Компьютерра - Журнал Компьютерра №726

Когда письма не отправлялись на Голдхосте, сервер хоть ругался - мол, слишком много одновременных коннектов. Servage.net не ругается - Европа! - он просто письма не посылает. Молча. Пишу в техподдержку. Вежливые люди отвечают: "А вы попробуйте вместо smtp1.servage.net использовать smtp2.servage.net - мы сейчас проводим работы над основным smtp-сервером". Во как! Хостинг для телепатов - клиенты обязаны ДОГАДЫВАТЬСЯ о "работах" заблаговременно и менять записи в настройках почтового клиента. По четным дням, типа, работает smtp1, по нечетным - smtp2, на уик-эндах - smtp3. А каждую пятницу 13-го вообще ничего не работает - весь цивилизованный мир празднует независимость Косово.

Исправил smtp и на интуиции решил проверить скрипты - так и есть! Не работают пострелы! То есть регистрируют заполнение форм и заявок на сайте, но ничего никуда не отсылают. Пишу - секундочку, посмотрю кому! - ах да, Паулю: "Так и так, скрипты перестали отсылать почту". А Пауль мне - молодец-то какой: "Здравствуйте, Сергей! Спасибо за то, что обратились в службу поддержки Servage.net. Пожалуйста используйте smtp2.servage.net в своих скриптах и попробуйте еще раз!"

Да чего ж там - титан мысли: "Пауль, ау! Нет у меня в скриптах никаких отсылок на имена ваших почтовый серверов, о чем это вы? В скриптах нет ничего, кроме обычного указания пути: $mail_prog = ‘/usr/sbin/sendmail’".

На ответ Пауля даже не надеялся: думал, тоже обидится и ляжет на дно вместе с "Карлсбергом" и Хельгой - не тут-то было! Пауль стойко держал удар: "У нас сейчас проблемы с smtp1.servage.net, но мы очень стараемся (trying hard, так сказать), чтобы разрешить ситуацию как можно скорее. Ваши скрипты начнут работать через несколько часов".

Что ж, и на том спасибо, Паша! Ты настоящий друг. Настоящий мой шведский друг.

Итак, что мы имеем в сухом остатке? А мы имеем хостинг-геморрой, какой и представить себе не мог в самом страшном сне. Из трех дней сайт лежит два с половиной, а все остальное время - не работает попеременно то почта, то скрипты, то взаимодействие со Спаморезом (об этой "мелочи" я даже и поминать не стал). Нервы на взводе, мысли свернуты в узкую трубочку, направленную в сторону Скандинавии, все сроки рушатся, все дела откладываются, все темы "Голубятен" переносятся… Если доживу, расскажу через неделю, чем вся эта бодяга кончилась, ну и, конечно, порадую читателей позитивом: ведь у меня помимо изумительнейшей программы припасена в рукаве еще и изумительнейшая "железяка"!

Автор: Киви Берд

Группа исследователей из компьютерной лаборатории Кембриджского университета продемонстрировала серьезнейшую уязвимость новой технологии платежных карт Chip & PIN. Такого рода гибридные контактные карточки, совмещающие в пластиковом корпусе микросхему и магнитную полоску, уже получили широкое распространение в Британии, Австрии и Бельгии, а многие другие государства планируют заменить ими безнадежно устаревшие карточки с одинокой магнитной полоской. Строго говоря, кембриджские специалисты показали ненадежность не столько карт, сколько терминалов, использующихся в торговых точках и банках для обработки транзакций и верификации карты, - так называемых PED (PIN entry devices - устройства ввода персонального идентификатора).

Саар Дример, Стивен Мердок и Росс Андерсон (Saar Drimer, Steven J. Murdoch, Ross Anderson) на примере двух самых распространенных в Великобритании моделей PED - Ingenico i3300 и Dione Xtreme - продемонстрировали, сколь плохо защищены данные о карте и ее владельце. Разработанная ими техника взлома носит название tapping attack ("атака через отвод") и на удивление недорога в реализации. Все, что для нее требуется, это подходящего размера игла, скрепка для бумаги и устройство для записи отводимого сигнала. Плюс, конечно, знания и умение весь этот "реквизит" собрать, воткнуть и подключить куда следует.

С помощью столь нехитрого инструментария исследователи сумели записать процедуру обмена данными между картой и процессором PED, ничуть не потревожив устройства защиты, вмонтированные в терминал. Перехваченный поток данных сразу позволяет установить PIN карты, поскольку британские банки выбрали технологию подешевле и не стали встраивать в чип средства, которые бы шифровали информацию, курсирующую между картой и PED.

Последствия атаки, надо сказать, гораздо серьезнее, нежели просто компрометация PIN-кода. Ради того, чтобы обеспечить обратную совместимость со старыми картами, терминалы считывают данные не только с чипа, но и с магнитной полоски. Это означает, что если злоумышленник сумел подсоединить иглу-отвод к каналу обмена между картой и процессором, то он получает возможность записать все данные, необходимые для клонирования карты с магнитной полосой. Вкупе с похищенным PIN-кодом это дает возможность легко изготовить фальшивую карту и с ее помощью снимать деньги со счета в банкоматах зарубежных стран, еще не перешедших на Chip & PIN. Более того, подобные банкоматы кое-где остались и в провинциальных районах Британии.