Последствия атаки, надо сказать, гораздо серьезнее, нежели просто компрометация PIN-кода. Ради того, чтобы обеспечить обратную совместимость со старыми картами, терминалы считывают данные не только с чипа, но и с магнитной полоски. Это означает, что если злоумышленник сумел подсоединить иглу-отвод к каналу обмена между картой и процессором, то он получает возможность записать все данные, необходимые для клонирования карты с магнитной полосой. Вкупе с похищенным PIN-кодом это дает возможность легко изготовить фальшивую карту и с ее помощью снимать деньги со счета в банкоматах зарубежных стран, еще не перешедших на Chip & PIN. Более того, подобные банкоматы кое-где остались и в провинциальных районах Британии.
Особой критики, по мнению исследователей, заслуживает в высшей степени непрозрачный, ущербный по своей сути процесс сертификации и оценки безопасности устройств PED, отвечающих за защиту важных данных. Транснациональный гигант Visa и британская платежная ассоциация APACS, признав оба устройства безопасными и официально санкционировав их широчайшее распространение, проглядели серьезнейшие уязвимости, выявленные кембриджской командой. Более того, при выдаче сертификатов APACS и Visa прибегли к сомнительному трюку, в приличном обществе называемому подлогом. Было объявлено, что устройства PED прошли "оценку на соответствие Common Criteria", то есть международному набору стандартов для систем безопасности, принятому в Великобритании, США и других странах НАТО. На Туманном Альбионе выдачей сертификатов о соответствии Common Criteria (СС) ведает правительственная спецслужба GCHQ, аналог американского АНБ. Однако в GCHQ сообщили, что ничего не знают о терминалах PED, поскольку эти устройства никогда не сертифицировались на соответствие CC.
Тут-то и выяснилось, что "оценка на соответствие CC" и "сертификация" - две большие разницы. Результаты тестирования на предмет сертификации положено открыто публиковать, а Visa и APACS категорически отказываются предоставить кому-либо отчет об оценке безопасности терминалов. Более того, засекречены и сами инстанции, проводившие эту оценку. В ответах же исследователям, которые еще в ноябре прошлого года предупредили об уязвимости все заинтересованные стороны - APACS, Visa, изготовителей PED, - серьезность угрозы намеренно приуменьшается.
Реакция Visa, например, выглядит так: "В академической статье Кембриджа мы не увидели ничего такого, чего не знали раньше, и ничего такого, что представляло бы угрозу для безопасности карт в реальном мире". Представители же Ingenico, одного из изготовителей PED, выразились не столь высокомерно, но в том же ключе: "Метод, описанный в университетской статье, требует специальных знаний и сопряжен с техническими трудностями. По этой причине он невоспроизводим в широких масштабах и не учитывает тот мониторинг мошенничества, что применяется в индустрии"…
Один из членов кембриджской команды, профессор Росс Андерсон, сражается с порочным подходом банков и индустрии к безопасности уже два десятка лет. По поводу последней работы он говорит так: "Уроки, которые мы здесь получаем, вовсе не ограничиваются банкингом. В самых разных областях, от машин для голосования до автоматизированных систем учета медицинских данных, постоянно появляется одна и та же комбинация из глупых ошибок, фиктивных сертификаций и препятствующих исследованиям властей. Повсюду, где люди вынуждены опираться на безопасность систем, нам требуются честные процедуры оценки, результаты которых открыто публикуются и проверяются независимой экспертизой".
Стоит ли пояснять, какая из препирающихся сторон больше права. Жаль только, что далеко не в каждой стране есть Кембриджи и Андерсоны.
Автор: Александр Бумагин
Мы привыкли к тому, что трехмерные телевизоры - постоянные экспонаты компьютерных и технологических выставок, призванные украсить стенд производителя и напомнить зевакам, что вот, мол, и "такое тоже могём". Однако мало-помалу 3D-телевидение превращается в самый настоящий бизнес. Делать трехмерные аппараты толком пока не научились, но продавать уже умеют.
