`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Еще про китайский чип в серверах

История с якобы китайским чипом, установленным в серверах Apple и Amazon, к сожалению, понятней не стала. С одной стороны есть издание Bloomberg, методы журналистских расследований которого известны и считаются одними из лучших в мире. Расследование этой темы заняло не один месяц, и прошло перед публикацией соответствующие проверки.

С другой стороны, есть вполне жесткие и однозначные ответы Apple и Amazon, которые во вполне конкретных формулировках опровергают утверждения из статьи Bloomberg про осведомленность компаний о расследовании и ситуации с чипами в целом. (Ниже в статье есть перевод на русский язык заявления Apple). Им вторит (втроит?) и заявление компании Supermicro, акции которой вчера провалились на 50% на новостях об устанавливаемых во время сборки на китайских фабриках секретных чипов. Надо понимать, что подобные статьи — это не просто PR-активность. Для публичных компаний подобные заявления — это официальные документы, которые проходят проверку у юристов и в случае сообщения ложных сведений руководство компании несет полную ответственность, включая уголовную, за ложные данные (подобные заявления регулируются Комиссией по ценным бумагам). Так что если ориентироваться на ситуацию “статья vs заявления”, тут уже каждый должен выбрать, кому верить.

Я пока что опубликую ту информацию, которую я видел по этой теме и нашел интересной:

– Как продолжение расследования Bloomberg, есть еще одна статья о том, что Facebook в 2015 году обнаружил программные модицификации на серверах Supermicro

– Интересный тред в твиттере об аппаратных имплантах. TL;DR версия: что-то в этой истории есть, но, похоже, что там многое потерялось/поменялось при передаче информации по испорченному телефону.

– еще одна интересная статья об аппаратных имплантах

– британское разведывательное агенство говорит, что не видит оснований сомневаться в заявлениях Apple и Amazon

– Так-так-так, а что тут у нас?
Еще про китайский чип в серверах

Определенно есть схожесть с тем, что иллюстрировала Bloomberg вчера в статье:
Еще про китайский чип в серверах

– Хороший вопрос о том, что в первоначальной статье фигурирует информация о “примерно 30 компаниях”, но почему-то никого другого, кроме Apple и Amazon, не называют. Даже если история с чипом соответствует действительности, и следователи проинформировали пострадавшие компании, то, наверно, уж Apple и Amazon точно бы в этот список попали. Однако, компании однозначно утверждают, что они не в курсе ничего подобного.

В общем, можно сказать пока что, что пока до конца не понятно, кто прав, а кто нет. Но ясно одно: это большой и жирный гвоздь в любые стремления Китая развивать свою отрасль микропроцессоров. Кто же им теперь после такого доверится?

Перевод заявления Apple:

Businessweek сообщает неверные сведения об Apple

В выпуске журнала Bloomberg Businessweek от 8 октября 2018 г. сообщается недостоверная информация о том, что в 2015 г. компания Apple обнаружила на серверах своей сети «вредоносные чипы». В течение последних 12 месяцев компания Apple неоднократно разъясняла корреспондентам и редакторам Bloomberg, что эти утверждения неверны.

Прежде чем материал Bloomberg Businessweek был опубликован, компания Apple отправила в журнал следующее заявление.
___________________________________
За прошедший год компания Bloomberg многократно обращалась к нам с различного рода запросами, как общими, так и конкретными, которые касались предполагаемых проблем с безопасностью. По каждому из этих запросов мы всякий раз проводили тщательное внутреннее расследование, и ни одно из них не выявило фактов, которые могли бы подтвердить какое-либо подозрение. Мы систематически предоставляли официальные фактологические отчеты, опровергавшие практически все утверждения об Apple, опубликованные в материале Bloomberg.

Мы можем прямо утверждать: ни на одном из серверов Apple не были найдены намеренно внедрённые вредоносные чипы или другие элементы оборудования, а также источники уязвимости. Компания Apple никогда не обращалась в ФБР или другое агентство по поводу подобного инцидента. Нам и нашим представителям, взаимодействующим с правоохранительными органами, ничего неизвестно о проводимых в ФБР расследованиях по этому поводу.

В ответ на последнюю версию материала Bloomberg мы предоставили следующие факты: Siri и система Topsy никогда не работали на одних и тех же серверах; для работы Siri никогда не использовались сервера, предоставленные компанией Super Micro; хранение данных Topsy ограничивалось приблизительно моделями 2000 Super Micro, а не 7000. Ни на одном из этих серверов ни разу не были найдены вредоносные чипы.

Наша практика такова: прежде чем включать сервера в работу систем Apple, мы всегда исследуем их на предмет наличия угроз безопасности. Кроме того, для всего оборудования и программного обеспечения мы устанавливаем новейшие системы защиты. При подготовке оборудования и ПО в соответствии со стандартными процедурами мы не обнаружили уязвимостей на серверах, приобретённых у Super Micro.

Мы глубоко разочарованы тем, что, взаимодействуя с нами, корреспонденты Bloomberg не допускают возможности того, что они сами или их источники могут ошибаться или владеть неверной информацией. Вероятнее всего, они путают нынешнюю ситуацию с описанным ранее случаем 2016 года, в котором на одном из серверов Super Micro в нашей лаборатории был обнаружен драйвер, содержавший вредоносное ПО. Это единичное происшествие было признано случайностью, а не целенаправленной атакой на Apple.

Хотя утверждения об угрозе для пользовательских данных и не звучали, мы серьёзно относимся к подобным ситуациям и хотим, чтобы наши пользователи знали: мы делаем всё возможное, чтобы защитить информацию, которую они нам доверяют. Мы также хотим сообщить нашим покупателям, что сведения об Apple, предоставляемые компанией Bloomberg, являются некорректными.

Компания Apple всегда придерживалась принципа прозрачности в отношении обработки и защиты данных. Если бы произошло нечто подобное тому, что описывает Bloomberg News, мы бы охотно предоставили все имеющиеся у нас сведения и активно сотрудничали бы с правоохранительными органами. Инженеры Apple регулярно проводят тщательные проверки, чтобы убедиться в том, что наши системы надёжно защищены. Нам известно, что безопасность — это сфера, в которой нельзя останавливаться на достигнутом. Именно поэтому мы постоянно усиливаем защиту наших систем от активно развивающихся хакерских технологий и киберпреступников, стремящихся украсть наши данные.

___________________________________

В опубликованном материале Businessweek также утверждается, что компания Apple «сообщила о происшествии в ФБР, но утаила подробности об обнаруженной проблеме, в том числе от собственных сотрудников». В ноябре 2017 года, как только мы впервые столкнулись с этим утверждением, мы предоставили компании Bloomberg следующие сведения в составе подробного и объёмного официального отчёта. В первую очередь он давал ответ на необоснованные высказывания корреспондентов о предполагаемом внутреннем расследовании.

Несмотря на многочисленные обсуждения в различных отделах и организациях, никто в Apple не слышал о таком расследовании. Журнал Businessweek отказался предоставить нам какую-либо информацию, которая помогла бы отыскать сведения о ходе предполагаемого расследования или его результатах. Представители издания также не смогли объяснить, какие именно стандартные процедуры якобы были нарушены.

Никто из Apple не обращался в ФБР по поводу такой ситуации, и мы никогда не получали от ФБР сведений о подобном расследовании, не говоря уже о том, чтобы помешать ему.

В своём сегодняшнем утреннем выступлении на канале Bloomberg Television корреспондент Джордан Робертсон сделал ещё ряд заявлений о якобы обнаруженных вредоносных чипах. Он сказал: «Насколько мы понимаем, компании Apple случайно удалось обнаружить проблему в ходе выборочной проверки нескольких некорректно работающих серверов».

Как мы ранее сообщили агентству Bloomberg, это совершенно неверно. Компания Apple никогда не обнаруживала вредоносные чипы на своих серверах.

И наконец, отвечая на вопросы, полученные от других новостных организаций с момента публикации материала Businessweek, мы сообщаем, что, предоставляя информацию по этой ситуации, мы не находимся под запретом на разглашение сведений и что на нас не наложены иные юридические ограничения.

Еще про китайский чип в серверах

Первые впечатления от Apple Watch Series 4

Перед ежегодным сентябрьским анонсом Apple я написал, что гораздо больше жду анонса новых Apple Watch. Должен отметить сразу, что во время презентации Apple не разочаровала анонсом новой модели часов. Более того, мне кажется, что новые часы Series 4 даже как-то оттенили анонс новых моделей iPhone. В общем, неудивительно, что я дождался 3 часов ночи в день начала предзаказов, и тут же заказал себе новую модель часов высотой 44 мм.

На Series 4 я перехожу с Series 2 высотой 42 мм. Series 3 в моем случае как-то не обладала достаточным количеством привлекательных причин для перехода на нее с Series 2. Правда, мне все равно удалось поиграться с Series 3 часов жены, и я отметил, что они ощутимо быстрее моих S2. В принципе, я и S2 не могу назвать медленными, для большинства моих задач мне их скорости хватало, но нужно было проявлять терпение, а с этим у меня в последнее время напряжённо. В любом случае, даже по презентации было очевидно, что такой переход с S2 на S4 будет основательным апгрейдом. Как и все предыдущие разы, я выбрал алюминиевый корпус; в основном потому, что мне жалко денег на стальной корпус, и я оправдываю это для себя тем, что алюминиевые часы тоже выглядят достаточно хорошо.

Интересно, что если все предыдущие модели часов приходили упакованными в одну коробку с ремешком, то в случае с Series 4 теперь применяется новый способ упаковки. Красивая упаковочная обертка содержит в себе две коробки – отдельно часы, отдельно ремешок. Я подозреваю, что это делается для упрощения логистики: комбинировать коробки разных моделей часов и разные ремешки с точки зрения организации поставок проще, чем держать массу коробок с разными комбинациями моделей, размеров и цветов часов и ремешков.

Первые впечатления от Apple Watch Series 4

Первые впечатления от Apple Watch Series 4
Фото Cnet

Интересно, что Apple не дает возможности купить часы без ремешка; у меня уже набралась небольшая коллекция ремешков, и иногда кажется, что больше уже не надо, но купить просто часы все равно нельзя. Зато теперь сами часы в коробке лежат в специальном чехольчике, и это добавляет ощущения стильного и качественного продукта.

Первые впечатления от Apple Watch Series 4

Несколько человек спросили, почему я выбрал часы без поддержки мобильной связи. Для некоторых стало сюрпризом, что, кроме того, что часы дороже при покупке, потом за мобильную связь на часах надо еще отдельно ежемесячно платить дополнительно абонплату (10 долл в месяц). А поскольку у меня телефон всегда с собой, то я не вижу в этом особого смысла. Ещё спрашивали, почему часы не модели Nike. Просто потому что в спешке ночного предзаказа забыл о них :)

После включения часов в первый раз накрывает впечатление от экрана – кажется, что он просто гигантский! (Впрочем, так и есть — все-таки увеличение экранного пространства на 30%). Настолько гигантский, что я смог в настройках текста установить минимальный размер и все еще чувствовать, что мне комфортно его читать. Второе основное ощущение от только что распакованных часов — кажется, что они на запястье практически не отличаются по размеру от предыдущих 42мм. (Какая-то особая магия Apple). При том, что у меня не самое крупное запястье — окружность 17 см, но часы не выглядят большими. И, самое главное, ремешки от предыдущего поколения подходят, что не очень похоже на Apple.

Первые впечатления от Apple Watch Series 4
Первые впечатления от Apple Watch Series 4

Еще несколько замечаний о форм-факторе Series 4:
– Часы стали тоньше (всего лишь на 0.7 мм), но в комбинации с увеличением высоты корпуса это создает гораздо более естественный “объект” на запястье, который как бы больше облегает запястье и выглядит лучше.
– Существенно увеличился радиус закруглений экрана, и я знаю, что это расстроило некоторых покупателей. Вопрос вкуса, я думаю, но у меня сложилось ощущение, что это закругление было сделано намеренно для лучшей интеграции с циферблатом “инфограф”. Правда, в некоторых приложениях скругленность экрана дает о себе знать: кнопки, расположенные на экране внизу, обрезаются, и хорошо иллюстрируют, почему круглые экраны смартчасов — это еще хуже.
– Боковая кнопка теперь утоплена и не выступает – это улучшает впечатления, когда палец тянется покрутить корону.
– И говоря о короне, нельзя не упомянуть приятный тактильный фидбек от Haptic Engine в часах — корона мягко “вибрирует” при прокрутке элементов на экране, добавляя к ощущениям механичности этого, в общем-то, полностью электронного объекта. В корону теперь, кстати, встроен датчик ЭКГ, но об этом я ничего не могу рассказать, так как функция ЭКГ пока что не доступна. Думаю, что до конца года её все-таки выпустят.

