 |
| Так выглядит настоящий "киборг"! |
Почему забеременеть
случайно легче, чем по плану? Потому что в основе случая лежит игра, а в
основе планирования – тяжелая работа.
На прошлой неделе завершилась 17-ая ежегодная международная конференция по проблемам информационной безопасности и охране частного пространства, в которой я принимал участие. Девиз конференции этого года: «Информационная безопасность и охрана частного пространства: по плану, а не случайно» отсылает нас к известному фундаментальному принципу открытости архитектуры информационных систем. Этот принцип я обсуждал в статье «Фундаментальные принципы информационной безопасности: принцип открытой архитектуры» (
http://pomyslivden.blogspot.ca/2015/07/blog-post_3.html). Вкратце его суть звучит так: секретность не должна быть единственным слоем защиты информационной системы. Организаторы конференции 2016-го года предлагали участникам пообщаться о том, какие еще слои защиты необходимы современным информационным системам.
Этот диалог как бы разбивается на две части: 1) разговор о современных эффективных слоях защиты информационных систем, например о проблемах криптографии или многофакторной аутентификации; 2) обсуждение уязвимостей современных информационных систем и того, насколько эти уязвимости проблематичны и нуждаются в защите. Чтобы немного "разбавить" этот рассказ, я добавил в него несколько своих собственных шуток в стиле "Армянского радио".
В чем отличие информационной безопасности и сыра? Дырки хороши только в сыре!
Общее послание выступающих на конференции по поводу первого пункта сводится к тому, что часто привычные способы защиты уже неэффективны, они не могут более защищать в достаточной мере системы, нуждающиеся в защите. К этой ситуации привела скорость развития современных компьютеров, подчиняющаяся знаменитому закону Мура, согласно которому количество транзисторов, размещаемых на кристалле интегральной схемы, удваивается каждые 24 месяца. Иначе говоря, современные технологии позволяют создавать такие мощные компьютеры, которые запросто могут решать задачи непосильные предыдущему поколению компьютеров. Экзотическим примером, который на устах у всех специалистов по информационной безопасности, является квантовый компьютер. Но таковых имеются пока только единицы в мире (один из них в Британской Колумбии, где я живу). В статьях сообщают, что это действительно мощнейшие машины, способные «сломать» любой самый сложный пароль, раскодировать любой сложности шифрование, которое например поддерживается протоколом https. Пока такие компьютеры редки, но недалек тот день, когда они станут повседневной реальностью.
Речь на конференции шла о том, что любой взломщик может сегодня за небольшие деньги приобрести такое оборудование или программное обеспечение, такую информацию, которая позволит ему проникать внутрь довольно сложных систем, справляться с весьма сложными защитами. Этому взломщику даже не надо быть технически подкованным, ему нужно просто знать какое взламывающее устройство что делает, то есть просто разбираться в рынке.
Бабушка, а почему у тебя такие большие уши? Чтобы перехватывать радио-переговоры охотников, моя девочка!
Примеров очень много. Доступное в открытой продаже 100-долларовое устройство WiFi Pineapple позволяет перехватывать траффик между жертвой и любым Интернет-ресурсом, который жертва открывает на своем компьютере через WiFi связь. Таким Интернет-ресурсом может быть онлайновый банковский счет, электронная почта, электронный кошелек жертвы, и т.д. Воспользуюсь этим случаем и напомню моим читателям никогда не открывать подобного рода ресурсы в точках открытого беспроводного доступа к Интернету, типа кафе (подробнее на эту тему я высказался в статье «О защите мобильных устройств от взлома»,
http://pomyslivden.blogspot.ca/2014/04/blog-post_3.html). Я однажды присутствовал на презентации этого самого "ананаса", которая меня убедила раз и навсегда держать свой компьютер или смартфон подальше от WiFi!
Или другой пример. Знакомый рассказал, что недавно один из сотрудников его компании обнаружил какой-то неизвестный и очень незаметный переходник, через который его клавиатура была подключена к компьютеру. Никто в офисе не знал откуда взялся этот переходник. Когда служба безопасности проверила это устройство, то оказалось, что это беспроводной «килоггер», который записывает все нажатия клавиш и по радио передает их «на базу». Устройство продается совершенно открыто в Интернете, стоит около 60-ти долларов и предлагается для разъемов нового и предыдущего поколений, а также в разных цветовых решениях. Кто установил устройство, как давно – остается невыясненным. Ясно было одно, оно было установлено для слежки и выполняло свою задачу очень эффективно (судя по отзывам покупателей на сайте компании-производителя).
Таким образом, современным информационным системам нужны мощные и многочисленные слои защиты, чтобы хоть каким-то образом снизить риск взлома этими многочисленными, хитроумными и недорогими устройствами и программами. Такие слои сегодня активно разрабатываются, например, многофакторная аутентификация, когда человек проходит через несколько проверок, прежде чем система откроет ему запрашиваемый доступ. В этом смысле можно вспомнить замораживание доступа к онлайновому кошельку, если введенный пароль неверен три раза подряд в пределах 24 часов; или дополнительные вопросы, которые система предлагает, если доступ к ней происходит в необычных условиях (с нового IP адреса или даже с нового Интернет-браузера).
Подруга, посоветуй, где нынче можно встретиться с настоящим мужчиной? Как где, дорогая, в мужском отделении бани конечно же!
Тема многофакторной аутентификации и современных возможностей взламывать информационные системы очень злободневна, ей было посвящено много докладов и обсуждений. Мое общее впечатление: тема эта очень бурно развивается, в ней происходит много любопытнейших и удивительных открытий и достижений, каждому из которых можно посвятить как минимум статью. Два источника, которые я лично держу в виду регулярно в этом смысле – доклады таких ежегодных конференций, как Def Con (
https://www.defcon.org) и Black Hat (
https://www.blackhat.com), на которые собираются хакеры и «пентестеры», чтобы обсудить последние достижения в своем деле. Конференции эти очень дорогие и престижные, но о сути многих обсуждаемых проблем можно догадаться через темы докладов. В течение года многие тексты докладов публикуются в открытом доступе, и это очень важное чтение для любого человека, который интересуется проблемами информационной безопасности и охраны частного пространства (почитайте, например, любопытнейший доклад компании «Симантек» о проблемах популярнейших сегодня датчиков здоровья (wearables),
http://www.symantec.com/connect/blogs/how-safe-your-quantified-self-tracking-monitoring-and-wearable-tech).
Другая часть обсуждений и докладов конференции была посвящена теме уязвимостей современных информационных систем и того, насколько эти уязвимости проблематичны и нуждаются в защите. Здесь тоже происходит много чего такого, от чего глаза просто на лоб лезут от изумления.
Сынок, если бы у меня в детстве были такие же игрушки, как у тебя, я бы наверно умер от счастья! Как хорошо, папа, что у тебя не было таких игрушек!
Одним из таких моментов была встреча с человеком, который вживил в свой мизинец микросхему (чип). Сделал он это для того, чтобы облегчить себе доступ к информационным системам, которыми он пользуется, например к онлайновому кошельку. Встреча эта подавалась в программе конференции, как встреча с реальным «киборгом», хотя на самом деле «киборг» оказался довольно простым и приятным парнем, и даже как будто с пивным брюшком. Он был совсем непохож на зловещего голливудского Терминатора. "Киборг" довольно эффективно защищал удобства перенесения микросхемы «из кармана под кожу». Согласно его логике, мы все равно ее носим на себе, в смартфоне ли или на кредитной карте, только подкожное хранение этого чипа более надежно, чем карманное. С этим сложно поспорить! Вживление чипа в кожу не прошло бесследно для его мозга: он рассказывал, что когда он проходит через магнитные ворота в магазине или в библиотеке, его мозг воспринимает усиление магнитного поля как некую физическую преграду, которую он ощущает. По его рассказу он как-будто сталкивается со стеной из ваты. Здесь можно спорить о том, что этот парень уже не обыкновенный человек, который магнитное поле чувствовать не должен, а некое новое существо, смесь человека и компьютера, у которого имеются новые мало изученные физические возможности.
Этот пример показывает, что высокие технологии проникают в самую сердцевину нашей жизни. Информационными системами сегодня могут стать предметы домашнего обихода и даже сами люди. У этого нового явления имеется название: «умные» вещи или даже «умные» люди. Благодаря этому симбиозу компьютерным системам открываются наши самые интимные привычки, действия, а частное пространство просто исчезает. Данные, которые записываются и передаются на компьютеры через этот симбиоз, становятся чрезвычайно персональными, например, можно себе представить какими данными оперируют «умные» часы, одежда, холодильники, автомобили и т.д.
К сожалению, хакеры научились взламывать «умные» системы, многие из которых создавались в спешке и практически без оглядки на необходимость их защищать от взлома. Подробно на эту тему я писал в статье «Темная сторона Интернета вещей»,
http://pomyslivden.blogspot.ca/2014/10/blog-post.html. Ущерб от такого взлома сегодня может быть катастрофическим, стоит вспомнить травматические последствия взлома дистанционных детских мониторов, который еще недавно активно освещался в СМИ.
Кто такие хакеры? Это такие люди, которые не покладая рук трудятся над созданием рабочих мест для сотрудников отделов информационной безопасности и повышением их зарплаты.
Резюмируя эти размышления можно сказать, что современные информационные системы крайне нуждаются в защите, они часто очень уязвимы. Однако тех, кто желает их взломать, очень много, они крайне изобретательны и при нужде быстро объединяются и координируют свои усилия, у многих из них очень темные цели и имеется доступ к большим финансовым ресурсам. Рынок устройств, которые можно использовать для взлома, богат, открыт и доступен для подавляющего большинства людей.
Мы живем в потрясающе удивительные времена, когда перед нами открываются совершенно новые и удивительные возможности. Конференция помогла мне осознать, насколько раздвинулся горизонт этих возможностей, и насколько серьезны риски их использования. Человек-«киборг» признался во время дискуссии, что когда он узнает о какой-то новой доступной технологии, он уже не спрашивает себя «Почему?», в смысле, стоит ли ею пользоваться, типа, этично-неэтично. Ответ здесь таков: технологиями стоит пользоваться потому, что открывающиеся ими возможности позволяют ему быть на шаг впереди остальных и иногда даже эффективно монетизировать этот шаг. В этом смысле разрешено все, что не запрещено. Сегодня «киборг» задает себе вопрос, «Почему бы и нет?», то есть, что мешает ему воспользоваться преимуществами, которые открывает та или иная технология? Эффективная информационная безопасность помогает этому «Почему бы и нет?» свершиться в глобальном масштабе, тогда как ее неэффективность будет всерьез ограничивать наши возможности, все четче разделяя людей на тех, которые «могут», и тех, которые «не могут».
