Еще один способ «слушать» GSM

О взломах GSM-сетей (в частности, алгоритмов шифрования), мы уже писали неоднократно (например, о системе Kraken, способной вскрыть A5/1). Также мы рассказывали о том, что сам взлом, на который ранее требовалось продолжительное время, теперь стал осуществим за минуту-другую. Вся проблема заключалась лишь в подборе и покупке аппаратуры — задача это непростая и совсем не дешевая (речь идет о тысячах вечнозеленых денег). GSM-операторы от проблемы тогда предпочли отмахнуться — мол, слишком все это сложно, дорого и трудоемко.

И, как всегда, оказались неправы. Недавно на конференции Chaos Computer Club Congress было продемонстрировано, что для перехвата GSM-переговоров вполне достаточно связки «ноутбук-сотовый», притом в качестве телефона может выступать самая примитивная модель «Моторолы» за $15. Уязвимость GSM-сетей в очередной раз доказали исследователь из Security Research Labs Карстен Нол и программист Сильвен Мюно, участвующий в проекте по созданию свободной GSMпрошивки OsmocomBB.

Для взлома им понадобился лишь собственноручно перепрошитый GMS-телефон «Моторола», подключенный к ноутбуку с набором открытого ПО. Сам метод взлома таков: жертве отправляется поврежденное или пустое SMS-сообщение, которое никак не отображается на телефоне получателя. Затем, путем снифинга, выявляется случайный идентификатор сессии. Снифер как раз создан на базе модифицированной «Моторолы» за пятнадцать баксов — за счет перепрошивки аппарат получает куда больше данных от сотовой сети, чем обычный телефон, и практически в реальном времени сливает все это в компьютер (канал подключения тоже немного оптимизирован).

После того, как нужный поток выявлен, остается лишь решить вопрос его расшифровки. Здесь в игру вступает один из багов GSM-сетей: многие операторы до сих пор не удосужились ввести защиту, которая заменяла бы нулевые заполняющие биты в проверочных пакетах на случайные значения. А пока такой защиты нет, содержание этих пустых сообщений легко предсказуемо. Само вскрытие 64-битного ключа шифрования происходит при помощи двухтерабайтной «радужной таблицы», собранной энтузиастами. Занимает это около двадцати секунд. Ввиду того, что большинство операторов (опять же, пренебрегая безопасностью), долго используют один и тот же сессионный ключ как для голосовых соединений, так и СМС-сообщений, перехваченную последовательность можно применить и для расшифровки последующих телефонных звонков жертвы. Подробности доклада и полезные материалы можно найти на официальном сайте конференции: events.ccc.de.

 

ZEUS + SPYEYE = ?

Еще недавно инструментарии ZeuS и SpyEye были непримиримыми конкурентами, беспощадно уничтожавшими детища друг друга на зараженных машинах, а теперь они объединились. Специалисты в области информационной безопасности уже бьют тревогу, ведь новая сборка SpyEye вобрала в себя все «лучшие» черты обоих тулкитов, являя собой действительно чудовищный гибрид. Что послужило поводом к такому слиянию, доподлинно, разумеется, не известно, хотя андеграунд и полнится слухами о том, что автор «Зевса» решил уйти на покой и оставил все свои наработки наиболее достойному преемнику — создателю SpyEye, известному как Gribodemon/Harderman.

Как бы то ни было, результат впечатляет. Новая версия сохранила интерфейс SpyEye, но обросла функционалом ZeuS. Главные фишки новой сборки: поддержка различных плагинов и опция обхода системы безопасности Trusteer Rapport, которой пользуются многие банки. Также улучшили функцию извлечения паролей, добавили уведомление через Jabber, включили модуль VNC, а также функции автоматического распространения и обновления. Упомянутые выше плагины, позволяют снабжать жертв фейковыми страницами и упрощают атаки против пользователей Firefox. Если раньше SpyEye воровал данные из зашифрованного хранилища Windows, то теперь, благодаря плагину ffcertgrabber, он способен пролезть и в папки, где свои данные хранит «Лиса». Гибрид двух тулкитов уже вовсю продается на черном рынке, и, по данным специалистов Trend Micro, пара серверов уже использует новую версию малвари. Похоже, можно ждать появления новых крупных ботнетов.

