Русский
Русский
English
Статистика
Реклама

Исследования и прогнозы в it

Уязвимости и вредоносный код в системах промышленной автоматизации

07.09.2020 20:15:27 | Автор: admin
Разработанные 15-20 лет назад средства промышленной автоматизации практически не содержали функций обеспечения безопасности. За прошедшие десятилетия на предприятиях накопился целый парк оборудования с неустранимыми архитектурными недостатками, доступными для эксплуатации киберпреступниками. В этом посте рассказываем об уязвимостях промышленных систем автоматизации и приводим рекомендации по улучшению ситуации.

image


В 2019 году мы обнаружили в интернете магазин, распространяющий программное обеспечение для тяжёлых промышленных машин. Мы скачали некоторые из этих приложений и провели их реверс-инжиниринг, чтобы понять, как они работают. Их код был написан на одном из проприетарных языков программирования, использовавшихся для автоматизации промышленных роботов, которые собирают автомобили и упаковывают пищевые продукты на конвейерах. В одном из этих приложений обнаружилась уязвимость, с которой и началось наше исследование Rogue Automation: Vulnerable and Malicious Code in Industrial Programming.

Изучив технические детали и слабые места восьми наиболее популярных сред промышленного программирования (ABB, Comau, Denso, Fanuc, Kawasaki, Kuka, Mitsubishi и Universal Robots), мы выяснили, что эти языки можно использовать для создания вредоносов-червей, которые будут перемещаться с одного уязвимого робота на другой, подчиняясь дистанционным командам своих операторов.

Обнаруженные недостатки результат выбора дизайна, созданного несколько десятилетий назад. Эти решения определили технологию, методы и инструменты, которые до сих пор используются для программирования промышленного оборудования. Рассмотрим последствия такого выбора в контексте современных киберугроз.

Кража данных у робота


Мы обнаружили реальный случай уязвимого веб-сервера, реализованного в виде приложения для запуска на промышленном роботе. Веб-сервер, написанный на языке ABB Rapid, содержал уязвимость обхода путей, которая позволяла злоумышленнику подключиться к роботу по сети и копировать любые файлы с контроллера робота, включая журналы работы. Такие файлы с большой вероятностью содержат различные конфиденциальные данные и ноу-хау, поэтому их можно выгодно реализовать на подпольных рынках.

Если злоумышленнику удастся взломать компьютер в той же сети, что и робот, он сможет подключиться к веб-серверу контроллера под видом агента, запросить интересующий его файл и получить его без авторизации, поскольку программа выполняет любые запросы от агента.

image
Фрагмент кода уязвимого приложения. Источник (здесь и далее, если не указано иное): Trend Micro

В строке 493 вызывается функция sendFile для отправки запрошенного файла клиенту. Строка pageString никак не фильтруется, поэтому может содержать .../ или другой путь. Это позволяет выполнить обход файловой системы и скачать практически любой файл.

image
Схема эксплуатации уязвимости

Примечательным в этом случае оказался комментарий, оставленный разработчиком уязвимого веб-сервера в коде. Он знал о том, что написанный им код уязвим, но не сделал ничего для устранения проблемы, потому что предполагал, что все запросы будут поступать от правильного браузера, который будет проверять вводимые данные и не допустит передачи в обработчик строки типа ...\\...\\:

image
Фрагмент кода с комментарием разработчика о том, что санитизацию данных должен выполнять браузер

Подмена команд роботу по сети


Эксплуатация некоторых уязвимостей может привести к последствиям в физическом мире, например, причинить вред готовым изделиям или даже окружающим людям.
В open-source проекте для промышленных роботов Kuka мы обнаружили уязвимость, которая позволяет изменить траекторию движения подвижной части. Программа получает поток координат по сети и передаёт их исполнительному механизму, который выполняет заданные перемещения. Для этого используется специальный класс процедур серверы автоматизации движения. Это стандартный интерфейс, который позволяет OEM-производителям промышленных роботов обеспечить единый способ управления перемещением их изделий.

image
Уязвимый код сервера автоматизации движения не содержит никаких проверок на легитимность переданных ему данных

Код сервера никак не проверяет, откуда поступила очередная порция координат для перемещения робота, в нём не предусмотрена внутренняя аутентификация. Единственной защитой является проверка MAC-адреса и IP-адреса отправителя, любой из которых может быть с лёгкостью подделан проникшим в сеть злоумышленником.
На нашем лабораторном стенде мы убедились, что, используя спуфинг, можно фальсифицировать трафик между роботом и инженерной рабочей станцией. Злоумышленник мог посылать произвольные координаты, а робот просто выполнял их, что на реальном производстве привело бы к несчастному случаю.
Внедряя в трафик сетевые пакеты с неверными координатами, мы смогли несколько раз вытолкнуть манипулятор за пределы зоны безопасности и ударить рукой робота по физическому объекту. В результате рука, с помощью которой робот подбирает объекты, отвалилась:

image
Отвалившаяся рука робота результат внедрения небезопасных координат в трафик

Динамические вредоносы


Эта разновидность атаки предполагает, что робот работает под управлением программы, написанной системным интегратором, которая считается доверенной. В реальности любая созданная интегратором программа считается доверенной и разворачивается без проверок кода на безопасность.
Скомпрометировав интегратора или заменив программу в уязвимом сетевом хранилище, можно незаметно внедрить в сеть предприятия вредоносный код: добавить загрузчик, который скачивает нужный злоумышленнику модуль и запускает его на выполнение как часть стандартного производственного цикла.

image
Загрузчик вредоноса, написанный на языке программирования для промышленных роботов

Для проверки этой концепции мы написали дроппер на языке программирования для промышленных роботов и убедились, что для загрузки кода в контроллер робота и его выполнения может быть использована внешняя программа. Получив управление, такая программа может выполнять дальнейшие вредоносные действия, собирая информацию о сетевой инфраструктуре, похищая файлы и учётные данные.

Необычная RCE-уязвимость


Одной из наших находок стала вполне допропорядочная программа, которая запускает на исполнение функции, имена которых получает по сети. Для их исполнения она использует динамическую загрузку кода, но при этом не интересуется, что именно она запускает: в программе не предусмотрена проверка целостности загружаемых библиотек.

image
Уязвимая логика работы добропорядочного приложения

image
Фрагмент кода, реализующий уязвимую логику.

Хотя сама по себе программа не содержит вредоносных функций, злоумышленник может воспользоваться ей, чтобы отдавать команды роботу в нужный ему момент, оказывая влияние на физический мир.

Венец творения червь-вредонос


Для демонстрации серьёзности обнаруженных проблем мы разработали программу с функцией саморазмножения и автоматического обновления, динамической загрузкой кода с управляющего сервера и возможностью удалённого управления. Проверочная программа также может выполнять сетевое сканирование, передавать на управляющий сервер произвольные файлы, вести список заражённых устройств и выполнять функции бота.

image
Логика работы PoC-программы, имитирующей работу реального вредоноса

image
Формирование списка найденных файлов и его отправка на управляющий сервер

Источник проблем


Проанализировав восемь популярных языков программирования для промышленной автоматизации, разработанных в прошлые десятилетия, мы пришли к выводу, что основная причина выявленных и потенциальных уязвимостей состоит в том, что эти языки содержат низкоуровневые средства для доступа к системным ресурсам. И хотя эти средства сами по себе не являются чем-то опасным, злоумышленники могут использовать их не по прямому назначению, критически повлияв на безопасность робота, его оператора и подключённых систем. Например, с их помощью можно перемещать манипулятор вверх, поднимать заготовку, опускать манипулятор вниз и освобождать заготовку.
Этот богатый набор сложных функций даёт инженерам-технологам свободу при разработке прикладных программ, в которых они могут получать данные из сети читать и записывать файлы. Однако, поскольку платформы не реализуют защищённый доступ к этим расширенным возможностям, злоумышленники могут использовать их для написания вредоносных модулей.
Другая проблема устаревших языков для промышленной автоматизации (Industrial Robots Programming Language, IRPL), доставшихся в наследство вместе с оборудованием, состоит в том, что для них не существует средств проверки кода на небезопасные паттерны, подобных инструментарию для C, C++, C#, Java, PHP и Python.
Каждый OEM-производитель создаёт свои собственные языки и среду, в которой будут выполняться целевые программы. Некоторые из них основаны на операционных системах реального времени (RTOS), но в целом стандартизации не существует. Семантика каждого IRPL также уникальна и может существенно отличаться от семантики языков программирования общего назначения. Некоторые возможности, например, для манипулирования строками или криптографических операций, в IRPL либо отсутствуют, либо не настолько развиты, как в традиционных языках.
Главные источники уязвимостей в программах, написанных на IRPL, три основные функции:
работа с файлами и каталогами,
динамическая загрузка модулей и вызов функций по имени,
сетевые функции приём и передача данных внешним системам.

image
Доступные в IRPL опасные функции

Как защититься


Как и любое программное приложение, работающее с недоверенными данными, системы промышленной автоматизации должны разрабатываться, внедряться, конфигурироваться и развёртываться с соответствующими механизмами безопасности.

image
Сводные рекомендации по обеспечению безопасности программ для промышленной автоматизации

Следовательно, при написании таких программ необходимо руководствоваться следующими принципами:
воспринимайте промышленных роботов как компьютеры, а прикладные программы для них как чрезвычайно ответственный код;
аутентифицируйте все коммуникации;
реализуйте политики контроля доступа;
внедряйте проверку входных данных везде, где это применимо;
обеспечьте постоянную санитизацию выходных данных;
при обработке ошибок не раскрывайте ненужные технические детали;
создавайте правильные конфигурации и процедуры развёртывания;
внедрите процессы управления изменениями для кода промышленной автоматизации.

Старые или умные?


В то время, как разработчики традиционного ПО десятки лет сражаются с последствиями небезопасного программирования и вырабатывают различные методики, обеспечивающие победу, мир промышленной автоматизации оказался неподготовленным к обнаружению и предотвращению эксплуатации уязвимостей.
Учитывая темпы конвергенции IT/OT, необходимо в приоритетном порядке внедрять в индустрию промышленной автоматизации методы разработки безопасного кода. В противном случае ближайшие несколько лет могут принести нам множество сообщений об инцидентах в сфере промышленности, причём последствия этих инцидентов будут проявляться не только в киберпространстве, но и в физическом мире.
Подробнее..

Исследование Acronis Cyber Readiness сухой остаток от COVIDной самоизоляции

10.09.2020 12:19:55 | Автор: admin

Привет, Хабр! Сегодня мы хотим подвести небольшой итог ИТ-изменениям в компаниях, которые произошли, в результате пандемии коронавируса. Летом мы провели большой опрос среди ИТ-менеджеров и удаленных работников. И сегодня делимся с вами результатами. Под катом информация об основных проблемах информационной безопасности, набирающих обороты угрозах и методах борьбы с киберпреступниками во время всеобщего перехода на удаленную работу со стороны организаций.

Сегодня в той или иной мере каждая компания работает в новых условиях. Часть сотрудников (в том числе совершенно не готовых к этому) была переведена на удаленную работу. А многим ИТ-шникам пришлось организовывать работу в новых условиях, причем без необходимых для этого инструментов. Чтобы выяснить, как все это прошло, мы в Acronis провели опрос 3 400 ИТ-менеджеров и удаленных сотрудников из 17 стран. Для каждой страны 50% участников опроса были членами корпоративных ИТ-команд, а остальные 50% сотрудниками, которые вынуждены были перейти на удаленную работу. Чтобы картина получилась более общей респонденты были приглашены из разных секторов государственных и частных структур. Почитать исследование полностью можно здесь, а мы пока остановимся на самых интересных выводах.

Пандемия это дорого!

Результаты опроса показали, что 92,3% компаний вынуждены были применять новые технологии для перевода сотрудников на удаленную работу во время пандемии. И во многих случаях потребовалась не только новая подписка, но также затраты на внедрение, интеграцию и защиту новых систем.

В числе наиболее популярных решений, которые пополнили перечень корпоративных ИТ-систем:

  • Для 69% компаний это стали средства совместной работы (Zoom, Webex, Microsoft Teams и т.д.), а также корпоративные системы работы с общими файлами

  • 38% добавили решений для обеспечения приватности (VPN, шифрование)

  • 24% расширили системы безопасности для конечных точек (антивирус, 2FA, оценка уязвимостей, управление патчами)

При этом в 72% организаций отметили непосредственны рост ИТ-затрат за время пандемии. Для 27% расходы на ИТ значительно увеличились, и только каждая пятая компания смогла перераспределить бюджет сохранив расходы на ИТ неизменными. Из числа всех принявших участие в опросе компаний, только 8% сообщили о снижении стоимости их ИТ-инфраструктуры, что, вероятно, связано с масштабными увольнениями. Ведь чем меньше конечных точек, тем ниже стоимость обслуживания всей инфраструктуры.

И только 13% всех удаленных работников по всему миру сообщили, что не используют ничего нового. В основном это были сотрудники компаний из Японии и Болгарии.

Больше атак на средства коммуникаций

В целом количество и частота атак за первую половину 2020 года заметно выросло. При этом 31% компаний как минимум один раз в день подвергались атаке. 50% участников опроса отметили, что за последние три месяца на них производились атаки как минимум раз в неделю. При этом 9% компаний атаковали каждый час, а 68% хотя бы один раз за это время.

При этом 39% компаний столкнулись с атаками именно на системы видеоконференций. И это не удивительно. Взять один только Zoom. Количество пользователей платформы за пару месяцев выросло с 10 миллионов до 200 миллионов. А пристальный интерес хакеров привело к обнаружению критических уязвимостей ИБ. Уязвимость нулевого дня обеспечивала атакующему полный контроль над ПК под управлением Windows. А во время высокой нагрузки на сервера скачать обновление удавалось не всем и не сразу. В частности поэтому мы реализовали в Acronis Cyber Protect средства защиты платформ для совместной работы, таких как Zoom и Webex. Идея заключается в том, чтобы автоматически проверять наличие и устанавливать новейшие исправления в режиме Patch Management.

Интересное расхождение ответов показало, что не все компании продолжают контролировать свою инфраструктуру. Так, 69% удаленных работников начали использовать средства коммуникации и коллективной работы с момента начала пандемии. Но только 63% ИТ-менеджеров сообщили о внедрении подобных инструментов. Это значит, что 6% удаленных работников используют свои серые ИТ-системы. И риск утечки информации при такой работе максимален.

Формальные меры безопасности

Фишинговые атаки оказались самыми распространенными для всех вертикалей, что полностью соответствует данным наших предыдущих исследований. Тем временем атаки вредоносного ПО по крайней мере те, которые были обнаружены заняли последнее место в рейтинге опасностей по мнению ИТ-менеджеров: их отметили только 22% опрошенных.

С одной стороны это хорошо, ведь значит увеличения расходов компаний на защиту конечных точек дало свои результаты. Но при этом первую строчку в числе самых актуальных угроз 2020 года занимает фишинг, достигший за время пандемии своего максимума. И при этом только 2% компаний выбирают корпоративные решения ИБ с функцией фильтрации URL, тогда как на антивирусах фокусируются 43% компаний.

26% участников опроса отметили, что оценка уязвимостей и управление патчами должны быть ключевыми особенностями в их корпоративном решении для защиты конечных точек. Среди прочих предпочтений 19% хотят получить встроенные возможности резервного копирования и восстановления, а 10% средства для мониторинга и управления конечными точками.

Низкий уровень внимания к противодействию фишингу, вероятно, объясняется выполнением требований определенных регламентов и рекомендаций. Во многих компаниях подход к безопасности остается формальным и адаптируется к реальному ландшафту ИТ-угроз только вместе с нормативными требованями.

Выводы

По итогам проведенного исследования эксперты по безопасности Acronis Cyber Protection Operations Center (CPOC ) отметили, что несмотря на расширение практики удаленной работы сегодня компании продолжают испытывать проблемы с безопасностью из-за уязвимых серверов (RDP, VPN, Citrix, DNS и т.д.), слабых техник аутентификации и недостаточного мониторинга, в том числе, удаленных конечных точек.

Тем временем, защита периметра как метод ИБ уже осталась в прошлом, а парадигма #WorkFromHome скоро превратится в #WorkFromAnywhere и станет основным вызовом безопасности.

Судя по всему, будущий ландшафт киберугроз будут определять не более сложные, а более обширные атаки. Уже сейчас любой начинающий пользователь сможет получить доступ к наборам для создания вредоносного ПО. И с каждым днем готовых хакерских комплектов разработки становится все больше.

Во всех отраслях сотрудники продолжают демонстрировать низкий уровень осведомленности и желания следовать протоколам безопасности. И в условиях удаленной работы это создает корпоративным ИТ-командам дополнительные проблемы, решить которые можно только с использованием комплексных систем безопасности. Именно поэтому система Acronis Cyber Protect была разработана специально с учетом требований рынка и нацелена на комплексную защиту в условиях отсутствия периметра. Российская версия продукта будет выпущена компанией Акронис Инфозащита в декабре 2020.

О том, как чувствуют себя на удаленке сами сотрудники, с какими проблемами сталкиваются и хотят ли продолжать работать работать из дома, мы расскажем в следующем посте. Так что не забудьте подписаться на наш блог!

Подробнее..

Подборка самых интересных инцидентов в области ИБ за август 2020

11.09.2020 10:13:26 | Автор: admin

Привет, Хабр!

Рексофт рассказывает про самые интересные взломы и атаки за август. Подборка не включает инциденты по сливам баз данных и не претендует на полную картину всех мировых ИБ-инцидентов. Предлагаем вашему вниманию то, что показалось нам самым значимым.

Canon

Хакеры атаковали компанию с помощью ПО Maze. Атака нарушила работу электронной почты, Microsoft Teams и официального сайта Canon вСША. Хакерам удалось проникнуть винфраструктуру компании, азатем похитить изашифровать более 10 Тб данных, среди которых есть иконфиденциальные.

Веб сайт компании в СШАВеб сайт компании в СШАОфициальное заявление компанииОфициальное заявление компании

Чуть позже журналисты изданияBleeping Computerсообщили, что хакеры начали публиковать на своем сайте информацию, ранее похищенную у компании. Опубликованный файл представляет собой архив STRATEGICPLANNINGpart62.zip объемом 2,2 ГБ.

Опубликованный файлОпубликованный файл

Источники:

Системы быстрых платежей (СБП)

Как сообщил ЦБ, злоумышленники через уязвимость в одной из банковских систем получили данные счетов клиентов. Затем они запускали мобильное приложение в режиме отладки, авторизовались как реальный клиент, отправляли запрос на перевод средств в другой банк, вместо своего счета отправителя средств указывали номер счета другого клиента этого банка. ДБО, не проверив, принадлежит ли указанный счет отправителю, направляло в СБП команду на перевод средств, который она и осуществила. Таким образом, мошенники отправляли себе деньги с чужих счетов.

"Проблема была выявлена в программном обеспечении одного банка (мобильное приложение и ДБО) и носила краткосрочный характер. Она была оперативно устранена", - прокомментировали в регуляторе. Названия банка в ЦБ не раскрыли.

Источник: новость на kommersant.ru.

SANS Institute

Хакеры после удачной фишинговой рассылки получили доступ к почтовому ящику сотрудника организации SANS Institute, которая занимается обучением специалистов по кибербезопасности. Фишинговое письмо было замаскированно под уведомление об общем доступе к файлу через SANS SharePoint, после клика открывалась страница для ввода учетной записи и пароля и устанавливалось зловредное ПО.

Фишинговое письмоФишинговое письмо

На своем сайте SANS Institute сообщили, что скомпрометированные данные включали информацию об адресах электронной почты, должности, имени и фамилии, названии компании, сфере деятельности и стране проживания лиц, зарегистрированных для участия в SANS Digital Forensics & Incident Response (DFIR) Summit. Дополнительно было сообщено, что утечка не затронула пароли и финансовую информацию (номера кредитных карт).

Источники:

Carnival Corporation

Крупнейшая в мире мультинациональная круизная туристическая компания подверглась кибератаке. Злоумышленники получили доступ к системам и зашифровали файлы на пострадавших машинах. Предположительно злоумышленники проникли всеть компании спомощью уязвимости CVE-2019-19781 насерверах Citrix. Ряд специалистов сообщил, что могла быть использована уязвимость CVE-2020-2021, которая обнаружена в PAN-OS (операционная система) на брандмауэрах производства Palo Alto Networks.

Источник:bleepingcomputer.com

Konica Minolta

Работа сервисов была нарушена в течение недели из-за кибератаки. Речь идёт об атаке шифровальщика RansomEXX, который на неделю вывел из работы сайт mykmbs.com. Через этот портал производится поддержка продуктов корпорации. Что интересно, злоумышленники оставили файл readme.txt и указали, что компания может отправить один файл на расшифровку бесплатно, но за остальные потребовали плату.

Многие данные на серверах и ПК компании были зашифрованы, и к этим файлам было добавлено расширение .K0N1M1N0.

Файл readme.txt оставленный злоумышленниками.Файл readme.txt оставленный злоумышленниками.

Источник:bleepingcomputer.com

Подробнее..

Loki 1.8 досье на молодой и подающий надежды Data Stealer

16.09.2020 12:14:05 | Автор: admin


В середине июня борьба с коронавирусом в Казахстане была в самом разгаре. Встревоженные ростом числа заболевших (тогда заразился даже бывший президент Нурсултан Назарбаев), местные власти решились вновь позакрывать все торгово-развлекательные центры, сетевые магазины, рынки и базары. И в этот момент ситуацией воспользовались киберпреступники, отправившие по российским и международным компаниям вредоносную рассылку.

Опасные письма, замаскированную под обращение министра здравоохранения Республики Казахстан, перехватила система Threat Detection System (TDS) Group-IB. Во вложении письма находились документы, при запуске которых на компьютер устанавливалась вредоносная программа из семейства Loki PWS (Password Stealer), предназначенная для кражи логинов и паролей с зараженного компьютера. В дальнейшем злоумышленники могут использовать их для получения доступа к почтовым аккаунтам для финансового мошенничества, шпионажа или продать на хакерских форумах.

В этой статье Никита Карпов, аналитик CERT-GIB, рассматривает экземпляр одного из самых популярных сейчас Data Stealerов Loki.

Сегодня мы рассмотрим одну из популярных версий бота 1.8. Она активно продается, а админ панель можно найти даже в открытом доступе: здесь.

Пример админ-панели:



Loki написан на языке C++ и является одним из самых популярных ВПО, используемых для похищения пользовательской информации с зараженного компьютера. Как и бич нашего времени вирусы-шифровальщики Data Stealer после попадания на компьютер жертвы с очень большой скоростью выполняют поставленную задачу ему не надо закрепляться и повышать свои привилегии в системе, он практически не оставляет времени на защиту от атаки. Поэтому в событиях с ВПО, которое похищает пользовательские данные, главную роль играет расследование инцидента.

Распаковка и получение работоспособного дампа ВПО


Распространение в большинстве случаев происходит через вложения в рассылках писем. Пользователь под видом легитимного файла загружает и открывает вложение, запуская работу ВПО.

По маркеру инжекта можно предположить о наличии Loader.


С помощью DIE получаем информацию, что исходный файл написан на VB6.


График энтропии свидетельствует о большом количестве зашифрованных данных.


При запуске первый процесс создает дочерний, совершает инжект и завершает свою работу. Второй процесс отвечает за работу ВПО. После небольшого промежутка времени останавливаем работу процесса и сохраняем дамп памяти. Чтобы подтвердить, что внутри дампа находится Loki, ищем внутри url командного центра, который в большинстве случаев оканчивается на fre.php.


Выполняем дамп фрагмента памяти, содержащего Loki, и производим корректировку PE-заголовка.

Работоспособность дампа проверим с помощью системы TDS Huntbox.


Функционал бота


В процессе исследования декомпилированного кода ВПО находим часть, содержащую четыре функции, идущие сразу после инициализации необходимых для работы библиотек. Разобрав каждую из них внутри, определяем их назначение и функциональность нашего ВПО.


Названия функций для удобства были переименованы в более информативные.
Функционал бота определяется двумя главными функциями:

  1. Data Stealer первая функция, отвечающая за похищение данных из 101 приложения и отправку на сервер.
  2. Downloader запрос от CnC (Command & Control) команд для исполнения.

Для удобства в таблице, приведенной ниже, представлены все приложения, из которых исследуемый экземпляр Loki пытается похитить данные.
ID функции Приложение ID функции Приложение ID функции Приложение
1 Mozilla Firefox 35 FTPInfo 69 ClassicFTP
2 Comodo IceDragon 36 LinasFTP 70 PuTTY/KiTTY
3 Apple Safari 37 FileZilla 71 Thunderbird
4 K-Meleon 38 Staff-FTP 72 Foxmail
5 SeaMonkey 39 BlazeFtp 73 Pocomail
6 Flock 40 NETFile 74 IncrediMail
7 NETGATE BlackHawk 41 GoFTP 75 Gmail notifier pro
8 Lunascape 42 ALFTP 76 Checkmail
9 Google Chrome 43 DeluxeFTP 77 WinFtp
10 Opera 44 Total Commander 78 Martin Prikryl
11 QTWeb Browser 45 FTPGetter 79 32BitFtp
12 QupZilla 46 WS_FTP 80 FTP Navigator
13 Internet Explorer 47 Mail Client configuration files 81 Mailing
(softwarenetz)
14 Opera 2 48 Full Tilt Poker 82 Opera Mail
15 Cyberfox 49 PokerStars 83 Postbox
16 Pale Moon 50 ExpanDrive 84 FossaMail
17 Waterfox 51 Steed 85 Becky!
18 Pidgin 52 FlashFXP 86 POP3
19 SuperPutty 53 NovaFTP 87 Outlook
20 FTPShell 54 NetDrive 88 Ymail2
21 NppFTP 55 Total Commander 2 89 Trojit
22 MyFTP 56 SmartFTP 90 TrulyMail
23 FTPBox 57 FAR Manager 91 .spn Files
24 sherrod FTP 58 Bitvise 92 To-Do Desklist
25 FTP Now 59 RealVNC
TightVNC
93 Stickies
26 NexusFile 60 mSecure Wallet 94 NoteFly
27 Xftp 61 Syncovery 95 NoteZilla
28 EasyFTP 62 FreshFTP 96 Sticky Notes
29 SftpNetDrive 63 BitKinex 97 KeePass
30 AbleFTP 64 UltraFXP 98 Enpass
31 JaSFtp 65 FTP Now 2 99 My RoboForm
32 Automize 66 Vandyk SecureFX 100 1Password
33 Cyberduck 67 Odin Secure FTP Expert 101 Mikrotik WinBox
34 Fullsync 68 Fling
На этом этапе завершен статический анализ ВПО и в следующем разделе рассмотрим, как Loki общается с сервером.

Сетевое взаимодействие


Для записи сетевого взаимодействия необходимо решить две проблемы:

  1. Командный центр доступен только на момент проведения атаки.
  2. Wireshark не фиксирует коммуникации бота в loopback, поэтому нужно пользоваться другими средствами.

Самое простое решение переадресовать адрес CnC, с которым Loki будет устанавливать коммуникацию, на localhost. Для бота сервер теперь доступен в любое время, хоть и не отвечает, но для записи коммуникаций бота это и не нужно. Для решения второй проблемы воспользуемся утилитой RawCap, которая позволяет записать в pcap необходимые нам коммуникации. Далее записанный pcap будем разбирать уже в Wireshark.


Перед каждой коммуникацией бот проверяет доступность CnC и, если он доступен открывает socket. Все сетевые коммуникации проходят на транспортном уровне по протоколу TCP, а на прикладном используется HTTP.

В таблице ниже представлены заголовки пакета, которые стандартно использует Loki.
Поле Значение Описание
User-agent Mozilla/4.08 (Charon; Inferno) Характерный юзерагент для Loki
Accept */*
Content-Type application/octet-stream
Content-Encoding binary
Content-Key 7DE968CC Результат хеширования предыдущих заголовков (хеширование происходит кастомным алгоритмом CRC с полиномом 0xE8677835)
Connection close
Обратим внимание на body пакета:

  1. Структура записанных данных зависит от версии бота, и в более ранних версиях отсутствуют поля, которые отвечают за опции шифрования и компрессии.
  2. По типу запроса сервер определяет, как обрабатывать полученные данные. Существует 7 типов данных, которые может прочитать сервер:
    • 0x26 Похищенные данные кошельков
    • 0x27 Похищенные данные приложений
    • 0x28 Запрос команд от сервера
    • 0x29 Выгрузка похищенного файла
    • 0x2A POS
    • 0x2B Данные кейлоггера
    • 0x2C Скриншот
  3. В исследованном экземпляре присутствовали только 0x27, 0x28 и 0x2B.
  4. В каждом запросе есть общая информация о боте и зараженной системе, по которой сервер идентифицирует все отчеты по одной машине, а после идет информация, которая зависит от типа запроса.
  5. В последней версии бота реализовано только сжатие данных, а поля с шифрованием заготовлены на будущее и не обрабатываются сервером.
  6. Для сжатия данных используется открытая библиотека APLib.

При формировании запроса с похищенными данными бот выделяет буфер размером 0x1388 (5000 байт). Структура запросов 0x27 представлена в таблице ниже:
Смещение Размер Значение Описание
0x0 0x2 0x0012 Версия бота
0x2 0x2 0x0027 Тип запроса (отправка похищенных данных)
0x4 0xD ckav.ru Binary ID (также встречается значение XXXXX11111)
0x11 0x10 - Имя пользователя
0x21 0x12 - Имя компьютера
0x33 0x12 - Доменное имя компьютера
0x45 0x4 - Разрешение экрана (ширина и высота)
0x49 0x4 -
0x4D 0x2 0x0001 Флаг прав пользователя (1, если администратор)
0x4F 0x2 0x0001 Флаг идентификатора безопасности (1, если установлен)
0x51 0x2 0x0001 Флаг разрядности системы (1, если x64)
0x53 0x2 0x0006 Версия Windows (major version number)
0x55 0x2 0x0001 Версия Windows (minor version number)
0x57 0x2 0x0001 Дополнительная информация о системе (1 = VER_NT_WORKSTATION)
0x59 0x2 -
0x5B 0x2 0x0000 Отправлялись ли похищенные данные
0x5D 0x2 0x0001 Использовалось ли сжатие данных
0x5F 0x2 0x0000 Тип сжатия
0x61 0x2 0x0000 Использовалось ли шифрование данных
0x63 0x2 0x0000 Тип шифрования
0x65 0x36 - MD5 от значения регистра MachineGuid
0x9B - - Сжатые похищенные данные
Второй этап взаимодействия с сервером начинается после закрепления в системе. Бот отправляет запрос с типом 0x28, структура которого представлена ниже:

Размер буфера: 0x2BC (700 байт)
Смещение Размер Значение Описание
0x0 0x2 0x0012 Версия бота
0x2 0x2 0x0028 Тип запроса (запрос команд от командного центра)
0x4 0xD ckav.ru Binary ID (также встречается значение XXXXX11111)
0x11 0x10 - Имя пользователя
0x21 0x12 - Имя компьютера
0x33 0x12 - Доменное имя компьютера
0x45 0x4 - Разрешение экрана (ширина и высота)
0x49 0x4 -
0x4D 0x2 0x0001 Флаг прав пользователя (1, если администратор)
0x4F 0x2 0x0001 Флаг идентификатора безопасности (1, если установлен)
0x51 0x2 0x0001 Флаг разрядности системы (1, если x64)
0x53 0x2 0x0006 Версия Windows (major version number)
0x55 0x2 0x0001 Версия Windows (minor version number)
0x57 0x2 0x0001 Дополнительная информация о системе (1 = VER_NT_WORKSTATION)
0x59 0x2 0xFED0
0x5B 0x36 - MD5 от значения регистра MachineGuid
После запроса бот ожидает получить ответ от сервера, содержащий количество и сами команды. Возможные варианты команд получены с помощью статического анализа декомпилированного кода ВПО и представлены ниже.

