BTC/USD 63122.05 5.19%
ETH/USD 2439.27 5.47%
LTC/USD 65.54 3.57%
BRENT/USD 73.55 0.86%
GOLD/USD 0.00 0.00%
RUB/USD 91.67 0.26%
Tokyo
Moscow
New-York

Когда шифрование бесполезно

0
Автор материала: Олег Уппит

Когда шифрование бесполезно

«Вселенная верит в шифрование». Так звучит знаменитая мысль одного из самых главных на сегодня практикующих адептов шифропанка, создателя и главы собирающего утечки государственной информации проекта WikiLeaks Джулиана Ассанжа, озвученная им в его «Призыве к криптографическому вооружению». Это, конечно же, так.

Именно использование криптографии во всем ее сегодняшнем многообразии позволит нам — сторонникам личной свободы и приватности частных потоков информации «вернуть интернет себе», сделав так, чтобы ни аналитики корпораций, ни чрезмерно любопытные государственные спецслужбы (и их сотрудники, желающие использовать свои технические возможности и административные полномочия в собственных меркантильных интересах), ни злоумышленники — в диапазоне от современных грабителей, использующих для хищения цифровых активов методы, пришедшие из 90-х годов прошлого века, до «настоящих» хакеров — не могли бы добраться до ваших данных: переписки, паролей и кошельков с криптовалютами.

Криптография защищает. Однако сегодня, когда она настолько развита, что, например, пресловутые «ключи оконечного шифрования» невозможно отдать, у нее все еще есть по-настоящему серьезный враг, явление, заложенное в самой человеческой природе и обладающее огромным разрушительным потенциалом.

Речь идет о беспечности, основывающейся на лености, подходе «и так сойдет» и нежелании вникать в то, как устроены технологии, призванные нас защищать, и выяснение того, где в них существуют прорехи.

Все, что вы хотели бы оставить скрытым, спрятать и зашифровать, — все это окажется на поверхности, если вы не будете включать голову и продолжите пренебрежительно относиться к элементарным нормам цифровой безопасности.

Несколько историй, рассказанных Ричардом Фейнманом

Знаменитый американский физик Ричард Фейнман, помимо своего основного профессионального профиля, имел два равнозначных для него увлечения: он был большим любителем розыгрышей, объектами которых становились, в частности, его коллеги, и человеком, тщательно и с большим увлечением занимавшимся различными головоломками.

Когда Ричард Фейнман участвовал в разработке первых атомных бомб в рамках секретной государственной программы, получившей название «Манхеттенский проект», эти две области его интересов встретились. Дело в том, что документы, имевшие высокие грифы секретности, должны были храниться в сейфах. Чем серьезнее была эта документация и чем выше ранг человека, который был ответствен за ее сохранение от глаз потенциальных вражеских шпионов, тем более солидные решения применялись для ее защиты.

Фейнман к тому времени уже давно научился вскрывать обычные дверные замки с помощью отмычек и, встретившись с сейфами, не мог пройти мимо этого вызова. Он рассказывает, как с помощью относительно несложных расчетов смог создать новый способ определения кодов на сейфах путем разумно ограниченного подбора их комбинаций вместе с предварительным выведыванием их составных частей.

Знаменитый ученый занимался этим ради собственного развлечения, а также для того, чтобы поддержать возникшую у него в коллективе создателей бомбы славу взломщика. Начиналось все с того, что он решил проверить, насколько вообще надежны сейфы, выбранные для хранения секретных документов представителями Министерства обороны, а дошло до того, что другие ученые звали его, чтобы он достал срочно понадобившиеся для их работы документы из сейфа коллеги, уехавшего в отпуск.

Среди прочего, Фейнман рассказывает, что, когда он объяснил принципы, которые он использует для «взлома» (а на самом деле просто открытия) сейфов, одному из офицерских чинов, тот, вместо того чтобы последовать его советам, запретил своим сотрудникам подпускать физика к своим сейфам — то есть попытался решить не саму проблему в корне, а просто устранить внешний раздражитель. Не повторяйте эту ошибку!

Второй поучительный пример, приведенный Ричардом Фейнманом в сборнике его «анекдотов» о собственной жизни «Вы, конечно, шутите мистер Фейнман», — случай, произошедший с ним, когда он впервые столкнулся с сейфом, с которым у него не было возможности провести предварительную рекогносцировку.

Здесь физику пришлось вспомнить советы из прочитанных им руководств для взломщиков, в которых, в частности, излагалось такое фундаментальное (и актуальное до наших дней) наблюдение: даже если пароль не записан секретаршей на видном месте: ребре стола, отдельно лежащем листочке бумаги или в адресной книге, подобрать его можно, поставив себя на место владельца сейфа и немного покопавшись в его биографии. Если уж высоколобые ученые использовали в качестве комбинаций не только значения физических констант, но и дни рождения детей или важные для науки даты — куда там «обычным» людям. Не делайте так!

Самый же классический пример — история, произошедшая вокруг сейфа одной из главных шишек среди военного руководства Манхеттенского проекта. Дело было так: стремясь к обеспечению максимальной секретности, один из генералов решил, что обычного сейфа из тех, какими пользовались научные сотрудники лабораторий, ему будет явно недостаточно. Его выбор пал на мощную усиленную конструкцию сейфа, имевшего дверь вроде той, что использовались в те годы в банках. Эту громаду, как рассказывает Фейнман, невозможно было поднять по лестнице в кабинет генерала, и рабочим пришлось соорудить крепкие леса и приподнимать его постепенно, используя множество домкратов (при этом, если мне не изменяет память, потребовалось еще и разобрать стену — для того чтобы внести циклопический сейф в офис офицера. И сам Фейнман, и его приятель, с которым он обсуждал вскрытие этого сейфа, признавали, что этот сейф — по-настоящему надежный. Все бы хорошо, вот только открывался он с помощью одной из двух или трех базовых, предустановленных на заводе-производителе комбинаций, то есть, чтобы его вскрыть, вообще не нужно было обладать компетенциями взломщика.

Когда шифрование бесполезно

Паяльник и утюг

Разведкам и преступным сообществам многих стран уже давно стало понятно, что такой простой и доступный инструмент, как причинение физических страданий обладателю каких-то секретов, способен заставить его выдать их куда быстрее, чем любые уговоры или самый тщательный обыск с целью найти «тайное» напоминание пароля или что-то подобное.

В России «лихих 90-х» один из этих методов получил остроумное и меткое название «терморектального криптоанализа». Вы, я думаю, понимаете, о чем идет речь. Всерьез подготовиться к чему-то подобному, конечно же, невозможно. Тут можно защититься, только исключив возможность попадания в подобную ситуацию: не стоит публично рассказывать о своих доходах или делиться этой информацией с первым же встречным, а кроме того, сделать так, чтобы доступ к вашим секретам (или активам) был бы невозможен посреди леса, прямо рядом с выкопанной вами ямой или непосредственно у вас дома, в компании тех самых термокриптоаналитических паяльника и утюга.

Хакеры — не «кибержокеи», а хитрецы

Хакер в общественном сознании до сих пор воспринимается как какой-то персонаж из классического киберпанка: перед ним стремительно несутся строчки непонятного кода, он с пулеметной скоростью лупит по клавишам, делает глоток из бокала с односолодовым виски, затягивается блантом, еще несколько ударов по клавиатуре и — вуаля — «я взломал их код», что бы это ни значило. После этого «хакер» откинется на спинку стула и на все вопросы будет отвечать сложными запутанными фразами, пока не признается, что вообще действовал по наитию и вдохновению. По сути такое изображение процедур проникновения мало чем отличается от трехмерных путешествий по «матрице», изображенных в фильме «Джонни-мнемоник» (как раз таки классическое киберпанк-произведение Уильяма Гибсона) или в компьютерной игре System Shock, — и к современной нам реальности, а также к тем методам, которые на практике применяют «взломщики» компьютерных систем, имеет отношение столь же малое. Более того, такое наивное изображение процедур проникновения играет хакерам на руку — вы просто не догадаетесь, с чем имеете дело, встретившись с настоящей попыткой вторжения, просто потому, что она, возможно, вообще не будет иметь отношения к работе с кодом программ защиты.

