• Boosty Shared
• Kass2010

• T

• автор
• для настроения

Второй день пишу главу во вторую часть Путешествия, обещаю сегодня закончить. Эта чертова зима выморозила все душевные и физические силы. Постоянные снега, морозы и хмурое небо вгоняют в депрессию. Кажется, что и у нас холода, как в Вестеросе, будут длиться не три месяца, а несколько лет…

Пока вы ждете главу, предлагаю прочитать довольно любопытный взгляд специалистов по информационной безопасности на творение Профессора. Автор Николай Панков, в блоге которого можно почитать другие любопытные видения и сказок, и литературных и кино историй в данном ключе. Рекомендую использовать их в качестве ликбеза в этой области для детей (да и взрослым полезно, к в этом полный профан).

* * *

Хакерские инструменты Саурона, встроенных в устройства, известные как Кольца Власти

Что можно найти в произведениях Толкина? Кто-то читает их как забавные сказки, кто-то видит глубокую христианскую философию, кто-то пропаганду. Я лично вижу притчи с моралью из области кибербезопасности. И тот факт, что последние несколько лет я вижу их везде, вовсе не обязательно означает, что автор их туда не закладывал.

Знаете ли вы, что незадолго до начала Второй мировой войны Толкин прошел обучение в Правительственной школе кодов и шифров и получил специальность криптоаналитика? Если что, это та самая организация, которая в годы войны взламывала коды «Энигмы» при участии Алана Тьюринга, создателя современных компьютеров. А позже она была переформирована в GCHQ — британскую спецслужбу, ответственную за защиту информации правительства и армии, а также за радиоэлектронную разведку. И понятно, что лингвист-криптоаналитик был нужен для дешифровки вражеских шифров, но как ни крути, а это информационная безопасность. Так что в какой-то мере профессор Толкин — наш коллега.

Предупреждение

Я категорически не согласен с устоявшимся в русском языке переводом слова dwarf как «гном». Во-первых, потому что гномы и дворфы — существа из разных мифологий. Во-вторых, потому что в черновиках у Толкина были и гномы, в частности к их расе относился Эол (Eöl), доживший до «Сильмарилиона» в качестве Темного эльфа. Поэтому в статье я перевожу dwarf как дворф. Текст эпиграфа к «Властелину Колец» привожу по переводу Марии Каменкович и Валерия Каррика. Обосновать выбор перевода не могу. Но и в нем я заменил «гномов» на «дворфов».

Кольца власти

Сюжетная линия «Властелина Колец» закручена вокруг Кольца Всевластья, созданного Сауроном для покорения мира. От него зависят еще 19 колец: три эльфийских, семь дворфийских и девять человеческих. Все герои произведения боятся, что если Единое кольцо вернется в руки создателя, то он обретет неимоверное могущество и везде наведет свои порядки. Звучит как фэнтези, но если копнуть  поглубже, то становится понятно, что это настоящая научная фантастика.

Три кольца — высшим эльфам под кровом светил

Когда я читал книги Толкина в детстве, мне казалось, что история эльфийских колец — самая непонятная. Их якобы выковали эльфы, их не касалась тьма. Однако создали их при помощи искусства Саурона, и, по всей видимости, они были привязаны к Кольцу Всевластья. Поэтому эльфы надежно прятали кольца до тех пор, пока «единое» оставалось у Темного Властелина. Казалось бы, какая разница, при помощи чего сделали кольца, если они были созданы во благо?

Сейчас разница абсолютно понятна. Если посмотреть на ситуацию с современной точки зрения и написать то же самое в терминах информационной безопасности, то получается следующее:

— Эльфы самостоятельно изготавливают три устройства.

— Микропрошивка этих устройств создана при помощи SDK, разработанного Сауроном.

— В них жестко прошит адрес командного центра — Кольца Всевластья.

— Понимая все это, эльфы опасаются использовать свои устройства, пока Саурон контролирует C&C.

Иными словами, это пример типичной атаки через цепочку поставок. Только вот эльфам удалось своевременно выявить угрозу и временно снять уязвимые устройства с эксплуатации.

Семь — властителям дворфов под кровом земли

К кольцам, доставшимся дворфам, Саурон руку приложил. В теории эти кольца служили для увеличения богатства. По книге, они не позволяли ему подчинить себе волю властителей дворфов, но значительно усиливали чувство жадности владельца. Поэтому, действуя через жадность и гнев, Саурону удалось привести семерых владык дворфов к упадку.

К сожалению, все семь колец были утрачены задолго до событий, описанных в книге «Властелин Колец», поэтому провести подробный анализ этих устройств не представляется возможным. Однако игра на жадности — это типичная для фишинговых атак уловка. Злоумышленник манипулировал тем, как владельцы устройств воспринимают информацию, что в конечном итоге и привело их к упадку. Что это, как не фишинговая атака?