Размер буфера: 0x10 (16 байт) + 0x10 (16 байт) за каждую команду в пакете.
HTTP- заголовок (начало данных) \r\n\r\n [0D 0A 0D 0A] 4 байта
Суммарная длина данных - - 4 байта
Количество команд 2 [00 00 00 02] 4 байта
Команда Пропускаемые байты
4 байта
Команды
4 байта
Пропускаемые байты
4 байта
Длина передаваемой строки
4 байта
Передаваемая строка
(пример)
#0
Загрузка и запуск EXE-файла
[00 00 00 00] [00 00 00 00] [00 00 00 00] [00 00 00 23] www.notsogood.site/malicious.exe
#1
Загрузка библиотеки DLL
[00 00 00 00] [00 00 00 01] [00 00 00 00] [00 00 00 23] www.notsogood.site/malicious.dll
#2
Загрузка EXE-файла
[00 00 00 00] [00 00 00 02] [00 00 00 00] [00 00 00 23] www.notsogood.site/malicious.exe
#8
Удаление базы данных хешей (HDB file)
[00 00 00 00] [00 00 00 08] [00 00 00 00] [00 00 00 00] -
#9
Старт кейлоггера
[00 00 00 00] [00 00 00 09] [00 00 00 00] [00 00 00 00] -
#10
Похищение данных и отправка на сервер
[00 00 00 00] [00 00 00 0A] [00 00 00 00] [00 00 00 00] -
#14
Завершение работы Loki
[00 00 00 00] [00 00 00 0E] [00 00 00 00] [00 00 00 00] -
#15
Загрузка новой версии Loki и удаление старой
[00 00 00 00] [00 00 00 0F] [00 00 00 00] [00 00 00 23] www.notsogood.site/malicious.exe
#16
Изменение частоты проверки ответа от сервера
[00 00 00 00] [00 00 00 10] [00 00 00 00] [00 00 00 01] 5
#17
Удалить Loki и завершить работу
[00 00 00 00] [00 00 00 11] [00 00 00 00] [00 00 00 00] -

Парсер сетевого трафика


Благодаря проведенному анализу у нас есть вся необходимая информация для парсинга сетевых взаимодействий Loki.

Парсер реализован на языке Python, на вход получает pcap-файл и в нем находит все коммуникации, принадлежащие Loki.

Для начала воспользуемся библиотекой dkpt для поиска всех TCP-пакетов. Для получения только http-пакетов поставим фильтр на используемый порт. Среди полученных http-пакетов отберем те, что содержат известные заголовки Loki, и получим коммуникации, которые необходимо распарсить, чтобы извлечь из них информацию в читаемом виде.

for ts, buf in pcap:    eth = dpkt.ethernet.Ethernet(buf)    if not isinstance(eth.data, dpkt.ip.IP):        ip = dpkt.ip.IP(buf)    else:        ip = eth.data     if isinstance(ip.data, dpkt.tcp.TCP):        tcp = ip.data        try:            if tcp.dport == 80 and len(tcp.data) > 0:  # HTTP REQUEST                if str(tcp.data).find('POST') != -1:                    http += 1                    httpheader = tcp.data                    continue                else:                    if httpheader != "":                        print('Request information:')                         pkt = httpheader + tcp.data                        httpheader = ""                        if debug:                            print(pkt)                        req += 1                        request = dpkt.http.Request(pkt)                        uri = request.headers['host'] + request.uri                        parsed_payload['Network']['Source IP'] = socket.inet_ntoa(ip.src)                        parsed_payload['Network']['Destination IP'] = socket.inet_ntoa(ip.dst)                        parsed_payload_same['Network']['CnC'] = uri                        parsed_payload['Network']['HTTP Method'] = request.method                         if uri.find("fre.php"):                            print("Loki detected!")                        pt = parseLokicontent(tcp.data, debug)                        parsed_payload_same['Malware Artifacts/IOCs']['User-Agent String'] = request.headers['user-agent']                         print(json.dumps(parsed_payload, ensure_ascii=False, sort_keys=False, indent=4))                        parsed_payload['Network'].clear()                        parsed_payload['Compromised Host/User Data'].clear()                        parsed_payload['Malware Artifacts/IOCs'].clear()                        print("----------------------")            if tcp.sport == 80 and len(tcp.data) > 0:  # HTTP RESPONCE                resp += 1                if pt == 40:                    print('Responce information:')                    parseC2commands(tcp.data, debug)                    print("----------------------")                    pt = 0        except(dpkt.dpkt.NeedData, dpkt.dpkt.UnpackError):            continue

Во всех запросах Loki первые 4 байта отвечают за версию бота и тип запроса. По этим двум параметрам определяем, как будем обрабатывать данные.

def parseLokicontent(data, debug):    index = 0     botV = int.from_bytes(data[0:2], byteorder=sys.byteorder)    parsed_payload_same['Malware Artifacts/IOCs']['Loki-Bot Version'] =  botV     payloadtype = int.from_bytes(data[2:4], byteorder=sys.byteorder)    index = 4    print("Payload type: : %s" % payloadtype)    if payloadtype == 39:        parsed_payload['Network']['Traffic Purpose'] =  "Exfiltrate Application/Credential Data"        parse_type27(data, debug)    elif payloadtype == 40:        parsed_payload['Network']['Traffic Purpose'] = "Get C2 Commands"        parse_type28(data, debug)    elif payloadtype == 43:        parsed_payload['Network']['Traffic Purpose'] = "Exfiltrate Keylogger Data"        parse_type2b(lb_payload)    elif payloadtype == 38:        parsed_payload['Network']['Traffic Purpose'] = "Exfiltrate Cryptocurrency Wallet"    elif payloadtype == 41:        parsed_payload['Network']['Traffic Purpose'] = "Exfiltrate Files"    elif payloadtype == 42:        parsed_payload['Network'].['Traffic Purpose'] = "Exfiltrate POS Data"    elif payloadtype == 44:        parsed_payload['Network']['Traffic Purpose'] = "Exfiltrate Screenshots"     return payloadtype

Следующим в очереди будет разбор ответа от сервера. Для считывания только полезной информации ищем последовательность \r\n\r\n, которая определяет конец заголовков пакета и начало команд от сервера.

def parseC2commands(data, debug):    word = 2    dword = 4    end = data.find(b'\r\n\r\n')    if end != -1:        index = end + 4        if (str(data).find('<html>')) == -1:            if debug:                print(data)            fullsize = getDWord(data, index)            print("Body size: : %s" % fullsize)            index += dword            count = getDWord(data, index)            print("Commands: : %s" % count)            if count == 0:                print('No commands received')            else:                index += dword                for i in range(count):                    print("Command: %s" % (i + 1))                     id = getDWord(data, index)                    print("Command ID: %s" % id)                    index += dword                     type = getDWord(data, index)                    print("Command type: %s" % type)                    index += dword                     timelimit = getDWord(data, index)                    print("Command timelimit: %s" % timelimit)                    index += dword                     datalen = getDWord(data, index)                    index += dword                     command_data = getString(data, index, datalen)                    print("Command data: %s" % command_data)                    index += datalen        else:            print('No commands received')    return None

На этом заканчиваем разбор основной части алгоритма работы парсера и переходим к результату, который получаем на выходе. Вся информация выводится в json-формате.

Ниже представлены изображения результата работы парсера, полученные из коммуникаций различных ботов, с разными CnC и записанные в разных окружениях.

Request information:Loki detected!Payload type: 39Decompressed data: {'Module': {'Mozilla Firefox'}, 'Version': {0}, 'Data': {'domain': {'https://accounts.google.com'}, 'username': {'none@gmail.com'}, 'password': {'test'}}}{'Module': {'NppFTP'}, 'Version': {0}, 'Data': {b'<?xml version="1.0" encoding="UTF-8" ?>\r\n<NppFTP defaultCache="%CONFIGDIR%\\Cache\\%USERNAME%@%HOSTNAME%" outputShown="0" windowRatio="0.5" clearCache="0" clearCachePermanent="0">\r\n    <Profiles />\r\n</NppFTP>\r\n'}}{    "Network": {        "Source IP": "-",        "Destination IP": "185.141.27.187",        "HTTP Method": "POST",        "Traffic Purpose": "Exfiltrate Application/Credential Data",        "First Transmission": true    },    "Compromised Host/User Data": {},    "Malware Artifacts/IOCs": {}}

Выше представлен пример запроса на сервер 0x27 (выгрузка данных приложений). Для тестирования были созданы аккаунты в трех приложениях: Mozilla Firefox, NppFTP и FileZilla. У Loki существует три варианта записи данных приложений:

  1. В виде SQL-базы данных (парсер сохраняет базу данных и выводит все доступные строки в ней).
  2. В открытом виде, как у Firefox в примере.
  3. В виде xml-файла, как у NppFTP и FileZilla.

Request information:Loki detected!Payload type: 39No data stolen{    "Network": {        "Source IP": "-",        "Destination IP": "185.141.27.187",        "HTTP Method": "POST",        "Traffic Purpose": "Exfiltrate Application/Credential Data",        "First Transmission": false    },    "Compromised Host/User Data": {},    "Malware Artifacts/IOCs": {}}

Второй запрос имеет тип 0x28 и запрашивает команды от сервера.

Responce information:Body size: 26Commands: 1Command: 1Command ID: 0Command type: 9Command timelimit: 0Command data: 35

Пример ответа от CnC, который отправил в ответ одну команду на старт кейлоггера. И последующая выгрузка данных кейлоггера.

Request information:Loki detected!Payload type: : 43{    "Network": {        "Source IP": "-",        "Destination IP": "185.141.27.187",        "HTTP Method": "POST",        "Traffic Purpose": "Exfiltrate Keylogger Data"    },    "Compromised Host/User Data": {},    "Malware Artifacts/IOCs": {}}

В конце работы парсер выводит информацию, которая содержится в каждом запросе от бота (информацию о боте и о системе), и количество запросов и ответов, связанных с Loki в pcap-файле.

General information:{    "Network": {        "CnC": "nganyin-my.com/chief6/five/fre.php"    },    "Compromised Host/User Description": {        "User Name": "-",        "Hostname": "-",        "Domain Hostname": "-",        "Screen Resolution": "1024x768",        "Local Admin": true,        "Built-In Admin": true,        "64bit OS": false,        "Operating System": "Windows 7 Workstation"    },    "Malware Artifacts/IOCs": {        "Loki-Bot Version": 18,        "Binary ID": "ckav.ru",        "MD5 from GUID": "-",        "User-Agent String": "Mozilla/4.08 (Charon; Inferno)"    }}Requests: 3Responces: 3 


Полный код парсера доступен по ссылке: github.com/Group-IB/LokiParser

Заключение


В этой статье мы ближе познакомились с ВПО Loki, разобрали его функционал и реализовали парсер сетевого трафика, который значительно упростит процесс анализа инцидента и поможет понять, что именно было похищено с зараженного компьютера. Хотя разработка Loki все еще продолжается, была слита только версия 1.8 (и более ранние), именно с этой версией специалисты по безопасности сталкиваются каждый день.

В следующей статье мы разберем еще один популярный Data Stealer, Pony, и сравним эти ВПО.

Indicator of Compromise (IOCs):


Urls:

  • nganyin-my.com/chief6/five/fre.php
  • wardia.com.pe/wp-includes/texts/five/fre.php
  • broken2.cf/Work2/fre.php
  • 185.141.27.187/danielsden/ver.php
  • MD5 hash: B0C33B1EF30110C424BABD66126017E5
  • User-Agent String: Mozilla/4.08 (Charon; Inferno)
  • Binary ID: ckav.ru
Подробнее..

Трудности перевода уязвимости шлюзов промышленных протоколов

16.09.2020 20:14:52 | Автор: admin
Языковой барьер существует не только между айтишниками и пользователями. Умные производства и компьютеры, управляющие ими, также не способны общаться между собой без переводчиков специализированных шлюзов промышленных протоколов. В этом посте мы расскажем о слабых местах шлюзов протоколов и о том, как злоумышленники могут использовать их, чтобы нанести вред предприятиям.

image


Шлюз протоколов небольшое устройство, обеспечивающее критически важную трансляцию команд между станками, датчиками, различными исполнительными механизмами и компьютерами, на которых работают заводы, плотины, электростанции и промышленные предприятия. Эти шлюзы напоминают домашние роутеры: они также имеют несколько интерфейсов, подключённых к разным сетям, и точно так же уязвимы для различных атак. Если такое устройство выйдет из строя, связь между системами управления и машинами прекращается. Операторы не будут видеть, что происходит. По сути, они даже не смогут определить, работают ли машины, турбины или генераторы в безопасном режиме. Даже если что-то явно не так, неисправность шлюза не позволит оператору отдать команду на запуск или остановку процессов.

Подобная ситуация имела быть в декабре 2015 года во время атаки на украинскую электросеть: злоумышленники получили доступ к центру управления электросетями и отключили шлюзы протоколов на подстанциях, загрузив на них повреждённую прошивку. Это заблокировало все попытки инженеров энергосистемы восстановить работу, поскольку команды от систем управления на замыкание автоматических выключателей не могли быть переданы.

В отчёте об инциденте, составленном SANS ICS (подразделение американской образовательной и исследовательской организации SANS Institute по изучению индустриальных систем управления) и Центром анализа и обмена информации в области электроснабжения (E-ISAC структура, объединяющая участников рынка электроснабжения Северной Америки), повреждение прошивки шлюзов протоколов назвали взрывом мостов. Это очень точно описывает произошедшее, поскольку злоумышленники уничтожили ключевое звено трансляторы, которые как раз и выступают в роли моста между контроллерами и подстанциями.
image
Структура взаимодействия сети управления и сети исполнения. Источник (здесь и далее, если не указано иное): Trend Micro

Из-за своего расположения шлюз протокола может стать самым слабым звеном в цепочке устройств промышленного объекта, а злоумышленник может напасть на такие устройства по двум важным причинам:
1. Шлюзы вряд ли попадут под инвентаризацию критически важных активов, которые будут контролироваться агентом безопасности или системой регистрации. Следовательно, меньше вероятность того, что атака будет замечена.
2. Проблемы трансляции трудно диагностировать, поэтому ошибки в проектировании шлюзов протоколов позволяют продвинутым злоумышленникам проводить очень скрытые атаки.

Виды шлюзов


По режиму работы можно выделить два семейства шлюзов:
1) шлюзы реального времени (Real-time gateways) пересылают трафик по мере поступления каждый входящий пакет сразу же оценивается, переводится и пересылается; представители: Nexcom NIO50, Schneider Link 150, Digi One IA;
2) станции передачи данных (Data Stations) работают асинхронно, используя таблицу соответствия интерфейсов, не ждут запроса на чтение для получения данных от подключённого ПЛК, а регулярно запрашивают у него ПЛК обновления состояний и хранят полученные данные во внутреннем кэше для выдачи по запросу.

Вторая важная характеристика шлюзов протоколов тип протоколов, которые они поддерживают и преобразуют. По этому свойству устройства можно сгруппировать по трём категориям:
1) шлюзы, которые транслируют внутри одного протокола, например, Modbus TCP в Modbus RTU, в терминах обычного перевода это подобно переводу разговорного английского языка на английский язык, записанный с помощью шрифта Брайля;
2) шлюзы, которые выполняют трансляцию между различными протоколами внутри одного физического уровня, например, Modbus RTU Profibus, оба протокола последовательные, это можно сравнить с переводом письменного текста с немецкого на английский язык;
3) шлюзы, транслирующие команды между разными протоколами и физическими уровнями, например, Modbus TCP Profibus, аналог перевода с английского устного на немецкий текст, записанный с помощью шрифта Брайля.

В исследовании Lost in Translation: When Industrial Protocol Translation Goes Wrong мы изучали уязвимости шлюзов первой группы. Для этого мы собрали тестовый стенд, состоящий из следующих компонентов:
фаззер, который генерирует входящий трафик для тестируемого шлюза например, при тестировании трансляции с Modbus TCP на Modbus RTU, fuzzer генерирует тестовые случаи Modbus TCP,
шлюз изучаемое устройство,
симулятор устройство, имитирующее приёмную станцию, например, ПЛК, реализующий Modbus RTU ведомого устройства, он необходим, потому что некоторые шлюзы протоколов могут работать некорректно, если в цепочке нет ведомого устройства,
сниффер, собирающий информацию об исходящем трафике, т. е. о транслируемом протоколе,
анализатор входящего и исходящего трафика.
image
Структурная схема тестового стенда для изучения уязвимостей шлюзов протоколов

image
Реальный тестовый стенд

Для моделирования основного узла Modbus мы использовали открытое программное обеспечение QmodMaster, а для моделирования ведомого устройства pyModSlave, адаптировав его для наших потребностей, таких как получение данных из /dev/ttyUSB0.
Для перехвата трафика мы использовали Wireshark для Modbus TCP и IONinja для Modbus RTU. Мы написали специальные парсеры для преобразования вывода этих двух программ в общий синтаксис, понятный нашему анализатору.
Фаззер мы реализовали на основе BooFuzz, добавив в него некоторые модули проекта Boofuzz-modbus, распространяемого под лицензией Apache. Мы сделали фаззер портируемым для различных протоколов ICS, и использовали его для тестирования нескольких реализаций Modbus.
Вот некоторые разновидности атак, которые мы обнаружили, изучая различные шлюзы протоколов:
атака на транслятор протокола,
повторное использование учётных данных и дешифровка конфигурации,
амплификация трафика,
эскалация привилегий.

Атака на транслятор протокола


Шлюзы реального времени транслируют пакеты из одного протокола в другой, заменяя заголовки исходного протокола на заголовки целевого протокола. Шлюзы разных производителей по-разному обрабатывают некорректные пакеты. Некоторые из них, например, при получении пакета с неверно указанной длиной, вместо корректировки длины или сброса транслируют его как есть. Эта особенность позволяет тщательно спроектировать пакет неправильной длины для Modbus TCP так, чтобы после трансляции в Modbus RTU он сохранил корректность. При этом если читать его как Modbus RTU пакет, он будет иметь совершенно другое значение по сравнению с Modbus TCP эквивалентом.
image
Атакующий пакет: в Modbus TCP он содержит команду чтения регистра, но в Modbus RTU это уже команда записи нескольких битовых ячеек

При разборе этого пакета с семантикой Modbus TCP, он интерпретируется как команда на чтение входного регистра (Function Code 04) из блока с ID=3. Но в семантике Modbus RTU, он интерпретируется как запись нескольких битовых ячеек (Function Code 15 и 0F) в блок с ID=1.
Данная уязвимость является критической, поскольку совершенно невинный запрос на чтение превращается в команду на запись из-за того, что шлюз протокола неправильно обрабатывает пакет. Продвинутый злоумышленник может использовать эту уязвимость для обхода специализированного межсетевого экрана для промышленных сетей, который блокирует команды на запись с IP-адресов, не входящих в белый список.
В результате всего одной команды достаточно, чтобы, например, отключить датчики контроля работоспособности и безопасности двигателя (датчик температуры и тахометр), оставив при этом двигатель включённым. Если инженеры и операторы не заметят этого, двигатель может уже перейти в критический режим и выйти из строя, однако никто об этом не узнает, поскольку термометр и тахометр были деактивированы.

Повторное использование учётных данных и дешифровка конфигурации


Шлюзы Moxa используют проприетарный протокол при общении с программой удалённого управления MGate Manager. При запуске MGate Manager инженеру предлагается ввести имя пользователя и пароль для доступа к шлюзу протокола, после чего McGate Manager автоматически сбрасывает конфигурацию, чтобы пользователь мог изменить настройки. Когда полевой инженер завершает настройку шлюза протоколов и нажимает кнопку Выход, конфигурация сжимается, шифруется и загружается в шлюз.

image
Этапы настройки конфигурации шлюзов Moxa

В этой процедуре есть два недостатка в области безопасности, которыми можно злоупотреблять.

Повторное использование
Когда инженер входит в систему, в MGate Manager передаётся ключ для хэширования пароля. Однако в исследованной прошивке механизм реализован таким образом, что хакер может перехватить зашифрованный пароль инженера для входа в систему, а затем с его помощью залогиниться с административными привилегиями, даже не зная пароля в виде текста.

Дешифровка конфигурации
Зашифрованная конфигурация, передаваемая по сети, содержит ключ шифрования, что позволяет хакеру сделать дамп и расшифровать её.
image
Зашифрованная конфигурация содержит AES-ключ для её расшифровки. Очень удобно для взлома

Для расшифровки мы использовали проприетарную библиотеку расшифровки, извлечённую из прошивки устройства. Конфигурация содержит файлы настроек,, базы данных SQLite и ключ Secure Shell (SSH). Ниже приведён пример расшифрованной конфигурации нашего собственного протокольного шлюза, которую нам удалось перехватить.

image
Расшифрованные конфигурационные файлы шлюза Moxa MGate 5105

Амплификация трафика


Поскольку станции данных асинхронно транслируют между собой протоколы, можно объединить несколько запросов типа запись одного бита в один запрос, чтобы более эффективно использовать последовательную шину. Например, хакер может вызывать функцию 15 (запись нескольких битов), на станции данных она будет преобразована в 1 запись для ID=2, 1 на ID=4, 1 на ID=5, 1 на ID=6. Таким образом, одна запись на Modbus TCP превращается в четыре записи на Modbus RTU, вызывая небольшие перегрузки на последовательной шине.
image
Одна TCP-команда на запись ячейки превращается в четыре RTU-команды

Следует отметить, что такое усиление не вызовет отказ в обслуживании (DoS), однако перегруженная шина RS-485 все же может привести к аномальному поведению.

Эскалация привилегий


На шлюзе MGate 5105-MB-EIP мы обнаружили уязвимость эскалации привилегий CVE-2020-885, которая позволяет непривилегированному пользователю выполнять команды с повышенными привилегиями.
Источник проблемы отсутствие фильтрации ввода пользователя в веб-интерфейсе утилиты Ping.
image
Интерфейс утилиты Ping шлюза Mgate

Обладая минимальными техническими знаниями, непривилегированный пользователь может запустить демон Telnet в контексте пользователя root с помощью простого HTTP GET-запроса и получить полный удалённый доступ с рутовым шеллом.

Наши рекомендации


Изучив особенности работы различных шлюзов промышленных протоколов, мы выработали ряд рекомендаций для поставщиков, установщиков или конечных пользователей.
1. Устройства разных производителей по-разному обрабатывают недействительные пакеты. Некоторые из них не обладают адекватными возможностями фильтрации пакетов или ведут себя непредсказуемо. В связи с этим при выборе продукта следует в обязательном порядке учитывать эти функциональные аспекты.
2. Используйте специализированный брандмауэр для промышленных протоколов он обнаруживает пакеты, которые не соответствуют стандартам протокола, и обеспечивает административный доступ к шлюзам протокола только с авторизованных конечных точек. Наличие ICS-брандмауэра помогает обеспечить целостность трафика. В линейке продуктов Trend Micro есть соответствующее решение TXOne Networks, обеспечивающее защиту в режиме реального времени для сетей OT и критически важных устройств.
3. Выделите достаточное количество времени на настройку и защиту шлюза, особенно это важно для станций обработки данных слишком велика цена ошибки при настройке таблицы отображения ввода/вывода, которая может предоставить злоумышленнику платформу для проведения незаметных атак. Отключите ненужные сервисы и включите шифрование везде, где оно поддерживается, например, в облачной интеграции MQTT.
4. Рассматривайте шлюзы протоколов как критический актив OT и применяйте к ним соответствующие процедуры управления безопасности, включая аудит настроек и своевременную установку обновлений прошивок.
Подробнее..

Зона доступа 30 способов, которые позволят разблокировать любой смартфон. Часть 1

21.09.2020 16:09:27 | Автор: admin


В своей работе компьютерные криминалисты регулярно сталкиваются с кейсами, когда надо оперативно разблокировать смартфон. Например, данные из телефона нужны следствию, чтобы понять причины суицида подростка. В другом случае помогут выйти на след преступной группы, нападающей на водителей-дальнобойщиков. Бывают, конечно, и милые истории родители забыли пароль от гаджета, а на нем осталось видео с первыми шагами их малыша, но таких, к сожалению, единицы. Но и они требуют профессионального подхода к вопросу. В этой статье Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает о способах, которые позволяют экспертам-криминалистам обойти блокировку смартфона.

Важно: эта статья написана для оценки безопасности паролей и графических паттернов, используемых владельцами мобильных устройств. Если вы решите разблокировать мобильное устройство с помощью описанных методов помните, что все действия по разблокировке устройств вы совершаете на свой страх и риск. При манипуляции с мобильными устройствами вы можете заблокировать устройство, стереть пользовательские данные или привести устройство в неисправное состояние. Также даны рекомендации пользователям, как повысить уровень защиты своих устройств.


Итак, самым распространенным методом ограничения доступа к пользовательской информации, содержащейся в устройстве, является блокировка экрана мобильного устройства. Когда подобное устройство попадает в криминалистическую лабораторию, работа с ним бывает затруднена, так как для такого устройства невозможно активировать режим отладки по USB (для Android-устройств), невозможно подтвердить разрешение на взаимодействие компьютера эксперта с этим устройством (для мобильных устройств фирмы Apple) и, как следствие, невозможно получить доступ к данным, находящимся в памяти устройства.

Насколько обычная блокировка экрана мобильного устройства препятствует извлечению специалистами данных из него, говорит тот факт, что ФБР США заплатило крупную сумму за разблокировку iPhone террориста Сайеда Фарука, одного из участников теракта в калифорнийском городе Сан-Бернардино [1].

Методы разблокировки экрана мобильного устройства


Как правило, для блокировки экрана мобильного устройства используется:

  1. Символьный пароль
  2. Графический пароль

Также для разблокировки экрана ряда мобильных устройств могут использоваться методы технологии SmartBlock:

  1. Разблокировка по распознаванию отпечатка пальца
  2. Разблокировка по распознаванию лица (технология FaceID)
  3. Разблокировка устройства по распознаванию радужной оболочки глаза

Социальные методы разблокировки мобильного устройства


Кроме чисто технических, существуют и иные способы узнать или преодолеть PIN-код, или графический код (паттерн) блокировки экрана. В отдельных случаях социальные методы могут быть более эффективными, чем технические решения, и помочь в разблокировке устройств, перед которыми пасуют существующие технические разработки.

В данном разделе будут описаны методы разблокировки экрана мобильного устройства, которые не требуют (или требуют лишь ограниченного, частичного) применения технических средств.
Для совершения социальных атак нужно как можно глубже изучить психологию владельца заблокированного устройства, понять, по каким принципам он генерирует и сохраняет пароли или графические паттерны. Также исследователю понадобится капля везения.

При использовании методов, связанных с подбором пароля, следует учитывать, что:

  • при введении десяти неправильных паролей на мобильных устройствах компании Apple данные пользователя могут быть стерты. Это зависит от настроек безопасности, которые установил пользователь;
  • на мобильных устройствах под управлением операционной системы Android может быть использована технология Root of Trust, которая приведет к тому, что после введения 30 неправильных паролей данные пользователя буду либо недоступны, либо стерты.

Способ 1: cпроси пароль


Это покажется странным, но пароль разблокировки можно узнать, просто спросив у владельца устройства. Как показывает статистика, примерно 70% владельцев мобильных устройств охотно сообщают пароль. Особенно, если это сократит время исследования и, соответственно, владелец быстрее получит свое устройство назад. Если нет возможности спросить пароль у владельца (например, владелец устройства умер) или он отказывается его раскрыть пароль можно узнать у его близких родственников. Как правило, родственники знают пароль или могут подсказать возможные варианты.

Рекомендация по защите: Пароль от вашего телефона это универсальный ключ от всех данных, в том числе и платежных. Говорить, передавать, писать его в мессенджерах плохая идея.

Способ 2: подгляди пароль


Пароль можно подсмотреть в момент, когда владелец пользуется устройством. Даже если вы запомните пароль (символьный или графический) лишь частично это значительно сократит количество возможных вариантов, что позволит быстрее подобрать его.

Вариантом данного метода является использование записей камер видеонаблюдения, на которых запечатлен владелец, разблокирующий устройство с помощью графического пароля [2]. Описанный в работе Cracking Android Pattern Lock in Five Attempts [2] алгоритм, путем анализа видеозаписей, позволяет предположить варианты графического пароля и разблокировать устройство за несколько попыток (как правило, для этого нужно сделать не более пяти попыток). Как утверждают авторы, чем сложнее графический пароль, тем проще его подобрать.

Рекомендация по защите: Использование графического ключа не лучшая идея. Цифро-буквенный пароль подглядеть очень сложно.

Способ 3: найди пароль


Пароль можно найти в записях владельца устройства (файлы на компьютере, в ежедневнике, на фрагментах бумаги, лежащих в документах). Если человек использует несколько различных мобильных устройств и на них разные пароли, то иногда в батарейном отсеке этих устройств или в пространстве между корпусом смартфона и чехлом можно найти клочки бумаги с записанными паролями:


Рекомендация по защите: не надо вести блокнотик с паролями. Это плохая идея, кроме случая, когда все эти пароли заведомо ложные, чтобы уменьшить количество попыток разблокировки.

Способ 4: отпечатки пальцев (Smudge attack)


Этот метод позволяет выявить потожировые следы рук на дисплее устройства. Увидеть их можно, обработав экран устройства светлым дактилоскопическим порошком (вместо специального криминалистического порошка можно использовать детскую присыпку или иной химически неактивный мелкодисперсный порошок белого или светло-серого цвета) или посмотрев на экран устройства в косопадающих лучах света. Анализируя взаиморасположение следов рук и имея дополнительную информацию о владельце устройства (например, зная его год рождения), можно попробовать подобрать текстовый или графический пароль. Так выглядит потожировое наслоение на дисплее смартфона в виде стилизованной буквы Z:


Рекомендация по защите: Как мы и говорили, графический пароль это не лучшая идея, как и стекла с плохим олеофобным покрытием.

Способ 5: искусственный палец


Если устройство может быть разблокировано по отпечатку пальца, а исследователь имеет образцы отпечатков рук владельца устройства, то на 3D-принтере можно изготовить трехмерную копию отпечатка пальца владельца и использовать ее для разблокировки устройства [3]:


Для более полной имитации пальца живого человека например, когда датчик отпечатка пальца смартфона еще детектирует тепло 3D-модель надевается (прислоняется) к пальцу живого человека.

Владелец устройства, даже забыв пароль блокировки экрана, может сам разблокировать устройство, используя отпечаток своего пальца. Это может быть использовано в определенных случаях, когда владелец не может сообщить пароль, но, тем не менее, готов помочь исследователю разблокировать свое устройство.

Исследователю следует помнить о поколениях сенсоров, примененных в различных моделях мобильных устройств. Старые модели сенсоров могут срабатывать практически на прикосновение любого пальца, не обязательно принадлежащего владельцу устройства. Современные ультразвуковые сенсоры, наоборот, сканируют весьма глубоко и четко. Кроме того, ряд современных подэкранных сенсоров это просто CMOS-фотокамеры, которые не могут сканировать глубину изображения, из-за чего обмануть их намного проще.

Рекомендация по защите: Если палец, то только ультразвуковой сенсор. Но не забывайте, что приложить палец против вашей воли куда проще, чем лицо.

Способ 6: рывок (Mug attack)


Данный метод описан британскими полицейскими [4]. Он заключается в скрытой слежке за подозреваемым. В момент, когда подозреваемый разблокирует свой телефон, агент в штатском вырывает его из рук владельца и не дает устройству заблокироваться вновь до момента передачи его экспертам.