Социальная инженерия

Это, по всей видимости, связано с тем, что описание реальной работы с программами, равно как и их демонстрация на киноэкране были бы зрелищем довольно скучным для простого читателя или зрителя. Отсюда и возникают все эти намеренно зрелищные образы. Однако можно встретить и правдивые моменты — например, и в старом фильме «Хакеры» (обратите внимание на молодую Анджелину Джоли с прической «под мальчика»), и в вышедшем четыре года назад Black Hat (в русском переводе, конечно, снова «Хакер») Майкла Манна можно встретить примеры того, что в среде самих компьютерных «медвежатников» называется «социальной инженерией». Звонок в корпорацию с вопросом «здравствуйте, я забыл пароль от нашей локалки, а хотел поработать из дома» или письмо от лица непосредственного начальства, внутри которого будет спрятан «клавиатурный шпион», который и снимет вводимые данные, раскрыв нужный пароль, — приведенные в этих фильмах примеры вполне типичны и уходят еще во времена, которые описывает в своих воспоминаниях Ричард Фейнман. Вспомните про советы «поискать запись комбинации от сейфа на видном месте». Не поддавайтесь на подобные провокации и будьте внимательны!

А что же сейчас?

XXI век существенно расширил пространство возможной слежки. «Заводской» пароль роутера позволит захватить контроль над этим устройством, «бесплатный» VPN соберет информацию о посещаемых вами страницах, а «анонимная» криптовалюта окажется не слишком-то устойчивой к отслеживанию транзакций. И таких примеров по-настоящему много, пугающе много.

Несколько практических рекомендаций

Несколько практических рекомендаций

1. Приложения

Двухфакторная авторизация, когда вам нужно не только ввести пароль, но и подтвердить вход в систему, получив дополнительный код на свой телефон, должна использоваться везде, где это возможно. Это защитит вас и от клавиатурных шпионов, и от людей, другими способами «заглядывающих через плечо», злоумышленников или чрезмерно любопытных представителей надзорных органов. А вот сохранить сам пароль на устройстве, которым вы пользуетесь, вполне можно. Узнать этот пароль не сложно. Хотя для особо важных паролей этот вариант не подходит, их кэшировать не стоит. В особо серьезных случаях рекомендуем пользоваться для получения дополнительных кодов авторизации отдельным телефоном, хранящимся так, что он недоступен вам (а значит, и злоумышленникам) просто так. Подробнее об этом будет сказано чуть ниже.

2. Переписка

Пользуйтесь «секретными чатами» Телеграм. Именно в них используется оконечное шифрование. Обычные переписки хранятся в том числе на серверах компании, а не только локально — это нужно для того, чтобы вы могли иметь к ним доступ откуда вам удобно. В «секретных чатах» при необходимости выставляйте время самоуничтожения сообщений. В идеале же стоит перейти на пользование по-настоящему серьезно шифрующими трафик мессенджерами, например, на Signal, в пользу которого высказывается сам Эдвард Сноуден. Впрочем, никогда не забывайте следить не только за техническими новостями, сообщающими об обнаруженных уязвимостях используемых вами технологий, но и за информацией о том, в каких отношениях разработчики состоят с государственными структурами и как эти отношения изменяются с течением времени. Как бы хорош ни был выбранный вами инструмент коммуникации, изменения в худшую сторону могут случиться в любой момент, ведь «все, что может быть испорчено, — будет испорчено».

3. Пароли

Всегда меняйте пароли, которые были установлены по умолчанию. Где бы то ни было, включая «железо»: от локальных сетей, WiFi-подключений до самих модемов и роутеров.

4. Криптовалюты

Выбирайте по-настоящему неотслеживаемые криптовалюты (если это важно для вас). Что касается паролей, их стоит хранить в таком месте, которое было бы повседневно недоступно, например, в банковской ячейке или у доверенного юриста — это делается не только для того, чтобы надежно их спрятать, но и для того, чтобы в случае, если вы попадете в руки злоумышленников, которые решат применить к вам бандитские методы «взлома», вам пришлось бы отправиться за паролем в такое место, где будут люди, которые смогут если не оказать вам помощь сами, то вызвать ее.

5. Думайте головой

Всегда. Это самый важный совет. Без него все остальное — бесполезные разговоры. Беспечность ведет к потерям. Относитесь к себе и к своим активам ответственно.

Автор материала:
Футуролог. Блокчейн-энтузиаст, криптоанархист, криптовалютный скептик. Изучаю социальные, политико-экономические и моральные эффекты наступающего будущего.