Помоги проекту - поделись книгой:
На сайте «Вести.Ру» в качестве цели «шпионской начинки» указано подключение к открытым Wi-Fi-сетям. Полностью открытых беспроводных сетей с автоматической возможностью подключения к ним сегодня крайне мало.
Даже если вы найдёте такую, то при попытке установить соединение вас, скорее всего, перенаправят на страницу провайдера для получения разового ключа и покажут предложения платных услуг. Это интерактивная и нестандартизированная процедура, которую скрытый чип самостоятельно выполнить не может.
Для того чтобы вскрыть хотя бы WEP, нужна более серьёзная реализация, чем изображённое нечто. Протокол экспертизы извлечённой платы, к сожалению, не показали.
Работа таможни описана совершенно удивительно. Насколько мне известно, там просто так не действуют, согласно принятым правилам. Поводом к проверке указано расхождение массы довольно тяжёлых товаров в граммы. Такая разница игнорируется, поскольку попадает даже в пределы погрешности измерения. Почему вообще поставщикам надо было указывать массу без учёта добавленного в каждый прибор «жучка»?
При полном отсутствии характеристик троянской начинки о свойствах содержащих её бытовых приборов написано сказочно:
"Смогут свободно подключаться по Wi-Fi к любым незащищенным компьютерам в радиусе 200 метров.
Наверное, производители оборудования и системные администраторы сговорились подключать всё неправильно. Поскольку ни один роутер с мощной (5–7 dBi) всенаправленной внешней антенной в реальных условиях не добивает дальше семидесяти метров практически в прямой видимости. С крохотной встроенной антенной «шпионского» чипа речь шла бы максимум о пяти–семи метрах.
В квалификации админов сомневаются и на портале «Вестей»:
«Ни один системный администратор не заметит атаку, потому что она произошла не снаружи предприятия, не через интернет, а изнутри».
Простите за крамолу, но даже без спецсофта, через обычный веб-интерфейс я вижу подключённые к роутеру клиенты, их идентификаторы, MAC-адреса, уровень сигнала, используемый канал и время подключения. Одним щелчком можно отключить любой из них временно или заблокировать навсегда. Для этого даже не нужно быть админом: это пользовательская процедура, описанная в руководстве.
В середине видеоролика подобная информация демонстрируется в окне утилиты Wireless Network Watcher. В нём отображается подключённое устройство с идентификатором android-75552... и MAC-адресом 50-A4-C8-7B-B0-F7.
Давайте определим по нему производителя через соответствующий онлайн-сервис. Нам потребуется только OUI (Organizationally Unique Identifier), кодируемый первыми тремя байтами.
Как видим, это Samsung. Смартфон именно этой фирмы и держит в руках эксперт.
При попытке выяснить происхождение новости оказалось, что неделю назад в сети уже был опубликован подобный материал. В анонсе этой пресс-конференции упоминался таможенный брокер «Панимпорт», который якобы обнаружил в планшетах, видеорегистраторах, сотовых телефонах и другой технике из Китая микрочипы и счёл их шпионскими устройствами:
«Суть работы шпионских устройств заключается в том, что микрочипы через дистанционное управление системой могут получать команды по передаче данных и видео по интернету».
Честно говоря, сильнее удивило бы, если бы в указанной технике микрочипов не обнаружилось. Складывается впечатление, что на смену не получившей широкого резонанса новости о прослушке через утюги и подглядывании через пылесосы пришла новость о рассылке с бытовых приборов вирусов и спама.
Будучи рядовым автором, ни в коем случае не претендую на экспертное мнение по данному вопросу. Лишь попытался обосновать возникшие сомнения и обратить внимание читателей на замеченные странности.
Смартфон Nexus 5 и ОС Android 4.4 представлены официально
Компания Google официально представила операционную систему Android 4.4 (KitKat) и первый смартфон, работающий под её управлением – Nexus 5. В ожидании презентации пятого «Нексуса» информация о его характеристиках собиралась по крупицам из разных источников. Давайте посмотрим, какие из них подтвердились, а что стало сюрпризом.
