Журнал "Компьютерра" №726
Шрифт:
С утра заступаю на службу - к черту работу, к черту своевременную сдачу статей (все сроки уже посыпались и порушились!), к черту студентов, тщетно пытающихся достучаться до сайта. У меня теперь одно занятие в этой жизни - тренировать письменный английский на шведском хостере. Вся моя жизнь отныне приняла эпистолярную форму. Надо сказать, за неполных три дня я написал такое количество писем хостеру, сколько не написал лет за десять. Самое классное, однако, впереди.
Думаете, старший администратор Матюша ночь не спал, лопатил логи, латал дыры, искал утечку моего трафика? Ха-ха-ха. Матюша пил "Карлсберг" с Линдой. На крайняк - "Аквавит" с Агнетой. Почему? Да потому, что нет, оказывается, никакой утечки трафика! Мне об этом так прямо и написал другой европейский
Я, наивный азиопский дурачок, попытался было пробудить в Сёме чувство элементарной логики: "Друзья мои, вы меня поражаете! На моем сайте сегодня было 200 хитов - неужели вы серьезно полагаете, что это они создали 64 гигабайта трафика?! Ну задумайтесь бога ради, что вы такое говорите!
– теребил я шведский гипоталамус на болезненном английском языке, - 200 хитов даже в страшном сне не могут дать 64 гигабайта трафика. Значит, дело не в моих хитах, а в конфигурации ваших кластеров. ЭТО ВАШ ТРАФИК - НЕ МОЙ! Capici? И вы не имеете права блокировать мой аккаунт из-за перерасхода ВАШЕГО трафика, который вы мне приписываете".
И зачем только я завелся? Зачем накричал на шведского Сёму? Ну да после драки руками не размахивают: Сёма уже обиделся и лег на дно. Вслед за Виктором, Матвеем и прочей братией. На этом дне ребята дружно лежат уже… дайте-ка погляжу… четыре с половиной часа. Мне же остается в полном бессилии наблюдать, как утечка трафика через час-другой достигнет триггерной точки и сайт снова закроют. А пока, чтобы ожидание не показалось скучным и напрасным, скандинавский хостер приберег для меня еще парочку развлечений: как вам прекращение на ровном месте отсылки почты?
Когда письма не отправлялись на Голдхосте, сервер хоть ругался - мол, слишком много одновременных коннектов. Servage.net не ругается - Европа!
– он просто письма не посылает. Молча. Пишу в техподдержку. Вежливые люди отвечают: "А вы попробуйте вместо smtp1.servage.net использовать smtp2.servage.net - мы сейчас проводим работы над основным smtp-сервером". Во как! Хостинг для телепатов - клиенты обязаны ДОГАДЫВАТЬСЯ о "работах" заблаговременно и менять записи в настройках почтового клиента. По четным дням, типа, работает smtp1, по нечетным - smtp2, на уик-эндах - smtp3. А каждую пятницу 13-го вообще ничего не работает - весь цивилизованный мир празднует независимость Косово.
Исправил smtp и на интуиции решил проверить скрипты - так и есть! Не работают пострелы! То есть регистрируют заполнение форм и заявок на сайте, но ничего никуда не отсылают. Пишу - секундочку, посмотрю кому!
– ах да, Паулю: "Так и так, скрипты перестали отсылать почту". А Пауль мне - молодец-то какой: "Здравствуйте, Сергей! Спасибо за то, что обратились в службу поддержки Servage.net. Пожалуйста используйте smtp2.servage.net в своих скриптах и попробуйте еще раз!"
Да чего ж там - титан мысли: "Пауль, ау! Нет у меня в скриптах никаких отсылок на имена ваших почтовый серверов, о чем это вы? В скриптах нет ничего, кроме обычного указания пути: $mail_prog = ‘/usr/sbin/sendmail’".
На ответ Пауля даже не надеялся: думал, тоже обидится и ляжет на дно вместе с "Карлсбергом" и Хельгой - не тут-то было! Пауль стойко держал удар: "У нас сейчас проблемы с smtp1.servage.net, но мы очень стараемся (trying hard, так сказать), чтобы разрешить ситуацию как можно скорее. Ваши скрипты начнут работать через несколько часов".
Что ж, и на том спасибо, Паша! Ты настоящий друг. Настоящий мой шведский друг.
Итак, что мы имеем в сухом остатке? А мы имеем хостинг-геморрой, какой и представить себе не мог в самом страшном сне. Из трех дней сайт лежит два с половиной, а все остальное время - не работает попеременно то почта, то скрипты, то взаимодействие со Спаморезом (об этой "мелочи" я даже и поминать не стал). Нервы
НОВОСТИ: Игла и скрепка
Автор: Киви Берд
Группа исследователей из компьютерной лаборатории Кембриджского университета продемонстрировала серьезнейшую уязвимость новой технологии платежных карт Chip & PIN. Такого рода гибридные контактные карточки, совмещающие в пластиковом корпусе микросхему и магнитную полоску, уже получили широкое распространение в Британии, Австрии и Бельгии, а многие другие государства планируют заменить ими безнадежно устаревшие карточки с одинокой магнитной полоской. Строго говоря, кембриджские специалисты показали ненадежность не столько карт, сколько терминалов, использующихся в торговых точках и банках для обработки транзакций и верификации карты, - так называемых PED (PIN entry devices - устройства ввода персонального идентификатора).
Саар Дример, Стивен Мердок и Росс Андерсон (Saar Drimer, Steven J. Murdoch, Ross Anderson) на примере двух самых распространенных в Великобритании моделей PED - Ingenico i3300 и Dione Xtreme - продемонстрировали, сколь плохо защищены данные о карте и ее владельце. Разработанная ими техника взлома носит название tapping attack ("атака через отвод") и на удивление недорога в реализации. Все, что для нее требуется, это подходящего размера игла, скрепка для бумаги и устройство для записи отводимого сигнала. Плюс, конечно, знания и умение весь этот "реквизит" собрать, воткнуть и подключить куда следует.
С помощью столь нехитрого инструментария исследователи сумели записать процедуру обмена данными между картой и процессором PED, ничуть не потревожив устройства защиты, вмонтированные в терминал. Перехваченный поток данных сразу позволяет установить PIN карты, поскольку британские банки выбрали технологию подешевле и не стали встраивать в чип средства, которые бы шифровали информацию, курсирующую между картой и PED.
Последствия атаки, надо сказать, гораздо серьезнее, нежели просто компрометация PIN-кода. Ради того, чтобы обеспечить обратную совместимость со старыми картами, терминалы считывают данные не только с чипа, но и с магнитной полоски. Это означает, что если злоумышленник сумел подсоединить иглу-отвод к каналу обмена между картой и процессором, то он получает возможность записать все данные, необходимые для клонирования карты с магнитной полосой. Вкупе с похищенным PIN-кодом это дает возможность легко изготовить фальшивую карту и с ее помощью снимать деньги со счета в банкоматах зарубежных стран, еще не перешедших на Chip & PIN. Более того, подобные банкоматы кое-где остались и в провинциальных районах Британии.
Особой критики, по мнению исследователей, заслуживает в высшей степени непрозрачный, ущербный по своей сути процесс сертификации и оценки безопасности устройств PED, отвечающих за защиту важных данных. Транснациональный гигант Visa и британская платежная ассоциация APACS, признав оба устройства безопасными и официально санкционировав их широчайшее распространение, проглядели серьезнейшие уязвимости, выявленные кембриджской командой. Более того, при выдаче сертификатов APACS и Visa прибегли к сомнительному трюку, в приличном обществе называемому подлогом. Было объявлено, что устройства PED прошли "оценку на соответствие Common Criteria", то есть международному набору стандартов для систем безопасности, принятому в Великобритании, США и других странах НАТО. На Туманном Альбионе выдачей сертификатов о соответствии Common Criteria (СС) ведает правительственная спецслужба GCHQ, аналог американского АНБ. Однако в GCHQ сообщили, что ничего не знают о терминалах PED, поскольку эти устройства никогда не сертифицировались на соответствие CC.