Девять — смертным, чей жребий — молчанье могил

Тут даже объяснять не нужно. Саурон подарил девять колец людям — королям, колдунам и воинам. Это сделало их практически бессмертными, невидимыми и покорными воле Саурона. Собственно, это достаточно узнаваемое описание ботнета.

Интересный момент: у назгульской зомби-сети, по всей видимости, был резервный протокол управления. Потому что даже после потери командного сервера Саурон продолжал командовать назгулами.

И одно — повелителю гибельных сил

Наша энциклопедия описывает C&C как сервер, который позволяет киберпреступникам контролировать ботнет, посылать вредоносные команды, управлять шпионским ПО и так далее. Кто может сказать, что Кольцо Всевластья работает как-то иначе?

После уничтожения Единого Кольца все зависимые от него кольца теряют силу. Вероятно, в их прошивку была встроена периодическая проверка доступности командного устройства и механизм самоуничтожения, который включался при потере связи. Это поведение также знакомо нашим аналитикам, исследующим киберугрозы: злоумышленники постоянно используют механизмы самоуничтожения, чтобы затруднить анализ вредоносного ПО.

Отыскать их, собрать их, предать их Ему, воедино сковать их и ввергнуть во тьму

Эти строки не просто последняя часть заклинания, и не случайно именно они были выгравированы на внутренней стороне кольца. Помните, почему Единое Кольцо называется «погибелью Исилдура»? Он был окружен и надел кольцо, но оно соскользнуло с его пальца, когда Исилдур плыл через реку, и таким образом стало причиной его смерти. Голлум также потерял «свою прелесть». А все дело в том, что надпись на кольце — это инструкция. По всей видимости, неправильно переведенная.

Гравировка на внутренней стороне кольца выглядит следующим образом:

Ash nazg durbatulûk, ash nazg gimbatul,

Ash nazg thrakatulûk agh burzum-ishi krimpatul.

Последнее слово, krimpatul, обычно переводят как «сковать». Но сковывать кольца воедино — достаточно бессмысленное занятие. Что, если это вовсе не слово из черного наречья, а транслитерация обычного английского термина «crimping tool»? Иными словами, обычная «обжимка».

И надпись на кольце на самом деле — о том, что для успешного использования его необходимо обжать. Так что не нужно пренебрегать чтением и правильным переводом документации. Даже если она умещается в двух строчках.

Технологии кибербезопасности толкиновских дворфов

В отчете эксперта Дж. Р. Р. Толкина можно найти еще немало интересного. Например, он рассказывает об информационных технологиях и системах обеспечения безопасности, применявшихся разными расами Средиземья. В частности, Толкин достаточно подробно останавливается на нескольких системах дворфов (ошибочно переводимых на русский язык как «гномы»).

Бэкдор «Двери Дьюрина»

В исторический момент, описываемый во «Властелине Колец», древняя твердыня дворфов Мория уже несколько веков захвачена злом. Когда-то, слишком увлекшись майнингом мифрила (очевидно, это какая-то местная криптовалюта), они потеряли бдительность: разархивировали и запустили руткит «Балрог».

Этот руткит представлял собой часть APT-кампании, оставшуюся в глубинах земли со времен известного хакера Мелькора, в группировку которого также входил упомянутый во вступлении киберпреступник Саурон. Не исключено, что эта группировка также испытывала какой-то интерес к криптомонетам «мифрил» (иначе с чего бы произошло такое совпадение), но это в явном виде не уточняется.

Так или иначе, вся инфраструктура Мории была построена именно дворфами, в том числе и западный бэкдор «Двери Дьюрина», также известный как «Эльфийские врата». Вот только никто не мог вспомнить, какой пароль используется для доступа через эти врата.

Процесс открытия дверей подается Толкином в юмористическом ключе. Пришедший во главе Братства Кольца Гэндальф замечает над воротами надпись «Двери Дьюрина, властителя Мории. Скажи слово, друг, и входи». И разумеется, паролем оказывается слово «Друг». Иными словами, Толкин изображает стандартную ошибку офисных работников — стикер с паролем, наклеенный около компьютера, только в дворфийском монументальном исполнении. Про стойкость пароля даже говорить не хочется: короткое словарное слово не защитило бы даже от простого перебора.

Особенно смешно, что в надписи указывается и кто конкретно допустил ошибку: «Я, Нарви, сделал эти двери, а Кэлебримор из Остролистии начертал эти знаки». То есть в надписи указывается не только пароль, но и пара логинов явно привилегированных пользователей. Среди людей достаточно распространена практика использования одних и тех же паролей для аккаунтов в разных системах — можно предположить, что и другим расам Средиземья она не чужда. Так что, вероятно, эти логины-пароли можно было бы использовать и для более глубокого проникновения в системы Мории.

