Журнал «Компьютерра» № 14 от 10 апреля 2007 года - Компьютерра

Высокотехнологичные штучки из фантастических фильмов медленно, но верно проникают в нашу жизнь. Поговорить с компьютером по душам, правда, по-прежнему не удастся, а вот узнавать своего хозяина кремниевые помощники уже научились. Канадская компания Bioscrypt представила систему идентификации пользователя VisionAccess 3D DeskCam, основанную на оптическом распознавании лица. Законному владельцу достаточно предстать перед электронным глазом своего компьютера, чтобы залогиниться в ОС и требующих аутентификации приложениях.

Аппаратная часть любопытной системы с виду напоминает обычную веб-камеру, а само сканирование выполняется практически мгновенно. На физиономию сидящего перед компьютером человека инфракрасный источник проецирует мельчайшую сетку из сорока тысяч ячеек, на основе которой строится трехмерная модель головы опознаваемого. Затем виртуальная маска сличается с хранящимися образцами, и система выносит вердикт о правомочности доступа. По заявлению Bioscrypt, методика столь совершенна, что беспристрастное око не обращает внимания на бороду и усы, может работать в условиях недостаточной освещенности и различает как две капли воды похожих близнецов. В продаже 3D DeskCam, которая заодно выполняет и функции веб-камеры, должна появиться до конца этого года, а ее цена предположительно составит 350 долларов. Перспективы новая технология открывает самые заманчивые. Что ни говори, а отсутствие необходимости запоминать пароли или прикасаться к сканерам отпечатков пальцев чрезвычайно удобно.

Внимательный читатель, возможно, заметит сходство 3D DeskCam с творением компании A4Vision, основанной двумя талантливыми выпускниками Бауманки, которым полгода назад «Компьютерра» посвятила тему номера (см. #656). Как оказалось, совпадение описаний двух систем не случайно: в январе Bioscrypt приобрела A4Vision. Прежде Bioscrypt специализировалась на сканерах отпечатков пальцев, а теперь, получив в свое распоряжение качественную «лицевую» технологию, станет еще более сильным игроком на растущем рынке биометрической идентификации, который, к слову, персональными компьютерами вовсе не ограничивается. ИК

Тучи сгустились над одной из крупнейших в мире сетей розничного дискаунта, американской TJX и миллионами ее покупателей. Первой грозят почти 4 млрд. долларов убытков и годы восстановления репутации, а вторым — опустошение банковских счетов. А все из-за вопиющего просчета в системе ИТ-безопасности, благодаря которому хакеры смогли похитить сведения о 45,7 млн. кредитных и дебетовых карт клиентов более чем 2300 магазинов TJX в США, Канаде, Англии и Ирландии.

Канун рождества 2006 года надолго останется в памяти руководства и службы ИТ-безопасности TJX. 18 декабря было обнаружено, что неизвестные лица аж с июня 2005-го имели доступ к компьютерной системе, занимающейся обработкой финансовых транзакций по пластиковым картам. Под угрозой оказались счета людей, ставших клиентами TJX за период с января 2003-го по ноябрь 2006 года, причем многие из них также «засветили» водительские права и другие удостоверения личности.

Инцидент до сих пор окутан туманом. Компания жестко дозирует публикацию любой информации, пытаясь погасить скандал. Официальные сообщения TJX содержат лишь сухие рафинированные сведения и изобилуют извинениями и призывами к лояльности. Эксперты, однако, предполагают, что в данном случае сработала хитроумная комбинация шайки киберпреступников. Компания InfoWatch сомневается в успешности банального взлома сети крупного ритейлера и считает, что дело не могло обойтись без помощи засланного в TJX казачка.

Тем временем к расследованию подключились эксперты по ИТ-безопасности из General Dynamics и IBM, а также власти США и Канады. Банки-эмитенты проводят мониторинг операций и в массовом порядке блокируют скомпрометированные счета: только Fitchburg Savings Bank был вынужден перевыпустить 1300 карт. По мнению Массачусетской банковской ассоциации, инцидент может задеть сотни банков по всему миру. Так, American Express, VISA и MasterCard уведомили корейские власти и финансовое сообщество, что утечка затронула примерно 15 тысяч жителей страны. Логично предположить, что и российским гражданам-клиентам TJX стоит озаботиться получением новых пластиковых карт, чтобы не обнаружить утечку средств или блокировку в самый неподходящий момент.

