплика: атака на инфраструктуру (сегмента) Интернета
Навигация по запискам: Раньше »