Текст книги "Цифровой журнал «Компьютерра» № 4"
Автор книги: Компьютерра Журнал
сообщить о нарушении
Текущая страница: 6 (всего у книги 8 страниц)
Ещё один момент, который я хотел бы отметить. В России как-то побаиваются международного опыта, почему-то считают, что если российские программисты участвуют в некотором международном предприятии, то об этом рассказывать не надо. То ли стыдно, то ли нехорошо. Уж не знаю, как это себе пресса видит. Мол, вот если бы компания была чисто российской, тогда в неё можно смело вкладывать деньги (особенно государственные) и рассказывать о ней. На мой взгляд, это "неправильный патриотизм". Я сам считаю себя патриотом, но нужно уметь учиться у других. В данном контексте, если мы сами не понимаем мировой рынок, хорошо умеем писать код и создавать технологии, но плохо умеем упаковывать продукты, так давайте учиться у тех, кто хорошо умеет.
Это означает, что должны создаваться предприятия, у которых штаб-квартиры за рубежом, при этом команда разработки в России, и хорошо, когда у разработчиков есть доля в компании. Когда эта компания растёт и становится успешной, у наших людей, пускай они занимаются не бизнес-менеджментом, а отвечают за разработку, появляются деньги. И после выхода из этой компании, после того как она продана, они могут выбирать: становиться CTO в других стартапах, в которых у них будет большая доля или пытаться строить бизнес – они всё-таки постепенно усваивают и бизнес-практику после работы в таком «дуальном» стартапе. У них уже есть свобода выбора, они могут дальше двигаться в любую сторону. Отсюда и могут взяться "серийные предприниматели".
Я думаю, что не пройдя через этот этап, когда компании будут совместными, американско-российскими, европейско-российскими, мы никуда не двинемся, потому что мы будем вариться в своем соку, не понимая, какие возникают технологии на западе, какие там инновации, не выезжая на форумы и симпозиумы, о которых я сказал в начале. Мы так и останемся внутри себя, а мир-то двигается.
Все серийные предприниматели, которых я упомянул, создавали свои компании с прицелом на продажу на западном рынке. Скажем, главная компания Сергея Белоусова это Parallels, у которой вся команда разработки сидит в России, а штаб-квартира на западе, и вообще офисы практически по всему миру. Какой компанией её считать, российской или нет? Это компания с "российским ДНК", которая умеет извлекать пользу из того, что у нас отличные технические кадры. Она создает конкурентоспособный на мировом рынке продукт, при этом я точно знаю, что у российских кадров здесь есть доля в компании. Они являются полноценными акционерами и могут становиться обеспеченными людьми, по мере того, как компания растет, и дальше уже реализовывать что-то своё.
Александр Галицкий всегда ориентировал свои бизнесы на международный рынок и успешно работал с той же Sun Microsystems. Ратмир Тимашев и Андрей Баронов создали компанию в Америке с командой разработки в России, продали и теперь повторяют этот опыт. А также поддерживают малый российский бизнес с прицелом на выход на международный рынок за счёт деятельности собственного венчурного фонда.
Я считаю, что это совершенно закономерный процесс, и его надо не бояться, а наоборот всячески поддерживать и ориентировать молодых ребят, на то чтобы они искали перспективные стартапы, в которых можно развиваться вместе с компанией. Если ты ну совсем не бизнесмен, а программист "до мозга костей", пожалуйста, у тебя есть путь до Chief Technical Officer в такой компании, и дальше, если ты акционер, ты можешь получить достойный доход. Если твоя цель – заработать денег, будучи программистом, вот хороший путь. И надо искать таких предпринимателей, которые готовы взять перспективных людей в свои быстро развивающиеся компании.
Хочу сказать спасибо всем, кто комментирует, действительно очень рад услышать мнения. Моя основная задача – это дать какую-то новую продуктивную информацию тем, кто думает, как им строить карьеру в ИТ. Мне было бы интересно отвечать на конкретные вопросы, а не на комментарии, что "это невозможно" и "то невозможно", поскольку я-то точно знаю, что возможно, и знаю людей, которые это делают. Некоторых из них уже позвал писать в «Компьютерру» в раздел «Readitorial». История компании «Атилект» уже появилась. Будут и ещё. В общем, приглашаю комментировать всех, кто хочет узнать что-то новое, и рад буду ответить на вопросы.
