The Bell Tech 7 сентября 2019

Безопасность через неясность, генератор случайных тетрисов и польза безмыслия

Тема выпуска — безопасность через неясность.

В начале сентября стартап Eclypsium, специализирующийся на поиске аппаратных уязвимостей, опубликовал сообщение о бреши USBAnywhere, позволяющей злоумышленнику подключить виртуальную флешку к удаленному серверу. Прямо сейчас из интернета доступно как минимум 47 тысяч серверов с уязвимостью этого типа.

Мы опубликовали большой материал о USBAnywhere и несколько советов, здесь — основные выводы:

Мы делали главные деловые СМИ страны, теперь делаем лучше - подпишитесь на The Bell.
  • Проблема выявления аппаратных уязвимостей не нова, но на нее часто закрывают глаза. Хуже того, администраторы даже премиальных облачных сервисов зачастую рассчитывают на безопасность через неясность, не веря, что нападающие будут эксплуатировать непрограммные уязвимости.
  • Уже несколько лет поиск уязвимостей в прошивках и аппаратном обеспечении — очень прибыльное дело, требующее высокой квалификации. Основатели Eclypsium — выпускник московского физтеха Юрий Булыгин и киевского политеха Александр Бажанюк — обладают на двоих 15-летним опытом поиска аппаратных прорех в Intel.
  • Eclypsium, для которого находка, подобная USBAnywhere, не первая, уже привлек около $10 млн инвестиций. Это крохи по сравнению с теми миллиардами, которые придется потратить крупной корпорации на аппаратную защиту.
  • Существенные инвестиции Eclypsium получил вскоре после скептически воспринятой сообществом публикации в Businessweek, где говорилось о внедрении китайскими военными шпионских чипов на материнские платы Supermicro еще на фабриках.
  • Несмотря на недоверие, отрасль выучила урок. Крупнейшие облачные провайдеры, например, AWS, заменяют прошивки в поступающих серверах, чтобы избежать сюрпризов.
  • Многие крупные корпорации начали следить за чистотой своих линий поставки и нанимать компании, занимающиеся аудитом аппаратной безопасности, так как она не менее, а возможно, и более важна, чем программная защита.

+1 к продуктивности

Иногда надо не размышлять, пишет Дариус Форо, автор книги «Чего стоит быть свободным». Слишком большие затраты на мыслительный процесс делают вас нерешительными. Кроме того, часто мы подменяем нашу личность цепочкой рассуждений. Продуктивное мышление не отвлекает вас от поставленных целей и заставляет двигаться вперед, а не топтаться на месте.

Read later

  • Журнал Disconnect пишет (кстати, вам придется отключиться от интернета, чтобы прочесть эту статью) о системе школьного мониторинга в Китае. Герой заметки случайно обнаружил кадр видеосистемы наблюдения, анализирующей выражения лиц учащихся. У каждого ученика отмечаются моменты, когда он внимательно смотрит на доску, отвечает на вопросы или отвлекается.  Стоит ли упоминать, что ученикам об этой системе никто не сказал.
  • С 1985 года, когда Алексей Пажитнов и Вадим Герасимов представили миру Tetris, появились 150 только лицензированных вариантов этой игры. Менялись правила, состав и форма блоков. Однако редко говорят о еще одном изменении — генераторе блоков. В оригинальном Tetris они выдавались независимо друг от друга, что могло привести к непроходимым игровым сеансам. Уже в 1989 году Nintendo стала учитывать историю выпадавших блоков в генерации. Позднее генератор становился все менее случайным и все более изощренным.
  • Что произойдет, когда на дорогах появятся беспилотные автомобили и грузовики: 73 невероятных последствия. Статья, вышедшая в феврале 2018 года (то есть уже немного устаревшая) — второе издание аналогичной статьи от сентября 2016 года. Некоторые из названных следствий: люди перестанут владеть автомобилями; радикально изменится дизайн машин; постепенно уйдут водительские удостоверения; снизится кадровый спрос на дальнобойщиков и таксистов; люди станут реже опаздывать; серьезно сократится число ДТП; сильно вырастет число взломов компьютерных автосистем.

Амзин Александр