 

Кадровые перестановки

Сразу две крупные IT-компании объявили об изменениях в высшем руководящем составе. Первой стала Apple, чей генеральный директор Стив Джобс взял бессрочный отпуск по состоянию здоровья. Напомним, что в 2009 году Джобс уже провел на больничном полгода, так как лечился от рака поджелудочной железы и перенес пересадку печени. Не хочется думать о худшем, но очевидно, что победить заболевание окончательно Стиву тогда не удалось, с чем и связан его нынешний отпуск.

В официальном обращении Джобс заверил, что продолжит занимать пост генерального директора и будет участвовать в принятии основных стратегических решений. Временным управляющим станет операционный директор Apple Тим Кук, уже подменявший Джобса в 2009.

У компании Google тоже сменится руководитель, только не временно, а постоянно. Пост генерального директора в скором времени займет один из основателей поискового гиганта — Ларри Пейдж. Эрик Шмидт, занимавший директорское кресло с 2001 года, из Google тоже уходить не собирается — он останется в компании в качестве председателя правления, а также будет советником Пейджа и Брина.

 

Вирусы — прибыльный бизнес

Компания Trend Micro опубликовала интересные данные, полученные в ходе исследования деятельности троя WORM_RIXOBOT.A (он же TROJ_RANSOM. QOWA). Упомянутый зловред сам по себе не особенно интересен, он относится к классу винлокеров и распространяется в основном через порносайты. Зараза весьма «популярна» на территории России — только за декабрь 2010 года вирь был скачан порядка 137 000 раз.

Интересно другое: изучая деятельность зловреда, специалисты Trend Micro сумели получить доступ к одному из координационных серверов злоумышленников. На сервер стекалась информация о поступлениях средств на шестьдесят телефонных номеров, предназначенных специально для сбора «подати» с жертв. После анализа данных выяснилось, что только за последние пять недель SMS на указанные в блокировщике номера отправили более 2 500 человек, то есть почти 2% владельцев зараженных ПК.

Учитывая, что стоимость одной такой SMS’ки составляла 360 рублей, несложно подсчитать, что за месяц с небольшим мошенники стали богаче на 901 245 рублей ($29.5 тыс.). Продолжая арифметику, вычисляем, что годовой доход преступников, специализирующихся на винлокерах, почти достигает отметки в 100 000 000 рублей. Интересно, после этих цифр кого-то еще удивляет популярность винлокеров и тот факт, что их пишут все более профессионально и серьезно?

 

Информационные войны. Facebook.

Если ты ничего не слышал о нынешней политической ситуации в Тунисе, сообщаем — ты пропустил так называемую «жасминовую революцию», а говоря проще — государственный переворот. Но любая современная война была бы неполной без своей информационной составляющей. Спецслужбы Туниса решили объявить войну социальной сети Facebook, через которую оппозиция распространяла «неугодные» власти видеоролики, проводила организацию митингов и так далее.

Gmail и Yahoo также попали под раздачу, но история, приключившаяся вокруг Facebook, интереснее. Спецслужбы страны на уровне ISP внедрили JavaScript, который при обращении к упомянутым ресурсам принудительно менял соединение HTTPS на HTTP и добавлял к страницам десять строк кода. Таким образом осуществлялся сбор логинов и паролей пользователей (кстати, поговаривают, что он мог начаться еще летом 2010, когда провайдер-монополист впервые перекрыл тунисцам доступ к HTTPS). Получив данные для авторизации, скрипт шифровал их и помещал в URL, добавляя пять случайных символов. Затем данные перехватывались на уровне национального ISP. Что сделали спецслужбы с полученной информацией? Все просто, они принялись пачками удалять «опасные» аккаунты оппозиционеров.

Однако оказалось, что служба безопасности Facebook тоже не дремлет. Еще в конце декабря директор по безопасности Facebook Джо Салливан обратил внимание на странные жалобы, поступающие из Туниса, и поручил своей команде разобраться. Пришлось повозиться, зато к 5-му января стало ясно, что ситуация совершенно дикая — скомпрометированными оказались пароли всех пользователей Тунисской республики, и спецслужбы действительно трут аккаунты!

Другая компания, возможно, не стала бы встревать в эти политические дрязги, но в Facebook приняли решение отнестись к проблеме как к чисто технической. И, по сути, социальная сеть вступила в войну с пусть и небольшим, но целым государством! Вдохновившись статьями Клэя Ширки и Евгения Морозова, которые детально описывали методы спецслужб, безопасники Facebook взялись придумывать ответные меры. 10-го января для всех пользователей Туниса была включена новая двухуровневая система защиты: все запросы из Тунисской Республики теперь перенаправлялись на HTTPS-сервер (вообще-то ISP может принудительно переводить сессию в HTTP, но этого отчего-то не произошло), а также запустили процедуру дополнительной аутентификации. Теперь, перед тем как впустить пользователя на сайт, ему предлагают узнать нескольких своих друзей по фотографиям. Как ни странно, такие нехитрые меры пока помогают, а тунисцы благодарят Facebook и Марка Цукерберга за поддержку.

 

Видео без проводов

Мы уже не раз упоминали о том, что широкое распространение беспроводной передачи видео — дело недалекого будущего. Уже сейчас существуют различные (конкурирующие, кстати) технологии, позволяющие передавать «картинку по воздуху», например WirelessHD, WHDi и WiDi.

Однако до последнего времени рынок предлагал нам разве что различные Wireless USB-девайсы, да новые ноутбуки, плееры и телевизоры со встроенными передатчикамиприемниками упомянутых выше стандартов. Если ты не улавливаешь, к чему я веду, поясню — решений для десктопов попросту не было.

Если, конечно, не считать USB-устройств, которые далеко не идеальны и к тому же заметно бьют по карману. Теперь такой гаджет есть — это видеокарта KFA2 NVIDIA GeForce GTX 460 WHDI. Фактически, это первая видюха для десктопов, построенная на технологии WHDI (Wireless Home Digital Interface).

Если в твоем мониторе нет встроенного приемника WHDI-сигнала (а у тебя его нет, правда?), не отчаивайся. Хорошая новость заключается в том, что он поставляется в комплекте с видеокартой. Радиус действия сигнала WHDI составляет порядка тридцати метров (и стены ему не помеха!), наличествует поддержка FullHD (1080p). Кроме того, стоит сказать, что GeForce GTX 460 WHDI — это еще и 1 Гб памяти GDDR5 с 256-битным интерфейсом, что явно придется по душе приложениям, использующим технологию CUDA. А чего стоят пять здоровенных антенн, которые торчат из видюхи — это просто праздник какой-то! 🙂 В продажу необычная новинка должна поступить в самое ближайшее время. Цена устройства до сих пор неизвестна.

Впрочем, можно подключить к делу логику и предположить, что дешевым это удовольствие окажется вряд ли.

 

«Вконтакте» нашли пирата

Почти каждый раз, когда до нас доходят известия об очередных разбирательствах на почве сетевого пиратства, мы с сарказмом советуем нашим борцам за «авторское лево» заглянуть в социальные сети и удивиться количеству нелегального контента. То ли наши ехидные комментарии были услышаны, то ли идеи просто витают в воздухе…

Словом, получите и распишитесь — первый прецедент. Против юзера «ВКонтакте» возбудили уголовное дело за размещение музыки на странице. Теперь 26-летнему москвичу грозит шесть лет тюрьмы (ст. 146 Уголовного кодекса РФ — нарушение авторских и смежных прав).

В отделе «К» сообщают, что пользователем они заинтересовались после обращения в милицию представителя ООО «Фирма грамзаписи «Никитин». Фирма была крайне недовольна тем, что аудиоматериалы, исключительные права на которые принадлежат ей, спокойно и — о ужас! — бесплатно распространяются по «ВКонтакте». Наиболее злостным нарушителем оказался тот самый 26-летний житель столицы, разместивший у себя на странице восемнадцать аудиозаписей некой российской музыкальной группы (название не разглашается), число скачиваний которых превысило 200 000.

Также МВД называет сумму ущерба — правообладатель якобы понес ущерб в виде недополученной выгоды в размере 108 000 рублей. Странное число, было бы очень интересно узнать, каким образом оно получено. Подводя неутешительный итог, нужно заметить, что хотя у нас и не прецедентное право, пример «Фирмы грамзаписи «Никитин» все равно может понравиться другим правообладателям, и последуют новые обращения в органы и новые уголовные дела.

 

Сверхтонкий монитор

Чем компактнее монитор, тем больше места будет на столе — это понятно любому. Производители железа ведут настоящий невидимый бой, стремясь сделать свои мониторы еще легче, тоньше и уже. Серьезную заявку на победу в этом соревновании сделала компания LG, представив ультратонкий LED-монитор E90 c диагональю 21.5». Отличает новинку, в первую очередь, глубина корпуса, которая составляет всего 7.2 мм!

Также устройство может похвастаться малым весом, экономичным энергопотреблением (на 40% меньше, чем обычные ЖК-мониторы с подсветкой CCFL) и оригинальным хромированным корпусом. За счет последнего E90 смотрится совсем воздушным и изящным. Все разъемы (D-sub, DVI-D, HDMI) спрятаны в задней части подставки благодаря системе удобного подключения EZ-cabling. Радуют характеристики экрана: время отклика матрицы составляет 2 мс, разрешение — 1920×1080. Рекомендованная цена для данной модели — 13 000 рублей.

 

Беспроводная зарядка для всего

На уже упомянутой выше выставке CES любопытную разработку представила компания eCoupled. Специалисты eCoupled утверждают (а независимые эксперты подтверждают), что им удалось создать беспроводные зарядные устройства 90% эффективности — то есть при передаче сигнала теряется всего 10% энергии. Это очень круто в сравнении со сходными продуктами конкурентов и практически аналогично обычной «проводной» зарядке. Предполагается, что заряжать от такой станции с равным успехом можно как мобильный телефон, так и электромобиль, что и было продемонстрировано публике на примере Tesla Roadster. По словам представителей eCoupled, чтобы любой девайс стал совместим с их зарядной станцией, достаточно установить в него специальную катушку (так как в основе технологии лежит электромагнитная индукция). По цене такой приемник вполне сопоставим с установкой других зарядных решений.

 

APP Store — теперь и для «Маков»

На радость всех «яблочников» компания Apple запустила сервис Mac App Store даже раньше запланированного срока.

Теперь у пользователей «Макинтошей» появился собственный аналог App Store (который работает для iPhone, iPod touch и iPad), позволяющий максимально удобно устанавливать как платные, так и бесплатные приложения для Mac OS.

Все реализовано в лучших традициях App Store: покупка одним нажатием, прозрачная установка приложения, удобная система обновлений. К пользовательскому аккаунту iTunes привязывается пластиковая карточка, с которой и будут списаны деньги за приобретенные приложения. Сейчас в Mac App Store уже более тысячи программ, и их число постоянно растет. Система работает на машинах с установленной Mac OS X Snow Leopard.

Вот смотришь на реализацию магазина для Mac или менеджеры пакетов для Linux и думаешь: «Удивительное дело, как же Microsoft до сих пор не реализовала ничего подобного?». Вроде бы такая сама собой напрашивающаяся штука, ан нет — ничего подобного не существует. Слабо?

 

Hotmail «потерял» кучу корреспонденции

Оригинальный «подарок» к Новому году сделал своим пользователям почтовый сервис Windows Live Hotmail от Microsoft. Да, возможно ты удивишься, но Hotmail в наши дни пользуются не только спамеры, но и тысячи живых людей по ту сторону Атлантики (вообще, это популярнейший почтовый сервис на планете). Залогинившись в свои аккаунты после праздников, эти самые живые люди с удивлением обнаружили пустоту. Все папки оказались девственно чисты, корреспонденция за многие годы исчезла, лишь во «Входящих», будто издевка, висело первое приветственное письмо от Hotmail. На саппорт Windows Live обрушился шквал жалоб: уже на следующий день после инцидента на официальном форуме этому вопросу были посвящены сотни страниц.

Тем удивительнее звучит заявление Кэтрин Брукер, сделанное чуть позже. Официальная представительница Microsoft сообщила, что с проблемой столкнулось «лишь незначительное число пользователей», не дала никаких конкретных объяснений случившегося и туманно высказалась, что «компания работает над устранением неполадок».

