НП "Учебный центр компьютерных технологий" (компьютерные курсы в Туле) - закрыто. О новом открытии будет сообщено дополнительно.
тел. 8-910-943-59-57 (личный Махрин Василий Викторович; МТС, основной,
с 8ч00 до 23ч00),   8 (915) 78-166-75 (запасной), 8 (910) 551-52-92 (запасной),    (4872) 37-15-13,    555-156. E-mail:   89109435957@mail.ru , scct-tula@ya.ru  , m79109435957@gmail.com , vas_vic@klax.tula.ru

 

  Вы можете собственными глазами увидеть качество преподавания на нашем канале в YouTube

 

Внимание конкурс! На нашем сайте запущен конкурс на РАЗУМНЫЙ комментарий и УДАЧНОЕ изображение. Не забудьте зарегистрироваться, а потом ещё и войти в систему!

Криптография и честность

Криптография и честность

{С изменениями от 17.03.2017}

ЧАСТЬ 1. С интересом смотрел фильм, в котором некто похитил коды доступа, позволявшие управлять счётом на много миллионов [долларов]. Так как в какой-то момент пришло осознание, что сценаристы попытались забыть оплатить услуги специалиста, как часто это у нас и бывает, когда небольшая, в общем-то, экономия приводит к колоссальным затратам и даже постановке под удар всего проекта в целом: он им на консультации, хотя бы, может быть, пояснил, что код доступа не обязательно электронная карточка или USB-flash, это может быть даже страница книги, как, впрочем, и любой другой носитель информации. (А они в фильме этих страниц в мусор вышвырнули целую пачку простым взглядом не специалиста попытавшись оценить их... Аж противно было смотреть).

Поэтому публикую две подборки [для не специалистов в вопросе]:

    Жельников Владимиp "Кpиптогpафия от папиpуса до компьютеpа" - М., ABF, 1996. [1] (Как помочь / помешать хакеру за / расшифровать информацию)
    Вам письмо. "Тайны женщин-шпионов XVII века" [2]

В том же фильме. Есть некое хранилище банка, для попадания в которое применяется электронная система пропусков (на основе сканирования сетчатки глаза). Программер пишет мошеннику некую программу, чтобы обмануть эту систему. После этого мошенник запросто попадает внутрь. Пара вопросов: "Как человек, не имеющий никакого доступа к самой электронной ситеме всё-таки попал внутрь? Что, он сканеру компакт-диск предъявил?" Есть ведь всегдашнее хакерское правило, что проще всего взлом электронных систем осуществить с 'кротом' [6] - то есть сотрудником, работающим внутри атакуемой системы.

"Подруга особого назначения (сериал)" [7] - в роли Веры Лаптевой Ирина Пегова. Кратко. Некто хороший установил программу "Сканглаз" - сканирующую сетчтку глаза и оставляющую результат сканирования во внутренней базе данных компьютера этого самого "Сканглаза". Указаний про то, что защищаемый компьютер (со "Сканглазом") некто подключил к какой-либо сети нет. Если некто подключил его к сети, то он или профан или подлец. Впрочем про взлом извне там речь не идёт, следовательно, всё-таки к организации системы безопасности претензий нет.

