Коллектив Авторов - Цифровой журнал «Компьютерра» № 220

Примечательно, что вопрос, нужен ли гражданской авиации чёрный ящик, транслирующий «системную» информацию с борта в реальном времени (вспомните « Технологии вчерашнего дня»), более не считается теоретическим. Поиски MH370 уже стали самыми дорогими за всю историю авиакатастроф: в них участвовали или участвуют 26 стран (Россия тоже, как минимум через спутник «Ресурс-П»), истрачено около $50 млн (и это оптимистичная оценка, не учитывающая косвенных расходов), а в перспективе сумма может вырасти до сотен миллионов. И не забывайте о мучениях, которым подверглись родственники пропавших пассажиров: представьте, чт о чувствуют они после месяца ожиданий и регулярно обманываемых надежд!

Так что Международная ассоциация воздушного транспорта (IATA) уже создала рабочую группу (а Малайзия собирается создать аналогичную при ООН) для претворения давно витающей в воздухе идеи в жизнь. Можно полагать, что уже к исходу десятилетия каждый гражданский авиалайнер будет оснащён оборудованием, позволяющим наблюдателям на земле точно знать о текущем местоположении и состоянии всех бортовых систем.

Плохо, что времени на поиск чёрных ящиков почти не осталось. Когда батареи пингеров иссякнут, в ход пойдёт теория вероятностей: все версии катастрофы будут совмещены на одной «вероятностной» карте — и поиски, сосредоточившись в наиболее «горячих» районах, перейдут в долгосрочную фазу. Самописцы в конце концов отыщут: как минимум Малайзия, Китай и Австралия не намерены прекращать поисковые работы. Но до тех пор нам остаётся только гадать, что же случилось на борту.

Окончательно не отвергнута ни террористическая версия (иранцы с чужими паспортами), ни пожар — после которого все, включая пилотов, потеряли сознание и самолёт оказался предоставлен сам себе. Кстати, предположение о пожаре позволяет задуматься и о следующем витке эволюции авиационных технологий: управляй MH370 робот, катастрофы, возможно, удалось бы избежать.

К оглавлению

Опубликовано08 апреля 2014

Седьмого апреля вышелбюллетень по безопасности CVE-2014—0160, из которого стало известно о длительном существовании критической уязвимости в криптографическом пакете OpenSSL.

Обнаружилось, что алгоритмы реализации протоколов TLS и SSL в большинстве используемых сегодня версий OpenSSL некорректно обрабатывают пакеты расширения Heartbeat (из-за чего ошибка получила название HeartBleed). Это позволяет злоумышленникам получить удалённый доступ к конфиденциальной информации из оперативной памяти активного сетевого процесса за пределами буфера.

Удивительно, но критическую уязвимость не замечали на протяжении двух лет. Ей подвержены все версии OpenSSL от 1.0.1 до 1.0.1f включительно, а также 1.0.2-beta1.

В результате допущенной ошибки в них Уязвимые версии криптографического пакета OpenSSL с марта 2012 года входят в состав многих дистрибутивов ОС семейства BSD и практически всех ОС Linux ветвей Debian, RedHat и Slackware. не проверяетсяфактическая длина в записи SSLv3. Это позволяет прочитать без авторизации до 64 Кбайт из оперативной памяти процесса на подключённом клиенте или сервере за каждое обращение. Во многих случаях этого оказывается достаточно для получения ключей, паролей или других секретных данных.

В первую очередь ошибка затрагивает серверы Apache, nginx, проект Tor (через веб-сервер https://www.torproject.org), а также многие веб-сайты, использующие протокол HTTPS, даже если доступ к ним осуществляется по VPN.

По данным W 3Techs, под управлением Apache сегодня работают 60,7% всех сайтов интернета. Написанный Игорем Сысоевым HTTP и почтовый сервер nginx обслуживает около 18% популярных российских сайтов, включая «Яндекс», Mail.Ru, «Рамблер» и «ВКонтакте».