Новости :

Философия и архитектура NT против UNIX с точки зрения безопасности

Философия и архитектура NT против UNIX с точки зрения безопасности


[1] Во избежание многословия под "NT" если только явно не оговорено обратное здесь и далее будет подразумеваться все NT-подобные системы: сама Windows NT, Windows 2000 и Windows XP.


Существует мнение, что распространение электронно-вычислительных машин привнесло больше проблем, чем их решило. Человечество в своей массе ни морально, ни этически, ни психологически ко всему этому оказалось просто не готово и компьютерная техника попала в руки к людям, чей интеллект направлен лишь на разрушение. И, если до появления Интернета, вирусная угроза в основном сводилась к проблеме "грязных рук" и беспорядочного копирования ПО, то сейчас ситуация существенно изменилась…

Введение

Степень защищенности вашего компьютера во многом зависит от совершенства установленной на нем операционной системы. Несколько утрируя можно сказать: что максимально достижимая защищенность узла никогда не превосходит степени защищенности самой ОС (разумеется, при условии, что узел не оснащен никакими внешними защитами, такими например, как брандмаузер).

Представляется логичным протестировать несколько популярных систем, отобрать из них наиболее защищенную и… Тут-то и выясняется, что:

а) такого тестирования еще никто не проводил, во всяком случае, материал найденный по этой теме в Сети, носит субъективный и поверхностный характер, сильно завязанный на непринципиальных недостатках конкретных реализаций ОС, большая часть из которых давным-давно исправлена очередной заплатой;

б) если семейство NT представлено всего тремя операционными системами: самой NT, Windows 2000 и Windows XP с практически идентичными архитектурами, то пестрота UNIX-подобных систем вообще не поддается описанию;

в) очень трудно выбрать адекватные критерии защищенности: количество зафиксированных взломов данной ОС – это не совсем тот показатель, который нам нужен: во-первых, точной статистики у нас нет и не может быть в принципе (по настоящему успешные взломы как правило не регистрируются), а, во-вторых, статистика такого рода отражает не защищенность, а распространенность тех или иных систем и в значительной степени искажена преобладающим интересом хакеров (попросту говоря модой); количество обнаруженных дыр  – само по себе еще ни о чем не говорит (уже хотя бы по указанным выше причинам).

Поэтому мы решили абстрагироваться от особенностей конкретных реализаций, и сравнить потенциальную концептуальную уязвимость операционных систем семейств NT и UNIX. Что такое "потенциальная уязвимость"? Это такое свойство архитекторы системы, которое при определенных обстоятельствах с той или иной вероятностью может привести к снижению степени ее защищенности. В частности, сложность считается одной из потенциальных концептуальных уязвимостей и при прочих равных условиях менее сложная система объявляется более защищенной и, соответственно, наоборот. Кончено, помимо сложности (кстати, уровень сложности измеряется не объемом программного кода, а количеством взаимосвязей между отдельными компонентами программы), большую роль играет профессионализм разработчиков, качество тестирования и т. д. Однако, поскольку все эти факторы практически не поддаются объективному учету (только не надо пожалуйста говорить, что LINUX тестируют миллионы людей по всему миру, – знаем-знаем мы как они ее тестируют), лучше их вообще учитывать, чем учитывать неправильно.

Так же, мы будет рассматривать лишь концептуальные уязвимости, – т. е. такие, которые настолько глубоко зарыты в системе, что без серьезного хирургического вмешательства в архитектуру ядра их не удалить. (Да и не получим ли мы после такой операции совершенно другую операционную систему?).

Философские концепции


Open Source vs дизассемблер

По определению, данному Ильей Медведовским атака на компьютерную систему – это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости. Существует множество разнообразных методик поиска уязвимостей, но ведь мы договорились не останавливаться на конкретных реализациях, верно? Вот и давайте разделим все методики на две полярные категории слепого и целенаправленного поиска.

Слепые методики рассматривают защитный механизм как черный язык с входом и выходом. Методично перебирая всевозможные входные значения злоумышленник пытается выявить такие из них, которые бы нарушали нормальную работу защитного механизма или в той или иной степени ослабляли степень защиты. Эта чрезвычайно простая и интеллектуально непритязательная стратегия взлома весьма популярна в кругах начинающих хакеров, начитавшихся дешевой фантастики и свято уверовавших в свою исключительность. Впрочем, после  …дцатой по счету попытки взлома терпение "хакера" кончается и вся эйфория внезапно проходит. Конечно, время от времени некоторым особо везучим счастливчикам все-таки удается проникнуть то в одну, то в другую защищенную систему, но особой опасности такие атаки не представляют в силу свой малочисленности.

Действительно, защитный механизм, принцип действия которого неизвестен, может быть взломан только грубой силой, то есть имеет вполне предсказуемую степень защищенности. Поэтому, любая мало-мальски серьезная акция начинается с изучения атакуемого объекта (целенаправленный взлом). Отсюда: при прочих равных условиях степень защищенности системы обратно пропорционально легкости анализа ее кода. А легкость самого анализа в первую очередь определяется доступностью исходных текстов защитного механизма!

Большинство UNIX'ов поставляются вместе с исходными текстами, в то время как исходные тексты NT недоступны, а анализ дизассемблерных листингов не только чрезвычайно трудоемок и утомителен сам по себе, но еще и требует изрядной профессиональной подготовки, которая есть далеко не у всех. К тому же подсистема защиты NT много сложнее аналогичной подсистемы большинства UNIX'ов и весьма поверхностно документирована, чем и отпугивает многих потенциальных злоумышленников.

Как следствие: количество дыр, обнаруженных в NT за все время ее существования, можно свободно пересчитать по пальцам одной руки (причем, большая часть из них была обнаружена практически случайно). В UNIX же, напротив, дыры обнаруживаются постоянно. С другой стороны….

Каждому хакеру – по системе!

…с другой стороны, степень опасности "дыры" зависит не сколько от ее "линейных размеров", столько от распространенности операционной системы, в которой она обнаружена. Огромное количество клонов UNIX ставит эту систему в весьма выигрышное (с точки зрения безопасности) положение. К тому же, постоянно переписываемые да и просто альтернативные ядра даже одну-единственную систему размножают до целого семейства, благодаря чему, уязвимость, найденная в одной версии ядра, зачастую недействительна для всех остальных.

В результате, могущество хакера, нашедшего дыру в UNIX, оказывается много ниже, чем если бы дыра аналогичных размеров была обнаружена в NT (в силу не многочисленности своих разновидностей, каждая, отдельно взятая версия NT, установлена на значительно большем количестве машин, нежели UNIX). Именно поэтому NT все-таки ломают или во всяком случае пытаются это сделать. Соблазн в самом деле настолько велик, что хакеров не останавливают ни отсутствие исходных текстов, ни трудоемкость анализа. К тому же, ядро NT не переписывается каждый день и практически все дыры, обнаруженные в NT 4.0 остаются актуальными и в Windows 2000, а то и в Windows XP. (Подробнее об этом рассказывается в книге Криса Касперски "Техника сетевых атак").