Очковтирательство
Проблемой демонстрации трехмерного изображения занимаются довольно давно. После того как телевидению покорился цвет, следующим рубежом в деле передачи изображения стал объем. Крупномасштабная разработка этого направления велась еще в СССР. Были построены кинотеатры [Кажется, "Аврора" в Питере до сих пор показывает стереокино.] для стереофильмов, где демонстрировалось то немногое, что снималось на две синхронизированные кинокамеры. Два кинопроектора подавали картинку на один экран, а зрителям выдавали специальные очки. Что до телевидения, то у нас в стране воплощалась идея поочередного воспроизведения на кинескопе картинок для правого и левого глаз (очки обязательны). Еще в восьмидесятые годы в Московском научно-исследовательском телевизионном институте (МНИТИ) были созданы опытные образцы стереовизоров, плохо поддающиеся настройке и так и не доведенные до ума и серийного производства.
Очки, как обязательный атрибут, до сих пор используются во многих решениях (например, iMAX). Но можно обойтись и без них.
Сиди смирно!
Всего-то нужно так демонстрировать стереопару изображений, чтобы каждый глаз видел только ту картинку, которая ему предназначается. Распространенные решения, не требующие наличия очков, как правило, рассчитаны на работу только с одним пользователем. При этом в худшем случае человеку нужно сидеть в строго определенной точке относительно экрана, что, согласитесь, не слишком удобно. Чтобы как-то улучшить ситуацию, дисплей можно оборудовать системой, следящей за глазами человека, и автоматически подстраивать картинку под меняющееся положение зрителя. То есть, к примеру, геймер найдет такой вариант вполне удобным, а вот всей семьей кино уже не посмотришь. Хотя эта статья большей частью посвящена другой технологии, идея "безочковых" систем для индивидуалистов нашла несколько воплощений [Например, в разработке компании A.C.T. Kern за глазами следят либо инфракрасные датчики, либо оптические видеокамеры, при этом особенность технологии подразумевает портретную ориентацию экрана. У вот у компании Toshiba есть решение, подразумевающее статичность зрителя и использование планшетных дисплеев. В России в Институте автоматики и электрометрии СО РАН тоже есть "свои герои".].
Идеальным же представляется устройство, способное демонстрировать трехмерное изображение одновременно группе зрителей, произвольно расположившихся перед экраном, при этом не должны использоваться никакие специальные очки. Наверное, на этом месте хорошо смотрелась бы реплика о некой чудесной разработке Х компании Y, снимающей все проблемы со стереовидением. Увы, идеального многопользовательского 3D-дисплея пока не существует. Так или иначе, суть всех разработок для плоских экранов сводится к тому, что дисплей отображает сразу две картинки, для чего используются чередующиеся столбцы пикселов ЖК-матрицы.
Очевидно, что обеспечить правильный просмотр стереопары на любых расстояниях и под любыми углами не позволят законы оптики. Отсюда и возникает необходимость как-то определяться с положением наблюдателя, и проще всего решается задача с одним зрителем, о чем было сказано выше. Однако есть по крайней мере две технологии, которые неплохо "справляются" с несколькими зрителями. В обоих случаях трехмерный дисплей создает многоракурсное изображение, позволяя зрителям, находящимся под разными углами к экрану, получать свою стереопару.
Интересно, что обе технологии известны в России, если вообще можно говорить об известности подобных решений - покамест далеко не каждый видел хоть какой-то трехмерный дисплей. Российские компании 3dtv-vision и Beyond Media не так давно продавали многопользовательские 3D-дисплеи одной фирмы, от которых отказались в пользу дисплеев Philips. Посетив офисы этих компаний, мы смогли не только посмотреть на трехмерные дисплеи обоих типов, но и разобраться в тонкостях их работы.
Некоторые любят погорячее
Для корректного воспроизведения роликов на дисплеях x3d нужно, чтобы компьютер соответствовал следующим требованиям: процессор Intel Pentium 4 3,0 ГГц и выше (специализированный плеер оптимизирован под Intel и подтормаживает при использовании AMD); оперативная память 1 Гбайт в режиме Dual Channel (2х512 Мбайт); видеокарта nVidia GeForce 6600GT 128 Mбайт или ATI Radeon 9800 Pro 128 Mбайт и выше.
Для дисплеев от Philips требования ниже (при большем разрешении): процессор Intel Pentium 4 2,4 ГГц или AMD Athlon XP2400+; оперативная память 512 Mбайт; видеокарта nVidia GeForce FX5200 128 Mбайт или ATI Radeon 9550 128 Mбайт.