Судя по всему, TJX побила рекорд 2005 года компании CardSystems Solutions — тогда в неизвестном направлении уплыли данные о 40 млн. карт. История имела трагический финал: после разрыва отношений с основными кредитными системами и жесткого прессинга со стороны государства компания была приобретена за символическую цену небольшим конкурентом Pay By Touch. Несмотря на гораздо больший масштаб скандала, TJX вряд ли постигнет судьба CardSystems Solutions. На кону десятки тысяч рабочих мест, сильнейшее лобби в коридорах власти, оборот в 16 млрд. долларов и 138-е место в списке Fortune 500. Воистину, It’s Good to be King. Правда, на горизонте все же маячат нешуточные убытки и штрафные санкции: InfoWatch оценивает прямые и косвенные убытки TJX на ликвидацию последствий инцидента в $3,7 млрд. ДЗ

К выпуску третьей версии лицензии GPL во Free Software Foundation подошли со всей ответственностью: первый черновик был представлен еще в январе прошлого года (см. статью Федора Зуева «Апгрейд копилефта» в «КТ» #626). В июле, после широкого обсуждения положений и формулировок, вышел второй драфт, учитывающий многочисленные замечания общественности. По замыслу, еще одна промежуточная версия должна была появиться в конце года, а окончательный релиз — буквально на днях. Однако разработка третьего черновика оказалась более сложной и потребовала более серьезных изменений, чем ожидалось, и он выходит только сейчас. Причем это не финишная прямая: через два месяца FSF выпустит «last call» драфт, а еще через месяц — окончательную версию лицензии.

Одной из причин задержки стала ноябрьская сделка между Microsoft и Novell, о которой «КТ» уже не раз писала. В сообществе Free Software считают, что в части «патентного ненападения» на клиентов Novell корпорация Microsoft нарушает дух GPL, используя юридическую дыру в тексте второй версии лицензии, и GPLv3 ставит своей целью эту дыру залатать. Один из пунктов Draft3 запрещает лицензиатам (например, разработчикам дистрибутивов и другим компаниям, распространяющим софт, выпущенный под GPLv3) заключать дискриминирующие контракты. Сформулировать этот пункт оказалось непросто, поскольку потребовалось отделить «зерна» неопасных патентных соглашений от «плевел» агрессивных сделок. Помимо тщательного выбора слов, авторы лицензии хотят подстраховаться и ограничить область действия этого пункта только сделками, заключенными после выхода Draft3, с тем чтобы дать возможность компаниям проверять тексты своих договоров на предмет совместимости с этими положениями. Если такое решение будет принято, нововведения не коснутся контракта «виновника торжества» — компании Novell, даже если та захочет распространять программы, выпущенные под GPLv3.

Однако это не единственный способ борьбы с софтверными патентами. Другой пункт Draft3 гласит: если компания-лицензиат предоставляет патентную лицензию какому-то подмножеству получателей ПО (например, своим клиентам или клиентам другой компании), такая лицензия автоматически распространяется и на всех остальных получателей (независимо от того, какими путями ПО к ним попало). Предполагается, что именно этот пункт позволит минимизировать возможный ущерб от сделки MS/Novell или заставит партнеров пересмотреть ее условия, поскольку сведет на нет дискриминирующий характер патентных обязательств Microsoft. Корпорация будет вынуждена «не нападать» на всех пользователей и распространителей GPLv3-софта, а не только на клиентов Novell и «некоммерческих индивидуальных разработчиков». Важную роль здесь играет то, что по условиям соглашения Microsoft является дистрибьютором Novell SUSE Linux, а эта деятельность потенциально подпадает под регулирование GPLv3.

Сама Novell официальных комментариев пока не давала, а неофициально держит хвост пистолетом: представители компании считают, что формулировки нового драфта не препятствуют включению GPL3-лицензированных технологий в продукты Novell.

Конечно, патенты и позиционная война с альянсом Microsoft и Novell — главная интрига вышедшего черновика, но далеко не единственное значимое изменение в нем. Другая важная тема GPLv3: борьба с DRM и «TiVo’изацей», то есть техническим ограничением свободы пользователя модифицировать программу для своих нужд. Пункты лицензии, требующие от поставщика устройства предоставлять пользователю все криптографические ключи и другую информацию, необходимую для запуска измененной софтверной начинки, подвергались жесткой критике со стороны разработчиков ядра Linux (и в первую очередь — Линуса Торвальдса), которая, судя по результату, была учтена.

Конечно, FSF не отказалась от первоначальных целей, но уточнила формулировки и ограничила область их действия только «потребительскими продуктами». Также драфт в явном виде разрешает прошивку GPL3-софта в постоянной памяти (ROM) и содержит некоторые изменения, касающиеся взаимодействия модифицированных версий программ с другими устройствами в сети. Первые комментарии Торвальдса по поводу нового черновика обнадеживают: он даже допускает (пока очень осторожно и «только в теории»), что ядро Linux может быть перелицензировано под GPLv3.