Напротив, если некоторая операционная система установлена на считанных компьютерах в мире, ломать ее сподобятся разве что мазохисты. Во всяком случае, хакеру потребуется весьма сильный стимул для изучения последней. Конечно, если эта операционная система защищает банковский компьютер, охраняющий миллиард электронных долларов, то за его сохранность ни один администратор не рискнет поручиться, что и неудивительно, ведь малораспространенные операционные системы практически полностью выпадают из внимания специалистов по информационной безопасности, вследствие чего частенько содержат большое количество тривиальных и легко обнаруживаемых ошибок, обнаруживаемых даже при поверхностном анализе.

Тем не менее, установка малораспространенной системы автоматически отсекает большую армию "хакеров", пользующихся для атак чужими эксплоитами. А, чтобы вас не атаковал профессионал, необходимо создать второй уровень защиты – узел с проверенной временем и тщательно проверенной специалистами операционной системой.

Неплохая идея: на передний план обороны водрузить какой-нибудь "редкоземельный" клон UNIX, а на второй – NT. Большинство хакеров, как показывает практика, в основном специализируются на одной операционной системе, и лишь в исключительных случаях – на двух сразу.

UNIX – это просто!

Сложность отладки и тестирования компьютерных программ стремительно растет с увеличением их сложности. И, начиная с некоторого уровня, затраты на тщательное "вылизывание" программы начинают перевешивать совокупный доход от ее продаж, вынуждая разработчиков ограничиться лишь поверхностным тестированием (если программа не зависла во время запуска – это уже хорошо).

Современные операционные системы давным-давно перешагнули через этот рубеж и никакая из них не застрахована от ошибок. С вероятностью близкой к единице можно утверждать, что критические ошибки присутствуют в любой ОС общего назначения, и потому любой узел в сети может быть гарантированно взломан, это всего лишь вопрос времени и усилий.

Между тем, ошибки крайне неоднородны по своей природе: одни лежат, что называется на поверхности, и обнаруживаются даже автоматизированными средствами контроля качества кода; другие же, напротив, зарыты так глубоко, что найти их можно только случайно. Фундаментальная проблема отладки заключается в том, что любая, даже самая незначительная модификация программного кода, чревата появлением каскада ошибок, возникающих в самых неожиданных местах. И потому, внесение каких бы то ни было изменений во внутренности операционной системы и/или сопутствующих ей приложений должно сопровождаться полным циклом повторного тестирования. Но ведь полное тестирование, как уже было показало выше, выполнить просто невозможно!

Чрезмерная сложность NT вкупе с огромным количеством изменений, вносимых в код каждой новой версии, собственно и объясняют скверное качество ее тестирования. Несмотря на все усилия, предпринимаемые Microsoft, уязвимость NT заложена уже в самой политике ее развития, а потому является принципиально неустранимой, т.е. фундаментальной.

Большинство UNIX'ов напротив, довольно компактны и содержат минимум необходимых для функционирования системы компонентов (или, во всяком случае, позволяют урезать себя до такого состояния). К тому же их медленное, эволюционное (а не революционное как у NT) развитие отнюдь не способствует появлению грубых, легко обнаруживаемых ошибок, которыми так славится NT.

Удаленный доступ: оружие пролетариата?

Одно из концептуальных отличий философии NT от UNIX заключается в том, что UNIX не делает практически никаких различий между локальным и удаленным доступом к машине. В NT же, напротив, лишь некоторые действия могут быть выполнены удаленно, а для полноценного управления сервером администратор вынужден прибегать к физическому доступу.

Никто не спорит – удаленно управлять сервером очень удобно, но давайте задумаемся – насколько это безопасно? Увы, никакое удобство не проходит даром! Что комфортно администрировать, то комфортно и атаковать! Этому, кстати, будут способность и продвинутые командные интерпретаторы, поддерживающие полноценные языки программирования, разительно отличающие от того уродства, что переваривает примитивная оболочка NT. Вообще же, в NT удаленным доступом очень мало что можно сделать (правда, начиная с Windows 2000 в ней все-таки появилось более или менее совершенные механизмы удаленного управления).

Тем не менее не стоит впадать в крайности и полностью отказываться от возможности удаленного администрирования. Конечно, полностью запретив удаленный доступ вы в значительной степени усилите защищенность своего сервера, но… при этом будете вынуждены постоянно находится непосредственно рядом с сервером. Спрашиваете: зачем? А кто хакеров будет гонять?! Ведь проникнуть на атакуемую машину можно через любой, установленный на ней сервис (скажем, WEB) и потому крайне нежелательно лишать себя всех средств дистанционного мониторинга и управления сервером.

Словом, удаленное управление – палка о двух концах, одновременно и ослабляющая защищенность узла, но и усиливая оперативность выявления и нейтрализации злоумышленников. С другой стороны, в ответственных случаях, от удаленного управления все же лучше совсем отказаться, заменив его прикованным к серверу оператором.

Комплектность штатной поставки

Комплект штатной поставки подавляющего большинства UNIX включает в себя огромное количество разнообразных программ от игрушек до компиляторов и интерпретаторов. А чем больше приложений установлено на машине, тем выше вероятность образования "дыр" в системе безопасности! К тому же, наличие компиляторов (интерпретаторов) на атакуемой машине значительно упрощает взлом, поскольку, во-первых, усиливает переносимость эксплоитов, во-вторых, позволяет автоматизировать атаку, и, в-третьих, предоставляет доступ к функциям и сервисам недоступным из командной оболочки.

Операционные системы семейства NT, укомплектованные более чем скромным набором утилит, в этом отношении выглядят более защищенными. Впрочем, это непринципиальное различие: грамотный администратор и так удалит из UNIX все лишнее.

Архитектурные концепции


Механизмы аутентификации

Механизмы аутентификации пользователей (то есть, попросту говоря алгоритмы проверки правильности пароля) и в UNIX, и в NT построены на практически идентичных принципах. А именно: эталонный пароль вообще нигде не хранится, – вместо этого используется его хэш (грубо говоря: контрольная сумма). Пользователь вводит пароль, операционная система хэширует его по тому или иному алгоритму и сравнивает полученный результат с хэш-суммой эталонного пароля, хранящейся в специальной базе паролей. Если они совпадают, то все ОК и, соответственно, наоборот. Такая схема (при отсутствии ошибок реализации, конечно) гарантирует, что даже если злоумышленник и получит доступ к базе паролей, он все равно не сможет проникнуть в систему иначе, чем методом перебора. Впрочем, если спуститься с небес идеализированных математических концепций на грешную землю, можно обнаружить, что "нормальные герои всегда идут в обход". В частности, в большинстве UNIX'ов вводимый пароль открытым текстом передается по сети и при наличии хотя бы одного уязвимого узла в цепочке передачи, может быть перехвачен хакером. В NT же открытый пароль никогда не передается (ну, разве что администратор не настроит ее соответствующим образом) и используемая в ней схема аутентификации устойчива к перехвату трафика.

