Эксперимент с мемристорами в HP
Корпорация HP рассчитывает произвести настоящую революцию на рынке информационных технологий. Проект под названием The Machine — это попытка разработать новую компьютерную архитектуру, с новой операционной системой и новым типом ОЗУ на мемристорах, которые лишены ограничений современной DRAM и флэш-памяти и предполагают сверхвысокие скорости передачи данных.
Над амбициозным проектом работает 75% персонала HP Labs, пишет BusinessWeek.
Читать полностью »
Так уж вышло, что для написания кандидатского диссера мне потребовалось плотненько изучить стандарт спутниковой связи DVB-S2 (Digital Video Broadcasting — Setellite, Version 2).
Если вам, уважаемый читатель, интересно как передаются HDTV или SDTV данные через один из самых популярный спутниковых протоколов теле и радио вещания и нет желания/времени читать сам протокол, то прошу под кат.
Схема 1.
Такое объявление он сделал во время британской премьеры Tesla Model S, пишет Engadget.
Речь идёт о раскрытии устройства Tesla Supercharger — сети станций быстрой зарядки для автомобилей Tesla — ради создания единых стандартов зарядки электромобилей, которые могли бы применять все производители электрокаров в мире. Ради этого он готов поступиться даже некоторой интеллектуальной собственностью относительно устройства самих автомобилей Tesla.
Читать полностью »
Голландский программист Жак Матти (Jacques Mattheij) — владелец сайта ww.com и один из первых людей, кто организовал прямые трансляции с веб-камер в интернете. Он обращает внимание на баг в HTTP, благодаря которому можно заметно ускорить работу множества веб-приложений и обычных веб-сайтов.
HTTP (RFC 1945) формально является синхронным протоколом. В стандарте чётко прописано, что HTTP-ответ может быть отправлен только после получения соответствующего HTTP-запроса. На практике же всё работает иначе.
Читать полностью »
Утренняя почта принесла письмо следующего содержания:
С 30 июня залогиниться в фотохостинге Flickr, используя google или facebook-аккаунт станет невозможно. Вместо этого юзеру предлагается завести Yahoo-аккаунт.
Читать полностью »
В настоящее время все источники, освещающие вопросы информационной безопасности, содержат сведения раскрытые г-ном Сноуденом о скрытых каналах получения информации и умышленно внедряемых в различные технические средства АНБ устройствах негласного доступа к информации (получения, съема).
А что же у нас в стране с решением данной проблемы? Анализируя современную отечественную нормативную базу, можно выделить следующие документы, регламентирующие вопросы выявления и борьбы со скрытыми каналами:
ГОСТ Р 53113.1-2008 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения»;
ГОСТ Р 53113.2-2009 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов».
В соответствии с ГОСТами определен термин «скрытый канал» – это непредусмотренный разработчиком системы информационных технологий и автоматизированных систем коммуникационный канал, который может быть применен для нарушения политики безопасности.
С помощью скрытых каналов могут быть реализованы следующие нарушения политики безопасности:
Интерпретированная модель функционирования скрытого канала представлена на рисунке (из ГОСТР 53113.2-2009):
Создание скрытого канала и осуществление воздействия нарушителя на защищаемые информационные ресурсы в соответствии с приведенной моделью осуществляется следующим порядком:
В качестве практической реализации подобного подхода, на базе материалов, опубликованных Сноуденом (http://freesnowden.is/2013/12/31/ant-product-data/), в пример можно привести программное средство IRONCHEF, функционирующее на базе аппаратных закладок типов COTTONMOUTH-I (II, III), реализованные устройствами HOWLERMONKEY и TRINITY (можно сказать, «классическое» построение скрытого канала).
Как же проводить работу по выявлению скрытых каналов?