Краткий обзор обновлённой ОС Android 4.4 представлен в следующем ролике.
http://www.youtube.com/watch?v=r9z5kBU-YiY
Как и предыдущая, четвёртая модель, смартфон был разработан в сотрудничестве с LG. Складывается ощущение, что обе компании грамотно подогревали интерес к новинке, давая повод лишний раз упомянуть её в новостях. Помимо постоянных «утечек» новых подробностей на сторонних веб-ресурсах, они происходили и на собственном сайте Google.
Nexus 5 оснащён пятидюймовым дисплеем с матрицей IPS+ (если быть точным, то размер диагонали составляет 4,95") и разрешением Full HD. В качестве защитного покрытия используется Gorilla Glass 3.
Четырёхъядерный процессор Qualcomm Krait 400 архитектуры ARMv7 выполнен по технологии 28 нм и работает на частоте до 2,3 ГГц. Он входит в состав мобильной системы на кристалле (SoC) Qualcomm Snapdragon 800 MSM8974. В ней также разместилось графическое ядро Adreno 330 с поддержкой разрешения до 2160p (QSXGA) и многочисленные модули связи.
http://www.youtube.com/watch?v=i291KxrQ8uQ
Среди поддерживаемых стандартов для всех моделей указаны GSM (850/900/1800/1900 МГц), GPRS, EDGE, HSPA+, MBMS и UMTS. Поддержка CDMA / LTE и её конкретный вариант зависят от дополнительного номера модели.
Для жителей США выпущена модификация Nexus 5 D820. Множественный доступ с кодовым разделением (CDMA) поддерживается в ней на каналах 0/1/10. Дополнительно присутствуют частотные полосы расширенного диапазона WCDMA (1/2/4/5/6/8/19) и LTE (1/2/4/5/17/19/25/26/41)
Для всех остальных стран выпущена модель Nexus 5 D821. В международной версии нет поддержки CDMA (только WCDMA) и меньше частотных полос LTE, но среди них как раз есть используемые в России.
Модуль Wi-Fi, помимо привычного набора 8021.11 a/b/g/n, получил поддержку нового стандарта 802.11ac. Его окончательная версия будет представлена только в начале 2014 года, однако производители используют его на уровне пятой черновой модификации уже сейчас. Ожидается, что она практически не будет отличаться от окончательной.
Кроме Nexus 5, скоростной стандарт Wi-Fi 802.11ac сегодня поддерживают смартфоны HTC One, Samsung Galaxy S4 и Samsung Galaxy Round.
Объём оперативной памяти в Nexus 5 составил 2 ГБ, а встроенной флеш-памяти — 16 или 32 ГБ. Как обычно, в аппаратах серии Nexus слот для MicroSD-карт отсутствует, но его компенсирует функция USB OTG, позволяющая подключать к смартфону пассивные USB-устройства (включая флешки и кардридеры).
Помимо привычного набора вариантов беспроводной связи Bluetooth v. 4.0+LE и NFC, Nexus 5 поддерживает новый стандарт для упрощённой передачи мультимедиа-контента Miracast, являющийся дальнейшим развитием Wi-Fi Direct.
В серии «Нексус» традиционно богатый набор встроенных датчиков, и пятая модель не стала исключением. В ней присутствует акселерометр, барометр, гироскоп, датчик приближения, датчик уровня освещения и компас. Навигация двойная — по сигналам спутниковых систем GPS и ГЛОНАСС.
Фронтальная камера у пятого «Нексуса» осталась обычной, с разрешением 1,3 Мп. Зато основная камера (8 Мп) обзавелась системой оптической стабилизации изображения, в дополнение к реализованной ранее цифровой.
Ёмкость батареи составляет 2 300 мА•ч (8,74 Вт•ч). Предположение о выпуске аккумулятора повышенной ёмкости для модели с 32 ГБ встроенной памяти пока не подтвердилось. Как и у Nexus 4, в пятой модели возможна беспроводная зарядка.
Размеры смартфона составляют 137,9×69,2×8,6 мм, а масса — 130 г. При более мощной электронике и ёмкой батарее пятый «Нексус» оказалась на два процента меньше в объёме и на девять граммов легче предыдущей модели.