С другой стороны, NT крайне небрежно относится к охране парольной базы от посягательств хакеров. На первый взгляд кажется, что никакой проблемы вообще нет, т. к. доступ к базе имеется лишь у системы, администраторов и ограниченного количества специально назначенных администратором пользователей (например, операторов архива, периодически сохраняющих базу на резервных носителях). А вот в некоторых, правда, довольно немногочисленных UNIX'ах файл паролей свободно доступен всем пользователям системы и зачастую даже "виден" по сети! Ну и что с того? – спросите вы. – Ведь паролей в парольном файле все равно нет, а "обращение" хеша методом перебора занимает слишком много времени, пускай хакер перебирает, если ему это занятие так нравится… Хорошо, тогда такой вопрос: возможно ли в одном единственном переборе взломать все машины в сети? Не спешите отвечать "нет", ибо правильный ответ: "да"! Объем жестких дисков сегодня возрос настолько, что хакер может сохранить хеши всех перебираемых паролей. Неважно сколько это займет времени: месяц или даже несколько лет, – ведь теперь у взломщика появится возможность практически мгновенно восстановить пароль по его хешу – была бы только парольная база в руках! Мало того, что в NT резервные копии парольной базы по умолчанию хранятся в общедоступных каталогах, так алгоритм аутентификации не использует привязки (salt), в результате чего хеши одинаковых паролей в NT всегда будет совпадать, значительно упрощая тем самым взлом! Впрочем, от атак данного типа привязка все равно не спасает, разве что немного продляет "мучения" системы.

Повышение своих привилегий

Модель привилегий пользователей и механизмы контроля прав доступа, – ключевое и вместе с тем наиболее уязвимое (по статистике) звено подсистемы безопасности любой многопользовательской ОС. В общем случае к ней предъявляются следующие требования:

а) модель пользователей должна быть достаточно гибкой, удобной и интуитивно понятной, в противном же случае ошибки администрирования – неизбежны;

б) механизмы контроля прав доступа должны не только гарантировать невозможность не санкционирования повышения уровня своих привилегий, но и быть максимально устойчивыми к программистским ошибкам;

в) и сама система, и работающие в ней пользователи должны обходится минимально необходимым уровнем привилегий.

Анализ показывает, что перечисленные выше требования не выполняются ни в одной ОС массового назначения, а потому все они в той или иной степени заведомо уязвимы. Между тем, степень защищенности UNIX и NT различна.

Модель привилегий пользователей, применяемая в большинстве UNIX, является одноуровневой и допускает существование только двух типов пользователей: обычные пользователи и суперпользователь (он же root или администратор). В NT же, напротив, используется иерархическая схема, причем, помимо root'а в ней имеется еще один суперпользователь, – система. Что это означает? А то, что в NT, в отличии от UNIX, каждый пользователь получает минимум необходимых ему прав и никогда не повышает уровень своих привилегий без особой необходимости. Широко распространенное заблуждение гласит, что правильное администрирование UNIX позволяет добиться такого же точно распределения прав доступа, как и в NT, пускай и ценой большего времени и усилий. На самом же деле это не так.

Отсутствие системного пользователя в UNIX приводит к невозможности выполнения целого ряда действий иначе, чем временным повышением привилегий запущенной программы до root'a. Взять хотя бы классическую задачу смены пароля. Пользователи могут (и должны!) периодически менять свои пароли. Но ведь в UNIX (как впрочем и в NT) пароли всех пользователей хранятся в одном файле, причем, используемая модель привилегий не позволяет назначать различным частям файла различные права доступа. Но ведь должен пользователь как-то изменять свой пароль, верно? В UNIX эта задача решается так: утилите, ответственной за смену пароля, присваивается специальный атрибут, позволяющий ей при необходимости получать права root'а, что она, собственно, и делает. Если бы этот механизм использовался только при операциях с паролями большой беды и не было бы. На самом же деле, такой атрибут необходим очень большому количеству приложений, в частности WEB и e-mail серверам. Задумайтесь, что произойдет, если в одной из программ, исполняющихся с наивысшими привилегиями, обнаружится ошибка, так или иначе приводящая к возможности передачи управления хакерскому коду? А ведь такие ошибки сыплются из UNIX'ых программ как из рога изобилия!

Совершенно иная ситуация складывается в среде NT. Непривилегированные пользователи только в исключительных случаях вынуждены повышать свои права до уровня администратора, а все остальное время они пользуются API-функциями операционной системы, выполняющими потенциально опасные действия "руками" самой ОС. Даже если в одном из таких приложений будет допущена ошибка и хакер захватит управление, – он унаследует минимум прав и причинит система минимум вреда.

Таким образом, NT устойчива к программистским ошибкам, а UNIX чрезвычайно чувствительна к ним.

Угроза переполнения буфера

Переполнение буфера – наиболее "популярная" и в то же время наиболее коварная ошибка, которой не избежало практически ни одно сколь ни будь сложное приложение. Коротко объясним ее суть: если размера выделенного программистом буфера вдруг окажется недостаточно для вмещения всех, копируемых в него данных, то содержимое памяти за концом буфера окажется разрушено (а точнее – замещено) не вместившимися в буфер данными. В зависимости от ситуации за концом буфера могут находится:

а) другие буфера и переменные программы;

б) служебные данные – в частности, адрес возврата из функции;

в) исполняемый код;

г) незанятая или д) отсутствующая страница памяти.

Наибольшую опасность представляют пункты б) и в) так как они чреваты возможностью полного захвата контроля над уязвимой программой. Пункт д) менее коварен и в худшем случае приводит к возможности реализации атаки отказа в обслуживании (при обращении к отсутствующей странице памяти процессор выбрасывает исключение, приводящее к аварийному завершению уязвимого приложения). Угроза от пункта а) в значительной степени зависит от рода и назначения переменных, находящихся за концом переполняющегося буфера и хотя теоретически уязвимое приложение способно на что угодно на практике угроза оказывается не столь уж и велика.

Есть еще одно обстоятельство, – для полноценного захвата управления хакер должен иметь возможность исполнять на удаленной машине собственный код, обычно передаваемый непосредственно через сам переполняющийся буфер. В зависимости от расположения уязвимого буфера и "характера" операционной системы, исполнение переданного хакером кода может быть как разрешено, так и нет.

Все системы: и UNIX, и NT потенциально допускают существование пунктов а), б), г) и д), исключая лишь единственный из них – пункт в). Следовательно, они в равной мере подвержены угрозе переполнения буфера. Кроме того, и UNIX, и NT имеют исполняемый стек (то есть разрешают выполнение кода в стеке) и запрещают его выполнение в сегменте данных. А это значит, что переполнение буферов, содержащихся в автоматических (т.е. стековых) переменных несет в себе угрозу полного захвата управления над уязвимой программой. Правда, для некоторых UNIX существуют заплаты, отнимающие у стека право выполнения, но сфера их применения весьма ограничена (исполняемый стек необходим множеству вполне легальных программ, в частности, компиляторов).