Рекомендация по защите: Думаю, если против вас собираются применять такие меры, то дело плохо. Но тут нужно понимать, что случайная блокировка обесценивает этот способ. А, например, многократное нажатие кнопки блокировки на iPhone запускает режим SOS, который в дополнение ко всему выключает FaceID и включает требование кода пароля.

Способ 7: ошибки в алгоритмах управления устройством


В новостных лентах профильных ресурсов часто можно встретить сообщения о том, что при определенных действиях с устройством происходит разблокировка его экрана. Например, экран блокировки ряда устройств может разблокироваться при входящем звонке. Недостаток данного метода в том, что выявленные уязвимости, как правило, оперативно устраняются производителями.

Примером подхода к разблокировке мобильных устройств, выпущенных ранее 2016 года, является разряд батареи. При низком заряде устройство разблокируется и предложит изменить настройки питания. При этом надо быстро перейти на страницу с настройками безопасности и отключить блокировку экрана [5].

Рекомендация по защите: не забывайте своевременно обновлять ОС своего устройства, а если оно уже не поддерживается менять смартфон.

Способ 8: уязвимости в сторонних программах


Уязвимости, выявленные в установленных на устройстве сторонних программах, могут также полностью или частично предоставлять доступ к данным заблокированного устройства.

Примером подобной уязвимости может быть похищение данных из iPhone Джеффа Безоса, основного владельца Amazon. Уязвимость в мессенджере WhatsApp, проэксплуатированная неизвестными, привела к краже конфиденциальных данных, находившихся в памяти устройства [6].

Подобные уязвимости могут быть использованы исследователями для достижения своих целей извлечения данных из заблокированных устройств или для их разблокировки.

Рекомендация по защите: Нужно обновлять не только ОС, но и прикладные программы, которыми вы пользуетесь.

Способ 9: корпоративный телефон


Корпоративные мобильные устройства могут быть разблокированы системными администраторами компаний. Так, например, корпоративные устройства Windows Phone привязываются к аккаунту Microsoft Exchange компании и могут быть разблокированы ее администраторами. Для корпоративных устройств Apple существует сервис Mobile Device Management, аналогичный Microsoft Exchange. Его администраторы также могут разблокировать корпоративное iOS-устройство. Кроме того, корпоративные мобильные устройства можно скоммутировать только с определенными компьютерами, указанными администратором в настройках мобильного устройства. Поэтому без взаимодействия с системными администраторами компании такое устройство невозможно подключить к компьютеру исследователя (или программно-аппаратному комплексу для криминалистического извлечения данных).

Рекомендация по защите: MDM это и зло, и добро с точки зрения защиты. MDM-администратор всегда может удаленно сбросить устройство. В любом случае, не стоит хранить чувствительные личные данные на корпоративном устройстве.

Способ 10: информация из сенсоров


Анализируя информацию, получаемую от сенсоров устройства, можно подобрать пароль к устройству с помощью специального алгоритма. Адам Дж. Авив продемонстрировал возможность подобных атак, используя данные, полученные акселерометром смартфона. В ходе исследований ученому удалось правильно определить символьный пароль в 43% случаях, а графический пароль в 73% [7].

Рекомендация по защите: Внимательно следите за тем, каким приложениям вы выдаете разрешение на отслеживание различных сенсоров.

Способ 11: разблокировка по лицу


Как и в случае с отпечатком пальца, успех разблокировки устройства с использованием технологии FaceID зависит от того, какие сенсоры и какой математический аппарат используются в конкретном мобильном устройстве. Так, в работе Gezichtsherkenning op smartphone niet altijd veilig [8] исследователи показали, что часть исследуемых смартфонов удалось разблокировать, просто продемонстрировав камере смартфона фотографию владельца. Это возможно, когда для разблокировки используется лишь одна фронтальная камера, которая не имеет возможности сканировать данные о глубине изображения. Компания Samsung после ряда громких публикаций и роликов в YouTube была вынуждена добавить предупреждение в прошивку своих смартфонов. Face Unlock Samsung:


Более продвинутые модели смартфонов можно разблокировать, используя маску или самообучение устройства. Например, в iPhone X используется специальная технология TrueDepth [9]: проектор устройства, с помощью двух камер и инфракрасного излучателя, проецирует на лицо владельца сетку, состоящую из более чем 30 000 точек. Такое устройство можно разблокировать с помощью маски, контуры которой имитируют контуры лица владельца. Маска для разблокировки iPhone [10]:


Так как подобная система очень сложна и не работает в идеальных условиях (происходит естественное старение владельца, изменение конфигурации лица из-за выражения эмоций, усталости, состояния здоровья и т.п.), она вынуждена постоянно самообучаться. Поэтому если разблокированное устройство подержит перед собой другой человек его лицо будет запомнено как лицо владельца устройства и в дальнейшем он сможет разблокировать смартфон, используя технологию FaceID.

Рекомендация по защите: не используйте разблокировку по фото только системы с полноценными сканерами лица (FaceID у Apple и аналоги на Android-аппаратах).

Основная рекомендация не смотреть в камеру, достаточно отвести взгляд. Если даже зажмурить один глаз шанс разблокировать сильно падает, как и при наличии рук на лице. Кроме того, для разблокировки по лицу (FaceID) дается всего 5 попыток, после чего потребуется ввод кода-пароля.

Способ 12: использование утечек


Базы утекших паролей прекрасный способ понять психологию владельца устройства (при условии, что исследователь располагает информацией об адресах электронной почты владельца устройства). В приведенном примере поиск по адресу электронной почты принес два похожих пароля, которые использовал владелец. Можно предположить, что пароль 21454162 или его производные (например, 2145 или 4162) могли использоваться в качестве кода блокировки мобильного устройства. (Поиск по адресу электронной почты владельца в базах утечек показывает, какие пароли владелец мог использовать, в том числе для блокировки своего мобильного устройства).


Рекомендация по защите: действуйте превентивно, отслеживайте данные об утечках и своевременно меняйте пароли замеченные в утечках!

Способ 13: типовые пароли блокировки устройств


Как правило, у владельца изымается не одно мобильное устройство, а несколько. Часто таких устройств набирается с десяток. При этом можно подобрать пароль для уязвимого устройства и попробовать его применить к другим смартфонам и планшетам, изъятым у этого же владельца.

При анализе данных, извлеченных из мобильных устройств, такие данные отображаются в криминалистических программах (часто даже при извлечении данных из заблокированных устройств с применением различных типов уязвимостей).


Как видно на скриншоте части рабочего окна программы UFED Physical Analyzer, устройство заблокировано достаточно необычным PIN-кодом fgkl.

Не стоит пренебрегать иными устройствами пользователя. Например, анализируя пароли, сохраненные в кэше веб-браузера компьютера владельца мобильного устройства, можно понять принципы генерации паролей, которых придерживался владелец. Просмотреть сохраненные пароли на компьютере можно с помощью утилиты компании NirSoft [11].

Также на компьютере (ноутбуке) владельца мобильного устройства могут быть Lockdown-файлы, которые могут помочь получить доступ к заблокированному мобильному устройству фирмы Apple. Об этом методе будет рассказано далее.

Рекомендация по защите: используйте везде разные, уникальные пароли.

Способ 14: типовые PIN-коды


Как было отмечено ранее, пользователи часто используют типовые пароли: номера телефонов, банковских карт, PIN-коды. Подобную информацию можно использовать, чтобы разблокировать предоставленное устройство.

Если ничего не помогает можно воспользоваться следующей информацией: исследователи провели анализ и нашли наиболее популярные PIN-коды (приведенные PIN-коды покрывают 26,83% всех паролей) [12]:

PIN Частота, %
1234 10,713
1111 6,016
0000 1,881
1212 1,197
7777 0,745
1004 0,616
2000 0,613
4444 0,526
2222 0,516
6969 0,512
9999 0,451
3333 0,419
5555 0,395
6666 0,391
1122 0,366
1313 0,304
8888 0,303
4321 0,293
2001 0,290
1010 0,285
Применение данного перечня PIN-кодов к заблокированному устройству позволит разблокировать его с вероятностью ~26%.

Рекомендация по защите: проверьте свой PIN-код по таблице выше и, даже если он не совпал, все равно смените его, потому что 4 цифры это слишком мало по меркам 2020 года.

Способ 15: типовые графические пароли


Как было описано выше, имея данные камер видеонаблюдения, на которых владелец устройства пробует его разблокировать, можно подобрать паттерн разблокировки с пяти попыток. Кроме того, точно так же, как существуют типовые PIN-коды, существуют и типовые паттерны, которые можно использовать для разблокировки заблокированных мобильных устройств [13, 14].

Простые паттерны [14]:


Паттерны средней сложности [14]:


Сложные паттерны [14]:



Список самых популярных графических паттернов по версии исследователя Jeremy Kirby [15].
3>2>5>8>7
1>4>5>6>9
1>4>7>8>9
3>2>1>4>5>6>9>8>7
1>4>7>8>9>6>3
1>2>3>5>7>8>9
3>5>6>8
1>5>4>2
2>6>5>3
4>8>7>5
5>9>8>6
7>4>1>2>3>5>9
1>4>7>5>3>6>9
1>2>3>5>7
3>2>1>4>7>8>9
3>2>1>4>7>8>9>6>5
3>2>1>5>9>8>7
1>4>7>5>9>6>3
7>4>1>5>9>6>3
3>6>9>5>1>4>7
7>4>1>5>3>6>9
5>6>3>2>1>4>7>8>9
5>8>9>6>3>2>1>4>7
7>4>1>2>3>6>9
1>4>8>6>3
1>5>4>6
2>4>1>5
7>4>1>2>3>6>5

На некоторых мобильных устройствах, помимо графического кода, может быть установлен дополнительный PIN-код. В этом случае, если не удается подобрать графический код, исследователь может кликнуть на кнопку Доп.PIN-код (дополнительный PIN-код) после ввода неправильного графического кода и попытаться подобрать дополнительный PIN-код.

Рекомендация по защите: лучше вообще не использовать графические ключи.

Способ 16: буквенно-цифровые пароли


Если на устройстве можно использовать буквенно-цифровой пароль, то в качестве кода блокировки владелец мог использовать следующие популярные пароли [16]:

  • 123456
  • password
  • 123456789
  • 12345678
  • 12345
  • 111111
  • 1234567
  • sunshine
  • qwerty
  • iloveyou
  • princess
  • admin
  • welcome
  • 666666
  • abc123
  • football
  • 123123
  • monkey
  • 654321
  • !@#$%^&*
  • charlie
  • aa123456
  • donald
  • password1
  • qwerty123

Рекомендация по защите: используйте только сложные, уникальные пароли со служебными символами и разными регистрами. Проверьте, не используете ли вы один из паролей приведенных выше. Если используете смените его на более надежный.

Способ 17: облачные или локальные хранилища


Если нет технической возможности изъять данные из заблокированного устройства криминалисты могут поискать его резервные копии на компьютерах владельца устройства или в соответствующих облачных хранилищах.

Часто владельцы смартфонов Apple, подключая их к своим компьютерам, не осознают, что в это время может осуществляться создание локальной или облачной резервной копии устройства.

В облачных хранилищах Google и Apple могут сохраняться не только данные из устройств, но и сохраненные устройством пароли. Извлечение этих паролей может помочь в подборе кода блокировки мобильного устройства.

Из Keychain, сохраненного в iCloud, можно извлечь пароль на резервную копию устройства, установленный владельцем, который, с высокой степенью вероятности, будет совпадать с PIN-кодом блокировки экрана.

Если правоохранительные органы обращаются в Google и Apple компании могут передать имеющиеся данные, что, вероятно, сильно снизит необходимость разблокировки устройства, так как данные уже будут у правоохранителей.

Например, после террористического акта в Пенсоконе копии данных, хранящихся в iCloud, были переданы ФБР. Из заявления Apple:

В течение нескольких часов, после первого запроса ФБР, 6 декабря 2019 года, мы представили широкий спектр информации, связанной с расследованием. С 7 по 14 декабря мы получили шесть дополнительных юридических запросов и в ответ предоставили информацию, включая резервные копии iCloud, информацию об аккаунте и транзакциях для нескольких учетных записей.

Мы отвечали на каждый запрос незамедлительно, зачастую в течение нескольких часов, обмениваясь информацией с офисами ФБР в Джексонвилле, Пенсаколе и Нью-Йорке. По запросам следствия было получено много гигабайт информации, которую мы передали следователям. [17, 18, 19]

Рекомендация по защите: все, что вы отдаете в облако в незашифрованном виде, может и будет использовано против вас.

Способ 18: Google-аккаунт


Данный способ подходит для снятия графического пароля, блокирующего экран мобильного устройства под управлением операционной системы Android. Для использования этого метода нужно знать имя пользователя и пароль от Google-аккаунта владельца устройства. Второе условие: устройство должно быть подключено к интернету.

При последовательном вводе неправильного графического пароля несколько раз подряд, устройство предложит восстановить пароль. После этого надо совершить вход в аккаунт пользователя, что приведет к разблокировке экрана устройства [5].

В связи с разнообразием аппаратных решений, операционных систем Android и дополнительных настроек безопасности данный метод применим только для ряда устройств.

Если у исследователя нет пароля к Google-аккаунту владельца устройства его можно попробовать восстановить, используя стандартные методы восстановления паролей от подобных аккаунтов.

Если устройство в момент исследования не подключено к интернету (например, SIM-карта заблокирована или на ней недостаточно денег), то подобное устройство можно подключить к Wi-Fi по следующей инструкции:

  • нажать иконку Экстренный вызов
  • набрать *#*#7378423#*#*
  • выбрать Service Test Wlan
  • осуществить соединение с доступной Wi-Fi-сетью [5]

Рекомендация по защите: не забывайте использовать двухфакторную авторизацию везде где только можно, и в этом случае лучше с привязкой к приложению, а не коду по SMS.

Способ 19: гостевой аккаунт


На мобильных устройствах под управлением операционной системы Android 5 и выше может быть несколько аккаунтов. Для доступа к данным дополнительного аккаунта может отсутствовать блокировка PIN-кодом или графическим кодом. Для переключения нужно кликнуть на иконку аккаунта в правом верхнем углу и выбрать другой аккаунт:


Для дополнительного аккаунта доступ к некоторым данным или приложениям может быть ограничен.

Рекомендация по защите: тут важно обновлять ОС. В современных версиях Android (9 и выше с патчами безопасностями от июля 2020 года) учетная запись гостя, как правило, не дает никаких возможностей.

Способ 20: специализированные сервисы


Компании, занимающиеся разработкой специализированных криминалистических программ, в том числе предлагают услуги по разблокировке мобильных устройств и извлечению данных из них [20, 21]. Возможности подобных сервисов просто фантастические. С помощью них можно разблокировать топовые модели Android- и iOS-устройств, а также устройства, находящиеся в режиме восстановления (в которое устройство переходит после превышения количества попыток неправильного ввода пароля). Недостатком данного метода является высокая стоимость.

Фрагмент веб-страницы сайта компании Cellebrite, где описывается, из каких устройств они могут извлечь данные. Устройство может быть разблокировано в лаборатории разработчика (Cellebrite Advanced Service (CAS)) [20]:


Для подобной услуги устройство должно быть предоставлено в региональный (или головной) офис компании. Возможен выезд специалиста к заказчику. Как правило, взлом кода блокировки экрана занимает одни сутки.

Рекомендация по защите: практически невозможно защититься, кроме использования стойкого цифро-буквенного пароля и ежегодной смены устройств.

P.S. Об этих кейсах, инструментах и многих других полезных фишках в работе компьютерного криминалиста эксперты Лаборатории Group-IB рассказывают в рамках обучающего курса Digital Forensics Analyst. После прохождения 5-дневного или расширенного 7-дневного курсов выпускники смогут эффективнее проводить криминалистические исследования и предовтращать киберинциденты в своих организациях.

P.P.S. Остросюжетный Telegram-канал Group-IB об информационной безопасности, хакерах, APT, кибератаках, мошенниках и пиратах. Расследования по шагам, практические кейсы с применением технологий Group-IB и рекомендации, как не стать жертвой. Подключайтесь!

Источники
  1. ФБР нашло хакера, готового взломать iPhone без помощи Apple
  2. Guixin Yey, Zhanyong Tang, Dingyi Fangy, Xiaojiang Cheny, Kwang Kimz, Ben Taylorx, Zheng Wang. Cracking Android Pattern Lock in Five Attempts
  3. Дактилоскопический датчик Samsung Galaxy S10 удалось обмануть с помощью отпечатка пальца, напечатанного на 3D-принтере
  4. Dominic Casciani, Gaetan Portal. Phone encryption: Police 'mug' suspect to get data
  5. Как разблокировать телефон: 5 способов, которые работают
  6. Дуров назвал причиной взлома смартфона Джеффа Безоса уязвимость в WhatsApp
  7. Датчики и сенсоры современных мобильных устройств
  8. Gezichtsherkenning op smartphone niet altijd veilig
  9. TrueDepth в iPhone X что это, принцип работы
  10. Face ID в iPhone X обманули с помощью 3D-печатной маски
  11. NirLauncher Package
  12. Анатолий Ализар. Популярные и редкие PIN-коды: статистический анализ
  13. Мария Нефедова. Графические ключи так же предсказуемы, как пароли 1234567 и password
  14. Антон Макаров. Обход графического пароля на Android-устройствах www.anti-malware.ru/analytics/Threats_Analysis/bypass-picture-password-Android-devices
  15. Jeremy Kirby. Unlock mobile devices using these popular codes
  16. Андрей Смирнов. 25 самых популярных паролей в 2019 году
  17. Мария Нефедова. Конфликт между властями США и компанией Apple из-за взлома iPhone преступника усугубляется
  18. Apple responds to AG Barr over unlocking Pensacola shooter's phone: No.
  19. Law Enforcement Support Program
  20. Cellebrite Supported Devices (CAS)

Подробнее..

Перевод 6 перспективных стартапов про кибербезопасность для automotive

24.09.2020 18:11:15 | Автор: admin
image

Brighter AI


Немецкий стартап Brighter AI разрабатывает инструменты для анонимизации номеров автомобилей и лиц водителей. В решениях этой компании используются технологии изменения номерных знаков и лиц, размытия изображений и добавления искусственных шумов. Продукты Brighter AI защищают информацию об автомобиле и личные данные его владельца, при этом с помощью законных способов этими данными могут воспользоваться аналитики данных и поставщики услуг.

SAFERIDE Technologies Многоуровневая кибербезопасность


Saferide Technologies это израильский стартап, предоставляющий производителям ECU многоуровневый программный пакет для реализации систем кибербезопасности под названием vSentry Core. Данные, собираемые информационно-развлекательной системой, блоком телематики и прочими узлами анализируются в реальном времени, что позволяет выявлять и устранять все потенциальные угрозы кибербезопасности, а также вести их учет. Все это позволяет защищать беспилотные транспортные средства от хакеров и различных вредоносных атак.

Angoka Децентрализованные криптографические протоколы


Angoka стартап из Великобритании, разрабатывающий системы аппаратной аутентификации для беспилотных транспортных средств. Решения этой компании основаны на неклонируемых идентификаторах, генерируемых на основе физических свойств компонентов транспортных средств, подключенных к сети. Такая архитектура обеспечивает защиту генерируемых данных и позволяет формировать хранилища данных, защищенные от взлома.

Autonomy Chain Облачный блокчейн


Autonomy Chain сингапурский стартап, занимающийся созданием облачной сети на основе блокчейна для беспилотных транспортных средств. Решения этой компании используют блокчейн для децентрализации управляющей сети и распределения ресурсов. Таким образом создается защищенная среда, в которой беспилотные транспортные средства могут взаимодействовать друг с другом и различными объектами окружения. Облако на основе блокчейна обеспечивает запись и анонимизацию данных таким образом, что эти данные могут быть использованы, при это оставаясь обезличенными. Разработчики сети стремятся интегрировать в свою систему транспортные средства разных производителей и моделей.

Resado Цифровые отпечатки датчиков беспилотных транспортных средств


Немецкая компания Resado предлагает решения по обеспечению безопасности подключенных устройств в беспилотных транспортных средствах. Безопасность аутентификации и взаимодействия различных систем обеспечивается за счет цифровых отпечатков всех подключенных устройств. Решения компании Resado обеспечивают защиту подключенных устройств и защищают ваше транспортное средство от кибератак и хакерского взлома.

Enigmatos Цифровые профили беспилотных транспортных средств


Enigmatos израильский стартап, разрабатывающий ПО, обеспечивающее кибербезопасность для для беспилотного транспорта. Решения Enigmatos включают в себя механизм принятия решений, основанный на проприетарных моделях машинного обучения и технологиях маппинга, формирующих цифровые профили беспилотных транспортных средств. Детерминированная система вывода на правилах в сочетании с цифровыми профилями позволяет обнаруживать, анализировать и устранять киберугрозы. Таким образом, продукты этой компании позволяют беспилотным транспортным средствам безопасно функционировать и взаимодействовать с сетевой инфраструктурой.

Подписывайтесь на каналы:
@TeslaHackers сообщество российских Tesla-хакеров, прокат и обучение дрифту на Tesla
@AutomotiveRu новости автоиндустрии, железо и психология вождения




image

О компании ИТЭЛМА
Мы большая компания-разработчик automotive компонентов. В компании трудится около 2500 сотрудников, в том числе 650 инженеров.

Мы, пожалуй, самый сильный в России центр компетенций по разработке автомобильной электроники. Сейчас активно растем и открыли много вакансий (порядка 30, в том числе в регионах), таких как инженер-программист, инженер-конструктор, ведущий инженер-разработчик (DSP-программист) и др.

У нас много интересных задач от автопроизводителей и концернов, двигающих индустрию. Если хотите расти, как специалист, и учиться у лучших, будем рады видеть вас в нашей команде. Также мы готовы делиться экспертизой, самым важным что происходит в automotive. Задавайте нам любые вопросы, ответим, пообсуждаем.

Читать еще полезные статьи:

Подробнее..

Перевод Индия, платформы Jio и четвертый интернет

09.09.2020 16:16:51 | Автор: admin

Одно из самых ужасных заблуждений, связанное со спорами о TikTok, является то, что все это может привести к расколу интернета. Это стирает в порошок историю Великого китайского файрвола, который был создан 23 года назад. Именно он отрезал рынок Китая от западных поставщиков услуг. Тот факт, что США наконец могут ответить тем же, является отражением уже существующей реальности, а не созданием новой.

Но действительно новой тенденцией является раскол глобальной сети за пределами Китая: предложенная США модель по-прежнему используется в большинстве стран мира, однако государства ЕС и Индия все чаще выбирают свой собственный путь.

Американская модель

Модель глобальной сети, используемая США, не предполагает вмешательство в личную жизнь, поэтому ее эффективность сложно оспорить. Экономика США бурно развивается на протяжении многих лет не только благодаря мощному технологическому сектору. Американские интернет-компании доминируют в большинстве регионов мира, используя так называемую мягкую силу США в виде фастфуда и голливудских блокбастеров. Такой подход имеет как сильные, так и слабые стороны: отсутствие трений в интернете приводит к доминированию агрегаторов, что в свою очередь приводит к формированию как хороших, так и плохих пользовательских групп.

Однако мы фокусируем внимание на экономическом аспекте в первую очередь, и с учетом этого выделим победителей и проигравших от подхода, используемого США.

Стороны-победители:

  • Крупные американские технологические компании могут свободно работать в США, имея огромную и прибыльную пользовательскую базу, которая обеспечивает достаточное финансирование для зарубежной экспансии.

  • Новые технологические компании в США не сталкиваются с серьезными препятствиями для входа на рынок, особенно с точки зрения регулирования контента и сбора данных.

  • Подавляющее большинство поступлений в казну США это налоги, которые платят эти компании, в том числе с их доходов, получаемых за рубежом. При этом, правительство США получает общее видение мира через эти технологические компании, а также доступ к данным пользователей, не являющихся гражданами США.

  • Гражданам США обеспечены довольно широкие свободы на времяпровождение в интернете. Однако, частные компании сталкиваются с некоторыми ограничениями на сбор данных пользователей всемирной паутины.

  • Пользователи интернета, не являющиеся гражданами США, также имеют большие свободы для использования интернета. При этом частные компании и правительство США также сталкиваются с некоторыми ограничениями на сбор данных этих пользователей, не являющихся гражданами США.

  • Компании, зарегистрированные за пределами США, могут свободно работать на рынке США без каких-либо серьезных ограничений, а также в других странах, использующих концепцию США.

Проигравшие стороны:

  • Неамериканские правительства имеют ограниченный контроль над деятельностью технологических компаний США, а также ограниченный доступ к их доходам. И, что не менее важно, они имеют ограниченный контроль над распространением информации.

Вероятнее всего, многие согласятся с тем, что подход США является самым лучшим. Разумеется, можно оспорить влияние на новые компании, так как агрегаторы всегда стремятся доминировать на своих рынках, в то время как прочие участники сосредоточены на сборе данных. Но настоящее беспокойство вызывает то, что предлагаемые варианты решения проблемы приносят еще больше вреда, особенно если учесть преимущества фабрик данных для конечных потребителей. Тем не менее, Суд ЕС предоставил вполне убедительные доводы касательно того, что способность правительства США собирать данные пользователей, не являющихся гражданами США, представляет собой серьезную угрозу конфиденциальности информации.

Но все эти придирки лишь подчеркивают проблему, с которой нельзя не согласиться: правительства многих стран имеют все законные основания для жалоб на гегемонию технологических компаний США.

Китайская модель

Контроль над распространением информации основополагающая сила китайской модели. Об этом свидетельствует не только то, что Китай установил контроль доступа к западным сервисам на сетевом уровне, а и то, что правительство Поднебесной использует огромное количество цензоров для китайского сегмента глобальной сети. Кроме того, местное правительство ожидает от китайских компаний, таких как Tencent или ByteDance, что они будут использовать тысячи собственных цензоров.

В то же время, сложно отрицать, что китайский подход приносит определенную экономическую выгоду для этого государства. Китай является единственной державой, которая способна соперничать с США по размеру и распространенности своих интернет-компаний благодаря сочетанию огромного рынка и отсутствию конкуренции. Более того, это способствует всевозможным инновациям, так как стремление Китая к мобильности избавило его от предрассудков, связанных с бизнес-моделью онлайн маркетинга, завязанной на использовании персональных компьютеров, которая все еще ограничивает возможности многих американских компаний.

Однако встает вопрос: насколько воспроизводимой является китайская модель? Ряд более мелких стран, таких как Иран, аналогичным способом ограничивают возможности американских технологических компаний. Но без такого крупного рынка, которым располагает Китай, использовать экономический потенциал Великого файрвола куда сложнее. И, следует заметить, что китайская модель обладает преимуществами далеко не для всех участников, в том числе для самих граждан Китая.

Европейская модель

Посредством GDRP и Copyright Directive, а также по решению Европейского суда, принятого совсем недавно, которое отменяет рамки, накладываемые Privacy Shield и согласованные Европейской Комиссией совместно с Управлением международной торговли США (а также предыдущего решения, которое отменяет принципы конфиденциальности, установленные Safe Harbor), Европа фактически сформировала свой собственный сегмент интернета.

Но, такой интернет кажется наихудшим вариантом из всех возможных. Крупные технологические компании США вышли победителями (по крайней мере, в сравнении со всеми остальными участниками): несмотря на рост расходов, связанных с нормативной волокитой (и снижение дохода в случае таргетинговой рекламы), американские компании только расширили свое влияние на потенциальных конкурентов.

С другой стороны, преимуществом для граждан Евросоюза является то, что их данные теперь будут более защищенными от правительства США. Однако, прочие меры защиты вряд ли окажутся эффективными и смогут перевесить всеобщую раздраженность и потерю актуальности, обусловленные бесконечными спорами касательно разрешающих прав и нерелевантного контента. Более того, число конкурентов на рынке для существующих операторов значительно снизится, особенно в сравнении с компаниями США.

Весьма маловероятно, что этот пробел смогут заполнить европейские конкуренты. Любая компания, желающая достичь широких масштабов, вначале должна добиться этого на внутреннем рынке, прежде чем начинать свою экспансию за рубеж. Вероятнее всего, Европа будет выступать в качестве вторичного рынка для компаний, которые проделали всю грязную работу по обработке данных и созданию продуктов, соответствующих требованиям рынков, которые более открыты для экспериментов и не заставляют нести тяжелое регуляторное бремя. Если компания готова на более высокие затраты, значит она имеет более серьезные ожидания того, что успех будет достигнут. Такой подход требует использования проверенной модели вместо спекулятивной.

Худшим является то (по крайней мере, с точки зрения стран ЕС), что данный подход не предоставляет никаких преимуществ для правительств европейских стран. Акцент на регулировании обуславливает следующее правило: если компания не делает ставку на собственный рост, для нее значительно сложнее создавать беспроигрышные ситуации.

Индийская модель

Индийский рынок всегда был уникальным в сравнении с другими: в то время как зарубежные компании никогда не были заложниками цифровых продуктов (что способствовало получению огромной пользовательской аудитории у таких американских компаний, как Google и Facebook, или у китайского TikTok), Индия сохранила более жесткую привязку к физическим технологиям. Из этого вытекают более высокие цены на электронику и запрет на прямые иностранные инвестиции в такие сферы, как электронная коммерция. Более того, Индия всегда являлась самым непростым рынком с точки зрения доступа в интернет и логистики.

В то же время, индийский рынок всегда являлся одним из самых привлекательных для американских и китайских компаний, господствующих на своих внутренних рынках. Это приводило к постоянным баталиям между иностранными технологическими компаниями и индийскими регуляторами: попытки Facebook внедрить Free Basics, платежная система WhatsApp, жесткие ограничения на операции, проводимые с использованием сервисов Amazon и Flipkart, а также недавно введенный полный запрет TikTok, обусловленный угрозой национальной безопасности.

Однако, в последние несколько месяцев был найден очевидный способ преодоления этих проблем, в частности, для американских технологических компаний, и все это предвещает создание четвертого интернета инвестирование в платформы Jio.

Ставка на платформы Jio

Jio это телекоммуникационная сеть, доминирующая на рынке Индии. Jio является прекрасным примером того, какую выгоду может принести ставка на технологический прорыв. Суть этой ставки, сделанной Макешем Амбани, одним из самых богатых предпринимателей в Индии, состоит в том, что он построил свою сеть для передачи данных, в частности на сетях 4G, в то время как все остальные индийские провайдеры мобильной связи, как и операторы других стран, основывают свою работу на обеспечении голосовых вызовов в первую очередь. Вот несколько важных особенностей такого подхода:

  • В отличие от 2G и 3G, сети 4G не поддерживают традиционные услуги телефонии с коммутацией каналов связи. Вместо этого, все голосовые вызовы обрабатываются таким же способом, как и данные другого типа.

  • Поскольку в сети 4G все является данными, для построения сетей используют стандартное оборудование, которое неприменимо для реализации сетей 2G или 3G.

  • Поскольку платформа Jio предлагает сеть передачи данных, голосовые вызовы ввиду невысоких требований к пропускной способности являются самым дешевым типом услуг (а пропускная способность 4G фактически стремится к бесконечности).

Говоря проще, Jio делает ставку на нулевые предельные издержки, ну или как минимум, на более низкие предельные издержки, чем у любых конкурентов. Из этого следует, что оптимальной стратегией являлось потратить огромную сумму заранее, а затем стремиться заполучить как можно более крупную аудиторию клиентов, чтобы извлечь максимальную выгоду из этих инвестиций.

