Блог DFCenter

Дыры в цифрах и сетях

Когда смотришь 8 апреля в московское окно, а там непроглядная метель, невольно думаешь о сбоях в программе «Весна-2021». И настораживаешься. Потому как сбои эти иногда могут быть очень даже масштабными и болезненными (как мы все знаем по опыту эксплуатации Весны-2020).

Иногда такие сбои – просто стечение обстоятельств, когда десяток несущественных факторов сложились вместе раз в 100500 лет в непредсказуемый убойно-причудливый узор. Но иногда – это результат банальной ошибки, грубого просчета или даже явно злого умысла. Но это мы, конечно, уже не про погоду. А про софт, алгоритмы и прочее IT добро.

История первая. Давным-давно, в 1977 году, ученые Рональд Ривеест, Ади Шамир и  Леонард Адлеман придумали RSA – криптографический алгоритм с открытым ключом, основывающийся на вычислительной сложности задачи факторизации больших целых чисел. В общем очень сложная штука из математики, которая так и осталась бы в мире ученых, если бы ее не стали использовать в системах шифрования и цифровой подписи. Сегодня он применяется в большом числе криптографических решений, включая PGP, SSL и прочих – для безопасной работы сайтов, банковских карт и приложений, других важных вещей.

И вот другой ученый – Клаус-Петер Шнорр, тоже суперматематик и автор «конкурентного» алгоритма шифрования кстати – провел новое теоретическое (пока что) исследование, которое вроде как показывает, что взломать RSA можно гораздо быстрее, чем предполагалось ранее.

Шнорр утверждает, что «400-битное число может быть разложено на множители с помощью существующих алгоритмов (QS) за 1,415 × 10 ^ 17 арифметических операций. Его новая атака довела его до 4,2 × 10 ^ 9 операций. Что в 34 миллиона раз быстрее. То есть работа по подбору, которая раньше занимала 92000 лет, теперь может быть выполнена за 1 день!».

Конечно это все в теории. Но зная этих ученых и, в особенности, айтишников, по их идеям работающих, – у них от теории до практики (и активных продаж) 2-3 спринта в скраме и в продакшн, как говорится.

Но вроде как BTC и ETH пока пронесло – ведь «данное теоретическое исследование не затрагивает разделы эллиптической криптографии, к которым относятся алгоритмы криптовалют». Но правовые риски могут возникнуть и без крипты.

А вот другая история, уже ближе к народным массам. Давным-давно, примерно в 1993 году, компания Adobe выпустила в свет первую версию своего межплатформенного открытого формата электронных документов, который был в первую очередь предназначен для работы полиграфической продукции в электронном виде. В миру этот формат больше известен как Portable Document Format или же PDF.

Формат прижился далеко за пределами полиграфии. Оброс возможностью вставки таблиц, картинок и мультимедии, цифровых подписей и криптографии. Все это сделало его очень популярным для работы не только в бизнесе, но и даже в госструктурах разных стран. 

Вы, скорее всего, не раз сталкивались с документами в этом формате, имеющими статус «официальных». Скрепленные цифровой подписью PDF-файлы применяются в договорной работе (контракты, акты, счета), в отношения гражданина или бизнеса с государством (всевозможные выписки, справки на сайте Госуслуг, ФНС, Росреестра и так далее). И вроде как считается что это очень безопасно. Цифровая подпись гарантирует, что документ подписан уполномоченным лицом, а его содержание – подлинное и неизменное. Однако это не совсем так.

Тут, скажем так, группа технических специалистов провела ряд экспериментов и наглядно показала, что есть минимум три потенциальных способа обмануть систему – поменять текст (буквы, цифры, что-то еще) внутри подписанного PDF-документа так, чтобы цифровая подпись автора не «сломалась». Очень занимательное чтиво, даже если половина технических терминов для вас непонятны. Суть и юридические перспективы ясны и без них.

Но самое интересное сегодня – это конечно то, что фейсбук (опять) взломали. Хотя может «причиной утечки из социальной сети Facebook данных более 530 млн пользователей является не взлом хакерами, а веб-скрейпинг», как говорят в самой соцсети. Ну то есть парсинг профилей пользователей сети сторонними игроками.

Знающие люди говорят, что утекли «не только имя, e-mail и телефон, но также дата рождения (привет, фишинг про скидки в день рождения) и имя работодателя (привет, фишинг от имени работодателя про изменения в трудовые договора, смену врача-куратора по ДМС, прибавку к зарплате в размере инфляции и т.п.). Так что делайте выводы...».

Может и не плохо, что в России с 1 марта 2021 года вступили в силу новые правила обработки «общедоступных персональных данных», где этот самый парсинг запретили.

Следите за новыми постами в facebook, telegram, а также на нашем сайте, где мы рассказываем об арбитражной форензике и компьютерной экспертизе.