Category: компьютеры

Как известно, компьютеры не могут генерировать по-настоящему случайные числа. Они используют математическую формулу, производя какие-то действия над изначальным числом. Формула эта — детерминированная, т.е. если взять одно и то же изначальное число дважды, то на выходе будет то же самое. Обычно полученное таким образом псевдослучайное число скармливается назад в формулу, целиком или как часть изначального числа.

Например, вот такая формула (сишный синтаксис): x = (x * 17) % 11

Начиная с x = любое натуральное число, она будет выдавать псевдослучайные натуральные числа от 1 до 10. Но последовательность будет всегда одной и той же — на выходе видим 8, значит, следующим числом будет 4. Конечно, настоящие формулы для генерации псевдослучайных чисел намного более сложны (например, хеширование SHA256) и очень хорошо апроксимируют случайное распределение, но всё равно рано или поздно даже они начинают зацикливаться.

Соответственно, проблема в том, чтобы где-то взять это самое изначальное число, которое будет достаточно случайным, и задача ставится как сбор энтропии (случайных событий).

Например, очень популярен сбор случайности от действий человека. Так, можно считать количество тактов процессора между нажатиями кнопок на клавиатуре. Даже самая дисциплинированная машинистка не сможет повторить их один-в-один. Примерно так и работает сбор энтропии во Фрюниксах — /dev/random считает такты процессора между прерываниями.

У этого подхода тоже есть проблемы. У незанятого сервера, где мало взаимодействий, генерирующих прерывания, проблема сбора энтропии стоит довольно остро. Я даже более скажу — возможна атака, которая будет подсовывать этому серверу какую нужно “случайность”, и на этой основе ломать алгоритм шифрования. Примерно так работал недавний KRACK для беспроводных сетей — где крякер заставлял сеть переиспользовать значение, которое должно быть одноразовым.

Поэтому для особо важных вещей, где криптостойкость является критически важным делом, к сбору энтропии очень серьёзный подход. Мой любимый метод — подключённый к серверу сч0тчик Гейгера и источник радиации. Время между регистрацией двух ионизирующих частиц абсолютно случайно.

Но есть и не такие радикальные способы. Так, компания Cloudflare, занимающаяся предоставлением услуг инфобезопасности, придумала интересную методику с применением лавовых ламп.

Картинка из статьи на ZDNet.

Перемещения расплавленного парафина в масле являются случайными. Cloudflare построили стену с матрицей из 100 лавовых ламп. Эта матрица постоянно фотографируется, и из фотографий вычисляется хеш — который и является источником энтропии. Таким образом достигается прекрасная криптостойкость алгоритмов, которые Cloudflare использует для шифрования траффика между своими распределёнными серверами.

Чорт возьми, изящно!

Показываю племяннику 3.5-дюймовую дискету.

Реакция племянника:

–Ух, круто! Ты напечатал на 3D принтере кнопку сохранения!

А в самом деле, если подумать, то дискета на кнопке говорит о записи данных только старпёрам вроде нас.

Раз:

Всем, использующим беспроводные сети с шифрованием WPA2, можно начинать бояться. Существует кибератака, позволяющая расшифровать и спуфить передаваемые данные через повторное использование одноразового кода (nonce):

https://www.krackattacks.com/

При этом, что характерно, пароль WPA2 узнать по-прежнему невозможно.

Два:

Все криптографические сопроцессоры Infineon генерируют плохо защищённые ключи несимметричного шифрования RSA:

http://www.tomshardware.com/news/infineon-tpm-insecure-rsa-keys,35668.html

Если у вас есть ноутбук Lenovo, HP, Fujitsu, Asus и вы используете криптографический сопроцессор — можете начинать бояться.

Давненько таких крутых багов не было…

Как показало вскрытие, в 2015 году российские хакеры украли секретные документы АНБ США, взломав российский же антивирус Касперского:

https://www.forbes.com/sites/leemathews/2017/10/05/guess-which-software-russian-hackers-targeted-to-steal-nsa-secrets/#5295f671170c

Улыбнуло.

Разумеется, сама контора Касперского к этому никакого отношения не имела, и никому не помогала. Конечно-конечно.

