Биометрические характеристики в аэропортах
Регулирование требований к криптографии
Террористы и стенография Можно предположить, Al-Qaeda использовали стенографию. Согласно негласным "представителям и экспертам США" и террористические группы, и иностранные представители используют для "утаивания карт и фотографий для террористических целей, почтовых отправлений, инструкций по террористической деятельности сообщения о спортивных достижениях, чаты, порнографические страницы и другие места Web". Я писал о стенографии в прошлом, и не хочу сейчас тратить время, возвращаясь к старым записям. Просто, под стенографией (steganography) будем понимать науку о скрытии сообщения в сообщениях. Обычно, сообщение (или открытый текст или, более разумно, зашифрованный текст), закодирован как небольшие изменения в цвете пикселей цифровой фотографии. Или как незаметный шум на звуковом файле. Для неопытного наблюдателя это - просто снимок. А для передающего и получателя в нем есть скрытое сообщение. Меня не удивляет, что террористы используют такую хитрость. Сами аспекты steganography, которые делают это неподходящим для нормального корпоративного использования, позволяют делать это подходящим для использования террористами. Наиболее важно, это может быть использовано в электронных испорченных приборах. Если Вы прочитаете письменное показание ФБР против Robert Hanssen, Вы узнаете, как Hanssen передавал информацию своим русскими компаньонам. Они никогда не встречались, но должны были обмениваться сообщениями, деньгами, и документами друг с другом в пластиковых мешках под мостом. Связной Hanssen's должен оставить сигнал в общественном месте - отметку мелом в почтовом ящике, чтобы указать на доставку пакета. Hanssen позже забирал пакет. Это и был основной способ, называемый "dead drop". У него есть много преимуществ над прямой встречей. Во-первых, две стороны никогда не были замечены вместе. Во-вторых, стороны не должны координировать рандеву. В-третьих, и важнее всего, одна сторона даже не должна узнать, кто был другим (определенное преимущество при этом есть, когда один из них арестован). "dead drop" может использоваться, чтобы обеспечить полную анонимную, асинхронную связь. Использование "steganography", чтобы вставить сообщение в порнографическом образе и почтовом отправлении это уже эквивалент "dead drop" в кибернетическом пространстве. Это все еще просто снимок. А получатель, зная, что там есть сообщение, извлекает его. Для того чтобы проделать эту работу на практике, террористы должны устанавливать некоторую сортировку кода. Подобно тому, как Hanssen знал, что его пакет забран, когда он видел мел, виртуальный террорист должен узнать, что нужно поискать в его сообщении. (Он должен, предположительно, не искать каждый снимок). Есть масса путей, чтобы передать сигнал: отметка времени в сообщении, необычное слово в подчиненной строке, и т.п. Используйте здесь Ваше воображение; возможности безграничны. Эффект состоит в том, что передатчик может передать сообщение без непосредственной встречи с получателем. Нет эл. почты между ними, никаких дистанционных входов, никаких мгновенных сообщений. Все, что существует, - объявленный снимок в общественном форуме, и затем, достаточно извлечь подчиненную строку (как третья сторона, так и предполагаемый получатель секретного сообщения). Так, что такое агентство антишпионажа должно делать? Есть стандартные пути обнаружения steganographic сообщений, большинство из которого включает поиск изменений в образцах, но они дороги. Если Bin Laden использует порнографические образы, чтобы вставить секретные сообщения, вряд ли эти снимки возьмут в Афганистан. Они, вероятно, загружаются из Web. Если АНБ Почему не могут использовать это предприятия? Первичная причина, законным предприятиям не нужны леденцы. Я помню один разговор в компании о корпорации, вставляющей steganographic сообщение своим продавцам на фото на корпоративной странице Web. Почему просто не послать кодированной сообщение эл. почтой? Поскольку кто-нибудь мог обратить внимание на эл. почту и знать это, продавцы все получили закодированное сообщение. Так шлите сообщения каждый день: реальное сообщение когда Вам что-то нужно, и ложное сообщение в противном случае. Это - проблема анализа движения, и есть другие методы, которые могут это решить. Steganography не нужна здесь. Steganography - хороший путь для террористических групп, чтобы связаться, допускать связь без любой группы, знающей тождество другой. Там - другие пути формирования представлений в киберпространство. Шпион, например, может подписать свободный, анонимный счет эл. почты. Bin Laden, вероятно, это тоже использует. Новые статьи: <http://www.wired.com/news/print/0,1294,41658,00.html> <http://www.usatoday.com/life/cyber/tech/2001-02-05-binladen.htm> <http://www.sfgate.com/cgi-bin/article.cgi?file=/gate/archive/2001/09/20/sig <http://www.cnn.com/2001/US/09/20/inv.terrorist.search/> <http://www.washingtonpost.com/wp-dyn/articles/A52687-2001Sep18.html> Мой старый очерк по steganography: <http://www.counterpane.com/crypto-gram-9810.html#steganography> Анализ не требует никакой steganography на eBay: <http://www.theregister.co.uk/content/4/21829.html> Обнаружения steganography на Internet: <http://www.citi.umich.edu/techreports/reports/citi-tr-01-11.pdf> Версия этого очерка оказывалась на ZDnet: <http://www.zdnet.com/zdnn/stories/comment/0,5859,2814256,00.html>; <http://www.msnbc.com/news/633709.asp?0dm=B12MT>
Авторское право Русский материал Малютина А.
|
Предыдущая страница
