27828
Будни технического директора @samatg (ex-CTO Meduza, Bookmate, RAWG, Pure) https://fedorandsamat.com/ Чатик @ctodailychat Рекламу не продаю
Мы с Федей ищем аккаунт-менеджера и я собеседую ребят.
Учитывая плотность моего календаря и разницу в часовых поясах, согласование времени собеседований — боль.
Есть знаменитый сервис calendly. Шутят, что социальный статус в IT-тусовке определяется тем, кто кому присылает ссылку на calendly для встречи. И причина не только в том, кто под кого подстраивается, но и в том, насколько неудобный это сервис. Он показывает «свободные дни», а при нажатии — список «часов и минут», когда есть «свободные слоты». Приходится сидеть с этим списком и сверять со своим собственным календарем в голове.
Идеальный сервис «шедулинга» накладывает два календаря и показывает пересечения свободных слотов. Ну или хотя бы показывает мне свободные слоты контрагента в виде календаря. Очевидная идея, которую почему-то не реализует «лидер рынка» с оценкой в 3 миллиарда долларов.
И такой сервис есть! Называется он SavvyCal. Почти два года назад его запустил Деррик Реймер. Я наткнулся на него случайно, воспользовался сервисом и мгновенно влюбился. В нем было всё что нужно и ничего лишнего. А ещё его делал единственный основатель-инженер и зарабатывал на этом хорошие деньги. Мечта.
Как хардкорный ранний пользователь, я нашел пару багов, у нас с Дериком завязалась небольшая переписка, я фанат.
Я не написал про этот сервис в канал сразу, потому что я вообще довольно впечатлительный и не хочу бомбардировать вас вещами, в которых я не уверен. За эти полтора года SavvyCal выдержал испытание временем и стал только лучше. Уверенно рекомендую, лучший сервис шедулинга с хорошими корнями и образцовым лендингом.
«Производство современных компьютерных чипов: неотличимо от магии»
Исключительно хороший доклад и отличное видео на выходные.
Я посмотрел ещё меньше половины и вот что мне запомнилось:
- заводы по производству процессоров гигантские - площадью в несколько футбольных полей;
- в них есть «чистые комнаты», в которых пыли в 1000 раз меньше, чем в операционной (и это не фигура речи);
- сначала они выращивают кремниевую трубку - цилиндр диаметром 30 см и длиной в несколько метров. Вся трубка - единый кристалл, то есть атомная решетка идёт ровно от одного конца до другого!
- дальше её нарезают на блинчики толщиной 200 микрометров (толщина волоса - 1 микрометр). Эти блинчики - основа, на которой «рисуют» детальки;
- я пишу рисуют, но размер элементов картины - десятки нанометров (на срезе волоса помещаются тысячи);
- фотолитография (то самое прижигание/выжигание) - это снос башки: сначала делают относительно крупную «маску», через которую светят ультрафиолетом и пропускают картинку через линзу, которая делает луч меньше - таким образом рисунок получается меньше маски (и даже меньше длины волны);
- эти линзы меняют раз в несколько лет из-за износа от бомбардировки фотонами! Представьте, если бы у вас объектив на фотике истерся от света;
- размер картинки такой маленький, что нужно учитывать интерференцию лучей, то есть маска и тень от неё не совпадают. Это значит, что подсчёт маски, дающей необходимую тень - отдельная математическая задача;
- там такие точности, что заметна осцилляция фотонов (!), и используются способы ее компенсации.
Это одно из самых увлекательных выступлений, с максимальной концентрацией лулзов, прямо как про посадку шаттла.
https://youtube.com/watch?v=NGFhc8R_uO4
Телеграм представил свою криптовалюту и сеть TON (Telegram Open Network).
Кроме собственно криптовалюты, обещают (все имена с приставкой TON):
- сеть типа i2p (можно обходить цензуру(!) Proxy);
- распределенное хранилище типа торрентов (Storage);
- некую сеть для децентрализованных приложений и сматр-контрактов (Services);
- аналог сервиса DNS, чтобы не запоминать длинные адреса (DNS);
- платежную систему (Payments).
Насколько я понимаю, во всех случаях, речь идет не о классической полностью децентрализованной системе (такие ещё не научились делать достаточно быстрыми и удобными), но о неком балансе между удобством (в том числе скоростью) и децентрализацией.