Самое забавное, что и UNIX, и NT написаны на Си – языке программирования, не поддерживающим автоматический контроль границ массива и потому подверженному ошибкам переполнения. Старожилы говорят, что в некоторых версиях UNIX ошибка переполнения присутствовала даже на вводе имени пользователя при регистрации в системе.

Доступ к чужому адресному пространству

С защитой адресных пространств процессор связано огромное количество слухов, сплетен, легенд, да и простого непонимания самой философии защиты. Популярные руководства постоянно упускают из виду, что эта защита в первую очередь предназначается для непредумышленного доступа, то есть для того, чтобы процесс, пошедший "в разнос", не утащил бы на тот свет и все остальные процессы, исполняющиеся параллельно с ним.

Полноценной защиты от предумышленного доступа в чужое адресное пространство ни в UNIX, ни в NT на самом деле нет. Собственно, UNIX вообще не представляет никаких средств такого взаимодействия, кроме разве что разделяемых (т. е. совместно используемых) областей памяти, но это совсем не то. NT же обеспечивает весьма гибкий контроль доступа адресному пространству процессоров, но все-таки значительно проигрывает UNIX в отношении безопасности. И вот почему:

а) в NT доступ в чужое адресное пространство по умолчанию разрешен всем, даже гостю, и если какой-то процесс (точнее его владелец) не хочет, чтобы в него проникали, он должен заявить об этом явно;

б) в UNIX для отладки процессов необходимо, чтобы отлаживаемый процесс не только дал согласие на свою отладку, но и выполнил некоторые действия, причем, отладка уже запущенных процессов запрещена! NT же беспрепятственно позволяет отлаживать активные процессы и инициировать отладку новых, естественно, с наследованием всех привидений процесса-отладчика (то есть в общем случае, отладка более привилегированных процессов из менее привилегированных невозможна).

Короче говоря, – NT предоставляет весьма вольготные условия для существования Stealth-вирусов, клавиатурных и паролей шпионов и всех прочих тварей, нарушающих покой системы.

Межпроцессорные коммуникации

Процессы должны иметь возможность обмениваться данными, – это бесспорно, в противном случае такая система не будет никому нужна. С другой стороны, наличие каких бы то ни было средств межпроцессорного взаимодействия потенциально позволяет атакующему пагубно воздействовать на чужой процесс, причиняя его владельцу те или иные неприятности. Например, напрягать жертву посылкой больших объемов бессмысленных данных, которые та категорически не хочет принимать. Следовательно, каждый из взаимодействующих процессов должен иметь возможность:

а) самостоятельно решать с кем ему взаимодействовать, а с кем нет;

б) уметь определять подлинность процессов отправителей и процессов получателей;

в) контролировать целостность передаваемых/принимаемый данных;

г) создавать защищенный канал связи, устойчивый к перехвату трафика.

Многообразие средств межпроцессорного взаимодействия, поддерживаемых современными операционными системами, чрезвычайно затрудняет ответ на вопрос: а выполняются ли перечисленные выше требования на практике? Ограниченные объемом журнальной статьи мы рассмотрим лишь два наиболее популярных средства межпроцессорного взаимодействия: каналы, сокеты и сообщения.

Неименованные каналы позволяют связывать лишь родственные процессы и потому полностью отвечают условию пункта а). Даже если посторонний процесс каким-либо образом ухитриться получить дескриптор неименованного канала не родственного ему процесса, то он (дескриптор) вне контекста своего процесса потеряет всякий смыл и ничего пакостного с ним злоумышленник не сможет сделать. Если же злоумышленник проникнет в родственный процесс и попытается, скажем, облить своего соседа толстой струей информационного мусора, то… ничего не произойдет. Если процесс-читатель не будет успевать "заглатывать" посылаемые ему данные, система автоматически приостановит процесс передачи, не давая атакуемому процессу "захлебнуться". Причем, жертва вольна сама решать – выносить ли ей такие издевательства дальше или же просто закрыть канал и послать невоспитанного хакера куда подальше.

Именованные каналы доступны всем процессам в системе, а в NT и процессам, исполняющимся на остальных узлах сети. Естественно, для открытия именованного канала необходимо иметь соответствующие привилегии, но вот для создания нового именованного канала такие привилегии необязательны, причем под NT не существует легальных способов определения "авторства" создателя того или иного канала! Учитывая, что именованные каналы активно используются системой для передачи зашифрованных паролей и удаленного управления реестром, угроза внедрения подложных каналов уже не покажется незначительной. Частично эта проблема решается установкой соответствующего пакета обновления (в частности для Windows 2000 это ServicePack 2), который предотвращает создание подложного экземпляра уже существующего именованного канала, между тем возможность создать подложный канал "с нуля" по прежнему остается, а механизмов идентификации создателей канала в win32 API как не было, так до сих пор и нет. Локальность именованных каналов в UNIX оказывается одновременно и сильной, и слабой ее стороной. Тем не менее, отсутствие удаленного доступа к каналам еще не дает повода расслабляться, – ведь создать подложный канал может даже гостевой пользователь, что в ряде случаев позволяет ему успешно атаковать более привилегированные процессы.

Именованные каналы имеют еще один серьезный недостаток: обработка каждого нового подключения требует какого-то количества системных ресурсов, а максимальное количество создаваемых экземпляров канала обычно не ограничено. Создавая все новые и новые экземпляры злоумышленник "сожрет" все ресурсы и система рано или поздно "встанет". Даже если максимальное количество экземпляров было заранее ограничено, получим те же самые яйца, только в профиль. Захватив все свободные каналы, злоумышленник нарушит нормальную работу всех остальных легальных процессов. Система, правда, не рухнет но пользы от этого будет немного… Решение проблемы состоит в введении квот с клиентской (а не серверной!) стороны, но во-первых, не совсем ясно как такое реализовать в сетевой среде, а, во-вторых, клиентскую защиту всегда легко обойти.

Сокеты, использующиеся в основном в межузловых межпроцессорных взаимодействиях (хотя в UNIX они широко применяются и для локального обмена данными), так же катастрофически незащищены перед попыткой захвата всех свободных ресурсов и огромное количество постоянно совершающихся flooding-атак – лучшее тому подтверждение. Кстати, наличие "сырых" (RAW) сокетов в UNIX делает ее платформой номер один для любой мало-мальски серьезной TCP/IP-атаки. Системы семейства NT долгое время вообще не позволяли "вручную" формировать сетевые пакеты и потому атаки типа Land, Teardrop и Bonk осуществить с их помощью было невозможно (правда, это еще не означает, что NT устойчива к таким атакам). Не этим ли обстоятельством вызвана патологическая любовь большинства хакеров к UNIX? Правда, сегодня только ленивый не найдет NDIS-драйвер к NT, позволяющий работать с TCP/IP пакетами на низком уровне, так что репутация UNIX как чисто хакерской платформы в скором будущем обещает пошатнуться.