Сейчас, по прошествии времени, становится ясно, что «устранение неполадок» заключалось в лучшем случае в предотвращении аналогичного сбоя в будущем, а возвращать исчезнувшие письма пользователям явно никто не собирается. Лишний повод вспомнить о необходимости регулярно делать бэкапы.

 

Двухъядерный смартфон заменяет системный блок

Ежегодная выставка CES (Consumer Electronics Show), прошедшая в Лос-Анджелесе в начале января, как обычно принесла информацию о множестве новых гаджетов. На наш взгляд, настоящим «гвоздем программы» стал продемонстрированный там смартфон Motorola Atrix 4G, так что о нем мы решили рассказать подробнее. Специалисты Motorola создали оригинальный многофункциональный девайс, окрестив его «модульным сотовым телефоном». Весь фокус в том, что этот андройдаппарат легким движением руки превращается в полноценный ПК. Вопервых, Atrix 4G можно либо подключить к любому HDMI-совместимому телевизору или монитору, присоединить к нему USB-мышь и клавиатуру (все через миниатюрную док-станцию), и получить вполне пригодный для офисной работы ПК или приставку. Во-вторых, можно прикупить док-станцию в виде «пустого» ноутбука — экран 11.6», клавиатура, батарея и разъем для подключения смартфона, спрятанный за экраном.

Как ты понимаешь, во втором случае достаточно присоединить аппарат к «ноутбуку» и опять-таки полноценный компьютер готов к работе. Тебе уже интересно, что у Atrix 4G внутри? Отвечаем: Motorola Atrix 4G — это, по сути, самый мощный смартфон на текущий момент. Этот небольшой с виду девайс с 4-дюймовым сенсорным дисплеем (960х540 пикселей) построен на базе двухъядерной платформы NVIDIA Tegra 2 и оснащен 1 Гб оперативной памяти. Пока устройство управляется ОС Android 2.2, но к моменту начала продаж обещают версию 2.3. Кроме того, новинка комплектуется очень емким аккумулятором 1930 мАч, которого будет хватать на 9 часов в режиме разговора, и при этом весит всего 136 г.

Конечно, не обошлось без встроенной камеры (5 Мп со светодиодной вспышкой), фронтальной VGA-камеры для видеосвязи, поддержки Wi-Fi 802.11b/g/n, Bluetooth, GPS, слота для miсroSD карт и так далее.

Какова будет цена этого маленького монстра, и когда стартуют продажи, пока не известно. Можно предположить, что в России, ввиду отсутствия официального представительства Motorola, устройство появится не очень скоро, а по цене будет равняться полноценному лэптопу.

 

3D для взрослых

Цитата из мюзикла «Avenue Q», гласящая: «Internet is for porn» (Интернет предназначен для порно), давно уже стала нарицательным. Самое забавное заключается в том, что в этой фразе есть немалая доля истины — сфера услуг и товаров для взрослых и технологический прогресс действительно идут бок о бок. Они прекрасно дополняют и «продвигают» друг друга. Скажем, ты наверняка читал или слышал о том, что разного рода манипуляторы с эффектом обратного действия интересуют не только представителей игровой индустрии, но и участников индустрии развлечений для взрослых.

За примерами не нужно ходить далеко: практически сразу после выхода Kinect от Microsoft умельцы стали предпринимать попытки адаптировать его для XXXигр (кстати, успешно, что очень не нравится самим «мелкомягким»). А после прокатившегося по планете бума 3D-технологий на крупных порносайтах быстренько появились разделы с 3D-контентом. Да, вообщето, снимать порно в 3D начали уже давно, но интереса к технологии до последнего времени практически не было. Теперь же, когда фильмы в 3D пользуются спросом как никогда, странно было бы его не использовать.

Стало известно, что во втором квартале текущего года «Пентхаус» запустит первый в мире телеканал, транслирующий 3D-порно. Таким образом, у нас получается следующая картина: спортивные трансляции в режиме стерео уже практикуются, контент для взрослых — на подходе, а значит, где-то на горизонте уже маячит смутная перспектива 3D-телевидения в широком смысле этого слова. И, как всегда, порно выступает двигателем прогресса :).

 

Winston Freedom Music

В декабре 2010 года в Москве состоялся финал регионального тура фестиваля Winston Freedom Music. Кардинально новый формат музыкальных мероприятий Super Jam Sessions, объединивший на одной сцене актуальные музыкальные направления и передовые цифровые технологии, собрал тысячи поклонников в пяти городах России. На московской сцене выступили хедлайнеры европейских клубов, в том числе легенда мирового брит-попа — группа Kaiser Chiefs, а также классики электронного жанра, обладатели Grammy и MTV Music Awards, проект Dirty Vegas.

 

Сенсорная мышь от Microsoft

Чуть больше года прошло с тех пор, как компания Apple выпустила минималистичную Magic Mouse.

Множество людей за это время пристрастились к сенсорным «грызунам» и хотели бы, чтобы выбор этих девайсов был больше. Спешим порадовать: достойную новинку выпустил вечный конкурент Apple — компания Microsoft. Устройство, получившее имя Touch Mouse, лишено колеса прокрутки, зато оснащено сенсорной поверхностью или «матрицей емкостных электродов, чувствительных к прикосновению».

Говоря проще: скроллить можно почти по всей поверхности мышки. Для тех, кто еще не успел поработать с сенсорными мышами, поясним — устройство способно распознавать различные жесты, в том числе и с участием нескольких пальцев сразу. Таким способом реализованы команды перелистывания, изменения масштаба, панорамирования, навигации между окнами и так далее. Благодаря технологии BlueTrack новинка совершенно неприхотлива к поверхности, на которой используется. Высокая точность отслеживания перемещений мыши на разных поверхностях достигается благодаря новому источнику подсветки и оптическому датчику. В комплект Touch Mouse входит миниатюрный USB-ресивер Snap-in Nano, функционирующий на частоте 2.4 ГГц. Продажи мыши стартуют только этим летом, но предварительный заказ в магазине Amazon.com можно оформить уже сейчас. Новинка обойдется тебе в $79.95.

 

Itunes-аккаунты по дешевке

В прошлом году по Сети долго циркулировали слухи об угоне большого количества аккаунтов iTunes, и в итоге Apple были вынуждены их подтвердить. Тогда мы не знали, каков масштаб бедствия, и представители Apple уверяли, что пользователей оповестили об опасности и предложили им сменить пароли. Теперь же на китайском сайте TaoBao (барахолка вроде Ebay) в продаже всплыли 50 000 аккаунтов iTunes по бросовым ценам. За один аккаунт хакеры хотят всего один юань, что примерно равно четырнадцати центам.
За эти деньги вполне честно обещают временный неограниченный доступ к музыкальному каталогу Apple, а также к играм, программам и фильмам (при несанкционированном входе может сработать система предупреждения, которая заблокирует доступ через двенадцать часов). Интересно, связаны ли эти угоны аккаунтов с прошлогодними накрутками рейтинга некоторых приложений в iTunes?

Судя по всему, злоумышленники не просто пользовались халявой, но методично скачивали определенные программы, и выводили их в топ (в основном приложения для чтения электронных книг). Когда мошенничество заметили, некоторые приложения были удалены, а некоторые лишились статусов бестселлеров.

В платежной системе PayPal, сообщают, что возрастающий интерес киберпреступников к iTunes является вполне законным, однако уверяют, что большинство случаев мошенничества происходит именно на стороне iTunes, а значит и спрашивать нужно с компании Apple.

 

MS дарит телефоны хакерам

Хакер, скрывающийся под ником GeoHot, известен во всем мире благодаря взлому iPhone и PlayStation 3. И стоило ему написать у себя на сайте (geohot.com) о намерении приобрести и сломать устройство на базе Windows Phone 7, как с ним тут же связались представители Microsoft. Если ты думаешь, что взломщику принялись угрожать судебными разбирательствами и страшными карами — ошибаешься.

На связь с джейлбрейкером вышел сам Брендон Уотсон, глава подразделения Microsoft по контактам с WP7-разработчиками. Уотсон писал: «GeoHot, если ты хочешь создавать крутые штуки для WP7, оставь мне свой e-mail, и мы с радостью подарим тебе WP7-телефон!». Да, такова новая «политика партии», теперь Microsoft предпочитает не судиться и скандалить с хакерами, а привлекать их на свою сторону. Об одном таком прецеденте мы недавно писали: тогда MS удалось привлечь создателей ChevronWP7 (первого джейлбрейка для WP7) к обсуждению вопросов дальнейшего развития мобильной платформы и убедить парней убрать свою утилиту из широкого доступа.

 

SMS может убить телефон

Думаешь, заголовок этой новости выглядел бы уместнее в какой-нибудь «желтой» газете? Понимаем, звучит действительно диковато, но, тем не менее, это правда. Неприятный доклад на данную тему был представлен общественности на конференции 27C3, что недавно состоялась в Берлине. Исследователи Коллин Муллинер и Нико Голде рассказали, что многие примитивные мобильные телефоны не в состоянии адекватно обработать некоторые виды сообщений — например, MMS или текстовые мессаги, состоящие из нескольких частей. Само по себе это, конечно, не новость, но сообщение о том, что после получения такого SMS дешевые сотовые могут уйти в циклическую перезагрузку — из-за ошибки в ПО — уже интереснее. В ходе эксперимента Муллинер и Голде подняли в своей лаборатории GSM-сеть, подключили к ней кучу мобильников и разослали на них более 120 000 SMS’ок. Аппараты, не имеющие собственной ОС, реагировали на получение «непонятных» сообщений по-разному — от потери соты до бесконечного ребута.
Такого рода баги проявились у бюджетных устройств от компаний Samsung, Sony Ericsson, Motorola и LG. Теперь исследовали непрозрачно намекают производителям простеньких трубок, что эти уязвимости вполне можно использовать и для SMS-атак.

 

DDR4 от Samsung

Компания Samsung сообщила о «захвате пальмы первенства» — южнокорейцам удалось первыми создать модули памяти DDR4, используя микросхемы, изготовленные по технологии 3х нм класса. Как уже давно известно, основная ставка при разработке делалась на энергоэффективность, а не на увеличение скоростей, так что заявление производителя о том, что новые модули потребляют на 40% меньше электроэнергии, чем модули DDR3, рассчитанные на напряжение 1.5 В, было вполне ожидаемо. Помимо пониженного напряжения питания (модули DDR4 способны работать при напряжении 1.05 В) есть и еще один источник экономии — технология Pseudo Open Drain (POD), вдвое уменьшающая потребляемый ток во время чтения/записи. При этом скорость передачи увеличилась до 2.133 Гбит/с при напряжении питания 1.2 В (для памяти DDR3, рассчитанной на напряжение питания 1.35 или 1.5 В, этот показатель достигает 1.6 Гбит/с). Организация JEDEC должна утвердить новый стандарт DDR4 уже во второй половине текущего года.

 

Утечка у Mozilla

Mozilla Foundation сообщает, что в Сеть, возможно, «утекла» база данных, состоящая из 44 000 неактивных пользовательских аккаунтов, ранее использовавшихся на addons.mozilla.org. Случилась эта неприятность из-за халатности самих сотрудников компании — они случайно выложили упомянутую базу в открытый доступ, и до сих пор не понятно, успел ктонибудь ее оттуда стянуть или все обошлось.

В Mozilla уверяют, что утечка в любом случае не представляет никакой угрозы, ведь почти вся информация в «слитой» БД уже устарела, а ПО и алгоритмы шифрования сменились еще в 2009 году. Тем не менее, база содержала логины и пароли пользователей, к тому же зашифрованные еще по старинке — алгоритмом MD5. Сообщается, что в этой связи все дискредитированные пароли принудительно поменяли, о чем пользователей уведомили по электронной почте. Подобный недосмотр компанию Mozilla, конечно, не красит, даже несмотря на заявление, что «никакого риска для пользователей не было, инцидент не вышел за рамки инфраструктуры Mozilla».

Оставить мнение

Check Also

Брут на GPU. Запрягаем видеокарту перебирать пароли

Современные видеокарты похожи на компактные суперкомпьютеры c производительностью в нескол…