Заключенным тоже не чужда тяга к высоким технологиям. Двое узников тюрьмы Марион в американском штате Огайо вручную собрали компьютеры, чтобы выходить в интернет, смотреть порно и читать статьи. Благодаря программе реабилитации заключенных, в рамках которой они разбирают старые компьютеры на комплектующие для переработки (RET3), Адаму Джонсону (Adam Johnston) и Скотту Сприггсу (Scott Spriggs) удалось собрать два полностью функциональных компьютера.
Словно секретные агенты, они погрузили все необходимые комплектующие в тележку и незаметно провезли ее мимо охраны и металлодетекторов. После этого они собрали ПК и спрятали их в потолке, затем провели интернет-кабели. Для подключения к тюремной сети они использовали логин и пароль, который подсмотрели у одного из сотрудников.
Компьютеры использовали на всю катушку: смотрели фильмы, сериалы и порно, изучали инструкции по изготовлению оружия, взрывчатки и наркотиков в даркнете через Tor. На ПК были обнаружены всевозможные хакерские «примочки»: самоподписанные сертификаты, VPN-инструменты, биткоин-кошельки, банковские счета и многое другое.
Отдельного упоминания заслуживает то, что с компьютеров заключенные читали заметки на Bloomberg. Это помогло им оформить пять кредитных карт, зная лишь номера социального страхования и дату рождения тюремщиков, которые они похитили из внутренней базы.
Хакеров-арестантов рассекретили спустя четыре месяца: администраторы сети в какой-то момент заметили, что с определенного времени по неизвестной причине на одном из компьютеров превышается лимит трафика. Сотрудники получали уведомление о том, что к сети подключилось новое устройство, но не придали этому значения. И лишь когда тюремщики начали проводить проверки всей тюремной сети, по витой паре нашли те самые компьютеры, спрятанные под потолком.
История в самом деле презанятная. Но в данной истории есть парочка лаж.
Лажа первая - сисадминская. Речь пойдет о самоподписанных сертфикатах. Ребята, самоподписанный сертификат никакого отношения у хакерам не имеет.
В системах с шифрованием данных всегда стоит вопрос о достоверности канала связи. То есть, если вы общаетесь с кем-то по шифрованному каналу, у вас всегда возникает проблема - с тем ли человеком вы общаетесь. Для того, чтобы иметь основания предполагать, что вы общаетесь с правильным человеком, вам необходимо какое-то свидетельство. И этим свидетельством является подпись ключа шифрования, так называемый сертификат. Если ключ шифрования имеет подпись, удостоверяющую, что он получен из надежного источника в процессе нормальной процедуры, то скорее всего, и ваш контрагент также соответствует вашим ожиданиям, понимаете?
В современных компьютерных системах применяются несимметричные системы шифрования с открытым ключом. Это означает, что для получения данных от собеседника каждая система высылает ему ключ, которым он должен шифровать передаваемые им данные. Данный ключ уникален для получателя, и для расшифровки данных требуется другой ключ - закрытый - который тоже есть только у данного получателя. Это означает, что передаваемые данные никто не сможет расшифровать. Даже имея открытый ключ, вы не можете вычислить закрытый - этим обеспечивается надежность канала связи.
Коммерческие системы, в т.ч. банковские, корпоративные виртуальные сети и многое другое - все они пользуются несимметричным шифрованием с открытым ключом.
Но у нас возникает другой вопрос. Вот этот вот открытый ключ, который нам передали для общения - он правильный, или в линий вклинился злодей, кинул нам открытый ключик и корчит из себя нашено визави? Как определить, что открытый ключ действительно от правильного человека? Для этого требуется сертификат, который подписывает ключ. И данный сертификат должен быть удостоверен кем-то, кому мы безусловно доверяем. Таким безусловно доверенным лицом для Интернета является компания Веризон, и именно у нее находится корневой сертификат. При получении открытого ключа система смотрит на подпись, и отправляет запрос на проверку подписи. Если подпись ключа шифрования подтверждается (сертификат подлинный) - все, телемаркет. А если нет, если сертификат не подтверждается?
Понимаете, ребята, какая собака порылась... Дело в том, что безусловное подтверждение подлинности шифрованного соединения - оно нужно далеко не всем. Вот военным (у них свои корневые сертификаты) это нужно. И банкирам (деньги требуют защиты) это нужно безусловно. Это нужно бизнесменам (секреты фирмы). Вот вам и весь круг принципиально требующих надежного шифрования лиц.
Каждый сертификат - это запрос к SSL-серверу. Чем больше запросов - тем нагруженней сервер. Тем мощнее должно быть железо. Тем больше бабла надо вбухать. Понимаете? Сервер, отвечающий за корневой сертификат, должен быть очень-очень дорогим... А теперь вопрос, что лучше - продать тысячу сертификатов по десять тысяч долларов, и обслуживать их дешевым сервером, или продать миллион сертификатов по одному доллару, и обслуживать их супер-пупер вычислительным кластером за стопицотмильёновбаксов?
Между ценой, объемом реализации и стоимостью поддержки существует баланс. И этот баланс говорит нам, что сертификатов мы должны продавать немного, но они должны быть дорогими, и тогда мы хорошо заработаем и немного потратим на обслуживание. Кому реально надо - тот купит сертификат.
Какие есть задачи шифрования? Задачи шифрования на самом деле бывают разными. В одном случае нам необходима абсолютная секретность на веки вечные. Те есть - обменялись мы сообщениями, враг подслушал, но не понял, и нихрена не поймет. Никогда. Потому что. В другом случае нам нужно, чтобы наше сообщение, перехваченное врагом, требовало бы таких затрат на дешифровку, чтобы сделать ее бессмысленной. Если для взлома кошелька, на котором лежит сто баксов, вы тратите миллион на расшифровку пакета данных - вы этим заниматься не будете. В третьем случае нам нужно, чтобы секретность была гарантирована на протяжении какого-то количества времени. Идет война, вы командир, отдаете приказ. Вы знаете, что приказ будет перехвачен. Вам надо, чтобы в течении некоторого времени враг не понял, что вы будете делать. Потом, спустя часы - враг поймет, он на своей шкуре ощутит, но эти несколько часов он должен быть в неведеньи, понимаете?
Три класса задач шифрования - "абсолютная секретность", "нерентабельность взлома", "безопасное устаревание".
Проблема в чем? Проблема в том, что даже если вы не банкир - вы все равно требуете определенной защиты. Электронные технологии таковы, что при наличии определенных знаний, какие-то бандиты могут вас подслушать и использовать подслушанное против вас. Потому в протоколах коммуникации вам тоже нужно шифрование. Вам нужно шифрование второго и третьего классов. То есть, злоумышленнику для того, чтобы вас "взломать", должно быть нужно столько денег, и такое время, что это потеряло бы смысл.
Шифрование своих потоков данных - переписки, например (электронная подпись), общения через мессенджеры, и так далее - не представляет особых неудобств для вас, но крайне неудобно для злоумышленников...
За службы не волнуйтесь - если им надо, у них есть паяльник и кипятильник...
Потому ключей шифрования нужно много, понимаете? Но денег за них люди платить не хотят. Потому Веризон подписывает только богатым за большие деньги, а бедным, которым полный фарш нахрен не нужен - тем приходится довольствоваться бесплатными самоподписанными сертификатами.
Самоподписанный сертификат - это не хакерская примочка, товарищи журналисты. Это одна из вещей, без которых Сеть существовать не может. Потому что в отсутствие шифрования личных данных количество компьютерных преступлений было бы в тысячи раз больше, и коммерция в Интернет была бы невозможна. А массовое шифрование личных данных - оно без самоподписанных сертификатов нереализуемо в принципе...
Так что самоподписанный сертификат - это очень, очень, очень, очень хорошо и правильно, и к тому же не баг, а фича, очень полезная для вас лично и для сети в общем штучка.
То же касается и VPN. Без VPN-технологий невозможно реализовать "виртуальный офис", а это в данный момент времени - тренд. Фирма CISCO, легенда сети, выпустила прекрасный программный пакет - CISCO VPN, берите, пользуйтесь. Абсолютно легально и открыто. Никаких хакеров, респектабельная компания, понимаете? Чем отличается обычный биткоин-кошелек от "хакерского", мне тоже совершенно непонятно. А уж банковский счет - он есть у каждого, или почти у каждого, и в этом нет криминала...
То есть товарищи журналисты, причем не факт, что лентовксие, облажались.
Ну а вторая лажа - это конечно да... Режим содержания заключенных и незащищенная проводка сети, позволившая несанкционированное подключение в условиях содержания - это да, это песня...
Надеюсь, я поднял вам настроение. Точнее - мы все вместе подняли себе настроение благодаря совершенно фееричной истории...
Journal information