Журнал "Компьютерра" №726 - Компьютерра

Сейчас даже трудно представить, какие устройства можно изготовить на основе Янус-частиц. Их можно использовать и для простого перемешивания жидкости, и для сложной доставки лекарств или сенсоров по назначению, и даже для сборки наноустройств. Вдохновленные успехом ученые уже приступили к созданию теории движения ассиметричных частиц с более сложной формой и замысловатой поверхностью, а также к постановке новых экспериментов. ГА

На удивление простой способ изготовления превосходной бумаги из углеродных нанотрубок предложен в пекинском Университете Циньхуа (Tsinghua). Новая нанобумага прочна и хорошо проводит тепло и электрический ток.

Ученые давно пытаются создать некое подобие бумаги из углеродных нанотрубок. Есть методы, основанные, например, на осаждении нанотрубок из раствора в электрическом поле, которое задает их ориентацию. Однако добиться надежного сцепления нанотрубок, однородности состава и стабильной толщины слоя бумаги очень трудно.

В китайском способе сперва по отработанной технологии на кремниевой подложке выращивают густой лес из трубок диаметром 10 нм и длиной около 100 мкм, затем накрывают тонкой микропористой мембраной и прокатывают сверху стальным валиком. "Наностволы" ложатся строго в направлении прокатки, между нанотрубками образуется множество контактов, и остается только отделить бумагу от подложки и смыть мембрану спиртом.

Чтобы продемонстрировать прочность бумаги, ученые сложили из нее традиционную фигуру оригами - журавлика. Измерения показывают, что теплопроводность "нанобумаги" не хуже, чем у чистой меди, и значительно выше, чем у бумаги, полученной по другим технологиям. А это значит, что ее можно использовать в качестве теплоотводящей прослойки в чипах.

Кроме того, углеродная бумага обладает хорошо развитой поверхностью, что делает ее пригодной для использования в качестве электродов в аккумуляторах и суперконденсаторах. Такие конденсаторы могут запасать на три порядка больше энергии, чем обычные, и отдавать ее за секунды. Их все активнее используют, например, на транспорте с электрическим приводом для разгона и торможения.

Согласно легенде, бумага из хлопка была изобретена около двух тысяч лет назад именно в Китае. Как учат нас философы, история развивается по спирали, и замечательно, что китайским ученым снова удалось внести вклад в развитие передовых технологий. ГА

Группа исследователей из компьютерной лаборатории Кембриджского университета продемонстрировала серьезнейшую уязвимость новой технологии платежных карт Chip & PIN.1 Такого рода гибридные контактные карточки, совмещающие в пластиковом корпусе микросхему и магнитную полоску, уже получили широкое распространение в Британии, Австрии и Бельгии, а многие другие государства планируют заменить ими безнадежно устаревшие карточки с одинокой магнитной полоской. Строго говоря, кембриджские специалисты показали ненадежность не столько карт, сколько терминалов, использующихся в торговых точках и банках для обработки транзакций и верификации карты, - так называемых PED (PIN entry devices - устройства ввода персонального идентификатора).

Саар Дример, Стивен Мердок и Росс Андерсон (Saar Drimer, Steven J. Murdoch, Ross Anderson) на примере двух самых распространенных в Великобритании моделей PED - Ingenico i3300 и Dione Xtreme - продемонстрировали, сколь плохо защищены данные о карте и ее владельце. Разработанная ими техника взлома носит название tapping attack ("атака через отвод") и на удивление недорога в реализации. Все, что для нее требуется, это подходящего размера игла, скрепка для бумаги и устройство для записи отводимого сигнала. Плюс, конечно, знания и умение весь этот "реквизит" собрать, воткнуть и подключить куда следует.

С помощью столь нехитрого инструментария исследователи сумели записать процедуру обмена данными между картой и процессором PED, ничуть не потревожив устройства защиты, вмонтированные в терминал. Перехваченный поток данных сразу позволяет установить PIN карты, поскольку британские банки выбрали технологию подешевле и не стали встраивать в чип средства, которые бы шифровали информацию, курсирующую между картой и PED.