С точки зрения «теории» процесс выявления скрытого канала включает в себя следующие действия:
1. Оценка архитектуры исследуемой системы и имеющихся в ней коммуникационных каналов (рассмотрению подлежат как существующие, так и потенциальные каналы). Оценка архитектуры системы подразумевает выявление всех имеющихся в ней каналов связи (информационного взаимодействия) и анализ взаимодействия ее компонентов на предмет потенциального использования их для организации скрытого канала. В результате проведения такого анализа должны быть выявлены компоненты системы, в которых потенциально могут быть использованы скрытые каналы.
2. Выявление возможных путей обмена скрытой информацией между нарушителем и его предполагаемым агентом в системе.Данная работа выполняется на основании общей схемы модели функционирования скрытого канала. Следует для каждого из защищаемых активов выявить, какие субъекты имеют к ним доступ и при этом изолированы от внешней среды, но имеют возможность взаимодействовать с отдельными субъектами из внешней среды (при этом необходимо учитывать, что подобного рода взаимодействие контролируется владельцем активов и может наблюдаться потенциальным нарушителем).
3. Оценка опасности выявленных скрытых каналов для защищаемых активов организации. После выявления скрытых каналов следует оценить, насколько они реализуемы и опасны для защищаемых активов организации. Для проведения оценки наиболее критичными показателями являются: объем активов, предполагаемая пропускная способность скрытого канала и временной интервал, в течение которого активы сохраняют ценность. Все параметры поддаются числовому исчислению и могут быть использованы в соответствующих аналитических отчетах. На основании этой оценки каналы, не предоставляющие реальной опасности для активов, признаются неопасными.
4. Принятие решения о целесообразности противодействия каждому из выявленных скрытых каналов (минимизации уровня риска).
В качестве защитных мероприятий предлагается использовать:
При этом необходимо заметить, что выбор методов противодействия угрозам, реализуемым с использованием скрытых каналов определяется, исходя из индивидуальных особенностей той или иной защищаемой системы (топология построения системы, используемых протоколов информационного взаимодействия, особенностей расположения элементов системы и их взаимодействия между собой, выбираемых телекоммуникационных средств и средств защиты информации).
В завершении хотелось бы обратиться к методам выявления скрытых каналов. Согласно ГОСТ предлагается два метода:
Статистический метод выявления скрытых каналов подразумевает сбор статистических данных о пакетах, проходящих через защищаемый участок сети, без внесения в них каких-либо изменений. При этом выявление скрытых каналов может проводиться как в режиме реального времени, так и автономно, используя данные, накопленные за предыдущие отрезки времени.
Метод выявления скрытых каналов на основе сигнатурного анализа аналогичен способу, используемому антивирусным ПО для поиска вредоносных программ. При наличии набора известных реализаций скрытых каналов, для каждой из них формируется сигнатура. В потоке данных проводится поиск таких сигнатур. По результатам этой работы делается вывод об отсутствии или наличии скрытых каналов в системе и варианте его реализации.
Таким образом, подводя итоги, можно заявить, что мы получаем новый виток информационного противостояния «нарушитель — администратор безопасности», который вносит в нашу жизнь как новые технологии и методы нападения, так и новые средства и методы защиты.
Завершить статью хотелось бы такими размышлениями:
Читать полностью »
В 60-х годах прошлого века, начало внедрения информационных систем для бухгалтерского учета в коммерческом секторе, привело к появлению новой профессии в сфере ИТ — ИТ-аудитора. Вскоре была создана первая профессиональная ассоциация ИТ-аудиторов – «Electronic Data Processing Auditors Association», целью которой стала выработка стандартов и лучших практик проведения ИТ-аудита.
С тех пор, важность профессии ИТ-аудитора значительно возросла. Сегодня аудит ИТ-контролей является обязательной частью каждого независимого финансового аудита, услуги ИТ-аудита востребованы на рынке, а крупные корпорации имеют собственные подразделения ИТ-аудита, осуществляющие периодический контроль ИТ-процессов и помогающие их совершенствовать. При этом, следование сложившимся стандартам и лучшим практикам является необходимым условием для проведения аудита наиболее оптимальным образом и высоким качеством.
