Вскрытие сейфов глазами хакера
АрхивТехнологииАмериканец Мэтт Блэйз, хорошо известный в криптографическом сообществе исследователь, с некоторых пор сосредоточил свои профессиональные интересы на весьма любопытной и малоизученной области.
Американец Мэтт Блэйз (Matt Blaze) - хорошо известный в компьютерном и криптографическом сообществе исследователь-практик, а в последние годы еще и профессор информатики Пенсильванского университета - с некоторых пор сосредоточил свои профессиональные интересы на весьма любопытной и малоизученной области.
А именно: Блэйз всерьез взялся за исследование взаимосвязей между системами безопасности, использующимися для защиты в физическом мире, и программными/криптографическими системами из мира электронного. И чем глубже ученый осваивает материал, тем тверже становится его убеждение, что два класса этих систем в имеют гораздо больше общего, чем принято полагать. (Ярчайший тому пример дают, кстати, и наиболее известные исследования Мэтта Блэйза: в середине 1990-х он продемонстрировал слабости телефонного шифратора Clipper-chip, продвигавшегося правительством США для широкого применения в обществе, а на рубеже 2002–2003 гг. "переоткрыл" давно известную специалистам, но тщательно скрываемую от публики слабость механических замков с мастер-ключом. Обе эти системы идейно весьма близки, поскольку каждая помимо уникального имеет еще второй, универсальный ключ, подходящий ко всем устройствам класса. Подробнее об этом см. "КТ" #478.)
Последним результатом работ Блэйза стала обширная статья, в которой с позиций специалиста по компьютерной безопасности исследована интереснейшая область сейфовых замков и хранилищ - техника, так сказать, разряда "high-end" среди физических средств защиты. Статья, в которой рассмотрены сильные и слабые стороны подобного рода устройств, получила выразительное название "Safecracking for the computer scientist" ("Вскрытие сейфов на взгляд компьютерного ученого") и выложена в свободный доступ на сайте Блэйза по адресу www.crypto.com/papers/safelocks.pdf (из-за большого количества иллюстраций PDF-файл весит около 2,5 Мбайт).
С точки зрения компьютерщиков и криптографов Блэйз дает превосходный общий обзор вопросов безопасности для сейфов и сейфовых хранилищ (помещений), с особым упором на метрики, используемые для оценки стойкости этих систем и слабости, приводящие к вскрытию. С точки же зрения специалистов, работающих с сейфами и замками профессионально, автор совершил возмутительный и безответственный (более того, "угрожающий национальной безопасности") поступок, опубликовав для всеобщего ознакомления сведения, которые в профессиональном сообществе хотя и известны, но, как правило, передаются лишь из уст в уста на сугубо доверительной основе, обычно от учителя ученику (книги на эту тему, конечно, есть, но их немного и доступ к ним ограничен).
Иначе говоря, новая статья Блэйза ярко высветила радикальное отличие в подходах к вопросам безопасности между сообществом компьютерных специалистов и профессионалов в области физических средств защиты. У последних знаменитое правило "security through obscurity" (StO), то есть "безопасность через неясность", по-прежнему остается главным принципом деятельности. Тогда как в области защиты информации уже давно и успешно практикуется в корне иной подход, известный как "full disclosure, или "полное раскрытие" всех выявленных слабостей ради всестороннего анализа и построения наиболее надежно защищенных систем.
Впрочем, как известно, и в компьютерной индустрии еще хватает ярых сторонников принципа StO. Пусть он и продемонстрировал свою порочность, но концептуально все-таки куда более близок людям, привыкшим с пиететом относиться к торговым, фирменным, государственным и прочим секретам. И с этих позиций секреты тем более важны, если скрывают серьезные уязвимости…
Но, несмотря на радикальные различия в точках зрения на проблему, ясно, что у двух сообществ безопасности - "реальной" и "виртуальной" - имеется много точек пересечения, так что каждую из областей можно усилить, использовав опыт и уроки "смежников". В этом смысле работа Мэтта Блэйза безусловно полезна всем.
Из журнала "Компьютерра".