В магазине Google Play ещё 17 октября якобы случайно опубликовали фотографию нового Nexus 5 с максимальным объёмом памяти и указали в подписи его цену — $350. Ранее ориентировочная цена на младшую модель указывалась в районе $300, что выглядело логично. К сожалению, это единственное, что оказалось неправдой. Сейчас официальные цены обеих моделей на $50 выше ожидаемых. Они составляют $349 и $399 соответственно.
Компьютер, излечися сам: удастся ли DARPA создать цифровую иммунную систему?
DARPA — Агентство перспективных оборонных исследований при Министерстве обороны США — известно нам как родина сети Интернет, спонсор операционки Multics (прообраза UNIX), а в последние годы и как учредитель нескольких крупных технологических конкурсов для экономичного (сравнительно с опорой на собственные силы) решения нетривиальных технических задач. С середины «нулевых» оно выделило миллионы долларов на призы создателям самопилотируемого автомобиля (серия конкурсов Grand Challenge) и роботов, способных к выживанию в сложных условиях (Robotics Challenge). Но на минувшей неделе прогремело кое-чем, что кажется чересчур амбициозным даже для него: новый конкурс, Cyber Grand Challenge (CGC), предполагает разработку программного обеспечения, которое «лечило» бы себя самостоятельно.
Если точнее, цель CGC — создание автоматической системы, способной находить уязвимости в программах, анализировать их, писать патчи (правильнее, наверное, будет сказать «генерировать») и устанавливать их, закрывая таким образом обнаруженные «дыры». Что позволит добиться невиданной, немыслимой по сегодняшним меркам оперативности профилактических ИТ-мероприятий. Если сегодня выпуск патча — дело десятков часов, а обычно целых суток (по данным Secunia, в прошлом году для восьми из десяти самых популярных программ патчи выпускались в течение 24 часов после того, как становилось известно об уязвимости), победители CGC смогут латать «уязвимости нулевого дня» в течение минут или секунд «заплатками нулевого часа». Кроме того, «дыры» будут вскрываться без помощи пользователей и (или) злоумышленников, немедленно после выпуска либо даже в процессе разработки программного обеспечения. А значит, «дыр» не будет вовсе!
Звучит утопически, но у DARPA всё конкретно. Конкурс рассчитан на три года: будут проводиться промежуточные турниры (первый — уже в декабре 2014-го: поиск уязвимостей в обычном массовом софте, через Сеть), а в 2016-м лучшие участники сойдутся лицом к лицу на офлайновом финале. Регистрация уже начата, продлится до середины января, и, с некоторыми оговорками, участвовать могут даже иностранные команды. Кроме того, DARPA, как и всегда, не планирует отбирать у победителей их разработки: Агентство претендует только на право лицензировать плоды их труда «на разумных условиях». Кстати, победителю обещано $2 млн, а следующим за ним $1 млн и $750 тыс. соответственно.
Но мечтать об этих деньгах сейчас смешно. Ведь даже формализовать задачу кажется нереальным! Сегодня подобным занимается только человек: высококвалифицированные, опытные специалисты, способные осмыслить программный текст и придумать, как заставить программу работать неожиданно, нестандартно, тем самым добившись от неё незапланированных результатов. Разве что одни спецы работают на «тёмной» стороне, а другие — на «светлой». Но в любом случае выданный Природой патент на изобретательство принадлежит пока только нам. Машина творить ещё не научилась.