Последствия атаки, надо сказать, гораздо серьезнее, нежели просто компрометация PIN-кода. Ради того, чтобы обеспечить обратную совместимость со старыми картами, терминалы считывают данные не только с чипа, но и с магнитной полоски. Это означает, что если злоумышленник сумел подсоединить иглу-отвод к каналу обмена между картой и процессором, то он получает возможность записать все данные, необходимые для клонирования карты с магнитной полосой. Вкупе с похищенным PIN-кодом это дает возможность легко изготовить фальшивую карту и с ее помощью снимать деньги со счета в банкоматах зарубежных стран, еще не перешедших на Chip & PIN. Более того, подобные банкоматы кое-где остались и в провинциальных районах Британии.

Особой критики, по мнению исследователей, заслуживает в высшей степени непрозрачный, ущербный по своей сути процесс сертификации и оценки безопасности устройств PED, отвечающих за защиту важных данных. Транснациональный гигант Visa и британская платежная ассоциация APACS, признав оба устройства безопасными и официально санкционировав их широчайшее распространение, проглядели серьезнейшие уязвимости, выявленные кембриджской командой. Более того, при выдаче сертификатов APACS и Visa прибегли к сомнительному трюку, в приличном обществе называемому подлогом. Было объявлено, что устройства PED прошли "оценку на соответствие Common Criteria", то есть международному набору стандартов для систем безопасности, принятому в Великобритании, США и других странах НАТО. На Туманном Альбионе выдачей сертификатов о соответствии Common Criteria (СС) ведает правительственная спецслужба GCHQ, аналог американского АНБ. Однако в GCHQ сообщили, что ничего не знают о терминалах PED, поскольку эти устройства никогда не сертифицировались на соответствие CC.

Тут-то и выяснилось, что "оценка на соответствие CC" и "сертификация" - две большие разницы. Результаты тестирования на предмет сертификации положено открыто публиковать, а Visa и APACS категорически отказываются предоставить кому-либо отчет об оценке безопасности терминалов. Более того, засекречены и сами инстанции, проводившие эту оценку. В ответах же исследователям, которые еще в ноябре прошлого года предупредили об уязвимости все заинтересованные стороны - APACS, Visa, изготовителей PED, - серьезность угрозы намеренно приуменьшается.

Реакция Visa, например, выглядит так: "В академической статье Кембриджа мы не увидели ничего такого, чего не знали раньше, и ничего такого, что представляло бы угрозу для безопасности карт в реальном мире". Представители же Ingenico, одного из изготовителей PED, выразились не столь высокомерно, но в том же ключе: "Метод, описанный в университетской статье, требует специальных знаний и сопряжен с техническими трудностями. По этой причине он невоспроизводим в широких масштабах и не учитывает тот мониторинг мошенничества, что применяется в индустрии"…

Один из членов кембриджской команды, профессор Росс Андерсон, сражается с порочным подходом банков и индустрии к безопасности уже два десятка лет. По поводу последней работы он говорит так: "Уроки, которые мы здесь получаем, вовсе не ограничиваются банкингом. В самых разных областях, от машин для голосования до автоматизированных систем учета медицинских данных, постоянно появляется одна и та же комбинация из глупых ошибок, фиктивных сертификаций и препятствующих исследованиям властей. Повсюду, где люди вынуждены опираться на безопасность систем, нам требуются честные процедуры оценки, результаты которых открыто публикуются и проверяются независимой экспертизой".

Стоит ли пояснять, какая из препирающихся сторон больше права. Жаль только, что далеко не в каждой стране есть Кембриджи и Андерсоны.

Галактион Андреев

Александр Бумагин

Егор Васильев

Владимир Головинов

Евгений Гордеев

Артем Захаров

Евгений Золотов

Денис Коновальчик

Игорь Куксов

Максим Мусин

Павел Протасов

Иван Прохоров

Дмитрий Шабанов

Микрофишки

Четырнадцать электрических, одна угольная и девять нефтяных компаний США будут отвечать в суде перед эскимосами Аляски за… глобальное потепление. Коренные жители заполярья из деревни Кивалина считают ответчиков виновными в таянии льдов, вызванном изменением климата. Погодные неурядицы грозят уничтожением деревне, и теперь суд должен решить, является ли глобальное потепление делом рук человеческих или капризом матушки-природы. Возможно, после решения суда споры на этот счет прекратятся. В случае признания ответчиков виновными наверняка последуют и другие иски, а добывающим и энергетическим компаниям придется ох как несладко. Пока обвиняемым, похоже, ни тепло ни холодно: никаких комментариев от них не последовало. АБ