Код принуждения является скрытым сигналом бедствия , используемый человеком , который в настоящее время принуждения одним или более враждебных лиц. Он используется, чтобы предупредить других о том, что их заставляют делать что-то против их воли. Как правило, предупреждение дается с помощью некоего безобидного сигнала, встроенного в обычное общение, такого как кодовое слово или фраза, произносимая во время разговора, чтобы предупредить других сотрудников. Альтернативно, сигнал может быть включен в самом процесс аутентификации, как правило , в виде панического пароля , дистресс пароля , или принуждение PIN - коды , который отличается от обычного пароля пользователя или PIN - кода. Эти понятия относятся к тревоге паники. и часто достигают того же результата.
Гражданское использование
Некоторые системы охранной сигнализации для дома и собственности имеют PIN-коды принуждения, в которых последние две цифры кода сброса меняются местами. Ввод кода под принуждением со стороны нападавшего может вызвать бесшумную тревогу , тайно оповестив полицию или сотрудников службы безопасности. Реализация этой функции не обошлась без разногласий, поскольку было заявлено, что она приводит к ложным срабатываниям. [1] Аналогичный механизм, SafetyPIN , был предложен для использования в банкоматах. В 2010 году Федеральная торговая комиссия выпустила отчет, в котором изучалась жизнеспособность таких механизмов для банкоматов. [2] Они отметили, что PIN-коды по принуждению никогда не применялись ни в одном банкомате, и пришли к выводу, что затраты на развертывание перевешивают вероятность того, что они действительно будут сдерживать преступную деятельность.
Когда ПИН-код по принуждению используется для срабатывания тихой тревоги, злоумышленник всегда может запросить ПИН-код заранее и убедиться, что вместо него введен соответствующим образом измененный ПИН-код. Если злоумышленник не знает, какой PIN-код правильный, он может случайным образом выбрать один из двух возможных кодов, что позволит ему преуспеть в половине случаев. [3]
В сценариях, где для ограничения контроля доступа используется пароль паники, вместо того, чтобы вызывать тревогу, недостаточно иметь один пароль паники. Если злоумышленник знает систему ( обычное предположение) , то он просто заставит пользователя пройти аутентификацию дважды, используя разные пароли, и получит доступ по крайней мере при одной из двух попыток. Для решения этой проблемы были предложены более сложные схемы панического пароля. [3] [4]
В случаях, когда возможно устное общение (например, по мобильному телефону) с членом семьи или другом, можно использовать скрытую фразу, чтобы сигнализировать о принуждении. При небольшой вероятности того, что похититель позволяет человеку, находящемуся под принуждением, использовать свой мобильный телефон (например, для получения PIN-кода), существует ограниченная возможность использовать код принуждения. Поскольку разговоры часто отслеживаются похитителем, они должны быть тонкими и короткими. В идеале использование кода принуждения было подтверждено до того, как возникла текущая ситуация, чтобы член семьи или друг имел проверяемые доказательства того, что что-то не так, и когда власти уведомляются, это не ограничивается только домыслами. Примеры могут включать вопросы о ком-то (или чем-то), кого не существует. Например, человек может сказать: «На что лает Синди?» если она знает, что либо у собаки другое имя, либо ее нет. Другой пример, который также является широко распространенной городской легендой, - это человек, который звонит в службу экстренной помощи и делает вид, что заказывает доставку пиццы. [5]
Помимо кода принуждения, существует действие принуждения. Это может включать в себя снятие наличных в банкомате под принуждением с использованием определенной кредитной карты вместо использования своей дебетовой карты. Многие компании, выпускающие кредитные карты, позволяют настроить оповещения по электронной почте при возникновении определенных действий. Существуют технические проблемы, которые могут вызвать проблемы, такие как задержка уведомления, доступность сотовой сети и тот факт, что местоположение не раскрывается, а только активность.
Гражданские и коммерческие самолеты могут использовать код транспондера 7500 в качестве кода принуждения для обозначения угона. [6] [7] Авиакомпании также имеют вербальный код взлома. [8]
Военное использование
Код принуждения во время Второй мировой войны использовался по телефону агентами SOE в оккупированной Европе и предполагал предоставление закодированного ответа, когда кто-то проверял, удобно ли было посетить убежище . Если бы посещение было действительно безопасным, ответ был бы: «Нет, я слишком занят». Однако, если убежище было скомпрометировано (например, нацисты захватили его, заставив жителей отвечать на телефонные звонки под дулами пистолета, чтобы заманить других членов сети SOE), захваченный агент сказал бы: «Да, проходите . " Получив предупреждение о взломе конспиративной квартиры, другой агент повесил трубку и немедленно проинформировал членов своей команды, чтобы они могли предпринять соответствующие действия. Как правило, это означало использование процедур побега и уклонения до того, как захваченный агент был подвергнут пыткам гестапо и вынужден был предоставить компрометирующую информацию, такую как имена и адреса. [ необходима цитата ]
Во время крупного инцидента холодной войны в 1968 году корабль ВМС США USS Pueblo был атакован и захвачен северокорейскими войсками, а в течение последующих 11 месяцев его экипаж подвергался жестокому обращению и пыткам. В течение этого периода северокорейцы использовали американскую команду в пропагандистских целях, но команда сигнализировала о своей ситуации принуждения, тайно показывая им « палец » на постановочных фотографиях. [9] Адмирал Иеремия Дентон прославился тем, что выбросил слово «ПЫТКИ» на азбуке Морзе во время пропагандистской телетрансляции, когда он был схвачен северными вьетнамскими войсками.
Смотрите также
- Между Шелком и Цианидом , книга криптографа Лео Маркса, описывающая, среди прочего, злоупотребление радиокодами под принуждением OSS во время Второй мировой войны, приведшее к захвату агентов голландского сопротивления.
- Кодовое слово
Рекомендации
- ^ «Архивная копия» (PDF) . Архивировано из оригинального (PDF) 11 апреля 2007 года . Проверено 17 марта 2007 .CS1 maint: заархивированная копия как заголовок ( ссылка )
- ^ Федеральная торговая комиссия, Бюро экономики штата. Отчет о технологиях для экстренных случаев, используемых в банкоматах, в соответствии с Законом об ответственности и раскрытии информации по кредитным картам от 2009 года . 4 мая 2010 г.
- ^ а б Дж. Кларк и У. Хенгартнер. Панические пароли: аутентификация под принуждением. Архивировано 22 июля 2013 г. на Wayback Machine . Горячие темы USENIX в области безопасности (HotSec), 2008 г.
- ^ http://portal.acm.org/citation.cfm?id=1866895
- ^ http://www.snopes.com/crime/cops/911pizza.asp
- ^ Транспорт Канады (20 мая 2010 г.). «TP 14371 - Руководство по аэронавигационной информации Министерства транспорта Канады (TC AIM) Работа транспондера RAC 1.9» . Проверено 21 августа 2010 года . CS1 maint: обескураженный параметр ( ссылка )
- ^ Министерство транспорта США, Федеральное управление гражданской авиации. «JO 7110.66D, Национальный план распределения кодов радиобуев» . Правительство США . Проверено 26 апреля 2012 года . CS1 maint: обескураженный параметр ( ссылка )
- ^ "Стенограммы CNN" . CNN. 15 марта 2014 . Проверено 19 марта 2014 .
... каждая авиакомпания тренируется на словесном коде взлома ...
CS1 maint: обескураженный параметр ( ссылка ) - ^ Стю, Рассел. «Дело цифр» . Ассоциация ветеранов USS Pueblo. Архивировано из оригинального 30 сентября 2010 года . Проверено 30 сентября 2010 года .
Палец стал неотъемлемой частью нашей антипропагандистской кампании. Каждый раз, когда появлялась камера, появлялись и пальцы.
CS1 maint: обескураженный параметр ( ссылка )
Внешние ссылки
- Пароли паники: аутентификация под принуждением
- Отчет FTC об аварийных технологиях для банкоматов
- Обнаружение принуждения для аутентификационных атак против нескольких администраторов
- Ассоциация уменьшения числа ложных тревог
- Военный контроль доступа