Это означает, что телеграм будет иметь власть над этой валютой и этим платформами. Готовы ли будут люди сторговать часть власти на удобство — интересный вопрос. Как власти будут прессовать телеграм применять эту власть, если система «взлетит» — вообще попкорна не напасешься.
Обход сетевых блокировок, быстрые, удобные и дешевые микроплатежы — всё это звучит очень круто. Учитывая, что делают те люди, что запустили vk и tg — думаю, что не облажаются.
Редакция уже предлагают запрограммировать Медузу для этой сети 😂 (а почему бы и нет).
Вот краткое описание TON в картинках (23 страницы) и статья в научном стиле (132 страницы A4).
Подозреваю, что список этих статей генерируется гуглом для каждого пользователя индивидуально, на основе машинного обучения.
Не уверен в этом и буду рад, если кто-то проведет исследование и расскажет.
Если вы видите у себя в источниках трафика домен googleapis.com — не удивляйтесь. Посмотрите на страницу перехода — скорее всего там будет /auth/chrome-content-suggestions.
Это переходы на ваш сайт с «article suggestions» на «новой вкладке» в мобильном Google Chrome.
Пруфы: 1→2.
«Meta-доска» в трелло. Каждая карточка в ней представляет большой проект и содержит в себе ссылку на доску этого проекта. «Взгляд с высоты птичьего полета». Извините, что много блюра — секреты!
Читать полностью…
Если вы пользуетесь ssh и терминалом на маке — вы наверное заметили, что теперь после каждой перезагрузки мак просит ввести пароль от файла ключа. Вот как это починить: https://apple.stackexchange.com/a/264974
Читать полностью…
Воскресная подборка, если хочется почитать:
- восстановление того, что видит человек, по fMRI! (pdf). Довольно огненно, это как если бы шуму вентилятора процессора можно было понять, что на этом процессоре считается (oh wait);
- ещё один side channel attack (в шумихе с процессорами был именно этот тип атаки) — можно понять, что за тобой следит дрон, даже не взламывая шифрование канала связи дрона (по объему передаваемых данных);
- Apple обновил документ по безопасности iOS — канонический пример того, как хорошо рассказать о технологиях;
- очень красивые фотки с завода карандашей (production porn);
- серия из трех видео про мозги, в которых девушка-математик походя объясняет, что такое симплекс;
- безопасники убера заплатил хакеру 100k USD, чтобы тот не говорил об уязвимости, через которую можно было вытащить все личные данные (и никому об этом не сказали). CSO уволили, у всех бомбит.
Игровые автоматы, веселая ферма, фейсбук, другие технологические компании и медиа (г-н Киселев, привет!) эксплуатируют «уязвимости» наших мозгов. Слава богу, мозги людей адаптируются к любым таким «атакам».
Вспомните, что хорошо работавшие ещё год назад «продающие заголовки» сегодня кажутся смешными и почти никто на них не кликает. Есть небольшая группа людей, которые спускают все деньги на игровых автоматах или сидят целыми днями в веселой ферме до сих пор. У большинства же людей, со временем, вырабатывается иммунитет к любым «хакам внимания».
Кори Доктороу в очередной раз четко ухватил дух времени, но, обычно депрессивный, в этой статье предлагает рассмотреть стакан наполовину полным: ни один способ порабощения нашего внимания не вечен.
https://locusmag.com/2018/01/cory-doctorow-persuasion-adaptation-and-the-arms-race-for-your-attention/
Apple передаст данные iCloud китайских пользователей китайской государственной компании 28 февраля.
Apple сделал это, чтобы соответствовать китайскому законодательству о локализации персональных данных.
