habrahabr

Карстен Ноль: корпорации против людей, угрозы USB и недостатки биометрии

  • суббота, 5 сентября 2015 г. в 02:12:45
http://habrahabr.ru/company/pt/blog/266135/



В издании Atlas Obscura вышло интервью немецкого специалиста по шифрованию и защите данных Карстена Ноля. Этот эксперт занимается самыми разными проектами в области информационной безопасности — от разработки «USB-презерватива» до помощи в организации защищенного подключения миллиарда новых пользователей к интернету в Индии. Мы представляем вашему вниманию основные мысли из разговора с Карстеном.

Компании создают риски, а страдают от них люди


Риски везде. Кредитные карты можно клонировать, автомобиль может попасть в аварию, даже и без участия хакеров. Риск есть всегда, но нужно понимать, когда риск приемлем и когда у этого риска правильный владелец. Мы критикуем большие компании, например, телекоммуникационных гигантов вроде AT&T, или крупные банки, когда они создают риски и затем заставляют страдать от них обычных людей, своих клиентов.

Каждый раз, когда к компании попадает персональная информация пользователя, возникает риск, иногда даже передача может быть рискованной. Даже сейчас в ходе этого интервью мы разговариваем по Skype — так что мы доверяем Microsoft нашу частную информацию, а они могут защитить, а могут и не защитить ее. Если наш разговор куда-нибудь «утечет», и возникнут негативные последствия, страдать от этого буду я и журналист — а Microsoft, по большому счету, наплевать на конфиденциальность нашего разговора.

Крупные организации редко сами просят проверить их системы


Обычно мы находимся в позиции ищеек — так бывает чаще всего. Изначально мы занимались этим, не думая о заработке. Как несложно догадаться, когда ты рассказываешь о проблемах больших компаний, можно попасть на первые полосы в СМИ, но не заработать денег.

Иногда после наших исследований, но только после них — никогда в качестве первого шага — мы помогаем некоторым компаниям глубже изучить свои системы и найти в них проблемы. Но далеко не каждая организация в этом заинтересована. Если бы это было не так, то и проблем бы не было.

Но в любой отрасли всегда есть несколько людей, которые хотят выделяться из серой массы и действительно заботятся о своих клиентах, или, что скорее, желают получить маркетинговое преимущество, которое поможет бизнесу и покажет, что им можно доверять.

О выборе профессии исследователя безопасности


Вообще, в детстве я хотел быть изобретателем. Знаете, дети романтизируют эту профессию. Но потом, начиная заниматься инженерией, вы понимаете, что главная функциональность создается программным обеспечением. Так что в простом соединении электрических и механических частей нет особой магии — магия заключается в софте, который на всем этом работает. Так я и начал заниматься настоящей наукой.

Угрозы безопасности в развивающихся странах


Индия сейчас находится на пороге того, чтобы стать подключенной к интернету страной. Там много пользователей сети, но огромная часть очень крупного населения еще не подключена.

В стране 950 миллионов телефонов — почти миллиард, из которых только 5% могут работать с интернетом. Так что мы имеем почти миллиард человек, готовых стать пользователями, как только вы дадите им смартфон и немного денег на оплату интернет подключения. Эти люди станут следующей крупной частью интернета.



Но они также столкнутся и с проблемами, с которыми мы на Западе в свое время не сталкивались в момент первого подключения к сети. Например, первые мои пароли в девяностых были просто отстойными, но дело в том, что их никто тогда и не пытался взламывать!

Мне не надо было беспокоиться о фишинге, я открывал каждый email, потому что я их тогда и получал-то немного. Спама почти не было, и уж конечно, никакого фишинга. Я рос вместе с интернетом, который постепенно становился все более опасным. В итоге, теперь я могу вести себя так, чтобы более-менее обеспечить безопасность.

Но тот, кто в наши дни попадет в интернет впервые, не будет иметь такой роскоши, особенно тот, кто не разбирается в технологиях, и пока что с трудом пользуется планшетом или компьютером.

Проблемы биометрии


Несколько лет назад, все в той же Индии, правительство запустило систему регистрации граждан — первую в своем роде. До этого момента у властей не было особенной информации о том, кто вообще живет в стране. Благодаря такой правительственной базе данных им удалось собрать данные примерно о половине населения, и цифры растут. В базе, помимо прочего, хранятся отпечатки всех десяти пальцев человека, а также изображение сетчатки глаз, в общем, полная биометрическая база данных.

Правительство разрабатывает базу данных, а телекоммуникационные компании (которым я помогаю) должны собирать данные — сейчас в Индии вы не купите телефон без того, чтобы у вас не сняли отпечатки и не отсканировали сетчатку. Затем ваши данные передаются по, возможно, безопасным каналам, хранятся, возможно, безопасным образом.

Такая база может в будущем облегчить жизнь гражданам — например, если будет реализована инфраструктура для оплаты покупок с помощью отпечатков пальцев. Никаких паролей — к тому же в Индии к ним никто и не привык. Это как Facebook — сейчас мы вбиваем пароль от соцсети на куче сайтов, чтобы удобнее ими пользоваться. В Индии все чуть иначе, там вместо Facebook правительство, а вместо паролей — отпечатки.



Но вполне вероятно, что кто-то сможет украсть биометрическую информацию почти 600 млн человек. А отпечатки пальцев нельзя сменить, как пароль — об этом нужно помнить при создании подобных систем с нуля и такими быстрыми темпами.

Чем опасен USB


Риск заключается в следующем: все, что вы вставляете в USB-порт, может маскироваться под любое количество устройств. В старые добрые дни вы вставляли в параллельный порт принтер, устанавливали драйверы — как пользователь, вы были задействованы в процессе.

Но стандарт USB убрал всю эту дополнительную работу. Теперь человек подключает что-то с помощью USB-порта, будь это внешний диск, клавиатура или принтер, все работает сразу «из коробки». Это здорово, но в какой-то степени теряется контроль над тем, что подключается к компьютеру. Пользователь видит только физическую форму подключаемого устройства и понимает, что «ага, я подключаю внешний диск или принтер».

Но все может быть не так просто — поэтому мы разработали усройство SyncTop («USB-презерватив»), который позволяет безопасно подключать USB-устройства.

Наши исследования показали, что существует возможность создания вирусов, которые будут «жить» в железе подключаемых устройств. В таком случае не поможет даже переустановка системы — вы ее поставили заново, а вирус так и сидит, например, в веб-камере.

Пока еще случаи подобных атак довольно редки, но в утекших документах АНБ содержались свидетельства того, что они использовали взлом USB.



Кстати, не так давно в прессе обсуждалась ситуация, когда одна правительственная компания уничтожила все свои компьютеры и сопутствующее железо. Они не переустановили ОС, а натурально все уничтожили. Многие их критиковали за бездумные траты денег налогоплательщиков на новое оборудование.

Но вообще, мысль о том, что могут существовать бэкдоры, которые находятся непосредственно в железе, беспокоит многих людей. Железо же повсюду, правильно? Это как ситуация, когда больной Эбола человек бегает по оживленной улице или в аэропорту. Кто знает, что будет дальше? Может быть умрут тысячи людей, а может ничего не произойдет. Никто не знает. Но сама возможность уже пугает.


Карстен Ноль выступал на форуме PHDays IV, который состоялся в 2014 году в Москве. На мероприятии исследователь рассказал об атаках на мобильные сети и способах обхода традиционных мер защиты, предпринимаемых операторами связи. Ниже представлена запись выступления (слайды презентации можно посмотреть здесь):