Первые впечатления от Apple Watch Series 4

Задняя крышка теперь выглядит очень красиво, потому что там находится вторая часть сенсора ЭКГ — там тебе и керамика, и сапфир. Apple говорит, что это должно улучшить прием Wifi и мобильного сигнала, но я лично нахожу интересным то, что: а) эту часть часов пользователи практически никогда не видят, но Apple все равно старается сделать её очень приятной для глаз, и б) эта задняя часть часов выглядит лучше, чем фронтальная часть некоторых других часов.

Дальше происходит переезд со старых часов на новые. Я распарил старые часы в приложении на телефоне, и в процессе распаривания часы делают бекап своего содержимого, включая настройки. После этого я добавляю новые часы, приложение предлагает восстановить им программное обеспечение из бекапа, и через какое-то непродолжительное время часы готовы к использованию, как будто ничего не поменялось. При восстановлении я был готов на длительный процесс в 25-30 минут, как раньше, но восстановление произошло как-то существенно быстрее, чем я ожидал — минут за 10-15, может быть. Я не засекал точное время, но удивился, как быстро все прошло. Кстати, установка недавно вышедшего обновления 5.0.1 тоже прошла как-то слишком оперативно. И так все в новых часах — запуск приложений, переключение между ними, реакция Siri и тд.

Все же одно отличие я увидел. Обычно я пользовался циферблатом Simple с четырьмя расширениями в углах, и я тут же обратил внимание, что этот циферблат на большом экране стал выглядеть как-то по-сиротски, как будто этого циферблата мало для такого большого экрана. Поэтому я включил, конечно же, циферблат Инфограф и офигел. Он вызывает очень странные двоякие ощущения — вроде бы круто и здорово, и много всего, но достаточно быстро конфигурация по умолчанию начинает перегружать информацией, которая мне оказалась не нужна. Но хорошие новости заключаются в том, что ту массу расширений в циферблате можно поменять, и вывести туда не только то, что предлагает сама система, но и информацию от сторонних приложений.

Но приготовьтесь провести достаточно много времени над конфигурацией циферблата Инфограф. Мне понадобилось несколько попыток, чтобы подобрать то, что нужно мне на циферблате и при этом, чтобы там не было ничего лишнего. Мой циферблат выглядит вот так:

Первые впечатления от Apple Watch Series 4
(да, температура в фаренгейтах)

Я не любитель уведомлений и напоминалок (разве что про жизненно важное – таблетки, например), поэтому даже в инфографе я настроил ту информацию, которая не борется ежесекундно за мое внимание, но доступна мне при необходимости: аккумулятор, температура за бортом, пульс (включая минимум и максимум за день), сон, активность в течение дня. Я перепробовал несколько разных циферблатов в процессе. Оказалось, что совсем минималистичные мне не очень нравятся, поэтому вернулся на инфограф, на котором вывел то, что мне кажется полезным видеть каждый день. Огонь, вода и жидкий метал, безусловно, очень красивые, особенно в полноэкранном режиме, но на них мне не хватает информации, что в моем представлении не стыкуется с определением смартчасов, которые должны предоставлять пользователям больше информации. Есть еще опция модульного инфографа, но он выглядит слишком как компьютер какой-то, поэтому мне не зашел. А вот круглый Инфограф оказывается очень подходящим для нового экрана, очень эффективно заполняя доступное экранное пространство.

У этого циферблата есть возможность также включать разные цвета для фона в центре, но мне показалось, что черный фон лучше всего стыкуется с другими визуальными объектами на экране. Кстати, интересно, будет ли отличаться время работы от аккумулятора с черным экраном с, например, белым экраном. Ведь в часах используется экран OLED, где светятся только нужные пиксели, разница может быть. Хотя, подозреваю, в целом за счет небольшого суммарного времени, когда светится экран часов, разница не будет существенной. Мне еще показалось, что экран стал как-то более контрастным и ярким, но, возможно, это просто показалось.

Дальше я буду говорить о каких-то новых вещах, на которые я обратил внимание, хотя местами сложно отделить улучшения в часах от улучшений в операционной системе watchOS 5, которая вышла примерно в то же время.

Еще общее впечатление – это скорость работы. Да, я перешел с Series 2, скорость работы которых я хотя и считал приемлемой, но все же притормаживания довольно часто ощущались. Series 3 у жены казались очень быстрыми, по сравнению с S2, но Series 4 — это какой-то совсем другой уровень производительности. Конечно, хотелось бы, чтобы часы были такими с самой первой версии, мы живем в реальном мире без розовых пони. Как известно тем, кто занимался выпуском программных или аппаратных продуктов на рынок, “если вы выпустили первую версию продукта, которой вы полностью довольны, вы выпустили её слишком поздно”. Так что я вполне принимаю такой подход постепенных улучшений, хотя, как пользователь, могу и поныть. Короче, ускорение часов можно заметить даже при переходе с Series 3, и понимаешь, что практически все взаимодействия с часами происходят наконец-то с нормальной скоростью реакции часов и совершенно естественно. Еще бы, двухядерный 64-битный процессор в устройстве размером с очень маленький спичечный коробок – вот где фантастика, о которой не мог мечтать даже Марти МакФлай, прилетавший в 2015 год.

Спикер. Нет, не так. СПИКЕР!!! Он теперь ОГОГОГО какой спикер (Apple утверждает, что он стал громче на 50%). Я скажу так, что уровень громкости теперь достаточный, чтобы не держать часы возле уха во время разговора, чтобы что-то услышать на громкой улице. Кроме того, частотный диапазон этого спикера, как мне показалось, тоже существенно расширился, что кажется вообще какой-то фантастикой, учитывая физические размеры этого спикера. Это, кстати, хорошо ощущаешь во время переговоров через рацию, которая, хоть и есть в других моделях, куда можно установить watchOS 5, на Series 5 работает вообще феноменально отлично за счет улучшенного спикера и шустрой работы.

Казалось бы, от всех этих многоядерных процессоров и большего размера экрана время работы от аккумулятора должно было бы ухудшиться. Да и почему бы и нет, если аккумулятор в новых часах меньше, чем в предыдущей модели?

Первые впечатления от Apple Watch Series 4

Но на самом деле все не так. Apple обещает все те же “до 18 часов работы от заряда”, которые на практике дают практически полные два дня работы. Позиция Apple, которую представитель компании как-то озвучил в разговоре со мной, заключается в том, что большинство людей не любят спать в часах и все равно снимают их на ночь. В этом случае действительно не так важно, часы просто лежат рядом на тумбочке или на зарядном устройстве. Мой опыт показывает, что в случае с Series 4, если взять утром (7 утра) заряженные на 100% часы, то к вечеру (10 вечера), с учетом примерно 1,5 часа в режиме трекинга физических упражнений, остается порядка 70-75% заряда аккумулятора. Если добавить туда еще периодическое прослушивание музыки через AirPods, это отъедает еще порядка 10%-15% аккумулятора. Так что на 18 обещанных часов хватает с хорошим запасом. Сон с часами (в режимах “не беспокоить” и “театр” – чтобы не загорался ночью экран) съедает около 7-8% аккумулятора. Так что я в итоге обычно каждый день в районе 9 вечера ставлю часы на зарядку на час-полтора, не особо запариваясь тем, сколько процентов аккумулятора там оставалось. Я знаю, что на следующий день, даже с трекингом сна, мне аккумулятора точно хватит. Что не отменяет, конечно, моего желания, чтобы Apple Watch могли жить от аккумулятора хотя бы неделю.


Мониторинг физических упражнений в Series 4 формально не отличается от предыдущих моделей, но мне показалось, что замеры пульса стали точнее благодаря новому датчику пульса. В самих Apple Watch Series 4 есть несколько новых функций, завязанных на мониторинг сердца с помощью нового датчика, но мне повезло не испытывать их на себе: аномально учащённое или замедленное сердцебиение, а также нарушения сердечного ритма (аритмия). Но в целом, учитывая мою историю здоровья, я рад, что у меня есть такой молчаливый “медбрат”, постоянно замеряющий мне пульс и следящий за ним. Также я очень жду доступность функции электрокардиограммы, и планирую договориться с врачом, чтобы отсылать их ему на посмотреть (а он мне взамен будет присылать счета за их анализ, жестокая американская медицина).

Функция детекции падения за счет улучшенных акселерометра и гироскопа пока что не пригодилась. (написал вначале я, когда только начал набрасывать этот рассказ на прошлой неделе).

А потом в четверг я поехал кататься на велосипеде после дождя, и в достаточно крутом повороте на мокрых листьях я поскользнулся и грохнулся вместе с велосипедом набок. Часы тут же мощно провибрировали так, что пропустить это практически невозможно, поэтому я, несмотря на боль в ушибленном запястье, посмотрел на часы. Там сработала та самая функция детекции падения, и часы предложили тут же одной кнопкой вызвать экстренные службы. В моем случае я нажал кнопку “да, упал, но я в порядке”. (немножко пришел в себя после падения, а потом поехал дальше кататься: ведь я упал на 7-ой минуте езды. что мне, после этого домой сразу ехать?). Я читал, что у некоторых людей происходили срабатывания детекции падения, даже если часы не находились на запястье, а их просто бросали, например, на ковер. Я думаю, что это будет решаться улучшениями алгоритма, и ложные срабатывания будут встречаться все реже.

Кстати, о вибрациях. Haptic Engine, отвечающий за вибрации в часах, однозначно стал мощнее, и вибрации, требующие внимания, чувствуются гораздо лучше, чем раньше. Хорошо, что я и так отключаю лишние уведомления.

Из мелочей, на которые я обратил внимание за эти полторы недели использования, мне еще показалось, что стал лучше работать алгоритм определения поднятия запястья, экран загорается быстрее и ложных срабатываний стало меньше.

Резюме
Я однозначно впечатлен тем, что получилось у Apple с Apple Watch Series 4. Это очень большой эволюционный скачок сродни как переход от форм-фактора iPhone 3Gs к iPhone 4, или от iPhone 7 к iPhone Х. Я знаю, что многие из вас пришли сюда с вопросом о том, покупать ли вам Apple Watch Series 4? Если вы только недавно купили Series 3, и с сердцем у вас все в порядке, то, думаю, можно и потерпеть годик до следующего поколения (хотя этот экран, ох…). Если же у вас более ранняя версия, то апгрейд однозначно принесет массу удовольствия и улучшений в работе с часами.

Монитор сердцебиения – это очень полезно, но учтите, что функция электрокардиограммы вначале будет доступна только в США, а дата доступности в других странах пока вообще неизвестна. Если же у вас никогда не было Apple Watch — это отличная возможность попробовать часы как раз в таком виде, при котором вы точно не ощутите разочарования. Эти часы не только подарят массу восторга, но и, скорей всего, заставят вас сменить ваши привычки и поведение к лучшему. Я даже немного завидую тем, кто только откроет для себя Apple Watch и сразу версией Series 4!

Первые впечатления от Apple Watch Series 4

Про взлом Facebook

Про взлом Facebook

История со взломом Facebook обрастает новыми деталями, от которых не становится комфортнее, а очень даже наоборот.

Сейчас речь идёт о 90 миллионах учетных записей (точно подтверждённые 50 млн и еще дополнительно 40 млн, которых это могло затронуть). Взлом заключается в том, что хакеры украли доступ к токенам доступа этих пользователей. Токен может генериться мобильным приложением, для того, чтобы когда пользователь загружает веб-страницу с каким-то модулем Facebook, пользователь оставался залогинен в свой аккаунт. В нем нет пароля, но поскольку токен позволяет пользователю оставаться залогиненным, то это означает, что хакеры могли полностью контролировать учетную запись пользователя. Потенциально, как я понимаю, это означает, что даже если у вас в учетной записи была настроена двухфакторная авторизация, то она от этого взлома не защищала.

Для взлома были использованы три уязвимости в загрузчике видео на Facebook, которые относились к функциональности «просмотреть свой аккаунт как будто ты другой человек». Эта функциональность существует для того, например, чтобы вы, создавая пост, который надо спрятать от кого-то, могли посмотреть как будто вы этот «кто-то», чтобы убедиться, что пост ему не виден. (Например, вы пишете пост о своей новой девушке, и хотите убедиться, что ваша бывшая девушка этого поста не увидит). Это не давало вам доступа к аккаунту этого «кого-то», просто позволяло просматривать ваши записи, как будто это он. Короче, комбинация этой функциональности и трёх багов в загрузчике видео приводили к тому, что загрузчик генерил токен для того пользователя, которым надо было прикинуться, таким образом давая возможность войти этим аккаунтом. УПС

Технически, говорят, у злоумышленников с токенами могла быть возможность использовать их для доступа к сторонним приложениям и сайтам, где вы использовали аккаунт Facebook для создания учетной записи. Хотя Facebook утверждает, что у них нет свидетельств того, что это произошло.

Возникает вопрос о том, что же именно хотели злоумышленники (и кто они), и на это ответов пока что нет. Теоретически, получив доступ к аккаунту, можно разослать по контактам информацию с просьбой прислать денег, или разослать вредоносные ссылки. Может быть, они хотели собрать скрытую/приватную информацию, которая есть у этих пользователей, начиная от информации в профиле и заканчивая перепиской. Геоинформация, номера телефонов, информация о всех ваших друзьях (а на уровне доступа к 50 млн аккаунтов это означает, что могли выкачать списки вообще всех миллиардов пользователей Facebook). Короче, чем больше об этом думаю, тем это все выглядит неприятней.

И традиционный вопрос – что с этим делать. Если вы не готовы полностью удалить аккаунт Facebook, то стоит сделать следующее:

  1. Это не прямой, но хороший повод сменить пароль, особенно если вы его давно не меняли, он у вас не сильно сложный, или повторяется на других сайтах (кстати, на этих сайтах, если там использует со тот же логин, тоже лучше поменять)
  2. Используйте это как знак для того, чтобы настроить двухфакторную аутентификацию (даже если в этом случае она не могла защитить, она поможет в другом каком-нибудь случае). И желательно, чтобы 2fa была с одноразовыми кодами из приложения, а не через SMS.
  3. Изучите историю доступа к вашему аккаунту в Facebook (надо зайти на страницу Security and Login и там найти раздел локаций для логина). Я там вчера вечером обнаружил какой-то странный логин из Нью-Йорка за несколько часов до аудита, хотя я живу совсем не в НЙ, и у меня включена 2ФА
  4. Изучите список подключённых к вашему аккаунту приложений и сервисов. Подумайте над тем, чтобы отключить те, которыми вы уже не пользуетесь. Если там есть что-то критичное из сервисов, то подумайте над тем, чтобы изменить в этом сервисе вход с «через фейсбук» на вход со своим логином. Вся эта история с single sign on через Facebook или Google удобная, конечно, но в случае со взломом таких сервисов может привести к нереальной катастрофе.

И, главное, никакого интернета! От него все зло!

cybersec reads

В отсутствие свежих новостей (что по-своему – отличные новости) я добрался до просто хороших статей на тему инфосека, поэтому сегодня парочка ссылок на почитать:

1. Статья в Motherboard о компании NSO — известной израильской компании, разработчике шпионского ПО для мобильных устройств. Интересным в статье мне показался пример от анонимного источника, который побывал на продуктовой презентации компании. Там рассказывается, что присутствовавший на презентации дал представителям компании свой номер телефона, и положил телефон (iPhone, но неизвестно, какой модели и с какой версией iOS) на стол. Через 5-7 минут содержимое телефона было выведено на экран, включая сообщения и электронную почту. Какая-то fucking magic. В статье много рассказывается о самой компании – очень интересно, в общем.

https://motherboard.vice.com/en_us/article/qvakb3/inside-nso-group-spyware-demo
cybersec reads

2. Совершенно чумовая статья о Китае и системе “Большого брата”, которая должна войти в строй в 2020 году. Про Китай и так пишут, что цифровое наблюдение там построено на зависть многим другим странам, но тут просто какой-то совершенно другой уровень. Постоянное наблюдение за людьми будет привязано к некоему социальному баллу, и в зависимости от поведения эти баллы могут добавляться или отбираться. Например, покупка большого количества алкоголя снизит баллы, так как будет свидетельствовать о зависимости. Покупка детских подгузников будет говорить об ответственности, и добавлять баллы. Затем наличие определенного уровня будет позволять как получать бонусы (скидки на перелеты или более низкие ставки на кредит, например), так и попадать в черные списки, что усложнит поиск работы или передвижения по стране.

http://www.abc.net.au/news/2018-09-18/china-social-credit-a-model-citizen-in-a-digital-dictatorship/10200278

cybersec reads

macOS 10.14 Mojave – очевидные и скрытые новинки

Сегодня в публичный доступ выходит релизная версия macOS Mojave версии 10.14 (только сейчас обратил внимание, что с переходом на номенклатуру “macOS” Apple отказалась также и от числа Х в названии операционной системы). Так что для тех, кто не рискнул попробовать систему раньше в виде бета-версии, я решил поделиться впечатлениями о её использовании с июня — практически с первой беты, доступной для разработчиков (да, я люблю острые впечатления).

macOS 10.14 Mojave – очевидные и скрытые новинки
(в отличие от кошачьих, географические названия у Apple еще долго не закончатся)

Apple для этого релиза придумала слоган “Просто. Мощно.”, хотя это и не является прямым аналогом английского варианта “Simply powerful.”. Не могу сказать, что внезапно стало сильно проще или мощнее, хотя некоторые изменения в системе потребуют привыкания к ним.

Самое заметное изменение, с которым столкнутся пользователи — это темный режим в интерфейсе. Система сама спросит при апгрейде с более старой версии, хотите ли вы включить темный режим, и я рекомендую его попробовать. Режим, как показал мой проведенный по всем научным правилам опрос в твиттере, нравится не всем, но лучше всего ориентироваться на свои ощущения. Идея темной темы в том, что темный интерфейс приложений как бы уходит в фон и позволяет фокусироваться на контенте в приложении, но мне контраст между темным интерфейсом и светлым контентом (текст в документе, страница в браузере, например), показался излишне сильным. Я делал несколько попыток перейти на темный режим, но каждый раз, возвращаясь на светлую тему, я испытывал прям какое-то визуальное облегчение, как глоток свежего воздуха. Но это я — старпер и консерватор, а многим действительно нравится: на WWDC разработчики очень громко аплодировали этому изменению, когда его анонсировали.

macOS 10.14 Mojave – очевидные и скрытые новинки
Окно Finder Apple на сайте скорее не очень честный пример, так как в большинстве приложений черный интерфейс будет обрамлять белый фон с текстом

Интересное дополнение к темному режиму — это динамически меняющиеся темы рабочего стола, которые динамически меняются в зависимости от времени суток. В целом больше приятная мелочь, но я понял, что я больше люблю яркие фоновые картинки, хорошо подчеркивающие качество экранов в современных ноутбуках в те редкие моменты, когда я вижу десктоп за множеством окон других приложений.

macOS 10.14 Mojave – очевидные и скрытые новинки

Вот какую функцию я реально заценил, так это стеки (хотя я бы их назвал скорее “стопки”). Я уверен, что у многих из вас, как и у меня, рабочий стол представляет собой свалку из файлов и папок, и если бы не поиск, то там сложно было бы что-то визуально найти. Так вот, “стеки” обеспечивают возможность автоматически раскладывать файлы по типам, что сразу снижает уровень энтропии на десктопе. Дальше начинаются вопросы навигации по этим группам: если сделать иконки побольше, то можно листать документы в стеке, не открывая его. Клик по стеку разворачивает все файлы в нем. От открытия стека у меня, правда, с непривычки начинает немного мельтешить в глазах, но это просто потому что я еще помню простой и однозадачный Finder в классической Mac OS до версии Х. Но гораздо больше многие из вас оценят появившуюся наконец-то группировку по типам файлов (применяется та же, что и в стеках) прямо в окнах Finder. Это можно было в некотором виде сделать и раньше, включив сортировку в списке по типам файлов, но видеть это сразу в Finder, причем даже в просмотре колонками, удобней.

macOS 10.14 Mojave – очевидные и скрытые новинки
(как-то так. Может, она появилась и раньше, но я не замечал)

Finder вообще в этом релизе поумнел и показывает кучу метаданных о файле по изображениям (по остальным типам файлов тоже, но там гораздо меньше метаданных, поэтому скриншот не такой впечатляющий получается):
macOS 10.14 Mojave – очевидные и скрытые новинки

Вот по PDF, например:
macOS 10.14 Mojave – очевидные и скрытые новинки

Удобно, что сразу из Finder изображение можно развернуть или открыть в режиме «Быстрый просмотр» окошке и что-нибудь там накалякать:
macOS 10.14 Mojave – очевидные и скрытые новинки

Функциональность, которой я пользуюсь часто — скриншоты — получила немножко вдохновения от iOS, и теперь скриншот, как и в iPhone/iPad, вначале “парит” пару секунд в нижнем правом углу, откуда его можно забросить в какое-нибудь нужное приложение и избавиться от накапливающихся на столе скриншотов. Сразу после того, как был снят снимок экрана, можно кликнуть по нему и попасть в режим быстрого просмотра, где, опять же, доступны различные опции по редактированию скриншота (как и в iOS).

Появился и новый интерфейс для скриншотов и записи экрана, позволяющий:
– выбрать режим снимка экрана
– выбрать режим записи экран
– указать, куда пойдет снимок — сохранится на стол, в другую папку (теперь её можно указать), сохранится в буфер обмена, откроется в приложении Preview и тд.

macOS 10.14 Mojave – очевидные и скрытые новинки

Правда, для всей этой красоты пользователям придется запомнить еще одно клавиатурное сочетание — Command-Shift-5, а, как показывает мой опыт, пользователи испытывали сложности и с предыдущими Command-Shift-3/4.

В macOS из iOS, кроме улучшений со скриншотами, переползли несколько приложений как демонстрация возможности создания приложений одновременно для iOS и macOS — News, Stocks, Home и Voice Memos.

macOS 10.14 Mojave – очевидные и скрытые новинки

Не могу сказать, что я фанат этого подхода с Marzipan (метод универсального фреймворка для разработки приложений для iOS и macOS), так как приложения выглядят достаточно ограниченно и не совсем по-Маковски нативно. Скорей всего, именно поэтому Apple, анонсируя эту функциональность на WWDC в этом году, сразу сказала, что сначала они потренируются на своих приложениях, а уже в 2019 году эта технология станет доступна сторонним разработчикам.

Есть и несколько полезных новых функций для безопасности системы, которые мой внутренний параноик может только приветствовать. Например, если какое-то стороннее приложение хочет получить доступ к камере или микрофону, система покажет предупреждение и у пользователя будет возможность такой доступ ограничить:
macOS 10.14 Mojave – очевидные и скрытые новинки

То же самое произойдет, если какое-то приложение зачем-то захочет получить доступ к данным календаря или адресной книге (некоторым приложениям это и правда надо, но не все приложения с этими данными обращаются как положено), поэтому предупреждение не помешает.

Не менее полезной будет и функция “упрощения цифрового отпечатка”. Сейчас по различным характеристикам браузера, компьютера и прочих данных рекламные сети пытаются идентифицировать пользователей и следить за ними в интернете. Safari теперь отдает упрощенный профиль системы, что должно усложнить идентификацию пользователя и слежку за ним, соответственно. Кроме того, Safari теперь блокирует слежку за пользователями при посещении сайтов с кнопками социальных сетей и комментариев – популярный механизм у того же Facebook составлять историю походов пользователей по сайтам в интернете. Также Safari на Маке теперь по умолчанию очень настойчиво рекомендует использовать сложные пароли при регистрации на различных сайтах в интернете.

Еще Apple обещала добавить поддержку FaceTime звонков на большое количество участников, но с этой функцией что-то пошло не так, она также не вошла в релиз iOS 12, и теперь ожидается позже в этом году.

Из различных мелочей, которые я бы также отметил:
– в Доке теперь есть специальная секция для недавно запущенных приложений, как и в iOS на iPad (отключается в системных настройках)
– в Safari есть теперь опция включить favicons для сайтов, что облегчает идентификацию сайтов при большом количестве вкладок (если я правильно помню, они там были, но в прошлом году почему-то исчезли – скорей всего, Джони Айва они раздражали, и он требовал минимализма). Короче, их вернули обратно. (выключена по умолчанию, включается в настройках Safari)
– если у вашего компьютера есть проигрыватель DVD-дисков, вы сможете обнаружить, что приложение DVD player переписали полностью и добавили поддержку Touch Bar. (его можно найти в /System/Library/CoreServices/Applications/)
– в Mojave новый Mac App Store, красивый и удобный, поэтому (см. следующий пункт)
– Функция Software Update переехала в системные настройки – это касается только системных обновлений, приложения из Mac App Store обновляются в рамках приложения для магазина.
– У Siri на Маке теперь есть навык контролировать домашние устройства, работающие через HomeKit
– Также Siri умеет искать в Связке ключей и в списке паролей в Safari различные пароли по вашему запросу и показывать их (после ввода пароля пользователя, конечно)
– В режиме быстрого просмотра можно теперь быстро не только просматривать видео и аудио файлы, но и быстро их обрезать.

В общем, хороший такой эволюционный релиз, вполне качественный и стабильный. Каких-то особых проблем и ошибок в последний месяц я не замечал, при этом Mojave установлена у меня и на рабочем, и на собственном компьютерах. Впрочем, у меня вообще редко какие-то ужасы встречаются, но я не жалуюсь. Обновление будет доступно для всех владельцев Маков, начиная с 2012 года, причём совершенно бесплатно (да, когда-то Apple продавала новые версии Mac OS за деньги, поэтому эта фраза даже практически и не шутка).

macOS 10.14 Mojave – очевидные и скрытые новинки

Безопасность iOS 12

Пока все заняты тем, что накатывают на свои iPhone свежевышедшую iOS 12 и изучают новую функциональность (а также обнаруживают новые баги, которые наверняка проникли в релиз — никогда такого не было и вот опять!), я хочу обратить внимание на то, что в iOS 12 есть также много улучшений и с точки зрения безопасности.

Вот, например, список исправлений, касающихся безопасности операционной системы (тех, о которых сообщили различные эксперты по безопасности, и обнаружили сами разработчики в Apple). Уже один этот список — хороший повод установить последнее обновление iOS, так как теперь информация об уязвимостях, присутствовавших в операционной системе до выхода обновления, становится публичной. Вполне могут появиться вредоносные инструменты, эксплуатирующие эти уязвимости против устройств, на которых не будет установлена последняя версия iOS (не считая, конечно, страшных веб-страничек, валящих iPhone даже на iOS 12).

Кроме этого, Apple обновила документ (PDF), посвященный безопасности iOS. Изменения в этой версии включают в себя дополнения о чипе Secure Enclave, режимах DFU и recovery, функции Screen Time и подсказках Shortcuts. Подсказки, например, генерируются на устройстве с помощью машинных алгоритмов и никакая информация не передается для обработки в Apple, а дата между устройствами синхронизируется через iCloud в зашифрованном виде. Оттуда же интересно было узнать, что добавление “альтернативного вида” в Face ID увеличивает вероятность случайной разблокировки iPhone чужим лицом с 1 из 1 миллиона до 1 из 500 тыс попыток. В общем, полезный документ, если вам хотя бы немного интересно, как устроена безопасность в iOS.

Безопасность iOS 12

Кроме того, в iOS 12 полно всяких полезных фич для улучшения безопасности:
– одноразовые пароли из SMS теперь видны в подсказках в клавиатуре, что существенно облегчает их ввод
– серьезные ограничения по рекламной слежке в Safari, включая блокировку кнопок шаринга в социальные сети
– Safari практически настаивает на использовании более сложных паролей
– зашифрованные видеочаты, включая групповые (когда они выйдут чуть позже в этом году)
– возможность расшарить информацию о местоположении со службами спасения (доступно в США)
– блокировка USB-аксессуаров при подключении
– проверка паролей на повторное использование во встроенном менеджере паролей в iOS 12
– поддержка автозаполнения паролей в сторонних менеджерах паролей

Безопасность iOS 12

Так что если вы уже установили iOS 12, вот несколько опций, которые можно включить в настройках для того, чтобы воспользоваться возможностями, предлагаемыми операционной системой для вашей же информационной безопасности:

1. Автоматические обновления
Настройки -> Основные —> Обновление ПО

2. USB-аксессуары
Настройки ->Face ID и код-пароль
(просто проверьте, что опция отключена)

3. Ну и раз уж мы заговорили о безопасности iPhone, самое время настроить:
а) более сложный пароль, чем просто 4 цифры
б) ту самую двухфакторную аутентификацию, предлагаемую Apple

С учетом всего вышесказанного, можно назвать iOS 12 самым безопасным релизом iOS ever, но ведь было бы странно, если бы это было не так?

Безопасность iOS 12

Уязвимость прошивки современных компьютеров

Тут F-Secure пишет какие-то ужасы про обнаруженную уязвимость в firmware практически всех современных компьютеров (Mac и Win). Конечно, для реализации этой уязвимости нужен физический доступ к компьютеру, но тем не менее. Идея в том, что современные компьютеры обычно перезаписывают свою оперативную память при выключении, чтобы данные из нее нельзя было прочитать. Однако, эксперты F-Secure обнаружили способ блокировки этого процесса перезаписи, что в итоге позволяет не только прочесть содержимое в памяти, но и получить доступ к диску.

Уязвимость прошивки современных компьютеров
(я знаю, что это идиотская фотография, поэтому и использую её для иллюстрации)

Доступ к памяти может позволить злоумышленникам получить ключи шифрования диска, и таким образом подключить защищенный диск, даже если он зашифрован BitLocker или FileVault. Microsoft говорит, что компьютеры с PIN для загрузки защищены от этой атаки, а в случае с Маками можно установить пароль на firmware для дополнительного уровня защиты. Кроме того, новые Маки, у которых есть чип T2, обеспечивающий безопасную загрузку компьютера, тоже не подвержены этой уязвимости.

Уязвимость прошивки современных компьютеров

Скальпель Apple

Пока все обсуждают, что нового показала Apple вчера на мероприятии, я хочу собрать список того, что Apple не то что «не показала», а даже практически «убила».

iPhone X – вместо того, чтобы сделать прошлогодний флагман более дешевым вариантом, Apple просто убрала эту модель. То есть в каком-то роде те аналитики, которые прогнозировали, что «Эпол убьёт айфон Х», оказались правы: его действительно не стало, хотя XS – это все равно практически он, но с улучшениями.

Apple Watch Edition – дорогие часы в керамическом корпусе, если я не ошибаюсь, примерно 1300-1400 долларов, тоже больше недоступны. Зато для повышения ASP Apple Watch теперь придётся больше заплатить за обычные Apple Watch: если раньше алюминиевые часы с GPS стоили «от 329 долларов», то теперь цена на эту модель начинается от 399 долларов. Правда, у обычных часов теперь задняя стенка керамическая, если вас это утешит.

Переходник с Lightning на 3.5мм миниджек – он не совсем «мертв», но теперь его больше не будет в комплекте с iPhone. Скорей всего, большинство пользователей им все равно не пользовалось, удовлетворяясь либо комплектными Lightning-наушниками, либо AirPods, а остальные фанаты хорошего звука, по мнению Apple, вполне могут себе купить переходник, если им сильно надо.

Кстати, в линейке айфонов Apple таки «убила» миниджек – ни в одном из айфонов которые будут продаваться ближайший год, миниджек нет. И на его возвращение не стоит рассчитывать.

AirPower тоже подозрительным образом отсутствовал сегодня на презентации, а ведь с момента его анонса прошёл уже год! Говорят, что менеджеры Apple отказываются говорить о нем даже не под запись. Что-то очень серьезно пошло не так в случае с этим аксессуаром, и, учитывая поведение представителей Apple, я не удивлюсь, если в какой-то момент окажется, что этот проект оказался настолько мертворожденным, что реального продукта мы не увидим никогда (ну, или в обозримом будущем).

iPhone SE – маленькие айфоны, похоже, никому не нужны, зато линейка теперь начинается с iPhone 7 за 449 долларов. Что, конечно, положительно повлияет на ASP.

Цифра 9 (ну, вы поняли)

Мне казалось, было что-то ещё, но не могу вспомнить. Если я забыл, то подскажите.

Монетизация местоположения

Еще одна история про магазин, контролируемый Apple – iOS App Store (где размещаются приложения для iPhone и iPad). Разработчики GuardianApp обнаружили целый список приложений в App Store, которые содержат в себе SDK, поставляемое компаниями, которые занимаются монетизацией пользовательской информации. Грубо говоря, они собирают массу информации о пользователях, скрещивают её с другой доступной информацией, что зачастую позволяет им вычислить все, вплоть до имени конкретного человека, и затем перепродают эту информацию рекламным компаниям.

Так вот, они поставляют модули для приложений, которые позволяют собирать различную информацию о местоположении пользователей (которая зачастую не имеет отношения к прямой функции приложения, и такая передача, разумеется, не раскрывается перед пользователем), и передавать их на сервера этих компаний.

Такая информация включает в себя:

  • Данные Bluetooth LE Beacon;
  • Координаты GPS;
  • Информация о названиях сетей Wi-Fi и сетевой MAC-адрес;
  • Данные с акселерометра по трем осям;
  • Рекламный идентификатор;
  • Статус заряда аккумулятора;
  • Информация о сотовой связи;
  • Данные о высоте над уровнем моря и скорости;
  • Информация о прибытии-отбытии в определенных местах.

Список приложений и компаний, занимающихся сбором такой информации, можно почитать тут. Что со всем этим делать? Как минимум, в настройках iOS можно включить опцию для минимизации рекламной слежки. Там же можно сбросить рекламный идентификатор (и делать это периодически). И, опять же, внимательно следить за тем, какие права запрашивают приложения, устанавливаемые на смартфон. В частности, если какое-то приложение просит доступ к местоположению «всегда», а не только когда это приложение работает, я бы напрягся. Кстати, также в настройках iOS можно посмотреть, какие приложения запрашивали такой доступ, и либо отключить им доступ «всегда» (если им не нужно это для функциональности – например, приложению-навигатору нужен), либо удалить такие приложения. Берегите свое местоположение!

P.S. И, конечно же, хотелось бы, чтобы Apple ужесточила контроль за такими приложениями, обращая больше внимания на то, какие SDK и зачем используются в приложениях.

Монетизация местоположения

Backdoors

А правительства все не успокаиваются против бэкдоров. На прошлой неделе группа из правительств пяти стран (США, Австралия, Великобритания, Канада и Новая Зеландия) повстречались, обсудили и решили, что надо призвать крупные технологические компании к сотрудничеству и обеспечению бэкдоров в их устройствах и сервисах, а не то им придется столкнуться с юридическими последствиями отказов от такого сотрудничества. Так то, конечно, утверждают правительства, бэкдоры смогут обеспечить необходимую приватность и права пользователей, и будут использоваться только для уголовных расследований и вопросов, связанных с национальной безопасностью. Когда-то, когда Apple спорила с ФБР по поводу бекдора для iPhone, я написал, возможно, немного сгущающий и несколько романтический пост на эту тему, но по сути ничего не поменялось. Правда, с тех пор стало известно о различных и многочисленных утечках информации и инструментов из Агентства Национальной Безопасности США (NSA), и Центрального Разведывательного Управления (ЦРУ), но, видимо, представители этих “Пяти Глаз” живут в параллельной вселенной, в которой ничего этого не было, а бэкдоры существуют в полной безопасности и надежно хранятся от посторонних глаз. А также они хотят выиграть гонку против математики и стараются провернуть фарш назад. Эх…

Ссылка на заявление

Backdoors

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT