KnigaRead.com/

Компьютерра - Журнал "Компьютерра" №746

На нашем сайте KnigaRead.com Вы можете абсолютно бесплатно читать книгу онлайн Компьютерра, "Журнал "Компьютерра" №746" бесплатно, без регистрации.
Перейти на страницу:

В тексте книги упоминается сам сайт "odnoklassniki.ru", которым пользуются герои, а обложка содержит рисунок, стилизованный под логотип сайта. Товарный знак №328708 не зарегистрирован по шестнадцатому классу МКТУ, в который входят книги и печатная продукция, так что прием, подобный тому, что был применен в случае с "КМ Онлайн", здесь пройти не должен. ПП

Новости подготовили

Галактион Андреев

Александр Бумагин

Владимир Головинов

Евгений Золотов

Денис Коновальчик

Игорь Куксов

Павел Протасов

Жанна Сандаевская

Дмитрий Шабанов

Константин Шиян

НОВОСТИ : 100% уязвимости при 99% безопасности

Автор: Киви Берд

Десять лет назад Малайзия стала первым государством, где были введены электронные паспорта со встроенным чипом, дублирующим содержимое документа в цифровой форме. Уже в 1999 году этой технологией заинтересовалась ICAO, Международная организация гражданской авиации. А после печально известных событий 2001 года ICAO под нажимом США стала главной силой, продвигающей электронные паспорта.

Сегодня их ввели уже полсотни государств, гражданам которых выдано около ста миллионов документов нового образца.

Одним из важнейших достоинств этого нововведения принято считать то, что встроенный RFID-чип хорошо защищает документ от подделки.

Во-первых, потому, что его технологически сложнее изготовить, нежели обычный паспорт. А вовторых - и это самое главное, - записанные в память микросхемы данные о владельце надежно защищены от манипуляций и подмены с помощью криптографии, взломать которую невозможно. Так, по крайней мере, заявляют официальные лица, отвечающие за ускоренное внедрение технологии в международном масштабе.

Насколько декларируемая надежность соответствует действительной, решили проверить журналисты британской газеты Times, пригласив для этого известного в своем кругу "хакера в законе" Йерона ван Бека (Jeroen van Beek) из Амстердамского университета. Ван Бек давно экспериментирует с разнообразными технологиями анализа RFID-чипов, так что ему не составило труда наглядно продемонстрировать уязвимости электронных паспортов.

Для считывания информации с чипа достаточно компактного ридера ценой около 60 евро - и через несколько секунд вся информация появляется на экране компьютера. Вообще-то так быть не должно, поскольку "разговор" чипа с ридером зашифрован, но два года назад британский исследователь Эдам Лори (Adam Laurie) сумел обойти криптозащиту в этом канале (см. "КТ" #662 и rfidiot.org).

Еще несколько секунд понадобилось ван Беку, чтобы скопировать содержимое встроенного в паспорт RFID-чипа в другой чип. Примечательно, что идентичность клона подтверждает программа Golden Reader Tool, одобренная и рекомендованная ICAO в качестве стандарта для проверки подлинности электронных паспортов. Впрочем, удивить здесь может разве что легкость и быстрота операции, поскольку собственно клонирование RFID паспортов германский хакер Лукас Грюнвальд (Lukas Grunwald) продемонстрировал еще два года назад (см. "КТ" #649). Самое интересное, однако, началось дальше.

На своем компьютере ван Бек изменил содержимое чипа-клона, подменив фотографию подлинного владельца фотографией другого человека - для смеха взяв снимок бен Ладена. Точно так же, прокомментировал свои действия ван Бек, можно изменять и любые другие биометрические параметры, которые со временем планируется заносить в чип, будь то отпечатки пальцев или снимок радужной оболочки глаза. Поскольку содержимое памяти чипа хешируется и шифруется криптографией с открытым ключом (дабы цифровой подписью защитить данные от подделки), поначалу Golden Reader отказалась принимать модифицированный чип-клон как подлинный.

Но на этот случай у ван Бека есть утилита, созданная известным новозеландским хакером Питером Гутманом (Peter Gutmann) из Оклендского университета. Гутман нашел способ прописывать в чип другую цифровую подпись, которая при проверке будет приниматься за подлинную. Фактически манипулятор может выступать в роли "государства", выпустившего собственный сертификатключ для легитимной подписи паспортов. И на сей раз программа-ридер ICAO принимает чип-клон с новой фотографией и цифровой сигнатурой без возражений…

Дабы понять, как такое возможно, рассмотрим механизм борьбы с подделкой криптоключей.

Для этих целей ICAO учредила специальную базу данных - Public Key Directory (PKD). Управляет ею сингапурская компания Netrust, победившая в конкурсе среди восьми претендентов. В идеале, если бы PKD работала как задумывалось, можно было бы моментально подтвердить подлинность настоящего ключа или выявить подделку. Но для этого нужно, чтобы все страны-члены ICAO (а их около двух сотен) подтвердили данные о своих ключахсертификатах.

Но процесс движется медленно… Сейчас, спустя полтора года после запуска PKD, к ней подключились и регулярно используют лишь пять стран: Австралия, Новая Зеландия, Сингапур, США и Япония. Поскольку принуждение в данном случае невозможно, ICAO пытается применять и другой способ борьбы с клонированием паспортов - активную аутентификацию. Увы, и она не является обязательной. Это ван Бек тоже продемонстрировал, переписав в чипе-клоне индексный файл так, чтобы ридер пропускал процедуру активной аутентификации. В принципе, можно было бы защитить хешированием и индексный файл, однако в существующих паспортах этого не сделано. А чтобы сделать это сейчас, потребовалось бы отозвать и заменить миллионы уже выпущенных документов.

Комментируя столь унылую ситуацию, сложившуюся вокруг "надежно защищенных" электронных удостоверений личности, вышеупомянутый Эдам Лори резюмировал: "Если вы оцениваете безопасность системы в 99%, то она все равно уязвима на 100%, потому что и оставшийся процент можно использовать по полной программе".

МИКРОФИШКИ: Микрофишки

Седьмое сентября станет не только первым воскресным днем осени, но и стартом продаж iPhone 3G в американской сети Best Buy. До этого момента купить модный гаджет в США можно было только в Apple Store и салонах AT&T. Что касается России, по самым оптимистичным прогнозам, официальные продажи трубки начнутся не раньше следующего года. Как заявляют представители МТС, ведущие активные переговоры с Apple, вероятно, ни один российский оператор не получит эксклюзивного права продавать аппарат на территории страны. ЖС

***

App Store, онлайновый магазин софта для iPhone, пополнился странным приложением I Am Rich. За 999 долларов разработчик предлагал программу, которая не умеет абсолютно ничего! Вернее, ничего полезного. "Красная иконка на iPhone будет напоминать вам и окружающим о том, что вы можете позволить себе подобные вещи" - гласило описание софтины. Проще говоря, за кровную штуку предлагалось тупо "понтануться". "Пожалуйста, скажите мне, что это шутка", - так звучал один из отзывов. Автор приложения с такой трактовкой согласен: "Это произведение искусства, без каких-либо функций". Нашлось, однако, восемь человек, пожелавших прикупить "luxury"-программу. Правда, некоторые из них потребовали деньги назад, мотивируя тем, что совершили покупку по ошибке. Администрации App Store ничего не оставалось, как убрать из магазина вызывающе бесполезную софтину, уже ставшую к тому времени причиной горячих сетевых дискуссий. КШ

***

Проблема подросткового хулиганства докатилась и до Интернета.

Среда другая, а методы те же: оскорбления и запугивание тех, кто послабее. Чиновники штата Калифорнии одними из первых озаботились созданием механизма, позволяющего привлекать к ответственности кибершпану. В настоящее время законопроект находится на стадии одобрения поправок, внесенных Сенатом, после чего он будет направлен губернатору штата Арнольду Шварценеггеру. И можно не сомневаться, что "железный Арни" инициативу поддержит. ЖС

ГОЛУБЯТНЯ: Кабы я был султан

Автор: Сергей Голубицкий

За событиями в Южной Осетии я слежу из страны, чье правительство тепло и закадычно дружит с Саакашвили, сопереживает его делу, помогает морально и списанным вооружением. Рядовые же граждане Украины, с которыми удалось пообщаться, дружно недоумевают: "Чего это Грузия сначала стерла в порошок райцентр заодно с его не успевшими убежать обитателями, а затем истерично заголосила на весь мир, что на нее, пушистую и хорошую, напал большой и злой разбойник из Мордора?!"

В семидесяти километрах от моей летней резиденции находится другая страна - малая моя родина, - в которой правительство, наоборот, занимается дипломатичным полосканим воды во рту, а граждане пикетируют российское посольство в Кишиневе под лозунгами: "Россия, прекрати агрессию против Грузии".

Вот парадокс: люди потребляют одинаковую информацию, однако ж обрабатывают ее в радикально оригинальном ключе! С ходу хочу отмести за нелепостью дурку о том, что информация в Молдавии, Украине, России, Грузии, Европе и Америке якобы процеживается через суровое сито пропаганды, а потому формирует разную реакцию. В эпоху глобальных информационных систем, Интернета и спутникового вещания подобное утверждение выглядит по меньшей мере наивным лукавством.

Перейти на страницу:
Прокомментировать
Подтвердите что вы не робот:*