Коллектив Авторов - Цифровой журнал «Компьютерра» № 205
О том, что RSA использует генератор случайных чисел Dual_EC_DRBG от АНБ в своих программах и программных библиотеках (в частности BSAFE), было известно и раньше: компания внедрила его ещё в 2004-м. О том, что этот генератор, вероятно, является «троянским конём», построенным специалистами АНБ для облегчения шпионажа за пользователями программ стойкого крипто, тоже известно (с 2007 года): если вкратце, зная секретные константы, определяющие работу алгоритма, его разработчики легко могут предсказать выдаваемую генератором последовательность чисел (подробнее см. сентябрьскую колонку «Сноуден и эллиптическое крипто»). Но вот чего никто не знал до пятничной статьи Reuters (основанной на рассказе двух осведомлённых лиц из RSA или АНБ, пожелавших остаться неизвестными), так это того, что RSA за деньги согласилась сделать аэнбэшный генератор случайных чисел генератором, выбираемым по умолчанию. То есть пользователи программ RSA, конечно, могут выбрать другой генератор, но если поленятся или ошибутся, случайные числа им будет выдавать Dual_EC_DRBG. А потом... Вспомните «Случайности третьего сорта».
И во сколько же компания оценила свои услуги? Всего-то в десять миллионов американских долларов. Словом, Иисус вдруг оказался Иудой, да только не ждите, что он пойдёт теперь и удавится со стыда.
Оправдания, которые даёт RSA, частью просто смешны: мол, в 2004-м, когда мы начали использовать генератор от АНБ, Агентство было ещё «хорошим»! А теперь поди разберись, в какие продукты RSA и третьих компаний просочился «токсичный» код. Вот в этих электронных токенах — используется ли Dual_EC_DRBG, кто может сказать?
Само собой разумеется, и здесь, как и у IBM с BT, есть правдоподобное добропорядочное делать-тообъяснение: RSA якобы была введена в заблуждение! АНБ, предлагая сделку, не объяснила, что алгоритм, оказывается, с гнильцой! Что ж, хотите — верьте. Лично я не верю, как не верит, кажется, никто из авторов тысяч публикаций, появившихся за эти дни в Сети. И — вот он, момент истины! — если не верить RSA, IBM, BT (хоть она и кажется затесавшейся в эту компанию по ошибке), не верить Intel, Oracle, Cisco, Microsoft, Google, Yahoo!, Facebook, то кому тогда верить? Если даже титаны, построившие здание ИТ таким, каким мы его знаем, более не заслуживают доверия, что ? Сжечь компьютер и податься в леса?
Решение, конечно, есть, и вы о нём как минимум слышали: свободный софт. Любой программно-аппаратный комплекс — длинная цепь, и в ваших собственных интересах сделать так, чтобы все звенья этой цепи были истинно свободными, то есть с открытыми исходными текстами, допускающими изучение, модификацию, редистрибуцию. В противном случае шансы, что одно звено или несколько окажутся слабыми — и опустят до своего уровня информационную защищённость всего комплекса, — стремятся, как видите, к ста процентам.
Кто-то скажет: нечего скрывать от правоохранительных органов — нечего и бояться. Простите за прямоту: господа, вы или тупы, или ленивы. Используя ИТ-комплекс с искусственно ослабленными элементами, вы сами засовываете голову в петлю, потому что не знаете, когда, кто и как воспользуется вашей слабостью. С чего вы взяли, что нападут на вас непременно спецслужбы? Если уязвимость есть, может быть уверены: рано или поздно её нащупают и злоумышленники. И если нюансы Dual_EC_DRBG, вероятно, способна задействовать только АНБ, другие слабые места может оказаться по силам «проткнуть» и безусым скрипт-кидди. И тогда в один прекрасный день вы найдет обнулённым ваш электронный кошелёк, вскрытой — защиту корпоративного VPN, украденными, проданными или запатентованными — ценные наработки со своего жёсткого диска или локера.
Какого чёрта играть с судьбой в лотерею, если есть возможность не участвовать в розыгрыше вовсе? Почему ваша рабочая машина всё ещё не под Linux?
В статье использованы иллюстрации Edwin Sarmiento, Skara Kommun.