Потом некий программист уровня "дизайнер сайтов" (то есть тот, кто тоже что-то слышал про базы данных уровня MySQL и родственных) запросто получает исходные коды "Сканглаза". Я себе с наслаждением представляю, как дизайнер приходит к разработчику security software и говорит: "Отдай мне свои bluescreens (исходники то есть). Я тебя за это рюмку водки налью".
При этом официальное следствие в фильме или не начинается, или кем-то тормозится (камера отъезжает в сторону, оператор при этом вежливо покашливает). Но в любом случае к разработчику «Сканглаза» никто не приходит с вопросом: «Ты кому продал алгоритм, исходники, прототип (программа, на которой можно потренироваться, чтобы поискать уязвимости), собака? Как ты сделал свою программу, что некто сумел из её базы данных получить хэш (или полное описание? или контрольную сумму?) сетчатки глаза того, кто имеет допуск? Может ты прямо в адресной строке браузера указывал access='Yes', access='No'? Так какая же конкретно сволочь у тебя приняла такую программу и подписала акт ввода в эксплуатацию? Ты что, не знаешь, что сырую программу сначала надо довести, причём в жёстких условиях, когда всё, как в реальной жизни?»
Впрочем, задавать такого типа вопросы может лишь IT-специалист. Причём не всякий. А действительно специалист. А у нас же государство не умеет сдерживать своё слово. Была уже на этом сайте новость, что Медедев обещал, что на компьютерные курсы массово пойдут сотрудники МВД. Но слово его оказалось не очень надёным. Совсем-совсем не надёжным.
Но это и не столь важно. По фильму взломщику достаточно было получить нечто (бумажку, компакт-диск), чтобы потом подойти к окуляру «Сканглаза» и каак… показать окуляру эту бумажку…
Западники-взломщики, конечно, и отпечаток пальца сканировали и ноутбуку подсовывали на анализ. И ничего. Access denied не появлялся. Но то — отпечаток пальца. И отданный всего-лишь touch screen ? simple pass?
А вы попробуйте отсканировать сетчатку глаза так, чтобы человек об этом ничего не узнал...
К слову. Рядом с нашим НП «УДЦ» (или НП «УЦКТ»?) на том же этаже годы работала крошечная фирмочка, которая занималась компьютерной безопасностью. И ни разу её интересы не пересеклись с моими (компьютерное обучение - знания, администрирование компьютеров, в том числе систем быстрого восстановления работоспособности, доводка Linux до вида, удобного пользователям Windows) настолько, чтобы кроме «Здравствуйте» было сказано ещё хоть что-то. И это при том, что работали там выходцы с кафедры Прикладной Математики Политеха. И мало того, что эта кафедра почему-то была в составе Экономического Факультета (где я и учился), так ведь ещё и они были единственными, кто когда-то меня, не имевшего ещё на тот момент своего компьютера, пускал работать за своим, пусть и старым, но вполне годным компьютером. Да что там. Благодаря доц. Скобельцину (и подготовленным мне загрузочным дискетам) я был практически полноправным хозяином того старенького компьютера, не имевшего жёсткого диска. А позже сумел уже и свой компьютер освоить и наполнить (задача эта была тогда совсем не простая). То есть при длительных хороших отношениях с ПМ, вообще, я, тем не менее, так и не получил точки пересечения моих интересов с пээмщиками, занимавшимися безопасностью… Специфика...

ЧАСТЬ 2. Но, может, это в одном фильме специалисту не заплатили, а всё отдали очередной звезде?
Смотрю сериал «Тайны следствия». Серия про некоего убитого компьютерного специалиста (Галустян? Галузский?) опять по банковской безопасности. И такой он был хороший-хороший. И так его все там хвалили-превозносили. И когда его убили, то без него вся их банковская безопасность рухнула. Всё так, только IT-системы так не делают. Ни при каких условиях.
Во-первых, к любой системе делается резервное копирование и восстановление из резервных копий (даже для крошечной фирмы файловый сервер покупали и то там была система хотя бы частичного резервного копирования наиболее важных данных, помещённых в папки 'unique'). Стандарт. Никуда от стандарта не денешься…
И если кто-то не создал такой подсистемы или не документировал её использования, то вопрос к профессиональному уровню того, кто у него такую систему в целом в эксплуатацию принял. Очень большой вопрос — а не сообщник ли он? А если он 'нечаяно', то кто его поставил руководить системами IT, зная, что он — профан в вопросе?
Ведь доктор — должен лечить. Правильно? А IT-специалист должен заниматься компьютерами и сетями. Вы пойдёте лечиться к IT-специалисту? Нет? А почему? А к бухгалтеру пойдёте лечиться? Тоже нет. Что 'дурных нема'?
Т.е. этот самый Галустян замкнул всю эту IT-систему на себя. Но так же нельзя. Он что — без отпуска и срока обещает быть при этом банке?
А как же в его системе были реализованы стандартные действия в случае атаки червя/вируса? Ведь самое простое при жёсткой DDOS-атаке — перевести систему в режим сервисного обслуживания (корректный отказ от обслуживания клиентов), чтобы все начатые транзакции корректно завершились или корректно же прервались. Дабы не доведенных до конца транзакций (денег повисших где-то между счетами клиентов, отсутствующих у одних и не пришедших к другим) не было (дабы коллектив не выискивал потом ошибку по бумажным носителям часами и месяцами... а уж если система резервного копирования не работает и база банка погибает целиком, то дело пахнет восстановлением учёта, что в аудиторских фирмах стоит существенно дороже аудиторского заключения за год).

