355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Компьютерра Журнал » Журнал "Компьютерра" №726 » Текст книги (страница 3)
Авторские права
Журнал "Компьютерра" №726
  • Текст добавлен: 16 октября 2016, 21:54

Текст книги "Журнал "Компьютерра" №726"


Автор книги: Компьютерра Журнал



сообщить о нарушении

Текущая страница: 3 (всего у книги 11 страниц)

Назад к карточке книги

Микрофишки

Четырнадцать электрических, одна угольная и девять нефтяных компаний США будут отвечать в суде перед эскимосами Аляски за… глобальное потепление. Коренные жители заполярья из деревни Кивалина считают ответчиков виновными в таянии льдов, вызванном изменением климата. Погодные неурядицы грозят уничтожением деревне, и теперь суд должен решить, является ли глобальное потепление делом рук человеческих или капризом матушки-природы. Возможно, после решения суда споры на этот счет прекратятся. В случае признания ответчиков виновными наверняка последуют и другие иски, а добывающим и энергетическим компаниям придется ох как несладко. Пока обвиняемым, похоже, ни тепло ни холодно: никаких комментариев от них не последовало. АБ

***

Лишь три с лишним года спустя после объявления о продаже одного из испытательных прототипов «Бурана» немецкому Техническому музею («КТ» #561) право собственности окончательно закреплено за покупателем. Челнок БТС-002 по-прежнему находится в Бахрейне, откуда его не позволяли вывезти споры между НПО «Молния» и сингапурской фирмой Events HQ International (точнее, ее «дочкой» Space Shuttle World Tour). За шесть лет тяжб немецкий музей купил челнок у НПО «Молния» и даже взял на себя судебные издержки. Новый экспонат будет доставлен в Германию водным путем. АБ

***

Примечательная кампания, затеянная владельцами некоторых моделей смартфонов HTC («КТ» #720), принесла плоды, пусть и не вполне соответствующие ожиданиям организаторов. Напомним, что скорость выполнения операций, связанных с выводом графики, показалась пользователям устройств удручающе низкой, несмотря на присутствующий в чипсете графический ускоритель. Как выяснилось, он был попросту заблокирован производителем. В ответ на стенания потребителей HTC объявила о намерении в ближайшее время устранить проблему. Правда, разогнать задумчивые смартфоны компания надеется без участия вожделенного ускорителя (одной из причин упорства HTC является, судя по всему, необходимость дополнительных лицензионных отчислений поставщику чипсетов). Теперь чаяния пользователей направлены на грядущий выход новой линейки мобильников, в которых злосчастный ускоритель будет функционировать – глядишь, кто-нибудь и адаптирует необходимое ПО для обделенных моделей (что, впрочем, весьма сомнительно). ИК

***

Компания Mozilla, разрабатывающая мобильную версию своего браузера Firefox, не будет брать за него денег. В том, что мобильный Firefox останется бесплатным, заверил вице-президент Mozilla Майк Шрёпфер (Mike Schroepfer). Продукт должен появиться ближе к концу текущего года. АБ

***

С необычной поломкой столкнулись работники компьютерной мастерской английского городка Уэстхотон (Westhoughton), расположенного неподалеку от Манчестера. По словам раздосадованного клиента, с купленным на аукционе eBay ноутбуком «творится что-то не то». Взявшись за дело, ремонтники с удивлением обнаружили, что под клавиатурой неисправного компьютера скрывался оптический диск с надписью «Home Office» («Министерство внутренних дел»). Не мудрствуя лукаво, мастера сдали находку полицейским, которые сразу же занялись расследованием пропажи драгоценного ноутбука, принадлежащего их ведомству.

За последний десяток лет британские госструктуры потеряли из-за чиновничьего головотяпства более тысячи портативных компьютеров. Пальму первенства держит Министерство обороны, ответственное почти за половину всех пропаж.Любопытно, что наряду со злополучными ноутбуками неизвестным противником "в плен" было взято 23 десктопа, которые не так-то просто вынести из охраняемого помещения. Пытаясь сохранить хорошую мину при плохой игре, правительственные эксперты по защите информации заявили, что они-де извлекают уроки из своих ошибок: как-никак, недра найденного на сей раз ноутбука были тщательно зашифрованы. Тем не менее ехидные журналисты настоятельно рекомендуют слугам народа почаще устраивать рейды по онлайновым компьютерным барахолкам. ДК

***

Хакер Йон Лех Йохансен (DVD Jon), снискавший славу тем, что обошел систему защиты DVD-дисков, вытащил из-за пазухи новую «бомбу». Норвежец разработал ПО DoubleTwist, позволяющее копировать защищенный DRM-средствами контент из iTunes Store на любое подходящее для проигрывания музыки и видеороликов устройство.

Софт конвертирует треки в лишенные защиты файлы (оригиналы остаются нетронутыми), подобно тому как происходит "рип" аудиодиска. "Отмыть" от копирайтов сотню песен можно примерно за полчаса. При этом возможно незначительное ухудшение качества (как обещается, в пределах 5%), на которое вряд ли стоит роптать, приняв его как неизбежную плату за открывающиеся возможности.

На данный момент пользователю доступна версия для Windows (Mac-версия на подходе) и виджет для встраивания на персональную страничку Facebook. Программа обладает функциональностью типичного медиа-менеджера, позволяя синхронизировать файлы с мобильниками, плеерами и прочими гаджетами. Щедрым юзерам понравится возможность делиться контентом с френдами; правда, у каждого из них должна быть установлена копия DoubleTwist. АЗ

ГОЛУБЯТНЯ: Весенняя лакримоза

Автор: Сергей Голубицкий

Сегодня была задумана светлая лучезарная «Голубятня», приуроченная к началу весны и обзору одной изумительной софтины. Однако радость затмила фантасмагорическая мракота, связанная со сменой хостинга моего сайта. Смена эта проходит столь мучительно, столь нервозно, столь коряво, что из рук валятся все дела, а мысли болезненно вращаются вокруг единственной темы – переезда, будь он неладен!

Как читатель догадался, из Goldhost’a пришлось уйти. Отнюдь не из-за статьи, а из-за лавинообразного наращивания энтропии в работе этого хостера, а затем – и закуса удил службой технической поддержки. После бардака с баном IP-адреса, последующим его изменением и переносом DNS-сервера без предупреждения бяки не прекратились: чтобы отослать письмо с любого почтового ящика, требовалось от десяти до пятнадцати попыток, сопровождающихся выплевыванием на ошибке "Too many SMTP connections, please try again later". Моя робкая попытка указать на проблему уперлась в уже привычное: "На сервере все работает корректно!" Мое предположение о том, что, может, на почтовике по недогляду забыли изменить значение по умолчанию числа одновременных коннектов (25) уткнулось в откровенное хамство: "Вы системный администратор? Можем принять вас на работу, от вас резуме на [email protected]". А следом – еще и наглая гоблинская усмешка: "Может, увеличить лимит до 300? Говорите – не стесняйтесь :)"

Мне лично этого совкового дерьма хватило за глаза, потому молниеносно и – увы! – без должной предварительной проработки был вынужден поменять хостинг. На простом порыве омерзения. Знакомый системный администратор рекомендовал шведский Servage.net – туда и подался.

Уходить мне очень и очень не хотелось, хотя бы потому, что прекрасно знал не понаслышке, какая это рулетка – смена хостинга. С виду все хостеры жутко пушистые, все демонстрируют волшебные показатели аптайма, все подкрепляют свои заявы дебильными цитатами якобы из писем счастливых клиентов: "За три года работы с имярек мой сайт ни разу не побывал в дауне". Ага, щаз, уже поверили!

Витринные условия на Servage.net райские: 510 гигабайт дискового пространства (для сравнения – тариф "Бизнес" у Goldhost.ru – 3 гигабайта), полный фарш (бесплатная регистрация домена, фильтрация спама, неограниченное всё – подписные листы, почтовые ящики, ftp-счета, поддомены и т. п.) и все это богатство – за 7 долларов 50 центов в месяц (у Goldhost.ru – 12 USD).

В первый день переезда даже показалось, что пронесло: за пару часов залил на новое место контент, настроил почтовые ящики, сменил MX-записи на Спаморез, играючи внес косметические поправки в скрипты, расставил нужные "чмоды". Шведская служба техподдержки (опять же – поначалу) радовала уже знакомым читателю индивидуальным подходом: сотрудники с живыми именами, все эти очаровательные, услужливые и жизнерадостные Стефаны, Паули, Сэмы и Линды с их органичной доброжелательностью, столь естественной для белого человечества и генетически неведомой злобным обитателям земли Мордор.

Так бы, наверное, это счастье и продолжалось, если б на второй день не случилось ЧП: пытаясь выйти на родной сайт за утренней чашечкой аюрведического чая, уткнулся носом в неведомую абсурдную надпись: "Site suspended. Bandwidth Limit Exceeded", то есть сайт заблокирован из-за превышения лимита трафика. Абсурдность в том, что трафик у Servage.net немеряный – 5 терабайт в месяц, то есть более 150 гигабайт в сутки. Мне же за всю историю своего веб-присутствия никогда не удавалось превысить 15 гигабайт в месяц.

Пишу недоуменное письмо в службу шведской поддержки и завязываю, как потом оказалось, самую мучительную, самую душераздирающую, самую нервотрепную переписку последних десяти лет жизни. Шведики отвечают: "Посмотрите на свою статистику". Смотрю – и глазам не верю: полдня в воскресенье – 208 гигабайт трафика, в понедельник утром – еще 376 гигабайт. Итого, 580 гигабайт за сутки – разумеется, сайт закрыли!

Час не могу прийти в себя, потом начинаю считать: 580 гигабайт за 24 часа – это 24 гигабайта в час – это 400 мегабайт в минуту! Чтобы обеспечить такой трафик, необходимо в прямом эфире выдавать видеотрансляцию о сексуальном надругательстве пришельцев с Альфы Центавра над ведущими политиками стран золотого миллиарда. Или что-нибудь и того хуже. В равной мере невозможно представить себе хакерскую атаку, которая бы на протяжении суток без перерыва качала 400 мегов в минуту. Единственное, что приходит в голову, – счетчики Servage.net, видимо по старинной скандинавской традиции, превратились в берсерков и стали записывать на мой счет весь трафик серверного кластера.

Вторую версию подсказали эксперты из Спамореза: дело, конечно, маловероятное, но все-таки: "добрые люди" через дыру в каком-нибудь моем скрипте подняли что-то типа анонимной прокси и теперь гонят через нее весь трафик большого-пребольшого, популярного-препопулярного порносайта.

Все эти соображения я изложил в понедельник утром шведскому человеку по имени Виктор и потребовал немедленно разблокировать сайт. Виктор сначала бодро ответил, что ручками исправить ничего невозможно (да, конечно, так и поверили!), так что разблокировка произойдет автоматически только после полуночи, а затем слил все на начальника – "Сергей, ваш вопрос передан для дальнейшего расследования старшему администратору Маттиасу" – и пропал!

Вместе с Витей пропал и Матюша. А заодно – и вся сотня сотрудников отдела поддержки Servage.net. Тщетно я пытался докричаться хоть до кого-нибудь, со слезами на глазах наблюдая за лежащим почти сутки сайтом. Куда там! Шведы или кто они там в объединенной своей Европе залегли на дно круче самой плоской балтийской камбалы – молчали партизанами до вторника.

Во вторник сайт автоматически разблокировался и… начал быстренько набирать свой невообразимый трафик, приближаясь к очередной точке отключения: 17 гигабайт, 24 гигабайта, 40 гигабайт, 67 гигабайт… Отключил все скрипты к чертовой матери, желая проверить предположение об утечке трафика через прокси, – ничего не меняется: трафик продолжает нарастать. Выходит, дело не в моих скриптах и не в моих скелетах, которые притащил за собой из Россиянии на шведский хостинг. Выходит, дело все-таки в самом хостинге – в том, как происходит приписка трафика на мой счет.

С утра заступаю на службу – к черту работу, к черту своевременную сдачу статей (все сроки уже посыпались и порушились!), к черту студентов, тщетно пытающихся достучаться до сайта. У меня теперь одно занятие в этой жизни – тренировать письменный английский на шведском хостере. Вся моя жизнь отныне приняла эпистолярную форму. Надо сказать, за неполных три дня я написал такое количество писем хостеру, сколько не написал лет за десять. Самое классное, однако, впереди.

Думаете, старший администратор Матюша ночь не спал, лопатил логи, латал дыры, искал утечку моего трафика? Ха-ха-ха. Матюша пил "Карлсберг" с Линдой. На крайняк – "Аквавит" с Агнетой. Почему? Да потому, что нет, оказывается, никакой утечки трафика! Мне об этом так прямо и написал другой европейский человек по имени Сэм (думаю, псевдоним – уж очень много грамматических ошибок для британского автохтона): "Никакой утечки трафика и его воровства на вашем сайте нет. Пожалуйста, загляните в раздел статистики, где показано, сколько посещений было на ваших страницах, и проверьте внимательно свои файлы. Спасибо!"

Я, наивный азиопский дурачок, попытался было пробудить в Сёме чувство элементарной логики: "Друзья мои, вы меня поражаете! На моем сайте сегодня было 200 хитов – неужели вы серьезно полагаете, что это они создали 64 гигабайта трафика?! Ну задумайтесь бога ради, что вы такое говорите! – теребил я шведский гипоталамус на болезненном английском языке, – 200 хитов даже в страшном сне не могут дать 64 гигабайта трафика. Значит, дело не в моих хитах, а в конфигурации ваших кластеров. ЭТО ВАШ ТРАФИК – НЕ МОЙ! Capici? И вы не имеете права блокировать мой аккаунт из-за перерасхода ВАШЕГО трафика, который вы мне приписываете".

И зачем только я завелся? Зачем накричал на шведского Сёму? Ну да после драки руками не размахивают: Сёма уже обиделся и лег на дно. Вслед за Виктором, Матвеем и прочей братией. На этом дне ребята дружно лежат уже… дайте-ка погляжу… четыре с половиной часа. Мне же остается в полном бессилии наблюдать, как утечка трафика через час-другой достигнет триггерной точки и сайт снова закроют. А пока, чтобы ожидание не показалось скучным и напрасным, скандинавский хостер приберег для меня еще парочку развлечений: как вам прекращение на ровном месте отсылки почты?

Когда письма не отправлялись на Голдхосте, сервер хоть ругался – мол, слишком много одновременных коннектов. Servage.net не ругается – Европа! – он просто письма не посылает. Молча. Пишу в техподдержку. Вежливые люди отвечают: "А вы попробуйте вместо smtp1.servage.net использовать smtp2.servage.net – мы сейчас проводим работы над основным smtp-сервером". Во как! Хостинг для телепатов – клиенты обязаны ДОГАДЫВАТЬСЯ о "работах" заблаговременно и менять записи в настройках почтового клиента. По четным дням, типа, работает smtp1, по нечетным – smtp2, на уик-эндах – smtp3. А каждую пятницу 13-го вообще ничего не работает – весь цивилизованный мир празднует независимость Косово.

Исправил smtp и на интуиции решил проверить скрипты – так и есть! Не работают пострелы! То есть регистрируют заполнение форм и заявок на сайте, но ничего никуда не отсылают. Пишу – секундочку, посмотрю кому! – ах да, Паулю: "Так и так, скрипты перестали отсылать почту". А Пауль мне – молодец-то какой: "Здравствуйте, Сергей! Спасибо за то, что обратились в службу поддержки Servage.net. Пожалуйста используйте smtp2.servage.net в своих скриптах и попробуйте еще раз!"

Да чего ж там – титан мысли: "Пауль, ау! Нет у меня в скриптах никаких отсылок на имена ваших почтовый серверов, о чем это вы? В скриптах нет ничего, кроме обычного указания пути: $mail_prog = ‘/usr/sbin/sendmail’".

На ответ Пауля даже не надеялся: думал, тоже обидится и ляжет на дно вместе с "Карлсбергом" и Хельгой – не тут-то было! Пауль стойко держал удар: "У нас сейчас проблемы с smtp1.servage.net, но мы очень стараемся (trying hard, так сказать), чтобы разрешить ситуацию как можно скорее. Ваши скрипты начнут работать через несколько часов".

Что ж, и на том спасибо, Паша! Ты настоящий друг. Настоящий мой шведский друг.

Итак, что мы имеем в сухом остатке? А мы имеем хостинг-геморрой, какой и представить себе не мог в самом страшном сне. Из трех дней сайт лежит два с половиной, а все остальное время – не работает попеременно то почта, то скрипты, то взаимодействие со Спаморезом (об этой "мелочи" я даже и поминать не стал). Нервы на взводе, мысли свернуты в узкую трубочку, направленную в сторону Скандинавии, все сроки рушатся, все дела откладываются, все темы "Голубятен" переносятся… Если доживу, расскажу через неделю, чем вся эта бодяга кончилась, ну и, конечно, порадую читателей позитивом: ведь у меня помимо изумительнейшей программы припасена в рукаве еще и изумительнейшая "железяка"!

НОВОСТИ: Игла и скрепка

Автор: Киви Берд

Группа исследователей из компьютерной лаборатории Кембриджского университета продемонстрировала серьезнейшую уязвимость новой технологии платежных карт Chip & PIN. Такого рода гибридные контактные карточки, совмещающие в пластиковом корпусе микросхему и магнитную полоску, уже получили широкое распространение в Британии, Австрии и Бельгии, а многие другие государства планируют заменить ими безнадежно устаревшие карточки с одинокой магнитной полоской. Строго говоря, кембриджские специалисты показали ненадежность не столько карт, сколько терминалов, использующихся в торговых точках и банках для обработки транзакций и верификации карты, – так называемых PED (PIN entry devices – устройства ввода персонального идентификатора).

Саар Дример, Стивен Мердок и Росс Андерсон (Saar Drimer, Steven J. Murdoch, Ross Anderson) на примере двух самых распространенных в Великобритании моделей PED – Ingenico i3300 и Dione Xtreme – продемонстрировали, сколь плохо защищены данные о карте и ее владельце. Разработанная ими техника взлома носит название tapping attack ("атака через отвод") и на удивление недорога в реализации. Все, что для нее требуется, это подходящего размера игла, скрепка для бумаги и устройство для записи отводимого сигнала. Плюс, конечно, знания и умение весь этот "реквизит" собрать, воткнуть и подключить куда следует.

С помощью столь нехитрого инструментария исследователи сумели записать процедуру обмена данными между картой и процессором PED, ничуть не потревожив устройства защиты, вмонтированные в терминал. Перехваченный поток данных сразу позволяет установить PIN карты, поскольку британские банки выбрали технологию подешевле и не стали встраивать в чип средства, которые бы шифровали информацию, курсирующую между картой и PED.

Последствия атаки, надо сказать, гораздо серьезнее, нежели просто компрометация PIN-кода. Ради того, чтобы обеспечить обратную совместимость со старыми картами, терминалы считывают данные не только с чипа, но и с магнитной полоски. Это означает, что если злоумышленник сумел подсоединить иглу-отвод к каналу обмена между картой и процессором, то он получает возможность записать все данные, необходимые для клонирования карты с магнитной полосой. Вкупе с похищенным PIN-кодом это дает возможность легко изготовить фальшивую карту и с ее помощью снимать деньги со счета в банкоматах зарубежных стран, еще не перешедших на Chip & PIN. Более того, подобные банкоматы кое-где остались и в провинциальных районах Британии.

Особой критики, по мнению исследователей, заслуживает в высшей степени непрозрачный, ущербный по своей сути процесс сертификации и оценки безопасности устройств PED, отвечающих за защиту важных данных. Транснациональный гигант Visa и британская платежная ассоциация APACS, признав оба устройства безопасными и официально санкционировав их широчайшее распространение, проглядели серьезнейшие уязвимости, выявленные кембриджской командой. Более того, при выдаче сертификатов APACS и Visa прибегли к сомнительному трюку, в приличном обществе называемому подлогом. Было объявлено, что устройства PED прошли "оценку на соответствие Common Criteria", то есть международному набору стандартов для систем безопасности, принятому в Великобритании, США и других странах НАТО. На Туманном Альбионе выдачей сертификатов о соответствии Common Criteria (СС) ведает правительственная спецслужба GCHQ, аналог американского АНБ. Однако в GCHQ сообщили, что ничего не знают о терминалах PED, поскольку эти устройства никогда не сертифицировались на соответствие CC.

Тут-то и выяснилось, что "оценка на соответствие CC" и "сертификация" – две большие разницы. Результаты тестирования на предмет сертификации положено открыто публиковать, а Visa и APACS категорически отказываются предоставить кому-либо отчет об оценке безопасности терминалов. Более того, засекречены и сами инстанции, проводившие эту оценку. В ответах же исследователям, которые еще в ноябре прошлого года предупредили об уязвимости все заинтересованные стороны – APACS, Visa, изготовителей PED, – серьезность угрозы намеренно приуменьшается.

Реакция Visa, например, выглядит так: "В академической статье Кембриджа мы не увидели ничего такого, чего не знали раньше, и ничего такого, что представляло бы угрозу для безопасности карт в реальном мире". Представители же Ingenico, одного из изготовителей PED, выразились не столь высокомерно, но в том же ключе: "Метод, описанный в университетской статье, требует специальных знаний и сопряжен с техническими трудностями. По этой причине он невоспроизводим в широких масштабах и не учитывает тот мониторинг мошенничества, что применяется в индустрии"…

Один из членов кембриджской команды, профессор Росс Андерсон, сражается с порочным подходом банков и индустрии к безопасности уже два десятка лет. По поводу последней работы он говорит так: "Уроки, которые мы здесь получаем, вовсе не ограничиваются банкингом. В самых разных областях, от машин для голосования до автоматизированных систем учета медицинских данных, постоянно появляется одна и та же комбинация из глупых ошибок, фиктивных сертификаций и препятствующих исследованиям властей. Повсюду, где люди вынуждены опираться на безопасность систем, нам требуются честные процедуры оценки, результаты которых открыто публикуются и проверяются независимой экспертизой".

Стоит ли пояснять, какая из препирающихся сторон больше права. Жаль только, что далеко не в каждой стране есть Кембриджи и Андерсоны.

Назад к карточке книги "Журнал "Компьютерра" №726"
Страницы книги >>>  Предыдущая | 1 2 3 4 5 6 7 8 9 10 11 | Следующая

    Ваша оценка произведения:

Почитать похожее на эту книгу


Популярные книги за неделю

При использовании текстов библиотеки ссылка обязательна: itexts.net.
Электронная библиотека, © 2018-2024