Коллектив Авторов - Цифровой журнал «Компьютерра» № 65

Отсюда вытекает следующее предположение: вокруг Солнечной системы, положим, в радиусе пятидесяти световых лет, могут существовать десятки высокоразвитых цивилизаций. Но в силу того, что мир этих цивилизаций однополярен, космические исследования находятся в стадии глубокого застоя и за ближние пределы населённых планет, не говоря уж о пределах звёздных систем, полёты если и планируются, то всегда послезавтра. Потому опасаться вторжения иносистемных агрессоров нет оснований. Причина отсутствия пришельцев объясняется не просто, а очень просто: униполярный мир!

Если же найдутся планеты, где существует глобальная конфронтация и, в силу этого, космическая составляющая цивилизаций позволяет достигнуть Земли, то сама конфронтация представляет собой механизм, агрессию сдерживающий: начнёшь вторжение на Землю, рискованное и дорогостоящее, а конкурент воспользуется отвлечением ресурсов да и ударит в спину.

В крайнем случае, по аналогии с вьетнамской войной, конкурент будет помогать Земле – техникой, ресурсами, добровольцами. Оно, конечно, не сахар, колониальная война на нашей территории, но всё же не безнадёжное дело.

Вьетнам-то победил!

К оглавлению

Опубликовано18 апреля 2011 года

Протокол SSL, применяемый для защиты информации в интернете, на сегодняшний день является, по сути дела, главной технологией безопасности, заложенной в основу всей системы доверия пользователей к сетевым операциям. То есть и покупки на сайтах электронной коммерции, и банковские операции через интернет, и просто работа с электронной почтой в безопасном режиме, а также множество других разнообразных сервисов, обеспечиваемых, к примеру, защищённым веб-соединением типа HTTPS и сопровождаемых пиктограммой замочка в адресной строке браузера, – всё это делается на основе протокола SSL.

При этом ни для кого не секрет, что специфические особенности в устройстве SSL уже давно вызывают весьма серьёзные нарекания со стороны специалистов по компьютерной безопасности. Особенно много претензий на сегодняшний день накопилось к той части протокола, что отвечает за выдачу цифровых сертификатов, подтверждающих полномочия и подлинность сторон при организации безопасных коммуникаций.

Такого рода сертификаты содержат в себе свидетельства примерно следующего рода: «Предъявленный открытый ключ принадлежит корпорации amazon.com (или google.com, или mozilla.com и т.д.)». Кроме того, в них могут содержаться и ещё более сильные свидетельства, типа «этому открытому ключу следует доверять, а также он действует как СА (Certification Authority, т.е. Орган сертификации), уполномоченный подписывать сертификаты для других доменов».

Иначе говоря, на основе SSL-сертификатов выстраиваются цепочки взаимного доверия. Чтобы вся эта система работала, браузеры должны доверять большому количеству самых разных органов сертификации. А итоговая безопасность соединений по HTTPS оказывается сильной и надёжной лишь до той степени, до какой можно доверять наиболее слабому звену в этой цепочке из разных СА.

Если же сертификат по той или иной причине скомпрометирован (украден, подделан и т.д.), то якобы «безопасные» соединения становятся лёгкой добычей для так называемых MITM-атак, то есть атак по типу «человек посередине» (man-in-the-middle). Веб-пользователь полагает, что подсоединился к сайту, предположим, банка, а появившийся в адресном окошке замочек подтверждает, что сеанс связи защищен SSL-криптографией – и значит, сайт предоставил необходимый сертификат, подтверждающий его подлинность. На самом же деле сайт может быть лишь фальшивым пересыльщиком, его сертификат – мошенническим, а управляющий им злоумышленник пересылает пароли доступа или платёжные реквизиты в реальный банк от имени обманутых пользователей, получив возможность их обворовывать или просто незримо контролировать их действия.

Массовое распространение MITM-атак вынуждает применять для защиты разные дополнительные меры помимо SSL. Так, в онлайновом банкинге ныне уже повсеместно стали прибегать к использованию одноразовых паролей – из заранее выдаваемых клиентам чеков или рассылаемых на мобильник через SMS. А почтовый сервис Gmail, к примеру, для дополнительного контроля за аккаунтом сообщает своим пользователям, с какого IP-адреса реально происходит вход в почтовый ящик, и ведёт журнал с регистрацией всех таких заходов.

С другой стороны, регулярно появляющиеся в СМИ известия свидетельствуют, что компрометация SSL-сертификатов уже давно стала совершенно обычным делом. Наиболее громким скандалом из этой области в 2008 году стало выявление катастрофической слабости в SSL-сертификатах, выданных дочерним подразделением одного из самых уважаемых CA – корпорации VeriSign. В 2009 был выявлен массовый выпуск мошеннических реквизитов платежной системы PayPal, обманывавших браузеры Internet Explorer, Chrome и Safari на протяжении более двух месяцев. В 2010 разразилась загадочная история с корневым SSL-сертификатом, который был встроен непосредственно в программное обеспечение Mac OS X и Mozilla, но при этом было совершенно неясно, кому именно эти реквизиты принадлежат (в итоге, после долгой заминки, в своём родительстве решилась признаться фирма RSA Security).

Самой громкой и нехорошей историей года нынешнего стала компрометация Comodo, крупнейшего в интернете перепродавца сертификатов. Некоему неизвестному умельцу (или группе злоумышленников), работая с IP-адресов в Иране, удалось тайно добраться до управления серверами СА Comodo и оформить для своих нужд сертификаты, выдающие их владельца за целый ряд известнейших и весьма чувствительных к компрометации сайтов.

Среди скомпрометированных доменов оказались, в частности, такие адреса, как google.com, login.yahoo.com и addons.mozilla.org (последний из этих доменов, к примеру, можно использовать для встраивания троянцев-шпионов в любую систему, устанавливающую новые функциональные расширения для браузера Firefox). Наконец, один из тех сертификатов, что выдали себе злоумышленники через хакнутый сервер Comodo, был оформлен не на конкретное доменное имя, а на «global trustee» (глобально доверяемая сторона). То есть речь идёт о цифровом документе, подтверждающем полномочия владельца как Органа сертификации, а значит, в принципе позволяющем выдавать себя за любой домен в интернете.

Как это получилось

Чтобы разобраться с сутью обрисованной проблемы и понять, почему здесь не видно простых и эффективных решений, для начала будет полезно вкратце вспомнить историю появления и особенности работы всей этой системы.

В начале 1990-х годов, на заре World Wide Web, несколько инженеров компании Netscape разработали протокол для защищённых HTTP-соединений. То, что получилось у них в итоге, стало известно под именем SSL, или Secure Sockets Layer («протокол защищенных сокетов») – де-факто общепринятый сетевой стандарт для организации безопасного канала связи между сервером и клиентом в веб-сегменте интернета.