Объект
Партнер
Пользователь
Новость
Отдел продаж
10:00-19:00, пн-пт
- сейчас нерабочее время -
093 255 000 9
+380932550009
+380932550009
Контактный e-mail
Реквизиты Оплата
Тарифы - рассылка
Тарифы - баннеры
Подробнее Подробнее Подробнее
Главная / Недвижимость - Новости  / Самые интересные

Ключи, замки и хакеры. Как открывают «неоткрываемые» замки по 800 долларов за штуку

15.10.09  
Любой человек, регулярно имеющий дело с компьютером и Интернетом, наверняка знает: ситуация с компьютерной безопасностью оставляет желать лучшего. Предлагаемые рынком средства защиты способны обеспечить системе лишь тот минимальный уровень безопасности, при котором она не привлекает своими слабостями внимание злоумышленников. Однако против целенаправленной атаки, предпринятой опытным и умелым взломщиком, стандартные средства защиты бессильны.
Что Вы об этом думаете ? Сказать
Это ни для кого не секрет, и всем приходится с этим жить, пытаясь поддерживать безопасность своих компьютерных «домов» в виртуальном мире на более-менее приемлемом уровне.

В мире реальном ситуация с физическими средствами защиты домов и ценностей обстоит сложнее: с одной стороны точно так же, а с другой — существенно иначе. То есть, в принципе, практически все замки, которыми запираются миллионы дверей на планете, не так уж хороши. Они, конечно, способны остановить мелкого воришку, однако любой опытный грабитель или слесарь вскроет стандартный дверной замок в два счета.

Но при этом — в отличие от защиты компьютеров — большинство людей ведет себя так, словно о слабостях дверных запоров и не знает. Казалось бы, все регулярно смотрят по телевизору отнюдь не фантастические передачи, в которых преступники или частные детективы то и дело с впечатляющей легкостью преодолевают самые разные запоры. Тем не менее люди в массе своей продолжают слепо верить, что подобное происходит с кем-то и где-то, а вот их собственные замки должны надежно защитить дом от непрошеных гостей.

Эта нелепая ситуация сложилась, конечно, не случайно, она есть следствие давнего неписаного закона — не объявлять во всеуслышание о слабостях замков, а передавать эти сведения устно «по наследству»: от слесаря к слесарю и от жулика к жулику. Так было на протяжении многих десятилетий, если не веков, однако в конце концов появился Интернет, который радикально изменил ситуацию, сделав легко доступными некогда табуированные знания.
Ключи, замки и хакеры

Одной из первых ласточек стало практическое пособие «Guide to Lockpicking» («Руководство по вскрытию замков»), составленное студентами Массачусетского технологического института во главе с Бобом Болдуином (Bob Baldwin, aka Ted the Tool).

Затем, когда в начале 2003 года центральные СМИ опубликовали нашумевшую «слесарную» работу известного криптографа Мэтта Блэйза, заметно возрос и интерес хакеров к выявлению и анализу слабостей в физических запорных устройствах.

Блэйз, напомним, из чистого любопытства решил выяснить, насколько полезными могут быть математические методы криптоанализа при изучении вещей, не связанных с компьютерами. А замки и ключи он выбрал по вполне очевидной причине, коль скоро именно отсюда компьютерная безопасность позаимствовала многие термины и метафоры.

И вот, изучив доступную литературу по слесарно-замочному делу и работе запирающих механизмов, Блэйз переоткрыл «страшную тайну» широко распространенных цилиндрических замков с мастер-ключом2, используемых аж с XIX века. Применив к конструкции методы криптоанализа, эффективно сужающие область перебора возможных вариантов, учёный показал, что, имея под рукой лишь один замок и ключ к нему, можно всего за несколько минут вычислить и подобрать — испортив не больше десятка болванок — форму универсального мастер-ключа, открывающего все замки серии…

В том же 2003 году на хакерских конференциях вроде DefCon и HOPE начал регулярно выступать Марк Тобиас (Marc Weber Tobias), виднейший американский специалист в области преодоления всевозможных запорных устройств, частный детектив-юрист, консультант и автор толстенного, на полторы тысячи страниц, руководства «Locks, Safes and Security: An International Police Reference» («Замки, сейфы и безопасность. Международный полицейский справочник»). Тобиас не только рассказывает о критичных аспектах в защитных функциях замков и физической безопасности в целом, но и находит единомышленников. Двое из них, Мэтт Фиддлер и Тоби Блузманис (Matt Fiddler, Toby Bluzmanis), бывшие в то время консультантами по компьютерной безопасности, ныне являются постоянными соавторами и помощниками Тобиаса в довольно скандальных исследованиях-разоблачениях.

Ещё одним заметным событием из того же ряда стала опубликованная в 2004 году книга Дугласа Чика «Хакинг металлических запоров» («Steel Bolt Hacking» by Douglas Chick)3. Чик является консультантом по администрированию сетей, получившим известность благодаря своей первой книге-пособию «Что знают все сетевые администраторы». Книга же о хакинге, как ясно из названия, посвящена любимой забаве автора — вскрытию замков. Заразившийся от друзей пристрастием к этому захватывающему развлечению и тоже обнаруживший, что толковых пособий по данной теме нет, компьютерщик решил проблему так, как принято в сформировавшей его среде — он сам написал «мануал» с изложением базовых методов открывания всех замков, какие только сумел освоить.

Steel Bolt Hacking

К сегодняшнему дню открывание замков без ключа стало одним из милых сердцу занятий многих компьютерных профессионалов, своего рода хобби или даже своеобразным спортом. В последние годы хакерские форумы непременно сопровождаются соревнованиями по вскрытию замков на время. Поскольку устроители постоянно разнообразили и усложняли задания, ныне всесторонне освоен взлом уже не только привычных сувальдных, цилиндрических или дисковых замков, но и любых других — кодовых кнопочных, с электронными или магнитными картами-ключами и пр. По слухам, хакерские «спортивно-образовательные» клубы, объединяющие любителей вскрывать замки, к середине 2000-х годов стали чуть ли не самыми быстрорастущими среди «групп по интересам» во всей компьютерной индустрии.

Сегодня в Сети публикуется тьма-тьмущая информации об этом предмете — от использования шариковой ручки BIC для открывания велосипедных и компьютерных замков до «нового» чудо-способа под названием бампинг (key bumping; взломщик помещает в замочную скважину ключ специальной формы и нехитрым устройством вроде молоточка осторожно постукивает по нему до тех пор, пока замок не откроется).

В подавляющем большинстве все эти технологии не являются открытием хакеров, они давно известны и профессиональным взломщикам, и специалистам по замкам. Причем специалисты — слесари-ключники и фирмы-изготовители — пытались, как могли, препятствовать распространению подобной информации, настаивая на том, что «цеховая секретность» всё же лучше, чем гласность. Но загнать джинна обратно в бутылку им не удалось.
Конфликт и слияние

В ответ на действия хакеров, предававших огласке способы взлома стандартных замков, фирмы-производители были вынуждены разработать и выпустить более сложные замки. А также организовать пиар-кампании по дезинформации широкой публики относительно надёжности своей продукции.

Однако есть в этом противостоянии одна серьёзная проблема, которая, скорее всего, лечению не поддаётся. А именно: очень похоже, что существует некий естественный предел безопасности механического замка. Хотя бы потому, что существует предел физическим размерам ключа: невозможно до бесконечности усложнять (а значит, и укрупнять) ключ — рано или поздно он станет неприемлемым для потребителей. Так что индустрии волей-неволей пришлось обратиться к альтернативным технологиям, сочетающим традиционные механические запоры и достижения электроники — от сервомоторов и микропроцессоров до RFID-чипов, биометрии и контроля через Интернет.

Иначе говоря, индустрия сама вступила в пространство, давно освоенное компьютерными хакерами. Параллельные некогда миры пересеклись (и очевидно, надолго), что стало дополнительным поводом для беспокойства специалистов в области безопасности. Ибо никто лучше них не осознает, что до полного понимания технологий, объединяющих замки и электронику, ещё очень и очень далеко. Особенно в том, что касается существенно новых типов уязвимостей, которые несут с собой эти технологии. И может статься, что скомпрометированная ныне технология безопасности заменяется на такую, которая ещё хуже, но только меньше изучена.

