Пользователь
0,0
рейтинг
8 марта 2014 в 03:14

Разработка → Немного змеиного масла из песочницы

Был удивлен, что не нашел на Хабре статьи о т.н. «змеином масле», далее — перевод статьи, которая мне показалась интересной, т.к. понятие можно экстраполировать на производство любых продуктов, итак…

image

В криптографии «змеиным маслом» называют любой коммерческий способ шифрования, являющийся поддельным или мошенническим.
Название происходит от «Змеиного масла», запатентованного лекарства, имевшего широкое распространение в 19 веке на территории США.

Немного истории
Существуют две основные гипотезы происхождения термина.

По наиболее распространенной, он зародился в западных регионах США и произошел от названия местного лекарства, приготовленного с использованием экстракта китайской водной змеи (Enhydris chinensis), и которое использовали рабы для облегчения боли в суставах. В северной части США средство распространили коммивояжеры, которые использовали «подсадных уток» в аудитории для рекламы его полезных качеств.
Другой источник, доктор Вильям С. Хаубрик (William S. Haubrich) в своей книге «Значения медицинских терминов» («Medical Meanings») доказывает, что название пришло с востока США. Коренные американцы регионов Нью-Йорка и Пенсильвании втирали в порезы и ссадины нефтепродукты, собранные в местах, где нефть просачивалась на поверхность. Европейские поселенцы, наблюдая за их поведением, стали упаковывать эту субстанцию в бутылки и продавать как средство «от всего». В середине 19-го века препарат продавался под названием «Seneca oil». Хаубрик настаивает, что из-за неправильного произношения оно превратилось в «Sen-ake-a oil», а после и в «snake oil».
Тем не менее, заявление Хаубрика является случаем народной этимологии, т.к. более свидетельств этого превращения найдено не было.

История

Китайские рабы, использовавшиеся на строительстве Первой трансконтинентальной железной дороги, были первыми, кто дал европейцам змеиное масло как средство от болей в суставах.
Оно якобы приносило облегчение при втирании в кожу в районе болезненного сустава. Это было опровергнуто продавцами-конкурентами, и в одночасье змеиным маслом стали называть средства, разрекламированные как панацея или как средство чудесного исцеления,
ингредиенты которого держались в тайне, и которые имели неизвестное действие, не соответствовали заявленным характеристикам и, в целом, были инертными или неэффективными.
Патенты на медикаменты родом из Англии, где патент был выдан на эликсир Ричарда Стаутона в 1712 году. Поскольку в США не существовало нормы федерального права, которая бы регулировала безопасность и эффективность медикаментов, до принятия Закона о пищевых продуктах и медикаментах 1906 года, вряд ли у кого из продавцов или производителей обнаружился бы талант к аналитической химии, чтобы проанализировать состав змеиного масла, и так оно стало архетипом подделки.
Торговец змеиным маслом стал типажным персонажем в западных фильмах: путешествующий доктор с сомнительной репутацией продает поддельные лекарства, умело создавая ажиотаж, часто пользуясь околонаучными фактами.
Чтобы увеличить продажи, подельник, играющий роль «подсадной утки» в толпе, часто подтверждал действие продукта, пытаясь тем самым пробудить спрос.
«Доктор» покидал город прежде, чем покупатели обнаруживали обман.

От средства «от всего» до шарлатанства

Состав змеиного масла разнился в зависимости от марок и производителей.
«Змеиное масло Стэнли» — произведенное Кларком Стэнли, «королем гремучих змей» — было проверено правительством США в 1917 году. В составе было обнаружено:
  • минеральное масло
  • 1% животного жира (предположительно, говяжьего жира)
  • красный перец
  • скипидар
  • камфора

По составу напоминает современные капсаициновые линименты или гели на основе вазелина. Ни одно масло не содержало выжимку из хоть какой-нибудь настоящей змеи.
Правительство подало иск на производителя за использование несоответствующего товарного знака и введение в заблуждение касательно продукта. Иск был удовлетворен в размере 20$. Вскоре после решения суда, термин «змеиное масло» стал синонимом поддельных медикаментов, а «продавец змеиного масла» — именем нарицательным для шарлатанов.

Разницу между безопасным и небезопасным шифрованием рядовому пользователю трудно заметить. Многие криптографы, в частности Брюс Шнайер и Фил Циммерман, взяли на себя ответственность предоставить информацию широкой аудитории о том, как осуществляется безопасное шифрование, а также осветить маркетинговые ходы, искажающие действительность касательно некоторых криптографических продуктов.

Snake Oil FAQ определяет сам себя как «подборку общих черт поведения производителей «змеиного масла». Она не дает 100%-й гарантии определения безопасности продукта, так как в любых правилах есть исключения. Но если поведение соответствует сразу нескольким признакам, то, скорее всего, вы имеете дело со змеиным маслом».

Некоторые примеры (неполный список):

  • Секретная система
    Некоторые системы шифрования заявляют об использовании секретных алгоритмов, техник или устройств, что попадает под категорию «безопасность через неясность».
    Критика:
    во-первых, существует принцип Шэннона, проверенный временем, который можно выразить утверждением «враг знает систему», и эта секретность не дает пользователю никаких преимуществ;
    во-вторых, секретные методы, не открытые для публичного ознакомления и криптоанализа, могут содержать ошибки и прорехи в безопасности, которые могут оставаться незамеченными длительное время.
  • «Технотреп»
    Продавцы «змеиного масла» часто прибегают к «технотрепу», поскольку криптография – предмет сложный.
  • Неуязвимость
    Объявление криптографической системы или метода неуязвимым практически всегда ошибочно и, в основном, воспринимается как верный признак «змеиного масла».
  • Шифр Вернама
    Это популярный криптографический метод, используемый при рекламировании, т.к. одноразовые блокноты, используемые корректно, в идеале невозможно взломать.
    Проблемы возникают при попытке его реализации, которая редко выполняется корректно. Криптосистемы, использующие схему одноразовых блокнотов, обычно вызывают подозрение, особенно без описания реализации или при описании ошибочной реализации.
  • Заявления о битности
    Криптографические продукты часто сопровождаются заявлениями об использовании большого количества битов для шифрования, чаще всего ссылаясь на длину используемого ключа.
    Тем не менее, нужно помнить о неравнозначности понятия «длины» ключа для симметричного и асимметричного шифрования.
    Также, детали реализации могут сделать систему уязвимой. К примеру, в 2008 году было обнаружено, что большое количество проданных жестких дисков со встроенным 128-битным AES-шифрованием на самом деле использовали операцию XOR, подверженной легкому взлому. AES использовался только для хранения ключа, который можно было восстановить без взлома AES.


UPD: решил разместить под спойлером еще один перевод, содержащий более детальный экскурс в историю происхождения и этимологию словосочетания.
@zogby
карма
10,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (33)

  • 0
    > К примеру, в 2008 году было обнаружено, что число проданных жестких дисков со встроенным 128-битным AES-шифрованием на самом деле использовали операцию XOR, подверженной легкому взлому.

    несогласованное предложение. Не понял что имелось в виду.
    • 0
      В оригинале:
      For example, in 2008 it was revealed that a number of hard drives sold with built-in «128-bit AES encryption» were actually using a simple and easily defeated «XOR» scheme. AES was only used to store the key, which was easy to recover without breaking AES.

      Можно прочитать «число» как «некоторое число». А если копнуть чуть глубже, то наверно стоит прочитать как «не значительное число». В первый раз слышу о Easy Nova.
      • +5
        number of в данном случае можно перести как множество: "… было обнаружено, что множество проданных жестких дисков ...".
      • 0
        Спасибо за замечание, исправил все-таки на «большое количество».
  • +11
    Хе-хе, большая часть автосигнализаций и сходных с ними систем типа keyless entry по признакам похожа на это самое масло.
    • +13
      В автомобильном мире вообще все плохо: очень много закрытых технологий и нестандартизированных решений. Пока с этим можно мириться — машиной управляет человек. Но когда роботизация выйдет на новый уровень, а автомобилем программно можно будет манипулировать, тогда-то и начнется жара. Поэтому, разумное общество должно было бы нассаивать на открытых стандартах и опенсорсе в прошивках. Но мы не в разумном обществе с копирайтом, победившим права человека.
      • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        >>> Но мы не в разумном обществе с копирайтом, победившим права человека.

        Ну может автопроизводители в этот маразм не включатся (прецедентов то не было), они же авто продают — а не софт к ним. Прошивки или сами пишут или заказывают у оутсорсеров которым плевать на копирайт своих продуктов — по завершению счет выставят и до в стречи наследующем апдейте.
    • +1
      По моей практике есть две конторы, которые делают надежные, не взламываемые кодграбберами, системы — это питерская Magic Systems и калужская Pandora. Я пользовал и ту и ту (одна на машине, другая — на мотоцикле) — впечатления только положительные.

      Ну и товарищи на ugona.net часто устраивают тесты сигналкам новейшими кодграбберами. Всякий компост вроде шерхана сдается сразу обычно.

      Вроде еще и Starline начал выпускать сигналки с честной диалоговой авторизацией, но ИМХО у них опыта маловато.
      • 0
        Никогда не видел смысла в сигнализации. Какая-то гадость, которая срабатывает по ночам. А если захотят угнать, то угонят независимо от наличия сигнализации (у родственников угнали две машины подряд).

        Совершенно очевидно, что дефолтная система (центральный замок, управляемый кнопкой на ключе) ничем не хуже.
        • +4
          Какая-то гадость, которая срабатывает по ночам.

          У меня не срабатывает. ЧЯДНТ? Да и вообще нынче редко у кого (в моем дворе) срабатывает без надобности.

          А если захотят угнать, то угонят независимо от наличия сигнализации (у родственников угнали две машины подряд)

          Очень странное утверждение. Во-первых, если захотят угнать — то угонять будут менее защищенную машину. Во-вторых, есть много примеров, когда угнать захотели, но не получилось как раз из-за хорошей сигнализации.

          И вообще советую почитать про архитектуру современных качественных сигнализаций — это достаточно сложный комплекс удаленных реле-блокировок, работающих по радио каналу или 1-wire-подобным интерфейсам (по штатной проводке, например), которые распиханы по разным местам в машине (бензонасос, стартёр и т.п.). Такой комплекс очень и очень сложно обойти, по крайней мере за разумное время.
          По сути единственный быстрый вариант угнать машину остается — утащить ее на эвакуаторе, но на это мало кто пойдёт.

          Стоимость, при этом, обычно сильно дешевле чем 1 год КАСКО.

          Что там за «сигнализация» стояла у родственников я догадываюсь.

          Совершенно очевидно, что дефолтная система (центральный замок, управляемый кнопкой на ключе) ничем не хуже.

          Это я бы вообще оставил без комментариев, но так было бы нечестно :)

          Штатная система вскрывается любым мало-мальский знакомым с темой вором буквально за пару минут либо подключением к CAN шине, либо заменой блока штатного иммобилайзера на свой.
          • –3
            Да в курсе я, что современные сигнализации блокируют все подряд, но это же не помешало спереть машину, в которой была навороченная сигнализация за стопицот рублей, которая как раз была с «правильным» шифрованием. Как нам сказали в полиции, в таких случаях тупо кидают питание со своего аккумулятора на бензонасос и т. д.

            Даже если не получится угнать — что-нибудь поломают при попытках, а потом со злости еще могут стекла побить, например.

            Про КАСКО вообще вас не понимаю. Если машина стоит больше, чем КАСКО на год — нужно застраховать и не бояться всяких неприятностей, типа аварии или угона.
            • +4
              Даже если не получится угнать — что-нибудь поломают при попытках, а потом со злости еще могут стекла побить, например.

              Замена стёкол обычно дешевле замены машины.
              • –2
                Да, особенно если брать неоригинал :) Для сравнения менял заднее стекло — оригинал 24 т.р., копия 6 т.р. Разницы не заметил.
            • +2
              Как нам сказали в полиции, в таких случаях тупо кидают питание со своего аккумулятора на бензонасос и т. д.

              Это всё на словах просто. А найти что в машине заблокировано и обойти — дело очень сложное. Если машину спёрли — значит хозяин игнорировал предупреждение сигнализации или как-то иначе дал ворам кучу времени на обход закладок.

              Еще бывает, что установщики сливают данные о владельце и месте установки блокировок. Ну тут уже нужно либо ставить самому, либо доверенными установщиками пользоваться.

              Про КАСКО вообще вас не понимаю. Если машина стоит больше, чем КАСКО на год — нужно застраховать и не бояться всяких неприятностей, типа аварии или угона.

              Угу, угу, плавали, знаем. Попробуй потом получить в страховой деньги за угон — заманаешься, при этом ты получишь денег сильно меньше стоимости машины. И потеряешь кучу времени и нервов на этот процесс.

              Про повреждения вообще молчу, починить машину после более или менее серьезного ДТП можно только подав гражданский иск к виновнику обычно.

              Так что спасибо. не надо. КАСКО это дополнение, но никак не замена сигналки.
              • +2
                Попробуй потом получить в страховой деньги за угон — заманаешься, при этом ты получишь денег сильно меньше стоимости машины.

                Попросили бумажки из полиции о возбуждении дела, буквально через месяц вернули деньги. Да, вместо полутора миллионов — миллион триста тысяч, но вернули же.

                Хорошо, я понял вас, надо будет пересмотреть отношение к сигнализациям. Но себе все равно не хотел бы. :-)
          • 0
            Все эти современные качественные сигнализации хороши только до первой поломки. Которая происходит как всегда в самый неподходящий момент.
            А вообще — незачем покупать машины угон которой серьезно ударит по бюджету. Нервы целее будут и на сигналках можно сэкономить :)
      • +1
        Скажите, а существует хотя бы одна контора, не скрывающая детали применённых алгоритмов и протоколов?
        Потому что
        надежные, не взламываемые кодграбберами, системы
        сигналки с честной диалоговой авторизацией
        — это то же самое «змеиное масло», о котором предостерегает статья, а
        тесты сигналкам новейшими кодграбберами
        как и прочие публичные тесты и попытки взлома могут дать чувство ложной безопасности.
        • 0
          Не видел таких. Тут, я думаю, дело в патентах и т.п.
          Хотя, конечно, общий алгоритм авторизации и применяемые алгоритмы шифрования могли бы и выложить, это да.
          Вроде как даже применимо к Magic Systems кто-то снифферил траффик и в общих чертах разобрался в диалоге между базовым модулем и брелком, но где я это читал уже не припомню. Вроде как там всё честно, двух- или трех-шаговая авторизация (что-то вроде CHAP).

          Тут кто-то на хабре предлагал уже делать опен-сурс сигнализации на базе стандартных микроконтроллеров и радиомодулей (atmega + nRF те же). По-моему, вполне здравая мысль, я буде свободное время занялся бы чем-то таким для себя, для начала думаю начать с сигналки для квартиры.

          Так что в плане безопасности сигнализаций пока приходится полагаться на статистику взломов и возможности выпускаемых дельцами кодграбберов (список сигнализаций, которые они ломают).
  • +1
    Спасибо за статью. Только не «сопутствуются», а «сопровождаются».
    • 0
      Спасибо, исправил
  • +1
    Тем не менее, нужно помнить о неравнозначности понятия «длины» ключа для синхронного и асинхронного шифрования.

    Наверное, все-таки, симметричного и ассиметричного.
    • 0
      Конечно.
  • +2
    То-то с каждый Апачем идет сертификат на имя конторы SnakeOil Ltd!
    • 0
      Тонко намекают :)
    • 0
      Привязка сертификатов к веб-серверу и подтолкнула к этому небольшому «расследованию»)
      • 0
        Ну вот. Иногда и пасхалки приносят пользу.
  • 0
    Есть перевод статьи Шнайера 1999 г. на эту тему: password-crackers.ru/articles/30/
  • +1
    Извините, но переводить «Shannon's maxim» как «принцип Шеннона Максима» — это, мягко говоря, неверно. Не говоря уж о том, что это переформулировка принципа Керкгоффса (нет, не Кирхгофа).
    • 0
      Действительно, никакого не Максима, а Клода Шеннона. В оригинале слово maxim почему-то с большой буквы.
  • +3
    Правильнее переводить «змеиный жир». Масло у растений.
    • +1
      Не обязательно, и так, и так законно. Есть жиры и они делятся на животные и растительные. Жиры могут быть твердыми (преимущественно содержат насыщенные кислоты) и жидкими (преимущественно содержат ненасыщенные кислоты). Жидкие жиры часто зовут маслами. При этом есть жидкие животные жиры (рыбий жир), и есть твердые растительные жиры (кокос, какао). Но есть способы смены агрегатного состояния в нормальных условиях, можно превратить жидкое масло в твердый жир, и наоборот.
      Следовательно, нельзя говорить, что масло только от растений, а жир только от животных. Более того, змеиный жир как продукт бывает и в виде масла (жидкий), и в виде жира (твердый).
    • 0
      В оправдание своему переводу, состояло-то оно из жира всего на 1% процент, большая часть все-таки была минеральным маслом).

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.