Именно это и было сделано: Jio потратила 32 млрд долларов на построение сети, охватывающую всю Индию, привлекла клиентов, предложив возможность совершать голосовые звонки абсолютно бесплатно на протяжении первых трех месяцев, а затем сохранила статус бесплатной услуги для голосовых вызовов. При этом компания взимает небольшую плату (всего несколько долларов за 1 ГБ) за передачу данных. Это соответствует классической стратегии, используемой стартапами из Кремниевой долины: сначала потратить деньги, а затем восполнить их благодаря использованию превосходной структуры затрат, обеспеченной нулевой маржей, характерной для цифровых продуктов.

Все это выглядит еще более убедительным благодаря контрасту на фоне аргументов Facebook в пользу Free Basics. По словам Цукерберга, конечная цель состоит в том, чтобы подключить сотни миллионов индийцев, проживающих в бедных районах страны, к интернету. Однако, в отличие от Free Basics, это должен быть мировой интернет.

Это явная недооценка того, насколько Jio является более полезным для жителей Индии, чем Free Basics. Цукерберг не стремился менять старый уклад в сфере мобильной связи, согласно которому провайдеры сосредоточили наибольшие инвестиции в крупнейших городах и вели борьбу за самых обеспеченных клиентов. Бедные слои индийского сообщества могли бы получить доступ к Facebook, но не более, поскольку компании, не сотрудничающие с Free Basics, не видят стимулов для инвестирования. Вместо этого, Jio не только обеспечивает доступ ко всему интернету, а и привлекает внимание индийских, китайских и даже американских компаний, которые соперничают друг с другом за право сотрудничать с этой платформой. Так, Facebook потратил 5,7 млрд долларов на покупку 10% акций Jio. Как оазалось, это лишь первая из множества инвестиций в эту компанию:

  • В мае 2020 года сразу несколько компаний инвестировали в Jio: Silver Lake Partners, General Atlantic и KKR 790 млн долларов на приобретение 1,15% акций, 930 млн долларов на покупку 1,34% акций и 1,6 млрд долларов на получение 2,32% акций соответственно.

  • В июне 2020 года суверенные фонды Mubadala и Adia в ОАЭ и суверенный фонд Саудовской Аравии инвестировали 1,3 млрд долларов за 1,85% акций, 800 млн долларов за 1,16% и 1,6 млрд долларов за 2,32% акций соответственно. Кроме того, Silver Lake Partners приобрели еще 2,08% акций за 640 млн долларов, TPG купили 0,93% акций за те же 640 млн долларов, Catterton внесли 270 млн долларов чтобы получить 0,39% акций. Intel также не пожалели 253 млн долларов чтобы приобрести 0,39% акций.

  • В июле 2020 года компания Qualcomm инвестировала 97 млн долларов в покупку 0,15% акций, в то время как Google выделил 4,7 млрд долларов на приобретение 7,7% акций.

Благодаря этой сумасшедшей скупке акций компании, Reliance смог выплатить многомиллиардную задолженность, образовавшуюся в связи с займом средств на построение платформы Jio. Но уже стало очевидным то, что компания имеет амбиции, которые выходят далеко за рамки простого оператора мобильной связи.

Видение компании Jio

После объявления о крупных инвестициях Google в платформы Jio, на ежегодном общем собрании Reliance Industries, Амбани заявил следующее:

Вначале я хочу вам рассказать о философии, которая вдохновляет все текущие и последующие инициативы Jio. Цифровая революция знаменует величайшую трансформацию в истории человечества, которая сопоставима с самим фактом появления людей, обладавших интеллектуальными способностями, что произошло примерно 50 тыс. лет назад. Эти вещи сопоставимы по той причине, что сейчас люди начинают менять мир вокруг себя, формируя разум, обладающий практически безграничными возможностями.

Сегодняшний день это начальный этап эволюции разумной планеты. В отличие от предыдущих, эта эволюция будет продвигаться со скоростью, характерной для революции. Всего за восемь оставшихся столетий XXI века наш мир изменится настолько, насколько он не менялся на протяжении предыдущих 20 веков. Впервые в истории человечество получило возможность исправить глобальные проблемы, которые оно унаследовало из прошлого. Это способствует созданию прекрасного, счастливого и процветающего мира для каждого. Для достижения этого, мы снабдим всех наших сотрудников и все наши предприятия необходимыми технологическими и инфраструктурными возможностями. В этом и заключаются цели и амбиции Jio.

Друзья, заполучив самую крупную клиентскую базу и обеспечивая крупнейший трафик данных и голосовых вызовов, а также используя широкополосную сеть передачи данных нового поколения, охватывающую всю страну, Jio является бесспорным лидером на рынке Индии. Видение Jio остается неизменным, и оно основано на двух важных составляющих: цифровая связь и цифровые платформы.

Говоря проще, Jio полон решимости осуществить мечту, которая казалась недостижимой для всех поставщиков телекоммуникационных услуг в других странах, - выполнить переход от инфраструктуры с фиксированной стоимостью к услугам с высокой маржей.

Jio имеет несколько принципиальных отличий от телекоммуникационных компаний, работающих на других рынках:

  • Во-первых, Jio сформировала огромную часть собственного целевого рынка, в то время как Verizon в США или NTT DoCoMo в Японии стремились предоставлять свои услуги в качестве дополнения к конкурентному рынку телекоммуникаций. Jio это единственный вариант для огромного числа жителей Индии (и даже если не является единственным, то значительно более дешевым вариантом благодаря развитой IP-сети, которая может себе позволить дополнительные затраты).

  • Во-вторых, вместо попытки узурпировать такие крупные компании, как Google или Facebook, которым уже принадлежат огромные доли рынка в Индии, Jio сотрудничает с ними.

  • В-третьих, Jio позиционирует себя как беспрецедентный лидер на рынке Индии, и как стержень индийской модели.

Обратите внимание на то, как Амбани анонсировал планы Jio по внедрению 5G:

Глобальная сеть 4G Jio состоит из оптоволоконных каналов, аппаратных и программных решений, созданных молодыми специалистами Jio прямо здесь, в Индии. Все эти технологии и ноу-хау, созданные нашими сотрудниками, позволяют Jio находиться в непосредственной близости к еще одному захватывающему рубежу технологии 5G.

Друзья, сегодня я с гордостью заявляю о том, что команда Jio разработала и спроектировала с нуля полноценное решение в области сетей 5G. Благодаря этому, мы сможем запустить в Индии услугу передачи данных в сетях 5G мирового класса на основе отечественных технологий и решений. Разработанная в Индии технология 5G будет готова к испытаниям и к дальнейшему развертыванию в следующем году. Благодаря конвергентной сетевой архитектуре, которая полностью основана на IP-сети, мы сможем легко обновить нашу существующую сеть 4G до 5G.

Как только 5G сеть компании Jio будет испытана в масштабах Индии, платформы Jio получат хорошие возможности для предоставления собственных решений в области сетей 5G для операторов других стран мира в виде полноценной управляемой услуги. Я посвящаю нашу технологию 5G видению Атманирхбхара Бхарата нашего премьер-министра Шри Нарендры Моди.

Друзья, задуманная с этим видением развития оригинальной интеллектуальной собственности, платформа Jio дает нам возможность продемонстрировать преобразующую силу технологий во многих отраслях, сначала в нашей стране, а затем предлагать созданные в Индии высокотехнологические решения всему миру.

Не стоит заблуждаться, что сеть Jio и работа компании над 5G, занимавшая годы, была мотивирована фразой премьер-министра, которую он впервые произнес всего пару месяцев назад. Скорее всего, самоотверженный Амбани намекнул на то, какую роль в развитии Jio сыграли инвесторы, такие как Google и Facebook, а также на их ожидания от этих инвестиций:

  • Jio использует собственные инвестиции чтобы фактически стать монополистом на рынке телекоммуникационных услуг Индии.

  • Jio становится единственным рычагом правительства для контроля интернета и сбора своей доли доходов с рынка.

  • Jio становится надежной инфраструктурой для привлечения иностранных инвестиций. Несомненно, зарубежным компаниям придется делить свои доходы с Jio, однако Jio устранит все нормативные и инфраструктурные препятствия, которые мешали входу зарубежных компаний на рынок Индии на протяжении многих лет.

Удивительно, что такой подход делает неоднозначным список выигравших и проигравших сторон. С одной стороны, миллионы граждан Индии получили доступ к интернету, и выгода от этого будет только расти по мере предоставления услуг и заключения партнерских соглашений с Jio. С другой стороны, стремление играть роль монополиста, особенно в контексте правительства, которое демонстрирует стремление к контролю над потоками информации, является серьезным недостатком.

Экономические результаты также не являются очевидными. Монополии всегда терпят убытки. Например, если эффективный рынок означает, что вся прибыль устремится в Кремниевую долину, тогда зачем Индии заботиться об обеспечении эффективности? На рынке, опосредованном Jio, именно американские технологические компании получают меньшую прибыль, чем могли бы. И не только Индия собирает огромные налоги. Стремление Jio стать лидером не только на отечественном, а и зарубежных рынках, может привести к огромной победе Индии в долгосрочной перспективе.

Индийский противовес

В последнее время представляется все менее возможным (по крайней мере, неправильным) давать оценку технологической отрасли и ее крупнейшим игрокам без учета геополитических проблем. С точки зрения США, не только неразумно, а и неуважительно ожидать, что Индия согласится на роль государства-вассала. Однако, было бы неплохо иметь противовес Китаю с точки зрения географии, и противовес развивающимся странам. Jio рассматривает многие проблемные области, о которых технологические компании США зачастую не осведомлены, что важно не только для Индии, а для большинства других стран мира.

Тем не менее, таким компаниям, как Facebook, Google, Intel, Qualcomm, следует быть на чеку, поскольку фактически они являются средством достижения цели для компании и государства в целом, которые выбрали свой собственный путь развития. Нельзя сказать, что все эти инвестиции были плохой идеей, но путь Индии может оказаться более популистским и националистическим, чем предпочли бы многие американцы. Тем не менее, Индия настроена менее враждебно по отношению к западному либерализму, чем Коммунистическая партия Китая. К тому же она является важным противовесом.

Остается лишь вопрос: куда движется Европа? Судя по всему, ЕС выбрал не лучший вариант дальнейшего развития. Европейский интернет отличается от видения США, Китая и Индии как раз отсутствием этого видения. Не предпринимая каких-либо действий кроме введения постоянных запретов, ЕС напоминает бледную имитацию имитации статуса-кво, когда деньги играют значительно большую роль, чем инновации.

Подробнее..

Перевод Мечты Nvidia

19.09.2020 14:18:00 | Автор: admin

Еще в 2010 году Кайл Конрой написал в своем блоге пост под названием Что было бы, если бы я предпочел купить акции Apple?:

Сейчас акции Apple достигли рекордно высокой цены. Их стоимость увеличилась в 40 раз по сравнению с той, какой она была 7 лет назад. Итак, сколько бы вы заработали на сегодняшний день, если бы вкладывали средства в покупку акций Apple вместо их продуктов? Посмотрите таблицу ниже.

Конрой обновлял этот пост до 1 апреля 2012 года. На тот момент мой первый компьютер Apple (iBook 2003 года с 12-дюймовым дисплеем), который 22 октября 2003 года обошелся мне в 1099 долларов), стоил бы 57900 долларов. Сегодня эта сумма увеличилась бы до 311973 долларов.

Про этот мем вспоминают каждый раз, когда акции Apple достигают очередного исторического максимума, с учетом затрат на покупку P.A. Semi в 2008 году, когда компания потратила всего 278 млн долларов на приобретение кадрового и интеллектуального фонда, ставшего основой для чипсетов A-серии, используемых для всех продуктов линейки iPhone и iPad с 2010 года (а в этом году появится еще и Mac, который также будет использовать этот чипсет). Компания планирует снабдить остальные линейки продукции собственными чипсетами на протяжении последующих двух лет.

Акции Apple на сумму 278 млн долларов в 2008 году сегодня будут стоить около 5,5 млрд долларов, что по-прежнему является чистой выгодой и напоминанием о том, что между размером приобретения и его влиянием не всегда существует прямая взаимосвязь.

Компания Nvidia приобретает ARM

Недавно Nvidia завершила крупную сделку по продаже чипсетов в истории, купив ARM у Softbank за 40 млрд долларов (наличными и акциями). Основатель и генеральный директор Nvidia Дженсен Хуанг обратился к своим сотрудникам в письме:

Мы объединились с ARM чтобы создать ведущую компанию в области вычислений в эту эпоху искусственного интеллекта. ИИ мощнейшая технологическая сила современности. Суперкомпьютеры с ИИ способны изучать данные и создавать на их основе программы, написание которых не под силу человеку. К удивлению, программы, создаваемые искусственным интеллектом, способны воспринимать окружающую среду, предлагать лучшие идеи и в целом действовать разумно. Эта новая софтверная платформа способна расширить вычислительные возможности во всех уголках земного шара. Когда-нибудь, триллионы компьютеров с ИИ создадут новый интернет интернет вещей, который в тысячи раз будет превосходить существующий интернет людей. Благодаря вычислительным возможностям Nvidia, технологиям искусственного интеллекта и широким возможностям микропроцессоров ARM, мы сможем задействовать безграничные возможности ИИ и ускорить вычисления, выполняемые в облачных сервисах, смартфонах, ПК, беспилотных автомобилях, робототехнике и интернете вещей.

Это большие амбиции для столь крупного приобретения, с чем, очевидно, согласен Уолл-стрит. Рыночная капитализация Nvidia резко возросла на 17,5 млрд долларов, что покрыло почти 21,5 млрд расходов на приобретение ARM, выраженных в виде акций компании, переданных Softbank в рамках сделки. Действительно, акции Nvidia, пожалуй, являются наиболее важным фактором этой сделки. В 2016 году, когда Softbank купил ARM, общая стоимость Nvidia составляла около 34 млрд долларов. С учетом недавнего роста, рыночная капитализация Nvidia составляет 318 млрд долларов.

На первый взгляд, продажа ARM за 32 млрд долларов выглядит так, будто ARM оказался очередным неудачным инвестиционным проектом компании Softbank. Даже покупка акций Nvidia (или, если на то пошло, индексного фонда S&P 500, который с тех пор вырос на 55%) обеспечила бы более высокую доходность, чем 5% стоимости Softbank, которую заработала компания на продаже ARM.

Второй вывод, который напрашивается сам собой, это то, что Nvidia за бесценок приобрела компанию, которая всего 4 года назад являлась ее конкурентом по рыночной капитализации. Разумеется, акции Nvidia могут подешеветь (соотношение цена/прибыль компании составляет 67, что значительно выше 27, среднего показателя по отрасли), но именно это и обуславливает логику покупки контрольного пакета акций: Nvidia может упасть в цене, но не ARM.

Интеграция Nvidia

Как правило, такие новости редко начинают с обсуждения стоимости акций, так как стратегии и бизнес-модели представляют больший интерес. Однако, разбираясь в деталях этой сделки, довольно сложно понять, какая стратегия способствовала этому приобретению.

Начнем с Nvidia. Эта компания яркий пример трансформации отрасли, осуществленной компанией TSMC. В первую очередь Nvidia избавилась от необходимости производить собственные чипы и сосредоточилась на графических картах. Продукты линейки TNT, выпущенные в конце 1990-х, поддерживали Windows и 3d-графику (до их появления аппаратная трехмерная графика обеспечивалась только за счет дополнительных карт 3d-ускорителей). Линейка GeForce, выпущенная в 1999 году, обеспечила компании передовые позиции в отрасли, которые Nvidia сохраняет и по сей день.

В 2001 году была выпущена видеокарта, использующая первый пиксельный шейдер. Вместо жестко запрограммированного графического процессора, способного выполнять лишь перечень заранее определенных команд, шейдер представлял собой программное ядро, программируемое на лету. Повышенный уровень абстракции позволил упростить базовый графический процессор, тем самым обеспечив возможность использования сразу нескольких графических процессоров. Например, в недавно анонсированных самых продвинутых версиях карт серии GeForce RTX 30 установлено 10496 графических ядер.

Такой уровень масштабируемости имеет смысл для видеокарт, так как процесс обработки графики является очень простым: дисплей делится на произвольное количество секций, каждая из которых вычисляется индивидуально и одновременно со всеми. Таким образом, производительность масштабируется горизонтально: растет с каждым новым дополнительным графическим ядром.

Как оказалось, графика не единственный пример параллельных вычислений. Еще один очевидный пример шифрование данных (перебор ключа требует выполнения одного и того же вычислительного процесса). Чипы, выполняющие такие вычисления, являются несложными, но должны содержать большое число ядер (вот почему видеокарты так популярны среди майнеров, которые по сути перебирают ключи шифра до бесконечности).

Но именно машинное обучение является в наибольшей степени привлекательным направлением для Nvidia. Обучение на крупных наборах данных проблема параллельных вычислений, поэтому видеокарты справятся с ней лучше всего. Хитрость в том, чтобы разложить алгоритмы машинного обучения на отдельные части, которые можно запускать в виде параллельно выполняющихся процессов. Видеокарты были созданы для обработки графики, из чего следует, что программисты должны были работать на языках программирования графики, таких как OpenGL.

По этим причинам компания Nvidia переквалифицировалась из производителя модульных компонентов в производителя аппаратного и программного обеспечения. В первую очередь она занялась производством видеокарт, а ее вторым детищем является платформа CUDA. Она открывает доступ программистам к параллельной вычислительной мощности видеокарт Nvidia посредством огромного числа языков без необходимости обладания навыками программирования графики.

Хотя платформа CUDA является бесплатной, это обусловлено тесной интеграцией. Поскольку большинство процедур были настроены и оптимизированы вручную, CUDA поддерживает в целом только видеокарты Nvidia. Несмотря на колоссальные вложения в разработку платформы, CUDA в значительной степени окупилась: она доминирует в области машинного обучения, а видеокарты Nvidia продаются за сотни долларов (упомянутая выше модель GeForce RTX 30 стоит 1500 долларов). Apple не является единственной компанией, которая понимает, какие выгоды может принести дифференциация программных и аппаратных продуктов премиального класса.

Нейтралитет кампании ARM

ARM использует полностью отличную бизнес-модель. Основанная в 1990 году как совместное предприятие Acorn Computers, Apple и VLSI Technology, эта компания не занимается продажами собственных микросхем. Фактически она занимается лицензированием дизайна микросхем для компаний, которые и производят микросхемы ARM. Но это не совсем соответствует действительности: многие лицензиаты ARM заключают контракты с такими компаниями, как TSMC, на производство физических микросхем, продаваемых в последствии OEM-производителям. Эта экосистема является чрезвычайно модульной. Для примера рассмотрим смартфон Oppo с чипом MediaTek.

Микросхемы ARM используются в составе многих устройств (не только смартфонов). Большинство контроллеров, используемых во встроенных системах, являются чипами ARM. Они распространены даже более, чем CPU. В каталоге компании можно найти все: от графических процессоров до ИИ-ускорителей. Компания также занимается лицензированием частичных разработок. Например, Apple разрабатывает собственные микросхемы, но использует ISA, архитектуру набора команд ARM. ARM ISA платформа, связывающая воедино всю экосистему: программы, написанные для одного чипа ARM, совместимы с любыми ARM-чипами, и для использования каждого этого чипа необходимо заплатить лицензионный сбор ARM.

Привилегированное положение ARM обеспечивает то же самое, что поддерживает TSMC нейтралитет. В 1987 году Моррис Чанг основал TSMC, тайваньскую компанию по производству полупроводниковых микросхем, основными девизами которой были честность, приверженность, инновации и доверие клиентов. Честность и доверие клиентов означали, что TSMC никогда не будет конкурировать со своими клиентами с собственными разработками (компания сосредоточена исключительно на производстве).

Поскольку в то время все производство было интегрированным (подобно Intel), эта идея казалась совершенно новой. Несколько фирм, сосредоточенных исключительно на процессе разработки микросхем, были вынуждены отказаться от услуг производителей интегрированных микросхем, которые часто воровали их разработки и прекращали производство в пользу собственных микросхем, если наблюдался рост спроса. TSMC предложила более привлекательную альтернативу несмотря на отставание ее производственных возможностей.

Однако со временем TSMC нарастила свои производственные мощности, чтобы противостоять конкуренции, однако Intel длительное время оставалась лидером. Между тем, сам факт существования TSMC привел к резкому росту количества компаний, занимающихся разработкой дизайна микросхем.

Например, в конце 1990-х годов значительно возросло число компаний, специализирующихся на разработке специальных графических чипов, большую часть которых производила TSMC. Расширяющийся бизнес позволял TSMC на протяжении всего этого времени инвестировать в собственные производственные мощности.

Это была история о том, как TSMC обогнал Intel по объему производства. Но, аналогичным образом ARM обогнал Intel в сфере мобильных устройств. В то время пока Intel делала ставку на производительность, смартфоны нуждались в идеальном балансе между производительностью и нагрузкой на аккумулятор. Компания ARM, которая на протяжении многих лет занималась разработкой высокоэффективных процессоров, имела опыт и использовала гибкую бизнес-модель, благодаря чему смогла правильно расставить приоритеты в своей продукции для мобильных гаджетов.

В конечном итоге, каждый вышел победителем (кроме Intel): почти каждый смартфон в мире работает на чипе ARM (напрямую, либо ARM ISA, как в случае с Apple). То есть, ARM получает доход от заработка каждого участника экосистемы мобильных устройств.

Несоответствие Nvidia-ARM

Лицензия ARM не является бесплатной в отличие от платформы CUDA. Но в этом есть смысл: CUDA это дополнение к проприетарным видеокартам, обеспечивающим огромную прибыль Nvidia. С другой стороны, оплату лицензионных сборов ARM выполняют все участники экосистемы, взамен чему они получают равный доступ к ARM и ISA проектам. Хотя это не бесплатно, таким образом обеспечивается нейтралитет.

Теперь этот нейтралитете стал собственностью Nvidia (по крайней мере теоретически). Компания получила ранний доступ к проектам ARM и возможность вносить изменения в ARM ISA. Другими словами, Nvidia становится поставщиком для многих компаний, являющихся ее конкурентами, что может стать проблемой с учетом репутации Nvidia как компании, завышающей цены и пренебрегающей принципами честного сотрудничества. В качестве аналогии снова приведем компанию Apple, которая держит маржу на рентабельности, всегда ставит свои интересы превыше всего и часто участвует в судебных разбирательствах касательно интеллектуальной собственности. Nvidia (собственно, как и Intel) имеет такую же репутацию.

Разумеется, что Nvidia заявила о том, что лицензиатам ARM не о чем беспокоиться. В письме Хуана сотрудникам Nvidia также указано следующее:

ARM использует великолепную бизнес-модель. Мы будем придерживаться этой модели открытого лицензирования и сохраним нейтралитет клиентов, предоставляя услуги представителям любой отрасли по всему миру, а также продолжим расширять портфель IP-лицензий ARM с помощью лучших в мире графических процессоров и технологий искусственного интеллекта Nvidia.

Любопытно, что Хуанг не просто утверждает, что Nvidia продолжит нейтрально обслуживать клиентов ARM, а и сама примет бизнес-модель ARM, лицензируя свою интеллектуальную собственность. При этом производство ложится на плечи крупных производителей микросхем. Это выглядит так, будто не Nvidia (крупная компания с капитализацией в 318 млрд долларов), а ARM (скромное приобретение стоимостью 40 млрд долларов) диктует свои условия.

Не только весь бизнес Nvidia, основанный на продажах дорогостоящих чипов с высокоинтегрированным программным обеспечением, но и весь подход компании к рынку состоит в том, чтобы действовать так, как выгодно только Nvidia, без учета интересов как партнеров, так и конечных потребителей. Такая роскошь доступна только лучшим в своем классе. Поэтому, слова Хуанга звучат как отречение: зачем торговать высокой маржей на вершине рынка за низкую маржу и головную боль, связанную с предоставлением услуг почти всем?

Такая сделка выглядит как полная противоположность сделки Apple по покупке P.A. Это лишь полу-сделка как по цене, так и по общему влиянию на потребителя. С трудом верится, что Nvidia решила сменить используемый подход. Но, возможно, в этом есть смысл.

Мечта Хуанга

Несомненно, лучшая формулировка преимуществ этой сделки, это та, которая исходила от самого Хуанга. Самым примечательным является факт, что это письмо было написано спустя 46 минут после звонка инвестору по поводу приобретения ARM, и лишь затем ответ на вопрос Зачем Nvidia владеть ARM, а не просто приобрести лицензию? (подобно тому, как Apple имеет бессрочную лицензию на ARM ISA и не нуждалась в покупке ARM)

В ответе Хуанга удивляют не только его развернутость, но и способ подачи. Голос основателя компании был прерывистым и неуверенным, будто он боялся своих собственных амбиций:

Мы являлись восхитительными лицензиатами ARM. Как известно, мы использовали продукты ARM в одном из наших важнейших новых проектов GPU Bluefield. Мы также использовали его для Nintendo Switch, игровой консоли, которая будет самой популярной и успешной в истории. Итак, мы полные энтузиазма лицензиаты ARM.

Есть три причины почему мы должны приобрести эту компанию, и сделать это как можно быстрее.

Первая причина состоит в том, что мы желаем использовать IP Nvidia в сети ARM. Если бы мы не стали единой компанией, то добиться этого было бы весьма непросто. Я не желаю продавать товары других людей через свой рынок. Я не желаю открывать свою экосистему для продуктов других компаний. Экосистема создавалась тяжелым трудом: ARM потребовалось 30 лет чтобы добиться таких успехов. И теперь мы можем предложить эту сеть, всю эту экосистему партнеров и клиентов для IP Nvidia. Простые подсчеты покажут, что это сулит хорошую прибыль.

Во-вторых, мы хотим использовать платформу центра обработки данных от ARM. Между ядром ЦП центра обработки данных, микросхемой ЦП и платформой ЦП центра обработки данные существует фундаментальное различие. В прошлом году мы решили принять и поддерживать архитектуру ARM во всех продуктах Nvidia, и это стало огромным обязательством. В тот же день мы поняли, что ничего не изменится до того момента, пока Nvidia будет процветать. Суть в том, что как только вы реализуете поддержку экосистемы, вы уже не сможете отказаться от нее. По тем же причинам, когда вы являетесь компанией, разрабатывающей вычислительные платформы, люди зависят от вас, и вы должны обеспечивать поддержку до тех пор, пока компания стоит на ногах. Мы дали это обещание, и серьезно относимся к его выполнению.

Вот почему мы решили вложить всю мощь нашей компании в эту архитектуру: от ядра ЦП до микросхем ЦП и всевозможных клиентов и партнеров, таких как Ampere, Marvell, Amazon или Fujitsu. В целом, число таких компаний, которые рассматривают возможность создания процессоров ARM из собственных ядер процессоров является огромным. Инвестиции, сделанные Сайманом за последние 4 года (во время торгов на публичном рынке) оказались невероятно ценными. Теперь мы решили заняться ARM чтобы создать первоклассную платформу центра обработки данных: от микросхем до графических процессоров DPU, программного стека и всего стека вышележащих приложений.

Но, прежде чем осуществить это, было бы неплохо стать владельцем ARM. Мы собираемся извлечь огромную ценность из архитектуры в мире центров обработки данных, так почему бы нам не владеть ею? Это вторая причина.

Третья причина состоит в том, что мы хотим создать будущее используя from cloud to edge подход. То есть, будущее вычислительной техники, в котором все эти автономные системы используют ИИ и ускоренные вычисления: пограничные центры обработки данных 5G, автономные машины всевозможных размеров и форм, автономные предприятия и прочее. Nvidia представила множество программных решений: Metropolis, Clara, Isaac, Drive, Jarvis, Aerial. Все эти платформы построены на основе ARM. С учетом этого было бы здорово владеть ARM.

Вот почему время действительно играет важную роль. Мы вложили много средств во все эти различные области, и почувствовали, что должны воспользоваться возможностью стать владельцем компании и начать активное сотрудничество для изобретения будущего.

Оказывается, все-таки причина в видении Nvidia. Компания не желает быть партнером, который настраивает отношения со всеми, получая пару копеек лицензионных сборов. Хуанг хочет владеть всем.

В этом видении IP Nvidia представляет собой нечто вроде CUDA для графических процессоров дополнение к их грандиозным амбициям. Хуанг нацелен обогнать Intel. В то время как последняя использует модель интеграции разработки и производства, Nvidia стремится усилить интеграцию разработки микросхем и программного обеспечения. Аргумент Хуанга состоит в том, что отсутствие платформы (а не просто чипа или ядра) ограничивает возможности ARM в области ЦОД, и Nvidia намерена создать это программное обеспечение.

С одной стороны, это может представлять интерес для лицензиатов ARM, таких как Amazon, которые инвестировали в чипы ARM для ЦОД. Но, Nvidia вряд ли действует в благотворительных целях. Хуанг дважды подчеркнул важность получения выгоды, которую будет получать Nvidia, что в конечном итоге приведет к росту лицензионных сборов. Разумеется, Nvidia может внести изменения в ARM для соответствия центру обработки данных в большей степени, чем если бы они являлись лицензиаром. Но настоящая цель компании привязать ARM к программной платформе Nvidia так, чтобы у лицензиатов не осталось выбора кроме как платить, несомненно, увеличившиеся лицензионные сборы (что по-прежнему позволит производить более дешевые чипы, чем у Intel).

Неизвестно, сработает ли стратегия Хуанга. Наиболее важным критерием ЦОД является плотность вычислительной мощности, которая напрямую зависит от производительности процессора на 1 ватт потребляемой энергии. Это не та область, в которой ARM имеет определенные преимущества над Intel. Видение Хуанга содержит множество аспектов, которые выходят за рамки контроля Nvidia, так что это лишь мечта. Но эта мечта так близка к тому, что делает компанию Nvidia по-настоящему уникальной. Хуанг не стремится перенять бизнес-модель ARM, он будет использовать ее для видения интеграции, которая делает Nvidia объектом неизбежности.

Возвращаясь к сделке, она кажется довольно выгодной. Если акции Nvidia действительно переоценены, то она получила ARM с еще большей скидкой, чем может показаться на первый взгляд. Однако, с учетом видения компании, изложенного Хуангом, есть все основания полагать что акции Nvidia оценены верно. Возможно, эта сделка приведет к таким же результатам, как приобретение P.A. Semi.

Дополнительные сведения о сделке:

  • Как уже было сказано выше, Apple обладает бессрочной лицензией на ARM. Какой-либо детальной информации об этой лицензии нет. Теперь стало известно, что Apple может расширить ISA для достижения своих целей, но условия и этой сделки не разглашаются. По этим причинам Apple не стремилась покупать ARM, даже если бы на нее претендовала компания, с которой Apple не ладит, такая как Nvidia.

  • Видение будущего ARM во многих смыслах никак не совместимо с прошлым, в котором ARM держала нейтралитет. Но, компания уже успела столкнуться с определенными проблемами. RISC-V это ISA с открытым исходным кодом, популярность которого растет (в частности, при использовании для встроенных контроллеров), поскольку он избавляет от контроля со стороны ARM и лицензионных сборов. Инвестиции в проект RISC-V на фоне этой новости только возрастут. Но, это лишь попытка приблизить неизбежность.

  • Самые серьезные регуляторные проблемы с приобретением ARM могут возникнуть по вине Китая. С одной стороны, у Поднебесной есть все основания опасаться того, что американская компания, которая подпадает под действие требований экспортного контроля США, получила доступ к огромному количеству технологий микропроцессоров. С другой стороны, ARM China это совместное предприятие, генеральный директор которого оказался мошенником, и не ясно, управляет ли он работой ARM на самом деле. Возможно, Nvidia купит ARM без одобрения Китая и ARM China (20% продаж ARM). Однако, похоже, что мечты Хуанга могут перевесить все эти неурядицы.