А практика тем временем показывает, что и электронно-механические замки тоже весьма уязвимы для атак — причем атак не только известных, но и обретающих новые неожиданные формы.
CLIQ в нокауте

На августовской конференции DefCon 2009 в Лас-Вегасе с докладом о ненадежности замков выступила упомянутая выше команда специалистов в составе Марка Тобиаса, Тоби Блузманиса и Мэтта Фиддлера. В прошлом году они здесь же продемонстрировали быстрое преодоление замков повышенной безопасности от фирмы Medeco и ряда других именитых брендов. На сей раз главным предметом доклада-презентации стали слабости в новой технологии защиты CLIQ, применяющейся во многих электронно-механических замках высокой безопасности.4

Технология CLIQ разработана международным холдингом Assa Abloy Group, крупнейшим в мире производителем электроуправляемых замков и устройств для систем контроля доступа, и его немецкой дочерней фирмой Ikon. Первые замки такого типа появились в 2002 году под маркой Assa Abloy, а к настоящему времени ту же самую базовую технологию взяли на вооружение дочерние компании холдинга — Medeco, Mul-T-Lock и Ikon.

CLIQ

Электронно-механические замки высокой безопасности весьма недёшевы, от 600 до 800 долларов за штуку плюс ключи примерно по 95 долларов каждый. Как правило, подобные устройства используются сейчас в правительственных зданиях, банках и на объектах критически важных инфраструктур вроде электростанций, станций водоснабжения или крупных систем управления транспортом. Замки типа CLIQ изготовители продвигают на рынке как «последнее и окончательное слово в физической безопасности». Однако, подчеркнули Тобиас и его коллеги, заявлять так — значит грешить против истины.

В частности, они рассказали, сколь легко удается обходить электронную часть замков и обманывать программный контрольный журнал, строго отслеживающий, кто и когда открывал данный замок. Причем использованные исследователями приемы весьма тривиальны в реализации, не требуют никаких высоких технологий и, по существу, вообще не трогают электронные компоненты замка. Вместо этого применяются типичные хитрости для открытия механических замков, технически похожие на бампинг.

Основные компоненты замков типа CLIQ таковы. Цилиндр механический, но со встроенным чипом. В головку ключа, в свою очередь, встроены батарейка питания и собственный RFID-чип, содержащий зашифрованный цифровой идентификатор ключа. Когда ключ вставлен в замок, радиочип ключа связывается с чипом цилиндра, выполняя процедуру аутентификации, что является обязательным условием для разрешения поворота ключа в скважине. Хранящийся в памяти микросхемы идентификатор и собственно процесс радиообмена зашифрованы алгоритмом тройной-DES, а чипы ключа и цилиндра записывают свои действия в журнал, дабы отмечать всякого, кто открывает дверь или получает отказ в доступе.

Когда ключ вставлен в замок, на головке ключа загорается зелёный или красный свет, показывая, прошла процедура аутентификации или нет. Или — как в ключах для замков Ikon — на небольшом цифровом дисплее высвечивается либо радостно улыбающаяся мордашка, либо строгая физиономия с нахмуренными бровями. Однако куда важнее, что один и тот же ключ может открывать как электронно-механический замок, так и чисто механический. Эта возможность в условиях охраняемого объекта позволяет устанавливать для некритичных зон механические замки с точно такой же шпоночной канавкой, что и в электронно-механических замках для зон повышенной защиты.

Благодаря такому решению, объясняют создатели, сокращается число ключей, выдаваемых сотрудникам. Тот ключ, что открывает электронно-механические замки, открывает и чисто механические, однако сугубо механический ключ не может открыть электронно-механический замок. Так, во всяком случае, принято считать. Например, согласно маркетинговому видеоролику Assa Abloy, комбинация из электронного и механического запоров предоставляет покупателям замка «двойной слой непреодолимой защиты».

В реальности, однако, дела обстоят не столь безмятежно. Как установили многоопытные исследователи, ни одна из перечисленных супервозможностей новых замков — ни уникальные цифровые идентификаторы, ни зашифрованные коммуникации чипов, ни контрольные журналы в памяти микросхем — совершенно не спасает от простого и весьма эффективного взлома.

Несколько атак против CLIQ живо описала журналистка ИТ-издания Wired Ким Зеттер (Kim Zetter), для которой Тоби Блузманис устроил персональную демонстрацию накануне DefCon 2009. Взяв электронно-механический замок Interactive CLIQ производства фирмы Mul-T-Lock, Блузманис вставил в него чисто механический ключ с вырезами под ту же шпоночную канавку, что и у валидного электронно-механического ключа.

Затем вставленный ключ в течение нескольких секунд подвергался неким механическим манипуляциям (обеспечивающим вибрацию) до тех пор, пока мотор в цилиндре замка не повернет ротор и не поднимет запирающий элемент для открывания замка. Демонстрируя этот трюк, Блузманис попросил журналистку не раскрывать в подробностях суть метода вибраций, ограничившись лишь фразой, что здесь не требуется никакого особого инструментария или навыков взломщика. Самой Зеттер, к слову, понадобилось около тридцати секунд, чтобы открыть «неприступный» хайтек-замок.

Комментируя этот способ взлома, Марк Тобиас подчеркнул, что в данном случае в электронном логе не остается никакой отметки о том, что замок открывали — поскольку электроника в процедуре вскрытия не задействовалась. Таким образом, если злоумышленник, проникнув в охраняемое помещение, похитил документы или совершил диверсию на объекте, то подозрение скорее всего падет на человека, заходившего до него и отмеченного в логе.

Тобиас и его команда на основе выявленного дефекта разработали для замков CLIQ целый арсенал разных сценариев взлома, обычно начинающихся с изготовления механической копии электронно-механического ключа. Что, кстати, фирмы-изготовители сплошь и рядом объявляют невозможным. Однако исследователи не только сделали такие копии, но и продемонстрировали похожие атаки против других аналогичных замков: Twin Maximum компании Assa, Medeco Logic, Ikon Verso, а также против новейшего замка Assa CLIQ Solo DP, только-только появившегося в продаже.
Диалог и ответственность

Несмотря на все эти упрямые факты, представители Assa Abloy продолжают настаивать, что их электронно-механические замки невозможно открыть с помощью механического ключа. Так, менеджер по разработке продукции компании Assa Том Демонт (Tom Demont) заявил буквально следующее: «Из того, что мне известно о технологии CLIQ, сделать это нельзя… И до тех пор, пока я собственными глазами не увижу, что это сделано, сделать это невозможно».

Чтобы подобная аргументация не выглядела совсем уж дико, надо пояснить, что Тобиас со товарищи избрали довольно своеобразную тактику для оказания давления на гигантский холдинг (в него входит около полусотни фирм в более чем десяти странах мира). Прежде чем раскрывать свои методы взлома, Тобиас требует, чтобы фирмы дали согласие на отзыв всей уже проданной ими продукции и исправление выявленных дефектов, причем совершенно бесплатно для «пострадавших» покупателей. Холдинг, разумеется, ответил отказом.

Как поясняет Клайд Роберсон (Clyde Roberson), директор технических служб в Medeco: «Мы не раз просили Тобиаса и его коллег детально описать атаки, однако они вновь и вновь отказываются давать запрошенную нами информацию. Вместо этого в качестве предварительного условия предоставления информации они требуют, чтобы мы согласились на безусловный отзыв всех наших продуктов. Идея о том, чтобы мы согласились на отзыв дефектной продукции ещё до того, как узнаем справедливость любого из их заявлений, кажется нам совершенно необоснованной».

В общем, диалога пока не получается, но у индустрии остается возможность твёрдо стоять на своем — содержательного ответа на критику и демонстрации Тобиаса не может быть до тех пор, пока он не расскажет изготовителям замков в подробностях, как именно работают его атаки.

Что же касается Тобиаса и его коллег, то они объясняют свою неуступчивость сильнейшим желанием приучить изготовителей замков к ответственности и компетентному подходу к делу. По словам специалиста, замки CLIQ представляют собой чрезвычайно сложную систему, которая очень впечатляюще выглядит и с механической точки зрения, и с точки зрения электроники. Вот только с точки зрения инженерной безопасности замки эти крайне ненадежны, что свидетельствует о некомпетентности разработчиков в системах защиты. И если изготовителей не заставлять отзывать столь сырую продукцию, они по-прежнему будут считать, что главное для замка — безупречная работа механических и электронных компонентов, а не надежная защита.

Как всегда бывает в подобных непримиримых спорах, каждая из препирающихся сторон имеет массу сторонников и противников. Компромисс раньше или позже все же придется отыскать, а пока очевидно лишь одно. Ситуация с ненадёжностью замков теперь и внешне становится очень похожей на известную ситуацию с уязвимостью компьютеров и сетей. Нравится это кому-то или нет, но упомянутая проблема с замками всплыла на свет божий потому, что в эту область вторглись компьютерные хакеры со своими собственными представлениями о том, как должны выглядеть безопасные системы. А обществу в целом вряд ли повредит выявление и открытое обсуждение дыр в безопасности.

КСТАТИ

«Троянцы» нападают из сети

Компьютер вошел в нашу жизнь незаметно, но уверенно. И уже многие недоумевают — как мы раньше обходились без него? Вместе с тем он несет и огромную опасность, но не простому украинцу, а серьезным компаниям, банкам, госучреждениям. Так как с развитием компьютерной системы весь мир узнал о киберпреступниках.

Недавно сотрудники СБУ задержали в столице двоих хакеров, распространявших компьютерные вирусы и вредоносные программы. В арсенале 20-летнего жителя Киевской области и его 23-летнего приятеля было 8,5 тысяч разнообразных «системных червей», «троянских программ». Свою базу друзья систематизировали по темам для удобства клиентов. Например, для взлома паролей, рассылки сообщений с чужого компьютера, уничтожения или копирования информации.

Специалисты Киевского научно-исследовательского института судебных экспертиз утверждают, что при помощи программ, обнаруженных на изъятых дисках, можно разрушать пароли виртуальных бумажников, взламывать бухгалтерские программы банков, базы данных государственных органов и многое другое. В отношении задержанных возбуждено уголовное дело по ч.1 ст.361–1 УК Украины («распространение и сбыт вредоносных программных и технических средств для несанкционированного вмешательства в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей связи»).

В прошлом году правоохранители раскрыли 401 преступление в сфере компьютерных технологий. Но чаще всего украинских хакеров ловят за границей. Даже сыщики ФБР и Скотленд-Ярда в списки особо опасных преступников внесли несколько программистов из Киева, Ивано-Франковска, Одессы и некоторых других городов. Произошло это после того, как сайты крупных компаний, банковские базы и счета клиентов подверглись нескольким небезуспешным атакам хакеров.

В январе бывшего жителя Харькова Максима Ястремского турецкий суд приговорил к 30 годам заключения. По данным следствия, парень несколько лет чистил банковские счета богатых иностранцев. За это время он заработал около 11 млн долларов. Именно Ястремского западная пресса назвала крестным отцом кардинга (взлом и использование банковских кредитных карт). Правда, точку в этом деле ставить рано. Отец осужденного убежден, что сын невиновен и уже подал апелляцию. Но, согласно местным законам, пересмотр дела может длиться несколько лет. Все это время Максим должен будет находиться в тюрьме.

История ареста украинского хакера действительно нетипичная. Летом 2007-го Ястремского и его друга задержали турецкие правоохранители. Поводом для этого послужили обвинения со стороны США в связях с «Аль-Каидой». Обоих объявили в международный розыск сразу после терактов 11 сентября 2001 года. Как выяснилось позже, никакого отношения к «Аль-Каиде» друзья не имели. Зато на их ноутбуках обнаружилась информация о 5000 владельцев кредитных карт в ЕС и США. С приятеля Максима вскоре сняли все обвинения, а сам программист попал за решетку.

Тезка Ястремского Максим Высочанский также попал в руки заграничным стражам порядка. Его задержали в Таиланде по подозрению в продаже через Интернет нелегальных копий программного обеспечения. Американские спецслужбы долго отслеживали электронную почту украинца, и когда узнали о его появлении на островах, сразу же дали команду арестовать туриста. Вскоре молодого человека передали США, в Сан-Франциско суд приговорил его к 35 месяцам тюрьмы.

Прокуратура Северной Калифорнии расследовала не одно дело в отношении компьютерных пиратов из Украины. Кого-то суд в итоге оправдывал, но несколько человек и сейчас отбывают наказание в заокеанской тюрьме.

Наши хакеры предпочитают работать за границей не только потому, что так легче остаться безнаказанными. Просто в европейских банках саккумулированы гораздо более крупные суммы. Федеральное криминальное ведомство и прокуратура Бонна (Германия) задержали десятерых членов преступной группировки из России и Украины. Молодые люди в возрасте от 20 до 36 лет рассылали в разные финучреждения электронные письма с вирусом от имени ряда известных компаний. Так они получали доступ к счетам клиентов и возможность распоряжаться крупными суммами.

Пока немецкие спецслужбы искали злоумышленников, они путешествовали по миру, вели роскошный образ жизни. В Бонне сказка закончилась. Хотя пока суд не вынес приговор, подследственные надеются на лояльность.

 

www.computerra.ru
Новости, по теме:

 

comments powered by Disqus


  1. Объективная и актуальная информация о недвижимости в новостройках Киева и городов-спутников
  2. Фирменные чехлы для наушников Airpod от MacInCase - отличный способ защиты гаджета
  3. БК JoyCasno Sport - отзывы о ставках. Можно ли доверять?
  4. Большой выбор стильных металлических кроватей от проверенных производителей
  5. Обзор казино Чемпион
  6. Какой выбрать материал для теплицы?
  7. Программа лояльности от казино Золотой Кубок предлагает лучшие условия
  8. В казино Вулкан с круглосуточно доступным сайтом https://vulkan-avtomatyigrovye.com/ посетителей ждут азартнейшие развлечения
  9. Объективная и актуальная информация о недвижимости в новостройках Киева и городов-спутников
  10. Эффективный и быстрый поиск вариантов трудоустройства на высокоинформативном портале
  11. Первая риэлторская компания - твой верный помощник в сделках с недвижимостью в Одессе
  12. ZeCredit предложила студентам оформить микрокредиты онлайн срочно на сумму до 5 000 гривен
  13. ЖК Сити парк: Плюсы и минусы жизни за городом
  14. Существуют ли металлопластиковые окна нестандартной формы?
  15. В онлайн известном игорном заведении Vulkan casino играть комфортно и выгодно
  16. Известнейшая букмекерская контора Parimatch и её особенности
  17. Качественные и долговечные композитные бассейны от компании Favorit
  18. Гарантированно качественные и надежные немецкие башенные краны от компании VIRAKRAN
  19. Вентиляция в частном доме
  20. Дизайн проект современного интерьера офиса в Киеве - сложная задача
  21. Профессиональные и ответственные услуги надежного агентства недвижимости
  22. Фирменные чехлы для наушников Airpod от MacInCase - отличный способ защиты гаджета



Рассылка по недвижимости

Прорекламируйте свои объекты, заявки и бизнес! Более 16000 подписчиков. Самые низкие в Украине тарифы!

Рассылка по недвижимости

Прорекламируйте свои объекты, заявки и бизнес! Более 16000 подписчиков. Самые низкие в Украине тарифы!

Разместите объекты — Бесплатно!

Панель управление своими объектами с фото. Неограниченный период размещения!

1



©2004-2012 «Недвижимость 5000» — Рекламно-Информационный Портал
О компании | Карта сайта