Это не значит, что компьютер не в состоянии искать ошибки. Automatic error detection — обширное, активное направление в ИТ. Код анализируют статически на предмет известных проблемных паттернов, исполняют в виртуальных машинах, следят за состоянием памяти во время работы, мучают некорректными вводными данными, и так далее, и тому подобное. Такой поиск может быть очень эффективным: вот, например, моя заметка десятилетней давности о том, как автомат нашёл тысячу ошибок в ядре Linux. Но и десять лет назад, и сегодня такой поиск — лишь автоматизация того, что человек мог бы сделать и сам, вручную, после того как
Так вот, DARPA поставило условие: в CGC не будут приниматься работы, основанные на эволюционном развитии существующих практик. Иначе говоря, нужны только революционные идеи поиска ошибок. Ни один из существующих методов не решает проблему щита и меча: ошибки, о которых стало известно, устраняют быстро, но нападающие всегда на шаг впереди, они постоянно придумывают новые виды атак, находят принципиально новые слабости. Эффективно противостоять им сможет только машина, которая сама способна осмысливать код, выдвигать теории и проверять их. Может быть, и не искусственный интеллект в классическом понимании, но что-то очень к нему близкое.
Удастся ли эту задачу решить? Я не знаю, да и кто может такое знать наперёд? Но есть два соображения, которые следует иметь в виду. Во-первых, особого выбора у нас нет, мы должны начинать искать решение! Дело в том, что число уязвимостей в программном обеспечении (в данном случае — вскрывшихся, но тем более справедливо это и для пока ещё скрытых дефектов) росло и продолжает расти все последние годы. Человеческие же ресурсы небесконечны — и однажды мы не сможем удержать лавину багов, «дыр», ошибок, вирусов. Компьютерам нужна иммунная система.
Во-вторых, даже если найденное участниками CGC решение окажется частичным, если получится не автоматический, как надеются в DARPA, а полуавтоматический механизм, создание его будет означать революцию в компьютерной безопасности. Специалисты по безопасности ИТ-систем уже не будут нужны, по крайней мере в прежнем количестве. Сами спецы в это, естественно, пока не верят: например, человек из Sophos, комментируя CGC в одном из интервью, выразил большое сомнение, что удастся сделать security-автомат, который заслужил бы такое же доверие бизнеса, как живой человек. Но даже если автоматические системы профилактики не вытеснят людей, они точно заставят многих из нас поменять специализацию — вместо анализа кода заняться программами, анализирующими код.
Станет ли мир, в котором о машинах заботятся машины, спокойнее? Весьма вероятно, но не наверняка. Помнится, «Скайнет» начинала именно с этого.
В статье использованы иллюстрации Giselo Giardino, Sean Davis.
Можно ли уйти от тотальной слежки, живя офлайн?
После скандальных «утечек» Джулиана Ассанжа, разоблачений псевдошпиона Эдварда Сноудена и циничных признаний спецслужб мир всколыхнула волна озабоченности в отношении тайны личной жизни. Сегодня уже не для кого не секрет, что в самых разных базах данных по всему свету о нас хранится столько всевозможных сведений, сколько мы не помним о себе сами. Однако при этом упор делается почему-то исключительно на онлайновые средства сбора информации: создаются всевозможные средства обеспечения анонимности в интернете, предлагаются услуги стирания малейших частиц личных данных в Сети. Между тем, как утверждают эксперты, даже полностью исчезнув из интернета, вам всё равно не удастся ускользнуть от тотальной слежки, налаженной государственными агентствами.
На американском телеканале CBS вот уже третий год с успехом идёт детективный телесериал Person of Interest, в основу сюжета которого положен факт существования некоей созданной правительством США супермашины, осуществляющей тотальную слежку за всеми людьми на территории, очевидно, пока лишь Соединённых Штатов Америки. Эта машина создавалась с целью предотвращения актов терроризма, но она способна прогнозировать и любые другие противоправные действия. Более того, она может самостоятельно сотрудничать с лицами, не имеющими никакого отношения к антитеррористическим подразделениям, и вообще вести себя совершенно несообразно первоначальным целям.
Так вот, такая машина действительно существует, причём не только на территории США, но и в глобальном масштабе. Точнее, это не какая-то одна машина, а целая система разнообразных средств сбора и анализа информации о передвижениях и действиях людей, в том числе и в режиме реального времени. Все эти многочисленные машины создавались с самыми благими целями — от оптимизации дорожного движения до предложения покупателю товаров, которые ему наверняка понравятся. Однако любая информация, особенно в подобных масштабах, представляет собой опаснейшее оружие, и, к сожалению, она всё чаще оказывается в руках посторонних, которые используют её в не самых благовидных целях.