К слову. Помню в одном банке дело было - сам банк к тому времени официально закрылся, помещение другому банку отдали, а сотрудник ("ну как уважаемый, прошёл ли тост дня рождения, чтобы наше прекрасное завтра стало прекраснее вчера?") остался и всё сидел чего-то ждал. Так у них с незапамятных времён 10 тыс. долларов ничейных было после некорректной транзакции. И если с другими деньгами всё было просто - сотрудник тот с клиентами запросто торговался, сколько отдаст взамен их депозитов (думая, естественно, о своём кармане - дело то выгодное - торговаться о чужих деньгах), то по поводу тех 10 тыс. он очень переживал, что не может себе присвоить втихую, так как все о них к тому моменту знали, а новое руководство банка - это были всё люди из старого...

После этого ФИЗИЧЕСКИМ образом выдёргивается кабель сети (или выключается хаб/свич/шлюз). Дальше даётся команда выключить систему. Чтобы можно было данные изучать уже с чистой системы.
А как этот самый Галустян реализовал режим выключения (power off)? Никак. Так как при включении он не создал скрипта автозапуска сервисов. В результате выключенная система не могла стартовать без Галустяна. То есть он нашёл профанов (или внедрил к ним своего подлеца, что скорее, так как проверить включение-выключение системы были обязаны). После этого продал им сырую систему.
Но и этого Галустяну показалось мало. В фильме много слов звучит про некие «коды доступа», которые хранятся в системе. Что за БРЕД! Ни о какой криптостойкости системы не может быть и речи, если ключевую часть дешифровки (пароль и/или ключ шифрования) нельзя стандартным образом и без усилий со стороны собственника отделить от системы.
То есть всё, что показано в фильме сверху и до низу — это профанация. Без сообщника Галустян не смог бы навязать свою систему (и себя, как неотделимый элемент) банку. И то, что сообщник решил его убить, смотрится странно (явно же, что это убийство имеет под собой совсем-совсем другие основания). Так как факт такого убийства сразу и однозначно раскрывал того, кто выступал экспертом при приёме системы в эксплуатацию. При условии, конечно, что расследовать такое преступление будет не очередной профан. А то ведь у нас и банковское расследование могут поручить тому, кто расследовал покраску старой кожаной куртки ваксой для обуви и продажу её в качестве новой. Страна то чудес...


P.S. Правильно, всё-таки Евгений Колесов в фильме "Открытие Китая" при общении со своим сыном Гордеем процитировал древнее китайское (конфуцианское?) наставление: "Надо быть честным человеком..." [3]

Ведь как бы было бы просто: что моё, то - отдай. Например не преподавали Вы (или Вам) никогда курсы системного [4] и сетевого администрирования [5] (тем более, что Вы никогда не работали системный или сетевым администратором), а с хакером, как и все приличные люди, связываться не хотите, так проконсультируйтесь с тем, кто (кому) преподавал (-и) ил работал по профилю. А то ведь нет - мошенничали... Чужую компетенцию попытались присвоить. Вот вам и результат...


1. http://bookz.ru/authors/jel_nikov-vladimip/zhelnkvld01/1-zhelnkvld01.html
2. http://lenta.ru/articles/2016/03/08/femalespies/
3. http://www.1tv.ru/prj/china/vypusk/43733
4. http://tula-it.ru/course/sysadm
5. http://tula-it.ru/course/netadm
6. http://tula-it.ru/node/1157
7. https://www.kinopoisk.ru/film/418674/


Связанные материалы:
«Компьютерный идиотизм» http://tula-it.ru/node/1200
«Чем кончается профанация в области IT ( gosmonitor.ru )» http://tula-it.ru/node/1218
«Электронная подпись. Алгоритм (подписи, шифрования, проверки подписи, дешифрования)» http://tula-it.ru/node/1199
«Оригинальное мнение по поводу Линукса» http://tula-it.ru/node/1186


Постоянный адрес: http://tula-it.ru/node/1155

Комментарии

*

up
0 users have voted.

Добавить комментарий

Простой

  • Разрешённые HTML-теги: <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <p> <div> <i> <b>
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.
CAPTCHA
Этот блок предназначен для защиты от спамеров. Пожалуйста, наберите текст, который Вы видите на картинке.