Помоги проекту - поделись книгой:
А резко уменьшившийся запас автономности означает не только увеличение расходов, но и выросший риск непредвиденных последствий для окружающих. Сама по себе высота в 20 км — сравнительно спокойное место. Верх тропосферы, нижняя граница стратосферы: зона слабых ветров (которые дуют там со скоростью пешехода), стабильных температур (-50 градусов Цельсия), свободная от облачности (лишь в тропических широтах сюда могут забираться перистые облака), самолётов (для гражданской авиации фактический потолок 15 км) и птиц. Не удивительно, что в тех же Соединённых Штатах движение на этих высотах регуляторов уже не интересует.
Но высота способна обернуться смертельной угрозой в случае механической неполадки или сбоя электроники. Уже упоминавшийся NASA Helios, способный забираться до 30 км, погиб от порыва ветра на взлёте. А сбой ГЛОНАСС пару недель назад на несколько часов оставил без правильных координат миллионы клиентов по всему миру. Так что если Solara сломается при подъёме или спуске? Если выйдет из строя единственный мотор на рабочей высоте? Откажет навигация? Сгореть, как сгорают отжившие своё ИСЗ, он не успеет, атмосферного щита нужной толщины здесь нет. Как мрачно шутят авиаторы, приземляются рано или поздно все — вопрос лишь в том, будет ли посадка мягкой. Значит, индустрию сверхвысотных дронов необходимо будет регулировать, от падения как-то страховаться. Ведь и килограммовый игрушечный самолётик способен покалечить человека, свалившись с десяти метров. Представьте, какие разрушения причинит аппарат весом в пару центнеров, спикировавший с двадцати километров!
Поправьте, если я ошибаюсь, но ни один из этих вопросов серьёзно пока не прорабатывался; в лучшем случае причастные лица лишь констатируют наличие проблем. Так что дорога Google и Facebook за облака, может быть, и будет благодарной, но точно не быстрой и не простой.
Первый этап аудита TrueCrypt завершён с неожиданными результатами
Бесплатная кросс-платформенная утилита TrueCrypt остаётся самым популярным средством шифрования. Её используют известные правозащитники, интернет-активисты и десятки миллионов рядовых пользователей по всему миру. В последнее время внимание к ней усилилось из-за проводимой экспертной оценки, которая уже дала первые результаты.
Созданная неизвестно кем программа TrueCrypt успешно развивается вот уже девять лет. На первый взгляд, это типичный проект с открытым исходным кодом, но у него до сих пор нет официального репозитория исходников (например, на GitHub).
Настораживает и то, что результат самостоятельной компиляции часто отличается от выложенного на сайте готового исполняемого файла. Объясняется это тем, что детали процесса нигде не указаны, а вариантов довольно много.
Об этих особенностях TrueCrypt «Компьютерра» уже писала ранее. Дополнительные вопросы вызывает странная лицензия программы, которая во многом похожа на GPL, но не является полностью свободной. Это препятствует включению TrueCrypt в дистрибутивы Linux и повышает общую настороженность.
Открытый код — необходимое, но недостаточное условие обеспечения безопасности. Недавно обнаруженная уязвимость Heartbleed лишний раз подтверждает это.
Сама TrueCrypt тоже успела подмочить репутацию: в версии 5.1 была обнаружена некорректная работа с драйвером диска, которая приводила к записи данных в открытом виде при использовании режима hibernate.
Седьмую версию TrueCrypt проверяла команда разработчиков защищённой модификации ОС Ubuntu, но это была преимущественно теоретическая работа с оценкой программы в специфической среде.
С тех пор программа сильно изменилась, а её полноценного анализа так никто и не провёл. Поэтому программист Кеннет Уайт (Kenneth White) и криптограф профессор Мэттью Грин (Matthew Green) выступили с общественной инициативой первого полномасштабного аудита TrueCrypt.
В середине октября они начали сбор средств на двух краудфандинговых платформах — IndieGoGo и FundFill. Конечная цель была указана как получение $25 тыс. на привлечение специалистов по аудиту. Среди них должны были быть юристы, программисты и независимые криптографы (очень желательно — за пределами США). Планировалось изучить правовой статус лицензии, проанализировать исходный код программы и убедиться в отсутствии уязвимостей.
Инициатива True Crypt Audit получила широкий резонанс и привлекла гораздо больше пожертвований, чем рассчитывали её организаторы. Всего они собрали около $63 тыс. и 33,71 биткойна (что на момент публикации статьи составляло более $14 тыс.). Итого на аудит поступило втрое больше изначально требуемой суммы.
С тех про прошло полгода, за которые авторы не слишком баловали новостями о ходе работ даже своих инвесторов. Обновления о статусе аудита выходили крайне редко и обычно служили простым уведомлением: мы живы и тратим ваши деньги вместе с нанятыми специалистами.
Серьёзный сдвиг с мёртвой точки произошёл только в минувший понедельник. На сайте проекта появился отчёт компании iSEC, подписанный двумя экспертами в области безопасности (ещё четверо указаны как рецензенты).
К настоящему времени в последней версии (7.1a) удалось обнаружить одиннадцать уязвимостей, четыре из которых признаны угрозами среднего уровня.
Среди них слабый алгоритм деривации ключа-заголовка, возможность выгрузки конфиденциальной информации из стека ядра, различные проблемы в декомпрессоре загрузчика и использование драйвером ядра Windows ненадёжной функции memset для очистки области памяти, содержащей конфиденциальные данные.
«Исходный код [утилиты TrueCrypt] для загрузчика и драйвера ядра Windows не соответствует принятым стандартам безопасности, — сказано в отчёте. — Это обусловлено использованием небезопасных или устаревших функций, несовместимых типов переменных и так далее».
Все найденные уязвимости подробно разобраны на тридцати двух страницах документа. По мнению аналитиков, их практическое использование представляет собой довольно сложную задачу, поэтому рядовым пользователям не стоит отказываться от TrueCrypt лишь по этой причине. Каких-то намеренно созданных программных закладок, ослабляющих криптографическую защиту, аудит не выявил.
Их отсутствие подтверждается и сравнением готовых бинарных файлов с теми, которые участники аудита компилировали самостоятельно из исходных кодов. Подобрав подходящие опции сборки, им всё-таки удалось получить идентичный результат.
«Результаты проверки пока не пугают меня, — сообщает профессор Грин в интервью изданию Ars Technica. — Хотя качество кода оказалось не столь уж высоким, ничего страшного в нём нет, и это обнадеживает».
В следующем году утилита TrueCrypt может отметить своё десятилетие, однако её авторы до сих пор остаются в тени. Отдельные следы ведут то в Чехию, то в штат Невада, но не приводят к реально существующим людям.
Профессор Грин связался с Дэвидом Морганом, от имени которого размещаются обновления на сайте TrueCrypt.com. Собеседник выразил интерес к результатам аудита и признал наличие как минимум одной уязвимости.
«Предполагалось, что TrueCrypt защитит вас от некоторых проблем, а не будет гарантированно надёжным средством, как этого хотелось бы некоторым», — ответил он.
Теперь команда Open Crypto Audit Project приступает ко второй фазе аудита — непосредственной проверке в разных сценариях атак криптостойкости файловых контейнеров и дисковых разделов, защищённых с помощью TrueCrypt.
К буму носимых компьютеров будь готов!
Сегодня, 15 апреля, Google начинает продажи своих очков расширенной реальности Glass. Правда, по цене в $1 500 плюс налоги, только в США и всего на один день. Но даже если трудности не пугают, не расстраивайтесь, если упустите эту возможность. Во-первых, сегодня же «стартуют» и киберочки Moverio BT-200 от Epson — чуть более громоздкие, но едва ли менее функциональные (ОС Android) и всего за $700. Во-вторых, всё говорит о том, что ближайшие год-два-три станут переломными не только для киберочков, но и вообще для класса носимой электроники: мы на пороге бума носимых компьютеров — и, пережив его, вероятно, отведём им столь же значительную роль в нашей жизни, какую до сих пор отводили разве что телефону.
Если помните, носимые компьютеры (именуемые в английском «wearables») отличаются от прочих компьютеров — мобильных смартфонов и планшеток, портативных ноутбуков, стационарных десктопов — не столько подвижностью, сколько степенью участия в жизни пользователя. Прочие компьютеры активны только тогда, когда мы уделяем им внимание. Носимые же должны быть активны постоянно и впитывать реальность вместе с человеком, помогать нам каждую секунду в этой самой реальности разбираться.
Ещё десять лет назад wearables были если не фантастикой, то уж точно не более чем объектом научного интереса (вспомните Стива Манна). Но за последние пару лет
Сегодня на массовом рынке имеется или готовится множество устройств, без сомнения подпадающих под определение носимых компьютеров. И киберочки — далеко не самый яркий образчик этого племени: их, в конце концов, пока мало кто щупал, так что о практической пользе и даже пригодности можно только гадать. Зато браслеты самоквантования — они же «трекеры» — расходятся как горячие пирожки. И «умные часы» успели стать культовым продуктом — и это ещё до того, как ими занялись легендарные бренды вроде Apple, Adidas, Lululemon (да, по прогнозам, самые востребованные смартвочи будут делать производители, к электронике имеющие отношение далёкое или вовсе никакое, зато умеющие создать особую ауру вокруг своей продукции и имён). Вот
Короче говоря, самое время подвести промежуточный итог — и в последние несколько недель это было сделано. IDC пообещала носимым устройствам 18 миллионов отправленных на реализацию экземпляров за 2014 год (втрое больше, чем годом ранее) и более ста миллионов штук в 2018-м. А вот ABI Research уже в этом году обещает 90 миллионов поставленных wearables — и полмиллиарда в год к 2018-му. Почему такая разница в прогнозах? Из-за размытости понятий и сырости рынка. Важнее, впрочем, что оба агентства сходятся в прогнозируемых темпах роста: десятки процентов ежегодно! Сходятся они в целом и в классификации, но у IDC получилось, на мой взгляд, более удачно. Её аналитики подразделили носимые компьютеры на три класса: сложные аксессуары, «умные» аксессуары и «умные» носимые устройства.
К
Наконец,
Естественно, всё это лишь предположения. Как распределятся роли между носимыми компьютерами в ближайшем будущем, никто доподлинно не знает. Но прогнозы строят, опираясь не только на цену или степень отшлифованности технологии, учитываются также результаты соцопросов. Ведь ничто не мешает спросить человека с улицы, на какой части тела он предпочёл бы носить воображаемое цифровое устройство, которое было бы для него полезным и производителю которого он бы доверял. И такие опросы проводятся — с результатами не всегда ожидаемыми. Скажем, киберочки согласится носить лишь каждый десятый. «Умные» часы — уже каждый четвёртый. А вот идея прикреплённого к одежде или вшитого в неё носимого компьютера привлекает почти каждого второго.
К счастью, переход от мобильных компьютеров к носимым всё равно будет более быстрым, чем от стационарных к мобильным. Ведь основа — операционные системы, приложения, представления о возможном функционале — уже наработана, ею уже можно пользоваться напрямую или по крайней мере адаптировать к более слабым процессорам, меньшей ёмкости аккумуляторам. Здесь же скрыт и ответ на вопрос о вероятной функциональности носимых компьютеров: смартфонами публика уже наелась — значит, как минимум можно ожидать, что wearables заменят мобильники. А это, в свою очередь, означает, что они
Важно понимать, что переход от мобильных компьютеров к носимым ни в коем случае не будет гладким, безболезненным. Аналитики предвидят минимум три конфликтные точки — и с ними, в общем, трудно не согласиться. Во-первых, как это всегда и бывает с молодыми рынками, девять из каждых десяти стартапов, поднимающих сегодня
Во-вторых, носимые компьютеры, представляя собой принципиально новый для обывателя класс устройств, да ещё такой инвазивный (сопровождающий человека повсюду, знающий всё обо всём), гарантированно породят новые информационные риски. Кажется парадоксальным, что мы больше знаем и говорим об угрозе со стороны ещё даже не продающихся киберочков (три четверти обывателей
Наконец, в-третьих, будьте готовы к смене лидеров и неизбежной психологической ломке. Вчера публика верила IBM и Microsoft, сегодня в фаворе Apple и Google, завтра их место займёт Samsung: опросы уже сейчас показывают, что пользователи носимых компьютеров считают южнокорейского гиганта заслуживающим наибольшего доверия.
О Heartbleed человеческим языком: пять самых важных вопросов
Уязвимость в пакете OpenSSL, вскрывшаяся ровно неделю назад, породила настоящий вал публикаций не только в айтишной, но и в популярной прессе. К несчастью, ошибка оказалась нетривиальной, так что в попытке упростить, донести смысл случившегося до обывателя СМИ нагородили опасной ерунды — бумерангом вернувшейся в околокомпьютерную среду. Поскольку проблема так ещё и не устранена, стоит внести ясность. Давайте зададим самые важные вопросы и попробуем дать на них простые правдивые ответы.
И первым вопросом, конечно, будет такой: насколько в действительности опасен баг под названием Heartbleed? Брюс Шнайер, признанный эксперт по криптографии и обычно весьма осторожный в оценках человек, написал буквально следующее: по шкале от 1 до 10 это 11 баллов.
Вопрос второй: в чём она заключается, что именно составляет проблему? Библиотека OpenSSL содержит набор функций, реализующих криптографические протоколы SSL и (что фактически то же самое) TLS. Они помогают скрыть содержимое передаваемых через интернет-соединение данных от посторонних глаз. К примеру, всякий раз, когда в адресной строке браузера светится «HTTPS», это означает, что ваше соединение с веб-сервером защищено с помощью SSL/TLS.
Важно понимать, что OpenSSL — не единственная библиотека, реализующая функции SSL/TLS, но самая популярная. Ведь она развивается под свободной лицензией, так что большинство веб-серверов использует именно её. Важно также, что не все версии OpenSSL содержат ошибку Heartbleed: лишь около полумиллиона серверов эксплуатируют библиотеку уязвимых версий 1.0.1 и 1.0.2beta, тогда как более ранние и более поздние её варианты ошибки не содержат.
Суть проблемы в том, что сервер не проверяет корректность некоторых запросов, поступающих от клиентов. Установив соединение, клиент (не человек, конечно, а программное обеспечение) периодически обращается к серверу с просьбой подтвердить, что соединение ещё не разорвано (эта функция называется heartbeet — «биение сердца»). В ответ сервер должен вернуть некоторый небольшой объём данных, причём количество их определяет сам клиент.
Так вот, если клиент запросит больше данных, чем отправил, дефективная OpenSSL его запрос всё равно удовлетворит — и пришлёт ему кусок из оперативной памяти длиной вплоть до 64 килобайт (отсюда название ошибки: heartbleed — «кровоточащее сердце»). В куске этом, понятное дело, могут находиться сведения, к данному клиенту отношения не имеющие, — например, пароли и логины пользователей, недавно подключившихся к серверу, а также секретный криптоключ, который сервер использует для шифрования соединений.
Отсюда — вопрос и ответ номер три: чем опасна Heartbleed? Владея вышеозначенной информацией, злоумышленник в силах организовать, в частности, прослушку чужих сеансов связи с данным сервером и заглянуть в чужие аккаунты. Поскольку многие сетяне используют один и тот же пароль на нескольких сайтах, а мультифакторная авторизация по-прежнему непопулярна (то есть в подавляющем большинстве случаев для прохода в закрытую зону достаточно знания логина и пароля), можно попробовать применить украденные о пользователе сведения на других веб-ресурсах.
Впрочем, проблема шире: та же ошибка найдена и в роутерах, и в файерволах, и в IP-телефонах. А полных масштабов катастрофы не знает вообще никто — ведь OpenSSL работает не только на серверах, но и на клиентских устройствах, а также может быть интегрирована в приложения. Так, например, Google подтвердила, что ОС Android версии 4.1.1 («миллионы устройств») подвержена ошибке. Как злоумышленники смогут её использовать — не совсем ясно, но очевидно, что атака должна быть направлена на смартфон, планшетку или конкретные приложения в них.
...Что выводит нас на четвёртый вопрос: использовали ли уже дыру против рядовых сетян? И вот тут впервые появляется неопределённость. Вплоть до минувших выходных доминировали оптимисты: считалось, что практическая опасность Heartbleed чрезмерно раздута, воспользоваться ею «в полевых условиях» крайне сложно, если возможно вообще. Однако после того, как компания Cloudflare (та самая) объявила открытый конкурс на взлом своего сервера и его один за другим, применяя только Heartbleed, хакнули четыре раза (первым, кстати, был наш соотечественник Фёдор Индутный), возобладала пессимистическая версия. К выходным же подоспели и данные о том, что зафиксированы первые реальные атаки против веб-сервисов, подверженных ошибке (списки интернет-узлов, владельцы которых поленились озадачиться обновлением OpenSSL, уже гуляют по Сети). Теперь эксперты ждут появления автоматических инструментов для эксплуатации Heartbleed, после чего, как полагают, счёт жертвам пойдёт на миллионы.
Таким образом, вопрос, знали ли о Heartbleed заранее спецслужбы (какие-токто-тото же АНБ, к примеру), кажется несущественным. Даже если и знали, то по крайней мере не воровали деньги с чужих счетов, не крали интимные фотографии, не отбирали аккаунты. Больше интересно, остались ли следы прошлых взломов. Если действительно знал о Heartbleed до 7 апреля 2014 года, знал и пытался это использовать, то в логах атакованных серверов могли остаться зацепки. Но на этот счёт мнения расходятся. Шнайер, например, считает, что следов такие атаки не оставляют. Многие другие специалисты уверены, что следы остаются, и даже нашли минимум один в логах осени прошлого года.
Поэтому — вопрос пятый: что делать? Самый популярный совет — менять пароли немедленно — одновременно и самый вредный. Ведь если администратор сервера ошибку не исправил, смена пароля не поможет! Его могут украсть так же легко — и даже хуже того: его украдут с большей вероятностью, потому что он засветится в оперативной памяти сервера, когда вы будете его менять. Так вот: если Google, Microsoft, Yahoo!, Deutsche Bank, PayPal и некоторые другие (примерно каждый десятый) озаботились обновлением версии OpenSSL и отзывом старых (возможно скомпрометированных) сертификатов (упоминавшиеся выше тайные криптоключи, несколько упрощая, это часть сертификата сайта — его «удостоверения личности»: браузер проверяет такое удостоверение при подключении и подсвечивает адрес зелёным, если проверка прошла успешно), то сотни тысяч других веб-ресурсов ничего не исправляли. Так что сетяне сейчас стали заложниками своих любимых сайтов.
Что касается мобильных устройств и приложений, с ними проще. Их по крайней мере можно проверить самому с помощью как минимум одной программы-сканера: Heartbleed Scanner от Bluebox. И обновить операционную систему, обновить или удалить уязвимые приложения.
Менять ли пароли к веб-сайтам? Да, но только после того, как вы увидите явное оповещение от администратора конкретного веб-ресурса: мы устранили проблему или ей не подвержены, меняйте! Правильным же поведением в случае, если администрация молчит, будет
И прежде, чем поставить точку, давайте разберём ещё пару косвенных вопросов. Опровергает ли случившееся известное утверждение, что пользователи свободного программного обеспечения более защищены от ошибок, чем пользователи проприетарного софта? Отнюдь. Действительно, внести коррективы в свободный код может практически каждый желающий — и именно так в OpenSSL и появилась ошибка Heartbleed: в предновогодние денёчки конца 2011-го некто немец Роберт Зегельман добавил в OpenSSL новые фишки, но не заметил, что одну из переменных оставил непроверенной... Проверяющие ошибку тоже пропустили — и так она попала в релиз, состоявшийся весной 2012-го. Лишь два года спустя кто-то обнаружил её, изучая исходники OpenSSL.
Плохо? Да. Однако представьте, сколько времени та же ошибка оставалась бы неизвестной широкой публике, если бы OpenSSL была проприетарной, то есть имела исходные тексты, доступные только разработчику! И сколько пришлось бы ждать заплатку!
А вот с вопросом, не была ли Heartbleed внедрена умышленно, ещё предстоит разобраться. Кто такой Роберт Зегельман? 31-летний немецкий учёный, одна из работ которого — ирония судьбы! — посвящена защите интернет-коммуникаций. Кто помогал ему писать тот код, кто его проверял, не было ли там подозрительных обстоятельств? Эта часть истории пока остаётся ненаписанной.
DARPA вплотную занялось разработкой киборгов
Всеведущий словарь Merriam-Webster любезно говорит нам, что слово
И вот для этой цели в рамках агентства создается бюрократическая на первый взгляд структура, получившая название Управление биологических технологий. Но на самом деле за бухгалтерским названием clearinghouse прячется центр перспективных исследований в области изучения мозга, биотехнологий и эпидемиологии. Задачами его будет разработка технологий подключения мозга к компьютерам, создание искусственных биологических материалов и разработка детекторов перспективного биологического оружия.
Да простят автора биологи и медики, на территорию которых он вторгается в очередной раз, но очень похоже, что общей чертой всех тех исследований, которые возьмётся организовывать, координировать и оплачивать Управление биологических технологий, станет применение к биомедицинским исследованиям и разработкам методов, характерных для инженерных дисциплин вообще и информационных технологий в частности. То есть не ждать милостей от природы — что тщетно после всего нами с ней сделанного, — а взять их силой.
Поделиться книгой: