Две недели назад компании Google стало известно о неавторизованном использовании цифровых сертификатов для некоторых своих доменов. Оказалось, что поддельные сертификаты некоей MCS Holdings выдал китайский центр сертификации CNNIC. Их использовали для MiTM-атаки и прослушки SSL-трафика китайских пользователей.
Что характерно, сертификаты CNNIC включены во все основные хранилища корневых сертификатов, так что они принимались многими браузерами и операционными системами, за исключением Chrome на Windows, OS X и Linux, ChromeOS, а также Firefox 33 и более старших версий, где действует технология закрепления открытого ключа прямо в браузере, так что сертификат сайтов Google не удастся подменить. Но проблема в том, что MCS Holdings, вполне вероятно, и для других чужих сайтов получила сертификаты, а ведь они не прикреплены к браузеру.
Google сразу же уведомила о своей находке все заинтересованные стороны и заблокировала все сертификаты MCS Holdings в Chrome путём экстренного выпуска CRLSet.
1 апреля компания объявила о завершении расследования по этому делу и решила вообще избавиться от сертификатов CNNIC во всех своих продуктах. То есть ни браузер, ни веб-сайты Google больше не будут принимать цифровые подписи, сгенерированные с помощью сертификатов CNNIC.
Мера вступит в действие со следующим обновлением браузера Chrome.
Чтобы облегчить жизнь пользователям, существующие сертификаты CNNIC временно будут отображаться как доверенные в Chrome, посредством специального «белого списка» исключений. Но впоследствии их удалят из этого списка.
В то же время, центр CNNIC пообещал внедрить открытый стандарт Certificate Transparency (RFC 6962), более ответственно относиться к выдаче сертификатов в будущем и заверил, что никто не обманет его таким способом, как это сделала MCS Holdings, получившая сертификаты на чужие сайты. Так что через какое-то время CNNIC сможет продолжать работу «с чистого листа» и его сертификаты будет принимать Chrome, но все старые сертификаты аннулируются.
Компания «Яндекс» проводит 4-ю олимпиаду для Unix-инженеров, системных администраторов и всех любителей Open Source и Linux — Yandex.Root (осторожно: по этой ссылке браузер Chrome предлагают заменить на Яндекс.Браузер). Победившая команда сисадминов разделит между собой главный приз 28 килорублей (256 тыс. руб). За второе место дают 27 Kруб., за третье — 26 Kруб.
Первая игра отборочного тура стартует уже 9 апреля 2015 года (см. расписание). На выполнение заданий отводится 12 часов. К участию допускаются только владельцы аккаунтов на «Яндексе».
Участники турнира соревнуются в онлайне, пытаясь как можно быстрее правильно решить задачи, с которыми ежедневно сталкиваются сисадмины.
По условиям конкурса, в отборочном туре капитан регистрирует свою команду и, получив одобрение модератора, приглашает в неё участников. В состав команды могут входить не более шестнадцати человек. Менять состав может только капитан. Каждый участник может состоять только в одной команде. Вступить в игру, зарегистрировав свою команду или присоединившись к существующей, можно в любой момент до окончания последней игры отборочного тура.
Отборочный тур олимпиады состоит из двух игр. Победителями считаются десять команд, выполнивших максимум заданий за меньшее время. Принять участие можно как в одной, так и в обеих играх — в последнем случае в зачёт пойдет лучший результат. Сводный рейтинг по итогам обеих игр будет опубликован на сайте 15 апреля 2015 года, победителей объявят 17 апреля.
Цель игры — решить несколько проблем на виртуальной машине, изменив конфигурацию установленной ОС: например, запустить службу или скорректировать работу программы. Задачи могут быть как связанными, так и независимыми. Необходимо «зачистить мониторинг», то есть решить проблемы со статусом Critical (отмечены красным цветом) внутри виртуальной машины. Ее образ можно скачать заранее, образ зашифрован — ключ для расшифровки будет опубликован и разослан всем участникам по электронной почте в начале игры.
После расшифровки образа необходимо установить соединение с игровым VPN. Для этого всем участникам выдается config-файл: капитан получает его по почте в момент одобрения заявки, члены команды — когда принимают приглашение капитана. (В случае утраты файл можно скачать повторно командой «download») Обратите внимание: каждый игрок может подключиться к VPN со своей виртуальной машины, поэтому задачи можно распределять внутри команды и решать их параллельно. Чтобы прочитать описание заданий, используйте команду «tasks».
За ходом игры можно следить на странице трансляции.
Проверка заданий
Проверка заданий на виртуальной машине выполняется командой «game». Некоторые проверки осуществляются специальными пользователями — будьте внимательны и не поломайте для них доступ в систему.
Подсчёт очков
Когда кто-то из игроков правильно выполняет одно из заданий, команда получает один балл, а остальные ее участники оповещаются об этом по почте. Они могут продолжать работать над этой проблемой в своих образах (в случае комплексных заданий это может быть необходимо), но дополнительных очков за ее решение команда уже не получит.
Учитывается как число баллов, так и время, за которое они были заработаны. Для этого фиксируется момент, в который кто-то из игроков первым в команде правильно выполняет определенное задание. Если две команды набрали равное количество очков, победителем признается та, что сделала это быстрее.
После игры все участники получат результаты своей команды по электронной почте, а на сайте будет опубликована итоговая таблица.
В финале 22 апреля 2015 года принимают участие десять команд, победивших в отборочном туре. Как и отборочные игры, финальное состязание продолжается 12 часов.
«Быстро поднятое не считается упавшим» – по этому принципу существуют многие интернет-проекты. А как быстро вы сможете «поднять» свой сайт? И как часто он у вас «падает»? Отказоустойчивость – действительно сложная задача. Это выбор инфраструктуры, грамотное проектирование, правильно подобранные тесты и профессиональный мониторинг. Но если выбрать правильные инструменты, она становится легко выполнимой и гораздо менее затратной, чем постоянное «упали-поднялись».
10 апреля на конференции FailOver Conference эксперты в области ИТ-безопасности и веб-разработки расскажут, как обеспечить 100% отказоустойчивость сайта.
Для читателей издания ХАКЕР скидка 10% по промо-коду RKP-HVC.
Принято считать, что отказоустойчивость онлайн-сервиса – это забота крупных компаний, сайтов с миллионами хитов в сутки. Но даже для небольших проектов даже час простоя может обернуться не только финансовыми потерями, но и потерей репутации. Покупатели интернет-магазина за это время совершат покупку в другом магазине, клиенты SaaS-сервисов, бизнес-приложений, скорее всего, уйдут к более надежным конкурентам.
Посчитайте, во сколько вам обойдется падение сайта, восстановление данных и попытки вернуть репутацию. Стоимость билета на FailOver Conference в сотни раз меньше.
Зачем идти на FailOver?
Оргкомитет собрал для вас звездный состав спикеров. Посещение конференции даст шанс лично, из первых уст, услышать о том, как работает мониторинг в Mail.ru, как устроен сервис Яндекс.Танк и как «Мегафон» использует БЭМ для отказоустойчивого фронтенда.
Сергей Рыжиков, генеральный директор «1С-Битрикс», расскажет о том, какие риски несут те проекты, которые сейчас размещаются на зарубежных хостингах, нужно ли переезжать в Россию или можно оставить все, как есть. На примере SaaS Битрикс24 мы покажем, какое решение мы приняли и как добились соответствия требованиям нового 242-ФЗ.
Кроме этого, вас ждут самые интересные доклады о мониторинге, тестировании и ускорении сайтов:
Креш-курс по нагрузочному тестированию от «Яндекса». Все о том, как работает Яндекс.Танк, как подготовиться к тестированию, какие методики использовать и как оценивать результаты.
Советы от WEBO Software по ускорению сайта. Николай Мациевский расскажет о том, от чего зависит скорость сайта и как ее повысить: на что влияет пинг, чем уменьшать файлы, как оптимизировать сторонние виджеты и зачем считать статистику скорости сайта.
Почему не падают очень большие и очень посещаемые сайты. На примере сайта megafon.ru рассмотрим технологию БЭМ и ее преимущества для построения отказоустойчивого фронтенда.
Все о подходах к мониторингу сайтов – почему он не работает и как организовать его правильно. Об этом в докладах от SiteSecure, «Ревизиум», Mail.ru и OKMeter.