К оглавлению
Информационная безопасность 2010
Алексей Лукацкий
За последний год меня часто спрашивали будущие выпускники ВУЗов и аспирантур о том, какую тему выбрать им для своего диплома/диссертации, какие направления информационной безопасности наиболее актуальны сейчас и будут востребованы в будущем. Предвидя, что такие вопросы и дальше будут продолжаться, я решил аккумулировать в данной заметке ключевые направления исследований в области ИБ, над которыми сейчас бьются лучшие умы отрасли. Но чтобы не быть голословным, я буду опираться также на отечественные и американские (в первую очередь) документы, описывающие направления развития отрасли на ближайшие годы.
Итак, начну с 126-тистраничного документа "A Roadmap for Cybersecurity Research", выпущенного в ноябре прошлого года Министерством национальной безопасности США (U.S. Department of Homeland Security). В этом документе выделено 11 направлений для исследований и инвестиций со стороны государства, бизнеса и научного сообщества. К ним относятся:
1. Масштабируемые системы, вызывающие доверие (trustworthy). Термин trustworthy очень сложно перевести на русский язык одним словом. Перевод его как «достоверный» не совсем отражает весь спектр взаимоотношений, заложенный в исходный термин. Это и целостность систем, и их доступность и конфиденциальность, и жизнеспособности и гарантированная производительность, а также подотчетность, удобство использования и многие другие критические свойства. Иными словами, речь идет не просто о защищенных системах, а о системах, обладающих гораздо большим числом важных свойств.
2. Метрики уровня предприятия. Об измерении эффективности и результативности ИБ говорят уже давно, но до сих пор эта работа ведется многими спустя рукава. Отчасти именно по причине отсутствия адекватных методик и инструментов измерения, которые могут быть применены не только к защищенным, но и в более широком смысле, к системам, вызывающим доверие. Насколько защищена моя организация? Как изменился уровень защищенности за прошедший год? Как мы соотносимся с другими компаниями в отрасли в части ИБ? Насколько защищен приобретаемый нами продукт или технология? Сколько безопасности достаточно и сколько на нее можно и нужно тратить? Все эти вопросы пока остаются без ответа.
3. Жизненный цикл оценки системы. Критика подхода ФСТЭК и ФСБ в части сертификации продуктов безопасности общеизвестна. Как можно месяцами или даже годами проверять продукт, если за это время успевает выйти не только несколько новых версий оцениваемого продукта, но и характер угроз и среда применения продукта могут существенно измениться? Но есть ли альтернатива, которая позволит за приемлемое время проанализировать систему с точки зрения ИБ, не тратят при этом колоссальные средства, зачастую превышающие стоимость самой системы? Этому и посвящено данное направление исследований.
4. Противодействие внутренним угрозам. Инсайдеры… Сотрудники, облеченные полномочиями, часто целенаправленно не учитываются в моделях угроз, т. к. им сложно противопоставить действительно эффективные защитные меры. Американцы столкнулись с этой проблемой в публичных скандалах, связанных с такими именами как Олдрич Эймс, Роберт Ханссен, Джонатана Полларда, высокопоставленных сотрудников американских спецслужб, являющихся двойными агентами. В России с аналогичными проблемами сталкивались и отечественные спецслужбы (дела Полякова, Пеньковского, Розенбергов и т. п.). Как эффективно бороться с такой угрозой? Как снизить ущерб от действий инсайдеров? Как найти доказательства, значимые для суда? Исследования по данному направлению направлены на то, чтобы найти ответы на эти вопросы.
5. Противодействие вредоносным угрозам и ботнетам. Одно из немногих направлений, которое развивается достаточно давно. Но в связи с постоянной эволюцией угроз, его важность не снижается.
6. Управление глобальной системой идентификации/аутентификации. В данном сегменте исследований ведутся работы, связанные с идентификацией и аутентификацией не только людей, но и устройств, распределенных сенсоров, приложений и других элементов информационных систем. Термин «глобальная» подразумевает не вселенский масштаб проблемы, а то, что идентифицируемые системы могут находиться за пределами одной организации, что представляет определенные сложности для современных решений и технологий.
7. Живучесть критичных систем. Живучесть – это способность системы выполнять ее миссию в установленное время в условиях нападений, отказов и несчастных случаев. Очевидно, что сегодня многие системы, предлагаемые производителями на условиях «AS IS» не соответствуют данному определению. В условиях же возрастания роли информационных технологий в нашей жизни вопросы живучести критичных систем становятся все более и более важными.
8. Ситуационный анализ атак. Ситуационный анализ атак оперирует не просто сигнатурами атак, как это принято у современных средств обнаружения вторжений, а опирается на гораздо больший объем информации, зачастую выходящий за пределы самого вторжения, но имеющий к нему самое прямое отношение. Речь идет о роли атакуемого и атакующего, окружающей их среде, доступные ресурсы, миссию и мотивацию и т. д. Очевидно, что сбор и анализ этих данных, особенно в режиме реального времени, сегодня представляют определенную проблему для современных технологий. А вот интерес к ним со стороны заинтересованных сторон к ним очень большой.
9. Происхождение (информации, систем и аппаратуры). Мы принимаем решения на основании информации, полученной в разное время, из разных источников. Иногда эта информация переведена с другого языка, а иногда представлена компиляцией разных источников. Не всегда эти источники актуальны, не всегда достоверны, а иногда преднамеренно сфальсифицированы. Данное направление исследований направлено на выявление и фиксацию всей истории возникновения и движения информации.
10. Безопасность с точки зрения частной жизни (privacy). Защита частной жизни не ограничивается только темой персональных данных. Проблема стоит гораздо шире. Это и анонимность и псевдоанонимность, конфиденциальность и защита различных запросов, связанных с частной жизнью, мониторинг и доступность персональных данных в экстренных случаях. Существует огромное количество так и не решенных до конца проблем в данной области.
11. Удобство и безопасность. Вопросы удобства пользования системами безопасности поднимается уже давно. И также давно он игнорируется многими разработчиками и производителями, гоняющимися за прибылями и скорейшим выпусков своих творений потребителю, чему тестирование эргономических качестве выводимых на рынок явно не способствует. Однако неудобство пользования системой приводит к снижению ее защищенности и даже к более серьезным проблемам, вплоть до потери человеческих жизней.
Аналогичная работа проводилась и офисом по политике в области науки и технологий Белого Дома США в рамках программы Federal Networking and Information Technology Research and Development (NITRD). В октябре 2008 года стартовала инициатива National Cyber Leap Year, которая была призвана собрать идеи о том, какие проблемы сейчас стоят перед отраслью ИБ, и какие способы их решения могут быть предложены сообществом. Поступило свыше 238 предложений; их проанализировали эксперты и выделили 5 новых направлений для будущих исследований:
1. Происхождение (аналогично 9-му направлению DHS).
2. Динамическая безопасность. Сегодня злоумышленники часто достигают своей цели, исходя из статической природы целей. Постоянные порты, постоянные IP-адреса, постоянные имена систем… Злоумышленники знают их и планируют свои нападения в расчете, что эта информация не будет меняться в течение долгого времени. Они могут предполагать ваши ответные действия и также подготовиться к ним. Новое направление исследований опирается на увеличение хаотичности или снижение предсказуемости защищаемых систем.
3. «Аппаратное доверие». Сегодня мы не можем с уверенностью сказать, атаковали нас или нет до того момента, пока мы не столкнемся с последствиями вторжения. Мы не знаем, когда проиграли виртуальную битву или когда мы скрыто стали участниками ботнета. А все потому, что мы не можем гарантировать неизменность и контролируемость защищаемой системы. Новое направление исследований направлено на то, чтобы создать доверенную архитектуру и среду, в которой мы можем своевременно обнаруживать, останавливать и изолировать любые вредоносные воздействия (аналогично 1-му направлению DHS).
4. Кибер-здоровье, вдохновленное природой. Сегодня проходят недели и месяцы, прежде чем обнаруживается проникновение в компьютерные сети. И годы, чтобы доказать вину хакера. А все потому, что современных технологии и продукты очень сильно ограничены в анализе того, что «проходит» через них; у них «короткая память». Опираясь на примеры того, как действует иммунная система человека, будущие технологии должны иметь возможность выбора из широкого спектра ответных действий. От профилактики в виде установки патчей и отказа в обработке запросов, не соответствующих нормальному профилю поведения, до реализации специальных защитных агентов или сборе доказательств для кибер-патологоанатомов. При этом в отличие от современных технологий, будущие будут в большей степени действовать автономно и динамично.
5. Киберэкономика. Сегодня преступления в сфере высоких технологий очень дешевы и обладают очень высокой нормой прибыли. Спам, ботнеты, распространение вирусов… все это не требует больших затрат. При этом отдача от преступлений очень высока, что делает их экономически выгодными для преступников. Основная задача в рамках данного направления исследований заключается в выработке методов и подходов, которые делают данные преимущества менее значимыми; заставляя киберпреступников брать на себя больше рисков при более низкой норме прибыли. Это позволит снизить число высокотехнологичных преступлений.
Можно заметить, что эти направления не только интересны с теоретической точки зрения, но и имеют яркую практическую направленность. Но если перечень таких исследований в России? Оказывается да. Только, как и все, что у нас делается в этой области, это очень закрытая информация, и все, что можно почерпнуть по ней, ограничено простым, но очень высокоуровневым перечислением на сайте Совета Безопасности России. На нем можно найти 2 списка – Приоритетные проблемы научных исследований в области обеспечения информационной безопасности Российской Федерации и Основные направления научных исследований в области обеспечения информационной безопасности Российской Федерации.
Каждый, кто посмотрит на эти списки, увидит, насколько они неконкретны и непонятны. Чего, например, стоит такой пункт "Проблемы методологии обеспечения информационной безопасности как междисциплинарной отрасли научного знания". Или такой – "Проблемы нормативного правового обеспечения безопасности информационных и телекоммуникационных систем". Или – "Научно-технические проблемы использования информационных технологий в оперативно-разыскной деятельности". Список составлен в лучших традициях российской бюрократической школы. Много красивых слов, за которыми скрывается неизвестность. Абсолютная неконкретизация не позволяет ни оценить в каком направлении идут исследования, важные не только и не столько для защиты гостайны, сколько для всего общества. Также такая скрытность не позволяет оценить текущий статус данных исследований, которые могут быть как очень интересными, так и абсолютно бессмысленными, как по содержанию, так и по затраченным ресурсам.
Меня часто обвиняют в том, что я русофоб в отношении наших регуляторов и того, что они делают. Некоторые даже называют меня наймитом американских спецслужб, который льет воду на мельницу NIST, DHS, АНБ и других наших потенциальных противников и даже бывших врагов во времена "железного занавеса". Но что делать, если именно эти американские ведомства не только проводят и публикуют очень интересные и полезные исследования по теме ИБ, но и не скрывают без необходимости результаты своей работы. Стандарты, рекомендации, планы развития… все это можно найти на сайтах американских ведомств, отвечающих за информационную безопасность. Поэтому и приходится опираться, в первую очередь, на их наработки, а не наши.
В заключение хочу заметить, что рассмотренных два документа (от DHS и NITRD) позволяют понять, какие направления информационной безопасности будут востребованы в ближайшие годы. И несмотря на то, что написаны они рукой американских экспертов, результаты этих исследований будут полезны в любой стране, в том числе и в России. А значит наши будущие "Брюсы Шнайеры", "Дороти Деннинг", "Юджины Спаффорды", "Дэны Гиры" найдут в этих перечнях темы и для своих будущих дипломных и кандидатских работ.
К оглавлению
ReaDitorial
Почему я верю в iPad
Дмитрий Стропалов
Наш читатель Дмитрий Стропалов написал ответ на статью Михаила Фадеева " Я не верю в iPad. По мнению Дмитрия, у подобных «Айпаду» гаджетов – больше будущее. А также настоящее и прошлое, ведь похожий по многим параметрам планшет появился в продаже еще несколько лет назад…
Почему я верю в iPad? Да потому, что я им уже пользуюсь! Около года… Но – обо все по порядку.
