Коллектив Авторов - Цифровой журнал «Компьютерра» № 221

С тех про прошло полгода, за которые авторы не слишком баловали новостями о ходе работ даже своих инвесторов. Обновления о статусе аудита выходили крайне редко и обычно служили простым уведомлением: мы живы и тратим ваши деньги вместе с нанятыми специалистами.

Серьёзный сдвиг с мёртвой точки произошёл только в минувший понедельник. На сайте проекта появился отчёт компании iSEC, подписанный двумя экспертами в области безопасности (ещё четверо указаны как рецензенты).

К настоящему времени в последней версии (7.1a) удалось обнаружить одиннадцать уязвимостей, четыре из которых признаны угрозами среднего уровня. 

Среди них слабый алгоритм деривации ключа-заголовка, возможность выгрузки конфиденциальной информации из стека ядра, различные проблемы в декомпрессоре загрузчика и использование драйвером ядра Windows ненадёжной функции memset для очистки области памяти, содержащей конфиденциальные данные.

Главные уязвимости TrueCrypt 7.1a (изображение: opencryptoaudit.org).

«Исходный код [утилиты TrueCrypt] для загрузчика и драйвера ядра Windows не соответствует принятым стандартам безопасности, — сказано в отчёте. — Это обусловлено использованием небезопасных или устаревших функций, несовместимых типов переменных и так далее».

Все найденные уязвимости подробно разобраны на тридцати двух страницах документа. По мнению аналитиков, их практическое использование представляет собой довольно сложную задачу, поэтому рядовым пользователям не стоит отказываться от TrueCrypt лишь по этой причине. Каких-то намеренно созданных программных закладок, ослабляющих криптографическую защиту, аудит не выявил. 

Их отсутствие подтверждается и сравнением готовых бинарных файлов с теми, которые участники аудита компилировали самостоятельно из исходных кодов. Подобрав подходящие опции сборки, им всё-таки удалось получить идентичный результат.

«Результаты проверки пока не пугают меня, — сообщает профессор Грин в интервью изданию Ars Technica. — Хотя качество кода оказалось не столь уж высоким, ничего страшного в нём нет, и это обнадеживает».

Создание зашифрованного раздела в Mac OS X с помощью TrueCrypt (изображение: truecrypt.org).

В следующем году утилита TrueCrypt может отметить своё десятилетие, однако её авторы до сих пор остаются в тени. Отдельные следы ведут то в Чехию, то в штат Невада, но не приводят к реально существующим людям.

Профессор Грин связался с Дэвидом Морганом, от имени которого размещаются обновления на сайте TrueCrypt.com. Собеседник выразил интерес к результатам аудита и признал наличие как минимум одной уязвимости.

«Предполагалось, что TrueCrypt защитит вас от некоторых проблем, а не будет гарантированно надёжным средством, как этого хотелось бы некоторым», — ответил он.

Теперь команда Open Crypto Audit Project приступает ко второй фазе аудита — непосредственной проверке в разных сценариях атак криптостойкости файловых контейнеров и дисковых разделов, защищённых с помощью TrueCrypt.

К оглавлению

Опубликовано 15 апреля 2014

Сегодня, 15 апреля, Google начинает продажи своих очков расширенной реальности Glass. Правда, по цене в $1 500 плюс налоги, только в США и всего на один день. Но даже если трудности не пугают, не расстраивайтесь, если упустите эту возможность. Во-первых, сегодня же «стартуют» и киберочки Moverio BT-200 от Epson — чуть более громоздкие, но едва ли менее функциональные (ОС Android) и всего за $700. Во-вторых, всё говорит о том, что ближайшие год-два-три станут переломными не только для киберочков, но и вообще для класса носимой электроники: мы на пороге бума носимых компьютеров — и, пережив его, вероятно, отведём им столь же значительную роль в нашей жизни, какую до сих пор отводили разве что телефону.

Если помните, носимые компьютеры (именуемые в английском «wearables») отличаются от прочих компьютеров — мобильных смартфонов и планшеток, портативных ноутбуков, стационарных десктопов — не столько подвижностью, сколько степенью участия в жизни пользователя. Прочие компьютеры активны только тогда, когда мы уделяем им внимание. Носимые же должны быть активны постоянно и впитывать реальность вместе с человеком, помогать нам каждую секунду в этой самой реальности разбираться.

Ещё десять лет назад wearables были если не фантастикой, то уж точно не более чем объектом научного интереса (вспомните Стива Манна). Но за последние пару лет носимые выскочили из лабораторий и запрыгнули на прилавок либо заявили планы попасть туда в самом скором времени.

Сегодня на массовом рынке имеется или готовится множество устройств, без сомнения подпадающих под определение носимых компьютеров. И киберочки — далеко не самый яркий образчик этого племени: их, в конце концов, пока мало кто щупал, так что о практической пользе и даже пригодности можно только гадать. Зато браслеты самоквантования — они же «трекеры» — расходятся как горячие пирожки. И «умные часы» успели стать культовым продуктом — и это ещё до того, как ими занялись легендарные бренды вроде Apple, Adidas, Lululemon (да, по прогнозам, самые востребованные смартвочи будут делать производители, к электронике имеющие отношение далёкое или вовсе никакое, зато умеющие создать особую ауру вокруг своей продукции и имён). Вот кто создал таинственные браслеты, которыми светит теперь Will.i.am — хвастаясь, что даже телефон ему уже не нужен?

Короче говоря, самое время подвести промежуточный итог — и в последние несколько недель это было сделано. IDC пообещала носимым устройствам 18 миллионов отправленных на реализацию экземпляров за 2014 год (втрое больше, чем годом ранее) и более ста миллионов штук в 2018-м. А вот ABI Research уже в этом году обещает 90 миллионов поставленных wearables — и полмиллиарда в год к 2018-му. Почему такая разница в прогнозах? Из-за размытости понятий и сырости рынка. Важнее, впрочем, что оба агентства сходятся в прогнозируемых темпах роста: десятки процентов ежегодно! Сходятся они в целом и в классификации, но у IDC получилось, на мой взгляд, более удачно. Её аналитики подразделили носимые компьютеры на три класса: сложные аксессуары, «умные» аксессуары и «умные» носимые устройства.

Кстати, перебирая варианты, отметьте для себя носимые компьютеры, вставляемые в ухо. Их готовы носить лишь чуть более 10 процентов опрошенных на улице, но вот среди специалистов бытует мнение, что именно hearables будут править бал носимых. Их главное достоинство — незаметность для окружающих. На рынке таких устройств пока нет, но «прицениться» можно, например, по свежему научно-фантастическому фильму «Она» (Her). 

К сложным аксессуарам причислены трекеры а-ля Jawbone UP, Fitbit, Moov. В IDC считают, что именно этот класс устройств благодаря своей дешевизне (психологическая отметка $100) и простоте будет «определять погоду» на рынке wearables почти всю следующую пятилетку, являясь самым востребованным. Но уже с 2018 года ему на пятки станут наступать «умные» аксессуары: цифровые устройства, всё ещё зависимые от смартфонов, но уже не столь функционально ограниченные, способные исполнять свои приложения. Их типичные представители: «умные» часы а-ля Pebble и Galaxy Gear. Отставание их определено более высокой ценой (грубо — $300), но также и тем, что практическую полезность смартвочей — в отличие от трекеров — ещё только предстоит доказать.

Наконец, «умные» носимые устройства — способные работать самостоятельно, без смартфонов, либо требующие спаривания с мобильным телефоном только для доступа в Сеть — пойдут последними, с весьма медленным, пологим стартом. Типичный их представитель это Google Glass. IDC обещает им через пару лет всего 2-миллионные продажи в год, ABI чуть более оптимистично предрекает 7 миллионов с хвостиком.

Естественно, всё это лишь предположения. Как распределятся роли между носимыми компьютерами в ближайшем будущем, никто доподлинно не знает. Но прогнозы строят, опираясь не только на цену или степень отшлифованности технологии, учитываются также результаты соцопросов. Ведь ничто не мешает спросить человека с улицы, на какой части тела он предпочёл бы носить воображаемое цифровое устройство, которое было бы для него полезным и производителю которого он бы доверял. И такие опросы проводятся — с результатами не всегда ожидаемыми. Скажем, киберочки согласится носить лишь каждый десятый. «Умные» часы — уже каждый четвёртый. А вот идея прикреплённого к одежде или вшитого в неё носимого компьютера привлекает почти каждого второго.