Текст книги "Журнал "Компьютерра" №746"

Автор книги: Компьютерра Журнал

сообщить о нарушении

Текущая страница: 3 (всего у книги 9 страниц)

НОВОСТИ : 100% уязвимости при 99% безопасности

Автор: Киви Берд

Десять лет назад Малайзия стала первым государством, где были введены электронные паспорта со встроенным чипом, дублирующим содержимое документа в цифровой форме. Уже в 1999 году этой технологией заинтересовалась ICAO, Международная организация гражданской авиации. А после печально известных событий 2001 года ICAO под нажимом США стала главной силой, продвигающей электронные паспорта.

Сегодня их ввели уже полсотни государств, гражданам которых выдано около ста миллионов документов нового образца.

Одним из важнейших достоинств этого нововведения принято считать то, что встроенный RFID-чип хорошо защищает документ от подделки.

Во-первых, потому, что его технологически сложнее изготовить, нежели обычный паспорт. А вовторых – и это самое главное, – записанные в память микросхемы данные о владельце надежно защищены от манипуляций и подмены с помощью криптографии, взломать которую невозможно. Так, по крайней мере, заявляют официальные лица, отвечающие за ускоренное внедрение технологии в международном масштабе.

Насколько декларируемая надежность соответствует действительной, решили проверить журналисты британской газеты Times, пригласив для этого известного в своем кругу "хакера в законе" Йерона ван Бека (Jeroen van Beek) из Амстердамского университета. Ван Бек давно экспериментирует с разнообразными технологиями анализа RFID-чипов, так что ему не составило труда наглядно продемонстрировать уязвимости электронных паспортов.

Для считывания информации с чипа достаточно компактного ридера ценой около 60 евро – и через несколько секунд вся информация появляется на экране компьютера. Вообще-то так быть не должно, поскольку "разговор" чипа с ридером зашифрован, но два года назад британский исследователь Эдам Лори (Adam Laurie) сумел обойти криптозащиту в этом канале (см. "КТ" #662 и rfidiot.org).

Еще несколько секунд понадобилось ван Беку, чтобы скопировать содержимое встроенного в паспорт RFID-чипа в другой чип. Примечательно, что идентичность клона подтверждает программа Golden Reader Tool, одобренная и рекомендованная ICAO в качестве стандарта для проверки подлинности электронных паспортов. Впрочем, удивить здесь может разве что легкость и быстрота операции, поскольку собственно клонирование RFID паспортов германский хакер Лукас Грюнвальд (Lukas Grunwald) продемонстрировал еще два года назад (см. "КТ" #649). Самое интересное, однако, началось дальше.

На своем компьютере ван Бек изменил содержимое чипа-клона, подменив фотографию подлинного владельца фотографией другого человека – для смеха взяв снимок бен Ладена. Точно так же, прокомментировал свои действия ван Бек, можно изменять и любые другие биометрические параметры, которые со временем планируется заносить в чип, будь то отпечатки пальцев или снимок радужной оболочки глаза. Поскольку содержимое памяти чипа хешируется и шифруется криптографией с открытым ключом (дабы цифровой подписью защитить данные от подделки), поначалу Golden Reader отказалась принимать модифицированный чип-клон как подлинный.

Но на этот случай у ван Бека есть утилита, созданная известным новозеландским хакером Питером Гутманом (Peter Gutmann) из Оклендского университета. Гутман нашел способ прописывать в чип другую цифровую подпись, которая при проверке будет приниматься за подлинную. Фактически манипулятор может выступать в роли "государства", выпустившего собственный сертификатключ для легитимной подписи паспортов. И на сей раз программа-ридер ICAO принимает чип-клон с новой фотографией и цифровой сигнатурой без возражений…

Дабы понять, как такое возможно, рассмотрим механизм борьбы с подделкой криптоключей.

Для этих целей ICAO учредила специальную базу данных – Public Key Directory (PKD). Управляет ею сингапурская компания Netrust, победившая в конкурсе среди восьми претендентов. В идеале, если бы PKD работала как задумывалось, можно было бы моментально подтвердить подлинность настоящего ключа или выявить подделку. Но для этого нужно, чтобы все страны-члены ICAO (а их около двух сотен) подтвердили данные о своих ключахсертификатах.

