Журнал Компьютерра - Журнал «Компьютерра» №25-26 от 12 июля 2005 года

Как известно, так называемые «кражи личности» стали массовым явлением в значительной степени из-за гигантских и плохо защищенных баз данных, накапливаемых на своих клиентов коммерческими и государственными структурами. Новые законы и поправки к уже существующему законодательству, спешно принимаемые во многих странах, обязывают держателей подобной информации широко объявлять о случаях ее компрометации, дабы потенциальные жертвы были предупреждены о возможном хищении их персональных данных. Понятно, что всякое подобное объявление наносит сильнейший удар по репутации компании, расписавшейся в неспособности защитить доверенную ей приватную информацию. По этой причине на рынке ощутимо возрос интерес к техническим средствам, препятствующим несанкционированному доступу к информации на дисках. Откликаясь на этот интерес, известное бизнес-издание Wall Street Journal дало обзор предлагаемых ныне вариантов уничтожения данных на похищенных или утраченных компьютерах. Вкратце картина такова.

Уже достаточно раскрученная программа Computrace фирмы Absolute Software позволяет владельцам компьютера позвонить оператору горячей линии, который запустит команду на дистанционное стирание (без возможности восстановления) информации в украденном ПК, как только тот подключится к Интернету (услуга отслеживания компьютера стоит около ста долларов на срок три года). Также существует немало программ, автоматически инициирующих процедуру уничтожения или запирания данных в тех случаях, если пользователь вводит подряд слишком много неверных паролей или просто не загружается с заранее определенной частотой.

Но самый экзотический способ защиты предлагает компания

Ensconce Data Technologies со своим жестким диском Dead on Demand (смерть по запросу). Его изюминка - встроенный в корпус резервуар со специальным химически активным составом. Этот диск можно сконфигурировать таким образом, чтобы в случае попытки несанкционированного доступа или изъятия из компьютера, перемещения всей машины из зафиксированной с помощью GPS точки, при ощутимом изменении внешней температуры или же просто по звонку с сотового телефона внутрь привода впрыскивалось вещество, за считанные минуты разъедающее магнитный слой носителя. Разработчики заверяют, что их секретный препарат ничуть не опаснее обычной бытовой химии и не вредит остальной начинке компьютера.

Саморазрушающиеся дисководы обещано выпустить на рынок в ближайшие месяцы по цене от 2,5 до 9 тысяч долларов за штуку. Изготовитель полагает, что такого рода продукция будет пользоваться спросом в государственных и солидных коммерческих структурах. - Б.К.

Консорциум Bluetooth SIG (Special Interest Group) быстро и адекватно отреагировал на новую угрозу безопасности своей технологии, появившуюся в июне этого года (см. «КТ» #594). Тогда, напомним, два исследователя из Тель-Авивского университета, Янив Шакед и Авишай Вул, продемонстрировали, что, казалось бы, надежно зашифрованный канал связи двух спаренных Bluetooth-устройств можно взломать за доли секунды. Если, конечно, злоумышленник располагает необходимым инструментарием для перехвата и взлома, а также умеет принудительно инициировать в Bluetooth-устройствах повторную процедуру спаривания.

В опубликованном по этому поводу заявлении Bluetooth SIG подтверждает серьезность выявленной бреши (допущенной не столько по недосмотру разработчиков технологии, сколько из-за недооценки угрозы изготовителями). К счастью, в Bluetooth заложен немалый запас прочности, поэтому, воспользовавшись советами специалистов SIG, владельцы устройств могут сами укрепить свою безопасность. Главное - быть бдительными и никогда не проводить повторное спаривание устройств в общественных местах, где велика угроза перехвата, а также использовать более длинный PIN-код.

Вместо четырех цифр PIN, принятых по умолчанию изготовителями Bluetooth-устройств, консорциум настоятельно рекомендует задействовать не менее восьми буквенно-цифровых символов. Благодаря этому пространство возможных комбинаций радикально увеличится, и злоумышленнику, по оценкам SIG, понадобится для взлома уже не доля секунды, а по меньшей мере сотня лет. Остается, конечно, проблема с рядом тех устройств (вроде телефонных гарнитур), куда изготовитель зашивает четырехсимвольный PIN, однако основная часть оборудования в принципе позволяет владельцам установить такой PIN, какой они желают. Ну а напоследок Bluetooth Special Interest Group призывает всех пользователей своей технологии не поддаваться панике, поскольку «чрезвычайно маловероятно, что обычный человек хоть когда-нибудь столкнется с подобной атакой». - Б.К.

В борьбе за сердца юных американцев Министерство обороны США, похоже, не остановится ни перед чем. Начиная с 2002 года, Пентагон ведет вербовку среди старшеклассников, опираясь на данные, предоставленные школами. В июне этого года министерство сообщило о куда более амбициозных планах рекрутирования новобранцев с использованием технологий data mining.

Предполагается, что на всех выпускников школ и учащихся колледжей в возрасте от 16 до 18 лет будет составлено подробное досье: дата рождения, номер социального страхования, результаты экзаменов, принадлежность к этнической группе, изучаемые предметы. Личное дело потенциального солдата пополнят записи о выдаче водительских прав, информация из коммерческих баз данных и других источников, а также данные, которые Пентагон собирает самостоятельно. Представители министерства утверждают, что уже сейчас в их базе хранятся записи на 12 млн. учащихся.

Обработкой досье займется маркетинговая компания BeNow, специализирующаяся на выявлении предпочтений потребителей. При помощи скоринговых и других методов BeNow будет анализировать склонности школьников и составлять рекомендации для рекрутеров. Сумма и сроки контракта с маркетологами названы не были.

Участие в программе вербовки, как лицемерно заявляют в Пентагоне, не является обязательным: родители школьников, желающие оградить частную жизнь своего ребенка от вмешательства военных, должны самостоятельно собрать на него досье и представить министерству. Нет-нет, никакого подвоха не ищите: предоставленная родителями информация записывается в отдельный файл, который нельзя использовать в рекрутинговых целях. Данные, поступающие из других источников, сверяются с этим файлом и якобы не заносятся в базу, если потенциальный новобранец находится «под запретом».

Заявление военных сильно взбудоражило общественность. Особенно острую критику вызвало включение в досье номера социального страхования, что при утере данных чревато самыми неприятными последствиями. А такие инциденты в последнее время участились, о чем не раз писала «КТ», и похоже, ни одна компания от них по-настоящему не застрахована. При этом от номера социального страхования в принятой министерством схеме отказаться нельзя: недолго думая, военные решили использовать его как уникальный идентификатор записей в банке данных - у каждого ведь номер свой.