Apple легко посылал на фиг наши роскомнадзоры, но теперь я не вижу аргументов, которыми они могли бы защитить своих российских пользователей. В свете этих событий очень интересно:
1. насколько хорошо архитектура iCloud защищает от атакущего, контролирующего серверы и ПО iCloud? Стоит перечитать их whitepaper. Я сейчас пробежался глазами, кажется, что большинство сервисов становятся небезопасны;
2. легко ли сменить страну iCloud? Что для этого нужно сделать? Вот инструкция от самого Apple. Кажется, что это — самый правильный вариант защиты. Всё что потребуется — карточка иностранного банка. Китайцам объявили о передаче аккаунтов более чем за месяц (их передадут 28 февраля), так что время у нас будет, но подготовиться лучше заранее;
3. сохранятся ли купленные приложения при смене страны? Кажется, что да. Придется выключить все подписки, но их можно включить потом обратно;
4. когда ожидать этой передачи российских аккаунтов структуре, подконтрольной правительству (какому-нибудь ГУП «Облачные технологии»)? Тут я спокоен — от российских чиновников и подрядчиков инфа утечет за полгода до трансфера. Дело такого масштаба нельзя провернуть за месяц и в одиночку. Утечка будет точно.
Ох, придется теперь объяснять, что «айфоны — самые безопасные, только iCloud русский не включай». Печально, iCloud — очень удобная штука.
Вы лучше посмотрите, как чувак делает HDR фотки в экселе!111
Магия происходит на 07:11
https://www.youtube.com/watch?v=bkQJdaGGVM8
Продолжаем новогодние видео-каникулы.
Первая лекция из вводного курса MIT по программированию, 1986 год. Классика computer science.
Насколько я понимаю, по-русски эту дисциплину принято называть «информатика».
Послушайте, как классно лектор определяет computer science: «Геометрия началась в Египте с восстановления границ участков после разливов Нила. Но геометрия - наука гораздо более глубокая, чем измерение площади. Так же computer science началась с попытки считать всякое с помощью компьютеров, но суть её в стремлении человечества научиться _описывать процессы_.» (Мой вольный пересказ)
Дальше автор за пару минут объясняет основы языка Lisp.
Вот такие лекции по программированию нам нужны!
https://m.youtube.com/watch?v=2Op3QLzMgSY (в ролике можно включить хорошие субтитры, если хотите)
Ну и эпическое видео Proof of Concept (пример-доказательство).
Ролик очень плохого кавера на Hello Адель (зато слова по теме!) передаётся между двумя виртуальными серверами в Amazon AWS через кеш процессора (!) и проигрывается в реальном времени.
https://www.youtube.com/watch?v=yPZmiRi_c-o
Важно, что в этом докладе речь идёт не о взломе или краже данных через процессор - на обоих серверах запущена программа, которая общается с «коллегой» с соседнего сервера через кеш процессора. Если на вашем виртуальном сервере в AWS запускают программы злоумышленники - то факт того, что ваши секретные данные были переданы наружу не через сетевое соединение, а через кеш процессора - не самая большая проблема. Это просто очень мощный пример of things to come.
Полный доклад: https://youtu.be/6bCdFmehMSY
Во всех современных процессорах Intel есть серьезная ошибка безопасности и заплатим за неё мы с вами.
Подробности ошибки находятся под эмбарго. Microsoft выпустила программный патч для Windows в ноябре. Патч к ядру Линукс от группы исследователей из технического университета Граза был окончательно принят разработчиками Linux буквально несколько дней назад. Изменения в исходном коде Linux доступны публике, но из них изъяты комментарии, объясняющие причины происходящего.
🍿🍿🍿
Патчи серьезно замедляют выполнение задач, связанных с большим числом переключения контекстов и прерываний. У одного из экспериментаторов производительность du упала почти в два раза (du — утилита, считающая объем дискового пространства, занятого файлами).
AMD утверждает, что их процессоры не имеют этой ошибки.
Супер разбор ситуации http://pythonsweetness.tumblr.com/post/169166980422/the-mysterious-case-of-the-linux-page-table
Краткий пересказ:
Указанные патчи к ядру Linux включают _kernel page-table isolation_. До этих изменений, таблица страниц (_page table_) ядра (таблица, содержащая схему перевода адресов виртуальной памяти ядра в адреса физической памяти) хранилась вместе с таблицей страниц пользовательского процесса. Пользовательским процессам эта таблица была не доступна. Это хак, но он позволяет не сбрасывать очень дорогие кеши процессора. По всей видимости, существует аппаратная ошибка в процессоре, позволяющая пользовательскому процессу прочитать, что же в этой таблице лежит.
