Коллектив Авторов - Цифровой журнал «Компьютерра» № 221

Наконец, «умные» носимые устройства — способные работать самостоятельно, без смартфонов, либо требующие спаривания с мобильным телефоном только для доступа в Сеть — пойдут последними, с весьма медленным, пологим стартом. Типичный их представитель это Google Glass. IDC обещает им через пару лет всего 2-миллионные продажи в год, ABI чуть более оптимистично предрекает 7 миллионов с хвостиком.

Естественно, всё это лишь предположения. Как распределятся роли между носимыми компьютерами в ближайшем будущем, никто доподлинно не знает. Но прогнозы строят, опираясь не только на цену или степень отшлифованности технологии, учитываются также результаты соцопросов. Ведь ничто не мешает спросить человека с улицы, на какой части тела он предпочёл бы носить воображаемое цифровое устройство, которое было бы для него полезным и производителю которого он бы доверял. И такие опросы проводятся — с результатами не всегда ожидаемыми. Скажем, киберочки согласится носить лишь каждый десятый. «Умные» часы — уже каждый четвёртый. А вот идея прикреплённого к одежде или вшитого в неё носимого компьютера привлекает почти каждого второго.

К счастью, переход от мобильных компьютеров к носимым всё равно будет более быстрым, чем от стационарных к мобильным. Ведь основа — операционные системы, приложения, представления о возможном функционале — уже наработана, ею уже можно пользоваться напрямую или по крайней мере адаптировать к более слабым процессорам, меньшей ёмкости аккумуляторам. Здесь же скрыт и ответ на вопрос о вероятной функциональности носимых компьютеров: смартфонами публика уже наелась — значит, как минимум можно ожидать, что wearables заменят мобильники. А это, в свою очередь, означает, что они обязательно возьмут на себя связь, навигацию, минимальные развлечения, работу с различными медиа на ходу. Какой будет «функциональная премия» — что носимые смогут и будут делать такого, чего не умеют мобильные, — сейчас пытаются прояснить тысячи производителей и миллионы энтузиастов, развивающие и пробующие отдыхать и работать с такими устройствами.

Важно понимать, что переход от мобильных компьютеров к носимым ни в коем случае не будет гладким, безболезненным. Аналитики предвидят минимум три конфликтные точки — и с ними, в общем, трудно не согласиться. Во-первых, как это всегда и бывает с молодыми рынками, девять из каждых десяти стартапов, поднимающих сегодня носимую целину, скорее всего, прекратят существование, так и не добившись успеха. То есть практически все торговые марки и устройства, которые определяют для нас сейчас облик индустрии носимых компьютеров, исчезнут и будут забыты.

Во-вторых, носимые компьютеры, представляя собой принципиально новый для обывателя класс устройств, да ещё такой инвазивный (сопровождающий человека повсюду, знающий всё обо всём), гарантированно породят новые информационные риски. Кажется парадоксальным, что мы больше знаем и говорим об угрозе со стороны ещё даже не продающихся киберочков (три четверти обывателей уже не желают иметь с ними дела из-за их способности снимать происходящее «исподтишка» и раздражать окружающих), нежели со стороны тех же трекеров. А ведь даже самый простой трекер способен многое порассказать о своём хозяине.

Наконец, в-третьих, будьте готовы к смене лидеров и неизбежной психологической ломке. Вчера публика верила IBM и Microsoft, сегодня в фаворе Apple и Google, завтра их место займёт Samsung: опросы уже сейчас показывают, что пользователи носимых компьютеров считают южнокорейского гиганта заслуживающим наибольшего доверия.

К оглавлению

Опубликовано14 апреля 2014

Уязвимость в пакете OpenSSL, вскрывшаяся ровно неделю назад, породила настоящий вал публикаций не только в айтишной, но и в популярной прессе. К несчастью, ошибка оказалась нетривиальной, так что в попытке упростить, донести смысл случившегося до обывателя СМИ нагородили опасной ерунды — бумерангом вернувшейся в околокомпьютерную среду. Поскольку проблема так ещё и не устранена, стоит внести ясность. Давайте зададим самые важные вопросы и попробуем дать на них простые правдивые ответы.

И первым вопросом, конечно, будет такой: насколько в действительности опасен баг под названием Heartbleed? Брюс Шнайер, признанный эксперт по криптографии и обычно весьма осторожный в оценках человек, написалбуквально следующее: по шкале от 1 до 10 это 11 баллов. Катастрофическая ошибка .

Вопрос второй: в чём она заключается, что именно составляет проблему? Библиотека OpenSSL содержит набор функций, реализующих криптографические протоколы SSL и (что фактически то же самое) TLS. Они помогают скрыть содержимое передаваемых через интернет-соединение данных от посторонних глаз. К примеру, всякий раз, когда в адресной строке браузера светится «HTTPS», это означает, что ваше соединение с веб-сервером защищено с помощью SSL/TLS.

Важно понимать, что OpenSSL — не единственная библиотека, реализующая функции SSL/TLS, но самая популярная. Ведь она развивается под свободной лицензией, так что большинство веб-серверов использует именно её. Важно также, что не все версии OpenSSL содержат ошибку Heartbleed: лишь около полумиллиона серверов эксплуатируют библиотеку уязвимых версий 1.0.1 и 1.0.2beta, тогда как более ранние и более поздние её варианты ошибки не содержат.

Суть проблемы в том, что сервер не проверяет корректность некоторых запросов, поступающих от клиентов. Установив соединение, клиент (не человек, конечно, а программное обеспечение) периодически обращается к серверу с просьбой подтвердить, что соединение ещё не разорвано (эта функция называется heartbeet — «биение сердца»). В ответ сервер должен вернуть некоторый небольшой объём данных, причём количество их определяет сам клиент.

Так вот, если клиент запросит больше данных, чем отправил, дефективная OpenSSL его запрос всё равно удовлетворит — и пришлёт ему кусок из оперативной памяти длиной вплоть до 64 килобайт (отсюда название ошибки: heartbleed — «кровоточащее сердце»). В куске этом, понятное дело, могут находиться сведения, к данному клиенту отношения не имеющие, — например, пароли и логины пользователей, недавно подключившихся к серверу, а также секретный криптоключ, который сервер использует для шифрования соединений.

Отсюда — вопрос и ответ номер три: чем опасна Heartbleed? Владея вышеозначенной информацией, злоумышленник в силах организовать, в частности, прослушку чужих сеансов связи с данным сервером и заглянуть в чужие аккаунты. Поскольку многие сетяне используют один и тот же пароль на нескольких сайтах, а мультифакторная авторизация по-прежнему непопулярна (то есть в подавляющем большинстве случаев для прохода в закрытую зону достаточно знания логина и пароля), можно попробовать применить украденные о пользователе сведения на других веб-ресурсах.