Коллектив авторов - Защита от хакеров корпоративных сетей
Примечание
В большинстве случаев люди могут распознать характерные черты голоса своего собеседника, несмотря на значительные случайные и неслучайные искажения звука. Используя техническую терминологию, люди способны к обучению и последующему сопоставлению сложных нелинейных характеристик тембра и особенностей произношения человеческой речи во время разговора при условии разумного количества образцов речи собеседников, достаточного времени и мотивации для анализа голоса. Этот процесс асимметричен, и в этом скрывается глубокий смысл. Возможность распознать голос собеседника в общем случае не означает возможности воспроизвести его (хотя некоторое подражание возможно).
Речь, конечно, не совершенна. Коллизии, или случаи наличия у нескольких людей похожих голосов либо манеры разговора (в нашем случае образцов голоса), – не такая уж редкость. Но человек – это система с универсальной способностью уяснения смысла содержания каждого сказанного слова по его характерным признакам. Она является классическим примером ключевого свойства, которое, помимо всего прочего, позволяет значительно упростить апостериорные исследования реального мира. Человеку свойственна не зависящая от него способность оставлять после себя свои данные идентификации. Когда человек открывает рот, он произносит слова своим голосом. Касаясь стола, клавиатуры или пульта дистанционного управления, он отставляет на них маслянистые выделения и уникальные отпечатки своих пальцев. Когда человек заходит в магазин, его узнает знакомый продавец и, возможно, кто-то из ранее видевших его покупателей. Сказанное мало зависит от человека. Обычно так бывает всегда. Но знакомый продавец или кто-то другой, отличный от этого человека, не сможет ни выглядеть как он, ни что-то так сделать со своими отпечатками пальцев, чтобы они соответствовали его отпечаткам. Что и говорить, идентификационные данные каждого человека очень важны, но они асимметричны. Идентификационные данные человека, которым можно успешно подражать, просто наблюдая за ним, как, например, использование любимых фраз или похожей манеры одеваться, имеют небольшое значение для отличия одного человека от другого. Человеческое доверие основано на универсальных признаках или признаках, близких к универсальным. Почти невозможно представить себе, как можно узнать человека, не видя его лица. Те, кто скрывают свои лица, внушают страх и ужас. Пока человек молчит, существует бесчисленное число предположений относительно его голоса вплоть до случая, когда голос гиганта-боксера внезапно оказывается пронзительным и писклявым. Отпечатки пальцев настолько уникальны, что число их всевозможных вариантов значительно больше числа вариантов черт лица или звучаний голоса.
Решение, кому доверять, а кому – нет, может быть вопросом жизни и смерти. Поэтому неудивительно, что люди как порождение общества обладают поразительно сложной системой определения, запоминания и оценки других личностей по признакам, которыми они их наделяют. Вне всяких сомнений, у младенца исключительные способности различать человеческие лица. Но человек ограничен в своих возможностях: его память не безгранична, так же как и присущая ему энергия и время, которым он располагает. Как и в большинстве других случаев, когда поведение человека может быть упрощено до уровня механических процедур, на помощь могут быть призваны технологические методы для представления, передачи и установления идентичности объекта во времени и пространстве.
Обладание человека вышеперечисленными возможностями еще ничего не говорит о том, что они будут правильно использоваться, особенно при враждебных средах, описываемых в этой книге. Обычно программисты создают свои задачи для так называемой системы Мэрфи (Murphy's Computer), применительно к которой предполагается, что все, что может идти не так, как надо, обязательно произойдет. Это выглядит пессимистично, но в этом кроется сущность всех ошибок идентификации, от которых происходят бреши в системе защиты. Вместо этого Росс Андерсон (Ross Anderson) и Роджер Нидхам (Roger Needham) предлагают, чтобы программы были разработаны не для компьютера Мэрфи, а, скажем, для компьютера Сатаны (Satan's Computer). Только кажется, что компьютер Сатаны работает правильно. На самом деле все работает не так, как надо.
Установление идентичности в компьютерных сетях
В отличие от привыкших доверять друг другу людей, проблема установления идентичности в компьютерных сетях основана не на случайных признаках (например, как выглядит человек, каковы его характерные черты и т. д.). Она основана на том, что все передаваемые через компьютерную сеть биты можно выбирать недвусмысленным образом и объективно оценивать, читать и размножать с заданной точностью. Подобная переносимость битов составляет центральный принцип цифровых отношений. Нетерпимость даже к небольшим ухудшениям цифровых сигналов является их важным отличием от капризов аналогового мира. За счет явного цифрового представления всех компонент сигнала он может усиливаться и ретранслироваться бесконечное число раз в отличие от аналогового мира, в котором усиление сигнала выше некоторого предела становится невозможным из-за заглушения полезного сигнала шумом теплового движения. Но если все может быть сохранено, скопировано, повторено или разрушено, то не требуется большого ума, чтобы понять, что с этим могут сделать или не сделать получатели этих битов.
Неожиданно кажущийся сверхъестественным факт наличия у данных возможности промчаться через полмира за миллисекунды теряет свою необычность, если осознать, что подобное путешествие могут совершить только сами данные. Любые вспомогательные данные сигнала, которые могли бы уникально идентифицировать хост отправителя, и дополнительные идентификационные данные работающего за компьютером пользователя либо включены в данные, либо утеряны в первой точке цифрового дублирования (это может быть маршрутизатор, коммутатор или работающий повторитель).
Если человеку сопутствует случайная передача идентификационных данных, то в компьютерных системах ее нет совсем, потому что в них случайностей не бывает. Если для человека критична асимметричность, то в компьютерных сетях каждый бит в одинаковой степени можно копировать. Что еще надо? При нахождении универсальной закономерности бесконечные переменные или полностью стандартизированная структура пакета приводит к краху доверия.
Это не означает, что идентификационные данные в оперативном режиме не могут быть повторно переданы или представлены. Это означает, что до тех пор, пока не будут предприняты эффективные меры установления и сохранения идентификационных данных внутри самих передаваемых данных, у получателя каждого сообщения не будет возможности идентифицировать отправителя полученного сообщения. По большей части любые случайные инциденты не вызывают доверия. Хотя целый класс анализа уязвимостей концентрируется вокруг использования случайных отклонений в поведении TCP/IP, позволяя определить тип операционной системы удаленного хоста. Можно найти одну характерную особенность: легитимным удаленным хостам соединение нужно либо для получения, либо для отправки данных. Здесь может быть заложена асимметричность. Возможно, что с помощью асимметричных способов в значительной степени удастся добиться того, что легитимный пользователь сравнительно легко сможет получить предназначенные ему данные, потому что в сетях по правильному направлению данные будут передаваться значительно быстрее, чем по неверному. Вероятно, что будет потребовано возвращение какой-либо части данных обратно или будет затребован пароль, которым доверенная сторона будет располагать с большей вероятностью, чем недоверенная. В криптографии есть даже раздел, основанный на использовании внутренней асимметричности. Этот раздел применяется для представления доверительных отношений (одно– или двусторонних связей между доменами, позволяющими осуществлять сквозную аутентификацию). Подобных методов много, и вкратце они будут рассмотрены.
...Примечание
Остаточная аналоговая информация, присущая передаваемым данным до начала работы цифровых повторителей, теряется не всегда. Как известно, в сотовой связи контролируются характеристики передаваемого клиентскими сотовыми телефонами сигнала, ищутся случаи клонирования сигнала сотовым телефоном, радиочастотные характеристики которого не совпадают с характеристиками законного телефона. Различие между характеристиками, которые легко скопировать программным способом, и физическими характеристиками аппаратных средств, которые скопировать почти невозможно, делает контроль аналогового сигнала хорошим методом проверки несанкционированного клонирования контролируемого телефона. Это вполне выполнимо, потому что для любого сотового телефона его оператор сотовой связи является единственным, а контролируемый телефон в один и тот же момент времени может использовать только один номер сотовой связи. Если у абонента нет достаточных законных оснований для переключения выделенной ему линии, то мошенничество может быть разоблачено на основе выявленных различий в аналоговых сигналах.
