Коллектив Авторов - Цифровой журнал «Компьютерра» № 205
- Название:Цифровой журнал «Компьютерра» № 205
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Коллектив Авторов - Цифровой журнал «Компьютерра» № 205 краткое содержание
Старые игрушки на новую ёлку Автор: Василий Щепетнёв
Все утра мира проходят безвозвратно Автор: Сергей Голубицкий
Чудо Михаила Калашникова Автор: Михаил Ваннах
Червячок поселился где-то глубоко-глубоко в нашем kollektive Unbewußte Автор: Сергей Голубицкий
Что книжные бестселлеры интернет-магазинов говорят о нации? У нас — ничего Автор: Сергей Голубицкий
Transparency Report: полезная дразнилка Google Автор: Сергей Голубицкий
Происхождение пола, раздельнополости и гемиклонального наследования. Постановка задачи Автор: Дмитрий Шабанов
Почему айтишников нельзя на пушечный выстрел подпускать к политике Автор: Сергей Голубицкий
О Гиперкубе и российской Касталии Автор: Сергей Голубицкий
Бритва для левой щеки: Приобретённые Потребности и как их угадать в существующей реальности Автор: Василий Щепетнёв
IT-рынокВек программера-самоучки: откуда вдруг столько любителей писать код и чем это всем нам грозит? Автор: Евгений Золотов
Встречайте тысячерублёвую планшетку — и прощайтесь с книгой! Автор: Евгений Золотов
RSA и её тридцать сребреников: кому теперь верить, на что полагаться? Автор: Евгений Золотов
ПромзонаАрхитектура: в Альпах открылась стеклянная смотровая площадка «Шаг в пустоту» Автор: Николай Маслухин
Маркетинг для бабушек: электрическая мухобойка, ведро-5 и наколенники «Здоровье» Автор: Николай Маслухин
PhoneSoap: дезинфектор для смартфонов Автор: Николай Маслухин
Зимняя шапка со встроенной Bluetooth-гарнитурой Автор: Николай Маслухин
Ключ зажигания нового BMW i8 больше похож на смартфон Автор: Николай Маслухин
ТехнологииОдин на всех, но все против одного: возможен ли универсальный «зарядник» для телефонов? Автор: Евгений Золотов
Dance Fiction: танцовщицы под напряжением Автор: Андрей Васильков
Модульные технологии: от Lego до Google Blockly Автор: Олег Нечай
Предновогодние рассуждения о кибербезопасности, 2014 Автор: Михаил Ваннах
Кто и как увёл у Target сорок миллионов пластиковых карт? Автор: Евгений Золотов
Цифровой журнал «Компьютерра» № 205 - читать онлайн бесплатно полную версию (весь текст целиком)
Интервал:
Закладка:
Не успел затихнуть скандал вокруг IBM, как героями новостей стали Брюс Шнайер (тот самый, авторитет по кибербезопасности) и его работодатель British Telecom. BT — одна из первых телефонных компаний вообще , а сегодня — один из крупнейших телекомов Европы и мира. Шнайер последние семь лет занимал в ней должность футуролога по безопасности, что бы это ни значило. И вот в конце декабря намерен её покинуть. С его слов — по собственному желанию, ибо считает, что «пришло время двигаться дальше». Но, как и в случае с IBM, только слепой не свяжет воедино двух фактов. Факт первый: все последние месяцы Шнайер не вылезал из сноуденовских бумаг, помогая журналистам (в частности The Guardian) оценивать и анализировать их. Факт второй: согласно тем же бумагам, BT оказалась ключевым партнёром британской спецслужбы GCHQ и её американского наставника АНБ — в частности без провол о чек предоставила службистам доступ к обширной системе своих оптоволоконных магистралей.
В отличие от IBM, BT не отпирается, а уточняет только, что, мол, «обязана исполнять требования британских и европейских законов». В трудовом законодательстве ЕС, правда, вряд ли прописана возможность увольнения сотрудника за участие в мероприятиях по восстановлению гражданской справедливости. Но Шнайер в конце концов может просто испортить ей репутацию (утёкшее из недр BT письмо это подтверждает: Шнайера возненавидели за правдоискательство), да и самому ему не с руки продолжать трудиться на империю зла. Так что, вероятно, решение об отставке было обоюдным: Брюсу предложили, а он не отказался.
Ну а точку поставила в пятницу компания RSA Security LLC. Если вы интересуетесь криптографией, то представлять её вам не нужно. Если же нет, попробуйте вообразить себе господа бога, который сотворил мир: RSA и есть этот самый творец для мира стойкого крипто. Её имя образовано по первым буквам имён основателей — легендарных Рона Ривеста, Ади Шамира и Леонарда Адлемана (все трое удостоены премии Тьюринга), оно же присвоено и фундаментальному криптографическому алгоритму, разработанному ими в 1977 году и используемому по сей день (с вариациями, конечно) в самых важных, самых популярных криптопродуктах. Короче, RSA стояла у истоков криптографии с открытым ключом, на которой сегодня, в частности, зиждется вся электронная коммерция, и зарабатывает сопутствующими продуктами по сей день (софт, токены и т. п.). И вот эта контора, одно имя которой стоит больше всех её продуктов вместе взятых — аббревиатура RSA, натурально, стала синонимом защищённости, справедливости, надёжности, — за скромное вознаграждение согласилась содействовать АНБ.
О том, что RSA использует генератор случайных чисел Dual_EC_DRBG от АНБ в своих программах и программных библиотеках (в частности BSAFE), было известно и раньше: компания внедрила его ещё в 2004-м. О том, что этот генератор, вероятно, является «троянским конём», построенным специалистами АНБ для облегчения шпионажа за пользователями программ стойкого крипто, тоже известно (с 2007 года): если вкратце, зная секретные константы, определяющие работу алгоритма, его разработчики легко могут предсказать выдаваемую генератором последовательность чисел (подробнее см. сентябрьскую колонку « Сноуден и эллиптическое крипто»). Но вот чего никто не знал до пятничной статьи Reuters(основанной на рассказе двух осведомлённых лиц из RSA или АНБ, пожелавших остаться неизвестными), так это того, что RSA за деньги согласилась сделать аэнбэшный генератор случайных чисел генератором, выбираемым по умолчанию . То есть пользователи программ RSA, конечно, могут выбрать другой генератор, но если поленятся или ошибутся, случайные числа им будет выдавать Dual_EC_DRBG. А потом... Вспомните « Случайности третьего сорта».
И во сколько же компания оценила свои услуги? Всего-то в десять миллионов американских долларов. Словом, Иисус вдруг оказался Иудой, да только не ждите, что он пойдёт теперь и удавится со стыда.
Само собой разумеется, и здесь, как и у IBM с BT, есть правдоподобное добропорядочное делать-то объяснение: RSA якобы была введена в заблуждение! АНБ, предлагая сделку, не объяснила, что алгоритм, оказывается, с гнильцой! Что ж, хотите — верьте. Лично я не верю, как не верит, кажется, никто из авторов тысяч публикаций, появившихся за эти дни в Сети. И — вот он, момент истины! — если не верить RSA, IBM, BT (хоть она и кажется затесавшейся в эту компанию по ошибке), не верить Intel, Oracle, Cisco, Microsoft, Google, Yahoo!, Facebook, то кому тогда верить? Если даже титаны, построившие здание ИТ таким, каким мы его знаем, более не заслуживают доверия, что ? Сжечь компьютер и податься в леса?
Решение, конечно, есть, и вы о нём как минимум слышали: свободный софт. Любой программно-аппаратный комплекс — длинная цепь, и в ваших собственных интересах сделать так, чтобы все звенья этой цепи были истинно свободными, то есть с открытыми исходными текстами, допускающими изучение, модификацию, редистрибуцию. В противном случае шансы, что одно звено или несколько окажутся слабыми — и опустят до своего уровня информационную защищённость всего комплекса, — стремятся, как видите, к ста процентам.
Кто-то скажет: нечего скрывать от правоохранительных органов — нечего и бояться. Простите за прямоту: господа, вы или тупы, или ленивы. Используя ИТ-комплекс с искусственно ослабленными элементами, вы сами засовываете голову в петлю, потому что не знаете, когда, кто и как воспользуется вашей слабостью. С чего вы взяли, что нападут на вас непременно спецслужбы? Если уязвимость есть, может быть уверены: рано или поздно её нащупают и злоумышленники. И если нюансы Dual_EC_DRBG, вероятно, способна задействовать только АНБ, другие слабые места может оказаться по силам «проткнуть» и безусым скрипт-кидди. И тогда в один прекрасный день вы найдет обнулённым ваш электронный кошелёк, вскрытой — защиту корпоративного VPN, украденными, проданными или запатентованными — ценные наработки со своего жёсткого диска или локера.
Какого чёрта играть с судьбой в лотерею, если есть возможность не участвовать в розыгрыше вовсе? Почему ваша рабочая машина всё ещё не под Linux?
В статье использованы иллюстрации Edwin Sarmiento, Skara Kommun.
Читать дальшеИнтервал:
Закладка: