Коллектив Авторов - Цифровой журнал «Компьютерра» № 203

О чём в действительности говорит проявившаяся за последние годы тенденция «оптовой» кражи — не штучно, миллионами? Во-первых, о том, что собственно стойкость пароля более не имеет значения. Точнее, она не имеет того решающего значения, каким обладала раньше. Будь это готовое слово из трёх букв или сложнейшая истинно случайная буквенно-цифровая комбинация, украдут её одинаково легко, посадите только на машину контролирующий клавиатуру вирус.

Но и древний рецепт заботиться о чистоте запускаемого софта, чтобы этот самый вирус не подцепить, так же утратил свою прежнюю значимость. И это вывод второй: пароли нынче активно крадут с персоналок (увы, донести до среднестатистического пользователя важность гигиены не удалось!), но ещё активней — с разницей в один–два порядка — их тащат с серверов. Вспомните, как в октябре неизвестные унесли сто пятьдесят миллионов учёток из недр Adobe Systems. И Adobe не одинока: каждые несколько месяцев ломают очередного интернет-гиганта, вскрывают очередную бот-сеть. Узнать, не утекли ли с одной из этих речушек и ваши пароли, можно, воспользовавшись специальными сервисами (см., к примеру, HaveIBeenPwned.com и ShouldIChangeMyPassword.com). Но защититься от следующего удара они вам не помогут.

На первый взгляд, происходящее — повод задуматься над уточнением правил цифровой гигиены. Компьютерный мир за последние десять лет изменился исподволь, но радикально. Java и Javascript, бывшие оплотом безопасности, стали чуть не главной дырой в ИТ-укреплениях. Браузеры эксплуатируют для взлома чаще, чем почтовые клиенты — которые, в свою очередь, почти перевелись. Антивирусы остались всё так же непроходимо тупы. Но главное — неизмеримо разрослась, распласталась по некомпьютерному миру Сеть — и мало того, что средний пользователь знает теперь о технике меньше, так ещё и стёрся в головах психологический тормозок, напоминавший, что с информацией следует обходиться осторожно.

Так что же, менять правила гигиены? В некоторой степени, наверное, это действительно поможет. Защититься от краж учётных записей с сайтов мы не в силах, но можем минимизировать ущерб: не использовать один пароль более чем в одном месте, по-прежнему придумывать стойкие пароли, надеясь, что на сервере они будут храниться не чистым текстом, а в виде криптографического хеша, и — новое! — использовать многоуровневые схемы авторизации, одноразовые пины или какие-нибудь суперноваторские средства подтверждения личности (что, впрочем, зависит уже от возможностей и желания владельцев конкретного сайта; пока, увы, тут больше разговоров — см. «Помнить, но не знать», «А можно без пароля?»). В отношении краж с персоналок добавить к старым рецептам нечего: урезать список источников программного обеспечения до минимума (на «Линукс»-машинах это зачастую один–два репозитория), не поддаваться искушению отключить автоматическую установку security-обновок, держаться подальше от доброхотов, впаривающих бесплатный сыр.

Да только и этого нынче недостаточно. Проблема в том, что компьютерный мир меняется качественно, а не только вширь. Десять лет назад бесплатный интернет был голубой мечтой, на которую пускали слюни доткомы. Сегодня он в каждом кафе, парке, аэропорту, в любом общественном месте — вплоть до туалетов! И это пример опасности, существование которой раньше не могли даже вообразить. Понимаете ли вы (не говоря уже о ваших родителях или далёких от ИТ друзьях), что многие веб-сайты не шифруют трафик — и ваш вконтактовский пароль может осесть на винчестере вон того неприметного парня с ноутбуком, приютившегося в углу (прогулка с Wireshark по торговому центру — чрезвычайно увлекательное занятие)? Уверены, что точка доступа, к которой ваш смарт или планшетка так шустро подключились, действительно принадлежит владельцам заведения, а не кому-то из посетителей? Наверное, когда HTTP станет шифрованным по умолчанию, эта угроза ослабнет, но до тех пор в публичных местах стоит быть вдвое внимательней и втрое осторожней.

Таких примеров из разных областей ИТ можно насобирать вагон и тележку — и в каждом случае, конечно, найдётся свой рецепт. Но к чему и ведут дальновидные наблюдатели, упомянутые в самом начале рассказа: наблюдаемая нами слабость — фундаментальная, архитектурная. Корень зла — в неприспособленности, неумении массовой ИТ-инфраструктуры хранить секреты. И задача, в общем, в том, чтобы переложить заботу о защищённости, о безопасности, с пользователя на программы и железо, но и не навредить при этом пользователю. Возможно ли такое? Технически — да: вспомните систему SELinux, суть которой в сведении доступных приложениям привилегий до абсолютного минимума. Практически — не сочтёт ли среднестатистический пользователь такой подход издевательством? Да вытерпим ли даже мы, айтишники?