Непонятно, девелоперы-дворфы допустили эту оплошность или забывчивый пользователь Кэлебримор написал пароль над дверью по своей инициативе, ведь эти «двери» были сделаны для торговли и кооперации с эльфами. Я склоняюсь ко второй версии — в среднем у дворфов с безопасностью все гораздо лучше.

Карта Трора и стеганография

Кстати, интересный пример реализации дворфийских защитных технологий описан в книге Дж. Р. Р. Толкина «Хоббит». Эребор (Одинокая Гора) был захвачен APT-актором «Смауг», и дворфы были вынуждены в очередной раз покинуть родные дома. Трор, король народа Дьюрина, оставил своим потомкам инструкцию, выполненную в виде карты, о доступе к системам Эребора через бэкдор (он так дословно и называется — «Задняя дверь»), в надежде, что однажды команда экспертов-безопасников сможет очистить драконовые заражения. Так вот, как раз реализация этой карты и представляет интерес с точки зрения безопасности.

Дело в том, что на карте начертаны инструкции о получении доступа к этому самому бэкдору. Но начертаны они мало того что на дворфийском диалекте Angerthas Erebor (а дворфы очень неохотно делились секретами своего языка даже с союзниками), так еще и методом крайне сложного лунного письма. Это дворфийская технология, позволявшая писать текст так, что он будет виден только в лунном свете, причем при луне либо находящейся в той же фазе, что и в день написания, либо светящей в то же время года.

Иными словами, тут использована некая форма стеганографии: информация помещена в картинку, но это сделано таким образом, что посторонние не могут ее не только прочитать, но даже обнаружить, что там что-то есть.

Бэкдор в Одинокой Горе

Не менее интересно реализована и защита самого бэкдора — «Задней двери». Открывается она достаточно причудливо сделанным, но все же обычным ключом. Однако, согласно инструкции из карты Трора, обнаружить и открыть ее можно далеко не каждый день. Инструкция гласила: «Встань у серого камня, когда застучит дрозд, и последние лучи заходящего солнца в день Дьюрина укажут замочную скважину».

Точно неизвестно, как была реализована часть технологии с дроздом (видимо, использованы какие-то биотехнологии, о которых Толкин ничего не рассказал), однако налицо достаточно хитро реализованная многофакторная аутентификация. Именно вечером в день Дьюрина дрозд затрещал, последний закатный луч коснулся камня, от него откололся кусок и открыл замочную скважину. В данном случае дополнительным фактором являлся календарь: даже обладая знанием (описанной выше инструкцией) и владея ключом, получить доступ можно было только в один строго определенный день в году.

Жалко, что Толкин не описал механизм возвращения отколовшегося куска обратно в дверь — не дрозд же ставил его на место.

На самом деле это далеко не все примеры реализации защитных технологий в работах профессора. Как справедливо указали читатели после первой части, интересно было бы также разобрать телекоммуникационный протокол, используемый в палантирах. Но, к сожалению, подробных инструкций Дж. Р. Р. Толкин не оставил, а обрывочные сведения из черновиков, опубликованные его сыном Кристофером, порождают больше вопросов, чем ответов.

И еще бонус для любителей сказок)

Золушка и сигнатурный анализ

Большинство сказок на самом деле в оригинале являются завуалированными уроками по информационной безопасности. Порой людям прошлого было сложно понять тонкости технологий, которые появятся только спустя века или даже тысячелетия. Поэтому зачастую эти уроки обрастали слоями метафор, домыслов и всевозможных украшений, так что изначальный смысл существенно искажался, а то и полностью терялся. К счастью, сказке про Золушку удалось избежать этой участи.

Вопреки устоявшимся заблуждениям, это далеко не только европейская сказка — самая ранняя версия записана еще на египетских папирусах. Если коротко, то сюжет рассказывает о девушке, жившей в достаточно неблагоприятных обстоятельствах, которой повезло обрести так называемое счастье при помощи некой сверхъестественной сущности. В версии Шарля Перро это Фея-Крестная, у братьев Гримм ту же роль играет деревце, выросшее на могиле матери, а в древнеегипетском варианте судьбой девушки самолично занимается бог Гор. Впрочем, это мелкие разночтения, которые не должны отвлекать нас от сути происходящего.

Общим же элементом во всех версиях является центральный инцидент с туфелькой/башмачком — именно он представляет наибольший интерес с точки зрения кибербезопасности. Впрочем, для целостности восприятия мы вернемся к нему ближе к концу исследования, а сначала рассмотрим несколько других примеров. При всей привлекательности египетской версии сказки опираться мы будем на европейские варианты как на наиболее известные и привычные читателю.

Подделка личности

Итак, героиня живет в доме с отцом, злой мачехой и сводными сестрами. Занимается она автоматизацией рутинных задач: мачеха порой заставляет ее сортировать зерно, и чтобы успеть в срок, Золушка прибегает к помощи голубков и горлинок. Тут на самом деле неизвестно, что имелось в виду в самой ранней версии сказки. Вполне возможно, речь шла не столько о сортировке физических объектов, сколько об огромных объемах данных.

При этом девушка мечтает попасть на бал, но не может — и даже не из-за объемов работы, а из-за того, что ее туда никто не пустит. Ведь у нее нет красивого платья и кареты, а «родственники» помогать отказываются — identity не вышла. На помощь приходит Фея-Крестная, которая заставляет тыкву выглядеть каретой, мышей — конями, а лохмотья — платьями.

По сути, фея создает для Золушки поддельную личность и тем самым дает ей возможность посетить бал неузнанной. Тут следует вспомнить, что люди прошлого нередко не постигали сути понятия «хакер» и трансформировали его образ во всевозможных колдунов и волшебниц. Да что там люди прошлого — до сих пор в массовой культуре хакеров изображают этакими всесильными техношаманами!

Поскольку доступ к балу явно осуществляется без приглашений (то есть первоначальная аутентификация не требуется), понятно, что попасть на него можно, просто зарегистрировавшись на входе. И хотя изначальная identity Золушки не подходит под какие-то не уточняемые критерии отбора, поддельная личность, явно созданная «феей» с учетом специфики этих критериев, помогает решить проблему.

Цифровой сертификат

Вскоре становится понятно, как именно была изменена identity Золушки. Фея предупреждает, что ровно в 12 часов ночи образ исчезнет, и все увидят лохмотья вместо платья, мышей и ящериц вместо коней и слуг и так далее. Что может лежать в основе этого сюжетного хода? Из реалий старинной Европы — абсолютно ничего. Казалось бы, это какое-то искусственное ограничение. Но давайте вспомним, что происходит в 12 часов ночи. Меняется календарная дата.

Люди, которые когда-либо забывали обновить SSL-сертификаты на сайте, очень хорошо понимают этот урок. Вот буквально только что сертификат был валидным, пользователи спокойно смотрели ваш сайт, и тут щелк — время действия сертификата истекло, и браузеры начинают вместо сайта выдавать предупреждения и заглушки. Сайт превращается в тыкву.

Примерно по тому же принципу работают сертификаты и в цифровых токенах — ключах для удаленного доступа. Сертификат действует ограниченное время. И в какой-то момент он также становится недействительным, после чего система моментально обрубает подключение (если, конечно, эта система разумно устроена). «Золушка» перестает восприниматься на балу как «своя». Почему у Феи не получается сделать более надежный сертификат — непонятно. Вероятнее всего, это можно объяснить отсутствием прямого доступа к центру сертификации.

Сигнатурный анализ

После бала Золушка, понимая, что время истекает, бежит прочь из дворца, теряя единственную «настоящую» часть своей новой личности — башмачок/туфельку. Тут, кстати, особенно интересен вариант братьев Гримм: у них башмачок теряется не случайно, а потому, что принц после третьего бала намазал лестницу смолой — видимо, как раз для того, чтобы получить фрагмент беглянки и использовать его для поисков. То есть он задействовал какие-то системы для обнаружения киберугрозы. Далее принц на основе туфельки создает инструмент для детектирования объектов семейства «Золушка» и начинает глобальный процесс поиска, проверяя ноги всех молодых девушек.

Собственно, именно так работают движки многих антивирусных решений. Антивирусные компании берут кусок кода зловреда, создают из него «башмачок», называемый хешем, а потом примеряют его ко входящей информации. В наших решениях такая технология тоже используется, хотя давно не является основным методом детектирования.

Попытка подделать хеш

На всякий случай братья Гримм (которые по каким-то причинам в своих ранних сказках вообще любили кровавые подробности) углубляют этот урок. В их версии сказки сводные сестры Золушки пытаются подделать свой хеш, в прямом смысле подрезая свои ноги, чтобы они подошли к туфельке. Но подделка хеша — дело очень непростое. Как и следовало ожидать, у сестер ничего не получается — сигнатурный движок принца понимает, что хеш не очень-то совпадает.

Итак, пользуясь этой сказкой и нашим постом, вы можете объяснить детям такие базовые понятия, как подделка личности, цифровой сертификат и сигнатурный анализ.