Компьютерра - Журнал «Компьютерра» № 16 от 24 апреля 2007 года

Red Hat заключила соглашение с компанией SAIC о продвижении открытого программного обеспечения в военные, правительственные ведомства и коммерческие организации. Партнеры намерены объединить свои знания и опыт для создания новых приложений и надеются заменить существующие системы более эффективными и надежными решениями. Red Hat – известный разработчик открытого ПО, а SAIC – это огромная корпорация, с восьмимиллиардным доходом (по данным за 2006 год) занимающая 285-е место в рейтинге Fortune 500. В ее ведении находится множество научных и инженерных разработок для правительственных и военных ведомств, таких, например, как АНБ, Министерство обороны США и др. Посему компаниям есть что предложить друг другу и потенциальным клиентам. АН

Автор: Киви Берд

В стародавние времена, когда знаменитый ныне гуру по безопасности Брюс Шнайер был известен лишь в узких криптографических кругах, а слово «блог» еще и на свет не появилось, Шнайер общался с миром при помощи своего ежемесячного, быстро набиравшего популярность бюллетеня Crypto-Gram (который жив и поныне). И был в том бюллетене интересный раздел Dog-house, или "собачья будка", где автор, подобно сторожевому псу, "облаивал", так сказать, разного рода сомнительные шифрсредства, в те времена изобильно выбрасывавшиеся на рынок доморощенными криптографами-программистами. Прошедшие с той поры годы все расставили по местам, никудышные криптопрограммы вымерли естественным образом, качественные выжили и получили широкое распространение, а раздел Dog-house реанимируется Шнайером в его блоге лишь изредка, когда в Сети вдруг всплывает какая-нибудь очередная новая фирма, основанная молодыми нахалами, уверенными, что они совершили революцию в криптографии.

Но если "собачья конура" Шнайера ведет полулетаргическое существование, это вовсе не означает, что на рынке перестали появляться средства защиты информации, откровенно слабые или даже просто абсурдные с точки зрения безопасности. Напротив, подобных средств по-прежнему выпускается в достатке. Ленты текущих новостей регулярно предоставляют тому живые примеры, а значит, для предупреждения потребителей все так же нужен какой-то, пусть и не чисто криптографический, Dog-house. И нечто подобное мы устроим прямо здесь и сейчас.

Первая история имеет непосредственное отношение к серьезнейшим проблемам, которые испытывают ныне корпорации и организации из-за повсеместного распространения миниатюрных носителей информации с огромными объемами памяти. USB-флэшки могут вмещать гигабайты важных документов, а потерять или украсть эти симпатичные гаджеты проще простого. По этой причине спросом стали пользоваться USB-модули памяти со встроенными средствами защиты. Однако ошибиться с выбором правильного средства на удивление просто, поскольку даже дорогая, солидная и «фирменно» смотрящаяся вещь с точки зрения защиты информации может быть полнейшей чепухой.

Голландский сайт ИТ-новостей Tweakers.net обратил внимание на один из продуктов подобного рода – USB-модуль памяти Secustick, бойко продающийся в Западной Европе одноименной компанией, требующий пароля для доступа к информации, якобы "саморазрушающейся", если пароль несколько раз введен неправильно. Устройство имеет память 1 Гбайт, заключено в прочного вида металлический корпус, а продается и смотрится как стильная бижутерия – в элегантном, выложенном изнутри черным бархатом контейнере и с металлическим витым шнурком для ношения на шее. Secustick продается по неслабой цене в 130 евро (что где-то на порядок больше средней европейской цены на обычный гигабайтный модуль флэш-памяти) и, как утверждают пресс-релизы на сайте изготовителя, используется правительственными ведомствами Франции (включая Министерство обороны) и Нидерландов, а также многими крупными мультинациональными корпорациями, вроде Dassault и Credit Agrecole.

Журналисты Tweakers сами не решились расковырять столь солидную вещь и попросили помощи у знакомого хакера, известного в Сети как Sprite_tm. И этот самый Спрайт быстро установил, что вся защита информации в Secustick носит бутафорский характер. Внутри модуль оказался обычным дешевым продуктом без какой-либо физической защиты электроники от инженерного доступа. Шифрования данных там нет в принципе, а доступ к содержимому памяти можно получить (поближе познакомившись с кодом управляющей Windows-программы), даже не вскрывая корпус и не подбирая пароль. Грамотному человеку оказалось достаточно ПК и обычной программы из хакерского инструментария, чтобы поменять значение единственного бита в регистре, управляющем доступом к памяти, и открыть для считывания все содержимое Secustick. Когда эта информация появилась в Интернете, сайт www.secustick.nl срочно приостановил работу "для технической модернизации".