В статье использована иллюстрация Erin Pettigrew.

К оглавлению

Опубликовано 10 декабря 2013

Цифровая валюта Bitcoin переживает бурные дни. О причудах первых биткойн-миллионеров вы уже слышали: вот кто-то покупает фешенебельные апартаменты, вот обзаводится новенькой Model S... Полагаю, пройдёт совсем немного времени, и мы станем свидетелями первых похищений, вымогательств, пыток и убийств держателей биткойн-кошельков. Впрочем, до этого ещё нужно дожить. Пока же криптовалюта не смогла перешагнуть рубеж в $1 250 за штуку: ткнувшись в него на прошлой неделе, она откатила до пятисот с копейками и в настоящее время успокоилась (относительно, конечно: с колебаниями в десяток процентов в день) на уровне $900.

Насчёт того, что помешало ей двинуться дальше и каким будет поведение курса в ближайшие месяцы, есть много версий. Считается, например, что сильно негативное влияние оказал демарш Народного банка Китая — предупредившего китайских банкиров, что оперировать биткойном как обычной денежной единицей они не должны. Поскольку, предположительно, именно Поднебесная обеспечивает сейчас львиную долю активности в мире Bitcoin, известие, конечно, поставило цифровой валюте подножку. Но от удара она оправилась так же быстро и поехала вверх на новостях прямо противоположного свойства из США: Bank of America Merrill Lynch (солидное имя в финансовых кругах) опубликовал аналитическую работу, посвящённую биткойну. Документ читается легко и насыщен иллюстрациями, а смысл сводится к тому, что хоть Bitcoin и способна сыграть одну из первых ролей в электронной коммерции (как минимум), курс её в обозримом будущем вряд ли выйдет за $1 300: цифра, у которой, по мнению банкиров, есть некоторое практическое обоснование.

Эти два сообщения образуют лишь макушку новостного айсберга, сформировавшегося вокруг Bitcoin за последние дни и недели. Одни видят в отметке $1 250 корреляцию с золотом, тройская унция которого стоит как раз столько (подобные метафизические аналогии обычны в мире биржевых спекуляций). Другие называют биткойн альтернативой доллару и советуют правительствам не запрещать, а регулировать. И так далее, и так далее, а роднит бкогда-нибудькои-тоольшую часть новостей концентрация на обменном курсе. Их авторы упрямо не замечают главной ценности Bitcoin: это прежде всего уникальный платёжный инструмент, делающий проще, дешевле, быстрее любые операции с участием денег. (Если вы строили интернет-магазин, то понимаете меня, если нет — попробуйте, не боги горшки обжигают!) Однако в веки в заголовках обнаружилось и нечто, имеющее непосредственное отношение к практической пригодности Bitcoin. Это вновь обозначившийся вопрос о личности основателя системы, таинственного Сатоши Накамото.

Что мы знаем о нём? Очень и очень мало. Satoshi Nakamoto — имя, которым подписаны где-либонаучная работа, излагающая теоретические основы цифровой валюты (ещё говорят: описывающей протокол), и исходные тексты программы, эту теорию реализующей и сформировавшей собственно пиринговую сеть, известную нам как Bitcoin. С 2009 года, когда сеть стартовала, Сатоши трудился на веб-форумах бок о бок со своими единомышленниками, занявшимися доработкой его программы. Как считается, он помогал до тех пор, пока не убедился, что передал детище в надёжные руки — после чего, весной 2011-го, известил коллег, что переключается на «другие вещи», и более никогда не появлялся .

К тому моменту уже было известно, что имя его скорее всего выдумано. Предполагалось, что скрывается под ним один человек или группа людей, обладающих недюжинными познаниями в специфических областях ИТ (P2P и стойкая криптография как минимум). Ясно также, что он (или они) не желал, чтобы его настоящая личность была раскрыта, — и постарался не оставить следов. Большая часть того, что мы сегодня о нём знаем, известна с его же собственных слов (мужчина около 40 лет, живёт в Японии) и слов его интернет-коллег (вежливый, образованный, с отличным знанием английского языка). Честно говоря, никто не знает даже того, как произносится его имя. Дело в том, что японское «Сатоши», согласно правилам, транслируется на русский как «Сатоси». Однако по разным причинам в Рунете устоялся вариант с «ш» (кстати, ввели его в обращение не без участия «Компьютерры»: в июне 2011-го Бёрд Киви и ваш покорный слуга стали одними из первых, кто написал о Bitcoin на русском, и использовали именно вариант «Сатоши»). В пользу его говорит также то обстоятельство, что никто никогда не видел, как создатель Bitcoin записывает своё имя на (якобы) родном языке: мы имеем дело с английским словом, которое следует читать через «ш».