Целью данной статьи является представление основных актуальных стандартов и руководств в области ИТ-аудита, которые используются при проведении различных типов проверок информационных технологий. Статья в большей степени нацелена на специалистов, начинающих свою карьеру в области ИТ-аудита и информационной безопасности. Также статья может быть интересна и финансовым/внутренним аудиторам, желающим познакомиться с существующими стандартами ИТ-аудита.
В статье рассмотрены стандарты и руководства, разработанные международными организациями ISACA, Институтом Внутренних Аудиторов (IIA), ISO/IEC, IAASB (the International Auditing and Assurance Standards Board), PCAOB, и др. Для каждого из стандартов дается краткое описание структуры и особенностей их использования.
Читать полностью »
Open source разработчик Пол-Хеннинг Камп (Poul-Henning Kamp) обратился к членам HTTP Working Group с призывом выбросить текущие наработки по стандарту HTTP 2.0.
Пол-Хеннинг Камп — автор MD5crypt и большого количества системных компонентов FreeBSD, GBDE, UFS2, malloc и проч. Он считает, что рабочей группе HTTP следует признать поражение — и начать всё заново.
В качестве образцового фиаско Пол-Хеннинг Камп приводит пример SPDY. В классических произведениях по управлению проектами сказано, что «прототип системы всегда нужно выбрасывать», здесь Камп ссылается на Фредерика Брукса и книгу «Мифический человеко-месяц или Как создаются программные системы». По его словам, принятый за основу спецификаций HTTP 2.0 протокол SPDY является именно прототипом.
Читать полностью »
После известной истории с уходом Брендана Айка под давлением ЛГБТ, для Mozilla Firefox настали времена перемен. На мой, субъективный взгляд не в лучшую сторону. Самое время доставать портретики со Столлманом и устраивать шествия. Речь идет внедрении DRM-защиты контента для потокового видео. Андреас Гал, недавно назначенный на должность технического директора Mozilla, поделился планами по внедрению в браузер поддержки спецификаций W3C EME. Эти спецификации описывают DRM-защиту контента, воспроизводимого в виде шифрованного потока. Для этого будет создан проприетарный модуль, расшифровывающий веб-содержимое.
По мнению Гала, Firefox вынужден столь резко менять свою политику свободы и открытости из опасений проиграть в конкуренции с другими браузерами, которые уже активно участвуют в разработке подобных DRM-модулей. В случае, если Firefox решит пойти на принцип и отказаться от поддержки таких решений, его пользователи могут внезапно обнаружить, что такие сервисы как Netflix, Amazon Video, Hulu для них недоступны. Их доля трафика в США составляет 30% от общего объема. Велика вероятность, что среднестатистический юзер не захочет задумываться «почему кино не играет» и просто сменит браузер на альтернативный. Задача Firefox, по мнению нового руководителя, состоит в обеспечении доступа к контенту, хотя это и идет вразрез с философией открытости и свободы Mozilla.
Читать полностью »
.png "Префиксы и постфиксы в PHP (и CSS)")
Ещё давно я взял практику использовать префиксы и постфиксы в PHP и в CSS. Особенно это актуально, когда что-то выходит за рамки локальной видимости и находится в глобальном пространстве, взять те же модели в Yii.
Префиксы и постфиксы несут основную задачу – сделать сущность максимально уникальной, причём настолько, чтобы её можно было без проблем найти любым текстовым редактором. На сегодняшний день IDE поддерживают отличную вещь – «Find Usages» (поиск использований), но это не всегда помогает, и об этом я напишу чуть ниже.
Именование в стиле Венгерской нотации мне не пришлось по душе. Такой подход мне не нравился ещё со времён C++ / Delphi – я считал его избыточном и не всегда понятным. Мне понравилась реализация БЭМ, но в полной мере я её тоже не использую. Я постарался вычленить и объединить наиболее понравившиеся мне методы, о них и расскажу.