Подробнее..

Перевод Julia готова для прода

22.09.2020 10:23:41 | Автор: admin


Сейчас мне хочется поделиться своими выводами сделанными после нескольких бесед, в которых я участвовал на JuliaCon 2020.


Я потратил уже 20 лет на развертывание в корпоративных средах проектов связанных с наукой о данных (тогда она так еще не называлась, но мы уже обучали нейронные сети делать прогнозы), и у меня есть много коллег, которые глубоко занимаются разработкой корпоративного программного обеспечения. Процитирую Томаша Ольчака, который воистину является армией из одного человека во время реализации сложных корпоративных проектов:


Джулия быстра и имеет очень хороший синтаксис, но ее экосистема недостаточно зрела для использования в серьезных производственных проектах.

В течение многих лет я бы с этим согласился, но после JuliaCon 2020, я думаю, мы можем с уверенностью заявить, что


Джулия готова идти в производство!


Позвольте мне теперь привести список ключевых (на мой взгляд) презентаций, сделанных во время JuliaCon 2020, которые заставили меня сделать этот вывод.


Я не буду комментировать здесь функциональные возможности, связанные с числодробительством, так как ясно, что Джулия на этом поприще блистает, посему, хотелось бы сосредоточиться на вещах, которые делают Джулию отличным инструментом для внедрения в разработку (все же я пропускаю много интересных докладов в этой области ознакомьтесь с подробной программой, чтобы узнать больше).


Создание микросервисов и приложений


В этом докладе Джейкоб Куинн дает сквозное руководство по созданию и развертыванию в корпоративной среде микросервиса с использованием Julia. Он дает готовые рецепты решения типовых задач, таких как: ведение журнала, управление контекстом, настройка промежуточного программного обеспечения, аутентификация, кэширование, пулинг связи, докеризация и многое другое, что является хлебом насущным корпоративных проектов.


Еще будет интересно:


  • Доклад по характеристикам приложений, где Кристоффер Карлссон покажет как создать исполняемые файлы, которые могут быть запущены на машинах, на которых не установлена Julia.
  • Презентация Julia for scripting, в ходе которой [Фредрик Экре]() обсуждает лучшие практики использования Julia в контекстах, где вам нужно много раз выполнять короткие фрагменты кода.
  • Доклад Genie.jl, в котором Адриан Сальчану показывает зрелый, стабильный, производительный и многофункциональный фреймворк веб-разработки на Julia.

Управление зависимостями


Пара докладов Pkg.update() и What's new in Pkg показывает, что в настоящее время Julia имеет лучшие в своем классе функциональные возможности для управления зависимостями корпоративного уровня для ваших проектов. Список предоставляемых функций настолько велик, что здесь трудно перечислить их все.


Позвольте мне только упомянуть один конкретный инструмент в этой экосистеме BinaryBuilder.jl, который позволит взять программное обеспечение, написанное на компилируемых языках, таких как C, C++, Fortran, Go или Rust, и построить предварительно скомпилированные артефакты, которые могут быть легко использованы из пакетов Julia (что означает, что не нужна никакая компиляция на стороне клиента, когда вы устанавливаете пакеты, имеющие такие зависимости).


Интеграция с внешними библиотеками


Естественной темой, связанной с управлением зависимостями, является интеграция Julia с внешними инструментами. Эта область функциональности действительно зрелая. Вот список докладов, которые охватывают эту тему:



Здесь стоит добавить, что Джулия уже много лет отлично интегрируется с Python, см. JuliaPy.


Хорошим всеобъемляющим примером выполнения некоторой реальной работы в Julia, требующей интеграции, является создание многоканальной беспроводной настройки динамиков, где показано, как легко сшивать всякие штуки вместе (и, в частности, с помощью ZMQ.jl, Opus.jl, PortAudio.jl, и DSP.jl).


Еще один интересный доклад, демонстрирующий возможности интеграции, это JSServe: Websites & Dashboards в Julia, который показывает высокопроизводительный фреймворк для легкого объединения интерактивных графиков, markdown, виджетов и простого HTML/Javascript в Jupyter / Atom / Nextjournal и на веб-сайтах.


Инструментарий разработчика


В паре замечательных докладов Juno 1.0 и Using VS Code рассказывается, что текущая поддержка IDE для Джулии в VS Code первоклассна. У вас есть все для полного счастья: анализ кода (статический и динамический), отладчик, рабочие области, интеграция с ноутбуками Jupyter и удаленные возможности.


Управление рабочими процессами в машинном обучении


Я не хочу охватывать множество различных алгоритмов ML, доступных в Julia изначально, так как их просто слишком много (и если чего-то не хватает, вы можете легко интегрировать его см. раздел возможности интеграции выше).


Однако в дополнение к конкретным моделям вам нужны фреймворки, позволяющие управлять рабочими процессами ML. В этой области есть две интересные презентации: MLJ: A machine learning toolbox for Julia, и AutoMLPipeline: A ToolBox for Building ML Pipelines. По моему опыту, такие инструменты имеют решающее значение, когда вы хотите перейти с вашими ML-моделями из песочницы дата-саянтиста в реальное производственное использование.


Выводы


Очевидно, я опустил много интересных вещей, которые были показаны во время JuliaCon 2020. Однако я надеюсь, что те аспекты, которые я здесь затронул, то есть:


  • модели корпоративного уровня для создания микросервисов, приложений и
    надежные инструменты управления зависимостями,
  • очень гибкие и мощные возможности для интеграции Julia с существующими кодовыми базами, которые не были написаны на Julia,
  • отличный инструмент разработчика в VSCode,
  • зрелые пакеты, которые помогут вам создать производственный код для развертывания ML-решений,

покажут, что уже сейчас Джулия может (и должна) рассматриваться как серьезный вариант для вашего следующего проекта в корпоративной среде.


Что я считаю чрезвычайно важным, так это то, что у нас есть не только готовые необходимые инструменты, но и отличные практические примеры того, как их можно использовать для создания надежного производственного кода.


Готова Ли Джулия для прода? Вопросы и ответы с Богумилом Каминским


Статья профессора Каминского вызвала немного ажиотажа на Hacker News. Некоторые комментаторы высказывали сомнения в том, что Джулия может считаться готовой к производству из-за, в частности, документации, пакетов, инструментов и поддержки.


InfoQ решило поговорить с профессором Камински, чтобы лучше понять его позицию.


InfoQ: Не могли бы вы описать ваш быкграунд и вашу связь с Julia?


Bogumi Kamiski: Я профессор Варшавской школы экономики SGH, Польша, работаю в области операционных исследований и имитационного моделирования.
Я нахожусь в топ-5% участников языка Julia по количеству коммитов, внес значительный вклад в экосистему данных Julia и, в частности, один из основных мейнтейнеров DataFrames.jl.
Я занимаю второе место по ответу на тег [julia] в StackOverflow. Прежде чем перейти на полный рабочий день в академию, я более 10 лет руководил командой из нескольких сотен разработчиков и аналитиков, развертывающих проекты BI/DWH/data science для крупнейших польских корпораций и учреждений.


InfoQ: Основная аргументация в вашей статье, по-видимому, заключается в том, что экосистема Julia теперь достигла уровня зрелости, который делает ее готовой к производству. Не могли бы вы подробнее остановиться на этом моменте? Что препятствовало внедрению Джулии в производство и каковы наиболее значительные достижения, которые устранили эти блокирующие моменты?


Kamiski: Здесь очень важно определить, что я понимаю под готовностью Джулии к проду.


Я бы определил это так: наличие у языка основных пакетов достигает такого уровня стабильности, что вещи не меняются кардинальным образом "каждые шесть месяцев". Это означает, что когда вы начинаете проект, вы можете смело ожидать, что в долгосрочной перспективе (несколько лет) все должно просто работать.


В прошлом это было серьезной проблемой. Основные пакеты, как правило, часто меняли свой API; учебные пособия, созданные год назад, теперь не будут работать без получения обновлений и т. д. Это было естественное состояние, когда развивались язык и экосистема. Теперь я вижу, что эти вещи значительно изменились, особенно для ядра языка Julia, но аналогичные вещи происходят и в экосистеме пакетов.


Это не означает, что новые пакеты не находятся в состоянии "потока", но это то, что засвидетельствовано любой экосистемой пакетов, поскольку новые вещи развиваются быстро.


Кроме того, менеджер пакетов действительно зрелый, и я бы сказал, что в настоящее время он является одним из лучших в своем классе.


Это означает, что было приложено много усилий, чтобы заставить вещи "просто работать", особенно для пакетов, имеющих бинарные зависимости. Напротив, несколько лет назад могло случиться так, что вы попытались установить пакет, а он навернулся, потому что какая-то внешняя зависимость не компилировалась. Таким образом, вы должны были вручную настроить исходный код этого пакета, чтобы заставить его работать при условии, что вы знали, как это сделать, что не всегда было очевидно.


В частности, начиная с Julia 1.5 стало возможным бесшовное корпоративное развертывание Julia. Ранее возникали проблемы из-за протокола диспетчера пакетов, используемого для синхронизации с GitHub, который часто конфликтовал с настройками брандмауэра в корпоративных средах.


Почему это так важно? Ну, вы можете легко "отправить" проект Julia и ожидать, что любой человек в любой среде должен быть в состоянии относительно легко запустить его. Конечно, будут угловатые моменты; но мой опыт ежедневного использования Linux и Windows 10 заключается в том, что все должно просто работать на обеих платформах.


Если вы делаете проект в Julia, вы можете ожидать, что либо есть пакет, который делает то, что вы хотите, либо вы можете легко использовать код, написанный на C или Python, и заставить его работать. В своем посте я хотел подчеркнуть, что мы находимся именно в этом состоянии. В качестве примера, основанного на чем-то, над чем я работал на этой неделе, у Джулии есть отличный пакет LightGraphs.jl для работы с графиками, но мои сотрудники используют Python и предпочитают использовать igraph. Вот пример кода с использованием графика (взято из учебника для графика в Python):


import igraph as igg = ig.Graph()g.add_vertices(3)g.add_edges([(0,1), (1,2)])g.add_edges([(2, 0)])g.add_vertices(3)g.add_edges([(2, 3), (3, 4), (4, 5), (5, 3)])g.pagerank()

Теперь вы спросите, как бы выглядел эквивалент в Julia. А вот так:


using PyCallig = pyimport("igraph")g = ig.Graph()g.add_vertices(3)g.add_edges([(0,1), (1,2)])g.add_edges([(2, 0)])g.add_vertices(3)g.add_edges([(2, 3), (3, 4), (4, 5), (5, 3)])g.pagerank()

Как видите, он идентичен. Конечно, не во всех случаях это так просто, так как, например, словари в Julia и Python имеют разные синтаксисы, но это общее правило о том, как все работает. У вас даже есть вкладка-завершение и прямой доступ к строкам документов.


Что это означает на практике? Если вы делаете проект, вы не застреваете с мыслью: "могу ли я использовать Джулию, так как через три месяца, возможно, мне понадобится что-то в проекте, чего еще нет в Джулии"? Но скорее вы знаете: "я могу относительно безопасно использовать Julia, так как в настоящее время многие пакеты общего назначения уже существуют, и даже если чего-то не хватает, я могу просто использовать это с другого языка, и это будет относительно безболезненно, независимо от того, является ли это C/Python/R/...".


Также частью производственной готовности является то, что с PackageCompiler.jl вы можете создавать "приложения, которые представляют собой набор файлов, включая исполняемый файл, который может быть отправлен и запущен на других машинах без установки Julia на этой машине." Я не рассматриваю это как существенную часть готовности для продакшена (многие скриптовые языки, считающиеся готовыми к производству, не предоставляют этой опции), но во многих сценариях это хорошая функция.


Теперь позвольте мне уточнить, что я не вижу в определении термина "готовый к производству". Я не рассматриваю Джулию как язык, который лучше всего подходит для любого вида проекта. Каждый язык программирования имеет свою нишу, и ниша Julia это высокопроизводительные вычисления / наука о данных (или как вы это там называете). Если вам нужны компактные бинарные файлы наверняка Julia не является лучшим вариантом. Если вы хотите разрабатывать приложения для Android тут тоже посоветую смотреть в другом направлении.


Я считаю, что если вы хотите сделать проект, для которого Джулия хорошо подходит, если вы хотите перейти к производству, вам, вероятно, нужно будет удовлетворить многие общие требования. Эти требования необходимы только для того, чтобы ваши основные функции хорошо взаимодействовали с остальной экосистемой, в которой вы развертываете свой код. И я считаю, что Джулия достигла такого уровня зрелости, когда этого легко достичь, либо с помощью существующих пакетов, либо с помощью интеграции с внешними инструментами, что действительно легко в Джулии.


InfoQ: Ваше заявление прозвучало немного надуманно для некоторых комментаторов хакерских новостей, особенно когда речь заходит о том, чтобы считать Джулию готовой к производству в качестве языка общего назначения. Не хотите ли вы добавить некоторые дополнительные соображения по этому поводу?


Kamiski: Процитирую то, что я написал в начале своего поста:


"Я потратил 20 лет на развертывание проектов, связанных с наукой о данных, в корпоративных средах (тогда это не называлось наукой о данных, но мы уже обучали нейронные сети делать прогнозы), и у меня есть много коллег, которые глубоко занимаются разработкой корпоративного программного обеспечения."


Это основа моего поста, то есть заниматься наукой о данных, но не на "вашем заднем дворе" или "академической исследовательской лаборатории", а скорее в "деловой среде". Как я уже объяснял выше, ни я, ни, вероятно, кто-либо из разработчиков, участвующих в Julia, не утверждают, что это "универсам" для любого вида девелоперского проекта.


Если вы посмотрите на опрос разработчиков Julia, слайд 28, то станет ясно, что люди используют Julia для вычислений и это те области, где, по моему мнению, Джулия готова к производству.


Теперь, что касается таких вещей, как документация, пакеты, инструменты и поддержка конечно, это должно и может быть улучшено. И я согласен, что более зрелые экосистемы, такие как R/Python/Java, в среднем имеют здесь лучший охват. Например, как соразработчик DataFrames.jl, я могу сказать вам, что большинство последних PR связаны с документацией. Но я бы не стал недооценивать сообщество Джулии здесь. В общем, если у вас есть какой-либо вопрос и вы разместите его на SO, Julia Discourse или Julia Slack, вы можете получить ответ обычно в течение нескольких минут, самое большее часов. Вот типичная история такого рода: люди обычно очень отзывчивы, и ошибки исправляются довольно быстро.


Если бы меня попросили назвать главный сомнительный момент касательно Джулии, то это было бы наличие достаточного количества людей, квалифицированных в этом языке в общем сообществе разработчиков. Я могу понять владельцев продуктов / менеджеров проектов и их чувство риска того, что они не смогут найти достаточно людей для работы над своими проектами, как только они возьмут на себя смелость начать работать на Julia. Однако здесь я убежден, что ситуация быстро улучшается. В прошедшем JuliaCon 2020 приняли участие более 20 000 участников. Кроме того, есть много ресурсов, уже доступных бесплатно в интернете.


InfoQ: Помимо вопроса о том, готова ли Джулия к проду или нет, или для каких областей она предназначена, каковы, на ваш взгляд, основные сильные стороны языка? Рассматриваете ли вы его как замену Python, R или любому другому языку, по крайней мере в области научных вычислений и науки о данных?


Kamiski: Я думаю, что здесь снова лучше всего процитировать последний опрос разработчиков Julia, слайды с 8 по 11. Я бы сосредоточился на трех главных вещах из слайда 8:


  • Скорость здесь ситуация относительно проста. Возьмите любой зрелый пакет, такой как TensorFlow или PyTorch, который требует производительности; они написаны в основном на C++. А Python это всего лишь тонкая оболочка вокруг ядра C++. Теперь возьмем Flux.jl или Knet.jl. Они по существу реализованы в чистом виде. Итак, суть такова: если вам нужно, чтобы ваш код работал быстро, в то же время используя преимущества языка высокого уровня, то Julia это естественный выбор. Кроме того, как объяснялось выше, если есть внешняя библиотека, которая очень быстра, и вы хотите использовать ее, обычно это относительно легко сделать.


  • Простота использования есть множество проявлений этого аспекта, но мой опыт показывает, что когда кто-то получает представление о принципах Джулии, он очень хорошо сравнивается с точки зрения синтаксиса и дизайна, например, с R/Python при выполнении вычислений. Язык был разработан вокруг поддержки этих видов задач в лучшем виде. И это не только синтаксис это также выбор того, когда вещи будут происходить явно, а когда нет (например, с трансляцией). Исходя из моего опыта, это делает код Джулии простым в обслуживании, а хорошо написанный код в значительной степени самодокументируется.


  • Код является открытым и может быть изменен этот аспект имеет два измерения. Прежде всего, большинство пакетов Julia лицензированы MIT, что часто очень приветствуется в корпоративных средах. Во-вторых поскольку большинство пакетов написано на Julia, то если вам не нравится, как что-то работает вы просто модифицируете это сами (что гораздо проще, чем в R/Python, где, скорее всего, то, что вам нужно изменить, написано, например, на C, C++, Fortran).



Люди часто спрашивают меня, вижу ли я Джулию в качестве замены R / Python. И я думаю об этом так::


  • Если вы делаете сложные вычисления, требующие производительности наверняка я бы выбрал Julia в качестве инструмента для разработки этих частей вашего проекта.


  • Если у вас есть новая задача, не требующая критической производительности просто используйте язык, который вы знаете лучше всего (и если для вас часто актуален пункт 1 как для меня вы можете смело выбрать для этого Julia).


  • Если у вас много устаревшего кода R/Python и вы им довольны просто придерживайтесь его и помните, что если у вас есть некоторые критически важные для производительности части, они могут быть относительно легко переписаны на Julia и интегрированы обратно с вашей исходной кодовой базой (я сделал много таких проектов).



InfoQ: Как вы видите эволюцию Джулии?


Kamiski: Во-первых, я бы сказал, что согласен с тем, что подразумевается в вашем вопросе: это будет "эволюция", а не "революция". Конструкция Джулии оказалась надежной, и я не думаю, что она изменится радикально; скорее, во многих областях будут наблюдаться постепенные улучшения.


Если бы я назвал здесь некоторые основные изменения, то это были бы:


  • Улучшение поддержки многопоточности. Я думаю, что это действительно актуально для основных случаев использования Julia. Так-то поддержка есть, но все же здесь многое можно улучшить. Точно так же следует ожидать улучшения в обработке GPU/TPU.


  • Улучшение задержки компилятора. Опять же, с каждым релизом он становится намного лучше, но это как раз то, на улучшение чего все уповают.


  • Наличие более зрелой экосистемы пакетов. Здесь я в основном имею в виду качество, стабильность и документацию пакетов, так как с точки зрения охвата функциональности уже существуют тысячи доступных пакетов. Просто, чтобы подчеркнуть то, что я сказал выше, я считаю, что многие основные пакеты уже достаточно зрелы, но я согласен с людьми, которые комментируют, что здесь все должно улучшиться.


  • Рост сообщества я считаю, что число людей, заинтересованных в Джулии, значительно увеличивается, о чем свидетельствует, например, количество участников JuliaCon2020. Это означает, что: а) в будущем будет легче нанимать качественных разработчиков Julia, если они понадобятся, и б) это создаст положительную обратную связь для качества экосистемы Julia, поскольку все больше людей сообщают о проблемах и участвуют в них. Опять же, как сопровождающий DataFrames.jl я наблюдаю этот сдвиг: люди, которые никогда не были в "ядре" разработки пакета, открывают вопросы / делают PR и обсуждают функциональные возможности в социальных сетях.



Если вы заинтересовались языком Julia, все доклады с JuliaCon 2020 доступны на YouTube.

Подробнее..

Перевод Стратегия Китая по беспилотным автомобилям

25.09.2020 14:16:06 | Автор: admin
image


Китай прикладывает системные усилия к разработке беспилотных транспортных средств, ожидая, что в конечном итоге он сможет захватить автомобильный рынок.

Китай делает крупные инвестиции в беспилотные автомобили и планирует заниматься масштабным развитием во всех аспектах этого развивающегося сегмента автомобильной промышленности технологиях, стартапах, тестировании, регулировании и внедрении.

Этот материал будет состоять из двух частей и будет посвящен китайской стратегии создания беспилотного транспорта, текущему положению дел, примерам использования и обзору ключевых компаний. Информация о ведущих компаниях будет в представлена во второй части.

Полезно понять, насколько большим стал Китай в автомобильной промышленности сводка этих процессов приведена в таблице выше (в сравнении с США). Большая часть информации взята из онлайн-версии Всемирной книги фактов ЦРУ, которая является отличным источником данных обо всех странах мира.

Что касается населения, то Китай более чем в четыре раза превосходит США, но темпы роста Китая ниже. Численность рабочей силы Китая превосходит американскую в 5 раз. Кроме того, учитываются такие экономические показатели, как валовой внутренний продукт (ВВП), а также экспорт и импорт каждой страны.

Автомобильная промышленность Китая продолжала расширяться даже после того, как в 2009 году она стала крупнейшим рынком сбыта автомобилей; в 2017 году в Китае было продано более 28 миллионов автомобилей. В течение последующих двух лет продажи автомобилей в Китае снизились в 2019 году общий объем составил 24,7 миллиона. Продажи автомобилей в США, тем временем, превысили 17 миллионов за последние пять лет, хотя цифры несколько снизились в 2019 году до 17,1 миллиона. Американский автопарк продолжает расти, и концу 2019 года составлял 284 миллиона машин.

Количество автомобилей в китайском автопарке в 2019 году составило 234 млн, причем этот показатель растет быстрее, чем США (вероятно, Китай обойдет США к 2024 году). В пересчете на душу населения США намного опережают Китай, и маловероятно, что Китай когда-нибудь сократит этот разрыв. В США на 1000 человек приходится 854 автомобиля, в то время как в Китае 168 на 1000.

Данные по продажам автомобилей и численности автопарка предоставлены компанией IHS Markit, и они включают в себя легковые автомобили.

Площади стран очень близки: 9,6 миллиона квадратных километров у Китая и более 9,8 миллиона квадратных километров у США. В обеих странах одинаковая протяженность дорог с твердым покрытием около 4,3 миллиона километров.

Китай обогнал США по скоростным дорогам из-за больших инвестиций в последнее десятилетие. США лидируют по протяженности грунтовых дорог с отрывом примерно в три раза.

Я также включил данные об абонентах мобильных телефонов и интернет-пользователях, а также о ведущих китайских компаниях в обеих категориях.

В обеих странах абонентов мобильной связи больше, чем населения. Данные о пользователях Интернета в Китае поступают от CNNIC.com ресурса, который ежегодно проводит два обширных опроса пользователей Интернета с конца 1990-х годов.

Подавляющее большинство пользователей Интернета в Китае в настоящее время выходят в сеть со смартфонов.

Китайская стратегия по созданию беспилотного транспорта


image

Пекин, 2017

Китай прилагает значительные усилия для того, чтобы стать лидером в разработке, тестировании и внедрении технологий беспилотной езды. Основная причина заключается в том, что Китай считает, что он окажет большое влияние на собственную автомобильную промышленность и увеличит свой экспортный потенциал по мере того, как эти технологии будут развиваться.

Китай рассчитывает стать лидером по интеллектуальной собственности в областях электромобилей с аккумуляторными батареями (BEV), беспилотных автомобилей (AV) и технологий, лежащих в их основе. В области современных двигателей внутреннего сгорания у Китая достаточно слабые позиции. Для того, чтобы запустить собственную автомобильную промышленность, Китаю потребовались совместные предприятия с европейскими, американскими, японскими и корейскими автопроизводителями.

Китай делает ставку на то, что технологии беспилотной езды станут основным фактором в получении контроля над автомобильной промышленностью наряду с аккумуляторными электромобилями. Китай обнародовал свою стратегию по разработке беспилотных автомобилей в феврале 2020 года. Одиннадцать китайских правительственных департаментов совместно опубликовали свою Стратегию по инновациям и развитию интеллектуальных транспортных средств. Это обновление проекта, который был выпущен в январе 2018 года. Согласно этому плану, интеллектуальные транспортные средства будут использоваться вместе с автономными транспортными средствами на взаимозаменяемой основе.

В этом документе представлено предложение о том, как Китай планирует развивать беспилотный транспорт в течение следующих 30 лет. Он доступен на веб-сайте Национальной комиссии по развитию и реформам. Ссылка на китайскую версию здесь.

Следующий раздел обобщает мои взгляды на влияние этой китайской стратегии. Чтобы подытожить этот план, я использовал статью из China Law Insight.

Китайская стратегия это план того, как Китай будет ускорять развитие технологий беспилотного транспорта в течение ближайших 30 лет. В его разработке приняли участие 11 центральных китайских правительственных департаментов. Этот план свидетельствует о том, что Китай верит в то, что технологии беспилотной езды будут иметь разрушительные последствия для многих отраслей промышленности. Такой уровень вовлеченности различных департаментов показывает, что существует четкое понимание того факта, что беспилотный транспорт будет влиять на важные промышленные отрасли (такие как автомобилестроение, электроника, программное обеспечение, чипы, картография, транспорт, телекоммуникации и многие другие).

Решение вопроса о предстоящих переменах, вызванных беспилотным транспортом, потребует координации действий между правительственными ведомствами Китая. Китайская стратегия сфокусирована на множестве технологических вопросов, но также включает в себя регулирование, стандарты и необходимость переформатирования существующих транспортных сегментов.

Понимание необходимости и стимулирование этих процессов стали неожиданной инициативой правительственных организаций, и они служат хорошим предзнаменованием для развития и развертывания китайского беспилотного транспорта.

Элементы китайской стратегии по разработке беспилотного транспорта


Документ с китайской стратегией по развитию беспилотного транспорта охватывает технологии, инфраструктуру, кибербезопасность, регулирование и международное сотрудничество.

Открытые технологические системы: Китайская стратегия поощряет создание открытых систем для быстрого внедрения инноваций. Платформа Baidu Apollo AV является хорошим примером такого подхода, поскольку она создает большую экосистему для множества компаний и способствует быстрому внедрению инноваций.

Сюда входят и многие другие технологии архитектура, микросхемы для систем беспилотной езды и ИИ, программное обеспечение, программные платформы (включая операционные системы), карты высокой четкости и технологии точного определения местоположения. Также была отмечена важность развития беспилотного транспорта.

Инфраструктура для беспилотного транспорта: Китай планирует использовать несколько технологий в качестве инфраструктуры для беспилотных транспортных средств. Карты высокого разрешения уже используются всеми компаниями в этой области, включая китайские. Тем не менее, в Китае существует множество ограничений, и только несколько китайских компаний имеют необходимые разрешения на разработку карт высокой четкости. Китай также подчеркивает свое обязательство быстро развернуть 5G связь как часть своей инфраструктуры для беспилотного транспорта. Китай является лидером в развертывании 5G, но для того чтобы сравняться с нынешним покрытием сетей четвертого поколения, потребуется более пяти лет.

Китай также планирует использовать возможности C-V2X во всех сценариях использования беспилотного транспорта. Это хорошая стратегия, в конечном итоге она повысит безопасность беспилотного транспорта и упростит работу над ней. Недостатком этого протокола является то, что его работа зависит от большой базы автомобилей с поддержкой C-V2X желательно, чтобы все эти автомобили были на дороге. Развертывание C-V2X будет происходить медленнее, чем 5G, так как в настоящее время существует более 230 млн. машин без поддержки C-V2X. Следовательно, скорее всего, до 2035 года (а может и позже), большинство автомобилей на дорогах не будут оснащены этой системой. Впрочем, замена смартфонов происходит гораздо быстрее, чем замена автомобилей, а это означает, что связь V2P (от транспортного средства к пешеходу) будет полезна к 2030 году. Анализ активности пешеходов относится к числу наиболее острых проблем в области беспилотного транспорта, и ожидается, что протокол C-V2X будет весьма полезен.

Комплексная кибербезопасность: Примечательно, что этой проблеме был посвящен отдельный пункт в китайской стратегии по развитию беспилотного транспорта. Это значит, что Китай понимает важность и трудности развертывания аппаратного и программного обеспечения для обеспечения кибербезопасности. В настоящее время формируются два важных стандарта кибербезопасности в автомобильной промышленности ISO 21434 и UN WP.29. Ожидается, что Китай будет использовать или развивать эти стандарты кибербезопасности.

Международное сотрудничество: Документ о китайской стратегии поощряет отечественные и международные компании к сотрудничеству в области развития беспилотного транспорта технологий в Китае. Он также поддерживает коммерциализацию международных компаний в Китае. Китайская стратегия по развитию беспилотного транспорта требует принятия стандартов, сертификации и аккредитации случаев использования беспилотных автомобилей во всех регионах.

Обновления законов и стандартов: Китайская стратегия подчеркивает важность обновления законов и стандартов для беспилотного транспорта, причем приоритетом является ПО для беспилотной езды. Также необходимо отметить важность юридической ответственности, правовых вопросов и правил управления данными.

Обязательства и ответственность заинтересованных сторон также нуждаются в законах и регулировании. Необходимо пересмотреть и усовершенствовать китайское законодательство о дорожном движении, а также законы о съемке и обработке карт в беспилотных транспортных средствах. За исключением правил тестирования беспилотного транспорта, китайские законы не были адаптированы в терминах новой стратегии развития.

Временная линия китайской стратегии


В докладе о стратегии по развитию беспилотного транспорта кратко описывается временная линия внедрения этих планов. Тем не менее, доклад включает в себя несколько целей на 2025 год, вот некоторые из них:

  • Крупномасштабное производство беспилотных автомобилей, работающих в определенных условиях, или транспортных средств третьего уровня. В данный пункт входят и системы беспилотной езды третьего уровня, разрабатываемые несколькими OEM-производителями.
  • Развертывание беспилотных транспортных средств четвертого уровня для конкретных сред. Сюда входят роботакси, беспилотные грузовые и товарные транспортные средства. В следующей статье мы рассмотрим нынешнее состояние этих отраслей на китайском рынке.
  • Полноценные китайские стандарты для беспилотных транспортных средств, охватывающие технологические инновации, инфраструктуру, законодательство, надзор и сетевую безопасность.


Я бы ожидал, что китайская инфраструктура для беспилотного транспорта будет преимущественно развиваться в период между 2025 и 2030 годами, включая автомобильные 5G и C-V2X.

Китай является лидером по большинству аспектов разработки беспилотного транспорта технологий и его тестированию, включая все основные сценарии его использования. Пандемия COVID-19 поразила Китай, но в гораздо меньшей степени, чем США и другие страны. Китай готов стать крупнейшим конкурентом США в области беспилотного транспорта. Документ со стратегией развития был хорошо воспринят в Китае в 2020 году. Стартап-компании в области беспилотного транспорта и смежных сегментах отмечают рост инвестиций в эту отрасль. Тестирование беспилотных транспортных средств в Китае также значительно увеличилось за последние шесть месяцев о нем речь пойдет в следующей статье.

Подписывайтесь на каналы:
@TeslaHackers сообщество российских Tesla-хакеров, прокат и обучение дрифту на Tesla
@AutomotiveRu новости автоиндустрии, железо и психология вождения




image

О компании ИТЭЛМА
Мы большая компания-разработчик automotive компонентов. В компании трудится около 2500 сотрудников, в том числе 650 инженеров.

Мы, пожалуй, самый сильный в России центр компетенций по разработке автомобильной электроники. Сейчас активно растем и открыли много вакансий (порядка 30, в том числе в регионах), таких как инженер-программист, инженер-конструктор, ведущий инженер-разработчик (DSP-программист) и др.

