Гигабайты власти. Информационные технологии между свободой и тоталитаризмом
Шрифт:
Другая весьма привлекательная для военных область применения технологии RFID и близко ей родственных бесконтактных смарт-карт - это контроль доступа. Широкомасштабные эксперименты с «умными бейджами» начались в Пентагоне в 2000 году, вместе с постепенным вводом личных «карт общего доступа» для идентификации военного и гражданского персонала на основе смарт-карт [REOO].
Но, вообще говоря, к технологиям смарт-карт в Министерстве обороны США начали примеряться по крайней мере года с 1993. Тщательно знакомились с опытом правительственных органов стран поменьше, таких как Испания или Финляндия, где подобные вещи уже введены достаточно широко. Изучали и готовили технологический фундамент в национальной промышленности. Приблизительное представление о том, что представляет собой система автоматизированного контроля доступа в режимных ведомствах, можно получить на следующем примере. На рубеже 1998-99 гг. американская фирма 3-G International (3GI) объявила о выпуске «смарт-картной системы широкого применения Passage Government», предназначенной для решения задач по обеспечению безопасности в правительственных агентствах и организациях. В системе 3GI предусмотрено шесть базовых приложений, куча дополнительных, а также технология управления картами, позволяющая правительственным организациям выпускать «персонализированные» многоцелевые смарт-карты. Каковы же основные приложения Passage Government?
• Мониторинг физического доступа и определение местонахождения персонала - обеспечивает контроль и регистрацию прихода и ухода сотрудников с работы. Для идентификации сотрудников используются цифровые фотографии, и в реальном масштабе времени поддерживается база данных о персональном местонахождении людей. По запросу администрации генерируются соответствующие сообщения и отчеты.
• Учет посетителей - работает совместно с предыдущим приложением. Приложение поддерживает базы данных о посетителях, о временных картах-пропусках, о выдающих эти карты и о принимающих посетителей.
• Контроль за оборудованием - обеспечивает усовершенствованный учет и контроль за имуществом и оборудованием на объекте. Доступ к оборудованию контролируется соответствующей базой данных о владельцах смарт-карт.
• Учет посещаемости - использует возможности смарт-картной технологии для оперативного документирования посещений сотрудниками учебных занятий, встреч, конференций и прочих служебных сборов. Это клиентское приложение «снимает» персональную/административную информацию со смарт-карты посетителя мероприятия и формирует отчеты заседаний.
В 2001 году фирму 3GI поглотила более крупная RSA Security, включив Passage Government в более широкий пакет приложений RSA SecurlD Passage [FA01].
Одно из главных «неудобств» традиционных смарт-карт - для считывания информации их надо непременно проводить через щель прибора считывателя. Другое дело - новые бесконтактные смарт-карты, обменивающиеся информацией с ридером или программатором дистанционно через радиочастотный интерфейс. Метка RFID, по сути своей, та же самая бесконтактная смарт-карта, но с меньшей функциональностью из-за крошечных размеров. С начала 2000-х годов именно RFID и бесконтактные смарт-карты выступают в качестве основы современных систем «умных бейджей», внедряемых повсеместно - в госучреждениях и корпорациях, учебных заведениях и тюрьмах [РЕОЗ], [JS03].
Мало кому (кроме государства и корпораций) нравится идея крупных баз данных, централизованно хранящих персональную информацию о гражданах. Во-первых, это сверхпривлекательный объект устремлений для злоумышленников, использующих реквизиты чужой личности в своих гнусных целях. Во-вторых, это мощная потенциальная угроза злоупотреблений со стороны владельцев базы и обслуживающего персонала. И в-третьих, коль скоро здесь так глубоко замешан человеческий фактор, надежно защитить подобные хранилища практически невозможно. В таких условиях можно гарантировать, что известия о компрометации очередной крупной базы как появлялись часто прежде, так и будут регулярно появляться впредь. Широкое же внедрение микрочипов радиоидентификации, которые индустрия в ближайшем будущем намерена встраивать чуть ли не во все потребительские товары, непременно увеличит и масштабы компрометации. Потому что RFID, облегчающие корпорациям и торговым сетям учет производства и сбыта, для покупателей означают ведение соответствующих гигантских баз данных о приобретенных ими товарах.