К оглавлению
Промзона
Архитектура: в Альпах открылась стеклянная смотровая площадка «Шаг в пустоту»
Николай Маслухин
Опубликовано 27 декабря 2013
17 декабря во французских Альпах появилась новая смотровая площадка. На вершине скалы Эгюий-дю-Миди — части массива Монблан — появилась абсолютно прозрачная Chamonix Skywalk, прозванная «Шагом в пустоту». Стены, пол и потолок площадки стеклянные, так что посетители получают уникальную возможность насладиться головокружительным видом на Альпы, буквально зависнув над пропастью глубиной в 1 035 метров. Chamonix Skywalk уже получила статус самой высокой смотровой площадки в Европе.
Проект разработал французский архитектор Пьер-Ив Ше (Pierre-Yves Chays). Он же курировал работы по установке Chamonix Skywalk в течение трех лет. Размеры её небольшие, она более безопасна и меньше нарушает естественный вид гор, чем привычные площадки. Куб имеет пять прозрачных граней, каждая из которых состоит из трех слоев, выполненных из 12-миллиметрового стекла. Он может выдерживать ветер скоростью более 220 км/ч. Чтобы не поцарапать пол, посетителям выдают мягкие тапочки.
Chamonix Skywalk – лишь начало более крупного проекта реконструкции на Эгюий-дю-Миди, который включает строительство музея альпинизма и горнолыжного комплекса.
К оглавлению
Маркетинг для бабушек: электрическая мухобойка, ведро-5 и наколенники «Здоровье»
Николай Маслухин
Опубликовано 26 декабря 2013
Несмотря на то что рубрика «Промзона» старается охватить многие области промышленного дизайна, есть одна, в которую мы никогда не заглядывали. Назовем ее условно «Маркетинг для бабушек». Это целый мир концептов и устройств-однодневок, которые выводят на рынок с одной только целью — быстрой коммерческой наживы. И совсем не исключено, что пока дизайнеры, о которых мы обычно рассказываем, годами придумывают новые направления для технологического прогресса, маркетинг для бабушек делает настоящие деньги. В честь новогодних праздников мы решили сделать небольшой обзор таких товаров в надежде поднять вам настроение.
Электрическая мухобойка. Уничтожает любое насекомое (моль, комары, мухи, пчёлы, осы, мошкара) электрическим разрядом, что гарантирует: потолки и стены останутся чистыми.
Разъемные ножницы. Превращаются в рыбочистку, отвёртку, овощерезку, орехокол, открывалку и нож для пиццы. Идут в комплекте с магнитным чехлом.
Дворники для очков. Позволяют очищать стекла с помощью небольшой насадки из микрофибры. Жалко, что не автоматические.
Очки с подсветкой. Встроенная в оправу светодиодная подсветка поможет без проблем читать в полной темноте и не беспокоить других домочадцев, а также хорошо сэкономит электричество. Питаются либо от батарейки, либо по USB.
Чистящий виброакустический прибор. Достаточно положить ювелирные украшения или бижутерию внутрь на несколько минут, и они засверкают первозданным блеском. В том случае, если украшений нет, можно чистить и дезинфицировать зубные протезы. Последнее придумал не я: так действительно написано в описании.
Наколенники «Здоровье». Отличаются от обычных правильным позиционированием: обладатели «Здоровья» могут выполнять всю работу по саду стоя на коленях, что снимает нагрузку на позвоночник и избавляет от затекания ног.
Приспособление «Зимоходы» представляют собой металлическую цепочку, надеваемую на обувь при помощи двух резиновых петель. Предназначается для прогулок по скользкому снегу и льду.
Биопрепарат для туалетного ведра «Ведро-5» (производство ЮАР). Многие дачники для удобства пользуются ведром, особенно в прохладную погоду. Биопрепарат отлично утилизирует такие отходы: достаточно добавить один колпачок в ведро — и содержимое превратится в безопасную жидкость без запаха. Одного литра препарата хватит для обработки 33 вёдер по 10 литров.
А какие столь же интересные товары можете вспомнить вы?
К оглавлению
PhoneSoap: дезинфектор для смартфонов
Николай Маслухин
Опубликовано 25 декабря 2013
То, что смартфоны содержат на своих поверхностях огромное количество вредоносных бактерий, далеко не новость. Известно также, что в среднем владелец смартфона прикасается к нему каждые 6 минут — а значит, постоянно контактирует с опасной средой. Вопросом дезинфекции телефонов на полном серьёзе озадачилась компания PhoneSoap (дословно — «мыло для телефона»), разработавшая одноименное устройство для этих целей.