Возможно, это timing attack, в которой измеряется время, необходимое менеджеру памяти процессора (MMU, Memory Management Unit) для того, чтобы получить физический адрес той или иной области памяти. Интересно, что другая команда исследователей из того же университета Граза буквально на днях представила доклад, где показала, как можно узнать адрес js-объекта в памяти из джаваскрипта именно через timing attack на MMU!
Пока я писал эти буквы, исследователь уже написал программу, позволяющую узнать адрес функции ядра в памяти! https://twitter.com/brainsmoke/status/948561799875502080?s=09
Так или иначе, одного этого кажется недостаточным для срочных патчей в режиме «горящей задницы». И тут мы вспоминаем третью недавнюю статью от группы исследователей из университета Граза (!). Есть так называемая Row hammer-атака. Современные DRAM-модули оперативной памяти имеют такую высокую плотность, что при обращении к определенным ячейкам памяти с высокой частотой, можно изменить данные в совершенно других областях памяти. Это происходит из-за электромагнитных наводок (!). В статье исследователи показали новую, более крутую эксплуатацию электромагнитного эффекта и успешно обошли все существующие методы защиты.
Если совместить вместе патч, доклад и факт, что в почтовой переписке разработчиков ядра Linux участвовали разработчики из Google и Amazon (два крупнейших поставщика облаков), разумно предположить, что речь идет об атаке, позволяющей злоумышленнику вылезти из виртуальной машины.
Конечно, речь идет о том, чтобы пропустить верблюда через игольное ушко несколько раз подряд, но хакеры уже не раз показали, на что способен человеческий разум.
Запасаемся попкорном и ждём дальнейших подробностей. 2018 начинается очень интересно.
P.S. Бояться, что эта уязвимость затронет ваш персональный компьютер или телефон я бы пока не стал. Только включите автоматические обновления безопасности, а то будете потом локти кусать.
P.P.S. Ноябрьская новость, что глава Intel продал все свои акции Intel заиграла новыми красками.
Почта России у меня ассоциируется с очередями в отделениях и потерянными посылками. В новом эпизоде подкаста разбираемся, насколько это близко к реальности с техническим директором Почтатеха Николаем Кнышем.
А ещё внутри Коля рассказывает, как они обрабатывают полтора миллиона посылок в день и при этом раскатывают софт на 300 тысяч сотрудников в 12 часовых поясах. 🤯
Слушайте и подписывайтесь: Apple, Google, Яндекс, Spotify, Castbox, Overcast, веб-версия.
Google обновил свою Google Search Console.
Google Webmaster Tools в общем и Google Search Console в частности — самые недооцененные инструменты веб-разработчика и аналитика.
Вот неполный список того, что можно в них посмотреть:
- по каким запросам сайт показывается в поисковой выдаче гугла;
- на каких позициях находятся ваши страницы (и видео);
- какой у этих показов CTR (сколько увидевших ссылку на неё кликнули);
- какие страницы имеют ошибки (404, 500 и прочие);
- какие элементы находятся в мобильной верстке слишком близко, так что на них неудобно кликнуть с телефона (!).
Новая версия Search Console раскатывается постепенно. Дождитесь приглашения на почту, если ссылка выше ещё не показывает ваш сайт.
Поправка (если прочитали пост в первые 10 минут после публикации): обе эти PDF-ки - слитые кем-то документы.
Телеграм их не подтверждал и не комментировал.
Фраза «телеграм представил» - некорректная. Приношу свои извинения.
При этом я верю, что документы аутентичны (хотя возможно их и изменят перед публичным релизом). Подозреваю, что это файлы, которые передали институциональным инвесторам раньше публичного запуска (они смогут купить валюту раньше и со скидкой, это нормальная практика).
Провели поверхностный анализ и поняли, что речь не о тупом алгоритме, в котором «читал Медузу — лови ещё пачку статьей Медузы». Во всяком случае (по данным GA), процент «новых пользователей» пришедших из suggestions равен среднему проценту «новых пользователей» на сайте.
Нейросети. Магия.
Называется этот блок на экране новой вкладки «статьи для вас».
Читать полностью…
Должны были сегодня утром задеплоить проект, но бурятские школьники подкинули онлайн. Сидим теперь ждем понедельника. Каждый занимает себя как может. Боря вот удалил три тысячи строк кода.
Читать полностью…
Мы в Медузе уверенно программируем (и управляем разработкой), когда есть четкая постановка задачи — понимание, описание, макеты, тестовые данные и прочее.
Создаешь трелло доску со столбцами «описание», «разработка», «тестирование», «готово». Заводишь в неё все задачи. Даёшь внутри ссылки на .sketch-файлы. Созваниваешься перед началом проекта, обсуждаешь его голосом. Дальше постоянно контролируешь результат. Главное не забыть, что хотел получить в конечном счете.
Меня беспокоит этап, когда разработка формально ещё не началась. Собрать требования, разобраться в документации, разбить проблему на меньшие части, понять, что мы можем себе позволить, а что нет — всё это большая работа. В ней участвует не только разработка, но и дизайнеры и редакция. Сейчас эта работа делается ad-hoc, без «единого источника правды». Из-за этого возникает несколько связанных между собой проблем: 1. сложно оценить объем работы (сколько было/сколько сделано/сколько осталось) 2. сложно её делегировать (делать вместе) и делиться результатом 3. задачи теряются и забываются.
В такой формулировке, решение очевидно — использовать на этом шаге разработки те же инструменты, что и для основного программирования/тестирования. Уложить всё в трелло, разбить на задачи, назначить ответственных, вести переписку внутри.
Попробуем сделать это с несколькими следующими проектами. Расскажу потом, что получилось.
Спасибо большое Боре Горячеву, что заметил проблему и указал на решение.
Помните, у издателей бомбило от того, что из результатов поиска AMP-страницы открываются не с оригинального сайта, а с адресов (и серверов) Google.com?
Дело в том, что отдавать страницы с серверов Google быстрее по двум причинам: 1) ни у кого нет так много компьютеров на всех континентах, как у Google 2) можно сделать предзагрузку результатов поиска.
Второй пункт важен — гугл в фоне предзагружает AMP-страницы первых 2-3 результатов поиска, так что при клике они открываются мгновенно. Если бы страницы предзагружались с серверов издателей — те могли бы палить, кто нашел их сайт через Google, даже если читатель не кликнул на их сайт.
И вот, Google придумал решение. Это новый формат архива, в который можно сложить всё, что нужно для открытия страницы в офлайне (картинки, стили, скрипты, etc.). Что-то типа MHTML, только для 2018 (в этом формате, например, есть поддержка цифровых подписей). Называется эта штука Web Packaging Format. Если у вас аллергия на RFC (я их обожаю), то вот explainer на гитхабе.
Для нормального использования, это должно работать во всех крупных браузерах. Google контролирует Chrome, но есть ведь Safari. В этот раз Google пошел не путем уговоров Apple, но решил сам запилить поддержку WPF в Webkit (это open source основа Safari).
Понятно, что Google делает это для CDN. Тем не менее, потенциально это означает, что можно будет «перекинуть страницу на флешку» / «через ватсап» (или что там у нас тогда будет в моде) и сайт нормально откроется даже без интернета. Мечты...
Возможность делать хорошие packaged web apps может подточить ультимативную власть апстора. Очень интересно, что из этого получится.
Paw.cloud — самый крутой способ делиться API-запросами в команде. Paw — лучший клиент для тестирования API (только под мак).
Переделываем пуши в Firebase. Нужно сначала написать, а потом протестировать разные запросы. Без Paw это заняло бы гораздо больше времени, чем с ним.
Пример крутой фичи: легко включить бесчеловечную Oauth 2 JWT-авторизацию и добавлять (и обновлять) токен при каждом запросе. А уж версионирование и однокнопочная синхронизация проекта внутри команды — магия.
Paw.cloud стоит 10$ на члена команды в месяц. Одноразовая лицензия на клиент без синхронизации — 50$.
Google обновил в ноябре Firebase Cloud Messaging — одну из самых крутых систем для рассылки пуш-уведомлений в мобильные приложения и браузеры (при этом — бесплатную!).
В новой версии API можно в едином сообщении указать два разных payload; клиент получит свою версию в зависимости от платформы — iOS или Android. Ура! Ложка дёгтя: авторизация теперь богопротивным Oauth2 JWT.
P.S. Документация у Firebase — тихий ужас :(
P.P.S. Никогда не собирайте тестовые приложения с продакшен-ключами. Я сегодня таким макаром отправил в продакшен iOS Медузы тестовый пуш. Слава богу, не в канал «breaking». Слава богу, что тексты тестовых пуши — копии недавних легитимных, а не «тестовый пуш, йоу» или «alert('fuck')». Храни вас бог при тестировании пушей и почтовых рассылок. Аминь.
Рекламная сеть Criteo понизила ожидания прибыли на 1/5. В прошлом году они заработали 730 миллионов долларов.
Всему виной «умная блокировка cookies» (Intelligent tracking prevention), которую Apple недавно ввела в свой браузер.
Cледить за пользователем смогут только те сайты, которые этот пользователь посещает.
Как это работает? Если Safari определяет (классификация методами машинного обучения прямо на устройстве), что куки сайта используются для трекинга пользователя, то он начинает блокировать доступ к этим кукам. Для внешних сайтов (third-party) — уже через сутки после последнего посещения основного сайта, а через месяц вообще удаляет эту куку.
Интересно, что это не затронет Google и Facebook, ведь на эти сайты мы заходим почти каждый день. Прямо по Матфею (25:29): …ибо всякому имеющему дастся и приумножится, а у неимеющего отнимется и то, что имеет.
Google обещает включить блокировщик рекламы, но он, в отличие от Apple, был разработан совместно с рекламным рынком. Chrome будет блокировать только «надоедливую рекламу», типа полноэкранных баннеров. Преследовать вас по всему интернету кошельком, который вы искали в магазине неделю назад гуглу кажется недостаточно надоедливым.
Кстати, раз уж про рекламу: жду, когда GDPR заработает в полную силу. Это правила, по которым сайтам придется явно рассказывать, для чего они собираются использовать информацию о вас. Посмотрите разбор GDPR от pagefair, это адуха. Уж проще не собирать данные вовсе. Интересно, смогут ли чиновники Евросоюза заставить этот закон работать в полную силу? Если смогут — онлайн рекламщиков ожидают времена.
Написал утром пост про очередную историю [1] [2], как разработчики удалили свои библиотеки в NPM и другие чуваки смогли загрузить другой код вместо легитимных библиотек. Вы посмотрите, какие эмоции испытывали разработчики.
Это как если бы вам в аптеке по рецепту на трамал выдали цианистый калий. Поставщики болеутоляющего решили закрыть бизнес, а другие бизнесмены теперь поставляют цианистый калий под тем же названием.
Позавчера вышел проникновенный пост про это в стиле хоррор. Якобы, есть библиотека, которая крадет пароли пользователей с сотни популярных сайтов.
Но это всё происходит раз в месяц и уже набило оскомину.
Гугл наконец-то опубликовал нормальный разбор «что делать», а то PR-опусы как исследователей безопасности (мы всё умрём) так и Intel (ничего не происходит) надоели.
Коротко: гугл починил у себя все три уязвимости и не заметил проседания производительности в продакшене.
Детали: CVE-2017-5753 нужно фиксить отдельно в каждом бинарнике, способном выполнять недоверенный код (читай браузеры, ОС и прочий JIT) — они не пишут, как именно это нужно делать; CVE-2017-5715 чинится обновлением CPU или перекомпиляцией важных бинарников (ОС и гипервизоры) компилятором, умеющим хитрый хак (Google назвал этот хак Retpoline и опубликовал его для GCC и LLVM); CVE-2017-5754 чинится обновлением ОС. Обратите внимание, что гугл не называет эти баги именами собственными, видимо не хочет добавлять хайпа.
Продолжение истории — чуваки уже смогли эксплуатировать CVE-2017-5753 в Firefox для кражи паролей из джаваскрипта. Mozilla выпустил обновление только что.
Вчера ночью сняли эмбарго с информации об уязвимостях процессоров.
Как мы и ожидали, речь идёт о несанкционированном доступе к оперативной памяти. Грубо говоря, каждая программа на компьютере живет в своем изолированном мире. Используя эти уязвимости, программа-злоумышленник может подсмотреть, что там происходит у соседей.
Это страшно «облакам», суть которых как раз в том, что программы разных людей делят один физический сервер. Сейчас модно называть такой подход виртуализацией. Речь идёт о более эффективном расходовании серверов: если две программы (два клиента) могут поместиться на один физический сервер - так и делаем. Принципиальное обещание «виртуализации» в том, что ваши данные так же защищены, как если бы они были на отдельном сервере. Ага.
Самих дыр не достаточно - нужно сочетание многих условий для того, чтобы извлечь из неё какую-либо «выгоду». Думаю, многие «исследователи» в кавычках и без занимаются этим вопросом прямо сейчас. Будет ли идти речь о таргетированных атаках, когда отсифонят секретные данные конкретной жертвы и используют их для дальнейших этапов атаки или о каких-то «массовых изъятиях денег у населения» - пока говорить рано. Поживём-увидим. (Я бы назвал эти уязвимости popcorn time)
Теоретически, этим атакам подвержены и наши персональные компьютеры и даже смартфоны. В софте регулярно находят ошибки, которыми пользуются злоумышленники в своих программах. Теоретически, эта ошибка на порядок больше остальных, но одной дырой больше, одной меньше, принципиальной разницы я пока не вижу. На деле, если вас угораздило запустить программу злоумышленника на своём компьютере или телефоне, вам все равно более-менее хана.
Строго говоря, речь идёт о 3 уязвимостях: bounds check bypass CVE-2017-5753, branch target injection CVE-2017-5715 и rogue data cache load CVE-2017-5754.
Интересно, что их одновременно нашли две независимые групп исследователей. Первая - звездный Project Zero из Google. Они отправили письма производителям процессоров ещё 1 июня (!) 2017. Вторая - группа исследователей из универов. Project Zero опубликовал классный технический разбор, а университеты максимально отработали PR-сторону, нагнав страху на массовую аудиторию «дизайнерским лендингом».
Боюсь показаться занудой, но включите автоматические обновления на всех своих устройствах. Против третьей из этих уязвимостей уже выпустили заплатки все крупнейший операционные системы, а по поводу первых двух CVE мы увидим ещё много обновлений самых разных программ. Применение патчей безопасности не должно требовать вмешательства пользователя, а Карфаген должен быть разрушен.
Представьте, вы получили секретный документ. Как не запалить источник?
Как и в других ситуациях связанных с безопасностью, представим себе на месте противника.
Какие есть способы пометить документ?
Начнем с простого: при печати, современные принтеры добавляют невидимые невооруженному глазу точки. Если ваш источник распечатал документ на работе и противник получил высококачественные сканы или оригиналы бумаг — источник сгорел. Решение — распознавать текст, никогда не выкладывать сканы.
Если говорить о цифровой передаче, то есть несколько механизмов. Самый кондовый — умышленно допустить разные орфографические ошибки в разных версиях файла. Вариант поизощреннее - заменять буквы на похожие. Кириллическую (русскую) букву «а» сложно отличить на глаз от латинской (английской) буквы «a», но это разные символы. Даём каждому потенциальному источнику «утечки» файл с уникальными заменами и потом смотрим, какая версия оказалась в паблике. У этого способа есть недостаток — компьютерная проверка орфографии живо выявит все такие «метки».
Сегодня я наконец-то увидел в паблике гораздо более крутой способ, основанный на «символах нулевой ширины». Вот самые известные: разделитель нулевой ширины, нужный, чтобы две буквы не «слиплись» в лигатуру; пробел нулевой ширины, порой используемый для расстановки «точек желаемого переноса»; и соединитель нулевой ширины, который, как ни странно, соединяет две буквы, которые иначе бы не слиплись (используется, например, в арабском).
Как вы уже наверное догадались, эти символы можно щедро расставить в тексте (даже автоматически, на каждое скачивание секретного файла отдавать его с уникальным «цифровым отпечатком»), и потом точно определить источник утечки. Я только что проверил популярные типографы, все они оставляют эти символы нетронутыми.
Добрый человек уже написал скрипт для очистки текстов от этих символов. Вообще, есть гарантированный способ избавиться от всех этих меток: распечатать секркетный текст, отсканировать и распознать его обратно. Ну или перенабрать интересующий кусочек руками.
Вариант, когда в тексте заменяются слова на синонимы тоже имеет право на жизнь. Существует специализированный софт, который автоматизирует эти вещи.
Для желающих позалипать в википедию - вот релевантная статья про «canary trap».