У нас много интересных задач от автопроизводителей и концернов, двигающих индустрию. Если хотите расти, как специалист, и учиться у лучших, будем рады видеть вас в нашей команде. Также мы готовы делиться экспертизой, самым важным что происходит в automotive. Задавайте нам любые вопросы, ответим, пообсуждаем.

Читать еще полезные статьи:

Подробнее..

Физики из Германии нашли способ объединить квантовую криптографию с полупроводниковыми технологиями

19.09.2020 16:20:36 | Автор: admin

Немецкие ученые создали новый способ генерировать инфракрасные одиночные фотоны на основе кремния. Источник создает до 100 тыс. фотонов в секунду. Подход может объединить квантовую криптографию с популярными полупроводниковыми технологиями.

Квантовое распределение ключей используют для обеспечения безопасности данных. Суть способа в выработке общего секретного ключа шифрования для двух удаленных пользователей, используя только открытый канал связи. В основе метода законы квантовой механики. Третью сторону, которая пытается расшифровать ключ, всегда можно обнаружить. Собственно процесс измерения квантовой состояния приводит к аномалиям квантовому индетерменизму. При этом ключ успешно создается только в том случае, когда аномалии не превышают заданного порога.

Протоколы передачи квантовой криптографии основаны на передаче одиночных фотонов. Фотоны это кванты света в виде поперечных электромагнитных волн. Однофотонная система обеспечивает безопасность способу. Если фотонов будет несколько, то их можно перехватить и подобрать ключ таким же путем, как это делают допущенные пользователи. Но есть особенности у источников одиночных фотонов. Несмотря на достигнутый прогресс при их создании применяют слабые лазерные импульсы. И другая фундаментальная проблема шум. Оптоволокно по-разному нагревается из-за передачи отдельными фотонами, а потому может быть изогнуто. Из-за этих ограничений сейчас существуют пределы пропускной способности квантовой связи. По стандартному кабелю передается 1,26 мегабита в секунду на расстояние 50 км. И 1,16 бита в час на расстояние 404 км по специальному кабелю с ультранизкими потерями данных.

Однофотонная система. Источник
Физики из Дрезденского технического университета под руководством Михаэля Холленбаха (Michael Hollenbach) и ученые из Центра им.Гельмгольца Дрезден-Россендорф создали систему источников одиночных фотонов на основе пластин SOI из кремния. Кремниевые чипы лежат в основе всех современных устройств, включая процессоры и микроконтроллеры. Как правило, микросхемы изготавливают из монокристаллического кремния.

Схема кристаллической структуры кремния с одним G-центром
При помощи ускорителя немецкие ученые поместили в кремний атомы углерода. Два соседних атома C вместе с атомом кремния Si образовали отдельную молекулу, называемую G-центром. G-центр излучает фотоны, находясь под фокусируемым лазером длиной 1,3 микрона. Фотоны данного вида без препятствий распространяются по оптоволокну.

Прототип генератора, созданный немецкими физиками, может создавать порядка 100 тыс. одиночных фотонов. Все научные испытания проводили на пластине SOI, установленной в криостат замкнутого цикла Attocube 800, который обеспечивал базовую температуру в 4,6К.


Авторы исследования сообщают, что впервые продемонстрировали допустимость размещения в промышленных пластинах SOI однофотонных излучателей. Они также представили концепцию реализации фотонной платформы, совместимой с современными кремниевыми технологиями.

Открытие поможет внедрить квантовые процессоры и ретрансляторы в существующие системы, использующие кремниевые компоненты.

Результаты исследования опубликованы в журнале Optiсs Express.

Подробнее..

Перевод Удаленная работа с начала коронавируса сэкономила американцам 91 млрд на транспорте, или около 2000 на человека

15.09.2020 16:23:12 | Автор: admin

За время пандемии американцы сэкономили миллионы часов и миллиарды долларов, перестав попадать в пробки и перемещаться на автомобилях. Об этом говорится в исследовании UpWork. Экономист Адам Озимек подсчитал, что с середины марта экономия составила $91 млрд. Люди ежедневно проезжают на автомобилях меньше на 1430 млн км, в результате сохраняя деньги и себе, и государству. И это далеко не все интересные цифры из исследования.

Влияние удаленной работы на транспорт

Чтобы оценить потенциальную экономию, важно понять, сколько денег люди ежегодно тратят на то, чтобы добраться до работы. В 2018-м средний американец тратил 54,2 минуты на то, чтобы доехать до работы. Это 4,6 часа в неделю, 18,4 часов в месяц и полных 9,5 дней в год, которые человек тратит на поездку в машине или в общественном транспорте. Причём поездки с каждым годом становятся всё продолжительнее. По сравнению с 1980-м, среднее время в пути повысилось почти на 11 минут в день (а это почти два дня в году).

Такая трата времени оказала огромный негативный эффект на качество жизни людей, их психологическое состояние, финансы и окружающую среду. Но тут появился Covid-19, и компании массово перевели своих сотрудников на удаленную работу. Начали развиваться сопутствующие сервисы, развился Zoom, люди поняли, что на удалёнке вполне можно прожить. Количество дистанционных рабочих с начала марта увеличилось в несколько раз.

Чтобы оценить влияние этого эффекта, UpWork провели опрос, и выяснили, что те, кто теперь трудится удаленно из-за Covid, сохраняют в среднем 49,6 минут в день из-за отсутствия необходимости в поездках на работу. Это значит, что с середины марта они сохранили себе больше 4 дней (4,13 дней).

А те, кто и до коронавируса работал дистанционно, сохраняют на поездках в среднем 51 минуту в день (логично, что первыми на удалёнку перешли те, кому нужно было добираться чуть дальше). Если учесть, что в среднем американцы спят по 7 часов в день, выходит, что удалёнка экономит им 5% их сознательной жизни.

Разговор о деньгах

Кроме экономии времени, переход на удаленку позволил уменьшить расходы на транспорт и сократить выбросы парниковых газов. Среди американцев, перешедших на работу из дома из-за Covid, 86% говорят, что раньше добирались в офис на собственном автомобиле. В среднем каждый теперь ездит на 46,3 минуты меньше. В сумме эти новые удаленные сотрудники за день экономят около 33 млн часов в машине. Эффект ещё сильнее потому, что это как раз та категория людей, которая раньше покупала автомобили, чтобы на них ездить на работу.

Эти 46,3 минуты трансформируются в -1430 млн проеханных километров ежедневно. Средняя стоимость топлива, ремонта и поддержки авто 12,8 цента за километр. Значит, каждый день удаленные сотрудники в сумме экономят около $183 млн.

Но это только экономия для самих рабочих. Сюда не включены затраты остальных потери жизни и имущества из-за аварий, стоимость ремонта дорог, экологические издержки из-за загрязнения воздуха, влияние пробок на скорость работы инфраструктуры и так далее. Экономисты оценивают, что такая внешняя стоимость выходит порядка 11,42 цента за каждый проеханный автомобилистом километр. То есть, новые удаленные сотрудники сохраняют окружающим порядка $164 млн в день.

Наконец, можно также измерить эффект от экономии времени. Стандартный расчет оценивать затраты сотрудников и работодателей в $12,50 за час вождения (то есть, чуть ниже минимальной оплаты труда). Значит, здесь удаленный труд экономит до $411 млн в день.

В целом, экономия США в день на новых дистанционных сотрудниках составляет порядка $758 млн. С момента начала пандемии выходит уже больше $91 млрд. Каждый из тех, кто раньше добирался на работу на машине, сохранил больше $2000 (если учитывать пользу обществу и работодателям). Это, конечно, не компенсирует негативное влияние вируса на экономику, но дает повод задуматься и открывает путь к, возможно, ещё большей экономии в дальнейшем.

И это при том, что данный расчет не включает тех, кто раньше добирался на работу другими видами транспорта. Или тех, кто работал удалённо еще до пандемии (а это дополнительно 16,9 млн часов в машине в день, ещё +51% ко всем цифрам).

Какие города получили больше всего преимуществ от удаленной работы

Все люди получают преимущества от отсутствия необходимости тратить время на то, чтобы доехать до работы. Но в некоторых местах плюсы выходят больше, чем в остальных. Чтобы проверить, какие города выиграли больше всего, исследователи с UpWork использовали данные от American Community Survey, показывающие, как люди путешествуют на общественном транспорте, и как они добираются на работу. Потом они отсортировали 261 города и пригородных района по времени, которое сотрудники вынуждены тратить для того, чтобы добраться на работу.

Исследователи обнаружили, что больше всего преимуществ получают сотрудники из крупнейших городов. В их центрах, как правило, есть высокооплачиваемые должности, и люди готовы тратить больше своего времени, чтобы туда добраться. В округах Нью-Йорка, Сан-Франциско и Вашингтона время, затраченное на автомобильные поездки, превышало 70 часов в день.

А лидером в рейтинге вообще стал городок Ист-Страудсбург из Пенсильвании, в котором меньше 10 тысяч жителей. Всё из-за его (относительной) близости к Нью-Йорку, куда каждое утро выезжает значительная их часть. В среднем они тратят 13 полных дней своей жизни в год, чтобы доехать на работу и с работы. Сравнить их можно, например, с жителями Подмосковья, хотя те тратят на свои путешествия значительно больше времени. В то же время, в Москве в 2016-м власти считали, что среднее время в пути для рабочих составляет 56 минут. В целом, по подсчетам, ситуация в Москве даже чуть лучше, чем в других мегаполисах, в том числе из-за развитого общественного транспорта.

Чем дольше время в пути тем больше преимуществ от перехода на удаленную работу. Профессионалы получают больше свободы и возможность проводить больше времени со своей семьей или друзьями. Это полезно и для работодателя: удовлетворенный сотрудник, который достаточно отдыхает, может интенсивнее трудиться и с меньшей вероятностью куда-то уйдет. Компании, переходящие на удаленную работу, повышают свою эффективность как доказано примерами Google, Microsoft, Facebook, Oracle и Okta. Многие из них теперь решили разрешить своим сотрудникам работать из дома постоянно, даже после того, как пандемия пройдет. Facebook под это реорганизует всю свою систему.

Подробнее..

Перевод Автомобильная электроника взяться за ПО или откатиться в прошлое

08.09.2020 14:23:50 | Автор: admin
image

Все идет к тому, что автомобильная электроника будет определяться программным обеспечением.

С момента внедрения различных электромеханических и электронных компонентов, автомобили стали самыми сложным продуктами в серийном производстве за последние 50 лет. За это время электронные систем дополнили (и заменили) различные узлы и системы, и еще многое только предстоит сделать.

Все это значит, что рано или поздно автомобильные системы станут самыми сложными продуктами в производстве на рынке электроники (возможно, они уже значительно отличаются от всех прочих продуктов). Да, возможно компоненты для самолетов более сложны в плане деталей, а у суперкомпьютеров более сложная электроника, но их и не производят десятками миллионов каждый год.

Благодаря электронным системам, в автомобилях используется намого больше ПО объем использования зависит от автомобиля. Существует множество статей, в которых утверждается, что в современных автомобилях используется более 100 миллионов строк кода. Я не видел подробного разбора, в котором объяснялось бы что входит в эти 100 миллионов если такой существует, его данные могут быть очень полезны. Конечно, чем дальше будут развиваться системы ADAS, интернет автомобилей, технологии сетевого взаимодействия, кибербезопасность и системы беспилотной езды, тем больше в автомобилях будет использоваться программных компонентов.

Я не видел обсуждений автомобильного ПО в контексте стратегических решений, сегментов рынка ПО, ключевых технологий и других важных проблем. В этом тексте мы рассмотрим все эти вопросы, а также изучим перспективы рынка автомобильного ПО. Существуют значительные отличия между аппаратным и программным обеспечением в автомобилях, и именно эти отличия влияют на успех рынка автомобильного ПО.

За последние два десятилетия автомобильное ПО прошло большой путь. В 1990-х ПО в автомобилях использовалось только для управления встроенной электроникой в системах вождения и простых развлекательных устройствах. Со временем сложность этих систем значительно увеличивалась, но лишь в немногих (если такие вообще были) встроенных системах использовалось порядка миллиона строк кода. Автопроизводители и их поставщики справлялись с разработкой встроенных систем своими силами.

Все изменилось в 1990-х, когда информационно-развлекательные и навигационные системы получили множество функций и возможностей, требовавшие наличие полноценной ОС, которая позволяла бы справляться с сложностью ПО. Операционные системы вывели компании из области высоких технологий на автомобильный рынок (в список таких компаний входят QNX, Green Hills, Wind River, Microsoft и многие другие). За последнее время в автомобильной промышленности значительно выросла важность открытого ПО (такого, как Linux).

Концепция Разработка-сборка-маркетинг-использование


На приведенном ниже изображении представлены все различия между аппаратным и программным обеспечением в автомобилях. Впрочем, структура данного сравнения требует некоторых пояснений. На картинке представлены 4 фазы, через которые проходят все продукты и индустрии. Фаза разработки представляет собой процесс исследований и работы над созданием продукта. Фаза сборки подразумевает производство продукта включая стоимость всех запчастей, затраты на производственные мощности и цепочку поставок. Третья фаза это маркетинг. В эту фазу входят такие аспекты как реклама, продажи и работа с каналами распространения все операции, необходимые для поставки продукта непосредственному покупателю. Четвертая фаза использование в автомобильной промышленности является достаточно длительной.

Я ознакомился с концепцией разработка-сборка-маркетинг в Texas Instruments, она была очень популярна в 70-х и 80-х годах. Когда я работал в IHS Markit, я добавил фазу использования. Я использовал различные идеи из этих фаз в отчетах и презентациях в качестве инструмента для анализа различных сегментов автомобильного рынка (включая ПО, батареи в электромобилях, 3D печать и многих других).

В приведенной ниже схеме сделан акцент на индивидуальной значимости каждого из четырех этапов для аппаратного и программного обеспечения. Также в ней приведены комментарии о том, как эти компоненты влияют на рыночные успех автомобиля на каждом из этапов.

Фазы работы над аппаратным обеспечением


В верхней части схемы представлены ключевые характеристики каждой из четырех фаз создания аппаратной части автомобиля. Фаза разработки определяет набор характеристик и свойств электронных систем, ее важность продолжает расти и по сей день. Большая часть аппаратных компонентов поставляется компаниями из индустрии производства чипов, и эта отрасль будет только развиваться. Экосистема аппаратных платформ, используемых в автомобильной электронике, также приобретает все большее значение. Стоимость первой фазы разработки аппаратуры оценивается в миллионах (или десятках миллионов) долларов, но поскольку объем производства составляет сотни тысяч единиц, стоимость в пересчете на один автомобиль невысока.

Фаза сборки самая дорогая в этой цепочке. Причиной тому является стоимость всех компонентов аппаратуры (или ведомость материалов). Также необходимо учитывать стоимость управления цепочками поставок, стоимость человеческого труда и многие другие аспекты. В целом, затраты на аппаратуру составляют малую долю от общей стоимости автомобиля, но эта сумма растет даже с учетом снижения стоимости отдельных компонентов. Средняя стоимость всех компонентов электронных систем составляет от 3 до 8 тысяч долларов (верхняя граница относится к люксовым автомобилям).

Фаза маркетинга для аппаратного обеспечения варьируется в зависимости от компонентов и типа системы. В большинстве случаев, этой фазой занимается Tier-1 поставщик, в результате чего продукт становится полноценной системой с автомобильной электроникой.

Характеристики и возможности аппаратных компонентов также оказывают очень большое влияние на продажи автомобилей (и это влияние продолжает расти). Это влияние возникает за счет функциональности, которую и обеспечивают компоненты электронных систем. Возможности, над которыми сейчас ведется работа (равно как и возможности, которые появятся в будущем), относятся к системам ADAS, аппаратным средствам кибербезопасности, улучшаемым платформам и технологиям беспилотной езды.

Фаза использования продуктов автомобильного рынка, в среднем, длится от 10 до 15 лет, иногда немного дольше. Такой длительный срок службы требует высокой надежности оборудования, чтобы сократить расходы производителей на гарантийное обслуживание и отзывные кампании. В рамках фазы использования наибольшие возможности появляются у представителей рынка послепродажного обслуживания особенно после того, как у компонентов заканчивается заводская гарантия. Значительное количество ДТП также создает для таких компаний бизнес-возможности, поскольку пострадавшим автомобилям необходимы новые аппаратные компоненты.

Фазы работы над программным обеспечением


В нижней части схемы представлены ключевые характеристики четырех фаз работы над автомобильным ПО. Программное обеспечение существует исключительно в цифровом виде, а потому его характеристики отличаются от характеристик аппаратной части. Впрочем, ПО, конечно, полностью зависит от связанных с ним аппаратных компонентов.

Фаза разработки самая долгая и, как правило, самая дорогая стадия создания программного продукта. Крупные программные проекты требуют длительного времени разработки, которое, в том числе, уходит на сложные процедуры тестирования для исправления как можно большего количества ошибок (что абсолютно оправданно с экономической точки зрения). Ни одна крупная программная платформа никогда не обходится без ошибок, а новые ошибки обнаруживаются на протяжении всего срока службы программного обеспечения. Требования к кибербезопасности создали новый класс программных ошибок уязвимости, которые могут эксплуатироваться злоумышленниками с различными целями. Поскольку большинство программистов в автомобильной промышленности не являются экспертами в области кибербезопасности, они не всегда знают как писать код так, чтобы он был полностью неуязвимым к атакам хакеров.

Фаза сборки автомобильного ПО выдвигает значительные требования к экосистеме речь о необходимости написания новых программ и тестировании получившихся программных продуктов. Автомобильная индустрия добивается в этой сфере хороших успехов (некоторые ее представители также используют инструменты для разработки с открытым исходным кодом).

Фаза сборки также обычно является самой дешевой это просто запуск готового ПО на имеющейся аппаратной платформе. Иногда производители сталкиваются с необходимостью выплачивать роялти, но обычно это лишь небольшая часть стоимости аппаратных компонентов. Фаза сборки, по сути, представляет собой загрузку программ в электронные системы автомобиля. Также существует некоторая гибкость в плане того, когда и как именно ПО загружается в электронные системы.

Фаза маркетинга в случае с ПО варьируется от сегмента использования и типа программного продукта. В большинстве случаев фазой маркетинга занимается Tier-1 поставщик, представляя программный продукт как часть электронных систем автомобиля.

Функциональные возможности ПО оказывают значительное влияние на продажи автомобилей. Во многом это влияние основано на удобстве использования или том, как ПО реализует человеко-машинный интерфейс (HMI). Удобство использования влияет на все области функциональности функции интернета автомобилей, обновления по воздуху, функциональные обновления, системы ADAS и функции беспилотной езды, которые появятся в будущем. Низкий уровень удобства использования ПО приведет к негативным отзывам, что отрицательно скажется на потенциале конкретной модели. Подобные негативные тенденции являются проблемой для современных информационно-развлекательных систем и одной из причин недавних успехов Apple и Google в области интеграции информационно-развлекательных систем со смартфонами.

Фаза использования продуктов автопромышленности длится от 10 до 15 лет, в некоторых странах дольше. Столь длительный жизненный цикл приводит к тому, что автомобилям требуются многочисленные исправления ошибок в ПО. Снижение затрат на исправление ошибок, возникающее за счет возможности обновления по воздуху, необходимо для экономии на гарантийном обслуживании и отзывных кампаниях.

Фаза использования этап, в котором рынок ПО может значительно развиваться и имеет большие перспективы для роста в сегментах SaaS (Software as a Service, ПО как услуга) и облачного ПО. Кибербезопасность на основе SaaS это очень многообещающая возможность. Исправления ошибок, устанавливаемые по воздуху, и функциональные обновления уже сейчас представляются как основные возможности этапа использования продукта. Стоит отметить, что рынок информационно-развлекательного контента с использованием SaaS сейчас на подъеме. Также новые возможности могут возникать за счет случающихся ДТП, поскольку новые аппаратные системы будут нуждаться в установке нового ПО.

Заключение


Четыре этапа создания ПО показывают, что этап разработки является самым дорогостоящим. Эта концепция предполагает, что решение заключается в использовании программных платформ для снижения затрат на разработку и уменьшения количества ошибок в больших программных продуктах. Автомобильная промышленность начинает внедрять стратегию использования программных платформ, и представители рынка высоких технологий ей в этом помогают, но этого недостаточно.

Подписывайтесь на каналы:
@TeslaHackers сообщество российских Tesla-хакеров, прокат и обучение дрифту на Tesla
@AutomotiveRu новости автоиндустрии, железо и психология вождения




image

О компании ИТЭЛМА
Мы большая компания-разработчик automotive компонентов. В компании трудится около 2500 сотрудников, в том числе 650 инженеров.

Мы, пожалуй, самый сильный в России центр компетенций по разработке автомобильной электроники. Сейчас активно растем и открыли много вакансий (порядка 30, в том числе в регионах), таких как инженер-программист, инженер-конструктор, ведущий инженер-разработчик (DSP-программист) и др.

У нас много интересных задач от автопроизводителей и концернов, двигающих индустрию. Если хотите расти, как специалист, и учиться у лучших, будем рады видеть вас в нашей команде. Также мы готовы делиться экспертизой, самым важным что происходит в automotive. Задавайте нам любые вопросы, ответим, пообсуждаем.

Читать еще полезные статьи:

Подробнее..

Что стоит облачный гейминг построить тренды ближайшего будущего

23.09.2020 16:18:12 | Автор: admin
image
Компьютерные и видеоигры неуклонно развиваются. Согласно прогнозам Newzoo, к 2023 году количество геймеров составит 3 млрд.

Растет и доля рынка облачных игр по оценкам экспертов совокупный среднегодовой темп роста (GAGR) этой сферы вплоть до 2025 года составит более 30%. Если говорить про финансовые показатели, то объем рынка к 2025-2026 году достигнет около $3-6 млрд. Пандемия при этом не замедляет, а ускоряет развитие всей отрасли. Сейчас в сфере облачных игр сформировалось несколько устойчивых трендов, которые усилятся в ближайшем будущем. Подробнее о них под катом.

5G и облачные игры


Пропускная способность беспроводных сетей, задержки основные факторы, которые влияют на качество игры, поскольку данные обрабатываются в дата-центре сервиса, после чего готовый видеопоток передается на устройство пользователя. Чем качественнее связь, тем плавнее картинка и выше разрешение изображения. Если раньше добиться хорошего качества можно было только при Ethernet-подключении, то сейчас мобильный широкополосный интернет постепенно освобождает игроков от проводов.

Благодаря проникновению 5G облачные игры становятся доступнее. Сети пятого поколения позволяют запускать сервисы вроде Google Stadia и Playkey не только на ПК и ноутбуках, но и на мобильных устройствах в любом регионе, где есть 5G покрытие. У геймеров появляется возможность играть в тайтлы класса ААА по дороге в аэропорт, в кафе, да и просто на лавочке в парке, если возникнет такое желание. Фактически, на руках у пользователей мобильных девайсов миллионы игровых гаджетов. Уже сейчас количество мобильных геймеров превышает 2 млрд, а с течением времени их количество будет только расти.

image

Коммерческая 5G связь уже работает в Южной Корее, некоторых регионах Китая, в Японии. Другие страны активно развивают инфраструктуру мобильных сетей пятого поколения. Все это способствует активному развитию cloud gaming.

Приход крупных игроков


Облачными играми заинтересовались крупнейшие компании мира, включая Microsoft, Google, Amazon, Nvidia, Sony, Tencent, NetEase. Участников рынка становится все больше. Например, компания Amazon пообещала в этом году запустить собственную игровую платформу Project Tempo.

Активно расширяется ниша облачных игр в Азии. Так, в марте 2020 года компании Sanqi Interactive Entertainment и Huawei Cloud договорились совместно развивать платформу облачного гейминга.

Не отстает и Россия. Сейчас в стране доступны:
  • GeForceNow.
  • Playkey.
  • Loudplay.
  • Megadrom.
  • Power Cloud Game.
  • Drova.

С этими сервисами сотрудничают российские и зарубежные операторы, включая Билайн, Мегафон, МТС, Tele2 и другие. Они вкладывают значительные средства в развитие облачного гейминга. Реализуются совместные проекты, которые постепенно улучшают качество сервисов, одновременно расширяя их возможности. Работать еще есть над чем, но прогресс очевиден.

О возможностях, достоинствах и недостатках российских сервисов облачных игр я писала ранее.

Облака, консоли и дорогое железо


Стоимость игровых ПК и консолей последних поколений весьма высока>. Так, стоимость low-end игровых систем составляет $300-400. Стоимость топовых моделей, которые способны справиться даже с самой тяжелой игрой, выше на порядок.

Конечно, приобрести систему за $4000-$5000 может себе позволить далеко не каждый геймер. В среднем на приобретение или модификацию игровой системы игрок тратит $800-1000. Но и это много. Высокие цены на игровое оборудование отпугивают миллионы геймеров. По оценкам специалистов, около 70% потенциальных покупателей игровых компьютеров или ноутбуков не имеют желания или возможности приобрести то, что им хотелось бы получить. В итоге характеристики 60% пользовательских ПК не дотягивают до ресурсных требований игр ААА-класса. Если бы стоимость мощных игровых систем снизилась, рынок сразу бы получил миллионы новых игроков.

image

И здесь приходят на помощь сервисы облачных игр, позволяя избежать ненужных трат на компьютерное железо или консоли. Для игры в те самые игры ААА-класса нужен лишь соответствующий сервис, недорогой ПК, ноутбук, планшет или смартфон, хороший интернет и контроллер или клавиатура.

Игры как сервис


Благодаря отказу от железа у облачного гейминга практически нет порога входа. Формируется новая модель потребления игрового контента. Кроме того, развивается новый класс игр, сloud-native, которые изначально создаются под облачные платформы и у которых нет требований к железу. Яркий представитель этой ниши Fortnite.

Сервисы облачных игр делают все возможное, чтобы упростить игрокам доступ к контенту. Например, Google совмещает YouTube и Google Stadia. Так, YouTube демонстрирует трансляцию игры. Для того, чтобы присоединиться к процессу, нужно просто кликнуть на кнопку. Не нужно ничего загружать, покупать кликаешь на кнопку присоединиться и играешь. Такая модель получила собственное название click to keep play.


Пример интеграции в демоверсии Google Stadia с лайвстримом NBA 2K

Зайдя в игру, пользователь сразу погружается в дружественную среду, где можно не только играть, но и общаться с коллегами. К слову, игры постепенно социализируются, превращаясь в своего рода социальные сети.

Расширение аудитории облачного гейминга


Всего несколько лет назад пользователь, который хотел поиграть в облачные игры, должен был быть достаточно подкованным в техническом смысле. Скачать клиент, настроить его, выбрать сервер для некоторых пользователей это сложная задача. Сейчас же начать облачную игру можно буквально в пару кликов.

Аудитория облачного гейминга постепенно расширяется, увеличивается доля молодой аудитории. Так, в январе 2020 года доля игроков до 20 лет была близкой к 25%. Уже в конце мая начале июня этот показатель увеличился вдвое. Возможно, на это повлиял переход студентов и школьников на дистанционную форму обучения. Свободного времени стало больше, и учащиеся стали тратить его на игры. По данным Telecom Italia, после введения режима самоизоляции игровой трафик вырос на 70% по сравнению с аналогичным периодом прошлого года. В России количество игроков во время карантина увеличилось в 1,5 раза, а вот выручка провайдеров облачных сервисов выросла сразу на 300%.

В целом, Netflix for gaming, как называют индустрию облачных игр, развивается все активнее день ото дня. Прогресс заметен, развитие отрасли не остановят ни пандемии, ни возможные экономические проблемы. Главное для сервисов развивать техническую сторону, не забывая о разнообразии доступных игровых тайтлов и низком пороге входа для пользователей любого возраста, с любым багажом технических знаний.
Подробнее..

Расследование как обезличенные данные становятся персональными и продаются на сторону

10.09.2020 10:11:09 | Автор: admin
Неделю назад мне в очередной раз позвонили и предложили купить какой-то новый автомобиль в салоне, где я точно никогда не бывал. На простой вопрос о том, откуда звонивший взял мой номер телефона и мои имя и отчество, последовал прямой ответ мы выбрали ваш номер случайным образом из номерной емкости. В это объяснение я не поверил, и решил поинтересоваться тем, как устроен рынок данных и понять, кто может сливать информацию о пользователях и как легко и виртуозно интернет-монополисты обходят стороной закон О персональных данных (152-ФЗ).

Читайте под катом о том, кто монетизирует мои данные и как они попадают в руки компаний, услугами которых я никогда не пользовался банков, страховых компаний, медицинских центров, застройщиков и прочих организаций с надоедливыми рекламными звонками. И да, это лонгрид, всё как вы любите.


Весну и начало лета 2020 года наша прекрасная страна провела на самоизоляции. Помимо очевидного роста финансовой нагрузки на бизнес, необходимости людям носить повсюду маски и вынужденно работать из дома, этот временной период наглядно показал, насколько легко и просто некоторые участники рынка обращаются с персональными данными россиян.

Предыстория


К написанию этой статьи меня подтолкнуло интервью Тиграна Оганесовича Худаверяна в СМИ (TheBell, Roem) о работе сервиса Яндекса по оценке индекса самоизоляции.

Напомню кратко в чем суть: практически одновременно с объявлением режима как бы нерабочих дней по всей стране, интернет-гигант Яндекс стал регулярно рапортовать о соблюдении мер по самоизоляции гражданами. Чиновники и СМИ ежедневно обращались к этим данным. И хотя сейчас эта тема плавно уходит на второй план, но вопросы к первоисточнику таких данных никуда не делись.

Поскольку Яндекс и ранее был замешан в скажем так вольготном отношении к пользователям вспомним хотя бы историю слежки через приложения то разумно предположить, что данные о текущем местоположении граждан при самоизоляции собирались с помощью мобильных приложений с геолокацией. Да и сам по себе метод слежки через умные гаджеты очевидный. В столице, например, вообще была вопиющая история несмотря на обилие нарушений действующего законодательства, ДИТ Москвы заставлял людей подписывать кабальный договор с другим подобным товарищем майором.

И хотя в своем интервью управляющий директор Яндекса заявляет:

Мы ни в чем из этого не участвуем. Признаюсь, для нас это больное место, потому что нас постоянно подозревают, что мы в этой слежке участвуем. Но у нас внутри компании есть свой принцип: ни в коем случае, даже в сложной ситуации, не нарушать принципы, которыми Яндекс руководствуется со дня основания


веры в это нет никакой. Журналисты не задали самый главный вопрос а на основе каких данных, Яндекс формировал свой конфиденциальный рейтинг? Это важно, ведь свободном доступе ответа нет интернет-гигант просто не раскрывает свою методологию:



Разумно предположить, что под термином данные об использовании различных приложений и сервисов Яндекса имеется ввиду именно мониторинг перемещений граждан. Вот только вряд ли кто-то из нас с вами давал прямое согласие на такую слежку.

Как устроен рынок данных


В 90-х продавали базы данных на рыночных развалах с компакт-дисками. В наше время получить список нужных контактов можно еще быстрее даже ехать никуда не надо.

Очевидные, но нелегальные способы


Чужие данные можно поискать в соцсетях, или в специальных телеграм-каналах, названия пабликов я приводить не буду, уверен, вы и сами их найдете при желании.



Некоторые более продвинутые граждане поступают немного иначе они размещают на своих сайтах договор-оферту, из которой следует, что данные собираются из публичных источников и даже приводят отсылки на статьи закона, которые как бы разрешают им это делать:



Нюанс только в том, что в документах на сайте Авито сказано, что самостоятельно парсить базу контактов интернет-площадки avito.ru прямо запрещено правилами.

Подобным образом продавцы баз в интернете собирают информацию изо всех возможных источников. Все эти методы, будем говорить прямо, незаконны, так как нарушают положения закона О персональных данных (152-ФЗ). Уверен на 100%, что ни один здравомыслящий человек из вот таких баз данных не давал своего согласия на публичное распространение подобными компаниями информации о себе через интернет.

Man-in-the-middle attack


Способ слива информации через сотрудников предприятий, имеющих доступ к базе клиентов тоже очевиден. Не будем уделять слишком много внимания этому аспекту.

Единственный способ борьбы с такими людьми контроль доступа, грамотное проектирование базы контактов и применение механизмов борьбы со фродом, которые разрабатывают сотрудники информационной безопасности. Последние, к слову, регулярно ловят продавцов и передают их правоохранителям.

Завуалированные способы сбора данных


Интернет-компании, скажем прямо, совсем обнаглели и придумали новую методику свободного обращения с данными пользователей. Сегодня все крупнейшие игроки этого рынка собирают про нас, бедных пользователей, такое досье, что им позавидуют Джеймс Бонд, Рихард Зорге, Мата Хари и Остин Пауэрс вместе взятые. Причем, никто из пользователей и не уполномачивал интернет-компании собирать такую фактуру.

У всех на слуху история с американскими выборами, в которых победу республиканцев обеспечил таргетинг рекламы на пользователей Google и Facebook. Причем, эти компании делились данными со сторонней организацией Сambridge Analytics, которая и формировала целевую аудиторию рекламных объявлений. Сбором данных промышляют и в Китае популярная ныне соцсеть тоже недавно прославилась использованием нелегальных методов слежки, которые запрещены даже правилами Google.

Должен сказать, что российский Яндекс внимательно следит за действиями иностранных коллег, и применяет схожие методы компания прячется за ширмой обезличенных данных, которая, как показал мой личный опыт непрограммиста, при должной сноровке расшифровывается даже сидя дома на диване.

В декабре прошлого года на РБК появилась интересная статья, в которой рассказывалось про совместный проект Яндекса и Бюро Кредитных Историй (БКИ) по передаче данных о пользовательском поведении в сети. По задумке авторов этого решения, банки смогут получать дополнительную информацию по нужным им персонам от Яндекса, обладая при этом лишь адресом электронной почты и номером мобильного телефона клиента.

Неназванный в статье источник сообщил, что Яндекс получает данные в хэшированном виде, после чего внутренние алгоритмы определяют некую оценку для конкретного человека, и именно эта оценка и возвращается в БКИ. Все это выглядит довольно складно, однако есть нюанс в статье приводится мнение управляющего партнера УК Право и бизнес Александра Пахомова, который также как и я считает, что при выполнении этой процедуры обезличенные данные вновь становятся персональными:



Как обезличенные данные становятся персональными


Попробуем разобраться в том, что происходит под капотом у этого сервиса. Сразу скажу, что мне сделать это сложно, так как я часто наслаждаюсь грациозностью великой и прекрасной России, а не провожу рабочие дни на митингах в переговорках современного московского офиса Яндекса. Поэтому, призываю вас поделиться информацией и подправить меня, если я ошибаюсь или в чем-то не прав.

Шаг 1. Хэширование данных


Начнем с изучения того, что именно сам Яндекс вкладывает в понятие зашифрованные, хэшированные или обезличенные данные. И поможет нам в этом публичный сервис Яндекс.Аудитория.

Из его описания следует, что сервис позволяет рекламодателям достучаться до своих клиентов. Причем, чтобы добиться этой цели потребуется всего лишь сообщить Яндексу некие идентификаторы клиентов номера телефонов или адреса электронной почты. Эти данные можно сгрузить в явном виде, например, в виде текстового или табличного файла. А можно также и в обезличенном виде. Для этого применяется алгоритм хэширования MD5.

Далее сервис работает следующим образом: Яндекс вычисляет конкретного пользователя, зная его персональные данные, и показывает ему таргетированные рекламные сообщения на различных сервисах и порталах Яндекса.

Что мы знаем про MD5?
Алгоритм MD5 представляет собой 128-битный алгоритм хеширования. Это значит, что он вычисляет 128-битный хеш для произвольного набора данных, поступающих на его вход.
Детальное описание алгоритма можно найти на Хабре. Нам важно знать, что он был разработан и предназначался для создания и проверки отпечатков сообщений произвольной длины например, пользовательских паролей или контактов.

Алгоритм MD5 создали в далеком 1991 году, и до 1993 он точно считался криптостойким. Именно тогда исследователи Берт ден Боер и Антон Боссиларис предположили, что в алгоритме возможны псевдоколлизии. Дальше было проведено несколько научных работ на эту тему, которые показали возможность взлома MD5. Практическая же реализация была продемонстрирована в 2008 году.


Шаг 2. Расшифровка MD5-хэшей


Технически, взлом MD5 может быть осуществлен одним из четырех способов:

  • Перебор по словарю
  • Brute-force
  • Rainbow-crack
  • Коллизия хэш-функций

Очевидно, что самый быстрый и простой вариант использование радужных таблиц. По сути, для реализации этого способа потребуется лишь знать хэш и сделать свою таблицу под определенные критерии.

Как работают радужные таблицы
Возьмем, например, любой телефонный номер. Мы точно знаем, что в нем может быть фиксированное число символов, и мы точно знаем, что все эти символы цифры от нуля до 9. Предположим, что число символов в телефонном номере не превышает 11.

Знание этих критериев позволит быстро получить искомую таблицу с помощью специального программного обеспечения. Типичное содержание такого файла будет выглядеть примерно так:



Далее, вам потребуется взять в качестве референсного значения какой-нибудь условный телефонный номер. Возьмем для примера абстрактный номер 83910123456. Его MD5 хэш будет выглядеть так fba55dd11f758ab4f03fad3c5f19ba75.

Подставляем этот хэш в софт, указываем расположение таблицы пара секунд, и вуаля видим исходный телефонный номер в поле Plaintext!



С адресами электронной почты, как вы уже догадались, дело обстоит ровно так же. Единственная лишь разница в том, что для определения имени почты используется больше данных в набор символов должны входить буквы, цифры, средства пунктуации и спецсимволы.

В приведённом примере я сознательно не использую соль понятно, что подсоливание хэшей усложняет их взлом. Но об этом немного позже.


Шаг 3. Сопоставление данных


Нет ни малейших сомнений в том, что Яндекс хранит данные в зашифрованном виде. Условно говоря, у поисковика есть профиль каждого зарегистрированного пользователя, где помимо прочего указаны адреса его электронной почты и номер телефона. Такие данные легко хэшируются и, при необходимости (как мы уже убедились выше) дехешируются.

Далее, получив от рекламодателей в любом виде список контактов, Яндексу не составляет труда сопоставить их со своей внутренней базой, которая содержит эти же идентификаторы. Говоря проще, Яндекс делает кросс-матчинг идентификатора из профиля своего пользователя на соответствие запрашиваемым данным рекламодателя. Это и позволяет таргетированно показывать рекламу конкретному пользователю при заходе на страницу того или иного сервиса Яндекса.

Однозначная идентификация пользователей


Ни о каком обезличенном обмене данными при работе по такой схеме и речи идти не может. Все стороны однозначно идентифицируют конкретного пользователя в процессе оказания услуг. С кредитными бюро, судя по комментариям и описанию, применяется ровно эта же схема. И по всей видимости, на стороне Яндекса используется решение, подозрительно похожее на платформу Крипта.

Однако Яндекс публично никогда не заявлял о возможности сопоставления таких профилей с номерами мобильных телефонов или e-mail своих пользователей. Но, как нам стало известно из материалов СМИ, Яндекс именно это и делает как минимум при работе с Объединенным Кредитным Бюро.

Почему об этом честно не сказать своим клиентам, ведь все и так лежит на поверхности? Вместо этого спикеры Яндекса стыдливо говорят об отсутствии личной информации" и приводят прочие выдуманные термины, которые отсутствуют в законодательстве РФ и позволяют обойти некоторые вопросы оборота и защиты данных граждан.

Немного практики: Яндекс, я нашел у тебя нарушение 152-ФЗ!


Солит ли Яндекс хэши? Я не могу однозначно ответить на этот вопрос, в конце концов, я не работаю в этой компании и не знаю внутренней кухни. Однако я могу сделать два допущения:

  • серверные мощности Яндекса позволяют довольно быстро провести дехэширование несоленых MD5-хэшей;
  • для работы с солеными хэшами обе стороны должны знать соль.

Очевидно, что в случае с сервисом для рекламодателей применяются несоленые хэши. Иначе в интерфейсе для рекламодателей должно было бы присутствовать поле для указания соли. А его там нет! Давайте внимательно посмотрим на скриншот в описании Яндекс.Аудитории:



Обратите внимание на вопросительный знак у чекбокса Хэшированные данные. Давайте перейдем в сам сервис и подведем указатель мыши к этому вопросу.



Видим три хэша: a31259d185ad013e0a663437c60b5d0, 78ee6d68f49d2c90397d9fbffc3814d1 и 702e8494aeb560dff987e623e71bccf8. Причем, в первом явно чего-то не хватает: там всего 31 символ, а должно быть 32! Поэтому, этот хэш отбросим сразу.

Расшифровать вторые два хэша через ранее созданную радужную таблицу я тоже не смог. Но решил попробовать пройтись по ним брутфорсом. Для этого мне потребовалось перенастроить майнинг-ферму из 6 видеокарт класса GeForce GTX1060 с добычи эфира на работу с программой hashcat.



Я указал программе поиск по маске из 11 цифр (см на верхнюю стрелку на скриншоте). В результате, моя вполне обычная ферма произвела дехэширование номера телефона в одном из хэшей всего за 22 секунды. Просто представьте, с какой скоростью можно брутфорсить хэши на мощностях Яндекса!

Теперь давайте определим кому принадлежит этот номер, просто пробьем его через мобильное приложение Numbuster:



Теперь идем в поисковик, и за считанные мгновения получаем всю нужную нам информацию:



Шах и мат, Яндекс, благодаря открытой информации с твоего же сайта, я только что в пару кликов мышью узнал, кто именно делал твой сервис! Надо ли говорить, что такое же действие может легко повторить любой из тех, кто сейчас читает эту статью? За что же вы так с Ярославом-то поступили?

Какие данные могут быть в профиле каждого пользователя


Для использования сервисов Яндекса необходимо указать номер мобильного телефона и электронной почты. Через свои приложения и сервисы Яндекс знает обо мне практически все: от сайтов, которые я посещаю (где стоит Яндекс.Метрика, а таковых в Рунете более 54%), до номера телефона, который я указываю в приложениях. Ему известны мои маршруты из супераппа Яндекс.Go, мои заболевания, предпочтения в музыке. Яндекс знает, в какие театры я хожу, какие фильмы смотрю, какие товары покупаю в магазине и какую еду заказываю.

Этаинформация, как утверждают в компании, используется, в основном,для собственных нужд и размещения таргетированной рекламы за счет знаний о клиентских предпочтениях. Ключевое здесь в основном. Раньше считалось, что Яндекс инновационная компания, которая предоставляет пользователям бесплатные сервисы и зарабатывает на рекламе в Интернете. Но как мы знаем из СМИ, теперь Яндекс как минимум продает данные через Бюро Кредитных Историй работу самого механизма трансфера данных я покажу чуть ниже. Разумно предположить, что желающих купить у интернет-гиганта информацию о пользователях в привязке к номерам телефонов и адресам электронной почты, будет довольно много.

Другими словами теперь банки, страховые и юридические компании, медицинские центры, застройщики могут получить номер человека, который заходил на определенный сайт или искал определенный товар, и звонить ему в своих рекламных целях. Или отказать в выдаче страховки или банковского кредита.

Кому Бюро Кредитных Историй продает данные


Не требуется быть особым аналитиком, чтобы понять, что БКИ консолидирует данные о конкретных людях не только для банков. На сайте той структуры, с которой работает Яндекс, можно увидеть, что кроме банковского скоринга клиентам также доступны и другие сервисы:

Сервис Триггеры Бюро


В Банки и Страховые компании передается информация о ваших действиях в триггерном режиме:



Обратите внимание на логику работы этого сервиса вы ставите на мониторинг номера телефонов ваших клиентов, и как только они делают какое-либо действие, которое вас интересует, вы получаете об этом уведомление. При этом данные о конкретных действиях клиента не передаются. Просто факт целевого действия подача или оформление полиса автострахования, заказ такси и прочее.

Удобно, правда? Особенно с точки зрения объяснения позиции данные о клиентах не передаются и обрабатываются в Яндексе? Ведь информацию о действии в виде захода на конкретный web-сайт, можно сообщить, просто передав захэшированный мобильный номер, без каких-либо данных о посещении сайта. А хэш, о чем я говорил выше, можно элементарно сопоставить с хэшами базы пользователей. Можно даже, для упрощения, взять базу всех возможных комбинаций мобильных номеров в России она доступна на сайте Федерального агентства связи.

Опять получается, что зашифрованные, хэшированные, обезличенные данные в терминах Яндекса таковыми не очень-то и являются. И уж точно описанная Яндексом схема не мешает продавать эти данные в рамках рассмотренных сервисов кредитных бюро, которые как раз и могут быть тем самым источником спам-звонков на мой телефон.



Страховые компании, получив доступ к данным из картографических сервисов Яндекса и его шедеврального супераппа Яндекс.Go, могут определять:

  • где я живу и работаю;
  • как часто езжу на автомобиле;
  • по каким маршрутам я езжу;
  • с какой скоростью я езжу;
  • какой у меня стиль вождения резко я торможу, лихачу или езжу плавно.

И это не домыслы, факт сбора этих данных Яндексом стал известен в 2019 году, благодаря вводу в действие Европейского законодательства о защите данных граждан, так называемого GDPR. По нему любая компания обязана предоставлять гражданам Евросоюза информацию о том, какие данные она собирает и анализирует о нем.

Законом о GDPR воспользовались журналисты издания Meduza, которые из Литвы запросили данные по одному из своих сотрудников.

В статье Meduza говорится, что журналист получил от сотрудников Яндекса архив, в котором помимо прочего был файл со всей историей перемещений. Информация отслеживалась в тот момент, когда приложение было запущено на смартфоне, в том числе в фоновом режиме. Журналист это называет историей запуска приложения Карт наайфоне сточными координатами, где это происходило (файл traffic_sessions.csv).

Интересно, что гражданам РФ такая информация компанией Яндекс не предоставляется. Более того, до сего момента Яндекса даже не представил сервис, который позволил бы понять, кто и когда запрашивал накопленные данные о пользователе. Такой сервис есть даже у Facebook и сам пользователь может запросить и просмотреть всю информацию о себе.

Какую персональную информацию точно собирает Яндекс?


Обратимся к правовым документам на сайте Яндекса. Из пункта 4 мы узнаем, что интернет-гигант может собирать следующие категории персональной информации пользователей во время использования сайтов и сервисов Яндекса:

  • Персональная информация: имя, номер телефона, адрес и возраст;
  • электронные данные (HTTP-заголовки, IP-адрес, файлы cookie, веб-маяки/пиксельные теги, данные об идентификаторе браузера, информация об аппаратном и программном обеспечении);
  • дата и время осуществления доступа к сайтам и/или сервисам;
  • информация об активности пользователя во время использования сайтов и/или сервисов: история поисковых запросов; адреса электронной почты тех, с кем пользователь ведёт переписку; содержание электронной почты и вложения, а также файлы, хранящиеся в системах Яндекса;
  • информация о геолокации;
  • иная информация о пользователях, необходимая для обработки в соответствии с условиями, регулирующими использование конкретных сайтов или сервисов Яндекса;
  • информация, которую Яндекс получает от Партнеров в соответствии с условиями соглашений заключенных между Яндексом и Партнером.


С какой целью Яндекс собирает все эти данные?


Ответ на этот вопрос можно найти в том же документе, внимательно смотрим пункт 5. Помимо понятных целей, таких как:

предоставление пользователям результатов поиска по поисковым запросам;
соблюдения установленных законодательством обязательств;
чтобы лучше понимать, как пользователи взаимодействуют с сайтами и сервисами,

Яндекс отдельно отмечает, что сбор персональных данных необходим для того, чтобы чтобы предлагать вам другие продукты и сервисы Яндекса или других компаний, которые, по нашему мнению, могут Вас заинтересовать (подпункт пункт с пункта 5).

Однако закон О персональных данных (152-ФЗ) категоричен: статья 15 гласит, что обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем допускается только при условии предварительного согласия субъекта персональных данных. На стороне пользователей контролирующие органы ФАС, Роспотребнадзор и Роскомнадзор.

При этом интернет-гигант свободно передает другим компаниям базы данных с якобы обезличенными персональными идентификаторами, которые по мнению интернет-гиганта перестали быть персональными данными. И Яндекс обеспечил себе это право делиться за счет малозаметной строчки во внушительном тексте собственной политики конфиденциальности.

Вместо заключения


Законно ли всё это? Ведь я не давал права Яндексу разглашать информацию обо мне кому-либо. Знакомые юристы говорят, интернет-данные и интернет идентификаторы это серое поле нашего законодательства и привлечь Яндекс к ответственности за продажу таких данных о вас невозможно.

И насколько справедливо, что Яндекс зарабатывает на моих данных, не объясняя мне как именно это происходит и за счет чего формируется этот заработок, ведь это уже давно не только пресловутая реклама утюгов, которая после поиска утюга догоняет тебя еще 2 недели на всех сайтах. Это и прямое влияние на качество моей жизни и доступность социальных сервисов и услуг таких как кредитование, страховки, медицинская помощь.
Согласитесь, оценка меня как заемщика или страхователя на основе информации о моем поведении в интернете, которая к тому же происходит в темную и опирается только на завуалированные термины и оферты, скрытые в подвалах выглядит абсолютно неэтично и непрозрачно. Это очень напрягает.

Несмотря на GDPR и ужесточение законов по использованию персональных данных граждан в России, интернет-гигант продолжает монетизировать информацию о нас и абсолютно открыто следит за всеми нашими действиями через свои сервисы. Пусть даже и прикрываясь социально важной темой информирования населения и властей о соблюдении режима изоляции, как в случае с коронавирусом. Возникает разумный вопрос а кто ещё использует наши данные помимо Яндекса и его коммерческих клиентов?
Подробнее..

Перевод Интернет автомобилей первые шаги к беспилотной езде

07.09.2020 20:15:27 | Автор: admin
image

Технологии беспилотной езды во многом полагаются на сетевое взаимодействие транспортных средств, и управление этим взаимодействием становится важным как никогда.

Ожидается, что технологии беспилотного транспорта окажут значительное влияние на интернет автомобилей, поскольку от беспилотных автомобилей будет поступать значительный объем трафика (а также автомобили будут получать больше данных на вход). На графике, приведенном ниже, представлен мой прогноз того, как беспилотный транспорт повлияет на поток данных в сетевых транспортных средствах. Этот прогноз представляет собой общий обзор отрасли интернета автомобилей, и в нем отражены основные сегменты рынка. Представленный график также затрагивает исключительно основные сценарии использования беспилотного транспорта (даже с учетом того, что временные рамки развертывания этих транспортных средств весьма размыты). Приведенная внизу временная шкала, на мой взгляд, скорее оптимистична.

Для обозначения сценариев использования беспилотного транспорта на графике используются цветовые обозначения. Черным цветом отмечены системы ADAS (включая системы 2 и 3 уровней). Беспилотный транспорт для перевозки товаров отмечен светло-голубым цветом, роботизированные такси темно-голубым. Зеленым цветом отмечены беспилотные грузовики. Беспилотные транспортные средства с фиксированным маршрутом и персональные беспилотные автомобили отмечены красным цветом. Наконец, желтым цветом в правой части графика выделены некоторые вопросы, связанные со сценариями использования беспилотного транспорта.

В каждой категории представлены два блока с данными, поступающими в автомобиль, и данными, передаваемыми из автомобиля. В этих блоках представлено множество типов данных, все они будут подробно рассмотрены далее. Как и ожидалось, различные сценарии использования беспилотного транспорта будут равнозначно важны для всей отрасли, поскольку в них используются аналогичные технологии.

Автомобили с ADAS


Функции систем ADAS, расположенных в нижней части графика, уже начинают оказывать влияние на положение дел в отрасли. Для автомобилей с системами ADAS и функционалом 2 и 3 уровня автономности особенно важен фактор кибербезопасности, что повышает емкость рынка интернета автомобилей. Для автомобилей с системами ADAS также становятся все более важными обновления ПО по воздуху это вызвано тем, что после выхода отчетов от Американской автомобильной ассоциации появилась необходимость значительной доработки этих систем. В настоящее время для систем ADAS выпускаются различные функциональные обновления, и со временем это направление будет только развиваться. Такое развитие отрасли указывает на следующую тенденцию: системы ADAS будут обновляться чаще, чем электронные блоки управления.

Также ожидается, что объем данных, генерируемых автомобилями с системами ADAS будет расти. Автомобилям 2 и 3 уровней необходима дорожная и навигационная информация. Все более важным становятся системы Road Experience Management и Roadbook от Mobileye.

Поскольку существует большая неопределенность в отношении того, как водители используют возможности системы ADAS, важно собирать и анализировать модели использования возможностей систем ADAS. Этот фактор также может повлиять на частоту выпуска обновлений ПО.

В современных системах ADAS, вероятно, появится поддержка V2X (сетевое взаимодействие автомобилей и всех прочих объектов) даже несмотря на битву между V2X-DSRC и C-V2X, двумя конкурирующими технологиями объединения транспортных средств в сеть. Сроки развертывания этих систем и его темп пока неясны, но V2X наверняка расширит спектр сценариев использования интернета автомобилей.

Беспилотные автомобили для перевозки товаров


Одним из последствий пандемии Covid-19 стал тот факт, что перевозка товаров с помощью беспилотных транспортных средств становится одним из основных сегментов рынка беспилотного транспорта. Существует два вида беспилотного транспорта для перевозки товаров: устройства, перемещающиеся по тротуарам, и автомобили, выезжающие на дороги общего пользования. Поскольку в таких транспортных средствах нет пассажиров, потребность в многих привычных функциях сетевого транспорта отпадает. Впрочем, электронным блокам управления потребуется обширная функциональность сетевого взаимодействия (особенно блокам управления беспилотной ездой).

Все это значит, что OTA-обновления (равно как и обновления функциональности) будут особенно важны. Беспилотные автомобили для перевозки товаров могут использоваться компаниями-операторами автопарков, транспортные средства которых могут регулярно возвращаться на базу (обычно такая потребность возникает несколько раз в день). В рамках такого сценария использования обновления систем безопасности могут устанавливаться на домашней станции техобслуживания. Технологии беспроводной связи останутся основой сетевого взаимодействия, хотя для некоторых функций может быть использовано и кабельное соединение.

Также для компаний-операторов будет очень важен вопрос обеспечения кибербезопасности.

Операционные данные таких транспортных средств, вероятно, будут иметь наибольшую важность. Именно эти данные могут стать ключом к улучшению ПО и аппаратуры беспилотных автомобилей (посредством всестороннего анализа).

Беспилотные транспортные средства для перевозки товаров будут пользоваться системами навигации с помощью карт и дорожных данных, и эти данные необходимо регулярно обновлять. Таким образом, обновления в дорожных данных будут собираться беспилотными устройства-курьерами, и по мере необходимости эти обновления будут распространяться по всему автопарку.

Для клиентов подобных сервисов решающее значение будут иметь данные о том, какие товары загружены в автомобиль, и когда они будут доставлены.

Беспилотные транспортные средства с фиксированными маршрутами


Пандемия Covid-19 негативно сказалась на беспилотном транспорте с фиксированными (и изменяемыми) маршрутами, поскольку совместное использование таких транспортных средств стало нежелательным. В список возможных сценариев использования беспилотных транспортных средств с фиксированными маршрутами входят поездки по закрытым площадкам и различные автобусные маршруты. Перспективы использования таких автомобилей должны прийти в норму (возможно, понимание этой нормы изменится) в течение года-двух.

Ключевая функциональность транспортных средств с фиксированными маршрутами пересекается с функциональностью устройств для доставки товаров. Электронные блоки управления будут полагаться на стабильное сетевое соединение, а частота выпуска функциональных обновлений заметно вырастет.

Также для каждого из пассажиров такого автомобиля остро встанет вопрос кибербезопасности потребуются значительные обновления ПО, направленные на повышение надежности различных систем безопасности (в том числе, бортовому ПО будет необходимо тщательно отслеживать любую подозрительную активность).

Операционные данные транспортных средств с фиксированными маршрутами будут иметь наивысший приоритет они будут использоваться для повышения безопасности и функциональности ПО и аппаратуры этих автомобилей.

Со стороны пользователей беспилотных маршрутных транспортных средств возникнет запрос на доступ к данным о доступности и времени прибытия таких транспортных средств в режиме реального времени. Точность этих данных будет определять пользовательское удовлетворение и частоту использования услуги.

Изменения в дорожных данных также будут собираться и учитываться, но в данном сегменте рынка они не столь важны по причине того, что поездки будут осуществляться по ограниченному числу маршрутов.

Беспилотные грузовики


В результате пандемии Covid-19 возник большой спрос на услуги по перевозке различных грузов. Сложившаяся на рынке ситуация стимулирует инвестиции в область беспилотных грузовиков. Отрасль беспилотных грузоперевозок имеет разделение на различные направления: перевозки между транспортными узлами, грузовые автомобили для закрытых площадок и перевозки по фиксированным маршрутам.

Возможности сетевого взаимодействия исключительно важны для беспилотных грузовиков. ECU таких грузовиков будут требовать стабильной работы беспроводного соединения, а обновления ПО по воздуху и функциональные обновления будут выпускаться достаточно часто.

Кибербезопасность на различных уровнях важна для всех беспилотных транспортных средств особенно для грузовиков, учитывая ущерб, который может быть нанесен в результате атак хакеров-злоумышленников. Большая часть беспилотных грузовиков будет относиться к автопаркам, обеспечивающим кибербезопасность различными методами от широкого спектра бортового ПО для отслеживания рабочих процессов до облачных операционных центров.

Для беспилотных грузовиков будут очень важны операционные данные других беспилотных транспортных средств они могут стать ключом к обеспечению безопасности и функциональности программного и аппаратного обеспечения.

Для отслеживания трендов обеспечения безопасности на протяжении многих лет потребуются дополнительные данные и анализ работы парков беспилотных грузовиков. Такой подход необходим во всех сценариях использования беспилотного транспорта, но его реализация особенно важна в случае с устройствами, призванными заменить транспортные средства, управляемые человеком. Все эти данные необходимы для того, чтобы доказать безопасность беспилотных транспортных средств по сравнению с управляемыми человеком данные позволят оценить различные численные метрики, проанализировать условия езды и прочие аналогичные данные.

Данные о грузах и состоянии грузовиков имеют большую важность уже сейчас, но в цепочках поставок будущего (основанных на беспилотном транспорте) они будут иметь решающее значение. В будущем вырастут требования как к подробности этих данных, так и к частоте их обновления.

Роботакси


Большинство испытаний роботизированного такси проводились в самом начале пандемии Covid-19, в дальнейшем возникли задержки и отмены тестов. Почти во всех испытаниях роботакси принимал участие водитель-человек, следивший за безопасностью работы системы. Порядка 5% тестовых поездок, проводимых Waymo в Финиксе проводились без водителя. Законы штата Калифорния допускают тестовые поездки без водителя, но в таком случае необходимо использование удаленного управления. Китайские власти также начинают разрешать использование беспилотных транспортных средств без водителя в некоторых регионах страны.

Роботакси выдвигает куда более весомые требования к работе беспроводного подключения, по сравнению с беспилотными транспортными средствами, о которых шла речь ранее. Как и в других областях отрасли, электронные блоки, отвечающие за управление транспортным средством нуждаются в высокоскоростном беспроводном подключении для частой установки обновлений и расширения функциональности ПО.

Также роботизированные такси нуждаются в обширных возможностях обеспечения кибербезопасности. Большая часть роботакси будут являться частями автопарков, занимающихся продажей поездок, и в этих транспортных средствах будут присутствовать встроенные аппаратные и программные средства защиты. Облачные операционные центры будут отслеживать, анализировать и сравнивать операции сетевого взаимодействия с целью находить необычные паттерны, чтобы проводить расследования и принимать меры в случае необходимости.

Ожидается, что роботакси будет предлагать своим пассажирам широкий спектр контента в том числе видеоконтента, который ранее не могли потреблять водители обычных автомобилей. Это явление часто называют пассажирской экономикой оно отмечает тот факт, что водитель также стал пассажиром и имеет возможность потреблять видеоконтент. При использовании видео требования к пропускному каналу значительно вырастают, и работа над этим вопросом начнется в области роботакси уже после начала развертывания сервисов.

image

Roadbook от Mobileye представляет собой дорожную карту с разметкой полос (Источник: Mobileye)

Операционные данные будут особенно важны для работы роботакси они могут быть получены из массивов разнообразных данных, возникающих в процессе работы автопарков. Анализ этих данных может стать ключом к обеспечению безопасности и функциональности аппаратного и программного обеспечения роботакси.

Дополнительные сведения и анализ работы автопарков будут использоваться для совершенствования систем безопасности роботакси на протяжении десятилетий. Такие данные и их анализ потребуются для того, чтобы доказать, что роботакси будет более безопасно, чем существующие таксомоторные компании с водителями-людьми. Важно определить условия вождения, наиболее подходящие для работы роботизированного такси. Если индустрии удастся определить какие данные стоит отслеживать и как ими пользоваться, появится возможность сформулировать промышленные стандарты для анализа и сравнения результатов (равно как и сами результаты, которые позволят продвинуть безопасность беспилотного транспорта в глобальной перспективе).

Тестовые автомобили уже собирают дорожную информацию и сведения об изменениях дорожных условий, и по мере продолжения развертывания сервисов эти процессы будут продолжаться и набирать обороты.

Пассажирская экономика, в свою очередь, увеличит потребность в получении статистических данных о потреблении контента в роботакси. Ключевой вопрос заключается в том, какими настройками конфиденциальности сможет управлять пользователь.

Персональные беспилотные транспортные средства


Персональные беспилотные транспортные средства 4 уровня появятся очень нескоро, а перспективы их развития и развертывания очень размыты. Лучший сценарий выглядит следующим образом: персональные беспилотные транспортные средства будут использовать программные платформы, используемые в автопарках роботакси и смогут предоставлять аналогичные услуги для личного использования. Таким образом, персональные беспилотные транспортные средства будут нуждаться в тех же технологиях интернета автомобилей, что и роботакси.

Пассажирская экономика в персональных беспилотных автомобилях будет более продвинутой, чем в роботакси, поскольку пассажиры будут проводить в таких автомобилях больше времени, что приведет к более обширному потреблению контента и росту нагрузки на каналы беспроводной связи.

Другие вопросы отрасли беспилотного транспорта


На рынке беспилотного транспорта есть ряд задач, отмеченных в желтых блоках на рисунке. Все эти задачи связаны с возможностями беспроводного подключения в беспилотных транспортных средствах.

Удаленное управление технология, которая может применяться в ряде случаев. Ее суть в том, что транспортное средство будет удаленно управляться оператором, который будет видеть то, что видят сенсоры транспортного средства. Эта технология может кратковременно использоваться в определенных условиях (или как запасной вариант при возникновении каких-либо проблем с ПО). Удаленное управление требует значительной пропускной способности беспроводного подключения для передачи информации с датчиков оператору.

Беспроводные подключения критически важны для всех транспортных средств, из-за чего возникает ключевой вопрос. Необходим ли некоторым беспилотным транспортным средствам резервный канал для обеспечения связи в любой момент времени? Существует и аналогичный вопрос нужно ли системе кибербезопасности собственное беспроводное подключение для повышения уровня безопасности? Я считаю, что утвердительно можно ответить на второй вопрос. Дополнительный беспроводной канал при необходимости может быть использован как резервный канал связи для передачи данных.

Почти все автомобили, продаваемые в США, имеют черный ящик, записывающий ключевую информацию c ECU в случае аварии. Впрочем, восстанавливать такие данные трудно и дорого. Я считаю, что данные об аварии с участием беспилотных автомобилей должны храниться в черном ящике, а также немедленно передаваться нейтральной стороне для хранения и анализа. Такие данные могут передаваться по существующим беспроводным соединениям.

V2X продолжает свой путь в автомобильную индустрии несмотря на противостояние между V2X-DSRC и C-V2X. Беспилотные транспортные средства не требуют поддержки V2X, хотя у этой технологии очень многообещающие возможности интеграции и преимущества. V2X станет еще одним каналом беспроводной связи с транспортными средствами (и другими объектами) по мере развертывания технологии в течение 3-5 лет.

Также любое транспортное средство может использовать данные о потоках трафика, извлекая из них пользу, причем все эти преимущества будут еще более значительны при условии использования V2X. Существует ли возможность (или вероятность) того, что беспилотные транспортные средства смогут взаимодействовать с системами управления дорожными потоками хотя бы на местном или региональном уровне? Если это возможно, будет ли такая технология внедрена через 10, 15 лет или в будущем?

Наконец, рассмотрим еще пару вопросов, позволяющих расширить сферу интернета автомобилей. Первый вопрос когда появятся стандарты беспилотного транспорта, сколько их будет, и каких уровней они будут касаться?

Умные города используют данные из автомобилей, подключенных к сети, но большие массивы данных из различных сценариев использования беспилотного транспорта будут еще более полезны. Они позволят извлекать результаты, которые повысят производительность всего городского транспорта. Какие объемы данных для этого необходимы и когда будет организовано это взаимодействие?

Беспилотный транспорт генерирует огромные объемы данных особенно благодаря датчикам в лидарах, радарах и камерах. Большая часть данных с датчиков недолговечна и никогда не покидает автомобиль. Возникает вопрос: какая часть данных с датчиков будет отправляться автомобилем в облако? Я считаю, что очень небольшая, но общий объем этих данных все равно будет велик.

Таким образом, возникает еще один вопрос. Хранение данных часто используется в качестве компромисса с беспроводной передачей из-за проблем со стоимостью. Память устройств, хранящих данные, очищается после подключение к проводной или беспроводной сети. Я думаю, что встроенная память в беспилотных автомобилях будет использоваться для временного хранения большей части данных, поступающих с датчиков.

Подписывайтесь на каналы:
@TeslaHackers сообщество российских Tesla-хакеров, прокат и обучение дрифту на Tesla
@AutomotiveRu новости автоиндустрии, железо и психология вождения




image

О компании ИТЭЛМА
Мы большая компания-разработчик automotive компонентов. В компании трудится около 2500 сотрудников, в том числе 650 инженеров.

Мы, пожалуй, самый сильный в России центр компетенций по разработке автомобильной электроники. Сейчас активно растем и открыли много вакансий (порядка 30, в том числе в регионах), таких как инженер-программист, инженер-конструктор, ведущий инженер-разработчик (DSP-программист) и др.

У нас много интересных задач от автопроизводителей и концернов, двигающих индустрию. Если хотите расти, как специалист, и учиться у лучших, будем рады видеть вас в нашей команде. Также мы готовы делиться экспертизой, самым важным что происходит в automotive. Задавайте нам любые вопросы, ответим, пообсуждаем.

Читать еще полезные статьи:

Подробнее..

Перевод Автомобильное ПО варианты стратегического развития

17.09.2020 16:18:03 | Автор: admin
image

В своей предыдущей статье я писал о росте важности автомобильного ПО и использовал концепцию Разработка-сборка-маркетинг-использование для того, чтобы показать чем ПО отличается от аппаратной части. Суть той статьи заключается в том, что стратегия использования программных платформ лучший способ добиться успеха на рынке автомобильного ПО.

Печально известен тот факт, что разработку ПО очень сложно планировать и реализовывать особенно трудно оценивать времязатраты на создание больших программных продуктов. Такое положение дел тянется уже с 1960-ых годов, все это подробно описано в книге Мифический человеко-месяц. Это книга Фреда Брукса, она была опубликована в 1975 и дополнена в 1995. Проблемы доведения процесса разработки программных продуктов до конца могут быть сформулированы законом Брукса: если вы не укладываетесь в сроки, дополнительные человеческие ресурсы только увеличат время на разработку.

В этой статье мы рассмотрим текущее состояние рынка платформ автомобильного программного обеспечения. Любая программная платформа полагается на аппаратную, требующуюся для работы программ. Я расскажу о сегментах рынка автомобильного ПО и приведу примеры важных продуктов. Но сначала нам нужно понять что такое программные платформы, а также рассмотреть их преимущества и недостатки.

Обзор платформ


Платформа это технология, позволяющая создавать похожие между собой продукты, использующие результаты прошлых разработок. В рамках стратегии реализации платформ многие продукты или семейства продуктов могут быть разработаны с гораздо меньшими затратами, чем при разработке каждого продукта по отдельности. В автомобильной промышленности широко используются распространенные шасси с различными двигателями, салонами и форм-факторами. Платформы BEV в настоящее время становятся важной тенденцией в автомобильной промышленности. Кроме того, этот подход очень распространен в компьютерной индустрии часто можно встретить платформы разных уровней (начиная с процессорных и аппаратных, и заканчивая программными платформами и платформами приложений).

Использование программных платформ стало ключевой стратегией во всех сегментах компьютерной индустрии от мейнфреймов и миникомпьютеров до персональных компьютеров и планшетных ПК. Программные платформы также являются основой на рынке смартфонов и стали ключевым фактором, за счет которого лидерами рынка стали iOS и Android. Программные платформы также приобретают все большее значение в автомобильной промышленности и становятся особенно важны на развивающемся рынке автомобилей, зависящих от программного обеспечения.

У программных платформ есть и недостатки. Для их реализации требуется написание больших объемов кода, а работают они зачастую медленнее. Также они могут повышать требования к аппаратной части. Впрочем, в большинстве случаев, преимущества перевешивают недостатки.

Программная платформа обычно представляет собой набор из множества программных модулей для реализации определенной функциональности. Впрочем, это могут быть и небольшие программы, которые используются в более крупных платформах. Таким образом, программные платформы могут значительно отличаться по размерам и сложности кода. Ключевой аспект переиспользование программных модулей для экономии затрат на разработку и обслуживание, а также повышение уровня надежности за счет снижения общего количества ошибок в ПО.

Ключом к использованию и реализации программных платформ являются API, позволяющие создавать модульную структуру блоков и обеспечивать связь между модулями или разными платформами. API конкретных сегментов рынка ПО, в случае успеха, создают формируют экосистему из взаимодополняющих программных модулей, которые с течением времени значительно увеличивают стоимость и возможности использования платформы.

Платформы для автомобильного ПО


Программные платформы на автомобильном рынке быстро растут и оказывают большое влияние на всю индустрию автомобильного ПО, причем ожидается, что в следующем десятилетии тенденция роста сохранится. В таблице ниже приведена сводная информации о состоянии основных программных платформ, используемых в автомобильной промышленности. Существует и множество других платформ в данной статье они не рассматриваются из-за отсутствия подробностей об их разработке. В следующих разделах приводится обзорная информация о каждой из программных платформ, приведенных в таблице.

Операционные системы


Все автомобильные ECU нуждаются в ПО, которое будет управлять различными аппаратными компонентами, а также в приложениях, которые и будут выполняться блоком управления.

Все автомобильные блоки управления нуждаются в ПО, контролирующем работу разнообразных программ, управляющих аппаратными компонентами и приложениями, на которые рассчитаны все ECU. Консорциум автомобильной промышленности разработал и продолжает расширять возможности платформы AUTOSAR. AUTOSAR представляет собой многоуровневую программную архитектуру со стандартными API-интерфейсами для приложений, исполняемых ECU. Также эта платформа имеет независимый интерфейс, совместимый с большинством микропроцессорных архитектур, используемых в автомобильной промышленности. AUTOSAR ведущая программная программная платформа в отрасли систем помощи водителю и других традиционных приложениях для ECU. Впрочем, AUTOSAR не может управлять блоками со сложной и обширной кодовой базой так, как это делают информационно-развлекательные системы.

Все это открыло двери для операционных систем, которые стали использоваться в высокотехнологичной промышленности в применении к автомобильным системам. Операционные системы первыми высокотехнологичными программными платформами, оказавшими большое влияние на автомобильную промышленность. В современных информационно-развлекательных и телематических системах используются высокотехнологичные ОС. Также сложные операционные системы используются в ECU, системы ADAS тоже двигаются в этом направлении.

Некоторые блоки управления имеют повышенные требования к безопасности, и им нужны системы, прошедшие сертификацию (например, по стандарту ISO 26262). В настоящие момент, ни у одной из версий Linux нет таких сертификатов. В таких блоках используют QNX, Green Hills и другие аналогичные операционные системы, имеющие сертификаты безопасности.

Информационно-развлекательная системы высший уровень развития систем, использующих ОС. На рынке платформ ОС идет битва между QNX и различными версиями Linux AGL, Android и GENIVI-совместимыми версиями. Android от Google развивается семимильными шагами. Успех Android связан с основанием Открытого автомобильного альянса (OAA) в 2014 году. В настоящее время в этот альянс входят 60 брендов, включая ведущих OEM-производителей вроде Chrysler, Fiat, Ford, GM, Honda, Hyundai, Mazda, Mercedes-Benz, Nissan, Renault, Toyota и VW.

В платформу ОС обычно встроены многочисленные программы, относящиеся к так называемому промежуточному программному обеспечению, необходимому для обеспечения разнообразной функциональности. Промежуточное ПО своего рода программный клей. Это программное обеспечение предоставляет различным приложениям доступ к сервисам, недоступным из ядра ОС. Промежуточное ПО варьируется от утилитарных программ до аппаратных интерфейсов для автомобильных компонентов. HMI и пользовательские интерфейсы также часто относят к промежуточному ПО.

ОС-гипервизор


Гипервизор это небольшая программная платформа для управления несколькими ОС и их приложениями.

Эту платформу также можно назвать монитором виртуальных машин (VMM). Виртуализация используется в компьютерной индустрии с 1960-х годов и является ключевой технологией для центров обработки данных. Гипервизоры приобретают все большее значение для автомобильного программного обеспечения, поскольку они решают целый ряд проблем и могут быть экономичным решением.

Можно привести два примера, демонстрирующих преимущества гипервизоров. Первый пример: резервный монитор, который должен обязательно быть установлен на всех продаваемых в США автомобилях является компонентом систем с повышенными требованиями к безопасности. Второй пример: дисплей в информационно-развлекательных системах может быть идеальным запасным средством для вывода информации, но при этом в этой схеме не может использоваться ОС Linux, поскольку у нее нет необходимых сертификатов безопасности. Решением может стать гипервизор, интегрирующий Linux с QNX, Green Hills или другими ОС с сертификатами безопасности.

Интеграция кластера приборов и информационно-развлекательной системы еще один пример ситуации, в которой гипервизор является решением. Также гипервизоры могут применяться в сочетании с специфическими электронными блоками управления.

Телематические системы


Телематические системы имеют встроенные программные платформы, взаимодействующие с SaaS-сервисами, работающими с телематическими данными. В бортовых телематических системах используется операционные системы, и лидером в этом сегменте рынка является QNX (за счет того, что именно QNX используется в OnStar). Ведущие поставщики первого уровня встраивают в телематические системы программное и аппаратное обеспечение. Некоторые из Tier-1 поставщиков информационно-развлекательных систем также являются ведущими поставщиками телематических систем.

Программные платформы для телематических систем на основе SaaS являются собственностью поставщика телематических услуг (TSP) (таких как OnStar, SiriusXM, Verizon Telematics и WirelessCar). OnStar используется только в автомобилях от GM, но у других поставщиков есть целый ряд OEM-клиентов. Система WirelessCar в настоящее время в основном принадлежит VW, и вливание дополнительных ресурсов, вероятно, расширят его позиции на рынке.

Поставщики телематических услуг начинают использовать облачные ресурсы Microsoft, AWS и Google эти компании внедряют SaaS-платформы для функциональности сетевых автомобилей.

Информационно-развлекательные системы


Высокотехнологичные информационно-развлекательные системы самые сложные автомобильные системы в серийном производстве. Обычно в них встроены сложные системы отображения со звуковыми и навигационными системами, а также целым рядом различных приложений.

Существуют системы с возможностью возможности подключения к телематическим системам, кластерам приборов и HUD. Информационно-развлекательные системы также имеют обширный пользовательский интерфейс для управления и взаимодействия с водителем или пассажиром. Во многих информационно-развлекательных системах реализовано подключение к программной платформе для использования смартфонов и различных приложений в связке с виртуальными личными ассистентами (VPA), описанными далее. Информационно-развлекательные системы также активно используют технологии установки обновлений по воздуху и ПО для кибербезопасности, о чем также пойдет речь в следующих разделах.

Таким образом, в связке с информационно-развлекательной системой могут использоваться несколько разных программных платформ. Ключевой программной платформой в данной схеме является ОС, поскольку именно она косвенно управляет всем ПО, связанным с информационно-развлекательной системой. В этих системах основную долю рынка занимают различные ОС из группы Linux, в частности все более важной становится Android. Впрочем, выбор ОС для информационно-развлекательной системы сильно варьируется в зависимости от OEM-производителя.

Также во многих информационно-развлекательных платформах используются навигационные программные системы примерно в 25% (доля зависит от страны). Навигационные программные платформы, как правило, поставляются компаниями, специализирующимися на навигации в автомобильной и других промышленностях. Tier-1 Поставщики также могут поставлять навигационное программное обеспечение.

В большинстве современных информационно-развлекательных систем используются дисплеи, и средний размер дисплея растет с каждым годом. В настоящее время дисплеи встроены примерно в 60% информационно-развлекательных систем. В некоторых высококлассных системах используются даже графические ускорители для повышения производительности вывода на дисплей.

Интеграция смартфонов и мобильных приложений


В настоящее время смартфон стал неотъемлемой частью жизни водителя. Многие водители хотят использовать приложения из своих смартфонов в информационно-развлекательных системах для того, чтобы меньше отвлекаться не девайс. Некоторые OEM-производители разработали платформы для интеграции мобильных приложений в информационно-развлекательные системы. Впрочем, популярность CarPlay от Apple и Android Auto затмила всех остальных. Многие информационно-развлекательные системы поддерживают как CarPlay, так и Android Auto, чтобы иметь возможность взаимодействовать с большинством современных смартфонов. Baidu CarLife используется в основном в Китае, и там у этой системы очень сильные позиции, поскольку Android Auto в Китае недоступна.

Популярность CarPlay и Android Auto вызвана двумя основными факторами: знакомым пользовательским интерфейсом и большим количеством специфических для автомобилей приложений для обеих платформ. Впрочем, приложения для iOS и Android не работают как приложения для CarPlay или Android сами по себе. Эти приложения должны быть модифицированы для работы с определенной платформой. Наиболее популярными являются приложения с картами, данными о парковках и трафике, музыкой, подкастами, аудиокнигами, новостями, сообщениями и календарем.

С CarPlay работают более 500 моделей автомобилей от 65 разных автопроизводителей. Android Auto работает в примерно сопоставимом количестве автомобилей от 60 автопроизводителей.

Виртуальные личные ассистенты


Голосовые ассистенты, они же виртуальные личные ассистенты (VPA) хорошо зарекомендовали себя в автомобильной промышленности. Многие водители используют голосовых ассистентов в своих смартфонах или в домашних устройствах. OEM-производители пробовали создавать своих ассистентов, но высокотехнологичные платформы с голосовыми ассистентами взяли верх. Ведущими разработчиками голосовых ассистентов являются те же компании, что лидируют и на рынке умных домов и смартфонов: Amazon и их Alexa, Google и их ассистент, Apple и Siri. Достижения в области ИИ и технологий распознавания голоса сформировали спрос на голосовых ассистентов, поскольку они помогают водителям меньше отвлекаться.

Существует два способа использования голосовых ассистентов в автомобиле: через интеграцию мобильных приложения в CarPlay или Android Auto или через отдельную программную платформу с ассистентом в рамках автомобильной информационно-развлекательной системы. Лидером в области интегрированных ассистентов является Alexa, ассистент от Android держит крепкое второе место. Siri от Apple в основном используется в CarPlay, поскольку Apple является лидером на рынке интеграции смартфонов. Alexa и ассистент от Google также используются для интеграции мобильных приложений.

Подписывайтесь на каналы:
@TeslaHackers сообщество российских Tesla-хакеров, прокат и обучение дрифту на Tesla
@AutomotiveRu новости автоиндустрии, железо и психология вождения




image

О компании ИТЭЛМА
Мы большая компания-разработчик automotive компонентов. В компании трудится около 2500 сотрудников, в том числе 650 инженеров.

Мы, пожалуй, самый сильный в России центр компетенций по разработке автомобильной электроники. Сейчас активно растем и открыли много вакансий (порядка 30, в том числе в регионах), таких как инженер-программист, инженер-конструктор, ведущий инженер-разработчик (DSP-программист) и др.

У нас много интересных задач от автопроизводителей и концернов, двигающих индустрию. Если хотите расти, как специалист, и учиться у лучших, будем рады видеть вас в нашей команде. Также мы готовы делиться экспертизой, самым важным что происходит в automotive. Задавайте нам любые вопросы, ответим, пообсуждаем.

Читать еще полезные статьи:

Подробнее..

Цифровизация кризисом

09.09.2020 18:05:36 | Автор: admin
image

С момента, когда началась жесткая фаза кризиса, вызванного COVID-19, и связанных с ним событий, прошло уже более 6 месяцев. Карантин, самоизоляция и другие понятия стали неотъемлемой частью жизни не только для потребителей, но и для бизнеса.

Разберём в деталях, как именно кризис повлиял на индустрию интернет-маркетинга и на то, как компании из разных сфер бизнеса применяют инструменты онлайн-рекламы.

  1. ВВП, карантин и потребительский спрос
  2. Прогноз на основе онлайн-статистики
  3. Переходим в онлайн
  4. Реклама и маркетинг

ВВП, карантин и потребительский спрос


Неудивительно, что между уровнем ограничительных мер и валовым внутренним продуктом (ВВП) есть прямая корреляция. Кроме того, оказывается, что кривая снижения активности (т.е. уменьшения количества тех, кто выходит из дома, и физической активности их передвижений) симметрична графику, который отражает изменение объема транзакционных поисковых запросов, содержащих слово купить.

image


Объем поисковых запросов, связанных со словом купить, в сравнении с ВВП США и уровнем активности в период карантина. Источники: Google, Allianz Research, Qualified.One, Яндекс, Otonomo, Apple, Euler Hermes

По всей видимости, что потребительский спрос частично переместился в интернет, но этого, разумеется, оказалось недостаточно для сохранения экономики на предкризисных уровнях.

Информационные запросы: рост


Увеличение количества информационных запросов ясный и весьма понятный эффект, к которому привела самоизоляция и пандемия в целом. В русскоязычном сегменте в апреле количество запросов к веб-поиску Яндекса, содержащих слова почему, как и что, выросло в 1.6 раз по сравнению с мартом.

image
Частотность информационных поисковых запросов по месяцам, 2018-2020. Источники: Qualified.One, Яндекс

Не вызывает удивления, что отсутствие роста информационных запросов, которое отмечалось в предыдущем отчёте 28 марта 2020, оказалось всего лишь вопросом времени.

Прогноз на основе онлайн-статистики


Интересное наблюдение можно сделать с помощью линейной экстраполяции текущего режима восстановления при использовании статистики поисковых систем. Видно, что, помимо нестабильного периода марта-апреля 2020 года, кривые количества запросов (по данным Google) достаточно медленно изменяются относительно некоторого линейного тренда.

image

Объем поисковых запросов, связанных со словом доставка, в сравнении с уровнем активности в период карантина, и линейная экстраполяция к докризисному уровню. Источники: Google, Otonomo, Qualified.One, Яндекс, Apple

С учётом сказанного период возвращения к докризисному уровню можно ожидать во второй половине октября.

Переходим в онлайн


Как только из-за эпидемии была резко снижена активность в реальном мире, в частности, почти исчезла коммуникация, большая часть компаний были вынуждены переводить бизнес-процессы в интернет (хотя бы частично). Этот, тем не менее, происходило по-разному в различных сегментах: в то время как некоторым потребовалось всего лишь ускорить и так имевшие место процессы, у других всё было хаотично.

Резкий всплеск виден на графиках почти во всех изученных отраслях, но с определенными отличиями.

image

Детали, свойственные отдельным секторам бизнеса, разобраны в в полной версии исследования.

Реклама и маркетинг


Следуя глобальным переменам, бизнес был вынужден адаптировать маркетинговые стратегии. В целом, эти изменения продолжают тенденцию перехода от обычных рекламных каналов в интернет. Пандемия процесс только ускорила.

image
Объем поисковых запросов, связанных с digital-агентствами и с рекламными агентствами, и линейный тренд. Источники: Google, Qualified.One

Как видно, популярность классических рекламных агентств давно снижается, в то время как цифровые услуги становятся всё более и более популярны. Однако коронакризис привёл к изменению скорости этого роста: спрос на digital-агентства в конце первого квартала увеличивается быстрее, чем раньше. Пандемия стала мощным катализатором процесса digital-трансформации в индустрии рекламы и маркетинга.

image
Оценка спроса на различные каналы онлайн-маркетинга на основе частотности поисковых запросов. Источники: Google, Qualified.One

Цифровизация сама по себе неизбежный процесс, но что именно нужно делать владельцу бизнеса, маркетологу или Head of Marketing в нынешней ситуации?

Как выясняется, на рынке США наиболее востребованным онлайн-каналом является SEO: в августе 2020 услуги SEO искали в 2.6 раз чаще, чем в августе 2019. Это означает рост на 160% в год.

Запросы, связанные с контент-маркетингом, выросли на 33% за год, а Google Adwords и таргетированная реклама на Facebook стали популярнее на 21-22%.

Однако общемировая статистика другая: лидерами, наоборот, являются реклама на Facebook и Google Ads (36% и 40% роста), немного позади них SEO и контент-маркетинг (выросли на 33% за год).

Нынешний процесс восстановления, скорее всего, позволил бы вернуться к докризисным показателям онлайн-поведения к концу октября. Произойдет это или нет зависит от появления новых очагов COVID-19 и последующих ограничительных мер.
Подробнее..

Прикладной бакалавриат прогресс неостановим. Но о нём все равно можно будет забыть

13.09.2020 14:09:40 | Автор: admin
Намедни (в конце прошлого года) мы отметили десятилетний юбилей весьма интересного, весьма предсказуемого в текущих реалиях, и по моему мнению, давно востребованного, события, связанного с началом проведения эксперимента в системе высшего профессионального образования облаченного в форму постановления правительства РФ, а затем и в виде приказа от 16 октября 2009 года о реализации которого можно ознакомиться по ссылке: Приказ о постановлении О проведении эксперимента по созданию прикладного бакалавриата в образовательных учреждениях среднего профессионального и высшего профессионального образования

image

Тема достаточно старая, и на удивление, мало упоминаемая сейчас (об этом еще поговорим), поэтому наберусь мужества напомнить вам о данном старовведении, ответив на вопрос: Что же такое прикладной бакалавриат? Согласно той самой реформе, было принято разделение бакалавриата на академический и прикладной.

Их основная разница состоит в том, что первые получают традиционное высшее образование, а вторые обучаются практическим навыкам и имеют более узкую направленность. Подразумевалось (безо всех указаний), что в глазах работодателей прикладники чаще всего ценятся более высоко, так как, по сути, они те же академики (теоретики), но уже подготовленные к профессиональной деятельности. Подразумевается возможность схемы целевого набора, когда работодатели готовят заказ на определенных специалистов в ВУЗ/ССУЗ, а затем совместно с ним участвуют в учебном процессе, предоставляя студентам собственное производство как место для отработки полученных знаний. После завершения обучения, студенты имеют возможность продолжить работу на этом предприятии на законных основаниях. Поэтому такие выпускники всегда трудоустроены и имеют больше шансов для карьерного роста.

Что такое бакалавр вообще? Это степень, которая очень часто не содержит определенной квалификации. Кто такой, например, филолог или философ, непонятно в дипломе должны содержаться еще какие-то уточняющие квалификации. Поэтому прикладной бакалавриат, с нашей точки зрения, это всего лишь бакалаврская программа, где основная, базовая часть такая же, как предусмотрено в стандарте, а дополнительная, практико-ориентированная выводит на четкую квалификацию.

Например, сегодня филологу, чтобы стать секретарем-референтом (невероятная должность из девятнадцатого века, живущая и по сей день), нужно идти на курсы, а можно будет получить эту квалификацию в вузе, причем бесплатно, если человек учится на бюджетном месте. И те люди, которые поняли, что они не совсем филологи, то есть не писатели, не критики, что они не хотят рисковать на рынке труда, этой возможностью воспользуются. Если человек оканчивает филологический факультет, он пишет без ошибок, владеет иностранными языками, может легко поговорить на разные темы. Но если вдобавок к этому он знает делопроизводство, владеет компьютером и другими предметами, связанными с обеспечением деятельности руководителя, если соответствующую практику прошел, то он легко может работать референтом при серьезном боссе. В этом смысл прикладного бакалавриата.И это очень востребовано на рынке труда, потому что раньше секретарей-референтов готовили в ПТУ, в профессиональном колледже, высшего образования у них не было. А сегодня, если мы опросим руководителей, нужен ли им секретарь референт со средним образованием, все хором ответят: нет, только с высшим! А в нынешнем высшем образовании такой подготовки не предусмотрено.
Такими словами описывал общую специфику прикладного бакалавриата руководитель Центра начального, среднего, высшего и дополнительного профессионального образования Федерального института развития образования (ФИРО) Владимир Блинов еще пять-семь лет назад.

То есть, по сути, выпускники, проходящие программу прикладного бакалавриата по ряду направлений (укрупненных групп) получают все тот же диплом бакалавра, когда образовательные курсы заканчиваются. Он подтверждает, что гражданином получено среднее, либо высшее профессиональное образование. В классическом академическом бакалавриате действуют те же правила по окончании. Но в чем тогда подразумевается конкретные преимущества данного бакалавриата, который проводят в пятидесяти ВУЗах РФ?

Такие направления разрабатываются, чтобы решать такие значимые задачи:

  1. Ликвидация разрыва между рабочими и интеллектуальными должностями
  2. Помощь выпускникам с трудоустройством
  3. Уменьшение риска, связанного с вхождением на рынок труда
  4. Снижение издержек работодателей по доучиванию специалистов на собственные средства
  5. Больше внимания на практику
  6. Новые образовательные программы с дальнейшими перспективами
  7. Диплом выдаётся после защиты проекта и сдачи выпускных экзаменов.


Единственная проблема отсутствие единых разработанных стандартов. Потому на бумаге прикладной бакалавриат часто похож на академический, другие подобные виды обучения.

Но что же мешает внедрить повсеместно прикладной бакалавриат до сих пор? Не забываем, что по сути он применим и в системе среднего профессионального образования и может конкретно его поддержать. Объясняется это очень просто существуют формализации реформирования среднего профессионального образования, в которых наиболее интеллектуально-емкие направления обучения (например, все понятная нам всем на Хабре группа 09.00.00 Информатика и вычислительная техника) могуть получить ряд привилегий, обзаведясь следующим сценарием проф. обучения:

Например: поступление в колледж после 9ого класса на специальность 09.02.01 Компьютерные сети и комплексы с нормативным сроком обучения в 4 года с присвоением квалификации техник по компьютерным системам с последующим получением высшего образования в виду потери престижности среднего проф. образования по не очень внятным причинам. Однако, в связи с недавними изменениями в системе высшего профессионального образования, выпускнику колледжа становится не так легко поступить в ВУЗ по специальности. Во-первых, постоянно ужесточаются требования к вступительным испытаниям, ожидается навязчивое замещение ЕГЭ, во-вторых о поступлении на 3-ий курс нормативной формы обучения ОКУ Бакалавр, как это было раньше, можно забыть. Казалось бы наш случай: перенаправлять проф.ориентированных молодых людей на продолжение относительно узконаправленного (профильного) обучения в рамках прикладного бакалавриата. Например, в рамках еще двух лет обучения. В итоге студент получит 6-летний цикл базового обучения, и сможет дать фору (при должном уровне прилежности) выпускникам академического бакалавриата, в котором лишь два-два с половиной года обучения связано с спецификой специальности.


К тому же, даже в обход данной схемы, никому не помешает уточнение квалификации, что подразумевает как СПО (среднее профессиональное образование), так и прикладной бакалавриат в ВПО. Четко прописанное и регламентированное название полученной квалификации, как это было со специалитетом, дополнительно завершает проф.ориентацию готового выпускника. Чтоб не было зазорно говорить традиционное бакалавр по информационным системам и технологиям, а писать инженер по распределенным системам/инженер баз данных и баз знаний/ инженер системотехник. Магистратуру в таком случае трогать не стоит там все абсолютно логично, совершенно иной уровень.

Честно говоря я так и не понимаю, почему за десять лет данная методология обучения и проф.ориентации не снискала должной популярности и находится в состоянии недооформленной жизни. Я долго искал новый материал по этому поводу однако какой-либо внятности по этому поводу продемонстрировать не могу. Один сумбур. Очень напоминает всю эту кашу с проф. образованием наших IT-специалистов, которые по итогу (как и я, собственно говоря), не очень понимают свое профессиональное предназначение, в виду непродуманности ряда очевидно элементарных вещей. Неужели за десять лет нельзя было дать внятную формализацию, объяснив ее будущим абитуриентам? Я узнал о прикладном бакалавриате, когда на него поступил, т.е буквально пару недель назад. Причем, даже не в РФ. Не путайте прикладной бакалавриат с прикладной математикой или химией Это не одно и тоже, что тоже путает.

А ведь посудите сами, ведь есть же острая нужда не только в рамках определения дифференциации во внутреннем делении (своем, особом) между теми же Сomputer science/ и даже Сomputer arts (пускай будет так, хоть и это неправильно). Профилей подготовки по укрупненной группе 09.00.00 более ста: здесь и 3D-моделлирование, и специализированные компьютерные системы (по отраслям) и встроенные системы) и тому подобное

Но, в лучшем случае профиль будет отражен на бумаге (на дипломе) и выражен одним-двумя междисциплинарными модулями, а другое дело дать весь вариативный компонент по выбору студента/учебного заведения (а это приличная часть нагрузки) на конкретный профиль работы.
Недостаточно сделать двенадцать лабораторных по С++, чтоб разбираться в нем, и недостаточно знать в теории компоненты 1С для бизнеса. Этому нужно посвящать семестры.
И ведь черт побери, это выгодно и ССУЗы спасти, и ребятам выпускникам дать поработать с актуальными инструментами вдоволь, и обозначать правовую сторону вопросу не эфемерным статусом бакалавра, а и внятной квалификацией (опять же повторюсь).

В чем же проблема, кто может объяснить? Хорошая же идея, хоть и сыровата несмотря на возраст. Довольно простая в своем смысле. Адаптивная как пластилин. Надеюсь, что прогресс неостановим. Работать всё равно ничего не будет Дню памяти Ильи Сегайловича посвящается.
Подробнее..

Категории

Последние комментарии

© 2006-2020, personeltest.ru