Помоги проекту - поделись книгой:
Впрочем, обыватель подвоха даже не замечает: может быть, наблюдай он за своим телефоном, он бы и успел отметить смену идентификаторов сотовой сети, но простому человеку с улицы такие тонкости неинтересны. Он получает СМС — и верит, что сообщение было доставлено его сотовым оператором, по официальному каналу.
Но как вообще это стало возможным? Как посторонние смогли внедриться в такую сложную систему, как GSM? Почему собранные чуть ли не на коленке фальшивые соты работают? Чёткого ответа на эти вопросы не даёт никто, но доминирующая версия сводится как раз к чрезмерной сложности. Ведь в сотовой связи вообще и GSM в частности буквально чёрт ногу сломит: невообразимая мешанина стандартов, оборудования, производителей, операторов. В результате низкоуровневые технические нюансы известны лишь узкому кругу специалистов (вспомните хоть радиопроцессор: см. «Возможна ли слежка через выключенный телефон») и всегда найдутся слабые места, надавив на которые можно вывести систему из строя или заставить её работать в другом режиме.
Энтузиасты радиохака утверждают: за последние пять лет изучены и взломаны все основные протоколы (в том числе криптографической защиты) GSM — и, используя свободный софт, сегодня действительно возможно слушать, читать и выдавать себя за другого абонента. Но даже самые смелые из них не распространяются относительно того, как именно это реализовать: в общей неразберихе непонятно, кому и какие патенты принадлежат и со стороны каких законов может прилететь по голове за излишнее любопытство...
Но если это работает в Китае, должно работать и в других местах, верно? Что ж, так и есть. История китайских спамеров неожиданно аукнулась в Соединённых Штатах — где, как выясняется, фальшивые соты тоже используют широко, только не мошенники, а правоохранительные органы. Здесь для них даже придумано броское имя — стингрей (Stingray — англ. «скат»). Ввела его компания Harris Corp., в начале нулевых первой собравшая такое компактное устройство (до того были громоздкие симуляторы базовых станций); поначалу словечко было её торговой маркой, да так и прижилось. Сегодня так именуют изделия и других производителей.
Схема работы стингреев абсолютно та же самая, что и у поделок китайских мастеров: устройство выдаёт себя за базовую станцию, принудительно переключает на себя близлежащие мобильные телефоны, меняется данными и прекращает сеанс. Вот только если китайцы рассылают с их помощью спам, то американцы собирают полезную информацию: уникальные идентификаторы, сведения о местоположении и (или) силе сигнала (в конце концов это позволяет установить местонахождение абонента с точностью до нескольких метров: стингрей водружают на авто, фиксируют данные с нескольких точек и триангуляцией определяют искомое), перехватывают сообщения и звонки.
Подтвердить или опровергнуть эти подозрения трудно. Harris продаёт стингреи только санкционированным покупателям (полиция, правительство) и заставляет их подписывать «неболтайку» — обязательство о неразглашении. Именно по поводу молчания покупателей и разгорается сейчас скандал. В нескольких штатах правозащитники потребовали от полиции рассказать, чт
Однако пусть американцы сами разбираются со своим правосудием. Нам важнее выводы, которые можно сделать из той и другой истории. Так вот, во-первых, очевидно, что построить фальшивую соту возможно, и не так уж дорого. Во-вторых, её можно применять для ударов по всем «болевым точкам» электронно-социальной активности — от слежки и прослушки до социальной инженерии и прямых атак (перехват, подмена, DoS). В-третьих, даже в демократических странах на использование её правоохранительными органами отчего-то не требуется санкция суда. Наконец, в-четвёртых, такие устройства эксплуатируются активно и широко.
Какая роль в этой драме отведена нам? Было бы наивным полагать, что российские мошенники и правоохранительные органы не пользуются фальшивыми базовыми станциями. И если с вниманием полиции и спецслужб остаётся только молча примириться, то доступ мошенников к стингреям требует усилить бдительность. По крайней мере не стоит слишком полагаться на мобильную связь. Исходите из того, что пароли и любая ценная информация, пересылаемая посредством СМС, может быть перехвачена и прочитана посторонними. Равно и любая эсэмэска — даже с обратным адресом, заслуживающим доверия, — может оказаться поддельной, поступившей вовсе не от вашего банка, сотового оператора или коллеги. Бдите — и воздастся.
В статье использована иллюстрация Tiberiu Ana.
