Журнал "Компьютерра" №721
Шрифт:
В Татьянин день студенты российских вузов по традиции принимали поздравления. Конечно, не всем достался в распоряжение суперкомпьютер, но студенты технических специальностей не остались без подарков. Компания Autodesk решила подсобить студентам-дипломникам софтом для черчения и конструирования. Для того чтобы бесплатно получить по почте диск с лицензионным ПО, необходимо зарегистрироваться на www.autodesk.ru/students, указав свои данные, тему работы и желаемый продукт.
Видимо, и в Великобритании в конце января отмечают студенческий праздник, судя по подарку английским студентам от Microsoft и хостинговой
Под самый конец прошлого года Правительство РФ приняло постановление, которым утвердило новые редакции положений, определяющих порядок распространения криптографических средств и работы с ними. Всего таких положений четыре, они определяют соответственно распространение шифровальных средств, их обслуживание, предоставление услуг по шифрованию информации и собственно разработку. Прежде всего - о том, что же изменилось. От лицензирования освобождены разработка и использование средств, составляющих государственную тайну. Это, впрочем, не значит, что на этот вид деятельности совсем не надо получать лицензии: просто она регулируется другими документами. Лицензированию не подлежит также оборудование, работающее по зашифрованному радиоканалу, с дальностью действия до четырехсот метров, а также шифросредства, не используемые на "критически важных объектах". Для устройств, использующих симметричные алгоритмы шифрования, длина ключа повышена с 40 до 56 бит, на большую уже потребуется получать лицензию.
Более четко определены нарушения, из-за которых лицензия может быть отозвана. Среди них, в частности, использование организациями контрафактных программ. При этом во всех четырех положениях в качестве критерия "лицензионной чистоты" требуется заключение договора с правообладателем "в соответствии со статьей 14 Закона Российской Федерации "О правовой охране программ для электронных вычислительных машин и баз данных".
Постановление датировано 29 декабря, и упомянутый закон прекратил действие через два дня после его принятия, в связи со вступлением в силу четвертой части Гражданского кодекса. Не ясно, для чего понадобилась такая конкретизация и почему нельзя было оставить прежнюю формулировку "на основании договора с правообладателем".
Впечатление о том, что документ разрабатывался в обстановке предновогоднего аврала, усиливает четырежды встречающаяся ссылка на "112 статью" закона об ФСБ, в котором всего 26 статей. ПП
Маленькие секреты больших технологий
Автор: Киви Берд
Новая система проездных чип-карт, вводимая в Голландии для оплаты проезда в городском общественном транспорте и на железной дороге, оказалась гораздо более уязвимой, чем ожидалось. На ее создание ушло 2 млрд. евро, что немало даже для небедных Нидерландов, однако по меньшей мере уже три независимых исследования продемонстрировали небезопасность конечного продукта.
В целом новая система, получившая название OV-chipkaart, построена на основе бесконтактных смарт-карт с RFID-микросхемой. Пассажир может купить или разовую картонную карточку на одну-две поездки, или постоянную
Разовая картонная и постоянная пластиковая карты основаны на существенно разных технологиях. Чип дешевой разовой карты, именуемой Mifare Ultralight, не имеет никакой криптографии. В постоянной же пластиковой карте (Mifare Classic) информация защищена гораздо серьезнее, но увы, не столь надежно, как можно было бы ожидать при нынешнем уровне развития электроники.
Впервые алгоритм атаки на проездные карты (тогда - Ultralight) опубликовали в июле 2007 года Питер Зикерман и Мориц ван дер Шее (Pieter Sieckerman, Maurits van der Schee) из Амстердамского университета. Суть атаки в том, что память чипа оказалось возможным "перематывать" в предыдущее состояние, так что по одноразовой карте в принципе можно было ездить сколько угодно в пределах срока ее действия. Исследователи показали, что эту очевидную дыру нетрудно залатать, слегка подправив программное обеспечение системы. Но одновременно было установлено, что сконструированная хакерами контрафактная карта Ultralight сможет постоянно обманывать ридеры, а отследить и заблокировать ее чрезвычайно сложно.
Неустранимая слабость одноразовых карт Ultralight в том, что они не имеют криптографии, то есть чип карты не способен утаить никаких секретов от атакующей стороны. С помощью доступного оборудования злоумышленник может легко считать информацию из RFID-чипа и изготовить "клон", идентичный исходной карте. С тем лишь отличием, что контрафактная карта после каждого использования неизменно возвращается в первоначальное (полностью оплаченное) состояние.
Голландский студент Роэл Вердулт (Roel Verdult) недавно воплотил в жизнь идею клонирования Mifare Ultralight, затратив на устройство около 40 евро. В начале года об изысканиях Вердулта рассказало национальное телевидение; передача получила большой резонанс, а студента даже пригласили выступить в парламенте. Многим депутатам захотелось в подробностях узнать, насколько слабой оказалась система, стоившая 2 миллиарда. (В сетевых комментариях по этому поводу завистливые американцы отметили, что, будь дело в США, чересчур инициативного студента давно повязали бы и припаяли пожизненный срок - как пособнику террористов.)
В более серьезные проездные карты Mifare Classic встроен чип с криптографией. Здесь для защиты информации имеются секретные ключи, используемые при аутентификации карты ридером. Поэтому в лоб клонировать такую карту злоумышленник не может. Однако в качестве алгоритма шифрования, на основе которого построена безопасность системы, выбран не какой-нибудь общеизвестный сильный криптоалгоритм, а засекреченный фирменный (изготовителем карт Mifare является компания NXP, подразделение гиганта Philips).
Давным-давно известно, что уповать на секретность шифра - дело зряшное. В декабре прошлого года германские хакеры Карстен Ноль, Старбаг и Хенрик Плётц (Karsten Nohl, Starbug, Henryk Ploetz) на конференции 24CCC объявили о завершении обратной инженерной разработки криптоалгоритма карты Mifare Classic. Полного описания восстановленной криптосхемы хакеры публиковать из осторожности не стали, но и раскрытой информации вполне достаточно, чтобы слабость использованного в карте шифра стала очевидной.