355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Компьютерра Журнал » Журнал "Компьютерра" №772 » Текст книги (страница 2)
Авторские права
Журнал "Компьютерра" №772
  • Текст добавлен: 21 сентября 2016, 16:20

Текст книги "Журнал "Компьютерра" №772"


Автор книги: Компьютерра Журнал



сообщить о нарушении

Текущая страница: 2 (всего у книги 7 страниц)

Назад к карточке книги

НОВОСТИ: Свободный софт в теории и на практике

Автор: Илья Щуров

Если следить за одной темой несколько лет подряд, она, в конце концов, приедается: я давно ловлю себя на мысли, что свободное ПО, за развитием которого я с интересом наблюдал с 2004 года, по мере того как становится мейнстримом во множестве областей, дает все меньше и меньше поводов для содержательного обсуждения. Однако вопросы, которые поднимались на конференции "Свободное ПО в Высшей школе" (Переславль-Залесский), традиционно организуемой ALT Linux совместно с рядом институтов, являются приятным исключением: актуальность затрагиваемых там тем уменьшаться, похоже, не собирается.

Фундамент и практика

В то время как с высоких трибун звучат победные реляции о «самых лучших программистах», ситуация с ИТ-образованием в нашей стране весьма непроста. По словам профессора Н. Н. Непейводы, остаточные знания по математике у первокурсников за последние несколько лет стремительно сокращаются, что влечет за собой снижение базовых навыков самостоятельного мышления, без которых ни о каком высшем образовании говорить просто нельзя. Более общая проблема, обсуждавшаяся, в частности, на первой конференции «Свободное ПО в Высшей школе» три года назад1: недостаток фундаментальной базы и привязка на этапе обучения к конкретным технологиям, доступным в данный момент, нередко приводят к тому, что знания студента устаревают раньше, чем он покидает стены alma mater. Тем не менее впадать в другую крайность тоже нежелательно: отсутствие практических навыков делает выпускника вуза неконкурентоспособным на рынке труда. Проблему усугубляет и то, что зачастую образовательная программа состоит из набора плохо согласованных курсов, причем попытки увязать их друг с другом даже не предпринимаются (в частности, отсутствуют так называемые интегрирующие курсы).

На конференции обсуждалась ситуация в Удмуртском ГУ, где на протяжении длительного времени эти проблемы успешно преодолевались, однако накопленный опыт, во многом завязанный на конкретных людей, не слишком просто "тиражировать". Для реализации такого подхода требуется централизованное планирование, а значит, нужен авторитетный лидер, нужно время и силы на согласование и "подгонку" курсов разных преподавателей. Ситуация осложняется еще и "политическими" вопросами – современная российская система образования оставляет мало возможностей для реализации подобных проектов. Так вот: одной из таких возможностей Непейвода считает технологию дистанционного образования и предлагает организовать при МГУ "виртуальную кафедру" для подготовки ИТ-специалистов.

Грамотная организация производственной практики, которая бы позволила студенту получить необходимые в жизни навыки, – отдельный вопрос. Участие в свободных проектах здесь выглядит удачной идеей: благодаря децентрализации прозрачность и документированность процесса разработки в этом случае является "условием выживания" для проектов, что существенно упрощает подключение студентов к работе, если сравнивать с компаниями, разрабатывающими софт в закрытых моделях. (Где, по словам одного из докладчиков, процесс "вхождения в тему" может занимать до полугода.) К тому же открытость разработки позволяет легко контролировать работу студента. Но и тут не следует обольщаться: участники сообщества решают свои задачи, они обычно готовы помочь новичку (например, предоставив ссылки на соответствующую документацию), однако "за ручку" никто практиканта вести не будет, и на первый план выходит личная мотивация и интерес. Также отмечалось, что в ходе практики приобретаются навыки не столько программирования, сколько командной работы, – что, впрочем, тоже очень важно в современном мире.

