Текст книги "Журнал «Компьютерра» № 30 от 21 августа 2007 года"
Автор книги: Компьютерра Журнал
сообщить о нарушении
Текущая страница: 4 (всего у книги 10 страниц) [доступный отрывок для чтения: 4 страниц]
АНАЛИЗЫ: Хакер, слесарь, экстрасенс
Автор: Киви Берд
Большой предвыборный конфуз в Калифорнии, где по заказу властей штата несколько сильных хакерских команд в короткий срок проанализировали применяемые ныне системы электронных машин для голосования и показали чудовищную слабость каждой из них – важное и достойное тщательного разбора событие (подробнее о нем читайте в новостях этого номера). Но, кроме того, это еще и подходящий повод рассказать про Мэтта Блэйза (Matt Blaze), криптографа и профессора информатики Пенсильванского университета, возглавлявшего самую многочисленную из хакерских групп тестирования в Калифорнии.
Неудобный специалист
Персональный сайт Блэйза имеет эффектный адрес www.crypto.com, уже по названию которого можно предположить, что его обладатель, не будучи богатым человеком, занимает, вероятно, не последнее место в мире криптографии. Или, по крайней мере, прописался в WWW очень давно. Оба эти предположения, в общем-то, близки к истине. Мэтт Блэйз защитил диссертацию по Computer Science в Принстоне в 1993 году и тогда же всерьез занялся проблемами защиты информации в интернет-протоколах. Уже в 1994 году он стал весьма известным человеком в мире инфобезопасности, поскольку как сотрудник корпорации-гиганта AT&T оказался одним из очень немногих гражданских специалистов, допущенных к анализу телефонного шифратора «Клиппер-чип», разработанного американским Агентством национальной безопасности. Это устройство, напомним, в 1990-е годы планировалось властями США для повсеместного внедрения в телефоны, чтобы, с одной стороны, дать гражданам возможности для конфиденциального общения, а с другой – предоставить федеральному правительству особый ключ доступа, позволявший без проблем прослушивать любой зашифрованный разговор. Изучив это устройство, Мэтт Блэйз продемонстрировал, что, манипулируя его параметрами можно ввести шифратор в такой режим работы, когда особый ключ властей оказывается бесполезным и не дает доступа к засекреченной связи. Иначе говоря, для изощренных злоумышленников обход «клиппер-чипа» мог не представлять никакой проблемы, а вот для обычных граждан установка такого устройства вела бы к серьезнейшему вторжению государства в тайны личной жизни. Это открытие аналитика сыграло пусть и не решающую, но довольно существенную роль в сворачивании всей Clipper-программы правительства.
Последующие работы и открытия Блэйза хотя и не имели столь большого резонанса в обществе, но по-своему тоже были очень интересны. Особенно в последние годы, когда он оставил AT&T ради преподавательской работы в Пенсильванском университете и расширил масштабы исследований с помощью своих студентов и аспирантов. Если не брать в учет нынешний анализ систем электронного голосования, то самым заметным достижением группы Блэйза можно, наверное, считать исследование полицейских систем телефонного прослушивания, проведенное в 2005 году. Тогда Национальный научный фонд США в рамках большой антитеррористической программы по укреплению компьютерной безопасности выделил группе Блэйза солидный грант на поиски новых эффективных технологий перехвата в условиях современных систем связи. Попутно на эти же деньги ученые стали штудировать общедоступные открытые источники для изучения применяемых ныне средств перехвата. Где и обнаружили, к своему удивлению, серьезнейшие конструктивные слабости в аппаратуре прослушивания телефонов, используемой как местной полицией американских штатов, так и ФБР (а также, скорее всего, компетентными органами многих других стран).