Но процесс движется медленно… Сейчас, спустя полтора года после запуска PKD, к ней подключились и регулярно используют лишь пять стран: Австралия, Новая Зеландия, Сингапур, США и Япония. Поскольку принуждение в данном случае невозможно, ICAO пытается применять и другой способ борьбы с клонированием паспортов – активную аутентификацию. Увы, и она не является обязательной. Это ван Бек тоже продемонстрировал, переписав в чипе-клоне индексный файл так, чтобы ридер пропускал процедуру активной аутентификации. В принципе, можно было бы защитить хешированием и индексный файл, однако в существующих паспортах этого не сделано. А чтобы сделать это сейчас, потребовалось бы отозвать и заменить миллионы уже выпущенных документов.

Комментируя столь унылую ситуацию, сложившуюся вокруг "надежно защищенных" электронных удостоверений личности, вышеупомянутый Эдам Лори резюмировал: "Если вы оцениваете безопасность системы в 99%, то она все равно уязвима на 100%, потому что и оставшийся процент можно использовать по полной программе".

МИКРОФИШКИ: Микрофишки

Седьмое сентября станет не только первым воскресным днем осени, но и стартом продаж iPhone 3G в американской сети Best Buy. До этого момента купить модный гаджет в США можно было только в Apple Store и салонах AT&T. Что касается России, по самым оптимистичным прогнозам, официальные продажи трубки начнутся не раньше следующего года. Как заявляют представители МТС, ведущие активные переговоры с Apple, вероятно, ни один российский оператор не получит эксклюзивного права продавать аппарат на территории страны. ЖС

***

App Store, онлайновый магазин софта для iPhone, пополнился странным приложением I Am Rich. За 999 долларов разработчик предлагал программу, которая не умеет абсолютно ничего! Вернее, ничего полезного. «Красная иконка на iPhone будет напоминать вам и окружающим о том, что вы можете позволить себе подобные вещи» – гласило описание софтины. Проще говоря, за кровную штуку предлагалось тупо «понтануться». «Пожалуйста, скажите мне, что это шутка», – так звучал один из отзывов. Автор приложения с такой трактовкой согласен: «Это произведение искусства, без каких-либо функций». Нашлось, однако, восемь человек, пожелавших прикупить «luxury»-программу. Правда, некоторые из них потребовали деньги назад, мотивируя тем, что совершили покупку по ошибке. Администрации App Store ничего не оставалось, как убрать из магазина вызывающе бесполезную софтину, уже ставшую к тому времени причиной горячих сетевых дискуссий. КШ

***

Проблема подросткового хулиганства докатилась и до Интернета.

Среда другая, а методы те же: оскорбления и запугивание тех, кто послабее. Чиновники штата Калифорнии одними из первых озаботились созданием механизма, позволяющего привлекать к ответственности кибершпану. В настоящее время законопроект находится на стадии одобрения поправок, внесенных Сенатом, после чего он будет направлен губернатору штата Арнольду Шварценеггеру. И можно не сомневаться, что "железный Арни" инициативу поддержит. ЖС

ГОЛУБЯТНЯ: Кабы я был султан

Автор: Сергей Голубицкий

За событиями в Южной Осетии я слежу из страны, чье правительство тепло и закадычно дружит с Саакашвили, сопереживает его делу, помогает морально и списанным вооружением. Рядовые же граждане Украины, с которыми удалось пообщаться, дружно недоумевают: «Чего это Грузия сначала стерла в порошок райцентр заодно с его не успевшими убежать обитателями, а затем истерично заголосила на весь мир, что на нее, пушистую и хорошую, напал большой и злой разбойник из Мордора?!»

В семидесяти километрах от моей летней резиденции находится другая страна – малая моя родина, – в которой правительство, наоборот, занимается дипломатичным полосканим воды во рту, а граждане пикетируют российское посольство в Кишиневе под лозунгами: "Россия, прекрати агрессию против Грузии".

Вот парадокс: люди потребляют одинаковую информацию, однако ж обрабатывают ее в радикально оригинальном ключе! С ходу хочу отмести за нелепостью дурку о том, что информация в Молдавии, Украине, России, Грузии, Европе и Америке якобы процеживается через суровое сито пропаганды, а потому формирует разную реакцию. В эпоху глобальных информационных систем, Интернета и спутникового вещания подобное утверждение выглядит по меньшей мере наивным лукавством.

