3D-принтер теперь сможет "построить" настоящий дом всего за 24 часа
В Университете Южной Калифорнии профессор Бехрок Кхошневич (Behrokh Khoshnevis) соорудил по-настоящему гигантский принтер для трехмерной печати, способный построить настоящий дом всего за 24 часа. Конечно, построить в данном случае означает создать при помощи 3D-печати отдельные блоки будущей конструкции.
Представленная модель 3D-принтера оснащается соплом, через которое происходит налив бетона. Весь процесс синхронизируется с компьютером, а технология изготовления блоков имеет название "Contour Crafting", что подразумевает под собой "контурное создание" объекта. По сути представленный подход может целиком и полностью изменить строительную отрасль, а сам принцип изготовления элементов будущего дома многие уже успели назвать революционным. Чтобы управлять перемещением огромного 3D-устройства, рабочим достаточно будет соорудить простую рельсовую колею.
Аппарат с системой трехмерной печати Contour Crafting должен будет перемещаться по рельсам и осуществлять "налив" цементного раствора на необходимые блоки будущей конструкции согласно заложенной в него компьютерной модели. Само собой, 3D-принтер способен создать лишь "коробку" здания, а двери, окна и коммуникации остаются, как и прежде, за живой рабочей силой. Разработчик принтера считает, что его изобретение сможет снизить общую стоимость строительства сооружений. Кроме того, выполнять плановый ремонт здания или устранять последствия природных катастроф станет намного проще. На представленном ниже видео запечатлён процесс печати по технологии Contour Crafting, которая и легла в основу принципа работы 3D-принтера для скоростного строительства домов.
Проект пока что находится в стадии испытания, однако господин Кхошневич уверен, что 3D-принтер вовсе не лишит людей своих рабочих мест, а станет вспомогательным средством, которое должно помочь строителям облегчить их труд. Скорее всего, устройство даже сможет создать дополнительные вакансии для специалистов, которые будут его обслуживать и управлять процессом возведения конструкции. А в дополнение — значительно снизить и временные затраты предстоящей работы.
22 февраля 2014 года художественный сайт Pixiv — огромная сетевая галерея, «японский DeviantART.com» — запустил праздничную арт-акцию, приуроченную к регистрации своего десятимиллионного пользователя. Вплоть до 2 марта любой владелец Pixiv-аккаунта мог с помощью простого графического редактора разрисовать прямо в онлайне по адресу 10000000.pixiv.net поздравительную табличку-эма (на таких обычно пишут желания и вывешивают в синтоистских храмах, чтобы прочли божества-ками). Тысячи виртуальных табличек вплотную прилегают друг к другу, формируют одну гигантскую эма, напоминающую карту мира, и вот на протяжении последних дней она постепенно, совместными усилиями граждан разных стран, превращалась из tabula rasa в колоссальное лоскутное одеяло.
Последний раз редактировалось: Doredel (05 Март, 2014 10:50), всего редактировалось 1 раз
25 лет ожидания — и вот наконец наука добралась до реализации идей из культовых научно‑фантастических фильмов. Компания HUVr Tech в начале марта анонсировала ховерборд (летающий скейтборд с парой антигравитаторов) из киносерии «Назад в будущее» Роберта Земекиса.
Устройство под названием HUVr практически повторяет возможности киношного прототипа — мощные электромагниты, встроенные в нижнюю часть доски, способны поднять вес в 180 фунтов (около 80 кг), а управлению с помощью приложений на iOS и Android позавидовал бы сам Марти МакФлай.
В демонстрационном видео, представленном разработчиками, испытание волшебного скейта доверили настоящим звёздам — в реальности происходящего нас уверяют музыкант Моби, футболист Террел Оуэнс, рэпер Schoolboy Q, актриса Агнес Бракнер и профессиональный скейтбордист Тони Хоук. Да что там, сам Кристофер Ллойд (Док в Back to The Future) прослезился, представляя новинку.
А самую важную вторую часть почему не репостнул? (; Чтобы народ читал новости?
Цитата:
Но не спешите обновлять виш‑лист или искать HUVr в магазинах. Сначала подробно изучите сайт компании‑производителя, особенно страницу с правовой информацией. Или загляните в гости к актёру, выступающему в роли учёного. Если это не убедит вас в том, что всё это розыгрыш, поверьте на слово нам: HUVr — хоть и дорогой, классно сделанный, но всё же обман.
Основная проблема воплощения в жизнь скейта из «Назад в будущее 2» и «Назад в будущее 3» — мощность. Чтобы поднять на несколько футов, удерживать и перемещать по воздуху тело с массой среднестатистического человека, понадобится огромное количество энергии.
Попытки создать ховерборд предпринимались и раньше. Обычно устройство представляло собой доску с прикреплённым насосом для уборки листьев, а максимум до чего дошли учёные — агрегат на основе сверхпроводника, левитирующий в 3 см над магнитными рельсами и способный переносить до 100 кг.