Вот лишь пара случаев, получивших широкую огласку. Сотрудники Агентства национальной безопасности, по признанию представителей самого агентства, были замечены в использовании служебного положения для слежки за партнёром или супругом, находящимися за рубежом. Штатный сотрудник иммиграционной службы Великобритании внёс собственную жену в список террористов, чтобы она не могла вернуться из Пакистана, где навещала родственников.
Номера социального страхования, которые первоначально присваивались гражданам в целях последующего пенсионного обеспечения, сегодня фактически стали универсальными идентификаторами личности в США и постепенно становятся таковыми и в России — в частности, номер СНИЛС требуется для регистрации и последующей авторизации на федеральном портале «Госуслуги». И чрезвычайно велика вероятность того, что рано или поздно такой номер будет похищен и выложен в открытый доступ, как это неоднократно проделывала хакерская группа Anonymous.
Один из создателей приложения для приватной переписки когда-нибудьWickr и одновременно организатор известнейшей хакерской конференции Def Con Нико Селл появляется на публике исключительно в больших солнцезащитных очках, чтобы никто не мог составить полное представление о её внешности. У неё нет аккаунта в Facebook, и она хранит карточку для оплаты проезда по платным дорогам в экранированном конверте. Селл допускает, что все её телефонные звонки и сообщения электронной почты в будущем смогут найти простым интернет-поиском все желающие. Сама себя она называет суперпараноиком, каковых в мире около 1%, однако все её подозрения вполне обоснованны. Несмотря на то что до сих пор некоторые полагают, будто можно оставаться анонимным в интернете, Селл уверена, что это абсолютно, на сто процентов невозможно.
Эксперт по безопасности Гюнтер Оллманн, коллеги которого по правоохранительным органам в своё время пытались «уйти с радаров» ради безопасности своих семей, убеждён, что для этого необходимы годы подготовки. И речь идёт совсем не об интернете.
Основная угроза для тех, кто не желает быть отслеживаемым, таится в привычных бытовых предметах, о которых мало кто задумывается, что они вообще могут представлять опасность. Прежде всего это радиочастотные идентификаторы — RFID-метки, встраиваемые сегодня в самые неожиданные вещи. Но если в России такие метки применяются пока не слишком широко (в основном это пропуска в офисные здания, ключи от номеров в гостиницах или билеты для общественного транспорта), то за рубежом в некоторых странах радиочастотная идентификация получила даже чрезмерное распространение.
Программист, известный под ником @pukingmonkey, представил на конференции Def Con доклад, посвящённый тому, что любой человек, передвигающийся на автомобиле, постоянно фиксируется целой массой самых разнообразных технических средств — от простых камер наблюдения до специальных считывателей номерных знаков, работающих в автоматическом режиме. Более того, в центре Лондона, где нет никаких платных автомагистралей, постоянно считываются данные с RFID-карточки оплаты проезда, иллюстрацией чему служит специально записанное видео: всякий раз при доступе к данным раздаётся характерный звук.
http://www.youtube.com/watch?v=JCwWVxGtYgE
Очевидно, что метки считываются в целях оптимизации дорожного движения, однако проблема в том, что, как мы уже говорили, всё чаще подобные базы данных используются вовсе не для того, для чего они изначально были созданы.
Автомобиль легко отследить по сигналу сотового аппарата, по GPS-навигатору, если в нём предусмотрена функция трекера, и даже по шинам, в которые может быть встроена всё та же RFID-метка. В США такая возможность прямо прописана в федеральном законе TREAD: в целях безопасности шины могут оснащаться системой мониторинга давления TPMS с активным передатчиком на клапане, работающем на частоте 315 МГц. Кроме того, RFID-метки используются производителями в целях идентификации изделия: например, Michelin применяет метки с рабочей частотой 915 МГц, а Googyear — 125 кГц. Такие метки может прочитать кто угодно на расстоянии до шести метров, и в подавляющем большинстве случаев это будет не представитель компании-производителя.
Поделиться книгой: