НовостиОпубликовано в журнале "Компьютерра" N27-28 от 22 июля 2008 года
Патч мирового масштаба
В течение нескольких последних месяцев крупнейшие поставщики программного обеспечения и эксперты в области информационной безопасности, избегая публичной огласки, работали над устранением фундаментальной ошибки, теоретически ставящей под угрозу функционирование всего Интернета. Проблема, о которой идет речь, затрагивала систему DNS, отвечающую за соответствие доменных имен и IP-адресов.
Уязвимость в реализации DNS, как выяснилось в начале июля, сотрудник компании IOActive Дэн Камински (Dan Kaminsky, на фото) обнаружил еще полгода назад. Суть проблемы сводилась к тому, что киберпреступники при определенных знаниях и навыках могли воспользоваться особенностями работы инфраструктуры DNS с целью перенаправления трафика на собственные серверы.
Иными словами, юзер, набравший в адресной строке браузера имя вполне легальной платежной системы, мог попасть на подконтрольный хакерам сайт, копирующий дизайн оригинального ресурса. В отличие от обычного фишинга, заподозрить неладное при таком раскладе практически невозможно.
Камински пока не вдается в подробности относительно коварного бага, обещая обнародовать свои изыскания на августовской конференции Black Hat 2008 в Лас-Вегасе. Однако из комментариев эксперта все же можно сложить общую картину.
Работа системы DNS поддерживается тринадцатью корневыми и множеством второстепенных серверов. Каждому запросу о том, какой IP-адрес соответствует конкретному доменному имени, с целью обеспечения безопасности присваивается случайный 16-битный идентификационный номер. Однако, как выяснилось, при определенных условиях хакеры могли выяснить этот номер и подделать ответ DNS-сервера. В результате юзер, набравший правильное доменное имя, мог попасть на сайт, расположенный по совершенно другому айпишнику.
К счастью, Дэн Камински не стал раскрывать информацию о проблеме, названной DNS Cache Poisoning, а обратился напрямую к поставщикам серверного ПО, а также организациям, специализирующимся на информационной безопасности. В марте специалисты шестнадцати известных компаний собрались в редмондском кампусе Microsoft и выработали план устранения потенциальной угрозы. В итоге 8 июля Microsoft, Cisco, Sun и многие другие разработчики соф та синхронно выпустили обновленные версии ПО, обеспечивающего работу DNS-серверов, и патчи, устраняющие проблему.
Пока, впрочем, не ясно, какое количество юзеров могло пострадать от действий злоумышленников. Но хочется верить, что хакеры не успели воспользоваться багом в своих целях. ВГ
Как велел BOSS
Обладая некой дорогостоящей технологией, станете ли вы с кем-нибудь делиться? А если таким образом можно получить шанс нагнать более успешного конкурента? Для принятия подобных решений в крупных корпорациях есть аналитики. В случае с Yahoo они ответили на поставленный вопрос утвердительно, дав путевку в жизнь проекту Build your Own Search Service, или сокращенно — BOSS.
Давненько не появлявшаяся в новостных колонках иначе, как в связи с многомиллиардным торгом с Microsoft, Yahoo открыла доступ к своему поисковому индексу и движку для всех желающих воспользоваться главным богатством компании.
Открытие программного интерфейса сегодня событие заурядное. В данном случае примечательно, что Yahoo разрешит ранжировать результаты поиска. Одинаковый запрос будет приносить разный набор ссылок, в зависимости от профиля ресурса. Например, результаты поиска на сайтах Me.dium и Hakia, уже присоединившихся к проекту BOSS, будут коррелировать с общей концепцией этих стартапов. Взамен Yahoo будет интегрировать в выдачу контекстную рекламу, что в случае успеха новичка на ниве поиска позволит компании разделить удачу своего "крестника".
Проект призван оспорить безоговорочное лидерство Google в области поисковых систем. Возможно, что, навалившись дружно, множество узкоспециализированных сервисов действительно смогут утянуть к себе пяток-другой процентов активной интернетаудитории. Лакмусовая бумажка сегодняшнего соотношения сил — рынок США, на котором у Yahoo примерно 20-процентная доля, а у Google втрое большая. Последний, как известно, уже давно разрешил пользоваться своим поиском всем желающим, однако о возможности сколько-нибудь серьезной переработки результатов поиска речи не идет.
