Компьютерра - Журнал «Компьютерра» № 16 от 24 апреля 2007 года
Глядя из собачей будки
Автор: Киви Берд
В стародавние времена, когда знаменитый ныне гуру по безопасности Брюс Шнайер был известен лишь в узких криптографических кругах, а слово «блог» еще и на свет не появилось, Шнайер общался с миром при помощи своего ежемесячного, быстро набиравшего популярность бюллетеня Crypto-Gram (который жив и поныне). И был в том бюллетене интересный раздел Dog-house, или "собачья будка", где автор, подобно сторожевому псу, "облаивал", так сказать, разного рода сомнительные шифрсредства, в те времена изобильно выбрасывавшиеся на рынок доморощенными криптографами-программистами. Прошедшие с той поры годы все расставили по местам, никудышные криптопрограммы вымерли естественным образом, качественные выжили и получили широкое распространение, а раздел Dog-house реанимируется Шнайером в его блоге лишь изредка, когда в Сети вдруг всплывает какая-нибудь очередная новая фирма, основанная молодыми нахалами, уверенными, что они совершили революцию в криптографии.
Но если "собачья конура" Шнайера ведет полулетаргическое существование, это вовсе не означает, что на рынке перестали появляться средства защиты информации, откровенно слабые или даже просто абсурдные с точки зрения безопасности. Напротив, подобных средств по-прежнему выпускается в достатке. Ленты текущих новостей регулярно предоставляют тому живые примеры, а значит, для предупреждения потребителей все так же нужен какой-то, пусть и не чисто криптографический, Dog-house. И нечто подобное мы устроим прямо здесь и сейчас.
Первая история имеет непосредственное отношение к серьезнейшим проблемам, которые испытывают ныне корпорации и организации из-за повсеместного распространения миниатюрных носителей информации с огромными объемами памяти. USB-флэшки могут вмещать гигабайты важных документов, а потерять или украсть эти симпатичные гаджеты проще простого. По этой причине спросом стали пользоваться USB-модули памяти со встроенными средствами защиты. Однако ошибиться с выбором правильного средства на удивление просто, поскольку даже дорогая, солидная и «фирменно» смотрящаяся вещь с точки зрения защиты информации может быть полнейшей чепухой.
Голландский сайт ИТ-новостей Tweakers.net обратил внимание на один из продуктов подобного рода – USB-модуль памяти Secustick, бойко продающийся в Западной Европе одноименной компанией, требующий пароля для доступа к информации, якобы "саморазрушающейся", если пароль несколько раз введен неправильно. Устройство имеет память 1 Гбайт, заключено в прочного вида металлический корпус, а продается и смотрится как стильная бижутерия – в элегантном, выложенном изнутри черным бархатом контейнере и с металлическим витым шнурком для ношения на шее. Secustick продается по неслабой цене в 130 евро (что где-то на порядок больше средней европейской цены на обычный гигабайтный модуль флэш-памяти) и, как утверждают пресс-релизы на сайте изготовителя, используется правительственными ведомствами Франции (включая Министерство обороны) и Нидерландов, а также многими крупными мультинациональными корпорациями, вроде Dassault и Credit Agrecole.
Журналисты Tweakers сами не решились расковырять столь солидную вещь и попросили помощи у знакомого хакера, известного в Сети как Sprite_tm. И этот самый Спрайт быстро установил, что вся защита информации в Secustick носит бутафорский характер. Внутри модуль оказался обычным дешевым продуктом без какой-либо физической защиты электроники от инженерного доступа. Шифрования данных там нет в принципе, а доступ к содержимому памяти можно получить (поближе познакомившись с кодом управляющей Windows-программы), даже не вскрывая корпус и не подбирая пароль. Грамотному человеку оказалось достаточно ПК и обычной программы из хакерского инструментария, чтобы поменять значение единственного бита в регистре, управляющем доступом к памяти, и открыть для считывания все содержимое Secustick. Когда эта информация появилась в Интернете, сайт www.secustick.nl срочно приостановил работу "для технической модернизации".
История вторая связана с куда более солидной корпорацией Sony, которая, увы, в который раз наступает на одни и те же грабли под названием "DRM-защита контента". Похоже, скандала со шпионской программой-руткитом в аудиодисках Sony оказалось недостаточно, чтобы и другие подразделения компании-гиганта стали аккуратнее относиться к применению средств защиты контента от копирования.
Слухи о том, что киноподразделение Sony Pictures втихаря возродило на своих DVD-дисках технологию защиты ArccOS, об отказе от которой объявлялось в феврале 2006-го, появились еще минувшим летом. В сущности, это мало кого волновало, поскольку все популярные программы копирования DVD (AnyDVD, DVDFab Decrypter, RipIt4Me и пр.) защиту легко снимают. Однако теперь стало очевидно, что большие проблемы возникли у владельцев новых DVD-плееров (чаще всего упоминаются Sony DVP-CX995V, Toshiba SD4700 и Harman Kardon DVD101), которые неспособны воспроизводить многие новые диски с фильмами компании Sony Pictures. Заглотив защищенный носитель, плеер некоторое время пытается его прочесть, а через минуту просто выключается. Самое потрясающее, что диски фирмы Sony отказываются воспроизводить плееры, изготовленные этой же компанией. Разъяренных покупателей сотрудники техподдержки Sony Electronics тут же перенаправляют в Sony Pictures, где им вежливо сообщают, что "знают об этой проблеме", но поделать ничего не могут, ибо исправляется баг с помощью новой прошивки плеера. Только вот прошивки такой пока нет, а когда будет, неизвестно…
Воистину, реальность оказывается "страньше, чем выдумки": как в вольном переводе на русский звучит "Stranger Than Fiction" – название одного из свежих и не поддающихся просмотру DVD-фильмов от Sony Pictures.
ТЕХНОЛОГИИ: «4исла» со смыслом
Автор: Киви Берд
Видный российский математик Владимир Арнольд, прекрасно знакомый с современным положением науки как в нашей стране, так и за рубежом, в своих публичных выступлениях не раз отмечал, что нынешняя ситуация все больше напоминает картины из истории Римской империи. Ибо, как известно, римлян, в отличие от тех же древних греков, наука интересовала лишь в сугубо практических приложениях к двум главным дисциплинам – военному делу и архитектуре. А все остальные исследования, не имеющие отношения к военным победам империи и к ее прославлению в монументальном искусстве, не заслуживали у властей никакого внимания и, соответственно, не имели материальной поддержки.
Владимир Арнольд:
"Я упомянул о недавнем введении в штате Калифорния (по инициативе нобелевского лауреата Глена Сиборга) нового требования к поступающим в университеты школьникам: нужно уметь самостоятельно делить число 111 на 3 (без компьютера)".
Роль архитектуры для имиджа нынешних ведущих мировых держав – это отдельная тема, которую мы затрагивать не будем. А вот крайне неблагополучная ситуация с финансированием научных исследований, далеких от разработки новых орудий убийства и устрашения, – действительно серьезная проблема для ученых и общества в очень многих государствах, даже в самых богатых. Дабы это не звучало голословно, имеет смысл привести конкретный пример из нынешних бюджетных сокращений, скажем, в Великобритании. Так, в феврале 2007 года британское правительство пересмотрело планы финансирования научных исследований, урезав их бюджет более чем на треть – со 196 млн. фунтов стерлингов до 128 млн. Среди наиболее пострадавших направлений оказались, в частности, общие физические исследования (минус 29 млн.), исследования окружающей среды (–9,7 млн.), медицина (–10,7 млн.), физика частиц и астрономия (–3,1 млн.).
Столь же унылая картина с госфинансированием науки наблюдается сегодня и в США, главной «империи» на политической карте современного мира, и во множестве других стран, включая Россию. Причем повсюду эта картина формируется как бы естественным образом, поскольку нынешние высшие круги политической элиты – это юристы, финансисты, бизнесмены, люди из силовых структур и разведки (что особо модно в последнее время), да еще раскрученные телевидением персонажи из индустрии развлечений (артисты, спортсмены, телеведущие). Кого в столь влиятельных кругах почти нет, так это серьезных ученых. Следствием же подобных раскладов становятся не только регулярные бюджетные сокращения научных исследований, но и то, что в обществе устойчиво наблюдается снижение уважения к науке, а профессия ученого становится все менее престижной. Любопытно, что специфическим индикатором в данном случае оказывается отношение публики именно к математике (что, впрочем, вполне объяснимо, если вспомнить известное изречение "в каждой дисциплине науки столько, сколько в ней математики").
Руководители американской науки, давно привыкшие считать себя мировыми лидерами и потому особо болезненно реагирующие на перемены, воспринимают происходящее очень серьезно. Тем более что международные исследования, сравнивающие математические достижения и уровень понимания науки на различных уровнях обучения, регулярно показывают, что США существенно отстают от других индустриальных стран. Среди главных тому причин называются негативное отношение к математике со стороны родителей, учеников и студентов, и даже со стороны преподавателей начальной школы, которые, возможно невольно, передают свою собственную антипатию подрастающему поколению.