Еще свежа в памяти поучительная история ритейлера T. J. Maxx и других супермаркетов, из чьих беспроводных сетей мошенники многие месяцы тягали номера кредиток (см. "КТ" #746). Брешью в их защите стал стандарт WEP (предок WPA), который давно дискредитировал себя в качестве стража для WiFi-сетей. И вот история повторяется с WPA? Страсти несколько поутихли после того, как Теус с коллегой пояснили, что журналисты, поднявшие было панику, преувеличили потенциальную опасность. О полной компрометации WPA речи не идет, однако первая серьезная зазубрина на его имидже поставлена.
Используя метод немцев, злоумышленник будет серьезно ограничен в своих действиях, но все же сможет скармливать клиентам беспроводной сети, защищенной по стандарту WPA, фальшивые служебные пакеты, проводя с их помощью ряд атак. Подробное описание алгоритма было озвучено на конференции PacSec, прошедшей в Токио в середине ноября. Кроме того, метод уже частично реализован в пакете утилит Aircrack-ng, соавтором которого является Бек.
Комментируя свою работу, исследователи отмечают, что сеть с большим числом клиентов, в которой передаются значительные объемы данных, может обладать иммунитетом к разработанному ими методу. Может помочь и настройка точки доступа на частую смену сессионных ключей. Однако полную гарантию дает только стандарт WPA2, благодаря примененному в нем алгоритму шифрования AES. ЕЗ
С недавних пор регистрация в социальной сети "Одноклассники" стала платной. По словам администрации сайта, мера эта вынужденная, - мол, владельцы ресурса уже не видят иных путей для борьбы со спамом, с которым наверняка сталкивался каждый посетитель. Вот только не оставляет подозрение, что нам в очередной раз вешают лапшу на уши, а истинный мотив такого шага стар как мир - срубить побольше бабла. За последнее время "Одноклассники" обросли кучей фич, за которые предложено расплачиваться эсэмэсками. Таким же образом предлагается теперь платить и за регистрацию нового аккаунта - до 35 рублей в зависимости от сотового оператора. АБ
***
Любопытную программу - "машину красоты" - разработали ученые из Тель-Авивского университета. Приложение поможет сделать лицо на снимке красивее и пригодится пластическим хирургам, фотохудожникам и даже может быть встроено в цифровые "мыльницы".
О том, что такое красота, философы и художники спорят уже не одно столетие. Израильские исследователи решили не заморачиваться вечными проблемами, а подойти к вопросу, вооружившись статистикой. Они попросили семь десятков добровольцев обоих полов в возрасте от 25 до 40 лет просмотреть сотню фотографий и оценить каждую по семибалльной шкале. Оценки занесли в базу данных и проследили их корреляцию с 250 различными численными характеристиками, такими как размеры носа и подбородка, расстояние от глаз до ушей и т. д. Полученные взаимосвязи легли в основу приложения, которое слегка изменяет пропорции лица так, чтобы, сохраняя узнаваемость человека, приблизить его изображение к вкусу обывателей.
Результаты работы программы вновь продемонстрировали добровольцам, и в большинстве случаев модифицированные снимки получили одобрительные оценки. Любопытно, что это касается только лиц неизвестных людей. Если софт использовали для изменения фотографий знаменитостей вроде Бриджит Бардо или Вуди Аллена, итоговое изображение почти всегда воспринималось в штыки. Вероятно, в этом случае сказывается привычка к знакомому образу. Впрочем, это не сильно расстроило авторов проекта, которые теперь собираются поработать над новым трехмерным вариантом программы. ГА
***
NASA планирует создать виртуального психолога, который поможет космонавтам сохранять душевное равновесие во время межпланетных миссий. На реализацию проекта, названного Virtual Space Station, выделено примерно 1,7 млн. долларов. Ранние версии системы уже тестировались персоналом арктических станций, который дал положительную оценку ее работе.
Очевидно, что длительное пребывание вдали от близких людей, да еще в спартанских условиях, когда невозможно расслабиться или побыть наедине со своими мыслями, - тяжкое испытание для астронавтов. Даже сильные духом не застрахованы от хандры, которая может перерасти в конфликты между членами экипажа. Создатели Virtual Space Station рассчитывают, что их детище позволит своевременно разрешать возникающие психологические проблемы. Виртуальный врачеватель душ, опираясь на жалобы нуждающегося в психологической помощи астронавта, поможет выработать эффективный план борьбы с навалившейся депрессией.
Системы, использующие схожие алгоритмы, будут полезны не только в звездных путешествиях, но и на Земле. Например, к их услугам могут прибегнуть жители отдаленных районов, лишенные возможности попасть на прием к квалифицированному специалисту. Либо это могут быть пациенты, которые стесняются рассказывать о своих проблемах другому человеку. Конечно, подобное решение лишь полумера, но это все-таки лучше, чем оставлять людей один на один с их проблемами. А
БЕЗОПАСНОСТЬ : При помощи палки и веревки
Автор: Киви Берд
Компания Dell начала выпуск так называемых самошифрующих (self-encrypting) компьютеров. Все данные на их жестких дисках защищены встроенными аппаратными криптосредствами. Для этого ноутбуки линеек Latitude и Precision, а также десктопы OptiPlex 960 оснащают винчестерами Seagate Momentus, в которых реализована соответствующая технология. По заверениям Seagate, в таких хардах используется криптография "правительственного уровня стойкости" на основе стандартного алгоритма AES со 128-битным ключом. Причем особо отмечается, что поскольку криптоключ хранится в самом устройстве и не передается в память компьютера, такой системе не страшны даже новые атаки типа "холодной загрузки", когда злоумышленники замораживают DRAM-чипы памяти и могут считывать оттуда ключи, перезагрузив компьютер и избежав таким образом контроля операционной системы (см. "КТ" #725).
Иначе говоря, на массовом рынке начинают появляться доступные системы, обеспечивающие серьезное шифрование данных на аппаратном уровне, что ранее было по карману лишь правительственным структурам и корпорациям. Аппаратная криптография особенно хороша тем, что "прозрачна" для законных пользователей и не требует от них никаких дополнительных знаний и навыков, обычно предполагаемых при использовании программных средств шифрования.
С другой стороны, всегда полезно помнить, что сколь бы замечательной и стойкой ни была криптография в новых компьютерах, абсолютной защиты она предоставить не в силах. Подавляющее большинство используемых сегодня криптосредств разработаны в предположении, что ключ известен только законному пользователю, а тот, в свою очередь, по своей воле этот ключ не раскроет, если компьютер или жесткий диск с данными попали в чужие руки. Иными словами, оценка криптографической стойкости системы строится на допущении, что ключ или пароль доступа не будут выбивать из владельца силой.
То, что допущение это является сугубо теоретическим и, мягко говоря, оторванным от реальной жизни, криптографы-практики прекрасно понимают и обычно обсуждают данную проблему в терминах стойкости к "криптоанализу резиновым шлангом" (rubber-hose cryptanalysis). Избиение резиновым шлангом ступней ног практикуется служителями закона в тех странах, где при появлении в суде на задержанном человеке не должно быть явных следов побоев. При обсуждении этой же проблемы на русскоязычных форумах, где силовое выбивание паролей чаще всего связано с бандитскими разборками, то же самое явление именуют более цинично - "терморектальный криптоанализ", или, проще говоря, паяльник, засунутый жертве в задний проход. Вспоминая, наконец, советскую классику и похождения плутоватого мудреца Ходжи Насреддина, можно употребить и еще один весьма популярный в народе термин - "с помощью веревочной петли и палки".
Привлечение постсоветских и восточных аллюзий понадобилось здесь вот по какой причине. Некогда житель СССР, а ныне гражданин самостийной Украины Максим Ястремский (в Интернете более известный под ником Maksik) в прошлом году был арестован турецкой полицией как опаснейший криминальный хакер, находившийся в международном розыске. За прошедшее с той поры время арестованы еще два подельника Ястремского - гражданин Эстонии Александр Суворов (JonnyHell) и американец Альберт Гонсалес (Segvec). Все они обвиняются властями США в сговоре и компьютерном мошенничестве с целью массовых хищений и перепродаж реквизитов кредитных карт, что нанесло ущерб обворованным банкам, торговым сетям и частным лицам на миллионы долларов.
Большой технической проблемой при расследовании данного дела было то, что вся информация, содержавшаяся в изъятом при аресте компьютере Ястремского, которая могла помочь следствию, была надежно зашифрована. О том, как эта проблема была решена, стало известно лишь недавно.