Только на FailOver Conference вы сможете получить бесплатную получасовую индивидуальную консультацию спикеров конференции.
Стоимость участия составит: 5000 рублей при посещении, и 2000 рублей – при просмотре онлайн. Не забудьте использовать вашу скидку!
Конференция пройдет 10 апреля, в Москве по адресу Берсеневская набережная, 6, стр.3 в Digital October. Для тех, кто не сможет присутствовать на мероприятии, будет доступна онлайн-трансляция и доступ к видеозаписи выступлений.
20-21 мая 2015 года пройдет пятая конференция компании Microsoft, посвященная разработке и тестированию ПО DevCon 2015.
Формат конференции остается неизменным – это двухдневное мероприятие, которое проходит в природном курорте «Яхонты». В программе мероприятия:
технические сессии по ключевым продуктам и решениям;
мастер-классы и круглые столы;
общение с лучшими экспертами отрасли;
спортивные и развлекательные мероприятия на свежем воздухе.
DevCon 2015 – конференция Живого Кода, на которой будет представлено более 50 докладов на актуальные темы – от инструментов разработки, мобильных платформ, до корпоративных практик, веб и облачных технологий. Подробнее о концепции мероприятия рассказывает красочный ролик на странице конференции.
DevCon 2015 – это уникальная возможность вживую пообщаться с экспертами Microsoft и гуру индустрии разработки, узнать о том, куда движется платформа Microsoft, и услышать о первых результатах внедрения и использования новых технологий. Ключевые докладчики конференции в этом году:
Джорджио Сардо – старший директор в группе Developer Experience & Evangelism в штаб-квартире Microsoft в Редмонде;
Александр Ложечкин – директор Developer Experience в компании Microsoft по региону Centreal & Eastern Europe;
Михаил Черномордиков – директор Developer Experience в подразделении Microsoft в России.
Основные темы конференции:
Клиентская разработка – создание и дизайн современных приложений для Windows и Windows Phone c использованием уникальных возможностей платформы, а также их монетизация и продвижение в Магазине приложений.
Облако и Веб - разработка сервисов для Microsoft Azure, а также использование облачной платформы в качестве бэкенда для мобильных и других приложений.
Инструменты и языки - методология и использование средств разработки Visual Studio и управления жизненным циклом программного обеспечения. Использование текущих возможностей и обсуждение будущего платформы .NET, языков C#, JavaScript, XAML, технологий построения.
Корпоративная разработка – работа с данными, инструментами бизнес-аналитики и офисной платформой Microsoft. Создание корпоративных приложений на SharePoint, Office и .NET.
Разработка игр – впервые на DevCon инструменты, подходы и опыт разработки игровых приложений на популярных инструментах: DirectX, Unity и других.
Зарегистрироваться на мероприятие, присоединиться к прямой трансляции и получить более подробную информацию можно по адресу: http://www.msdevcon.ru/ru/
Вот уже десять лет специалисты холдинга DZ Systems занимаются разработкой ПО и созданием информационных систем на самом высоком уровне — за это время их клиентами успели стать такие киты российского бизнеса и мегапроекты государства Российского, как Юлмарт, Яндекс, Мосводоканал, Олимпиада-2014, Mail.Ru Group, Wikimart, Raiffeisen Bank, KFC и BMW.
Офисы группы компаний расположены в пяти городах России: Москве, Санкт-Петербурге, Казани, Ульяновске и Саранске. Поскольку по странному стечению обстоятельств там же обитают наиболее активные читатели нашего журнала :), думаю, тебе будет интересно посмотреть на задачи, которые в DZ Systems ставят перед кандидатами на трудоустройство. Тем более что нигде, кроме нашего журнала, ты их не найдешь.
Как проходит собеседование в DZ Systems
Мы нанимаем человека, основная обязанность которого — писать код. Конечно, надо видеть, как он это делает. Мы предлагаем соискателю показать любой готовый проект или выполненное тестовое задание для какой-нибудь организации (с постановкой задачи от заказчика). Если ему показать нечего, то просим выполнить тестовое задание, которое отправляем по имейлу. Когда программист присылает ответ, ведущие разработчики DZ смотрят на код, на правильность выполнения, аккуратность и, как говорится, на красоту архитектуры. Если выполнение нравится, то приглашаем соискателя на собеседование с HR-специалистами. Они смотрят, насколько человек подойдет к нашей сложившейся команде. Мы выбираем людей не только по знаниям, но и по человеческим качествам, для нас очень важны сохранение хорошего климата, комфортная работа с коллегами. На собеседовании стараемся определить, насколько этот человек «наш». Если у него нет всех необходимых навыков, но видно, что он может научиться, есть потенциал, то рады будем с ним сотрудничать.
Программист, который хорошо написал тестовое задание, после беседы с HR-специалистом проходит техническое собеседование с ведущими разработчиками. Наши офисы находятся в разных городах, поэтому второе собеседование может проводиться по скайпу. Например, мобильные разработчики у нас в Санкт-Петербурге и Казани, а Java-разработчики — в Казани и Ульяновске.
В DZ Systems есть типовые наборы задач и вопросов для технического собеседования, рассчитанного на один час. Такие задачи мы и предлагаем для решения читателям «Хакера». Победители получат возможность бесплатно пройти новый игровой квест от наших друзей из компании «Клаустрофобия» — ограбление банка. В этом квесте ты получишь возможность на час попасть в банковское хранилище и, еще раз проявив логические способности, вынести оттуда ценную реликвию.
Задача 1
При использовании очевидного представления данных для сохранения даты требуется 8 байт (ДДММГГГГ), а имя человека занимает примерно 25 байт (14 на фамилию, 10 на имя и 1 на первую букву отчества). Насколько вы сможете уменьшить эти числа, если перед вами стоит задача экономии памяти?
Задача 2
Написать (на любом языке программирования) функцию вывода n-го числа последовательности Фибоначчи.
Задача 3
В массиве натуральных чисел [1..1001], содержащем все числа от 1 до 1000 включительно, есть элемент, повторяющийся дважды. Найти его. К каждому элементу можно обращаться только один раз. Язык программирования — любой.
Задача 4
Заданы два числа a, b. Поменять их значения местами без использования промежуточной переменной (то есть использовать можно только a, b и арифметические операции).
Задача 5
Что такое полиморфизм? Приведите примеры.
Задача 6
Четыре человека должны перейти через пропасть по мосту. Одновременно на мосту могут находиться не больше двух человек, держась за руки, и только с фонарем. Одному из пары надо возвращаться назад, чтобы вернуть фонарик. Один из них переходит мост за одну минуту, второй за две, третий за пять, четвертый за десять минут. Необходимо всем перебраться через мост за 17 мин.
Перекидывать фонарик, идти навстречу, переплывать, останавливаться — нельзя. Задача решаема.
Задача 7
Дана реляционная база данных, которая состоит из трех таблиц (см. картинку).
Написать на SQL программу, которая выведет все компании, где не работает Developer c ID = 3.
Решение задач из школы программистов HeadHunter
Задача 1. Количество разбиений на k слагаемых
Задача является стандартным примером задачи на динамическое программирование. Обозначим интересующее нас количество разбиений через F(n, k). Часть из разбиений содержит единицу в качестве слагаемого. Все такие разбиения можно получить из разбиений числа n – 1 на k – 1 слагаемое добавлением единицы в качестве k-го слагаемого. Те разбиения, которые единицу не содержат, получаются из разбиения числа n – k на k слагаемых прибавлением единицы к каждому из k слагаемых. Таким образом, получается рекуррентная формула: F(n, k) = F(n – 1, k – 1) + F(n – k, k). Объединяя ее с граничными условиями F(n, k) = 1 при n = k либо k = 1 и F(n, k) = 0 при n < k, получаем решение задачи. Пример кода на Java:
public class PartitionNumberCounter {
private int[][] table;
private PartitionNumberCounter(int number, int itemsCount) {
this.table = new int[number][itemsCount];
}
private int countPartitions(int number, int itemsCount) {
if (number == itemsCount || itemsCount == 1) {
return 1;
} else if (itemsCount > number) {
return 0;
}
if (table[number - 1][itemsCount - 1] == 0) {
table[number - 1][itemsCount - 1] = countPartitions(number - 1, itemsCount - 1) + countPartitions(number - itemsCount, itemsCount);
}
return table[number - 1][itemsCount - 1];
}
public static int countNumberOfPartitions(int number, int itemsCount) {
return new PartitionNumberCounter(number, itemsCount).countPartitions(number, itemsCount);
}
}
Задача 2. Медиана
В теории вероятностей и математической статистике медианой называется число, которое делит вариационный ряд выборки на две равные части. Для нахождения медианы конечного массива чисел необходимо отсортировать массив от меньших значений к большим и выбрать значение посередине массива.
Для получения медианы массива A = [2, 1, 5, 0, 10] отсортируем массив, получим A_sorted = [0, 1, 2, 5, 10]. Медианой массива является третий элемент массива, то есть 2.
Для нахождения медианы массива с четным числом элементов существуют различные соглашения. Для решения задачи примем следующее соглашение: медианой массива A с четным числом элементов 2N является (A_sorted[N] + A_sorted[N + 1]) / 2.
Самым популярным и при этом самым неоптимальным способом решения этой задачи является конкатенация массивов, сортировка результирующего массива и получение среднего от n и n + 1 элементов. Такой способ решения имеет алгоритмическую сложность O(n log n). Второй по популярности метод решения этой задачи — использование сортировки слиянием (merge sort), в этом случае мы получаем алгоритмическую сложность O(n). Рассмотрим способ решения, использующий парадигму «разделяй и властвуй», сложностью O(log n).
Решение:
Главная идея состоит в том, что для данных массивов a1 и a2 можно проверить, является ли a1[i] медианой за константное время. Предположим, что a1[i] — медиана. Так как массив отсортирован, a1[i] больше i предыдущих значений в массиве a1. Если он является медианой, он также больше, чем j = n – i – 1 элементов массива a2.
Необходимо константное время для проверки, что a2[j] <= a1[i] <= a2[j + 1]. Если a1[i] не является медианой, в зависимости от того, a1[i] больше или меньше, чем a2[j] и a2[j + 1], мы знаем, что a1[i] больше или меньше медианы. Исходя из этого, мы можем найти медиану бинарным поиском за O(log n) в худшем случае.
Для двух массивов a1 и a2 сначала пройдем бинарным поиском по a1. Если мы достигнем конца (левого или правого) первого массива и не найдем медиану, начнем искать ее во втором массиве a2.
Алгоритм
Получим средний элемент a1. Положим индекс среднего элемента i.
Посчитаем индекс j массива a2: j = n – i – 1.
Если a1[i] >= a2[j] и a1[i] <= a2[j + 1], то a1[i] и a2[j] — средние элементы. Искомая медиана (a1[i] + a2[j]) / 2.
Если a1[i] больше, чем a2[j] и a2[j + 1], то ищем в левой части массива.
Если a1[i] меньше, чем a2[j] и a2[j + 1], то ищем в правой части массива.
Если мы достигли конца списка a1, то осуществляем бинарный поиск в массиве a2.
Пример
a1 = [1, 5, 7, 10, 13]
a2 = [11, 15, 23, 30, 45]
Средний элемент a1 — 7. Сравним 7 с 23 и 30, исходя из того, что 7 меньше, чем 23 и 30, сдвинемся вправо по a1. Продолжая бинарный поиск в [10, 13], на этом шаге возьмем 10. Сравним 10 с 15 и 23. Так как 10 меньше 15 и 23, снова сдвинемся вправо. 13 больше, чем 11, и меньше, чем 15, заканчиваем работу. Искомая медиана — 12 (среднее от 11 и 13).
Имплементация
def get_median(a1, a2, left, right, n):
if left > right:
return get_median(a2, a1, 0, n-1, n)
i = (left + right) / 2
j = n - i - 1
if a1[i] > a2[j] and (j == n - 1 or a1[i] <= a2[j+1]):
if i == 0 or a2[j] > a1[i-1]:
return (a1[i] + a2[j])/2
else:
return (a1[i] + a1[i-1])/2
elif a1[i] > a2[j] and j != n-1 and a1[i] > a2[j+1]:
return get_median(a1, a2, left, i - 1, n)
else:
return get_median(a1, a2, i + 1, right, n)
if __name__ == "__main__":
a1 = [1.0, 10.0, 17.0, 26.0]
a2 = [2.0, 13.0, 15.0, 30.0]
n = len(a1)
print get_median(a1, a2, 0, n - 1, n)
Задача 3. Пересекающиеся прямоугольники
Одно из возможных решений этой задачи — алгоритм sweep line. Отсортировав левые и правые x-координаты прямоугольников, мы получаем массив, каждый элемент в котором можно представить как событие добавления прямоугольника в рассматриваемый в данный момент набор либо удаления прямоугольника. Так как между событиями высота пересечения прямоугольников из набора не меняется, на каждом шаге мы вычисляем часть искомой площади.
Оставшаяся задача — посчитать длину пересечения множества отрезков. Для этого, итерируясь по отсортированному по левой координате массиву, объединяем отрезки до тех пор, пока начало следующего отрезка не будет больше конца предыдущего — это значит, что можно посчитать длину найденного объединения и начать искать следующее.
Имплементация
def compute_length(segments):
length, left, right = 0, 0, 0
segments.sort(key=lambda v: v[0])
for l, r in segments:
if l > right:
length += right - left
left, right = l, r
elif r > right:
right = r
return length + (right - left)
def compute_area(rectangles):
queue = []
area = 0
for x1, y1, x2, y2 in rectangles:
queue.append((x1, True, (y1, y2)))
queue.append((x2, False, (y1, y2)))
queue.sort(key=lambda v: v[0])
segments = []
last = queue[0][0]
for x, status, size in queue:
area += (x - last) * compute_length(segments)
last = x
if status:
segments.append(size)
else:
segments.remove(size)
return area
Структура DZ Systems
Digital Zone специализируется на создании масштабируемых web-систем, рассчитанных на проекты федерального масштаба. Компания на 14-м месте в рейтинге ведущих веб-разработчиков страны за 2014 год. E-Legion — разработчик мобильных приложений, в 2014 году компания вышла на первое место в рейтинге Рунета по мобильной разработке.
IT-компании, шлите нам свои задачки!
Миссия этой мини-рубрики — образовательная, поэтому мы бесплатно публикуем качественные задачки, которые различные компании предлагают соискателям. Вы шлете задачки на lozovsky@glc.ru — мы их публикуем. Никаких актов, договоров, экспертиз и отчетностей. Читателям — задачки, решателям — подарки, вам — респект от нашей многосоттысячной аудитории, пиарщикам — строчки отчетности по публикациям в топовом компьютерном журнале.
Читатели, шлите ваши ответы!
Правильные ответы принимает Анна Новомлинская (anna.novomlinskaya@dz.ru). Она же распределяет призы — билеты на офлайн-квест. Не теряйся!
Знаменитый исследователь в области информационной безопасности и советник венчурного фонда Almaz Capital Partners Уитфилд Диффи 26 мая выступит на форуме Positive Hack Days, организованном компанией Positive Technologies. Один из основоположников ассиметричного шифрования проведет телемост и ответит на вопросы участников форума.
Известность Уитфилду Диффи и его соавтору, стэнфордскому профессору Мартину Хеллману, принесла научная работа «New Directions in Cryptography», опубликованная в 1976 году. В исследовании был представлен алгоритм обмена ключами, который и сегодня широко используется в криптографических приложениях. Многие специалисты полагают, что эта концепция до сих пор является самым большим шагом вперед за всю историю криптографии.
Проблему, которую удалось решить Диффи и Хеллману, можно проиллюстрировать на примере Алисы и Боба (архетипы криптографии). Представим, что Алисе необходимо послать бумажное письмо Бобу, но она знает, что сотрудница почтового отделения Ева подглядывает в переписку. Чтобы этого не допустить, Алиса кладет письмо в железный ящик, закрывает его на замок и отправляет Бобу. Но как откроет ящик Боб?
Бобу помогли Диффи и Хеллман, предложив свой «метод экспоненциального обмена ключами». Получив закрытый ящик от Алисы, Боб повесит на него еще один замок и отправит обратно, где Алиса снимет свой замок и второй раз отправит ящик Бобу, у которого на этот раз будет ключ. Эта простая история изменила все существовавшие на тот момент аксиомы криптографии и показала, как два человека могут передавать секретное сообщение без обмена ключами. На практике все оказалось несколько сложнее, так как существующие алгоритмы до сих пор требуют снятия шифров в той очередности, в которой они были применены. Но идея с ящиком подтолкнула исследователей к поиску решения, которое было найдено с помощью односторонних функций.
С принципом работы алгоритма Диффи — Хеллмана на примере банок с краской можно ознакомиться на рисунке ниже или в ролике Art of the Problem. Алисе и Бобу удается договориться о секретном цвете, который и является ключом к шифру, таким образом, чтобы Ева (любопытная работница почтового отделения) не смогла его получить.
Сегодня усовершенствованная версия алгоритма Диффи — Хеллмана используется во множестве сервисов, однако в последние годы, чтобы избежать MITM-атак, применяются дополнительные методы односторонней или двусторонней аутентификации.
Помимо множества исследований в области ИБ, Уитфилд Диффи знаменит своими высказываниями, в частности о принципиальных изъянах систем безопасности и контроля, которые легко могут превращаться в оружие, направленное в сторону своих создателей.
В своей статье в журнале Scientific American Диффи писал, что полицейский надзор за интернетом, как противоположность более надежной защите компьютеров, его населяющих, может оказаться весьма ненадежным и предательским средством. Ибо нет никаких гарантий, что инструменты правительственного мониторинга можно сделать намного безопаснее, чем те компьютеры, для защиты которых они предназначены. А если так, то появляется очень серьезный риск, что средства контроля могут быть скомпрометированы или использованы против тех властей, что их создали и развернули. Свирепствующие в интернете вирусы могут захватить не только те машины, за которыми следят, но и компьютеры, занимающиеся полицейским надзором.
Если слова не помогали, американский криптограф, отпраздновавший в прошлом году свое 70-летие, всегда был готов на практике продемонстрировать личное недовольство современным отношением к приватности. В 2013 году на PopTech Диффи, как и всем участникам конференции, выдали электронный бейдж с зашитыми данными о владельце: каждый мог мгновенно получить информацию об остальных. Посчитав это нарушением своих прав, Уитфилд взломал свой бейдж и отправил устройство в спящий режим, а затем бейдж стал «усыплять» все остальные nTag, которые оказывались в пределах досягаемости.
Вы можете прислать вопросы Уитфилду по адресу phd@ptsecurity.com — он постарается ответить на самые интересные во время своего выступления на PHDays V.
Группа криптографов, которая занималась аудитором исходного кода программы шифрования дисков TrueCrypt, наконец-то завершила работу. Полный 21-страничный отчёт опубликован на сайте Open Crypto Audit Project.
Основной результат: TrueCrypt признан относительно хорошо спроектированным образцом криптографического программного обеспечения. Аудит не выявил никаких следов или значительных ошибок архитектуры, которые могут привести к уязвимостям.
Это не значит, что TrueCrypt идеален. На самом деле аудитором всё-таки удалось найти несколько багов и примеров неосторожного программирования, что при определённых обстоятельствах заставит TrueCrypt работать не так надёжно, как хотелось бы.
Например, самая серьёзная претензия к TrueCrypt связана с работой генератора случайных чисел под Windows. ГСЧ используется для генерации ключей, с помощью которых шифруются тома TrueCrypt. Это важная часть программы, ибо предсказуемый ГСЧ — катастрофа для безопасности и всего остального в системе.
Разработчики TrueCrypt реализовали свой ГСЧ, основываясь на дизайне 1998 года, предложенном Питером Гутманом (Peter Guttman), который предполагает использование пула энтропии для сбора «непредсказуемых» значений из разных источников в системе, включая саму Windows Crypto API. Проблема в том, что в некоторых очень редких случаях у Crypto API не получается корректно инициализироваться. Когда такое происходит, TrueCrypt должен выдать сообщение и прекратить генерацию ключей. Вместо этого он спокойно воспринимает сбой и продолжает генерацию.
Конечно, это не конец света, поскольку вероятность такого сбоя крайне мала. Более того, продолжается сбор случайных значений от системных указателей, координат курсора мыши и др. Этого должно быть вполне достаточно для надёжной защиты. Но неправильный дизайн программы нужно исправить во всех форках TrueCrypt.
Кроме проблемы с ГСЧ, аудиторы выразили некоторые опасения относительно безопасности кода TrueCrypt AES в отношении противостояния атакам по времени из кэша. Такого рода атака, теоретически, можно осуществлять, если зашифрованные тома находятся на компьютере с общим доступом или в другой среде, где злоумышленник может запускать свой код.
«TrueCrypt — поистине уникальный образец программного обеспечения, — подводят итог аудиторы. — Потерю разработчиков TrueCrypt остро ощущают многие люди, которые полагаются на полное шифрование диска для защиты своих данных. Если повезёт, поддержкой займутся другие. Мы надеемся, что этот аудит придаст некоторую дополнительную уверенность в коде, с которым они начали работать.
В системе воспроизведения MPEG-1 Layer III браузера Firefox и почтового клиента Thunderbird обнаружена критическая уязвимость. Дело не так плохо, потому что баг уже исправлен в последних версиях Firefox 37, Firefox ESR 31.6, Thunderbird 31.6, но сама уязвимость серьёзная, поэтому следует предупредить тех, кто в силу каких то причин застрял на старых версиях Firefox и Thunderbird.
Специалист по безопасности Аки Хелин (Aki Helin) обнаружил возможный сценарий, когда освободившийся участок памяти можно использовать для записи вредоносных инструкций (уязвимость типа use-after-free).
Сценарий проявляется только во время воспроизведения MP3-файлов с плагином Fluendo MP3 для GStreamer под Linux. Он 1106596 (CVE-2015-0813) связан со специфическим взаимодействием упомянутого плагина при обработке некоторых файлов MP3 и его взаимодействием с кодом Mozilla. В результате возможен сбой с аварийным прекращением работы браузера.
Баг не проявляется в версиях под Windows или OS X.
Популярное приложение для администрирования СУБД MySQL через браузер phpMyAdmin обновилось до версии 4.4.
Приложение пользуется большой популярностью у веб-разработчиков, потому что позволяет управлять СУБД MySQL без ввода SQL команд и имеет дружественный интерфейс. В данный момент оно умеет создавать и удалять базы данных, создавать/удалять/изменять таблицы, удалять/редактировать/добавлять колонки, исполнять любые команды SQL, управлять индексами.
PhpMyAdmin установлен у большинства провайдеров, так что выход новой даже минорной версии — довольно значимое событие. В этой версии представлено несколько новых функций и исправлены обнаруженные баги.
Директива конфигурации переименована с $cfg[‘NavigationTreeDisableDatabaseExpansion’]
на $cfg[‘NavigationTreeEnableExpansion’]. Если вы её использовали, то следует обновить файл config.inc.php.
SQL-скрипты для хранилища конфигурации перенесены из папки examples в sql.
После появления документов Сноудена власти начали предпринимать ответные действия, запустили машину контрпропаганды и начали давить на отдельные СМИ, чтобы те прекратили печать документов. В рамках одной из таких операций два агента британской разведки GCHQ заявились в редакцию газеты The Guardian и заставили сотрудников уничтожить ноутбук, на котором хранились документы, полученные от Эдварда Сноудена.
То мероприятие было весёлым само по себе. Небольшая группа журналистов и инженер взяли перфоратор, молоток и другие инструменты — и начали физически крошить ноутбук производства Apple с внешним диском Western Digital.
В медиа потом решили, что это было символическое, как бы ритуальное уничтожение техники.
Сейчас наступило продолжение того перфоманса. Всё логично. Выступление было театральным с самого начала, так что сейчас естественным путём шоу переехало по другому адресу. Остатки MacBook Air, который крошили тогда в редакции, выставлены в рамках музейной выставки «Всё это принадлежит тебе» (“All of This Belongs to You”), которая проходит с 1 апреля по 19 июля 2015 года в лондонском музее Victoria and Albert (V&A).
Как говорят кураторы, эта экспозиция среди всего прочего продемонстрирует противоречие человеческих стремлений сохранить приватность в интернете и общаться в социальных сетях.