Допустим, что у рядовых обывателей нет ни умения, ни желания копаться в альтернативных источниках информации и они целиком полагаются на то, что скармливает им ангажированная национальная пресса и телевидение. Бог с ними, с биологическими массами. Но эта самая "ангажированная пресса", все эти бесчисленные национальные журналисты, эксперты, аналитики, политики, законодатели – у них наверняка есть доступ к объективной информации, той, что принято называть "чистыми фактами". И что же? Ничего: интеллектуальная элита наций внимательно изучает материалы, а затем выдает на-гора поток субъективно осмысленной пропаганды, которую затем потребляют ленивые обыватели.

Так? Да конечно же, не так! Потому что для формирования четко очерченного и поляризированного мнения обывателям не нужен никакой информационный компост, вышедший из гузок национальной элиты. Обыватели изначально – на уровне инстинкта инационального мироощущения – наделены фильтром, который постоянно налагается на любую фактографию!

Самая одиозная ложь сегодня – это теория общих морально-этических, нравственных, культурных и политических ценностей, которые якобы разделяются всеми "людьми доброй воли планеты"! Гомерическая чушь и ложь! Никаких таких общих ценностей нет, не было и никогда не будет. В помине. У каждой нации и шире – у каждой цивилизации – есть собственная неповторимая система ценностей, которая ипредопределяет на 90% реакции на любые раздражители – будь то война в Южной Осетии, независимость Косово, устранение иранской ядерной угрозы ипрочая.

В соответствии с этими частными ценностями и в рамках одной парадигмы военные действия Советского союза против муджахеддинов Талибана – это позор, достойный бойкота Олимпиады, а военные действия Соединенных Штатов против тех же самых муджахеддинов Талибана – это благородное противостояние варварству и защита общечеловеческих ценностей. В рамках другой парадигмы – все диаметрально противоположно. Военные потуги монополии удержать национальные окраины в России (Чечня) и Сербии (Косово) – это "недопустимое варварство", а военные потуги монополии удержать национальные окраины в Грузии (Южная Осетия, Абхазия) – это "законное право государства и уважение территориальной целостности".

И нет тут никаких противоречий, нет никаких двойных стандартов – забудьте вы, бога ради, всю эту примитивную логику политагиток! Нет ничего, кроме аксиологической поливалентности, которая целиком и полностью определяется национальным и шире – цивилизационным – сознанием. В переводе на обывательский язык: "Сколько народов – столько правд".

Укаждого своя: у осетин одна, и в силу обстоятельств сегодня она совпадает с правдой русских. У грузин – другая, и в силу обстоятельств сегодня она совпадает с правдой США и Европы (костяк Нового Мирового Порядка), с правдой Молдавии (которая боится повторения сценария в своем Приднестровье), с правдой правительства Украины (которое работает в фарватере атлантической цивилизации).

В силу означенных причин рядовые граждане южной и восточной Украины полностью разделяют правду Осетии, поскольку пребывают с Россией в едином культурно-цивилизационном поле, а рядовые граждане западной Украины разделяют правду Грузии вместе с нерусскоязычными гражданами Прибалтики. Так иникак иначе. Можно и дальше зарывать страусиную башку в песок, табуируя тему национальной компоненты в мировоззрении и стращая "разжиганием национальной розни", однако к адекватному пониманию реальности без этой самой компоненты не удастся приблизиться ни на шаг.

Какие выводы можно извлечь из всего сказанного?

Выходит, если у каждого народа своя правда, значит, все обречены на бесконечную вражду? Если молдаванин (эстонец, литовец, британец и проч.) считает, что Россия оккупировала Грузию, значит, он автоматически становится врагом русского? Нет, конечно! Какой, к черту, враг! Просто необходимо посмотреть правде влицо и дать самому себе четкий и однозначный ответ: молдаванин – другой. И у него своя правда, которая отличается от правды русского человека.

Если известный и горячо мною любимый философ, писатель и интеллигент размещает в своем блоге пост с апологетикой Саакашвили, усматривая в нем человека "образованного, смелого, решительного, с ясным умом и целеустремленного", чьи достоинства эффектно оттеняются "полоумными кегебистами", которые "занимаются спортом", потому что "без мячика они утонут в океане водки", то единственным однозначным выводом будет: этот философ-писатель-интеллигент – другой.

У него своя правда, которая отличается от правды русского человека.Я не случайно привел два неравнозначных примера: абстракцию в виде "обобщенного молдаванина" и точку зрения вполне себе конкретного представителя русской интеллигенции. Казалось бы: частное лицо, индивид волен мыслить как ему вздумается – независимо от национальной принадлежности. Разумеется, так. Но моя мысль: не только индивид, но и нация, как целостный вектор определенной культурнонравственной и цивилизационной системы, вольна мыслить как ей вздумается. Главное – отучиться от дурной привычки щупать маузер на поясе всякий раз, как на горизонте появляется собственный русский интеллигент с "неправильной правдой" и "обобщенный молдаванин" с несовпадающим вектором ценностей и ориентиров.

Разумеется, хвататься за маузер – преступно. Но и делать вид, что "чужая правда", отличная от твоей нации, страны и цивилизации, – безобидная штука, которую нужно не замечать, либо делать вид, что ее не существует, не менее преступно. Скажу больше: теория политкорректного мультикультурализма, рожденная воспаленным умом нью-йоркских интеллектуалов левого толка, – это страшная бомба, которую подложила западная цивилизация себе самой под брюхо. Когда эта бомба грохнет, она разнесет в кровавые клочки все закамуфлированное благополучие.

Опасность мультикультурализма – в его притворстве, в лицемерном и омерзительном игнорировании реального положения дел. Это страусиная политика, чреватая такой кровью, что никаким пылким хватальщикам за маузеры не снилась. Каков выход? Сначала провести четкое размежевание и самоопределение: это – правда моего народа, моей страны и моей цивилизации. Это – чужая правда, которая враждебна правде моего народа, моей страны, моей цивилизации. И следующий шаг: спокойно, без истерик, без оскорблений и – боже упаси! – без мордобоя и кровопролития приступить к утверждению приоритета собственной правды во всех сферах, до которых доходят руки, – в политике, в культуре, в цивилизационной экспансии.

Парадокс ситуации и величайшая трагедия в том, что между грузинским народом, осетинами, абхазами и русскими нет и не может быть никаких расхождений в принципе: все эти народы разделяют единую историческую, цивилизационную и культурную парадигму и шкалу ценностей! Схизма правды на грузинскую и русскую – это химера, граничащая с преступлением. И вина за это разделение целиком и полностью лежит на россиянской власти. По той простой причине, что в силу размеров и веса, активную (мужскую) роль в отношениях может играть только Россия, тогда как Грузия – пассивный (женский) рецептор по определению.

Превращение грузинского народа в русского врага – несусветная дикость, которая не имеет под собой никаких исторических, культурных, религиозных и цивилизационных оснований. Это – преступление против истории. Существовал миллион и еще сто тысяч способов мирного превращения Грузии в бесконечно дружественную России и русским сопредельную территорию без малейшего ущемления грузинской государственности и ущерба для достоинства грузин, осетин и абхазов. Задолго до кровопролития и геноцида.

Как? Посмотрите на Коста-Рику и поймете как.

Как можно было допустить, чтобы в Грузии хозяйничали американцы, совершенно чуждые, совершенно неуместные, совершенно никому не нужные? Причем хозяйничали за просто так, на полную халяву (если не считать сотни списанных "Хаммеров" и военной помощи на словах)! Американцы умудрились, не потратив практически ни цента, полностью переориентировать на себя страну, чья огромная диаспора присылает из России на родину денег больше, чем 12% национального валового продукта! Страну, которая всегда была опорой русской империи на Кавказе в силу своей беспрецедентной цивилизационной, культурной и религиозной близости! Сегодня же СМИ Грузии пишут только отом, что борьба с "русскими оккупантами" имеет, оказывается, столетнюю историю. Уму непостижимо! Как можно было довести до такого чудовищного провала?

Говорят, что американцев в Грузию привел Саакашвили. Как вообще Саакашвили мог оказаться у власти?!

Как можно было так дипломатически об…ться, чтобы допустить приход к власти человека, столь враждебного России? Ладно – не умеете сами, не научились в своих МГИМО, так хоть книжки читайте! Существует море книжек, изданных великими политиками старой иновой Европы и Америки, где детально, по пунктам, расписано, как и что нужно делать, чтобы в маленьких сателлитных государствах у кормила власти всегда находилась лояльная, дружественная власть.

Не верю, что не знали, как это делается. Убежден, что были и кадры, были и знания. Однако ж ничего не сделали, и теперь мы все пожинаем кровавую жатву. Почему? Почти не сомневаюсь, что так все и было задумано. А тогда – самый страшный и неприятный вопрос: чью правду выражает сама россиянская власть?! * * *

Вынужденно отбиваю тремя астериксами культур-джем колонки от софтверного аппендикса – до того неуместно последний смотрится в общем контексте. Отговорка, что таков формат "Голубятни", чем дальше, тем меньше устраивает – нужно что-то менять в этом формате, потому что: а) стыки смотрятся чудовищно, б) о софтожелезном барахле пишу с нарастающей скукой и безразличием, в) все прекрасно знают и понимают, что смак, соль и цимес "Голубятен" именно в культурповидле. Обещаюсь поговорить по оказии с главными боссами в редакции на предмет переосмысления и переделки формата.

Пока же представляю читателям замечательную программу под названиемДубльГИС. Это удивительно полезное чудо представил мне все тот же программист Алан, создатель легендарного Alreader. ДубльГИС поражает не только запредельной функциональностью, которую через мгновение обрисую читателям, но и полной фриварностью! Последнее особо удивительно, ибо качество программирования, лоск интерфейса и информационная ценность этой программы дает фору коммерческим поделкам, которые расходятся на ура за 100 долларов и выше. Скажу честно: чем больше прагматических аспектов ДубльГИС открывались моему взору, тем сильнее недоумевал: КАК и ПОЧЕМУ сакое бесценное сокровище раздается даром?!

Начнем с официальной презентации. ДубльГИС – это электронный справочник организаций, объединенный с картой города. Нечто отдаленно напоминающее Модель Москвы (MOM) или аналогичные Yellow Pages, однако с функциональным и информационным гандикапом не в пользу последних.

ДубльГИС выпускается для семнадцати городов России и Украины: Астрахань, Барнаул, Екатеринбург, Иркутск, Кемерово, Красноярск, Курган, Нижневартовск, Новокузнецк, Новосибирск, Одесса, Омск, Пермь, Томск, Тюмень, Уфа и Челябинск. Программа реализована в трех версиях: для настольных компьютеров, для КПК и онлайн. Вся информация в ДубльГИС обновляется ежемесячно. Все, повторюсь, совершенно бесплатно.

Не буду петь панегирики и теоретически нахваливать интерфейс, функциональное богатство и удобство работы с ДубльГИС – продемонстрирую все на простом примере. Мне потребовалось купить жесткий диск, причем захотелось это сделать как можно ближе к дому. Запускаю программу, нахожу в опциях поисковой закладки раздел "Рубрика", впечатываю "комплектующие" и выбираю из списка "Компьютеры/Комплектующие". В правой части окна мгновенно выводится список всех компаний Одессы, которые торгуют железом (162 конторы) (см. скриншот [1] на предыдущем развороте).

Следующий шаг – сужаю поиск территориально и ввожу название улицы – "Французский бульвар". В следующее мгновение на карте слева в уменьшенном масштабе появляются окрестности со всеми конторами, которые имеют отношение к компьютерным комплектующим [2]. Достаточно подвести курсор мыши к любому символу на карте, как тут же всплывает окно, содержащее исчерпывающую информацию о компании:телефон, адрес, электронная почта, веб-страница. Все банные уже залинкованы, поэтому достаточно кликнуть по ссылке и через минуту качать прайс-лист.

Обратите внимание на третью закладку всплывающего информационного окна – "Компьютерные сети": здесь выводятся данные о компаниях, которые осуществляют телекоммуникационную поддержку в конкретном здании! [3] Если, к примеру, вы подбираете офис, либо снимаете квартиру, то всегда сможете узнать, есть ли подключение к Интернету в интересующем вас месте.

Невероятно удобно масштабирование на карте: на шкале указаны уровни для ориентира – город, район, улица, дом. Псевдо 3D-изображение дополнено просто запредельной по удобству функцией, которая называется "Радиус": выбираем центральную точку на карте и оттягиваем курсор в сторону на нужное расстояние – при этом в информационном окне выводится величина радиуса воображаемого круга в метрах и время в пути (менее 5 минут пешком, 10 минут и т. п.) [4]. Затем нажимаем на линк "Найти организации в данном радиусе" и получаем в левой части окна список всех фирм, продающих компьютерные комплектующие (ранее заданный нами фильтр) и расположенных внутри очерченного круга.

Добавьте к описанным чудесам сведения о движении общественного транспорта, а также способность ДубльГИС рассчитывать любые перемещения по городу с указанием номеров нужных автобусов, троллейбусов и трамваев, остановок и пересадок, и вы получите бесплатную геоинформационную систему, с которой рядом не стояли коммерческие конкуренты.