LXj’s blog

Есть такой замечательный подкаст — Security Now!. Там не только рассказывают, как на этой неделе модно ломать Windows (из этого подкаста можно узнать, что сейчас в сети бушует эпидемия червя Conficker, который принципиально обходит украинские компьютеры, зато ещё один червь поражает Windows-банкоматы в Восточной Европе), но и вообще — о работе различных технологий, связанных с безопасностью, шифрованием и анонимностью.

Вместе с Лео Лапортом (который ведёт все подкасты на TWiT Network) ведущим Security Now! является Стив Гибсон. Как и положено ведущему такого подкаста, он является гиком, параноиком, консерватором, да ещё и программистом на ассемблере в придачу (при этом он всё-таки использует в основном Windows, и программирует под него же).

Так вот, похоже, что в Яндексе этот подкаст тоже слушают: сегодня они объявили о начале тестирования услуги «Усиленная авторизация» для Яндекс.Денег. На практике это — такая хитрая реализация многофакторной аутентификации. Что это такое?

Допустим, у вас есть логин и пароль от какого-нибудь сервиса (те же Яндекс.Деньги). И всё хорошо, пока вы не приходите в компьютерный клуб/в гости или сами не подцепляете какой-нибудь кейлогер. После этого можно смело считать, что логин и пароль есть не только у вас. Как в такой ситуации избежать несанкционированного доступа вод вашим логином?

Есть несколько основных способов. Способ первый часто используется банками: для вас формируется одноразовый пароль и высылается в виде смски. Недостаток очевиден: если вы не банк, то вам может быть слишком накладно заморачиваться рассылкой смсок.

Способ второй — использование всевозможных USB-ключей, сканеров отпечатков пальцев и прочих замечательных гаджетов. Тут недостатки ещё более очевидны.

Третий способ похож на второй: использование относительно дешёвых… как бы это сказать по-русски… security dongle’ов. Это такая маленькая карточка с экранчиком, на котором по нажатию кнопки отображаются 5-6 цифр. Цифры генерируются либо из последовательности, либо в зависимости от текущего времени. Естественно, сервер знает серийный номер вашего личного донгла, и может точно также сгенерировать эти же цифры. Самый известный продукт из этой серии выпускает VeriSign, и его можно использовать для защиты PayPal-аккаунтов. По всей видимости, те же верисайновские донглы покупает Blizzard, красит в синий цвет, и продаёт как Battle.net Authenticator, чтобы игроки могли защищать от взлома свои аккаунты в World of WarCraft и прочих Craft’ах (поскольку кейлоггеров, охотящихся за паролями от WoW сейчас уже почти столько же, сколько и кейлоггеров, охотящихся за номерами кредиток и паролями от PayPal). Опять же, решение хоть и относительно дешёвое, но заставлять своих пользователей тратить деньги на покупку и доставку донгла решится не каждый.

Общее для систем многофакторной аутентификации: должны быть две сущности, «что-то, что ты знаешь» (логин и пароль) и «что-то, что у тебя есть» (мобильный телефон с заданным номером или верисайновский аутентификатор, прикреплённый к твоему аккаунту). «Что-то, что ты знаешь» можно «увести» кейлоггером — но «что-то, что у тебя есть» можно украсть только физически. Конечно, при наличии утюга и паяльника можно попросить владельца поделиться и тем, и другим, но от всех остальных случаев многофакторная аутентификация защищает достаточно надёжно.

Так вот, Стив Гибсон, конечно же, рассказывал в своих подкастах о различных решениях для аутентификации, и не мог не придумать свою. В конце концов он её придумал — Perfect Paper Passwords. В Яндексе сегодня запустили что-то очень похожее, но в отличии системы Яндекса, у PPP уже есть целая куча опенсорсных реализаций на все случае жизни на самых разных языках программирования. Так что если хотите ввести похожую систему у себя в компании, например, то — берите и пользуйтесь.

Идея простая: вам выдаётся картинка со столбиками групп символов. Предполагается, что картинку вы либо распечатаете, либо будете таскать с собой на флешке (что тоже может быть не всегда удобно, но зато дёшево). После ввода вашего логина и пароля, программа/браузер вам скажет «введите символы из строки 4, столбца B)» — это и будет ваш одноразовый пароль.

Честно говоря, не ожидал, что такие крупные организации, как Яндекс, будут заморачиваться с подобной системой — но поскольку в наших краях фиг кого заставишь потратить 10-15 баксов на покупку донглов через интернет, то вариантов у них было немного.

Comments

Интересные и поучительные вещи происходят в сфере общения через интернет.

За последний примерно год у меня не появилось ни одного нового ICQ-контакта. Если мне нужно общаться с каким-нибудь гиком, то у него наверняка есть джаббер. Если мне нужно общаться с каким-нибудь негиком, то у него Skype. При чём голосом через Skype я общался ровно два раза — один раз это был Skype-out, и один раз со своим братом, когда он тестировал свой мобильник-телевизор-вебкамеру.

Посольку статистически негиков больше, то битву джаббера с ICQ+AIM/MSN+Yahoo явно выиграл Skype.

Тоже самое происходит сейчас с микроблоггингом. Русские гики пытаются мигрировать в Juick, опенсорсные гики пытаются раскрутить Laconi.ca/Identi.ca, все прочие гики тащутся от FriendFeed, в то время как массы открывают для себя Twitter, который ещё вчера популяризировали сначала всё те же гики, а затем Обама с Кучером и Опрой. Нет, я не буду вслед за гиками уходить из твиттера, ибо я уже привёл как минимум трёх негиков в твиттер.

Но самое страшное — это, пардон, Одноклассники. Я знаю как минимум двух человек, которым проще и удобней общаться через Одноклассников, чем через e-mail. Один из них — мой родственник, поэтому я постараюсь обойтись без мата. Это, граждане, пушистый песец. 30 лет e-mail был всем хорош, а теперь он оказывается хуже каких-то говноклассников. Занавес.

Поэтому пусть у Google Wave всё получится. Пусть он будет таким хорошим, как о нём говорят (раз, два). Пусть под него появятся хорошие и удобные клиенты. Пусть для нормальных людей он не окажется слишком гиковским. Пусть для суровых гиков он не будет слишком гламурным. Пусть он заменит форумы, потому что форумы сосут, а рассылками пользуются только гики. Пусть он будет удобнее e-mail и говноклассников.

Пусть всем будет хорошо, и никто не уйдёт обиженным.

Comments

…and boy is it cheesy!

Обычная студия CNN, ведущий разговаривает с очердным гостем. Вот только ведущий находится в самой студии, а гость представлен своим трёхмерным голограммным изображением.

Фотография c ТесhCrunch’а

(Вообще-то говорят, что это не настоящая голография, а монтаж: ведущий на самом деле не видит своего гостя. Но кому это интересно по эту сторону экрана?)

Comments

Возненавидеть поисковики легко.

Представим, что вам нужно найти что-то про CSS. Пишем «CSS тра-ля-ля» в гугль и все довольны.

А теперь представим, что вам захотелось узнать, как с помощью CSS изменять оформление таблиц…

Опаньки.

Comments

Так и быть, гадости про Майкрософт.

Во-первых, нынче модно обсуждать статью Джоэла Сполски о том, что IE8 написали марсиане о веб-стандартах (перевод). Ясное дело, я полностью согласен… нет, не с Джоэлом, а с другой статьёй

Во-вторых, я тут выяснил новые подробности проблемы медленного копирования файлов в Windows. В Security Now! недавно делали обзор TrueCrypt 5 (программы для «прозрачной» работы с зашифрованными разделами) и оказалось, что с TrueCrypt’ом (который, по всей видимости, замещает драйвера Windows для работы с диском) работа с жёстким диском происходит быстрее! (и это с шифрованием на лету). Скачать этот выпуск можно здесь, а прочитать транскрибированную версию здесь

Ну и на закуску — про ослика ИА

Comments

Вот тут объясняется история с медленной скоростью копирования файлов в Висте. На самом деле алгоритм копирования был даже улучшен по сравнению с XP, но особенности работы диалога, показывающего прогресс копирования, замедляли процесс с точки зрения пользователя.

Ещё до перехода на Linux я однажды установил плагин к Far’у, который менял используемый алгоритм копирования: при копировании кучи мелких файлов он их копировал не один за другим, а сначала считывал несколько файлов в память, а затем — все записывал. И чаще всего копирование с этим плагином происходило значительно быстрее.

В Linux я чаще всего копирую командой cp, и понимаю, что в ней-то всегда используется примитивный алгоритм — файл за файлом. На самом деле разделить чтение и запись файлов можно при помощи tar — я сейчас не помню точно с какими параметрами его нужно вызывать, но идея такая:

tar c <список файлов> | tar x

То есть мы создаём несжатый архив, но не сохраняем его на диск, а передаём на вход разархиватора. Но это, конечно, выход не идеальный — зачем нам ещё и создавать архив, если мы всего лишь копируем файлы?

Вопрос для домашнего задания: а какие стратегии копирования используются в Dolphin и Nautilus?

Comments