Эта тенденция очень не нравится той части общества, что обеспокоена вторжением корпораций и властей в личную жизнь граждан. Для сопротивления бесконтрольному насаждению RFID создана специальная общественная организация CASPIAN или «Потребители против вторжения супермаркетов в частную жизнь» (Consumers Against Supermarket Privacy Invasion and Numbering). Летом 2003 г. активисты этой организации и решили проверить, как радетели RFID, заверяющие всех в надежной защите накапливаемой информации, в действительности способны хранить секреты. Для этого был проведен нехитрый тест на сайте Auto-ID Center (www.autoidcenter.org) - исследовательского центра консорциума, объединяющего около 100 компаний и 5 университетских лабораторий, разрабатывающих инфраструктуру для широкомасштабного внедрения чипов идентификации. Абсолютно без всяких хакерских ухищрений, просто введя в окошке поиска волшебное слово «confidential», правозащитники получили свободный доступ к целой библиотеке (около 70) конфиденциальных документов, не предназначенных для посторонних глаз [АМОЗ].
Среди этих материалов оказался, в частности, доклад о мерах по «умиротворению» противников RFID, в котором приводятся цифры внутреннего социологического исследования, показавшего, что около 78% опрошенных граждан «встревожены» посягательством чипов-меток на частную жизнь, а 61% обеспокоены влиянием повсеместно встроенных микросхем на здоровье. В другом документе вносятся предложения по смене отпугивающего названия RFID-чипов на более дружелюбное типа «зеленые ярлыки». О документах с подробным расписанием рабочих встреч и детальной контактной информацией функционеров консорциума и говорить не приходится.
Естественно, это дало повод активистам CASPIAN громко заявить о неспособности консорциума обеспечить надежное хранение чувствительной к разглашению информации. В Auto-ID Center, в свою очередь, воздержались от комментариев, однако усилия для более надежного закрытия документов все же приложили. Впрочем, птичка уже выпорхнула из клетки, и конфиденциальные документы можно найти в Сети на множестве сайтов-зеркал (см. cryptome.org/rfid-docs.htm).
Интересно также, что буквально на следующий день после скандала крупнейшая в мире сеть универмагов Wal-Mart (порядка 4700 магазинов по всему миру) неожиданно объявила о сворачивании торгового эксперимента с RFID-чипами в бритвах Gillette. Руководство Wal-Mart не пожелало комментировать прекращение этого проекта, получившего название «умные полки» и уже практически подготовленного к запуску в универмаге Броктона, одного из пригородов Бостона. Но можно предполагать, что скандал в Auto-ID Center был сочтен слишком неблагоприятным фоном для представления публике новой технологии [GS03].
[В Древнем Египте] термином «хэка» обозначалась магия, то есть «слова власти» - магические слова, заклинания.
Имеется некоторое сообщество, некая общая культура, состоящая из опытных программистов и сетевых чародеев, которая ведет свою историю от многолетней давности первых миникомпъютеров и от самых ранних экспериментов с сетью ARPAnet. Члены этой культуры и дали рождение термину " hacker " [хэка]. Хэкеры построили Интернет.
Эрик Рэймонд. Как стать хэкером
Во все времена власти с опаской относились к компетентным людям, хорошо знающим свое дело, а потому имеющим тенденцию к самостоятельному мышлению и независимым суждениям. В древнейшие времена такой репутацией пользовались маги, с наступлением эры высоких технологий обостренное раздражение властей стали вызывать так называемые «хакеры». Сейчас уже никто, наверное, и не скажет, в какой момент к термину «хакер» прирос криминальный смысл. Обычно в этом принято винить поверхностных журналистов и киношников, не способных провести грань между пытливым исследователем-профессионалом и каким-нибудь безответственным или злонамеренным негодяем (кракером, т.е. криминальным хакером), использующим чужие результаты в собственных корыстных целях.
В последний день 1999 года на страницах популярного сайта Slashdot.org была опубликовано интервью с членами известной хакерской организации LOpht [В 2000 году на базе LOpht была создана консалтинговая компания @Stake, специализирующаяся на проблемах компьютерной безопасности], признанное читателями, как один из лучших материалов такого рода за всю историю Slashdot. Интервью было коллективным, то есть ответы давал как бы просто LOpht, без конкретизации отвечавших личностей. И один из самых первых вопросов звучал примерно так: «Чьи угрозы следует рассматривать более опасными для личных свобод, со стороны правительства или со стороны транснациональных корпораций?»