Category: it

Category was added automatically. Read all entries about "it".

Ии-го-го!

Лица москвичей попадут в базу данных

Алгоритм различения лиц для оплаты проезда уже проходит тестирование. В базе данных банковская карта привязана к биометрическим данным. Сколько времени уйдет, прежде чем эта информация будет доступна сетевым мошенникам? Что характерно, кое кому данные банковской карты при этом и не нужны даже.

Я занимался подобной системой совсем недавно. Для того, чтобы отличить настоящее лицо от фотографии использовалась вторая, инфракрасная, камера. Результаты были обнадеживающими при расстоянии около 60 см от камеры, в метро так не получится.

спасибо https://el-murid.livejournal.com/4756858.html


Ии-го-го!

про псевдослучайные числа

Наткнулся на удивительный сюжет про российских шпионов 2010 года. Оказывается, в двадцать первом веке они получали инструкции по радио. Кубинский диктор зачитывала им длинные цепочки цифр, которые потом нужно было расшифровывать бумажными одноразовыми табличками.

Всё бы хорошо, и действительно, вся NSA оказалась неспособна расшифровать эти сообщеия. (Заметим в скобках, в отличие от прошлого раза, когда крохоборы из ГРУ попробовали повторно использовать такие таблички). (Заметим в других скобках, им на некотором этапе стало до зарезу надо).

Но через некоторое время контрразведка обнаружила, что в некоторые дни цепочки менее случайны, чем обычно. Как выяснилось, это коррелировало с теми днями, когда пара подозреваемых шпионов находилась в отъезде. По всем законам криптографии, в эти дни, когда приемник не работал, в стандартное время передавали псевдо-случайный поток, сгенерированный компьютером. Но генератор у кубинцев оказался гнилой, без, почему-то, девяток.
Ии-го-го!

RIP, OS/2

http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=103254

В декабре совершится эвтанзия системе OS/2. Шансов на то, что энтузиасты уговорят IBM превратить ее в open source - никаких, это я как человек, ковырявшийся в ее коде заявляю. OS/2 - это не Java даже; она начиналась как совместный проект IBM и Microsoft, и содержит столько копирайтов, что даже в страшном сне не привидится.

В Микрософт пришла команда из VMS и принялась разрабатывать Windows NT на совсем другой основе, а когда обнаружили, что до массовой популярности ей еще расти, относительно быстро состряпали 32-битный Chicago (Windows 95). Тем временем IBM осталась (не без моего участия) ковыряться с системой, которая могла запускать аппликации Windows 3.0, но требовала двойной оплаты - за лицензию на OS/2 и на Windows. Не говоря уже о том, что за TCP/IP (четыре, кажется, дискеты) нужно было платить отдельно, а за SDK - отдельно, в то время как у Windows for Workgroups (3.11) сетевая поддержка была встроена, а Windows SDK был бесплатным. Из-за этого, кстати, у нее было так мало драйверов разнообразных железяк. Похоже, что именно жадность сгубила OS/2.
Ии-го-го!

Почтовый вирус (попытка исторического дискурса)

Все уже привыкли, что компьютерные вирусы распространяются по почте. Если вам приходит, к примеру, письмо от Microsoft Security Warning с предложением немедленно установить приложенную к нему заплатку для Windows, то ясно, что это письмо послано не микрософтом (при всей любви к этой компании) и не вашим любимым другом, а вирусом, который нашел ваш адрес в чьей-то адресной книге. Клиенты израильского интернет-провайдера Netvision получили не так давно специальное разъяснение, что эта фирма никогда не рассылает почтовые сообщения с аттачментами, которые нужно устанавливать, да еще и с темой по-английски. К сожалению, они и не препятствуют, чтобы их клиенты получали зараженные сообщения подобного вида:

From: Post Office <MAILER-DAEMON@netvision.net.il>
Subject: test
To: аlеxсоhn@nеtvisiоn.nеt.il
Attachments: file.zip

Dear user of netvision.net.il, administration of netvision.net.il would like to let you know that:

We have received reports that your account has been used to send a huge amount of unsolicited email messages during the last week. Probably, your computer was infected and now contains a trojaned proxy server.

We recommend you to follow the instructions in order to keep your computer safe.

Have a nice day,
netvision.net.il support team.

В приложенном файле, как не трудно догадаться, прячется вирус.

Но не всегда электронная почта содержит реальный вирус. В свое время появились вирус "Талибан" или бета-версия страшного полиморфного вируса. Еще часто по цепочке приходят письма-предостережения следующего содержания: если тебе придет e-mail с темой "you are lucky", ни в коем случае не открывай его, не читай, не трогай, не сохраняй, не... не... не... Понятно, что при минимальных мерах предосторожности (напр., использовании антивируса, интегрированного с outlook) вирусы, приложенные к письмам, столь же беспомощны, как тот самый "Талибан".

А вчера мне пришло письмо-предостережение нового рода:

Ни в коем случае не заговаривайте, не дотрагивайтесь, не давайте денег нищим, которые будут подходить к вашей машине на перекрестках и улицах!! Это - террористы-самоубийцы, которых заразили вирусом куриного гриппа, смертельно опасным и страшно инфекционным.

И подписи выглядят столь же солидно, как в письмах от Microsoft Security Support Center:

רב פקד ג'ורש, משטרת ישראל מרחב מרכז
ד"ר הילה בקר, ראש מחלקת מחלות מדבקות,בי"ח איכילוב.

**************************************************************************
This email was sent by "SHEBA MEDICAL CENTER" Messaging System.
This email and any files transmitted with it are confidential and intended
solely for the use of the individual or entity to whom they are addressed,
If you have received this email by mistake please notify the system manager.
mailto:Support@Sheba.Health.gov.il

Сегодня утром Галей Цахаль подтвердили: это предостережение - такая же утка, как все вышеописанные. Я не то, чтобы призываю всех немедленно раздать наличную мелочь тель-авивским нищим, которые, оказывается, белые и пушистые, а вовсе не засланные Хамасом террористы. Но давайте обойдемся без истерик.
Ии-го-го!

Microsoft Crypto makes it easy

Сплошь и рядом приходится считать HMAC, то есть хэш, "подписанный" секретным ключом. Добрый CryptoAPI от фирмы Микрософт, конечно же, поддерживает такую функцию - CryptCreateHash(..., CALG_HMAC, ...) - казалось бы: вперед. Увы, для того, чтобы воспользоваться этой функцией, нужно передать туда не сам ключ, но handle этого ключа. Создавая handle, Микрософт гарантирует, что ключ будет случайным, тайным. А нам-то, в соответствии с RFC, нужен фиксированный ключ! Долго бродим по просторам интернета, постоянно наталкиваясь на несчастных, которые раньше или позже отчаиваются и реализуют этот метод сами в паре десятков простых строк. И только самые упорные добираются до официально признаного способа: создать неправильный  ключ, экспортировать его, поменять биты в экспортном варианте, импортировать обратно. И, прочитав 487 строк, перекладывающих из пустого в порожнее, удовлетворенно выкидывают из своей программы ссылки на CryptoAPI. Потому что там, небось, и внутри все написано так же по-уродски, как в приведенном для простоты примере.
Ии-го-го!

национальный URL

[info] Bruce Schneier пишет про опасность использования национальных символов в URL. Конкретный пример - http://www.p&#1072;ypal.com/ не только выглядит как www.paypal.com, но и сертифицируется через любой SSL. Молодцы Evgeniy Gabrilovich and Alex Gontmakher!

Выводов - два: С одной стороны, Verisign и прочие должны следить еще и за тем, чтобы внешний вид имени не обманывал конечного пользователя. С другой стороны, и с английскими буквами можно лажануться, особенно иностранцу (как правильно пишется, google или gugel)? Как написать, bezek или bezeq? Или попробуйте запомнить, где должен быть .net, где .com, а где .org.il!
Ии-го-го!

Халтурное

Среда разработчика от Микрософт для PocketPC вообще и Windows SmartPhones в частности настолько похожа на родной виндовый VC++ 6.0, что обуревает искушение встроить в него windows native compiler и писать программу, портируемую на десктоп.

Тем паче, что debugger не хочет сотрудничать с эмулятором смартфона, зависает и всех приходится перезагружать заново. Эмулятор - сам по себе дебиловат; например, не понимаю, можно ли добавить в него хоть какое-то подобие file browser (которые таки доступны для самих устройств), или все игры с эмулятором придется вести на "голой" конструкции. О русификации и прочих извращениях я и не говорю. Кстати, есть ли в Израиле смартфоны (QTEK не предлагать, он хоть и умеет прикидываться телефоном, но все равно PDA)?

Зато API вполне цивилизованный, весь сверкает UNICODE-ом. Wininet.lib поддерживает все асинхронные методы своего "взрослого" собрата. Вопрос, не утяжеляет аппликацию ли ее использование (т.е. является ли она лишь import library), пока остается открытым. Но Winsock тоже есть для желающих.