Учитывая масштабность мистификации, невольно задумаешься о мотивах такого вирусного маркетинга. Некоторые уже предположили, что скоро, возможно, нас ждёт перезапуск франшизы «Назад в будущее». Что ж, будущее покажет. Либо мы дождёмся хорошего кино, либо увидим настоящий ховерборд — наука ведь не стоит на месте.
_________________ Сань, Дактиль.
Последний раз редактировалось: Ronlet Dale (06 Март, 2014 11:29), всего редактировалось 3 раз(а)
Весьма интересная статья про адский бэкдор, просуществовавший более года на всех действующих версиях iOS/OSX, и без лишнего шума закрытый только 3 недели назад.
Оригинал: http://www.3dnews.ru/809016
#gotofail: Ошибка или Умысел? Недавний гранд-прокол Apple с обеспечением безопасности своих ОС породил тучу весьма неудобных вопросов к корпорации. Важнейший из них звучит просто: была ли это случайность или же чье-то вредительство? И самое грустное, что действия Apple выглядят очень нехорошо фактически при любом варианте ответа на данный вопрос
Почти идеальная закладка?
Когда мир вступил в «Эпоху Эдварда Сноудена», сообщество компьютерной безопасности оказалось без преувеличения шокировано и подавлено реальными масштабами того, насколько глубоко скомпрометированы спецслужбами чуть ли не все общераспространенные средства защиты информации. По сути дела, оказалось так, что доверять тут нельзя никому и ничему, а изощренные шпионские закладки или «бэкдоры» спецслужб могут обнаруживаться в абсолютно любых компьютерных устройствах, программах и средствах связи.
Иначе говоря, теперь и независимым авторитетным экспертам по защите информации волей-неволей приходится ставить себя на место компетентных правительственных органов — дабы лучше представлять себе возможные модели атак и злоупотреблений. И вот один из таких широко известных специалистов, американский крипто-гуру Брюс Шнайер, осенью 2013 года сформулировал в этом ключе следующую любопытную идею.
Рассуждая «как шпион» о наилучших путях к разработке и реализации программного бэкдора, Шнайер предложил три главные особенности-характеристики для «действительно хорошей закладки»:
1. Низкие шансы на обнаружение;
2. Минимальный уровень заговора, необходимый для практической реализации;
3. Высокая степень правдоподобности для отрицания умысла в случае обнаружения.
Об этой своей концепции Брюс Шнайер сразу же вспомнил ныне, когда миру стало известно о той критически серьезной уязвимости, что обнаружена в защите операционных систем Apple — мобильной iOS и OSX для десктопов и ноутбуков.
Потому что эта дыра — или даже скорее дырища, — которую корпорация Apple латала в последнюю неделю февраля своими новыми релизами программного обеспечения, по компетентному мнению Шнайера, представляет собой «превосходный пример» именно такой, действительно хорошей закладки. Чтобы это постичь, даже людям, совсем мало смыслящим в программировании, достаточно взглянуть на код реализации бэкдора. Ибо то, что порождает колоссальную уязвимость в защите ОС и обрабатываемой ею информации, представляет собой всего лишь одну-единственную коротенькую строчку кода...
И если не знать заранее, что именно следует искать, то данная уязвимость выглядит чрезвычайно невзрачно. Здесь очень легко представить дело так, будто это произошло по случайной ошибке или досадной небрежности программиста, объединявшего, скажем, несколько разных подпрограмм в одно целое. Ну а кроме того, данный «баг» — это еще и живой-наглядный пример того, насколько просто оказалось всего лишь одному человеку тихо добавить в систему такого рода уязвимость, о которой фактически никто ничего не знал более года — хотя скомпрометированными оказались многие и многие миллионы систем по всему миру...
Короче говоря, подводит итог Брюс Шнайер, пока что у общества нет ни малейшего понятия, было ли это сделано преднамеренно или произошло случайно:
Но если бы лично я хотел умышленно устроить нечто подобное [говорит Шнайер], то это выглядит в точности так, как сделал бы это я.
Что за хитрость в коде?
Не без ехидства комментируя суть произошедшего, один из хакеров-журналистов (Кевин Поулсен из Wired) сказал об этом примерно так.
Как и все прочее, что связано с айфонами Apple, эта критическая дыра в криптографии, объявленная для iOS 7 вечером в пятницу, 21 февраля, тоже оказалась «образцом простоты и элегантности конструкции»: всего лишь единственный невинный переход goto в одном из модулей кода Apple для процедуры аутентификации по несчастливой случайности обходит всю остальную часть критично важного процесса безопасности...
Важнейшее отличие именно этого «образца элегантности» заключалось в том, что здесь корпорация Apple на самом деле ничего конкретного про суть дыры не рассказала. В предельно кратком комментарии к релизу новой версии iOS было сказано лишь то, что в системе обнаружена критическая уязвимость, из-за которой «атакующая сторона с привилегированным положением в сети может перехватывать или модифицировать данные в сеансах связи, защищенных протоколами SSL/TLS». Или — чуть подробнее — подсистеме безопасности «Secure Transport не удавалось подтверждать аутентичность соединения; эта проблема теперь исправлена восстановлением недостающих шагов в процедуре подтверждения».
Столь лаконичное описание явно серьезной проблемы, да еще публикуемое вместе с обновлением системы вечером в пятницу, когда все нормальные люди переключаются с работы на выходные дни, естественно, сильно удивило экспертов по компьютерной безопасности. И заставило сразу же с повышенным вниманием заняться выяснением подробностей о природе выявленного бага. Уже к утру субботы, 22 февраля, картина более или менее прояснилась (в мире защиты информации достаточно квалифицированных людей, которые по различиям в кодах разных версий программы способны оперативно выяснить суть внесенных изменений). И та картина, которая проступила в результате анализа, чрезвычайно специалистам не понравилась...
Если пояснять суть уязвимости для людей обыкновенных и далеких от тонкостей криптографии, то по сути своей этот баг означает, что, когда вы отправляете электронную почту, публикуетесь в «Твиттере», используете социальную сеть типа Facebook или проверяете свой банковский счет из общей сети вроде Wi-Fi в публичных местах или чего-то еще подобного, «атакующая сторона» может вклиниться в сеанс не только для перехвата информации, но и для злонамеренной подмены того, что поступает в ваш iPhone или iPad (или, наоборот, идет от вас).
Если же говорить о природе проблемы с техническими деталями, то одним из первых подробный отчет о сути выявленного бага опубликовал Эдам Лэнгли (Adam Langley), специалист-криптограф компании Google. Бесспорно выдающейся особенностью выявленной ошибки кода является то, что постичь ее способен практически любой, кто знаком с основами программирования или хотя бы в детстве баловался c языком BASIC.
Код конкретной процедуры, где обнаружена фатальная ошибка, выглядит так:
Данная функция вызывается в ситуации, когда iPhone или iPad подсоединяется к защищенному шифрованием сайту через протокол SSL. Назначение функции — верификация того, что применяемый ключ шифрования подтверждается правильно — снабжен цифровой подписью — от самого оператора данного веб-сайта.
Но обратите внимание на две одинаковых строки goto fail, идущие сразу друг за другом. Первая из них стоит там, где ей и положено. А вот вторая — это якобы ляп или случайная ошибка программиста. И именно эта вторая продублированная строчка в корне нарушает все исполнение программы — словно обходной маневр, отправляя выполнение функции в точку, следующую сразу же после критической проверки аутентификации. Иначе говоря, та часть кода, где реально должна происходить проверка подлинности цифровой подписи, из-за этого пустячка оказывается мертвым кодом — фрагментом программы, который вообще никогда не выполняется...
Как показали проверки независимых специалистов, эта проблема — быстро получившая в сообществе название #gotofail — действительно исправлена в новой версии iOS 7.0.6 и в соответствующем апдейте для предыдущей версии iOS 6, опубликованном практически сразу вслед за обновлением iOS 7. Но эти же целенаправленные проверки, что крайне неприятно, тут же продемонстрировали аналогичную уязвимость и в защите другой операционной системы — OS X для настольных компьютеров и ноутбуков Apple. При этом сама компания на данный счет поначалу не сказала своим пользователям ни слова...
(Насколько скандальным, безответственным и непрофессиональным следует считать подобное поведение знаменитой корпорации, разъяснять следовало бы отдельно и с конкретными примерами. Здесь можно отметить лишь то, что своим «частичным апдейтом» Apple по сути сама выдала злоумышленникам мощное оружие против всех своих компьютеров под управлением OS X, лишенной какой-либо защиты от атак через #gotofail.)
Уже в воскресенье, 23 февраля, независимый исследователь Ашкан Золтани (Ashkan Soltani) опубликовал здоровенный список скомпрометированных приложений OSX. Все эти программы, как он установил, используют ту же самую, что и в iOS, подсистему Secure Transport — программную библиотеку, которую разработчики приложений для Apple используют для реализации TLS и SSL, стандартных протоколов шифрования коммуникаций в Интернете. Иначе говоря, исследователь нашел свидетельства тому, что тот же самый баг #gotofail распространяется далеко за пределы браузера Apple Safari — на множество других разнообразных приложений, широко используемых в OS X, включая почту, Twitter, Facetime, iMessage и даже механизм обновления программ Apple.
В ответ на многочисленные запросы обеспокоенных пользователей корпорация Apple признала, естественно, что и защита OS X также скомпрометирована багом #gotofail. Однако никаких внятных объяснений тому, почему одновременно не выпущено обновление и для этой системы, предоставлено не было. Столь важный для безопасности апдейт с заплаткой для OS X был выпущен компанией лишь через четыре дня после обновления iOS 7.
Все те пользователи продукции Apple, которые смутно себе представляют, под управлением какой версии операционной системы работает их устройство, могут сами протестировать свой аппарат на предмет уязвимости (и необходимость апдейта, ясное дело), зайдя на сайт GotoFail.com. Создатели данного сайта, кстати, совершенно не верят, что #gotofail — это случайная ошибка.
Похоже ли это на закладку АНБ?
Поразительная простота «уязвимости #gotofail» и общее знакомство публики с содержанием компромата от Эдварда Сноудена делают вполне понятными и неверие в то, что речь идет о досадной случайности, и сомнения относительно искренности Apple, и подозрения в адрес Агентства национальной безопасности США.
Так, наблюдательные люди сразу отметили, что именно такого же типа дыры в безопасности постоянно помогают АНБ в устройстве атак типа «человек посередине» (man-in-the-middle). Например, как известно из файлов Сноудена, при проведении их операций FLYING PIG, когда АНБ или их британские коллеги из GCHQ для перехвата сетевых коммуникаций представляются как Google или Yahoo — используя манипуляции с сертификатами в протоколе шифрования SSL. Примерно по такой же схеме в зараженных шпионскими программами компьютерах под разными версиями ОС Microsoft апдейты и функциональное наращивание бэкдоров спецслужб происходят через штатные средства обновления Windows (хотя формально эта весьма критичная процедура считается надежно защищенной с помощью криптографии и сертификатов).
Более того, в совсем свежих публикациях файлов «от Сноудена» можно найти и такие материалы, где с достаточным количеством подробностей рассказывается о том, каким образом спецслужбы с помощью довольно нехитрых трюков (типа «сладких ловушек», к примеру) могут компрометировать и шантажировать нужных людей в компаниях, дабы затем они выполняли деликатные задания шпионов. Но это все, так сказать, технические аналогии и похожие случаи из жизни. Конкретно же для данной истории вокруг фатального бага Apple пока что нет никаких документальных подтверждений относительно злого умысла неких закулисных сил. С другой стороны, к настоящему времени известно немало косвенных свидетельств и совпадений, указывающих на то, что история тут действительно нечистая.
Так, уже в субботу, 22 февраля, известный энтузиаст продукции Apple и сетевой блоггер Джон Грубер отметил на своем веб-сайте, что некоторые события в тайной жизни АНБ, известные из файлов Сноудена, по времени подозрительно близко совпадают с появлением скомпрометированной версии операционной системы iOS (достоверно известно, что в версиях ранее iOS 6 бага #gotofail еще не было).
Так вот, согласно слайдам презентации АНБ, слитым в прессу в июне 2013-го, разведслужба США начиная с 2007 года запустила шпионскую программу под названием PRISM, которая позволяет агентству брать нужные материалы перехвата «напрямую с серверов» компаний Microsoft, Yahoo, Google, Facebook и так далее. Самым последним добавлением в этот список, как многие запомнили, была компания Apple, которую — по свидетельству АНБ — стало возможным «пользовать» через PRISM с октября 2012 года. Впервые же скомпрометированная багом #gotofail операционная система Apple — в версии iOS 6.0 — была выпущена всего несколькими днями ранее, 24 сентября 2012 года.
Джон Грубер, надо отметить, первым с готовностью признает, что эти примечательные факты хронологии сами по себе «не доказывают ничего» и могут быть «чисто случайным совпадением». Но как бы там ни было, все равно приходится признать, что здесь «ботинок пришелся точно по ноге». Поскольку уязвимость #gotofail вызвана всего лишь единственной строкой неправильного кода, а значит никак нельзя исключать и случайную природу произошедшего, Грубер предлагает рассматривать сразу несколько возможных вариантов того, каким образом все это так неудачно вышло.
Диапазон гипотез может быть достаточно широким: «Особо подозрительные могут предполагать, что это АНБ и встроило данный баг — возможно, через своего человека среди сотрудников Apple. Если же подходить с наивно-невинных позиций, то, отсекая бритвой Оккама все лишнее, можно считать, что все это было просто неумышленной ошибкой со стороны какого-то не особо внимательного инженера».
Но как бы там ни было, остается важной техническая сторона шпионажа. Ибо как только данный баг появился в коде криптобиблиотеки, для АНБ стало даже не нужным его там искать, вручную прочесывая код обновленной программы. Все, что им теперь требовалось, — это автоматические тесты коммуникаций с использованием поддельных сертификатов (которые они прогоняют против каждого нового релиза каждой конкретной ОС). Иначе говоря, Apple выпускает новую версию iOS, автоматический тест АНБ с поддельным сертификатом выявляет там уязвимость и — бабах — корпорация Apple оказывается добавленной в список впечатляющих побед программы-пылесоса PRISM...
Для конкретной реализации этого общего сценария Джон Грубер видит пять возможных вариантов процесса, или, иначе, «5 уровней паранойи»:
1. Ничего тут нет. АНБ было вообще не в курсе относительно данной уязвимости;
2. АНБ знало про это, но никогда данной дырой не пользовалось;
3. АНБ знало об уязвимости и вполне успешно ее эксплуатировало;
4. АНБ само и подсадило баг в код программы своими тайными методами;
5. Компания Apple, идя на поводу у АНБ, сама добавила в свой код бэкдор.
Сам Грубер, кстати говоря, хотя и допускает возможность того, что «все это чистое совпадение», однако гораздо больше склоняется к варианту «паранойи № 3». К этому же варианту, надо отметить, косвенно склоняет и еще один секретный документ АНБ, попавший в прессу совершенно независимо от Эдварда Сноудена.
В сентябре 2013 года американские правозащитники — на основании закона FOIA о праве граждан на доступ к информации — добились рассекречивания документов о тайном соглашении между АНБ США и VUPEN, весьма специфической французской фирмой в области компьютерной безопасности. Эта фирма знаменита тем, что на закрытом рынке за хорошие деньги продает правительственным спецслужбам и другим солидным ведомствам так называемые эксплойты нулевого дня. То есть такие уязвимости и дыры, которые пока еще неизвестны изготовителям и потребителям ИТ-продукции и которые, следовательно, клиентам VUPEN можно использовать в собственных целях — до того как эти дыры найдут и залатают...
Так вот, самое любопытное — это дата коммерческой сделки между АНБ и VUPEN. Конечно же, и это тоже может быть еще одним чисто случайным совпадением (практически идеально вписывающимся в картину). Но рассекреченный документ свидетельствует, что контракт на подписку эксплойтов от VUPEN был заключен АНБ в сентябре 2012-го — всего за несколько дней перед тем, как Apple официально выпустила iOS 6 (ранее уже распространенную для внешних тестирующих структур). А еще через несколько дней, как уже говорилось, АНБ гордо отрапортовало, что и к коммуникациям Apple теперь получен доступ в рамках программы PRISM.
Наконец, еще одним содержательным свидетельством в ту же самую струю можно считать доклад известного эксперта по инфобезопасности Джейкоба Аппельбаума (Jacob Appelbaum), сделанный 31 декабря 2013 года на хакерской конференции в Германии. В ходе этого доклада Аппельбаум сделал презентацию еще одного комплекта никогда прежде не публиковавшихся секретных слайдов АНБ (не очень ясно, как к нему попавших, но, судя по всему, тоже не от Сноудена). И среди этих материалов были, в частности, такие, где АНБ гордо хвалилось, что способно дистанционно проникать в любой айфон, принадлежащий человеку, который попал в их разработку. Если цитировать этот материал от Аппельбаума дословно, то АНБ заявляет, что «всякий раз, когда они нацелены на устройство под iOS, им всегда сопутствует успех в имплантации» своих шпионских закладок...
Комментируя данный документ, Аппельбаум сделал такое — вполне справедливое — заключение: «Либо они располагают гигантской коллекцией эксплойтов, которые срабатывают против всех видов продукции Apple — а это означает, что они располагают информацией о критических дырах в системах, производимых американскими компаниями, и занимаются саботажем их безопасности. Либо же, второй вариант, корпорация Apple сама и занимается этим саботажем»...
Что происходит в Apple?
Понятно, наверное, что в корпорации Apple чрезвычайно обиделись на подобные инсинуации Аппельбаума. Буквально через несколько часов после этого его выступления, в тот же день, 31 декабря 2013-го, фирма опубликовала специальное заявление, в котором категорически настаивается, что «Apple никогда не работала с АНБ для создания бэкдоров ни в одном из своих продуктов, включая и iPhone»...
Но обиды обидами, однако тревожный сигнал от Аппельбаума все же был, похоже, услышан. Когда именно специалисты компании взялись за особо тщательную перепроверку своих критично важных кодов, нам, естественно, неизвестно. Но известно другое. Уже через неделю после скандального доклада Аппельбаума, 8 января 2014 года, компания Apple без лишнего шума обратилась с запросом в CVE, или Common Vulnerabilities and Errors database (то есть в Базу данных об общих уязвимостях и ошибках), чтобы зарезервировать там за собой очередной баг под номером CVE 2014-1266 — для свежеотловленной уязвимости в своем ПО.
В чем именно заключалась данная уязвимость, впрочем, в CVE на тот момент информации не было. Однако именно под этим номером — CVE 2014-1266 — к концу февраля будет опубликован первый релиз ПО с исправлением бага #gotofail.
Все это время в Apple, похоже, работали над решением своей проблемы и над тем, как свои заплатки получше распространять. Нельзя не отметить, что в итоге все у них тут получилось чрезвычайно странно и неуклюже. Несмотря на достаточно очевидный факт обнаружения уязвимости уже в начале января, Apple не исправила его в двух бета-версиях новой iOS 7.1, которые выпускались уже после регистрации ошибки CVE 2014-1266. О том, почему это происходило, можно только гадать (поскольку Apple, скорее всего, никогда не скажет правду). Но совсем не секрет, что, подобно секретным спецслужбам, корпорация очень широко практикует известный метод так называемой «компартментализации» информации. То есть любые чувствительные к разглашению данные сообщаются лишь тем, кому это необходимо по работе. Ну а в Apple, как многие знают, чувствительной к разглашению информацией является все, что связано с продукцией фирмы вообще, а в особенности с продукцией новой. Даже люди, работающие в смежных подразделениях, зачастую не знают, кто и над чем работает у соседей. Что уж тут говорить про тайны криптографической защиты системы...
Как бы там ни было, на фоне всех этих неясностей и тайн чрезвычайно скрытной компании все равно встает очень важный вопрос, проигнорировать который попросту невозможно. Как могло случиться, что в столь крутой ИТ-фирме вопиюще серьезная и легко исправимая ошибка программирования оставалась никем не замеченной на протяжении более года?
Конечно же, все знающие люди понимают, что код программы — тем более большой программы — вычитывать весьма сложно. То есть для быстрого отыскания конкретно этой ошибки — ручными процессами аудита в океане из миллионов строк кода — шансов было очень и очень немного. Это ясно. Однако современное программирование устроено так, что здесь имеется совершенно ясная и понятная, можно даже сказать, тривиальная система контроля — под названием «система тестирований». И эта система выстроена так, чтобы вполне четко гарантировать главное — что данный код действительно делает то, для чего он предназначен. Вне зависимости от того, как именно происходило его создание.
Такого рода тесты давным-давно разработаны, применяются и должны выполняться на трех уровнях: модульные тесты, функциональные тесты, системные тесты. И при грамотном применении этого комплекса ничего похожего на столь откровенные ляпы, как баг #gotofail, через нормальные тесты проходить не должно. Иначе говоря, сам факт того, что конкретно данная ошибка могла пройти через всю автоматизированную цепочку тестирований, порождает очень и очень серьезные вопросы относительно организации процессов работы в Apple.
Нравится это кому-то или нет, но вариантов, по сути, все равно два. Либо в Apple не способны правильно тестировать свое ПО, во что поверить довольно сложно — коль скоро именно таким образом разрушается доверие публики к программам Apple. Либо же этот баг был встроен совершенно преднамеренно — а в этом случае пришлось бы модифицировать не только код, но и (нераскрываемый) комплекс тестирующих программ...
Подводя итог ситуации, можно констатировать, что компания Apple оказалась здесь в весьма сложной позиции. Как сформулировал это один из комментаторов, теперь Apple самой надо выбирать один из двух ядов: признаться либо в собственной некомпетентности, либо в тайном сотрудничестве со шпионскими спецслужбами... Но так, надо подчеркнуть, считают лишь сторонние наблюдатели. Сама же корпорация Apple по давно заведенной традиции просто выпустила в связи с проколом #gotofail очередной пресс-релиз — с такими вот бравыми словами: «Мы будем и дальше продолжать использовать наши ресурсы, чтобы оставаться впереди злонамеренных хакеров и защищать наших клиентов от атак против безопасности — в независимости от того, кто бы за ними не стоял».
Когда имеешь представление о том, что данные слова выдаются по поводу гигантской дыры в защите ОС, остававшейся незамеченной почти полтора года, сами собой закрадываются сомнения относительно нормальности людей в пиар-подразделении, сочиняющем подобную чушь...
И что с этим делать?
Дабы завершить столь грустный материал на какой-нибудь позитивной ноте, можно вспомнить еще одну интересную мысль от Брюса Шнайера — мудрого крипто-гуру, с которого рассказ начинался. Давным-давно, еще в самом начале этого тысячелетия, Шнайер, помнится, изрек, что безопасность (если вдуматься) — это ресурс всеобщего потребления. То есть это как воздух, как вода или как радиочастотный спектр, потребление которых одними влияет и на всех остальных. Причем ныне все уже более-менее согласны, что правильный способ предотвращения злоупотреблений такими ресурсами — это четкое их регулирование.
Например, коммерческие компании никогда в жизни не прекратили бы сами загрязнять реки своими токсичными отходами, если бы власти просто «рекомендовали» им это дело прекратить (подобно тому, как ныне ИТ-компаниям «рекомендуют» побольше уделять внимания вопросам защиты информации). Индустриальные корпорации перестали массово отравлять окружающую среду лишь после того, как правительства государств объявили загрязнение среды преступлением против закона. А всяких нарушителей закона, соответственно, стали отдавать под суд и надолго сажать в тюрьму...
И если власти США и прочих государств реально хотели бы укрепить компьютерную безопасность, говорил Шнайер, то им просто необходимо принять на этот счет соответствующий закон (для чего, собственно, и существуют правительства). Как и с загрязнением среды, закон не должен заниматься конкретными технологиями — он должен регулировать конечные результаты. И если по закону сами ИТ-компании и сделать ответственными за бесконечные дыры в защите их систем, уверен Шнайер, то всем останется лишь поражаться, насколько быстро они сумеют укрепить безопасность своей продукции. Идея хотя и не новая, но все равно интересная...
Дополнительное чтение:
«Всего три слайда» (о том, сколь глубоко скомпрометирована шпионами как ИТ-индустрия, так и вся политическая система)
«Яблочный пирог» (о том, до какой степени внутренняя кухня Apple напоминает работу секретных спецслужб)
«Дело в шляпе» (подробности о том, как проблемы компьютерной безопасности в корпорации Apple решаются методами пиара)
Спуфинг расширений файлов в WinRAR
Обнаружена новая 0day-уязвимость в программе версии 4.20, в связи с чем запускать файлы непосредственно из интерфейса WinRAR крайне не рекомендуется.
Уязвимость позволяет подменять расширение файлов в архиве, так что exe-файл будет выглядеть как невинный txt или jpg. Это связано с тем, что архиватор WinRAR добавляет несколько служебных полей в архиве. Одно из них — название файла после разархивации, а другое — название файла для отображения в WinRAR GUI, и это могут быть разные названия!
Таким образом, если отредактировать служебное поле в готовом архиве с помощью hex-редактора, то можно изменить название файла при отображении в GUI.
«OpenSSL писали обезьяны»
Возможно, 8 апреля 2014 года войдет в историю интернета как Всемирный день взлома. Сегодня ночью опубликована информация об уязвимости в OpenSSL 1.0.1, которая позволяет получить доступ к оперативной памяти большинства веб-серверов, использующих TLS для шифрования трафика. За 12 часов с момента публикации уязвимости многие сисадмины еще не установили новую версию OpenSSL 1.0.1g и/или не отключили сбойное расширение Heartbeat (RFC6520) для TLS.
Хакеры работают гораздо оперативнее. В первые часы было проведено массовое сканирование наличия Heartbeat на 1 миллионе крупнейших сайтов интернета по версии Alexa. Поднялись публичные сервисы, которые позволяют проверить каждый сервер по одиночке.
Как показывают сервисы проверки, сейчас открыты для чтения тысячи серверов финансовых учреждений, государственных организаций, почтовых служб и т.д.
Как известно, уязвимость позволяет считывать по 64 кБ оперативной памяти за один такт, при этом количество тактов не ограничено, если обновлять соединение. Из оперативной памяти сервера можно извлечь различную информацию, в том числе ключи шифрования и пароли пользователей. Например, специалист по безопасности Джаред Стэффорд (jspenguin) опубликовал концептуальный скрипт на Python, который демонстрирует механизм копирования памяти уязвимого сервера. Фактически, этот скрипт можно назвать первым рабочим эксплойтом для CVE-2014-0160, хотя в ближайшие часы наверняка появятся более эффективные инструменты.
Добыча логина и пароля пользователя из памяти почтового сервера Yahoo
Что характерно, вышеупомянутая уязвимость — вовсе не единственный баг в OpenSSL. Специалисты давно говорили о крайне низком качестве кода этой библиотеки. Еще в 2009 году вышла статья «OpenSSL писали обезьяны», а в твиттер-аккаунте @OpenSSLFact каждый день публикуют примеры ужасного кода из OpenSSL.
Утечка данных банковских карт с платёжного шлюза РЖД/ВТБ24
Крупнейший интернет-магазин в Рунете — сайт Российских железных дорог — проспал уязвимость Heartbleed. Через уязвимость в платежном шлюзе, который РЖД использует для продажи билетов через интернет, злоумышленникам удалось получить реквизиты платежных карт, предположительно, https://sos-rzd.com/.
Говорят, что дыра в шлюзе РЖД и банка ВТБ24 оставалась открытой в течение целой недели.
Цитата:
«Многие, наверное, слышали про найденную уязвимость в криптографической библиотеке OpenSSL. Тот, кто хоть чуть-чуть переживает за свои или пользовательские данные, меняли пароли и исправляли уязвимые системы, так быстро, как только могли. Многие компании делали это в первые часы, а то и минуты, после публичного репорта о баге. Но что делает РЖД и ВТБ24? Они целую неделю позволяют злоумышленникам сливать данные всех банковских карт, которыми люди расплачивались за билет на их сайте. В результате чего, было скомпрометировано более 200.000 карт пользователей.
За один неполный день, нами было слито более 10.000 карт, которые мы публично выложили в качестве доказательства. Но это лишь малая часть того, что могли получить злоумышленники. Поэтому, предлагаем упомянутым выше организациям, назвать точное кол-во карт прошедших в этот период через злосчастный процессинг. Выложить публичный список карт (их масок), чтобы пользователи и банки могли их заблокировать.
РЖД и ВТБ24 (ТрансКредит) были неоднократно предупреждены о серьезной уязвимости в их системе и ее последствиях. (пруф), но отреагировали они только вчера вечером (14.04.2014), то есть через неделю», — пишет активист Кристалинский, который открыл сайт sos-rzd.com.
Хотя представители ВТБ24 официально опровергли наличие уязвимости и упрекают создателей сайта в фишинговой деятельности, но есть свидетельства, что уязвимость действительно оставалась на серверах в течение недели. Во-первых, один из пользователей подтверждает, что нашел свои приватные данные в базе данных сервера (транзакция от 14 апреля). Во-вторых, один из хакеров рассказывал об эксплуатации бага в шлюзе РЖД/ВТБ24 12 апреля.
«Сумасшедший» проект Solar Roadways собрал почти $2 млн на Indiegogo
Вот уже полтора месяца американский стартап Solar Roadways собирает финансы на реализацию амбициозного проекта — замену асфальтового покрытия дорог на солнечные панели. На удивление критиков, сбор денег идёт очень хорошо: за две недели до окончания кампании привлечено $1,96 млн, что на 96% превышает запланированный объём инвестиций для дальнейшей разработки и тестирования технологии.
Автор проекта — инженер с 25-летним стажем Скотт Брюсо (Scott Brusaw) — верит, что если заменить покрытие на дорогах, то это полностью решит все энергетические и многие экологические проблемы в мире. Сократится практически до нуля добыча нефти и газа, добыча угля, загрязнение атмосферы, исчезнут многие вредные промышленные производства и дымящие ТЭЦ. В общем, наступит практически рай на земле.
Солнечные панели Solar Roadways покрыты многослойным стеклом, которое по прочности не уступает бетону.
Шипованно-структурированная текстура улучшает сцепление с шинами автомобилей и не даёт им скользить. На таких панелях со светодиодами можно изображать дорожные знаки и предупреждающие надписи, высвечивать сигналы светофора. Например, если дорога перед вами стала красной, значит, на светофоре включился запрещающий сигнал. Кроме того, панели естественным образом подогреваются за счёт выделения тепловой энергии, так что они будут растапливать снег и лёд.
На одних панелях в снежный день активированы нагревающие элементы, на других — нет
Вечером и ночью панели могут отображать неоновую подсветку.
Разумеется, проект вызвал многочисленные критические уколы. Критики говорят от том, что стеклянное покрытие стирается, что с такой сети ячеек трудно собирать энергию, что нельзя охладить встроенный микропроцессор в жаркой пустыне, что проект просто будет нерентабельным и никогда не окупится. Для переделки шоссе только в США потребуется от 20 до 56 триллионов (!) долларов. Самое главное, что аналогичное количество батарей гораздо проще и дешевле поставить на крышах домов и парковок, зачем тратить вдесятеро на адаптацию именно для дорожного покрытия?
Компания EEPro с 2010 года устанавливает солнечные панели на стальных рейках, закрывая от солнца автомобили на парковках. Все довольны, в том числе автовладельцы
Но поддержка публики показывает, что многие люди разделяют мечту инженера Брюсо. В конце концов, конструкция дорог Solar Roadways не содержит никаких антинаучных идей. Почти все предлагаемые технологические компоненты известны и производятся как минимум 10 лет. Компания Solar Roadways дважды получила государственное финансирование на перспективные исследования: $100 тыс. и $750 тыс. Второй суммы хватило, чтобы построить 108-панельный демонстрационный прототип системы на парковке возле здания Solar Roadways. Сборку закончат к июлю, парковка будет снабжать электричеством офис компании.
На первый взгляд, проект выглядит нереализуемым. Но это только с экономической точки зрения. Серьёзных инженерных проблем вроде бы нет: всё можно решить. В конце концов, если много людей чего-то очень сильно хотят, то рано или поздно любая мечта воплощается в реальность могучей силой научно-технического прогресса.
Поддержка «сумасшедшего» проекта на Indiegogo тем более удивительна, что в этом случае инвесторы ничего не покупают, кроме сувениров. Если в других проектах обычно принимают предзаказы на готовый товар, то здесь такого нет. За 75 долларов дают майку, за $60 — сумку, за $50 — чашку для кофе, за $40 — кепку, за $25 — три наклейки на бампер, за $10 ваше имя вставят в рекламное видео, а за $5 просто скажут «спасибо». Ещё 728 человек заплатили по $100, чтобы для них сняли персональное видео на парковке с солнечными панелями.
По объёму инвестиций Solar Roadways уде вышел на 28-е место в истории краудфандинга. Деньги перечислили более 30 000 человек. Похоже, что люди проявляют альтруизм чистой воды и финансируют технологию в рамках благотворительности.
27 июля 2014 года робот HitchBot начал своё путешествие по дорогам Канады. Это смешное создание специально сделано, чтобы вызывать симпатии у людей.
Робот нашпигован электроникой, в том числе фотокамерой, сенсором GPS, 3G, WiFi, синтезатором речи, системой светодиодной подсветки и т.д. По периметру корпуса установлены солнечные панели. Но он не умеет ходить и вообще ничем не двигает, кроме руки для голосования на дороге.
Внешний корпус HitchBot сделан из «мусорных» материалов и по форме слегка напоминает известного Бендера из мультфильма «Футурама».
HitchBot перемещается по маршруту исключительно автостопом. Когда автомобиль останавливается, робот объясняет водителю цель своего путешествия и место назначения, после чего просит немного подвезти, если есть место. По дороге ещё гостеприимно зарядится от прикуривателя.
Эксперимент должен доказать, что люди и роботы гуманоидного типа способны нормально общаться и помогать друг другу.
Задача — пересечь автостопом всю Канаду, от восточного побережья до западного. Вчера робот добрался до Торонто, а сегодня продолжит свой путь.
HitchBot разработан группой канадских инженеров, каждый из которых отвечал за отдельный модуль: чатбот и синтезатор речи, публикация материалов в твиттере (у робота уже 18,4K фоловеров), ориентировка на местности и т.д.
Microsoft DeLorean Kills Streaming Game Lag By Predicting Your Next Move
Цитата:
Streaming video games could be so clutch, if it wasn't for maddening lag time. Microsoft researchers have a solution in DeLorean, a "speculative execution system" that predicts what you'll do next and shows you the most likely result—before you've even mashed a single button.
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах