Журнал "Компьютерра" №726
Шрифт:
Сейчас даже трудно представить, какие устройства можно изготовить на основе Янус-частиц. Их можно использовать и для простого перемешивания жидкости, и для сложной доставки лекарств или сенсоров по назначению, и даже для сборки наноустройств. Вдохновленные успехом ученые уже приступили к созданию теории движения ассиметричных частиц с более сложной формой и замысловатой поверхностью, а также к постановке новых экспериментов. ГА
На удивление простой способ изготовления превосходной бумаги из углеродных нанотрубок предложен в пекинском Университете Циньхуа (Tsinghua). Новая нанобумага прочна и хорошо проводит тепло и электрический ток.
Ученые давно пытаются создать некое подобие бумаги из
В китайском способе сперва по отработанной технологии на кремниевой подложке выращивают густой лес из трубок диаметром 10 нм и длиной около 100 мкм, затем накрывают тонкой микропористой мембраной и прокатывают сверху стальным валиком. "Наностволы" ложатся строго в направлении прокатки, между нанотрубками образуется множество контактов, и остается только отделить бумагу от подложки и смыть мембрану спиртом.
Чтобы продемонстрировать прочность бумаги, ученые сложили из нее традиционную фигуру оригами - журавлика. Измерения показывают, что теплопроводность "нанобумаги" не хуже, чем у чистой меди, и значительно выше, чем у бумаги, полученной по другим технологиям. А это значит, что ее можно использовать в качестве теплоотводящей прослойки в чипах.
Кроме того, углеродная бумага обладает хорошо развитой поверхностью, что делает ее пригодной для использования в качестве электродов в аккумуляторах и суперконденсаторах. Такие конденсаторы могут запасать на три порядка больше энергии, чем обычные, и отдавать ее за секунды. Их все активнее используют, например, на транспорте с электрическим приводом для разгона и торможения.
Согласно легенде, бумага из хлопка была изобретена около двух тысяч лет назад именно в Китае. Как учат нас философы, история развивается по спирали, и замечательно, что китайским ученым снова удалось внести вклад в развитие передовых технологий. ГА
Группа исследователей из компьютерной лаборатории Кембриджского университета продемонстрировала серьезнейшую уязвимость новой технологии платежных карт Chip & PIN.1 Такого рода гибридные контактные карточки, совмещающие в пластиковом корпусе микросхему и магнитную полоску, уже получили широкое распространение в Британии, Австрии и Бельгии, а многие другие государства планируют заменить ими безнадежно устаревшие карточки с одинокой магнитной полоской. Строго говоря, кембриджские специалисты показали ненадежность не столько карт, сколько терминалов, использующихся в торговых точках и банках для обработки транзакций и верификации карты, - так называемых PED (PIN entry devices - устройства ввода персонального идентификатора).
Саар Дример, Стивен Мердок и Росс Андерсон (Saar Drimer, Steven J. Murdoch, Ross Anderson) на примере двух самых распространенных в Великобритании моделей PED - Ingenico i3300 и Dione Xtreme - продемонстрировали, сколь плохо защищены данные о карте и ее владельце. Разработанная ими техника взлома носит название tapping attack ("атака через отвод") и на удивление недорога в реализации. Все, что для нее требуется, это подходящего размера игла, скрепка для бумаги и устройство для записи отводимого сигнала. Плюс, конечно, знания и умение весь этот "реквизит" собрать, воткнуть и подключить куда следует.
С помощью столь нехитрого инструментария исследователи сумели записать процедуру обмена данными между картой и процессором PED, ничуть не потревожив устройства защиты, вмонтированные в терминал. Перехваченный поток данных сразу позволяет установить PIN карты, поскольку британские банки выбрали технологию подешевле и не стали встраивать в чип средства, которые бы шифровали информацию, курсирующую между картой и PED.
Последствия атаки, надо сказать, гораздо серьезнее, нежели просто компрометация PIN-кода. Ради того, чтобы
обеспечить обратную совместимость со старыми картами, терминалы считывают данные не только с чипа, но и с магнитной полоски. Это означает, что если злоумышленник сумел подсоединить иглу-отвод к каналу обмена между картой и процессором, то он получает возможность записать все данные, необходимые для клонирования карты с магнитной полосой. Вкупе с похищенным PIN-кодом это дает возможность легко изготовить фальшивую карту и с ее помощью снимать деньги со счета в банкоматах зарубежных стран, еще не перешедших на Chip & PIN. Более того, подобные банкоматы кое-где остались и в провинциальных районах Британии.Особой критики, по мнению исследователей, заслуживает в высшей степени непрозрачный, ущербный по своей сути процесс сертификации и оценки безопасности устройств PED, отвечающих за защиту важных данных. Транснациональный гигант Visa и британская платежная ассоциация APACS, признав оба устройства безопасными и официально санкционировав их широчайшее распространение, проглядели серьезнейшие уязвимости, выявленные кембриджской командой. Более того, при выдаче сертификатов APACS и Visa прибегли к сомнительному трюку, в приличном обществе называемому подлогом. Было объявлено, что устройства PED прошли "оценку на соответствие Common Criteria", то есть международному набору стандартов для систем безопасности, принятому в Великобритании, США и других странах НАТО. На Туманном Альбионе выдачей сертификатов о соответствии Common Criteria (СС) ведает правительственная спецслужба GCHQ, аналог американского АНБ. Однако в GCHQ сообщили, что ничего не знают о терминалах PED, поскольку эти устройства никогда не сертифицировались на соответствие CC.
Тут-то и выяснилось, что "оценка на соответствие CC" и "сертификация" - две большие разницы. Результаты тестирования на предмет сертификации положено открыто публиковать, а Visa и APACS категорически отказываются предоставить кому-либо отчет об оценке безопасности терминалов. Более того, засекречены и сами инстанции, проводившие эту оценку. В ответах же исследователям, которые еще в ноябре прошлого года предупредили об уязвимости все заинтересованные стороны - APACS, Visa, изготовителей PED, - серьезность угрозы намеренно приуменьшается.
Реакция Visa, например, выглядит так: "В академической статье Кембриджа мы не увидели ничего такого, чего не знали раньше, и ничего такого, что представляло бы угрозу для безопасности карт в реальном мире". Представители же Ingenico, одного из изготовителей PED, выразились не столь высокомерно, но в том же ключе: "Метод, описанный в университетской статье, требует специальных знаний и сопряжен с техническими трудностями. По этой причине он невоспроизводим в широких масштабах и не учитывает тот мониторинг мошенничества, что применяется в индустрии"…
Один из членов кембриджской команды, профессор Росс Андерсон, сражается с порочным подходом банков и индустрии к безопасности уже два десятка лет. По поводу последней работы он говорит так: "Уроки, которые мы здесь получаем, вовсе не ограничиваются банкингом. В самых разных областях, от машин для голосования до автоматизированных систем учета медицинских данных, постоянно появляется одна и та же комбинация из глупых ошибок, фиктивных сертификаций и препятствующих исследованиям властей. Повсюду, где люди вынуждены опираться на безопасность систем, нам требуются честные процедуры оценки, результаты которых открыто публикуются и проверяются независимой экспертизой".
Стоит ли пояснять, какая из препирающихся сторон больше права. Жаль только, что далеко не в каждой стране есть Кембриджи и Андерсоны.
Галактион Андреев
Александр Бумагин
Егор Васильев
Владимир Головинов
Евгений Гордеев
Артем Захаров
Евгений Золотов
Денис Коновальчик
Игорь Куксов
Максим Мусин
Павел Протасов
Иван Прохоров
Дмитрий Шабанов