Пока на Западе свободно – шаг на Запад

Программное обеспечение, используемое в образовательном процессе, можно условно разделить на две категории: специализированное ПО, ориентированное на обучение, и «обычный» софт. К первому классу, безусловно, относится система программирования «КуМир» («Комплект учебных миров»). Разработанная еще в 80-х годах, она широко применялась для преподавания основ программирования в школах и вузах (в частности, на мехмате МГУ). Некоторые читатели, наверное, помнят, как в школьные или студенческие годы с помощью необычного «русского» языка программирования писали программы, например, проводившие виртуального робота по лабиринту. (Фраза, вынесенная в заголовок этой секции – вовсе не политический призыв, а отрывок из такой программы, процитированный на конференции одним из главных создателей «КуМира» А. Г. Кушниренко). Однако исходная DOS-реализация системы безнадежно устарела, и было решено переписать ее с нуля, сделать кроссплатформной и выпустить как свободное ПО под GPL. В настоящий момент доступны версии под Windows и Linux.

Следует отметить, что проблемы выбора языка программирования для обучения основам алгоритмики – это вечный вопрос, и два преподавателя по этому поводу могут иметь три мнения. Но, пожалуй, нет сомнений в том, что использовать для этой цели мощную промышленную среду разработки не стоит – если школьник или студент, плохо понимающий разницу между циклом с постусловием и циклом с предусловием, столкнется с необходимостью проектирования интерфейса и написания обработчиков событий, – черепно-мозговая травма на всю жизнь ему обеспечена. "КуМир" в этом смысле безопасен, поскольку заточен под решение конкретной задачи и обладает рядом специальных возможностей для упрощения жизни учащегося и учителя. Например, процесс анализа программ с ошибками здесь устроен особым образом, чтобы давать ученику оптимальное количество информации (на русском языке!) для самостоятельного поиска и исправления своей ошибки, – компиляторы, ориентированные на профессиональное использование, обычно "не задумываются" над такими проблемами, а для учителя необходимость подойти к каждому из тридцати учеников в классе и объяснить, на что "ругнулся" компьютер в этот раз, сильно снижает эффективность работы.

Говоря о специализированном обучающем ПО, нельзя не упомянуть проект OLPC, в рамках которого, помимо уникальных с "железной" точки зрения недорогих ноутбуков, разрабатывается принципиально новая программная среда, ориентированная на детей и при этом довольно далекая от привычных нам интерфейсных стереотипов. (Подробнее о среде OLPC Sugar см. "И пусть никто не уйдет обиженный", "КТ" #684.) Участники проекта OLPC из Медиалаборатории НГПУ рассказывали о летнем экологическом лагере, проведенном в августе прошлого года, где разные модели нетбуков (в том числе OLPC XO-1) использовались как основной творческий и рабочий инструмент школьников, а беспроводная сеть – как средство (само)организации небольшого исследовательского сообщества ("стаи"). Для совместного сбора и анализа информации применялись вики-среды, система разработки Scratch, ориентированная на детей, а также средства mindmapping’а (VYM) и анализа онтологий (Metamind).

Стоит отметить и некоторые примеры успешного использования ПО "общего назначения" для организации учебных курсов. Например, А. В. Хорошилов из ИСП РАН представил практикум по аналитической верификации программного обеспечения. Студенты учатся использовать инструменты, которые позволяют по тексту программы и ее формальным спецификациям строго доказать, что результат работы программы будет всегда правильным. В частности, в курсе использовалось семейство свободных инструментов верификации Why и система автоматизированного доказательства математических теорем PVS. Проверить таким образом весь код, скажем, ядра Linux совсем не просто (на верификацию нескольких десятков строк кода уходят недели, если не месяцы), но в критически важных областях подобные технологии иногда применяются, и навыки, полученные в ходе такого курса, весьма полезны.

Еще один пример: разработка курса по анализу данных, в котором для практических занятий использовалась система Weka. Авторы подчеркивают, что подобный курс считается сложным и требующим серьезных начальных знаний, а им приходилось ориентироваться на студентов с не слишком хорошей базовой математической подготовкой. Однако возможность "поиграться" с уже готовыми базовыми алгоритмами на практике, а затем использовать их для создания собственных, более сложных программ, не отвлекаясь на технические подробности, позволила быстро подготовить курс и сделать его понятным для студентов.

Оргвопросы и оргответы

В контексте миграции на свободное ПО целых образовательных (и не только) организаций стоит отметить usability-исследование, проведенное А. М. Дербенем из Сибирского государственного аэрокосмического университета. В ходе анализа практики работы в разных графических окружениях стало ясно, что на удобство и эффективность работы сильно влияют такие, казалось бы, мелочи, как цвета элементов интерфейса или наличие привычных иконок для разного типа документов. Многие действия с компьютером совершаются пользователями на уровне рефлексов – поэтому, например, изменение оформления кнопки «закрыть окно» с привычного «красного крестика» может привести к существенному замедлению работы (люди просто «промахиваются» мимо этой кнопки, поскольку не смотрят на нее в момент клика, ориентируясь только на боковое зрение). В результате время на освоение новой системы, интерфейс которой максимально приближен к привычному варианту, уменьшается с 30–40 до 1–3 дней. В то же время прямое копирование графических элементов оформления из проприетарных ОС может привести к нарушению авторских прав разработчиков, так что встает вопрос о создании идентичных по своему эффекту, но при этом независимых с точки зрения авторского права тем оформления.

Впрочем, интерфейс – не единственная проблема. Есть и формальные препятствия: зачастую для выполнения требований контролирующих органов необходимо использовать "навязанное" сверху ПО, нуждающееся в проприетарной платформе. Впрочем, участники конференции сознательно отказались "плакаться друг другу в жилетку" по этому поводу и обсуждали такие вопросы конструктивно – в большинстве случаев эти проблемы имеют различные решения, как правового характера (например, сейчас школы, присоединившиеся к эксперименту по апробации пакета свободного программного обеспечения, могут законно требовать, чтобы весь навязываемый софт работал под этой системой), так и технического (использование Wine, терминальных решений и т. д.), которые позволяют если не преодолеть все трудности, то по крайней мере существенно ослабить их влияние (например, минимизировать число закупаемых лицензий на проприетарные ОС).

Пожалуй, именно так можно сформулировать главную мысль прошедшей конференции: любая проблема имеет решение, нужно лишь немного подумать – и немного поработать.

Китайские дети и социальные сети

Автор: Александр Бумагин

В феврале "Лаборатория Касперского" подвела итоги прошлого года, рассказав, чем за последние месяцы "порадовали" антивирусную индустрию спамеры и вирусописатели. Киберпреступники старались изо всех сил и ожиданий не обманули.

Первым трибуну на специальной конференции, посвященной компьютерному андеграунду, занял руководитель центра глобальных исследований и анализа угроз Александр Гостев. В прошлом году, сказал он, сбылось почти все, что пророчили антивирусные компании. Если 2007-й практически похоронил категорию "некоммерческих" вирусов, которые писались из мести или забавы ради, то в 2008-м, по мнению Гостева, сошли на нет "эксклюзивные" вредоносные программы, используемые кучкой людей. Киберпреступность все больше напоминает отлаженную индустрию, где каждому участнику уготована своя роль. Один пишет, второй обеспечивает распространение, третий собирает и обрабатывает данные с зараженных машин. Большая часть обнаруженных в прошлом году вирусов была создана с целью продажи, при этом авторы не пренебрегают таким атрибутом цивилизованного бизнеса, как техподдержка: если антивирусные программы начинают отлавливать "продукт", то программисты берутся за его доработку.

Эльфийский меч в руках китайца

Докладчик отметил, что 2008-й вошел в историю как год небывалой активности хакеров, взламывающих сайты. С апреля по октябрь зафиксировано две волны взломов, невиданных ранее масштабов, получившие общее название «большой китайский хак». Только с апреля по июнь по всему миру было взломано больше двух миллионов интернет-ресурсов!

Название знаковое, поскольку армия китайских вирусописателей стала доминирующей силой в мире. Но китайцы не только создают собственные творения. Они пошли по пути своих земляков, копирующих любые успешные товары. Отныне Поднебесная будет ассоциироваться не только с поддельными "швейцарскими" часами или "японской" электроникой: местные хакеры начали адаптировать под свои нужды зарубежные трояны и вирусы. Любопытно, что в качестве эталона у них особенно популярны произведения российских программистов. Теперь существуют китайские версии таких популярных наборов эксплойтов, как IcePack и FirePack; китайская разновидность появилась и у троянов Pinch и Zeus. Полный же список подобных переделок гораздо обширнее. К счастью, китайцы пока берут количеством, а не качеством. Гостев поведал, что уровень местных специалистов невысок. Однако добавил: "Это только пока".

Значительная часть обнаруженных в прошлом году вирусов была нацелена на любителей всевозможных онлайн-игр. С лидирующих позиций они вытеснили программы, крадущие данные пользователей различных платежных систем. Онлайн-игры наиболее популярны в Юго-Восточной Азии, и жители именно этого региона в основном подвергались нападениям киберпреступников, базирующихся преимущественно в том же Китае. Распространению игровых червей немало способствовал упомянутый "большой китайский хак". Украденные пароли к игровым аккаунтам позволяют злоумышленникам шантажировать законных владельцев или торговать "трофейными" игровыми предметами. Особо отметился троян Magania, который был обнаружен на одном из компьютеров МКС (см. "КТ" #748).

Эти коварные сети

Не снижающийся интерес пользователей к социальным сетям активно эксплуатировался и киберпреступниками. Если ранние вирусы были своего рода пробой пера, то теперь многочисленные атаки, в которые вовлечены социальные сети, наносят прямой ущерб юзерам. Крупнейшей в прошлом году стала эпидемия червя Koobface, который изначально был нацелен на пользователей Facebook и MySpace, а в поздних модификациях сделал уязвимой и сеть Bebo.

В России отличился червь Rovud, атаковавший в мае пользователей сети "Вконтакте". Несколько дней спустя атаке подвергся и ресурс "Одноклассники". На пользователей обрушился шквал предложений голосовать за участниц некоего конкурса. В награду за помощь юзеры получали трояна на свои компьютеры. К концу 2008 года "Лаборатория" зафиксировала более 43 тысяч вредоносных файлов, так или иначе связанных с социальными сетями. По мнению специалистов компании, главная ответственность за безопасность пользователей лежит на владельцах ресурсов. Впрочем, и сами пользователи должны быть всегда начеку.

Рейтинг самых опасных социальных сетей, по версии "Лаборатории Касперского", возглавляет сеть "Одноклассники". В прошлом году на ее пользователей было нацелено больше трех тысяч вредоносных программ, а шанс подцепить заразу составлял примерно 0,015%. Для сравнения, в самой популярной социальной сети MySpace этот показатель, найденный путем сопоставления числа троянов и вирусов с общим количеством пользователей, составил 0,003%.

Достижения вирусного цеха

«Одноклассники» – не единственный российский «триумфатор» прошлого года. Наши соотечественники, несмотря на численное превосходство китайцев, по-прежнему опережают конкурентов в том, что касается технологий создания вирусов. Так, в течение года активно развивалась модель Malware 2.0, в основу которой положен принцип разделения модулей вредоносных программ по функциональности. Одновременно использовались универсальные средства взаимодействия между этими модулями и защищенные каналы обмена данными с центрами управления ботнетами. В качестве примера Гостев привел руткит Rustock.C и буткит Sinowal.

Хорошая новость для тех, кто скучает по старым добрым временам и вирусам, которые переносились на дискетах. Они вернулись в новом качестве. Правда, теперь, когда дисковод отыщется не в каждом компьютере, вирусы перебрались на другой носитель – флэшки. Явление приобрело повсеместный характер, и те, кто считает, что вирусная опасность исходит только от Интернета, сильно заблуждаются. Автор этих строк недавно тоже принес домой вирус, который оказался на флэшке с пресс-релизом, полученной на презентации одной крупной компании. "Лаборатория" в 2008 году обнаружила около шести тысяч подобных вирусов, "хитом" среди них стал Sality.aa.

Чаще всего источником компьютерной заразы становились сайты, как специально созданные, так и взломанные. При этом эксплуатировались уязвимости в браузерах и их плагинах. В прошлом году "Лаборатория" зарегистрировала более 23 млн. атак на пользователей своих продуктов, причем 80% попыток нападений были с серверов, расположенных в Китае.

Топ-лист возглавил троян Small.aacq, ответственный за 6,5% всех атак, а вот самой опасной программой года неожиданно стал Flash Player – его уязвимости использовались вирусописателями чаще всего. Всем антивирусным компаниям пришлось оперативно внедрять в свои продукты механизм проверки воспроизводимых роликов.

Хотя в двадцатку самых опасных приложений не вошел Acrobat Reader, популярность формата PDF, который многие продолжают считать безобидным, вероятно, еще даст о себе знать. SWF-трояны, наряду с PDF-эксплойтами, в "Лаборатории" считают самым неприятным сюрпризом 2008 года – прежде с этими форматами проблем не возникало. А вот рядовые пользователи вряд ли удивили кого-то из специалистов своей беспечностью. Нежелание следить за обновлениями установленных программ – скорее правило, нежели исключение.

Специалисты "Лаборатория Касперского" в течение всего года ежедневно регистрировали в среднем 3400 новых вирусов. А ведь еще несколько лет назад пять сотен в неделю казались чем-то запредельным. К концу года темп, правда, снизился, что Гостев связал с выходом киберпреступности на "пик производительности". "Видимо, все, кто мог в Китае писать вирусы, уже этим занимаются", – констатировал он.

Кризис со вкусом клубнички

Когда Гостева сменил на трибуне директор лаборатории контентной фильтрации Андрей Никишин, разговор переместился в область спама. Спикер отметил интересную корреляцию между кризисом и спамом для взрослых: оказывается, экономические неурядицы повлекли за собой увеличение числа порнографических ресурсов и связанных с ними рассылок. В сентябре доля такого спама достигла тридцати процентов. Вторым следствием кризиса стало сокращение предложений от реального сектора: многие бывшие заказчики такой рекламы попросту разорились.

В прошлом году у спамеров случился и свой собственный кризис: в ноябре прикрыли два крупных американских хостинга, McColo и Atrivo (см. "КТ" #760). Это был сокрушительный удар – после приостановления деятельности McColo "Лаборатория" зафиксировала сокращение спама в четыре раза! Впрочем, к январю количество мусорных писем почти восстановилось, а в адрес компании от теневых дельцов пришло письмо с обещанием вскоре вернуть утраченные позиции и даже удвоить количество рассылок. К сожалению, проверяя в очередной раз почту, понимаешь, что это не голословные угрозы.

Также специалисты компании попробовали выяснить, какие средства вовлечены в индустрию спама в Рунете. Для этого было достаточно связаться по одному из многочисленных сообщений, рекламирующих рассылки. Оказалось, что стои мость отправки миллиона писем составляет примерно сорок долларов. Средний заказ – семь миллионов писем. По данным "Лаборатории", в России происходит три тысячи уникальных рассылок ежедневно, а годовой бюджет спам-индустрии можно оценить в 150–200 млн. долларов.

Хорошего не жди

В этом году Никишин прогнозирует увеличение объемов криминального спама. Ожидается расцвет фишинга, которым начнут промышлять любители легкой наживы. "Это просто, – говорит Никишин, – существуют даже своего рода «наборы юного фишера». С учетом китайской экспансии, можно ожидать, что выуживать личные данные станут преимущественно китайские подростки, а помогут им в этом кризис и обеспокоенность людей судьбою собственного банковского счета.

Кризис обострит конкуренцию и в самом мире киберпреступности, так как массовые сокращения приведут к тому, что в процесс будут вовлечены многие потерявшие работу ИТ-специалисты. Для обеспечения доходов понадобится все больше зараженных машин по всему миру (а значит, не за горами новые глобальные эпидемии). Успешные атаки на миллионы компьютеров потребуют создания сложных схем. Их разработка и реализация недешева и под силу только квалифицированным специалистам. Небольшие группы киберпреступников в таких условиях либо просто не выживут, либо будут вынуждены сменить род деятельности.

Количество игровых троянов должно уменьшиться, так как проблему активно решают прежде всего владельцы самих сервисов. Привлекательность этого направления снижается еще и потому, что там уже тесновато от желающих поживиться. Вероятно, многие киберворишки покинут игровые вселенные и переквалифицируются в фишеров.

Наконец, стремление расширить сферу влияния заставит преступников активнее осваивать всевозможные программные платформы, включая мобильные, а не специализироваться на многострадальной Windows. Не исключено, что, распахивая целину, умелец из Китая пройдется сохой и по вашему смартфону.

Назад к карточке книги "Журнал "Компьютерра" №772"
Страницы книги >>>  Предыдущая | 1 2 3 4 5 6 7 | Следующая

    Ваша оценка произведения:

Почитать похожее на эту книгу


Популярные книги за неделю

При использовании текстов библиотеки ссылка обязательна: itexts.net.
Электронная библиотека, © 2018-2024