Наконец, сообщения представляют еще один тип неавторизированного межпроцессорного взаимодействия. В NT любой процесс независимо от уровня своих привилегий может послать сообщение окну другого процесса (в том числе и более привилегированного!), причем нет никакой возможности установить отправителя сообщения! Вот тебе бабушка и сказка о безопасности! Находим окно какого-нибудь привилегированного приложения (а такая возможность у нас есть), получаем дескриптор интересующего нас элемента управления (кнопки, пункта меню, строки редактирования) и… эмулируем ввод пользователя!!! Привилегированный процесс все сделает за нас, так ничего при этом и не заподозрив! Таким образом, запускать средства администрирования безопасно лишь на заведомо "стерильной" машине (по сети сообщения не передаются, точнее… не передаются в штатной конфигурации NT, но ряд утилит удаленного управления системой позволяет обмениваться сообщениям и по сети).

Нашумевшая дыра, связанная с передачей shell-кода в строку редактирования привилегированного процесса с последующей установкой таймера, выполняющего этот код в адресном пространстве и с привилегиями атакуемого процесса, в настоящее время по заверениям Microsoft уже устранена. Подробности рецепта "лечения" в момент написания этих строк еще не известны, но по всей видимости они сводятся к проверке адреса таймерной процедуры – она не должна находится в буфера какого бы то ни было окна. Ну, еще быть может, запретили передавать сообщение WM_TIMER более привилегированным процессам. Полностью же запретить (или защитить) межпроцессорную рассылку сообщений невозможно, поскольку она является частью философии оконной подсистемы Windows и любые попытки внесения каких бы то ни было ограничений не замедлят столкнуться с проблемами совместимости и приведут к неработоспособности большого количества прикладных программ.

Оконная подсистема UNIX хороша тем, что, не является неотъемлемой частью системы и при желании от нее можно отказаться, ограничившись надежным и безопасным текстовым режимом. К тому же, обмен сообщениями в графических оболочках UNIX обычно осуществляется по протоколам TCP/IP, которые защищают окна и элементы управления одного процесса от посягательств всех остальных (если, конечно, сам процесс-владелец этого не захочет).

Итак: межпроцессорный обмен в и UNIX, и в NT выполнен очень плохо и потому не безопасен, причем, адекватных средств защиты от рассмотренных выше атак, ни в близком, ни в отдаленном будущем по видимому не появится, т. к. "собака зарыта" на уровне базовых концепций и философии той и другой системы. А философию очередной заплатой не поменяешь.

Сводная таблица

Так какая же система надежнее? В идеале, конечно, следовало бы присвоить каждой характеристике свой "вес" и посчитать "очки" обоих систем. Поскольку, "весомость" понятие субъективное, нам ничего не стоит настроить измерительную шкалу так, чтобы более надежной оказалась наша любимая система, причем, такая подтасовка может происходить и подсознательно, а потому в свободной таблице, приведенной ниже, никакие весовые категории вообще не используются.

Не стоит так же забывать, что оценка безопасности системы весьма чувствительна к количеству и роду сравниваемых характеристик. Исключая одни или добавляя другие мы можем значительно изменить конечный результат. Так что не стоит считать наше сравнение истинной в последней инстанции…

характеристика NT UNIX

качество и полнота документирования

документирована поверхностно

документирована весьма обстоятельно

доступность исходных текстов

исходные тексты недоступны

исходные тексты доступны

сложность анализа

высокая

умеренная

распространенность

существует весьма ограниченное количество представителей NT, причем наблюдается ярко выраженная преемственность дыр от одних версий системы к другим

существует огромное количество разнообразных клонов, причем ошибки одной версии системы зачастую отсутствуют в остальных

сложность кода

код излишне сложен

код предельно прост

поддержка удаленного администрирования

частично поддерживает

поддерживает

комплектность штатной поставки

содержит минимум необходимых приложений

содержит огромное количество приложений, в том числе и не протестированных

механизмы аутентификации

устойчив к перехвату паролей

передает открытый пароль

использование привязки

не использует

использует

выполнение привилегированных операций

выполняется операционной системой

выполняется самим приложением со временным повышением привилегий

модель пользователей

иерархическая

одноуровневая

защита от переполнения буфера

отсутствует, причем сама ОС написана на языке провоцирующим такие ошибки

отсутствует, причем сама ОС написана на языке провоцирующим такие ошибки

возможность доступа в адресное пространство чужого процесса

имеется, разрешена по умолчанию

отсутствует

возможность отладки процессов

имеется, разрешена по умолчанию

имеется, но связана с рядом ограничений

возможность отладки активных процессов

имеется, но требует наличия соответствующих привилегий

отсутствует

удаленный доступ к именованным каналам

есть

нет

создание подложных именованных каналов

есть, можно создать и канал, и даже подложный экземпляр уже открытого канала

есть, можно создать лишь подложный канал

защита именованных каналов от нежелательных подключений

отсутствует

отсутствует

защита сокетов от нежелательных подключений

отсутствует

отсутствует

возможность эмуляции ввода в более привилегированный процесс

имеется

отсутствует

Таблица 1 Сравнение основных характеристик UNIX и NT прямо или косвенно относящихся к безопасности. Неудачные характеристики залиты серым цветом

Заключение

Не правда ли, забавно, – NT защищена намного слабее (приведенная выше таблица неопровержима доказывает это), но ломают чаще всего все-таки UNIX, а не NT. Парадокс? Или все-таки отсутствие исходных текстов дает о себе знать? Во всяком случае, других причин мы просто не видим… Единственное, что можно предположить: NT ломают, но в силу успешности взлома (и уязвимости самой системы) эти взломы просто не удается зафиксировать. В общем, здесь есть пища для размышлений!

  [C] Крис Касперски

Источник: [W A S M . R U]

Комментарии: (0) | Безопасность | 2006-06-07

Работа над проектом

Сегодня с утра наблюдалась большая загруженность, особенно когда на линии около 40 человек, пришлось подправить некоторые плагины, в результате чего удалось уменьшить число запросов при загрузке главной страницы с 85 до 41 !

Комментарии: (0) | Новости сайта | 2006-06-06

В гостях у Kingston, или где и как делают память?

В гостях у Kingston, или где и как делают память?

Источник: AnandTech
Автор: Wesley Fink
Перевод: Владимир Володин

Штабквартира самого большого независимого производителя памяти, компании Kingston, находится в Fountain Valley в Калифорнии. С начала 1987 до конца 2004 года Kingston завоевал 27% мирового рынка памяти. Общий объем продаж в 2004 году составил 2,5 миллиарда долларов, что в три раза больше, чем у ближайшего конкурента Kingston, занимающего второе место.

