Рассматривая это взаимодействие, я буду считать дроидов компьютерами. Поэтому мы можем задавать вопросы типа «Как компьютер идентифицирует человека?». Это один из нескольких ключевых типов аутентификации. Мы также можем спросить, как человек идентифицирует компьютер или один компьютер идентифицирует другой. «Звездные войны» полны проблем, которые возникают из задачи идентификации человека человеком. Почему в приквелах члены Совета джедаев не осознают, что канцлер – это также лорд ситхов Дарт Сидиус?

Аутентичный означает нечто подлинное, настоящее. R2-D2 хочет показать видео только настоящему, аутентичному Оби-Вану, а не любому, кто подойдет и попросит об этом. Чтобы добиться этого, нужны идентификаторы и аутентификаторы. Угрозы спуфинга – это нарушение аутентичности; вы получаете кого-то или что-то, отличное от того, что ожидаете. «Звезда смерти» не в состоянии аутентифицировать R2-D2, когда он подключается к системе, это общая проблема в мире «Звездных войн». В нашем мире ложные (spoofed) коды аутентификации – это тоже общая проблема: мы называем их украденными паролями. Но это не просто фейковые личности; это также фейковые веб-сайты для фишинга и других видов мошенничества.

Для аутентичности сначала требуется идентификатор: заявление о том, кто вы такой. Это может быть именем (Хан Соло) или ролью (штурмовик). И то и другое может быть подлинным или фальшивым, и, с учетом риска самозванства, недоразумений или лжи, мы прибегаем к факторам аутентификации, таким как удостоверение личности (ID), пароль или униформа, чтобы оценить, является ли идентификатор аутентичным, и предоставить доступ (или отказать в нем). В этой главе мы начнем с идентификаторов как для человека, так и для техники. Мы, естественно, коснемся аутентификации, когда будем разбирать различные конкретные способы, которыми подменяется идентичность человека или устройства, а затем углубимся и узнаем больше подробностей позже в этой главе. Существует много разных форм аутентификации, в зависимости от того, кем эта аутентификация выполняется, человеком или компьютером, и к кому применяется, к человеку или к компьютеру. Далее мы посмотрим на различные сценарии спуфинга, на использованные механизмы и на защиты. Эта глава длиннее, чем те, что идут за ней, потому что спуфинг очень сильно отличается в ситуациях, когда самозванцем выступает человек, а когда – компьютер, и способы проверки различны, когда выполняются людьми и когда компьютерами.

Как показано на рисунке 1.1, средства аутентификации различаются в зависимости от того, какая сущность пытается доказать свою идентичность, и от того, какая сущность выполняет проверку.

Рис. 1.1. Способы аутентификации

Рис. 1.2. Сложность аутентификации

Откровенно говоря, некоторые из методов, показанных на рисунке 1.1, не очень надежны. Например, компьютер перед вами аутентифицируется его физическим положением: вы доверяете ему свой пароль, поскольку вводите в него пароль. Иногда такая слабая аутентификация проходит, в иных случаях сторона, проверяющая другую сущность, хочет более сильной аутентификации (рис. 1.2).

Существует множество типов технических идентификаторов, включая идентификаторы для сервисов, машин, файлов, процессов и пользователей. Некоторые предназначены для людей, например threatsbook.com, другие предназначены для компьютеров, например 172.18.19.20. Конечно, есть инструменты для того, чтобы преобразовывать одно в другое. Как это делается – очень важно, потому что каждое преобразование – это вырисовывающаяся возможность для того, чтобы вкрались ошибки или возникли угрозы, влияющие на вашу систему.