Коллектив Авторов - Цифровой журнал «Компьютерра» № 199

Пламмер-Фернандес поясняет, что надёжность алгоритма обусловлена его простотой и отсутствием проверки правильности результата. Вы никогда не увидите сообщения «Введённый пароль неверен» и не получите повода попробовать другой:

«Внесённые алгоритмом искажения могут быть отменены только тем, кто знаете исходные параметры шифрования, использованные отправителем. Для повышения надёжности процедура изменения положения вершин может быть выполнена несколько раз».

Пока программа работает в среде ОS X, но в планах её автора написать дистрибутивы для Linux и Windows.

К оглавлению

Пять компьютерных «страшилок», которые оказались правдой

Олег Нечай

Опубликовано 11 ноября 2013

Любые новейшие технологии и механизмы всегда окружал своеобразный ореол таинственности — особенно если они были не слишком понятны неспециалисту. Отсюда легенды о коварных роботах, вышедших из повиновения, радиопередачах, превращающих людей в зомби, и видеозаписях, заставляющих совершать самоубийства. В подавляющем большинстве случаев это не более чем сюжеты для дешёвых «ужастиков», однако некоторые истории, которые поначалу кажутся такими же глупыми «страшилками», на самом деле оказываются правдой. Вот лишь пять таких историй.

С первым же появлением в широкой продаже компьютерных веб-камер стали циркулировать упорные слухи о том, что к любой такой камере могут подключаться злоумышленники, чтобы шпионить за ничего не подозревающим владельцем. Сегодня, когда камеры встраиваются во все ноутбуки, планшеты и смартфоны, уровень общественной паранойи вырос на порядок.

Между тем, как показала жизнь, в этой «страшилке» есть и доля истины: действительно, уязвимости в устройстве или бреши в защите из-за ошибок производителя или недостаточной квалификации пользователя в целом ряде случаев позволяют хакерам несанкционированно подключаться к веб-камерам и вести через них скрытое наблюдение. Кроме того, с помощью средств удалённого администрирования технически подготовленный злоумышленник способен полностью подчинить незащищённый компьютер своей воле, причём его владелец может даже и не догадываться об этом. Хакер может просто молча наблюдать за своими жертвами, а может и выводить на экран какие-нибудь пугающие сообщения или порнографию, открывать и закрывать лоток DVD-привода и даже выкладывать снимки из личной жизни в различных форумах. 

В 2010 году 33-летний шотладский хакер Мэтью Андерсон, входящий в состав международной группы, был приговорён к 18-месячному тюремному заключению за рассылку спама, заразившего вирусами более двухсот тысяч компьютеров. Сами сообщения выглядели вполне невинно, однако если получатель открывал их, то они заражали машину вирусом, который невозможно было обнаружить в течение двух дней.

Андерсон копировал все личные файлы своих жертв, включая медицинские документы и завещания, и, конечно же, делал фотографии при помощи встроенных веб-камер. Среди файлов, обнаруженных у хакера, были снимки девочки в школьной форме, семейные фотографии матери с новорожденным в больнице и разнообразные интимные фото сексуального характера.

Некоторые хакеры идут дальше и пытаются шантажировать своих жертв угрозами обнародовать компрометирующие фотографии и документы, если те не заплатят им крупные суммы денег. Так что если вы держите свой компьютер в спальне, есть смысл закрывать веб-камеру каким-то предметами или заклеивать непрозрачной лентой. И, конечно, никогда не открывайте странные электронные письма и регулярно обновляйте антивирусные программы.

Однако заражать компьютеры вирусами могут не только отдельные злоумышленники-кибертеррористы: это могут быть и вполне официальные государственные агентства, причём не из каких-то карикатурных стран-изгоев, а из вполне респектабельных западных демократий.

Самая скандальная на сегодня история связана с червём Stuxnet, активно применяющимся спецслужбами США примерно с 2007 года. Заслуживающие доверия источники подтверждают, что именно Stuxnet был использован для кибератак по ядерным объектам в Иране. В частности, ещё в 2010 году червь вывел из строя двигатели сотни урановых центрифуг на Бушерской АЭС, что, по мнению экспертов, сильно замедлило развитие ядерной программы Ирана. При этом для сбора сведений о компьютерных сетях страны был использован ещё один червь под названием Flame, разработанный совместно спецслужбами США и Израиля. В конце 2012 года представители Ирана обвинили эти страны в повторном использовании червей против электростанций и других промышленных объектов. При этом, как они утверждали, распространение вирусов было предотвращено благодаря принятым заранее мерам.

Черви Stuxnet и Flame, запущенные параллельно, были сконструированы таким образом, чтобы поражать только системы с определёнными характеристиками, среди которых назывались операционная система Windows и промышленное программное обеспечение фирмы Siemens, предназначенное для управления отдельными категориями оборудования. При этом на заражённой Stuxnet машине в код программ вносились такие изменения, которые изменяли или отключали целый ряд их функций.

Это была лишь самая крупная кибератака одного государства на другое, получившая широкую известность, но нет никаких сомнений в том, что в будущем число и масштабы таких атак будут только расти.

Скандальные разоблачения Сноудена, «утечки» WikiLeaks, система перехвата данных интернет-компаний PRISM — сегодня уже не для кого не секрет, что у спецслужб ведущих мировых держав «под колпаком» практически всё население земного шара. Лучше всего профессиональным шпионам известны биографии людей, так или иначе пользующихся интернетом, особенно проявляющих активность в социальных сетях. Чуть меньше информации о тех, кто избегает интернета, но при этом ходит по улицам городов и ездит на автомобиле, посещает общественные места и оплачивает покупки банковскими картами. 

Между тем большая часть собираемых спецслужбами данных интересует вовсе не государственные агентства: всё чаще достоянием общественности становятся случаи, когда такая информация неправомерно используется в личных целях сотрудниками этих агентств. 

В сентябре 2013 года Агентство национальной безопасности США в ответ на запрос сенатора Чака Грэсли прислало доклад, в котором признаёт двенадцать выявленных отделом собственной безопасности случаев умышленного незаконного использования систем внешней разведки. При этом идёт расследование ещё двух подобных инцидентов и рассматривается необходимость изучения ещё одного случая. Шесть дел направлено в Министерство юстиции для принятия мер, хотя пока ни о каком наказании нарушителей ничего не известно.

Чаще всего речь идёт о «романтических нарушениях»: один из сотрудников АНБ установил прослушку девяти телефонных номеров, принадлежащих иностранным гражданкам, без какого-либо законного основания. Другая сотрудница разведки начала прослушивать зарубежный телефонный номер, который она обнаружила в аппарате мужа, подозревая супруга в неверности. Ещё один работник АНБ в первый же день на службе взломал шесть ящиков электронной почты, принадлежавших его бывшей подруге, мотивировав свой поступок желанием «попрактиковаться в использовании системы».

Подобными «подвигами» прославились не только американцы: в 2011 году немецкий хакерский клуб Chaos Computer Club обнародовал сведения о том, что полиция ФРГ использует для слежки за объектами специальное программное обеспечение — «троян», взламывающий веб-камеры и микрофоны компьютеров, а также способный делать скриншоты и отслеживать нажатия клавиатуры. Баварские власти признали факт использования вирусного ПО для прослушивания телефонных звонков и взлома электронной почты подозреваемых: по некоторым данным, были собраны тысячи скриншотов, свидетельствующих о криминальной деятельности граждан.

По решению Федерального конституционного суда, такие действия полиции выходят за рамки полномочий, которые предоставлены в Германии полицейским властям. А по утверждению представителей Chaos Computer Club, «полицейский червь» к тому же оставляет взломанные машины открытыми для других хакерских атак — как если бы полицейские в офлайне оставляли выбитой реальную дверь после проведения обыска. 

Увы, в самих «органах» не считают подобную практику порочной — даже несмотря на то, что полученная таким способом информация не может служить доказательством в суде. И это в странах с действительно независимой судебной системой — что уж говорить о тех государствах, где «суд» занят исключительно утверждением обвинительных заключений, игнорируя все процессуальные требования.