Kingston сейчас имеет заводы в четырех странах: США, Малайзии, Китае и Тайване. На этих заводах производятся любые типы памяти, включая DIMM, So-DIMM и флэш-память, необходимую как на компьютерном рынке, так и в цифровой фотографии. Это позволяет компании учавстовать во всех процессах на рынке, предоставляя память по OEM договорам и выпуская как недорогие массовые типы модулей, так и высокопроизводительные, ориентированные на энтузиастов.

Мы посетили тайванскую фабрику Kingston.

Она находится в четырех часах езды к юго-востоку от Тайбея, в городе Хсин-Чу. Это место расположения заводов многих известных производителей компьютерных компонентов. Завод был открыт в 1997 году, здесь же находится тайванское отделение компании.

На завод поступают уже готовые микросхемы памяти, и модули на этом заводе только собираются, а производства самих микросхем здесь нет.

Завод в Хсин-Чу находится в четырехэтажном здании. На всех четырех этажах производственные линии по монтажу модулей (SMT), которые выпускают модули памяти DDR, DDR2, и флэш-память.

Сырье

Так как тайванский завод занимается только сборкой, материалы поставляются с других заводов компании или закупаются у других производителей.

Прежде, чем материалы поступят на сборочные линии, они сортируются и проходят тестирование на соответствие стандартам качества.

После проверки качества настает черед сборки и тестирования.

Kingston отмечает, что все оборудование к самым быстрым изменениям для выпуска новых видов памяти.

Полная автоматизация производства

Завод полностью автоматизирован. Рабочие вообще не прикасаются к компонентам до окончательного тестирования и проверки на соответствие нормам качества.

Машина загружена пока только платами модулей DIMM:

Микросхемы памяти на высокой скорости вставляются в пустые модули:

Заполненные модули проходят через паяльные машины, закрепляющие микросхемы. На этом этапе очень важен контроль качества выполнения операции. Сначала качество соединения проверяется на автомате оптического контроля.

Сомнительные модули отбираются для более тщательного тестирования.

Сортировка, тестирование, наклеивание ярлыков

После автоматической проверки на модули наклеиваются наклейки.

Дальше они устанавливаются в специальные лотки и продолжают свой путь по этапам тестирования.

Финальный тест качества

Не смотря на несколько предыдущих проверок, Kingston заканчивает процесс производства 100% проверкой работоспособности и качества модулей.

Тестовые стенды:

На этих линиях все модули DIMM проверяются на материнских платах, аналогичных тем, на которых им предстоит работать.

Это тестирование предполагает 100% тестирование каждого модуля.

Kingston убеждал нас, что компания не хочет, чтобы у пользователей возникали проблемы, и поэтому не выпускает ни одного модуля без его тестирования.

На заключительном этапе все модули отправляются на упаковку.

Заключение

По сравнению с производством материнских плат или видеокарт, превращение микросхем памяти и плат в готовые модули, это совсем не сложный процесс. Но производство материнских плат, по большому счету, процесс не намного более сложный, ведь отличие заключается только в количестве компонентов и значительно большем наборе процедур по тестированию.

Большим сюрпризом для нас стало полное тестирование всех модулей памяти. Мы ожидали основанной на статистике выборки модулей и тестирования только их. Kingston очень гордится, тем что во многих технологиях компания была первой. Но эти технологии и тесты сейчас применяются всеми ведущими производителями модулей памяти.

Тайванское отделение Kingston также является одним из основных производителей флэш-памяти разных типов, в том числе SD и Compact Flash. Мы были и на линиях по производству флэш-памяти, но представители Kingston попросили не делать фотографий, так как некоторые технологии все еще остаются секретом компании.

На некоторых заводах Kingston выпускают и кремниевые пластины, которые используются в микросхемах памяти. Это такие же процессы, как при выпуске процессоров.

Kingston на сегодняшний день добился больших успехов. Есть производители памяти хорошо известные только в Азии, США или в Европе, но только Kingston известен во всем мире.

Комментарии: (0) | Память | 2006-06-05

Стоит ли увеличивать объем памяти у ноутбука?

Стоит ли увеличивать объем памяти у ноутбука?


Вступление

Несколько недель назад я купил ноутбук Dell Inspirion XPS2. Если говорить о производительности портативных компьютеров класса замены настольных ПК, то его можно отнести к одним из лучших. Мобильные компьютеры этой модели поставляются с процессорами Pentium M 2 ГГц или 2,13 ГГц, имеют 512 МБ двухканальной памяти DDR-2 PC4200, видеокарты nVidia GeForce Go 6800 Ultra и 17-дюймовые широкоие экраны производства Sharp. Перечисленные и остальные возможности делают этот ноутбук одним из лучших.

Сколько стоит XPS2?

Dell Inspiron XPS 2 (P-M-2GHz/512MB/60GB) (IXPS2L1) PC Notebook: 280

Отдав немногим больше двух тысяч долларов за новую игрушку, вы почувствуете, что, не смотря на заявленные характеристики, реальная производительность ноутбука не такая большая, как можно было ожидать. Но почему? Одной из самых важных характеристик мобильного компьютера, особенно, призванного заменить настольный ПК, является память.

Жесткие диски ноутбуков не такие быстрые, как 3,5-дюймовые винчестеры настольных компьютеров, которые сейчас вращаются в основном со скоростью 7200 RPM и выше. В этих условиях решающим фактором становится как можно больший объем оперативной памяти. Так как я выбрал 2,5-дюймовый винчестер со скоростью 5400 RPM (Toshiba MK8026GAX 80GB), при работе с требовательными приложениями, этот вопрос становится еще более важным.

Наши коллеги из Crucial Technology прислали два модуля памяти для ноутбуков объемом 1 ГБ, известных как SO-DIMM. Они прислали модули 1GB DDR-2 PC4200 SO-DIMM для обновления моего ноутбука, и я решил описать, какие преимущества повлекло за собой увеличение объема памяти.

Сколько стоит модуль памяти?

Мы использовали модули Crucial Technology 1 GB PC2-4200 DDR2 RAM (649528726810), цена которых колеблется в пределах 150-200 долларов.

Как устанавливать модули памяти

Так как среди наших читателей могут быть люди никогда не имевшие дела с установкой модулей памяти в ноутбуках, уделим немного внимания этому процессу. Каждая модель ноутбука отличается собственным способом получения доступа к памяти. Для этого иногда приходится снимать клавиатуру или часть нижней панели.

В ноутбуках Dell модули памяти прикрыты специальной крышкой в нижней панели ноутбука. В такой конфигурации менять их проще всего. В XPS2 крышка отсека с модулями памяти имеет вентиляционные отверстия, что очень хорошо, так как модули могут довольно сильно нагреваться. Первый шаг - определить, где именно находятся модули. В Dell XPS2 этот отсек расположен по центру нижней части компьютера.

Дальше берем в руки отвертку, откручиваем винтики и снимаем крышку отсека.

Теперь нужно снять установленные модули памяти, это отличается от установки и снятия модулей на настольных ПК. Здесь модуль памяти прижат защелками. На следующей фотографии защелка обведена синим кружком. Чтобы освободить модуль, нужно отодвинуть защелки в стороны от него.

Сейчас можно поместить на место старого модуля новый.

Все, что осталось сделать - аккуратно нажать на модуль, и он встанет на свое место. Теперь установите крышку на место и процесс замены модулей памяти будет закончен. Не смотря на то, что это очень просто, мы практически не встречали никаких руководств по самостоятельной замене компонентов в ноутбуках.

Как определить, какие модули памяти подходят для ноутбука? Для большинства пользователей это достаточно сложный вопрос. Crucial облегчает решение этой проблемы с помощью специальной утилиты Crucial System Scanner. Она тестирует систему и сообщает, какой тип модулей памяти нужен для вашего компьютера. Переписать утилиту можно на этой странице.

Теперь, когда мы разобрались, как устанавливать модули памяти, пришло время поговорить о преимуществах в производительности.

Информация о тестах

Основная цель этой статьи заключается в определении, на сколько важным с точки зрения производительности ноутбука является увеличение объема памяти. В случае с настольными компьютерами, тесты, как правило, не показывают существенной разницы в производительности при большем и меньшем объеме памяти, не смотря на то, что эта разница сильно заметна при работе с реальными приложениями. Увеличив объем памяти от 512 МБ до 2 ГБ, мы должны получить существенное улучшение производительности, и особенно это должно быть заметно в такие моменты как загрузка Windows и других приложений, а так же загрузка уровней игр и производительность в новых играх, таких как Battlefield 2 и F.E.A.R.

Даже с указанными оговорками мы будем запускать стандартные тесты, чтобы подтвердить сказанное выше.

Все преимущества станут явно видны при запуске теста F.E.A.R. Вы можете переписать его здесь. До увеличения объема памяти, этот тест даже не запускался.

Начнем с 3DMark05

3DMark05

Версия: Build 120.
Сайт производителя: http://www.futuremark.com/
Страница продукта: http://www.futuremark.com/products/3dmark05/

Это новая версия популярного набора игровых тестов, включающая комплект тестов DX9, использующих Shader Model 2.0 и выше.

В этом тесте увеличение производительности значительно меньше погрешности измерений, так что его можно даже не учитывать.

PCMark

Версия: 2005
Сайт производителя: http://www.futuremark.com/
Страница продукта: http://www.futuremark.com/products/pcmark04/

PCMark - это универсальный тест, предназначенный для оценки многих аспектов работы компьютера. Не смотря на кажущуюся простоту, это профессиональный тестирующий комплекс. Серия тестов, включенная в PCMark, представляет собой ряд стандартных домашних и офисных программ.

Снова в части тестов улучшение производительности незначительное, но при работе с графикой преимущества большего объема памяти уже видны.

HD Tach

Версия: 2.70
Сайт производителя: http://www.simplisoftware.com/
Страница продукта: http://www.simplisoftware.com/Public/index.php?request=HdTach

HD Tach - это не новый, но хорошо зарекомендовавший себя тест для оценки производительности дисков и контроллеров.

Два теста на скорость чтения снова не демонстрируют существенных различий, но, вопреки им, заставляет задуматься тест на случайный доступ (Random Access). Результат указан в мс, так что в первом тесте чем меньше, тем лучше. Здесь увеличенный объем памяти позволил улучшить среднее время доступа больше, чем на 25%.

F.E.A.R.

Как мы уже отмечали, F.E.A.R. даже не запускалась на ноутбуке Dell XPS2, когда у него было 512 МБ памяти. После увеличения ее объема до 2 ГБ, ситуация значительно улучшилась и игра стала довольно "играбельной" даже в режиме графики высокого качества.

С 512 МБ для запуска демонстрации нужно было несколько минут, а с 2 ГБ она запускалась меньше минуты. Кадры вообще не дергались, в то время как с меньшим объемом памяти скорость смены кадров иногда понижалась до одного кадра в секунду. 2 ГБ памяти позволили почувствовать, то, что следует ощущать при работе с таким не дешевым ноутбуком и довольно хорошей видеокартой GeForce 6800 Ultra.

Аналогичные эффекты мы наблюдали в Battlefield 2, даже более ярко выраженные, так как эта игра еще более требовательна к ресурсам процессора и памяти.

Можно сделать только один вывод: если вы имеете ноутбук класса замены настольного ПК, и не хотите ощущать неудобств в играх, стоит увеличить объем памяти до 2 ГБ.

Но это касается не только игр: время загрузки Windows уменьшается почти в два раза, графические программы, такие как Photoshop, тоже загружаются и работают значительно быстрее, в многозадачной среде Windows работает намного лучше.



Автор: Владимир Володин
Иcточник: Компьютерная столица
Опубликована - 11.10.2005
Комментарии: (0) | Ноутбуки | 2006-06-05

Решение проблемы охлаждения современного ноутбука

Решение проблемы охлаждения современного ноутбука


Безусловно, наблюдаемое в последнее время, активное развитие рынка мобильных компьютеров не может не радовать. Современные ноутбуки стали тоньше и легче своих предшественников, а по возможностям максимально приблизились к современным настольным решениям, позволив нам работать с самыми продвинутыми приложениями и играть в современные 3D игры. Однако во всем этом есть и обратная сторона, а именно повышенное требование к системе охлаждения, эффективность которой снижается пропорционально уменьшению размеров. В результате, возникает проблема перегрева не только внутренних элементов, но и клавиатуры и нижней поверхности ноутбука, что совсем не желательно, за исключением, наверное, суровых морозов нынешней зимой, когда нагретый ноутбук выполняет еще и функцию грелкиJ.

Особенности охлаждения ноутбука

В большинстве случаев, для охлаждения радиатора, который принимает тепловую энергию с различных элементов ноутбука, используется небольшая турбина, коротая засасывает воздух с нижней стороны ноутбука, и выдувает его через боковое вентиляционное отверстие. Такой метод охлаждения накладывает серьезные ограничения на возможности использования ноутбука на коленках, на диване с мягким покрывалом, а так же на столе со скатертью. Все эти мягкие поверхности заметно снижают приток воздуха, необходимого для нормального охлаждения ноутбука. В результате, это приведет к нестабильной работе ноутбука, что будет выражаться самым неожиданным образом: от самопроизвольного выключения и резкого уменьшения времени автономной работы, до выхода из строя каких-либо модулей.

Решение проблемы охлаждения

Решить проблему охлаждения ноутбука можно двумя способами. Во-первых, вы можете четко соблюдать рекомендации по использованию. В принципе, этого бывает вполне достаточно, однако, если температура в помещении достаточно высока (как например было летом 2005 года), то все эти меры становятся практически бессмысленны, и для охлаждения необходимо использовать дополнительные технические средства, о которых мы поговорим ниже.