Как выяснилось, для того, чтобы отключить систему прослушивания, объекту слежки достаточно всего лишь посылать в линию тоновый сигнал "освобождение канала", также известный как «си-тон», который «жучок» прослушки подает магнитофону в те моменты, когда телефон не используется. При низкой амплитуде такого сигнала он практически не влияет своим тихим жужжанием на качество передачи речи в канале, но зато стабильно блокирует работу магнитофона прослушки. Обнаружив эту уязвимость, исследователи на практике продемонстрировали, что ею легко может воспользоваться даже абсолютно не сведущий в технике человек. Для случая же более изощренного злоумышленника было показано, что подключением к телефону компьютера с соответствующей программой, манипулирующей сигналами набора, имеются возможности обманывать аппаратуру прослушивания самыми разнообразными способами. Например, можно заставлять ее регистрировать входящие и исходящие номера, не соответствующие реальным звонкам, либо имитировать ложные звонки и подавать на запись магнитофона заранее заготовленные фиктивные разговоры. Полицейские власти поначалу пытались принизить значение слабостей, обнаруженных в их технике, ссылаясь на то, что результаты группы Блэйза относятся главным образом к устаревшим аналоговым телефонным линиям, а ныне прослушивание ведется не от линии, а непосредственно на цифровых АТС. Однако Блэйз и его коллеги показали, что их результаты актуальны и для цифровых технологий, поскольку по какой-то неясной причине ФБР в 1999 году настояло, чтобы и в новых телефонных системах тоже оставался сигнал "освобождение канала", нужный для управления работой магнитофонов аппаратуры прослушивания. Понимать это можно так, что всякий, кто знает хитрости работы системы, имеет возможность единым несложным способом блокировать прослушку что в старых, что в новых линиях телефонной связи.
Криптоанализ слесарного дела
Параллельно с плодотворной деятельностью на ниве защиты информации, Мэтт Блэйз сумел неожиданно громко прославиться как мастер по вскрытию замков и сейфов. Примерно в 2002 году ученый решил выяснить, насколько полезными могут быть методы криптографического анализа при изучении вещей, никак не связанных, в общем-то, с компьютерами. Практически сразу выбор Блэйза остановился на области замков и ключей, поскольку именно отсюда криптография и компьютерная безопасность позаимствовали многие свои термины и метафоры. Критически изучив общедоступную литературу по слесарному делу и работе запирающих механизмов, исследователь вскоре открыл (точнее сказать, переоткрыл) «большую тайну» английских замков с мастер-ключом. Такого рода запоры давно, по крайней мере с конца XIX века, повсеместно используются в больших зданиях и учреждениях, где многочисленные двери оборудованы единообразными замками, которые обслуживает один и тот же слесарь. Ради удобства слесаря все такие замки имеют две открывающие комбинации в расположении штифтов – одну индивидуальную для ключа хозяина и одну общую для мастер-ключа. Забавно, что эта схема очень напоминает конструкцию «клиппер-чипа», где тоже было два ключа – уникальный для владельца телефона и общий для властей. И сложилось так, что именно Блэйзу довелось публично скомпрометировать еще и механические замки, использующие эту идею. Применив методы криптографического анализа, эффективно сужающие область перебора возможных вариантов, ученый показал, что, имея под рукой всего лишь один замок и открывающий его ключ, можно за несколько минут вычислить и подобрать форму универсального мастер-ключа. Иными словами, для открывания всех замков в здании нужен лишь напильник и не больше десятка ключей-заготовок для опробования вариантов.
После публикации этой работы, вызвавшей особо сильное раздражение среди слесарей из-за раскрытия «чужаком» их важной профессиональной тайны (прекрасно известной взломщикам, кстати говоря), Блэйз всерьез взялся за исследование взаимосвязей между системами безопасности, используемыми для защиты в физическом мире, и программными/криптографическими системами, применяемыми в мире электронном. И чем глубже он осваивал материал, тем тверже становилось убеждение, что два класса этих систем в действительности имеют намного больше общего, чем люди привыкли полагать. Важным этапом этого исследования стала большая статья Блэйза «Вскрытие сейфов: взгляд ученого-компьютерщика»), где дан обстоятельный обзор вопросов безопасности для сейфов и сейфовых хранилищ (помещений), с особым упором на метрики, используемые для оценки стойкости этих систем, и слабостей, приводящих к их вскрытию. По сути дела, в мире компьютерной безопасности примерно так выглядит любая качественная обзорная работа, посвященная анализу того или иного метода защиты информации. Однако с точки зрения специалистов, профессионально работающих с сейфами и сейфовыми замками, Мэтт Блэйз совершил абсолютно возмутительный и безответственный (более того, «угрожающий национальной безопасности») поступок, широко опубликовав не подлежащие разглашению сведения. Эти сведения, хотя и известные в этом сообществе, по традиции принято передавать лишь из уст в уста на сугубо доверительной основе, обычно от учителя ученику. Книги же на эту тему если и существуют, то их очень немного, а доступ к ним принято всячески ограничивать.
Таким образом, статья Мэтта Блэйза словно лакмусовая бумажка проявила радикальное отличие в подходах к предмету между специалистами по инфобезопасности и профессионалами в области физических средств защиты. Если у первых знаменитое правило "security through obscurity" ("безопасность через неясность") уже давным-давно считается безнадежно устаревшим и тысячу раз скомпрометированным, то у последних это по-прежнему один из главных принципов деятельности. И коль скоро ученые-криптографы имеют возможность убедительно и аргументированно доказывать явную слабость этой идеи, есть надежда, что их вторжение в смежные области поможет укрепить и физическую безопасность систем.
Сеанс ясновидения
Понятно, наверное, что люди типа Мэтта Блэйза, обладающие развитыми способностями к критическому анализу окружающего мира, с интересом и уважением относятся с себе подобным. Блэйз, в частности, уже многие годы является поклонником довольно известной в США и за их пределами организации под названием Образовательный фонд Джеймса Рэнди (JREF). В прежние годы Джеймс Рэнди прославился как талантливый маг-иллюзионист, а специфическое ремесло фокусника со временем сформировало у него сильнейшее убеждение, что любые так называемые «чудеса» – это просто более или менее хорошая техника обмана обывателей. А все люди, претендующие на обладание экстрасенсорными и вообще сверхъестественными способностями, – либо махровые шарлатаны, либо наивные простаки, морочащие голову сказками-баснями как себе, так и окружающим. Для подкрепления такой позиции Рэнди и создал свой Фонд, который на регулярной основе занят методичным разоблачением всевозможных «чудес», прививая людям принципы критического мышления, скептицизма и научные методы анализа.
Самая знаменитая, наверное, акция JREF – это давно объявленный приз в 1 миллион долларов любому, кто убедительно продемонстрирует свои сверхъестественные способности в условиях надежно контролируемого эксперимента. Последние годы условия эксперимента предполагают, что на базе JREF в штате Флорида в крепком и надежно запечатанном ящике-сейфе лично Джеймсом Рэнди спрятан некий предмет. И всякий человек, который с помощью своих необычных способностей сумеет дистанционно «увидеть» и правильно описать скрытую в ящике вещь, получит немалую сумму в качестве приза… Несмотря на явно привлекательные условия конкурса, на него продуктивно не откликнулся почему-то ни один из живущих на планете экстрасенсов. Но что самое поразительное, в начале нынешнего года нашелся-таки человек, совершенно правильно угадавший эту спрятанную вещь. Человеком таким оказался Мэтт Блэйз, никогда ранее не замечавший в себе экстрасенсорных способностей. Да и после чистой победы в необычном конкурсе ничем особенным от остальных людей не отличающийся, кроме, разве что, очевидных криптоаналитических талантов.
Дело было так. В конце прошлого года, дабы оживить интерес к конкурсу, Дж. Рэнди опубликовал на сайте Фонда уточняющую информацию о спрятанной вещи. Это должно было дополнительно подтвердить честность затеи, поскольку информация в зашифрованном виде описывала предмет, гарантируя для потенциальных участников возможность проверки и одновременно отводя от организаторов подозрения в жульничестве с быстрой подменой предмета (если кто-то вдруг его правильно угадает). Зашифрованное описание выглядело как четыре коротких строчки символов:
0679 4388 66/27 5 -14
Именно на этом этапе к конкурсу и подключился Мэтт Блэйз, углядев здесь занятную криптоаналитическую задачку. Поломав некоторое время голову над цифрами (или, как он глумливо прокомментировал в своем блоге, "если угодно, обретя божественное вдохновение"), Блэйз предположил, что первые десять цифр (отделенные слэшем) могут означать ISBN, то есть стандартный международный номер книги. Проверка показала, что действительно есть такой номер – 0-679-43886-6, а имеет его учебный словарь Уэбстера, выпущенный издательством Random House в 1995 году. Поиски данной книги в библиотеке в итоге увенчались успехом, хотя это и оказалось самой трудной частью решения. Ну а логика книжного ключа сама подсказала дальнейший путь к отгадке. Следующие три цифры после разделителя-слэша (275) были предположительным номером страницы, а две последние (14) – номером строки. Эти координаты вывели аналитика на словарную статью, дающую определение термину "компакт-диск"…
Джеймс Рэнди подтвердил, что найденный Блэйзом ответ – "в запечатанном ящике спрятан компакт-диск" – абсолютно верен. С формальной точки зрения теперь криптограф вполне мог потребовать честно заработанный миллион, коль скоро ответ был найден дистанционно и исключительно напряжением ментальных способностей «экстрасенса». Однако Блэйз благородно решил не заниматься стяжательством и из уважения к подвижнической работе Фонда не только не стал требовать свой приз, но и с юмором честно описал, как именно работал его "дар ясновидения".
Что, с одной стороны, поспособствовало разоблачению одного из очередных «чудес», а с другой – наглядно продемонстрировало мощь аналитических методов мышления.
ГОЛУБЯТНЯ: Сухое «Сциллохарибдянское»: опохмел
Автор: Сергей Голубицкий
Сегодня завязываем с дегустацией мультимедийных железяк, пожертвованных мне на длительное терзание дистрибьютором DCM Russia. Тем более что винодельческая тема больше не соответствует географии: месяц как покинул испепеленную солнцем Молдавию и перебрался на не менее испепеленный – а вдобавок еще и пыльный – брег Понта Евксинского, где, как известно, тонкостям вина предпочитают пиво с горилкой.
Ах, ридна Незалежность, ничего-то в тебе не меняется… Как и прежде, на цифровом термометре в центре Одессы полыхают 42 градуса (в шесть часов вечера!); как и прежде, повсеместно и самозабвенно жгут свалки, отравляя морской воздух диоксинами (вот уж точно – фирменный национальный продукт!); как и прежде, расслабленно доброжелательное население хохмит, балансируя на грани шанхайской тети Хаи с ее пасхальными китайцами…
Недетский символизм местных нравов на редкость рельефно воплощен в фотографии, сделанной под Ильичевском (фото внизу):
• телескопические спиннинги на задней полке «гранд-туризма», намекающие на одномоментный зарул к морю и потяг бычков, тонко передают modus vivendi [Образ жизни (лат.)] южных областей Незалежности;
• летящая в окно обертка мороженого претендует на метафору modus agendi [Образ действия (лат.)], удачно оттеняя безбашенно-кучерявые отношения с экологией;
• наконец, modus cogitandi [Образ мышления (лат.)] идеально воплощен в наклейке с кроликами in coitu [В половом акте (лат.)]. Последних, как назло, заприметил Серега-младший: "Папа, папа! Что это за зайчики? Что они делают? Зачем они на стекле?" Потребовалось нечеловеческое напряжение шишки Макаренко, чтобы снести семантическое яичко, адаптированное к восьмилетнему возрасту: "Эта наклейка, сынок, означает, что водитель машины разводит на ферме кроликов. Помнишь, мы с тобой видели на стекле наклейку с красным крестом? Так вот: в той машине ехал врач, а в этой – фермер!"
Свет моих очей, увы, не унимался: "Ну и зачем окружающим людям знать, что он фермер? Нам с того какая польза?" Слава богу, для безупречной детской логики (папа таки вегетарианец с 25-летним стажем!) нашлось убедительное противоядие: "Сынок, это просто реклама!" Дело в том, что концепт рекламы в нашей семье – это высшая степень мирового падения и последняя инстанция абсурда. Реклама не поддается объяснению, а главное, такового не требует.
Несмотря на печальную энтропию провинциального быта Незалежности, «Боржоми» пить очевидно рано (вопреки повсеместной продаже этого табуированного россиянским берущим сословием напитка на Украине, равно как и в Молдове). Тем более что энтропия эта всего лишь отражает инертность человеческого духа, нигде в мире не поспевающего за социальными переменами. Сермяга в ином. Я неоднократно обращал внимание читателей на вектор социального и экономического развития Украины, полярно противоположный вектору Россиянии. Речь идет о принципиальной и повсеместной ставке на "маленького человечка". Если хотите, того самого фермера с кроликами in coitu.
Маленький человечек со своим маленьким и средненьким бизнесом сегодня полностью формирует собирательный образ Незалежности. Не татаро-монгольская плутократия, не азиатское байство государственных чаеболов, отданных для прикрытия в управление попкам-олигархам и лишенных, в отличие от корейских аналогов, малейшей заботы о собственном народе, а неудержимый расцвет частной инициативы маленьких людей, ежечасно воплощаемой в десятки аптек, кофеен, баров, ресторанов, часовых мастерских, магазинчиков, стоматологических кабинетов, пунктов проката мотороллеров, точек ремонта бытовой аппаратуры – всего того, что бандиты в Россиянии истребили сначала сами по себе, а затем – в спайке с государством.
Именно этот отличный от Россиянии вектор и определяет мои регулярные анабасисы в Незалежность, заставляет прощать ей политический маразм (слава богу, на повседневном уровне никто киевского бреда не замечает), вместе с "тетями Хаями", невыносимыми для уха, и диоксинами, невыносимыми для здоровья. Тем более что от лета к лету плоды незалежного вектора оказываются все сочнее и сочнее. Так, сегодня уровень сервиса и комфорта в местах моего отдыха приближается к представлениям об идеале.
Дабы не быть голословным, предлагаю читателям навскидку характерную зарисовку. Ситуация: спалил до мерзкой хрипоты автомобильную колонку в передней левой двери. На первый взгляд пустячок, по сути же – тяжкий швах. Дело в том, что на ровном месте колонки не вылетают. В девяти случаях из десяти виноваты высохшие конденсаторы старого усилителя, которые допускают перегрузку по одному из каналов. В подобной ситуации менять только колонки чревато: не ровен час, спалишь новые.
На поверку оказалось – аккурат мой случай: вместе с акустикой Cerwin-Vega (поверить не могу, что планку самооценки четыре года назад опустил столь низко, что поднялась рука на покупку столь гомерической пафни!) скончался и четырехканальный дедушка Pioneer. Единственное утешение – все сроки приличия давно уже вышли: как известно, усилитель автозвука, подобно аккумуляторной батарее, больше двух лет полноценно не функционирует.
Вечер посвятил изучению в Интернете современного состояния рынка (давненько, однако, ничего у меня в музыке не ломалось!) и остановился на оптимальном, как показалось, варианте по соотношению цены и качества: двухкомпонентной акустике Hertz HSK130 и усилителе Calcell P 1004 (о том и другом непременно расскажу в одной из ближайших "Голубятен").
Отправляюсь на авторынок и в первом же ларьке (вот они – кролики in coitu!) нахожу не только выбранные модели, но и едва ли не полный каталог всего, что просматривал в Интернете: линейки DLS, Hertz, Morel, Infinity, Phoenix, Calcell, Hifonics, SPL и Rockford Fosgate (перечисляю лишь то, что входило в изначально определенную для себя ценовую категорию, для серьезно же богатеньких были в наличии и Boston Acoustics, и Alpine Electronics).
"Где установить? Я вас умоляю!" – продавец протягивает пачку визитных карточек (шестнадцать штук!). Обзваниваю первую пятерку частных мастеров – неудачно: умельцы заняты под завязку, ближайшее окошко – через три дня. Зато первый же салон (уже не малый, а средний бизнес!) откликается на гешефт с энтузиазмом: приезжайте – обслужим по первому разряду!
Ехать оказалось четыре минуты. На внутренней парковке автосервиса екнуло сердце: живым мне отсюда не выбраться! На приколе в ожидании тюнинга (компания специализировалась на автомузыке) вальяжно томились Porsche Cayenne Turbo и два AMG SL55. Немного успокоился, заприметив на задворках скромнягу «Мустанга» махровых 70-х годов (как потом оказалось, начинка реликтового и эксклюзивно напичканного зверя почти в полтора раза превышала по стоимости серийный "Порше").
Конечно же, я утрирую для украшения сюжета, и никакое сердце у меня никуда не екало, потому как цену вопроса заранее оговорил по телефону. Поразила, однако, не доступность услуг для кроликов in coitu (= "маленького человека" – похоже, в нашем культур-повидле объявился новый кённинг!) в одном из лучших специализированных тюнинговых салонов города, а объем выполненных работ. Двое мастеров провозились с моими колонками и усилителем пять с половиной часов: многочисленные замеры, изготовление новых подиумов для колонок (трехсантиметровая фанера вместо штатного пластика, убивающего на корню волновые колебания звука), поиск посадочных мест для твитеров (в дверях не нашли, остановились на торпеде), ковыряние в совершенно незнакомой электропроводке, монтаж усилителя. Цена вопроса – 250 гривен (50 долларов!). Без комментариев.
Ёксель-моксель, совсем забыл, что "Голубятня"-то у нас про Archos 404! Быстрехонько наверстываем упущенное.
Archos 404 отличается от своего старшего собрата Archos 604 пятью чертами: общими размерами, пропорцией экрана (4:3 вместо 16:9), отсутствием сенсорной подложки и WiFi и наличием встроенной фото/видеокамеры. В остальном гаджеты практически идентичны: 30-гигабайтный жесткий диск, поддержка True Color (16 млн. цветов), просмотр видео и фотографий, проигрывание музыки, запись звука и видео. Так же как и 604-й (и не так, как Creative Zen Vision W), 404-й умеет подключаться к компьютеру по-человечески, то есть обычным внешним USB-диском, а не устройством Windows Media. Так же радует глаз богатое иконографическое меню (опять же преимущество в сравнении с текстовым анахронизмом Creative Zen Vision W). Так же искренне печалит отсутствие FM-радио.
Впрочем, все эти малоосмысленные ТТХ и спецификации читатель без труда найдет в каталогах любого интернет-магазина, мне же хотелось остановиться на информации дефицитной – реальной practicability устройства, реальном качестве экрана и реальной поддержке видеоформатов.
Начну с конца. Поддержка видеокодеков у младшего Archos в состоянии out-of-the-box неизмеримо выше, чем у Creative Zen Vision W. В прошлой «Голубятне» я написал, что джукбокс Creative поддерживает три-четыре фильма из десяти без конвертации. На третьем месяце тестирования могу смело констатировать – погорячился. Creative не поддерживает даже двух фильмов из десяти, поэтому практически все кино приходится предварительно конвертировать, как это делается для Sony PSP, – обстоятельство, меня лично раздражающее сверх меры.
Итак, поддержка видео у джукбоксов изначально лучше, а вкупе с опциональными плагинами Archos, обеспечивающими проигрывание не только кодека H.264, но и VOB-формата MPEG2 (то есть обычные DVD), смотрится вообще шикарно. Сразу же, однако, добавляю пудовую ложку дегтя: программные видеоплагины Archos не раздает, а самым постыдным и непристойным образом продает, причем по 20 евриков за штуку – дикость несусветная!
Теперь – качество экрана. Оно на голову выше, чем у старшего брата Archos 604 WiFi (ярче, контрастнее и четче по объективной причине меньшего физического размера и отсутствия сенсорной пленки), и по-прежнему хуже, чем у Creative Zen Vision W.
Впрочем, главное достоинство Archos 404 – в practicability его форм-фактора. 404-й – единственный по-настоящему портативный джукбокс. Ни Zen, ни 604-й в карман не засунешь – ни рубашки, ни брюк, ни пиджака. Зато 404-й – в самый раз! Кроме того, гаджет целиком умещается в ладони при пользовании, что создает дополнительное и непередаваемое удовольствие от камерности ситуации. 404-й весь такой маципуленький, миньятюрненький – точь-в-точь как нравится Козловскому! При этом качество сборки металлического корпуса просто зашкаливает представления о технологичном устройстве категории high class.
Добавьте сюда фантастически привлекательную цену (290 долларов), и вы получите серьезнейшего кандидата на внеплановый подарок себе любимому.