Как хакеры используют QR-коды для взлома систем
В последние годы двумерные (матричные) QR-коды (от английского Quick Response, то есть «быстрый отклик») получили самое широкое распространение: их нередко используют в рекламе, в различных вывесках и музейных табличках, на плакатах и в журналах. Это произошло в значительной степени благодаря популярности смартфонов и планшетов, способных после установки небольшого приложения безошибочно распознавать такие коды. Чаще всего в QR-кодах зашифрованы ссылки на страницы в интернете, сведения о сети Wi-Fi, СМС с номером и сообщением, текст или географические координаты объекта, но теоретически в них могут скрываться какие угодно данные.
Однако популярность любой технологии, особенно значительно упрощающей какие-то не слишком удобные действия, неизбежно вызывает повышенный интерес злоумышленников, пытающихся использовать её для извлечения незаконной выгоды. И QR-коды не стали исключением из правила, хотя на первый взгляд совершенно непонятно, как их можно использовать, к примеру, для кражи личной информации или денежных средств.
По уже весьма устаревшим какой-либоданным ComScore за июнь 2011 года, только за один тот месяц в США более 14 миллионов человек старше 13 лет просканировали QR-код своим мобильным телефоном: около 39% сделали это в магазинах, примерно 20% — на работе, а приблизительно 58% — у себя дома. И это данные, касающиеся исключительно территории США!
Б
Между тем приёмы взломщиков применительно к QR-кодам остаются теми же самыми, что используются при взломе любых других электронных систем: это, как всегда, сочетание чисто технических средств с элементами социального инжиниринга. Цели тоже остаются неизменными: похищение cookies и личных данных, фишинг, взлом виртуальных магазинов и даже Google Glass.
Чтобы приобрести что-нибудь в интернет-магазине, какие-токакой-товиртуальном магазине либо через рекламу на улице, в журнале или в интернете с помощью QR-кода, нужно просто просканировать этот код камерой смартфона или планшета, после чего вы будете перенаправлены на веб-страницу с дополнительной информацией о товаре и способах оплаты и доставки. При этом вы отправляете в интернет ваши личные данные, в том числе и реквизиты оплаты для карточной или другой платёжной системы.
Вот самая элементарная схема мошенничества с QR-кодами, расположенными в публичных местах. Возьмём для примера виртуальные магазины, которые представляют собой просто большие стенды с фотографиями товаров, их ценами и соответствующими QR-кодами. Обычно в таких магазинах есть три варианты доставки после оплаты: скачивание (для музыки, видео или программного обеспечения), распечатка (для билетов или флаерсов) или собственно доставка (для каких-то физических предметов).
Чтобы перехватить личные данные и, если повезёт, одновременно и денежные средства жертвы, достаточно просто подменить QR-код, который отправлял бы на сфальсифицированную страницу и заставлял покупателя перечислить деньги на подставной счёт. Программ для генерирования такого кода существует множество, в том числе и совершенно бесплатных. В результате злоумышленник может получить практически полный пакет данных: имя и адрес покупателя и номер его платёжной карты.
Более затратный, но, возможно, ещё более эффективный способ мошенничества — это печать и распространение рекламных буклетов, каталогов и прочего маркетингового хлама, распространяемого по почтовым ящикам и просто в разных общественных местах. При этом злоумышленнику даже не обязательно маскироваться под какой-то известный магазин или торговую сеть: достаточно предложить какие-нибудь сногсшибательные «акции и скидки», и этот примитивнейший приём социальной инженерии сделает своё дело. В остальном же результат всё тот же: вы дарите мошенникам не только деньги, но и номер кредитки и свой адрес.
Для хищения личных данных, используемых вами в интернете, применяется ещё один способ — кража файлов cookies браузера, в которых хранится самая разнообразная информация о посещённых вами сайтах, включая настройки и данные о сессии, позволяющие не авторизоваться всякий раз при заходе на ресурс. Для этого достаточно просканировать подложный QR-код: он переправит вас на фейковую страницу, которая не будет выглядеть особенно подозрительной и не сделает ничего заметного, а лишь похитит файлы cookies. И если «большие» антивирусы сегодня почти в обязательном порядке проверяют соответствие реального URL тому, что демонстрируется пользователю, упрощённые версии для смартфонов и планшетов могут пропустить подобную подмену.
Перехватив вашу сессию, например, в интернет-магазине, злоумышленник сможет добраться не только до личных данных, но и до сведений о платёжной карте. При этом он, скорее всего, не будет заказывать что-то именно в этом магазине, а воспользуется полученными сведениями для фабрикации карты-двойника или для добывания какой-то более подробной информации о жертве.
Хорошо известен также случай, когда по QR-коду на смартфоны под управлением Android вместо интернет-мессенджера загружался СМС-троян Jimm, рассылавший платные эсэмэски с аппарата жертвы.
Всё это довольно простые и незатейливые способы, но среди взломщиков существуют и настоящие «художники», заставляющие насладиться красотой и элегантностью не только процесса, но даже самой идеи проникновения в систему. В мае 2013 года появилась информация о том, что специалистам компании по сетевой безопасности Lookout Mobile удалось взломать очки-компьютер Google Glass при помощи QR-кода, а точнее, с помощью так называемых фотобомб, «взрывающихся» при фиксировании очками QR-кодов. Дело в том, что это устройство способно автоматически сканировать любую картинку с целью распознавания объектов, которые могут представлять интерес для владельца.
По уверениям Google, сейчас эта уязвимость устранена, но изначально в QR-кодах, которые используются для настройки очков, можно было зашифровать любые команды, в том числе и позволяющие получить полный удалённый доступ к устройству, незаметный для владельца. Кроме того, ранее можно было «заставить» очки подключиться ко взломанной точке доступа Wi-Fi или устройству с Bluetooth и перехватывать любую информацию, передаваемую как от очков, так и к очкам, — то есть, грубо говоря, можно было показать владельцу сфабрикованную картинку. Сейчас возможность автоматического подключения к Wi-Fi заблокирована, и очки Google Glass реагируют на QR-коды лишь в строго определённых режимах.
Как видим, собственно QR-коды не слишком подвержены взлому, поскольку в их спецификации изначально заложена система исправления ошибок на основе кода Рида — Соломона с четырьмя уровнями избыточности от 7 до 30%, что позволяет, например, считывать даже повреждённый код, код с нанесённым изображением или использовать для этого смартфон с грязным либо поцарапанным объективом.
Однако в подавляющем большинстве случаев взлом самого кода (то есть теоретически возможное, но весьма трудоёмкое изменение каким-то образом оригинальной картинки) и не требуется. Гораздо б
Поэтому лучшим способом защиты от мошенничества остаётся старое сетевое правило: не открывайте подозрительные ссылки; в нашем случае оно звучит как «не сканируйте подозрительные QR-коды». Гораздо безопаснее приобрести какой-то товар в проверенном онлайновом или офлайновом магазине, чем иметь дело с виртуальными магазинами, расположенными в сомнительных местах, а тем более — рекламными проспектами.
Intel Edison: компьютер размером с карту SD становится умнее
Компания Intel проапгрейдила свой самый маленький компьютер Edison. Его первая версия в формфакторе карты памяти стандарта SD была представлена в январе на выставке CES 2014 и не отличалась богатым функционалом. Она интриговала размерами, но выглядела именно как демонстрация возможностей по миниатюризации современной электроники. Обновлённая модель будет более востребована «интернетом вещей» и сферой носимых устройств, на растущий рынок которых Intel делает ставку с приходом нового генерального директора Брайана Кржанича (Brian Krzanich).
Апгрейд Edison затронул в первую очередь набор одновременно обслуживаемых датчиков, которые теперь можно добавлять и объединять через концентратор. На плате появились штырьковые разъёмы для подключения сенсоров и дочерних плат, разработкой которых Intel занимается в настоящее время.
Вице-президент Intel и генеральный менеджер группы разработчиков новых устройств Майк Белл (Mike Bell) пояснил необходимость апгрейда Edison тем, что после CES 2014 им удалось наладить эффективную обратную связь с другими разработчиками носимых устройств и отдельными энтузиастами. «Люди стали делиться своими мыслями о том, что они могут создавать с этим микрокомпьютером, — сказал Белл. — Поэтому мы решили сделать его немного лучше».
В результате новая модель стала крупнее на 57 мм2, добавив по одному миллиметру с каждой стороны. «Изначально мы ориентировались на размер карты SD, но меньше — не всегда лучше, — пояснил Белл. — Куда важнее было добавить разъёмы для повышения удобства работы с чипом».
Для использования в «умных» часах Edison слегка крупноват, но он по-прежнему найдёт применение в «умной» одежде, обуви, а также всевозможных аксессуарах для спорта и активного отдыха. К примеру, шлемы для игры в хоккей и американский футбол можно оснастить сенсорами, которые будут оценивать местоположение, силу ударов и состояние здоровья игроков в реальном времени.
Большинство носимых устройств сейчас закрепляется на голове, запястьях или лодыжках. Разработчики Intel Edison надеются, что их микрокомпьютер будет широко использоваться для экспериментов и поможет создать массу новых гаджетов.
Для ускорения собственных разработок Intel даже купила компанию Basis Science – создателя известного фитнес-трекера Basis. Сторонних разработчиков должен поощрить конкурс «Make it Wearable». Его общий фонд составляет $1,3 млн, а за первое место предусмотрен приз размером в $500 тыс.
http://www.youtube.com/watch?v=iwSpn7H7vKg
Обычно одновременная обработка информации от множества датчиков приводит к повышению энергопотребления чипа и возникновению проблем с его охлаждением. В новой версии Edison архитектура и алгоритмы оптимизированы так, чтобы удерживать значения мощности в оптимальных пределах. Данные кешируются, сжимаются и отправляются по беспроводному интерфейсу. Максимально допустимая температура ядра составляет 110 °С, но механизмы снижения тепловыделения срабатывают уже по мере приближения к 70 °С.
Обновлённый Intel Edison базируется на пока не объявленной официально двухъядерной SoC Intel Quark серии X1000, выпускаемой по технологическим нормам 22 нм. Чип работает на частоте 400 МГц и поддерживает базовый набор инструкций x86. Он оснащён самыми экономичными модулями беспроводной связи Bluetooth и Wi-Fi.
Микрокомпьютер создавался с прицелом для использования в любых малогабаритных модулях носимых устройств с повышенными требованиями к гибкости и лёгкости. Среди конкурентных предложений можно выделить линейку плат для носимой электроники от Freescale, но их размеры будут уже с кредитку или больше. Ближайший аналог (совместимый с платформой Arduino), микрокомпьютер Intel Galileo, стоит около $70. Старт продаж Edison запланирован на лето 2014 года. О цене пока не сообщается.
Дорогу киборгам! Кибатлон и рамки разумного
Только что отшумели Параолимпийские игры — крупнейшее спортивное мероприятие для людей с ограниченными физическими и умственными возможностями. Официальным спутником Олимпиады они стали четверть века назад — и с тех пор каждый раз собирают всё больше участников и зрителей (в играх в Сочи отметились свыше полутысячи спортсменов-параолимпийцев). Однако всё идёт к тому, что Параолимпиадой дело не ограничится. На днях была заявлена новая инициатива — по духу родственная олимпийским/параолимпийским состязаниям, но принципиально расширяющая правила. Я говорю о Кибатлоне (оригинальное название: Cybathlon), который состоится в 2016 году в швейцарской столице. МОК и МПК к этому проекту прямого отношения (пока) не имеют, но менее интересным и зрелищным от он этого вряд ли станет. Ведь в Кибатлоне силами померятся люди с возможностями, расширенными
Вообще, граница между людьми, использующими те или иные протезы, и киборгами уже весьма размытая. Вспомните Оскара Писториуса — настоящего символа параолимпийского движения, увы, вовлечённого сейчас в ужасный судебный процесс (его подозревают в убийстве подруги). Ещё в младенчестве Оскару ампутировали обе ноги — и тем не менее он бегает. И бегает чуть ли не быстрее всех живущих — с помощью высокотехнологичных протезов: двух пластин из углепластика. Не смотрите, что в них нет электроники, они и без электроники работают отлично, выполняя функцию живой ноги (поглощают энергию шага и возвращают часть её телу). Такие протезы называют клинками или лезвиями (blades), а самого Писториуса, соответственно, за глаза уважительно именуют Бегущим по лезвию (Blade runner).
Так вот, именно Писториус одним из первых привлёк внимание к проблеме злоупотребления технологиями в спорте (кое-кто сегодня называет это технологическим допингом). Пару лет назад, потерпев непривычное для себя поражение, Оскар сгоряча обвинил соперника в том, что у того... слишком длинные ноги. Он, мол, надел неоправданно длинные клинки, чем, естественно, удлинил шаг (подробнее см. «Не считово! Паралимпиада, длинные ноги и длинные языки»).
С обычными спортсменами такое обвинение невозможно: уж что есть, то есть! С параолимпийцами сложней. Разрешённую длину клинков для них рассчитывают по формуле, учитывающей пропорции тела. Но результат всё равно получается... как бы лучше сказать... теоретическим. Ну не в силах никто, кроме, может быть, Господа Бога, знать, какого роста был бы конкретный экземпляр Homo sapiens, будь у него свои — органические, из плоти, крови и костей — ноги!
Слишком длинными конечностями тема не ограничивается. К примеру, того же Писториуса, который при случае не прочь потягаться силами с «полноценными» спринтерами, некоторые обвиняют в нечестном преимуществе: углепластиковый протез предположительно работает лучше настоящей ноги. Проблема технодопинга уже коснулась и олимпийцев. Им протезы не нужны, у них загвоздка в костюмах. Костюмы для большого спорта проектируются почти как космическая техника: нанотехнологии, композитные материалы, выверенные цифровым моделированием и продувкой в аэродинамической трубе свойства и т. д. Иногда ставка на высокие технологии приводит к казусам. Так случилось с американскими конькобежцами на Олимпиаде в Сочи: они держали свои хайтек-костюмы в секрете до самых состязаний, но когда наконец вышли в них на лёд, оказалось, что те «парусят».
Впрочем, чаще технологии себя всё-таки оправдывают. Несколько лет назад фурор произвёл костюм для пловцов LZR Racer Suit — благодаря множеству чисто технических находок снизивший сопротивление тела пловца набегающему потоку и помогший установить множество мировых рекордов. В результате спортрегуляторы были вынуждены переписывать правила в сторону ужесточения.
Да, в классическом спорте на технические уловки смотрят косо. А вот Кибатлон сделает их уместными и даже необходимыми. Побеждать тут будут не просто сильнейшие спортсмены, а сильнейшие, экипированные техникой от сильнейших инженеров!
Согласитесь, смысл, потребность в таких состязаниях давно назрела: ведь не год, не два, даже не десять лет техника помогает людям с ограниченными возможностями выживать, вписываться в общество. И если на улице нет запрета на расширение возможностей сверх «среднестатистических природных», почему он должен существовать в спорте? Человеческое тело в Кибатлоне станет своего рода каркасом, на который будут навешивать электронику и механику. Но почему бы и нет, раз уж мы всё равно это умеем и давно используем? Пусть классические виды спорта открыто станут состязанием не только органики, но и кремния, стали, тактовых частот. Вот, кстати, почему награды в Кибатлоне планируется присуждать в двух номинациях одновременно: один комплект — спортсменам (их предложено именовать «пилотами»), другой — специалистам, построившим техническую часть: инженерам, программистам, дизайнерам.
Пока в Кибатлоне планируется шесть дисциплин, разделяющих спортсменов по степени подвижности. Участники, сохранившие подвижность полностью, но лишённые рук или ног, будут соревноваться, используя протезы конечностей (скорость, координация и пр.). Ограниченные в подвижности частично посостязаются в креслах-каталках и на велосипедах (в последнем случае посредством электростимуляции мускулатуры ног), а также облачившись в экзоскелет. Наконец, полностью парализованные спортсмены наденут «мыслешлемы», считывающие активность головного мозга, и посоревнуются в управлении виртуальными объектами на компьютерном экране.
Звучит странно и, возможно, даже глупо? Но дайте время! Снимая ограничение на расширение возможностей человека выше умозрительного природного максимума с помощью технических средств, мы выходим на бескрайний и абсолютно неисследованный простор. Необычно длинные углепластиковые клинки, необыкновенно (по сравнению с человеческим) сильный или быстрый экзоскелет, подключенные к нервной системе электромеханические протезы — это только начало. Кто поручится, что пять лет спустя, участвуя в Кибатлоне, спортсмены с невысоким IQ (официальное требование Параолимпиады, кстати) не станут расширять свои интеллектуальные возможности, стыкуя с подкоркой внешние электронные блоки через нейроэлектронный интерфейс?
Непосредственный выигрыш от таких состязаний — в ускорении технического прогресса и возвращении технологий в общество (не случайно среди организаторов Cybathlon Национальный научный фонд Швейцарии). Так же, как углепластиковые протезы уже используются не только спортсменами, находки Кибатлона в конце концов проникнут на массовый рынок — и помогут простым людям. И уж тут само понятие «человека с ограниченными возможностями» сменит смысл: по сравнению с киборгами ограниченными будем считаться все мы.
Гуманоидные роботы по гуманной цене
Прошлый год завершился для Google покупкой семи компаний, занимающихся проектированием роботов. Главным приобретением стала фирма Boston Dynamics, об успехах которой «Компьютерра» много писала в связи с созданием её инженерами перспективных моделей по заказу DARPA. Наиболее совершенной из них стал гуманоидный Atlas. Вслед за этим Google поглотила другую фирму, создавшую человекоподобного робота SCHAFT и завершила усиление своих позиций покупкой компании Meka Robotics. Однако на рынке робототехники есть и другие сильные игроки с оригинальными идеями и общим видением ситуации.
Антропоморфный Atlas впечатляет не только умениями, но и стоимостью, превышающей миллион долларов. Из-за высокой потребляемой мощности (около 15 кВт) его повседневное использование просто нецелесообразно. Разработчики позиционируют его как спасателя, действующего в условиях аварий на производстве и техногенных катастроф. Но не проще ли заранее оснастить аварийно-опасные участки более дешёвыми роботами?
Поделиться книгой: