Театр безопасности
Театр безопасности
Автор: Киви Берд
В профессиональном слэнге специалистов по системам безопасности уже довольно давно бытует специфический термин «security theater». Дословный перевод выражения очевиден (и использован в качестве заголовка статьи), что же касается вкладываемого в эти слова смысла, то его адекватно передает некогда популярное в застойном советском обществе выражение «имитация бурной деятельности», или кратко ИБД. Подобно тому как в ИБД важен не результат работы, а видимость процесса созидательного труда, так и в «security theater» собственно безопасность выступает не как цель, а скорее как удобная декорация для решения совсем других проблем. А самой большой угрозой тут оказываются не столько «враги», для противодействия которым якобы выстроена защита, сколько люди, пытающиеся разрушить видимость безопасности.
Ощутить это на собственной шкуре довелось молодому американскому аспиранту Университета Индианы Кристоферу Сохояну (Christopher Soghoian), готовящему диссертацию на тему компьютерной безопасности. В рамках своей исследовательской работы Сохоян столкнулся с типичным примером «security theater», когда поближе познакомился с организацией безопасности пассажирских авиаперевозок в США. Дабы наглядно продемонстрировать общее несовершенство этой системы и, в частности, то, как легко злоумышленнику обойти длиннейшие «черные списки» и проникнуть в «зону безопасности» аэропорта под чужим именем, Сохоян создал веб-сайт «Генератор посадочных талонов». Как понятно из названия, с помощью программных средств сайта всякий желающий мог изготовить и распечатать на любое нужное имя посадочный талон, ничем не отличающийся от настоящего, генерируемого на веб-сайтах авиакомпаний при онлайновой продаже билетов.
Суть дыры в том, что проверка авиапассажиров по огромным базам данных, составленным на всех известных и потенциальных террористов, а также прочих подозрительных лиц, осуществляется в процессе оформления-продажи билета и выдачи посадочного талона. Непосредственно же в аэропорте клерк на контрольно-пропускном пункте обычно не имеет компьютерного терминала, подключенного к сети, а просто сверяет имя на посадочном талоне с именем в документе, удостоверяющем личность. Это означает, что в принципе можно купить билет на вымышленное имя, а при контрольной проверке предъявить подлинное удостоверение и фальшивый посадочный талон, оформленный на имя в документе.
Уязвимость «в протоколе доступа на самолет» открыл вовсе не Сохоян, она известна примерно с тех пор, как несущие убытки авиакомпании в погоне за пассажирами предложили очень удобную услугу прямой продажи и распечатки билетов/талонов через Интернет. Об этой дыре один из ведущих экспертов по безопасности Брюс Шнайер подробно рассказывал еще в 2003 году. В 2005-м эту проблему сделал «темой номера» популярный журнал Slate, а весной 2006-го о том же самом пытался громко заявить американский сенатор Чак Шамер (Chuck Schumer). Тем не менее в процедурах продажи билетов и проверок в аэропортах ничего не менялось. Зато когда стало известно о появлении возмутительного веб-сайта «Генератор посадочных талонов» — сразу же был найден козел отпущения, виновный во всех проблемах и объявленный в американском Конгрессе «пособником террористов».
Сохояна стали «давить» по полной программе. Было выдано постановление суда о закрытии веб-сайта и заведено дело по подозрению в организации «террористического заговора», а в два часа ночи в дом аспиранта (ночевавшего в другом месте) вломились агенты ФБР, провели обыск и конфисковали компьютерное оборудование вместе со всеми носителями информации и прочими документами, которые могли бы свидетельствовать о преступных намерениях подозреваемого… Ныне всем, конечно, понятно, что создание сайта для генерации фальшивых талонов, практически неотличимых от настоящих, было опрометчивой идеей. Но куда больше поражает неадекватная реакция государства на действия человека, публично пытавшегося привлечь внимание властей к давней и вполне реальной проблеме защиты авиатранспорта.
Созвучная история вокруг «театра безопасности» разворачивается ныне в области банковских кредитных карт, в массовом порядке переводимых с традиционной технологии магнитной полоски на бесконтактные RFID-чипы. Лет пятнадцать назад известный британский эксперт по защите информации Росс Андерсон потратил немало сил, чтобы предупредить публику, банки и финансовые институты о серьезнейшем недостатке, присущем карточкам с магнитной полосой. Мощные сети кредитных карт считали Андерсона своим врагом, грозили ему судами и препятствовали публикации работ исследователя. Ущербную же технологию не меняли до тех пор, пока ее слабость не стала очевидной для всех, а случаи хищения денег с карточек стали исчисляться многими десятками (а может, и сотнями) миллионов.
Ныне история повторяется. Крупнейшие сети Visa, MasterCard, American Express спешно переходят на новую технологию бесконтактных карт с чипом радиочастотной идентификации (RFID), а специалисты по безопасности опять указывают на очевидные дыры в их защите. Компании же, как обычно, отмахиваются от предупреждений в погоне за удобством и быстротой использования бесконтактных карт при оплате покупок.
На рынок уже выпущены десятки миллионов новых карт, а соответствующее оборудование для обработки платежей по новой технологии быстро распространяется в точках мелкой розничной торговли, включая аптеки, рестораны быстрого обслуживания и кинотеатры. В маркетинговой кампании, сопровождающей внедрение новых карточек с RFID, сети и банки особо подчеркивают, что данные о финансовых транзакциях, передаваемые в эфир при покупке, зашифрованы сильными криптосредствами. И даже если злоумышленники перехватят эти сигналы, то не смогут извлечь из них сколь-нибудь полезной информации.
В действительности, увы, дела обстоят иначе. Группа ученых и инженеров из Массачусетского университета в Амхерсте и компании RSA Security провела исследование ["RFID Payment Card Vulnerabilities", Technical Report by T. Heydt-Benjamin et al. (Fin Crypto 2007), www.nytimes.com/packages/pdf/business/20061023_CARD/techreport.pdf.] двух десятков разных бесконтактных кредиток перечисленных выше компаний и установила, что в каждом случае можно незаметно считать компактным прибором-ридером все реквизиты карточки, лежащей в бумажнике или кармане владельца. В отличие от собственно транзакции, реквизиты карты (имя владельца, полный номер кредитки и ее тип, дата истечения срока действия) передаются в эфир и хранятся в чипе в открытом виде безо всякого шифрования. Исследователи показали, что вся эта информация может быть легко считана с помощью устройства, собранного из общедоступных компьютерных и радиодеталей суммарной стоимостью 150 долларов и размером с пару покетбуков. Если же взять современную элементную базу, то такой же прибор, по оценкам конструкторов, обойдется в 50 долларов и будет размером с пачку жевательной резинки.
Представители компаний, выпускающих RFID-карты, в своих комментариях к работе ученых попытались сделать вид, что особой опасности в легкой доступности реквизитов нет. По их словам, это «в сущности бесполезная информация», потому что ее нельзя вот так просто записать при перехвате, а потом воспроизвести в другом месте, ожидая, что это будет равносильно оплате товара или услуги (ибо протокол транзакции защищен криптографией). Однако исследователи для контрпримера продемонстрировали, что по похищенным с помощью ридера реквизитам можно совершать покупки иным путем — через Интернет… Так что это уже и не «театр безопасности», а просто цирк. Причем далеко не бесплатный.