По моему мнению, люди, которые говорят, что не могут понять, зачем нужно такое устройство, просто никогда не имели "таблеток"/планшетов, либо опыт общения был недолгим. Примерно год назад я приобрел Nokia N810, которая, можно сказать, является прямым аналогом iPad, только, конечно же, с меньшей диагональю, меньшей памятью(оперативной и постоянной), меньшим экраном (да, там есть flash, но от этого не легче – на «Ютубе» девайс просто умирает смертью храбрых и ленивых).
При покупке продавец задал вопрос – "А что ты с ней будешь делать? Мы вот поигрались, да и не поняли ничего…". Но я-то знал, что я беру! Прошел год, а N810 так и не перекочевала в разряд пыльных игрушек где-то в дальнем ящике стола. Была установлена куча софта, спаян переходник-шнурок для подключения флешек – одно время N810 у меня даже торренты качала. И до сих пор, несмотря на наличие ноутбука, нетбука, смартфона, – "кухонно-диванно-сортирным" гаджетом для меня остается N810. Когда я смотрел презентацию iPad'а, я уже знал, КАК я буду использовать такое устройство – ведь это ж моя N810, только с нормальным размером экрана!
Nokia N810…
Далее я хотел бы рассказать о своем использовании «таблетки», да еще и немного пофантазировать о возможных областях применения свежевыпеченного яблочного пирога устройства.
Номер один: серфим на диване, слушаем музыку, смотрим фильмы, общаемся в IM-сетях. Да, это все я делаю на «таблетке», а не на нетбуке. Почему? Нетбук – это вещь для работы, которую очень легко таскать с собой, но это не то, чего хочется, расслабившись на диване с чашкой чая: "Ой, тут же снизу забор воздуха для охлаждения – не закрыть бы, а то перегреется! Ну что ж ты такой горячий! Блин, ну что ж ты так вентилятором шумишь – жену разбудишь, сволочь! Тяжелый! Ты нашел время полную антивирусную проверку делать! КТО сделал такой маленький тачпад?! Как же тебя неудобно держать-то, да еще и забор воздуха этот снизу! Все, села батарейка… и чай остыл". А тут я еще и руку сломал – попробуйте хотя бы открыть крышку ноутбука одним "манипулятором".
Планшет, только планшет – удобный, легкий, с тачскрином. Его (ВНЕЗАПНО!) можно просто взять и положить на плед, не боясь, что он умрет от перегрева. У него достаточно большой экран. Серфинг – пожалуйста, да и навигация с прокруткой пальцами по 10-дюймовой панели – оно-ж таки удобнее, чем по 2-дюймовому тачпаду, верно? Про музыку и говорить нечего – либо с внутреннего диска, либо (как у меня сейчас) с внешнего сетевого диска (NAS или что-то другое – не суть важно). В случае с яблочной техникой потребуется установка UPnP/DAAP-сервера для работы с iTunes, но это тоже вполне (и достаточно просто) решаемо – подобные сервера ставятся даже на NAS, например, на D-Link DNS-323 или серию WorldEdition сетевых дисков WD MyBook. Положил его рядышком, и наслаждаемся Pink Floyd с закрытыми глазками. Или чем-то еще из музыкальной коллекции, которая не влезает на винчестер нетбука. Или интернет-радио. Про фильмы – судя по всему, процессор iPad'а вполне способен проиграть и 1080p, так что в большинстве случаев не придется даже конвертировать «авишки», как это делаю я, для воспроизведения на устройстве. Что очень хотелось бы – так это клиент для просмотра online-TV (может такой и есть для айфона – не знаю). Теперь о IM-сетях. Нет камеры для скайпа, это минус, тут я согласен, но вот на N810 она есть, а в скайпе все равно не работает. Вот так.
Номер два: читаем книги, газеты, журналы. Я думаю, что если читаете более часа/полутора в день – нужно устройство с E-Ink, без вариантов. А вот ежели все чтение ограничивается "я пол-часика почитаю еще, а потом спать", то шрифт побольше (а это нам показали на презентации) и планшет в руки. Можно еще наушники в ухи. По желанию. И картинки цветные, да. А потом почту проверить и точно спать! Точно-точно, правда!
Номер три: фото. В смысле, просматриваем. Приходят гости к нам – надо же показать свежие фото из семейного альбома! И начинается: "Ага, щазз ноутбук принесу… ага, вот это со стола убери… неее – еще чуть-чуть, и крошки – чтоб вовнутрь не попали… так… поверни немного – не видно ничего, с пивом осторожнее, и с чаем тоже…". А как магически действуют фото, снятые в портретной ориентации, которые забыли повернуть на "90 градусов по часовой"? Лучше этого может быть только видео с последних, еще памятных, часов корпоратива, снятое так же «портретом», потому что "Ну я же хотел ее всю! В кадр поместить…". Вместо этого всего гостям выдается планшет, который по ощущениям будет очень напоминать старые, добрые и тяжелые фотоальбомы. Ну а если гости пришли со своими фотокарточками на флешке – на iPad'е же и посмотрим. Посмотрели – положили на край дивана и забыли. А потом еще и выпустят док, который сделает из iPad'а фоторамку. С интернет-радио. А почему нет? Да еще пускай и поворачивается в зависимости от ориентации фото. И короткие видео-фрагменты пускай показывает. И еще что-нибудь – там видно будет, придумают.
Номер четыре. Едем в отпуск всей семьей! С детьми и собакой! Встречи с друзьями, живущими в другом городе! Прошлым летом мы в отпуске смотрели фильмы на N810 (предварительно «ужатые» под экран и возможности аппарата): и ребенок смотрел какие-то мультики, и я что-то документальное, и даже втроем смотрели, держа «таблетку» в руках. Сумасшествие? Возможно, но с 10-дюймовым экраном это все становится очень реальным. Вот еще TomTom сделает крепление для авто: с полноценным GPS внутри, с приложением, да с картами – и будет отличный навигатор. Долгая и утомительная дорога, ребенку становится скучно и он начинает ныть? Даем ему планшет – пускай играет (порулить вместе с папой, только в NFS, а?), смотрит фильмы, читает, рисует, слушает музыку. Испортилась погода и никуда не хочется выходить из номера? Маджонг, судоку, фильм, опять же… Встретились со старыми друзьями, с которыми давно не виделись? Пускай между делом посмотрят ваши фотографии, пока распиваются напитки, и ведутся разговоры. А фотографии могли быть сняты вчера, на морской прогулке, которые вчера же вечером отфильтровали на предмет неудачных, неинтересных. И заметьте, я НИЧЕГО еще не сказал про бесплатный Wi-Fi в кафе или сим-карту оператора с предоплаченным трафиком, потому что "звонили с работы, надо табличку набросать и письмо отправить". А можно и домой по скайпу позвонить из-за границы. Твитер-вконтакте-фейсбук-впечатления-из-отпуска-с-фотками-сразу-вот-вам-завидуйте-пошел-в-море.
…и Apple iPad. Есть что-то общее, вы не находите?
По поводу применения iPad'а для работы – не знаю… Свою N810 я для этого не использую, но можно уже найти достаточно частые упоминания вида «очень удобно было бы проводить презентации». Еще, думаю, для фотографов есть определенный резон прямо на месте оценить на достаточно большом экране проведенную работу, или с заказчиком встретится и портфолио показать. А также использовать как устройство для поезда, самолета, автомобиля и т. д.
Вот такой может быть модель использования устройства в наших реалиях – я ее вижу именно так. А если вспомнить про основной рынок устройства, для которого предлагаются такие вкусные плюшки, как безлимитный тарифный план, магазин приложений (уже наполненный), музыки (можно синхронизировать уже купленное), фильмов, книг и периодики, то в провал iPad'а я отчаянно перестаю верить. Впрочем, если «Нокия» или кто-то еще выпустит подобное устройство на Maemo – я предпочту его, т. к. яблочные платформы, оторванные от сервисов, все же "не айс", а в случае Linux'а не будет проблем с дополнительным ПО. Ну а как оно будет на самом деле – поживем-увидим.
P. S. На всякий случай – ни одним яблочного устройством не владею, и до iPad'а не собирался.
P. P. S. Почему-то все хотят телефон, который помещается в карман, но с раскладным монитором на 32 дюйма, внешней клавиатурой и мышкой, да на двух ксеонах и о двух видеокартах, да с терабайтным винтом, чтоб торренты качать. Ой, веб-камеру опять забыл.
К оглавлению