Ну что, Эппл таки был прав, удалив гнездо наушников из седьмого айФона? Раз сам Гугл удалил его из своего телефона “Пиксель”?
https://www.theverge.com/2017/10/5/16428570/google-pixel-2-no-headphone-jack-apple-wireless-future

За что мы любим Юниксоподобные ОС? Ну, за всякое, но не в последнюю очередь за их отличные командные строки. Конечно, можно писать скрипты или даже небольшие програмки на Перле али Питоне, но если надо быстро что-то автоматизировать, то лучше всего писать какой-нибудь one-liner типа:

cat file | grep something | sed ‘s/thing/otherthing/’ | awk -F “|” ‘{print $1}’ | sort | uniq | wc -l

И всё тут прекрасно, но здесь совершенно отсутствует условное ветвление — а это иногда полезно.

Например, можно сказать вот так:

cd directory; rm -rf *

Что будет, если cd directory обломится, потому что этой директории нет? Начнёт выполняться rm -rf в ТЕКУЩЕЙ директории — что может иметь катастрофические последствия.

Как этого избежать? Очень просто. Надо сказать вот так:

cd directory && rm -rf *

В данном случае rm -rf выполнится ТОЛЬКО если cd directory будет успешно выполнен.

Работает это очень просто — если понять, что данное выражение представляет собой не больше, чем условие с Сишным синтаксисом. && — это оператор AND. Любая команда при завершении работы выдаёт код возврата (exit status). Если команда завершилась успешно, возвращается код 0, он же является TRUE. Оператор && подразумевает что ОБЕ части условия должны возвращать TRUE, поэтому если первое условие вернуло TRUE, надо проверять второе. Если же первое вернуло FALSE, то нет смысла проверять второе (принцип минимализации проверки условий https://en.wikipedia.org/wiki/Short-circuit_evaluation).

Соответственно, можно вывернуть это наизнанку, если использовать оператор || (сиречь OR) между командами. В таком случае вторая часть выражения будет выполнена только в том случае, если первая вернёт FALSE — ибо в соответствии с принципом минимализации нет смысла проверять вторую часть условия, где условия объеденины через OR — ибо первая уже вернула TRUE.

Например, вот так:

cd test|| mkdir test

Директория test будет создана только в том случае, если её нет (cd вернёт ошибку).

Также можно объединять условия, используя тот же Сишный синтаксис.

(cd directory && rm -rf *) || echo “Cannot delete files”

Если можно зайти в директорию и удалить там файлы, то ничего не высветится. Но если нельзя, будет сказано, что нельзя.

Данные команды работают в bash и C-shell. BSD-шный sh не проверял, но думаю, что там тоже будет работать.

В ответ на бан антивируса Касперского на компьютерах, принадлежащих МО США (https://experimenter.org/2017/06/29/kaspersky_banned_in_dod/) российские законодатели предложили послать всё нероссийское антивирусное ПО в том же направлении?

“Ко второму кварталу 2019 года чиновники намерены законодательно обеспечить предустановку отечественных антивирусных программ на все персональные компьютеры, ввозимые и создаваемые на территории Евразийского экономического союза.”

Подробнее на РБК:
http://www.rbc.ru/technology_and_media/03/07/2017/5958d9c29a7947e1a748af1a

Не вполне понятно, чем всё это закончится. “Обеспечить предустановку” не значит ведь запрета пользованием других антивирусов?

А то как-то слишком нагло получается. “Слушайте свои “Валенки” и не выпендривайтесь”. И плевать, что антивирь Касперского написан настолько криво, что раз в два дня аккуратнейшим образом вешал мне комп так, что тремя пальцами он не поднимался. Что там ещё есть? Дохтур Веб? Ничего про него не скажу — не пользовался.

Или это просто в Касперском занесли куда надо? Чтобы обеспечить продажи своего кривого продукта?

И вообще, это какие-то полумеры. Виндоуз-то не забанили. Как не забанили Ворд, Эксель, и проч.

В акт о военном бюджете США на 2018 год внесен запрет на использование продукции “Лаборатории Касперского” на оборудовании, принадлежащему МО США. Озвученная причина — “работники компании потенциально подвержены давлению со стороны правительства России”.

https://www.bleepingcomputer.com/news/government/senate-gets-ready-to-ban-kaspersky-products-as-fbi-interviews-companys-us-employees/

О том, что примерно такое и будет, я уже догадывался, когда сам перешёл на американский антивирус “Симантек” http://nlothik.livejournal.com/797195.html

Увы, компьютеры теперь неотделимы от политики. Даже наоборот. Учитывая количество кибервойск с обоих сторон и кубометры написанного военного софта для кибератак на противника о каком-то отсутствии политики в компьютерной сфере смешно говорить.