Неоспоримое превосходство Google, как ни странно, дает Yahoo повод для оптимизма. Стань некий молодой и зубастый стартап популярен, он, как полагают в компании, в первую очередь оттянет на себя пользователей Google. ТВ
Парад зловредности
Изобретательность и цинизм киберзлодеев не знают границ, подтверждением чему служат текущие криминальные сводки. Кое-кто не гнушается даже попытками заработать на трагедиях. Например, китайский хакер придумал, как, наверное, ему представлялось, гениальный способ обогатиться: взломав сайт местного отделения Красного креста, он указал в качестве реквизитов для пожертвований пострадавшим при печально знаменитом майском землетрясении собственный банковский счет.
Затем "герой" зачем-то полностью обрушил подконтрольный сайт (быть может, ужаснулся содеянному и решил замести следы). Как бы то ни было, ни одного денежного перевода злоумышленнику получить не удалось — вскоре после дерзкой, но не слишком умной выходки он был арестован.
Второе событие, достойное упоминания, свидетельствует скорее об умении "цифровых лиходеев" использовать увлечения и наклонности людей в своих интересах и к тому же имеет любопытную предысторию. Пять лет назад в одном из эпизодов популярнейшего мультсериала "Симпсоны" промелькнул адрес электронной почты отца семейства Гомера (Chunkylover53@aol.com). Внимательные зрители не поленились написать мультяшному адресату, и какого же было их удивление, когда в ответ стали приходить послания, написанные в фирменном дурашливо-безалаберном стиле. Как через некоторое время выяснилось, ящик зарегистрировал один из создателей сериала и, ответив на энное количество писем, забросил это дело. Некоторые фанаты "Симпсонов" добавили пользователя Chunkylover53 в свой контакт-лист AIM, видимо, лелея надежду пообщаться с Гомером в режиме реального времени. И вот недавно аккаунт "ожил" и сообщил о выходе эксклюзивного эпизода сериала, однако прилагаемая ссылка содержала, как можно догадаться, вовсе не вожделенный мультик, а троянскую программу, "записывающую" компьютер в ряды одного из ботнетов. Стоит ли говорить, что создатели мультика про неугомонную семейку не имеют к этому никакого отношения.
Кстати, "угон" чужих почтовых ящиков и адресных книг, согласно свежему отчету компании Symantec, стал составляющей одной из набирающих популярность мошеннических схем. Подобно распространенному в России телефонному жульничеству, жертве поступает сообщение от якобы попавшего в трудную ситуацию близкого человека со слезной просьбой немедленно выслать деньги. ИК
В центре внимания
В середине июля, после нескольких задержек состоялась официальная презентация мобильной платформы Intel Centrino 2. Как уваеряют в Intel, это событие ознаменует начало новой эры ноутбуков — более мощных, экономичных и функциональных.
Centrino 2 (кодовое имя Montevina) представляет собой комплексное обновление мобильной платформы Intel, оригинальная версия которой была представлена в 2003 году. Ключевыми составляющими Centrino 2 являются чипы Core 2 Duo, изготовленные по 45-нанометровой технологии, и наборы системной логики последнего поколения Intel 45 Express.
На текущий момент процессоры для платформы Centrino 2 работают на тактовой частоте от 2,26 ГГц до 3,06 ГГц при частоте шины 1066 МГц. В среднем чипы рассеивают 25 Вт тепловой энергии. Для сравнения, этот же показатель у мобильных процессоров Intel прошлого поколения составлял 35 Вт.
Продлить время автономной работы лэптопа также помогает фирменная технология Deep Power Down, деактивирующая отдельные элементы микрочипа во время простоя. Кстати, Intel с гордостью заявляет, что вместе с Centrino 2 представила самый быстрый на сегодняшний день процессор для ноутбуков Core 2 Extreme с частотой 3,06 ГГц, а вскоре корпорация намерена выпустить и первый мобильный чип с четырьмя ядрами.
Интегрированный графический адаптер платформы, как утверждает производитель, справляется с обработкой видео высокой четкости и достойно выступает в играх. Причем опция Switchable Graphics позволяет использовать либо дискретный видеоадаптер для повышения мощности графической подсистемы, либо встроенный контроллер для экономии энергии.
Для бизнес-юзеров Intel предложит версию Centrino 2 с поддержкой технологии vPro, предоставляющей средства удаленного мониторинга, администрирования и обновления.
Важно отметить, что Intel готовит для платформы Centrino 2 комбинированный модуль беспроводной связи WiMAX/WiFi.
Если учесть, что лэптопы на основе Centrino 2 намерены выпустить все крупнейшие производители, то можно ожидать взрывного роста популярности сетей WiMAX, сулящих быструю передачу данных в радиусе нескольких километров.
Centrino 2 имеет большой потенциал и несомненно будет способствовать дальнейшему росту спроса на ноутбуки. Согласно прогнозам аналитиков, при сохранении текущих тенденций объемы поставок лэптопов превзойдут продажи настольных ПК уже в следующем году. ВГ
Дом, который построил Google
Академический термин "социальная сеть", некогда имевший хождение лишь в среде социологов, с поразительной скоростью распространился среди интернетчиков, толпами ринувшихся "В Контакт" со своими "Одноклассниками". Места встречи друзей множатся как грибы, но при этом "новички" наперебой предлагают одно и то же однообразное меню: аккуратно заполняемую хозяином анкету, книгу отзывов, хозяйский блог и иконостас любимых друзей. Увы, это мало походит на дружеское общение, больше напоминая холодный обмен визитными карточками на официальном приеме. А ведь как было бы здорово похлопать старого друга по плечу и угостить чашечкой кофе! И с появлением социальной сети Google Lively (www.lively.com) подобные мечты уже не отдают маниловщиной.
Что ж, с названием своей новой разработки гугловцы не прогадали: на русский оно переводится целым букетом прилагательных, среди которых "живой", "яркий", "сильный" и "веселый". Любопытно, что до последнего момента сеть была отнюдь не коммерческой, а самой что ни на есть кустарной разработкой. Ее зачинщики — группа сотрудников компании по главе с Ниньен Вон (Niniane Wang) — два с половиной года держали свое занятие в секрете от коллег. Тайной страсти энтузиасты уделяли те самые 20% рабочего времени, которые, согласно либеральному распорядку компании, сотрудники могут тратить по своему усмотрению. И успешно доказали, что вода камень точит.
С появлением Google Lively крылатая фраза "дружить домами" получает совершенно новое воплощение. Каждый зарегистрировавшийся юзер может создать и обустроить собственную виртуальную комнату и приглашать в гости других "коллег по сети" (всего в комнате может одновременно находиться до двадцати аватаров). Способ ведения бесед напоминает комиксы: реплики возникают в облачках над головами авторов.
Для особо экспрессивных посетителей предусмотрен "язык жестов": к примеру, набрав соответствующую команду, можно заключить в объятия стоящего неподалеку товарища. Впрочем, новая виртуальная среда жива отнюдь не только текстом, и тут весьма кстати будут другие сервисы Google. Так, на стенах виртуальной комнаты развешаны фотографии из онлайновой галереи Picasa, а для развлечения гостей можно включить телевизор, демонстрирующий по всем каналам ролики с видеопортала YouTube.
Едва открывшись, "гостиница от Google" подверглась жесткой критике со стороны первых же клиентов, устроивших разнос "администрации" за неповоротливость сервиса и ограниченные возможности для настройки комнаты "под себя".
Увы, фантазия участников Lively прочно замурована в четырех стенах — число вариантов "прикида" аватара или набора мебели жестко ограничено. Никакие коммерческие операции между участниками не предусмотрены, что неудивительно, учитывая направленность сервиса: какие счеты могут быть между друзьями? Впрочем, "были бы кости, а мясо нарастет" — умения доводить до ума свои начинания гугловцам не занимать.
Кто знает, может быть, сгрудившись над столом в одном из виртуальных "живых" кабинетов, их аватары уже вовсю обсуждают чертежи полноценной кибервселенной от "поисковика номер один"? ДК
Огненно-рыжий рекорд
Firefox 3 занял почетное место в Книге рекордов Гиннесса (о подготовке к этому событию см. "КТ" #738): за первые сутки после релиза программа была скачана более восьми миллионов раз! На второй день количество загрузок увеличилось еще в полтора раза, а к концу первой недели достигло восемнадцати миллионов. К середине июля счетчик разменял двадцать девятый миллион; Россия в этом поучаствовала, как могла: за нашими соотечественниками — больше 350 тысяч загрузок. Хотя, конечно, сам факт скачивания еще не означает, что программой будут пользоваться, а не удалят после первого же негативного опыта (как это было, например, с шестым Netscape).
В браузере масса изменений, связанных с движком и безопасностью, но все это, будучи несомненно важным, скрыто от глаз юзера. Однако есть в новой версии и несколько нововведений, не заметить которые будет трудно. В первую очередь это работа адресной строки. Обычно при наборе первых символов выдается список ранее посещенных веб-адресов. Однако Firefox ищет символы не только в начале, но и по всей длине знакомых браузеру урлов. Это, надо сказать, палка о двух концах — результат порой далек от ожидаемого. Интересен и новый подход к масштабированию страниц. Теперь меняется не только размер текста, но и всех прочих элементов, включая изображения и флэш-ролики. И, что важно, режим, однажды установленный для конкретного сайта, автоматически восстанавливается при следующем посещении.
Фича наверняка понравится пользователям нетбуков, скромные экраны которых часто вынуждают прибегать к горизонтальной прокрутке веб-страничек. Для коллекционеров ссылок предусмотрена возможность добавлять страницу в закладки нажатием одной кнопки. Такой вариант, правда, не подойдет педантам, на которых один лишь вид сваленных в кучу букмарков нагонит тоску. Впрочем, им в свою очередь может прийтись по вкусу другое нововведение: возможность сортировать закладки не только по категориям, но и по привычным уже тегам.
Тем временем работа над новыми версиями Firefox не прекращается. Уже можно обзавестись бетой под номером 3.0.1 и даже пре-альфой 3.1. "Лисья" экспансия в Интернете продолжается. АБ
Соботыльник
Пережидая летнюю жару под крышей любимого паба, не забудьте поговорить по душам со скучающим у стойки барменом: как знать, вдруг в недалеком будущем его место займет бездушный автомат? К тому есть все предпосылки — усилиями роботехников из японской компании Asahi создан электронный бармен.
Окрещенный в честь сконструировавшей его компании "мистером Асахи" робот моментально открывает пивные бутылки, споро вращает круг со стаканами и выполняет заказы на стандартные пинту или полпинты янтарного напитка.
Новичок имеет вполне человеческие габариты, а его ручные суставы скроены по образцу "старшего брата". Двигаться робота научили специалисты в области аниматроники, причем его конечностям, приводящимся в движение сжатым воздухом, присущи грация и изящество. В свободную минуту робот использует свои руки для приветствия посетителей и шуточных манипуляций с воображаемыми стаканами. Всегда улыбчивое лицо Асахи покрыто жидкокристаллическим "макияжем", позволяющим ему во время общения с клиентами "сверкать глазами" и "двигать ртом".
По словам конструкторов, их детище способно положительно повлиять на современный образ Японии в мире, и, судя по всему, дело тут отнюдь не только в расслабляющем воздействии алкоголя. Пройдя полугодовые стендовые испытания у себя на родине, робот отправился в мировое турне, первой остановкой в котором стал лондонский супермаркет сети Selfridges. Правда, наряду с восхищенными отзывами сдержанные англичане оставили немало и отрицательных: по словам многих придирчивых очевидцев, в креативности и умении зажечь публику роботу далеко до острых на язычок профессиональных барменов.
Зато уж чего не отнимешь у робота — так это расторопности в выполнении профессиональных обязанностей: исходя из своих рабочих характеристик, "мистер Асахи" вполне может претендовать на то, чтобы стяжать звание "лучшего по профессии". Как показала практика, благодаря роботизации среднее время обслуживания каждого посетителя сократилось с четверти часа до двух минут! Увы, подобная "скорострельность" вряд ли скоро себя окупит: как-никак, нынешняя цена "электробармена" составляет около 200 тысяч долларов. Так что, скорее всего, фирменный ресторан компании Asahi надолго останется единственной записью в его трудовой книжке. ДК
Осторожно, Segway!
В Германии проведен краш-тест двухколесных электроскутеров Segway, позиционирующихся одноименной компанией Дина Кэймена (Dean Kamen) как революционное транспортное средство для мегаполисов. Организаторы эксперимента попытались выяснить, что же произойдет с водителем самоката и зазевавшимся пешеходом при столкновении на скорости 15 км/час.
Споры о безопасности скутеров Segway идут уже шесть лет, с первого дня их продаж. Дело в том, что эти необычные средства передвижения, оборудованные сложной системой гироскопов, микрокомпьютером, электромоторами и аккумуляторным блоком, просто-напросто не вписываются в существующую дорожную инфраструктуру. На проезжей части водитель Segway подвергает себя серьезной опасности, рискуя из-за неудачного маневра оказаться под колесами проезжающего мимо авто. На тротуаре же полтора центнера (столько, а то и больше может весить скутер с наездником), катящиеся со скоростью больше 4 м/с, создают серьезную угрозу пешеходам. Именно поэтому в некоторых странах Segway до сих пор находится под запретом.
При проведении краш-теста немцы воспользовались стандартными манекенами, широко применяющимися при оценке безопасности более привычных транспортных средств — автомобилей и мотоциклов. Имитация столкновения пешехода и водителя самоката показала, что оба участника аварии рискуют получить серьезные травмы. Датчики, встроенные в манекены, зафиксировали опасные нагрузки на голову наездника, тогда как пешеход, оказавшийся на пути скутера, может загреметь на больничную койку с ушибами грудной клетки, таза и ног.
В итоге специалисты пришли к выводу, что, если самокатам Segway и разрешать двигаться по тротуарам, то лишь при соблюдении ряда условий. Прежде всего, скорость должна быть ограничена шестью километрами в час, а сами скутеры — оборудованы световой и звуковой сигнализацией. Кроме того, полагают эксперты, водителей "сигвеев", как и мотоциклистов, следует обязать надевать шлемы.
Добавим, что Segway не слишком популярен не только из-за потенциальной опасности, но и в силу относительно высокой цены. Электросамокат простейшей модели стоит 5 тысяч баксов — за такие деньги вполне можно приобрести подержанную малолитражку. Впрочем, рост цен на горючее и высокая загруженность дорог может поспособствовать увеличению парка "сигвеев", если, конечно, автопром не заполнит эту нишу компактными электромобилями. ВГ
Один за всех и все за одного
Увы, наш слух все чаще услаждают не трели соловьев, а пение сирен противоугонной сигнализации. Редкий горожанин не вскакивал в ненастную ночь от душераздирающей какофонии, устроенной "четырехколесными друзьями", коих потревожили раскаты грома. Пессимисты в панике запасаются берушами. Впрочем, во мраке неминуемой глобальной автомобилизации, похоже, мелькнул луч света: специалисты из Университета Пенсильвании разработали бесшумную противоугонную систему SVATS (Sensor Vehicle Anti-Theft System), благодаря которой мы, наконец, сможем спать спокойно.
Изюминка новинки в том, что, в отличие от своих нынешних сестер, она ориентирована на "коллективную безопасность" — каждый из расположившихся на стоянке автомобилей следит не только за собой, но и "опекает" своих соседей. Технически это реализовано при помощи сенсоров, размещенных в салонах машин, и базовой станции, предназначенной для ведения журнала и передачи сигнала тревоги на мобильный телефон владельца авто. Всякий раз, как у припарковавшегося автомобиля выключается двигатель, сенсор активизируется и "здоровается" со своими собратьями, сообщая им, что место занято. С этого момента соседи не упускают нового "члена компании" из виду, периодически опрашивая его сенсор. Дабы разорвать "круговую поруку", водитель должен выполнить процедуру деактивации сенсора, при этом соседи получают специальный прощальный сигнал. Если же автомобиль "уходит по-английски", то бишь не прощаясь, это воспринимается как попытка угона, и система подает сигнал тревоги. Тем временем в угнанной машине активизируются разбросанные по салону радиомаячки, позволяющие отследить путь пропажи.
Образующие "автосеть" сенсоры, уверяют разработчики, совсем недороги, и со временем их можно будет выдавать водителям в качестве бонуса. В настоящий момент испытания проходят датчики размером с монету, но в будущем их объем не превысит кубического миллиметра, что крайне затруднит их обнаружение злоумышленниками. Пока что противоугонная система посылает тревожный звонок на сотовый лишь владельцу машины, но если испытания пройдут успешно, ее телефонный справочник может значительно расшириться: как-никак, за судьбой изобретения пристально следят Национальный научный фонд и Исследовательское подразделение вооруженных сил США. ДК
Убил. И будет ли прощенье?
Растянувшаяся почти на два года печальная история 44-летнего американского программиста Ганса Рейзера (Hans Reiser) близится к развязке. Арестованный по подозрению в убийстве жены еще осенью 2006-го (см. "КТ" #659), Рейзер все это время отказывался признать свою вину, но в конце концов сдался и раскрыл место захоронения: тело задушенной супруги было закопано на лесистом склоне холма в километре от дома.
В ИТ-кругах Ганс Рейзер известен как основатель компании Namesys, разработавшей файловую систему ReiserFS. Во многом уникальная, эта разработка стала первой журналируемой файловой системой, поддержка которой была включена в ядро Linux и до сих пор является основной для нескольких дистрибутивов свободной ОС. Вдобавок Ганс слыл компьютерным гением, симпатизирующим России. Здесь он набирал сотрудников для своей компании, здесь же нашел и спутницу жизни. Их брак с Ниной Шарановой был заключен в 1999-м, а пять лет спустя, нажив двоих детей, супруги разошлись. Нина утверждала, что дети "едва знают отца", не вылезающего из командировок, а Ганс обвинял жену в измене с бывшим коллегой и попытке обчистить кассу Namesys. Точку в препирательствах поставило исчезновение Нины в сентябре 2006-го. А вскоре по подозрению в причастности к этому был арестован сам программист.
Защита Ганса строилась на предположении, что его супруга жива и тайно вернулась в Россию, к детям и родителям, а сам Рейзер не в состоянии вести себя адекватно на публике, будучи гиком. По мнению адвоката, Ганс настолько увлечен своими исследованиями, что должен считаться социально ущербным — нормальные люди не всегда в состоянии его понять. В том же и причина его поведения на суде, где Рейзер зарекомендовал себя человеком крайне нервозным, склонным к запутанным рассуждениям и пререканиям. До сих пор непонятно, почему Ганс отверг предложение о чистосердечном признании. В этом случае он получил бы года три тюрьмы за непредумышленное убийство и вышел на свободу уже следующей весной. Но в конце апреля присяжные признали Рейзера виновным в убийстве первой степени, что предполагает пожизненное заключение с правом на досрочное освобождение не раньше чем через четверть века. По-видимому, суровость возможного приговора и заставила Рейзера изменить своему упрямству: в обмен на признание в убийстве (совершенное, по его словам, в приступе гнева) и выдачу тела Ганс получил надежду подать прошение о помиловании уже через пятнадцать лет. Точку в истории должен поставить судья Ларри Гудман (Larry Goodman), назначивший вынесение приговора на 13 августа.
Будущее файловой системы ReiserFS — отдельная история.
Оказавшись за решеткой, Ганс Рейзер объявил о намерении продать компанию Namesys, но до сих пор этого не сделал. В разрозненных интервью, данных прессе на протяжении полутора лет судебного разбирательства, коллеги Ганса продолжают настаивать на возможности сохранить коллектив и продолжить разработку следующей версии системы, Reiser4. Однако минувшей зимой прекратил свое существование официальный сайт Namesys, а возглавивший проект коллега Ганса Эдуард Шишкин сообщил о "прекращении коммерческой активности" компании.
К тому же мрачный ореол, окутывающий все, что связано с именем программиста, может помешать дальнейшей популяризации одноименной файловой системы. Немедленно после ареста Рейзера компания Novell в своем дистрибутиве SUSE Linux отказалась от использования ReiserFS в качестве файловой системы по умолчанию в пользу ext3. Формальной причиной отказа были названы "предпочтения пользователей", но, возможно, исчезновение Нины тоже сыграло свою роль.
Впрочем, процесс разработки файловой системы и утилит для нее продолжается. Все желающие по-прежнему могут присоединиться к проекту, исходные тексты которого теперь хранятся на сервере Kernel.org. ЕЗ