Все, представленные на рынке технические средства для охлаждения ноутбука имеют одинаковый принцип работы, да и по внешнему виду они очень похожи, отличаясь, в основном, мощностью создаваемого воздушного потока, принципами забора воздуха, и рядом дополнительных опций.

В этой статье мы рассмотрим три, довольно интересных решения от компании Vantec Technologies, рассчитанные на различные условия эксплуатации и требования со стороны пользователя.

Vantec LapCool 3…

Обзор средств для охлаждения ноутбуков мы хотим начать с младшей модели LapCool 3, которая представляет собой довольно простое и доступное решение, выполненное в виде подставки под ноутбук, с двумя массивными вентиляторами, которые, собственно, и обеспечивают охлаждение нижней поверхности ноутбука.

Решение проблемы охлаждения современного ноутбука

В отличие от других моделей кулеров для ноутбуков, представленных в этом обзоре, LapCool 3 имеет самую простую конструкцию, главной особенностью которой является необычный способ забора воздуха. 

Решение проблемы охлаждения современного ноутбука

Дело в том, что обычно в таких панелях используется сквозное размещение кулера, что позволяет захватывать воздух снизу. При расположении на столе, такой способ достаточно эффективен, однако, как при расположении ноутбука на коленках или на мягкой поверхности, например, на диване, эффект от внешнего охладителя заметно уменьшается. В модели LapCool 3 используется захват воздуха через тыльное отверстие, что, конечно же, не столь эффективно, как сквозной захват, но позволяет избежать описанных выше проблем.

Решение проблемы охлаждения современного ноутбука

Такая конструкция в совокупности с большим размером лопастей и скоростью вращения 1500 RPM, обеспечивает воздушный поток 28cfm, и практически бесшумна, особенно при сравнении со встроенной системой охлаждения ноутбука.

Для создания необходимого воздушного зазора между панелью и ноутбуком в верхней части корпуса имеются два маленькие подставки, которые, также придают небольшой наклон ноутбуку, что делает работу более удобной. Кстати, обратите внимание, что габаритный размер панели LapCool 3 рассчитан под 14” модели ноутбуков, однако, ее можно без проблем использовать ее и с 15” моделями, о чем свидетельствует фотография ниже.

Решение проблемы охлаждения современного ноутбука

Vantec LapCool 4…

Следующая модель, кардинально отличается от описанной выше. Vantec LapCool 4  имеет достаточно необычную, для устройств этого типа, конструкцию.

Решение проблемы охлаждения современного ноутбука
Как вы можете видеть, основная панель, имеет длину  всего 160мм, что позволяет без проблем использовать ее с компактными 12” ноутбуками. В случае если вы используете 14” или 15” ноутбуки, то можете воспользоваться складывающейся подставкой.

Решение проблемы охлаждения современного ноутбука

В качестве охлаждающего элемента используется  два больших вентилятора, обеспечивающие отбор воздуха из под панели. Для увеличения эффективности отбора воздуха в основании имеются специальные ножки, как на обычной клавиатуре, которые также обеспечивают эргономичный наклон ноутбука.

Используемые вентиляторы имеют регулируемую скорость вращения от 1800 до 2600 RPM, что позволяет создать воздушный поток, вдвое больший, чем в модели LapCool 3. Правда в этом случае несколько увеличивается уровень шума, хотя панель все равно остается заметно тише самого ноутбука.

Решение проблемы охлаждения современного ноутбука

Изменение скорости вращения производиться с помощью регулятора на тыльной стороне панели, где так же расположен разъем питания и USB хаб, что делает эту модель особенно интересной для использования в качестве док станции. Питание вентиляторов можно осуществлять как с помощью традиционного USB переходника, или с помощью, входящего в комплект, блока питания. Которые всегда можно спрятать в два отсека, расположенные на нижней стороне панели.

Решение проблемы охлаждения современного ноутбука

Кстати, для более удобного управления питанием, в конструкции LapCool 4 используется дополнительный выключатель, которые позволяет избежать лишнего передергивания USB переходника.

Благодаря удобной и компактной конструкции, LapCool 4 является очень удачным выбором для тех из нас, кто ценит компактность и универсальность решения. Имея такую панель, вы всегда сможете обеспечить свое рабочее место не только эффективным охладителем, но и удобной подставкой, оснащенной USB хабом, к которому вы всегда можете подключить до четырех периферийных устройств. Единственный недостаток, относительно высокая цена, порядка 2250 рублей. Если же вам необходимо оптимальное решение, сочетающее в себе конструктивные преимущества LapCool 4 и доступность LapCool 3, то мы рекомендуем обратить внимание на модель LapCool 2.

Vantec LapCool 2…

Модель LapCool 2 использует стандартную, не трансформируемую конструкцию, рассчитанную в основном для работы с 15” ноутбуками.

Решение проблемы охлаждения современного ноутбука

Для создания воздушного зазора, на верхней стороне панели имеется не две, а четыре, складных ножки, что позволяет вам регулировать наклон ноутбука. Две дополнительные ножки расположены в нижней части панели. Здесь же имеется отсеки для удобной транспортировки USB переходника питания и дополнительных проводов.

Решение проблемы охлаждения современного ноутбука

Используемые в конструкции LapCool 2 вентиляторы, имеют изменяемую скорость вращения в диапазоне от 1800 до 2600 RPM, что позволяет добиться такой же эффективности, что и LapCool 4, а по некоторым наблюдениям, эффективность и воздушный поток второй модели заметно выше, чем в четвертой. Изменить скорость вращения вентиляторов, и соответственно изменить уровень шума панели, можно с помощью, расположенного на тыльной стороне, регулятора, рядом с которым расположен разъем и выключатель питания.

Решение проблемы охлаждения современного ноутбука

Рассмотрев конструктивные особенности трех панелей, пришло время поговорить о некоторых специфических особенностях, а именно об эффективности охлаждения.

Возможно, кто-то из вас надеется увидеть графики снижения рабочей температуры элементов ноутбука при использовании охлаждающей панели. Безусловно, снижение температуры, точнее сказать, нормализация условий окружающей ноутбук среды, имеется, однако, сказать насколько меняется температура каких-либо элементов, мы не можем, для этого в ноутбуке не никаких средств. Более, того, это и не важно, ведь мы не «разгоняем» процессор или видеокарту, что требовало бы от нас контроля за температурой. Мы просто создаем комфортные условия для работы.

Более важным является влияние панели на время автономной работы. Дело в том, что вентиляторы потребляют некоторое количество энергии, что может привести к заметному снижению времени работы от аккумулятора. Наши эксперименты показали, что при использовании скорости вращения до 2000RPM время работы ноутбука снижется с 4 до 3.5 часов, что очень не плохо. При увеличении скорости вращения, время автономной работы снижается примерно на 40-45 минут, что, в принципе, вполне нормально для данных условий.



Иcточник: Reviews.ru
Опубликована - 25.02.2006
Комментарии: (0) | Ноутбуки | 2006-06-05


Страница 8 из 51Первая«567891011 »Последняя