Журнал "Компьютерра" N743-744

Выпускающий редактор: Владислав Бирюков

Дата выхода: 22 июля 2008 года

Свобода едыАвтор: Илья Щуров

Опубликовано в журнале "Компьютерра" N27-28 от 22 июля 2008 года

Электрон, по непроверенным

В мою недавнюю статью, посвященную визиту Ричарда Столлмана в Москву (см. "КТ" #740), не попал за недостатком места один важный момент: Ричард категорически против современных веб-приложений, подобных Google Docs. И дело здесь не столько в том, что условия распространения этих приложений не соответствуют формальному определению свободного ПО (как серверной части, скрытой от пользователя, так и клиентской, код которой в принципе доступен, но не опубликован под свободной лицензией), сколько в принципиальной невозможности пользователя такого сервиса проконтролировать, что именно происходит с его документами на чужом сервере. Да, существуют официальные правила использования (Terms of Use) и политика приватности (Privacy Policy), которым компания обязуется следовать, — но проверить, действительно ли они соблюдаются, не в наших силах. Приходится верить на слово.

Я понимаю позицию Столлмана в этом вопросе, но разделяю ее лишь частично. Столлман параноик. Кажется, он не доверяет никому и ничему — по крайней мере, не корпорациям и не властным структурам. И это в каком-то смысле правильно — доверять им априорно у нас нет никаких причин. Но если отвлечься от компьютеров, следовать этой политике всегда в современном обществе просто невозможно. Слишком много ситуаций, в которых нам приходится доверять вещи, много более ценные, чем план номера, финансовая отчетность или даже личная переписка. Наше будущее, наше здоровье, зачастую наша жизнь постоянно находятся в руках других людей (начиная от водителей автобусов и маршруток и заканчивая производителями продуктов питания и — самое страшное — врачей и фармацевтов) — и это неизбежно, если только мы не готовы переселиться в деревню, обнести свой дом железобетонной стеной, построить бункер и жить натуральным хозяйством, полностью прервав связь с миром. Не доверять можно, но доверять зачастую просто дешевле и комфортнее.

Однако реальный мир имеет свои отработанные социальные механизмы, которые делают это доверие хотя бы отчасти оправданным и в число которых входит как свободный рынок, предоставляющий выбор конечному потребителю из нескольких альтернатив ("отравился помидором — больше не буду покупать в этом магазине"), так и система контроля со стороны государства и общества (например, различные сертификации, независимый аудит и т. д.). Да, они работают не всегда идеально ("Бизнес-журнал" как-то писал, что наибольший уровень "откатов" — именно в фармацевтической промышленности) и поднимают вопрос о доверии уже к осуществляющим их структурам, но они объективно присутствуют. Это не всегда справедливо в мире информационных технологий. Даже свободный рынок частенько буксует, сталкиваясь с сетевыми эффектами, — о чем мы неоднократно писали. И, наверное, каждому из нас стоит задумываться об этом, регистрируясь в очередном сервисе. По крайней мере, задать себе вопрос "Смогу ли я уйти отсюда через год?"

Есть и еще один аспект. Свобода никогда не дается даром — мы вынуждены платить за нее, причем не только "живыми деньгами", но и своим вниманием, необходимостью разбираться в тех процессах, от которых мы зависим, — потому что это единственный способ контролировать ситуацию вокруг себя. Но это, видимо, тема уже следующей колонки — про тот же электрон.

НовостиОпубликовано в журнале "Компьютерра" N27-28 от 22 июля 2008 года

В течение нескольких последних месяцев крупнейшие поставщики программного обеспечения и эксперты в области информационной безопасности, избегая публичной огласки, работали над устранением фундаментальной ошибки, теоретически ставящей под угрозу функционирование всего Интернета. Проблема, о которой идет речь, затрагивала систему DNS, отвечающую за соответствие доменных имен и IP-адресов.

Уязвимость в реализации DNS, как выяснилось в начале июля, сотрудник компании IOActive Дэн Камински (Dan Kaminsky, на фото) обнаружил еще полгода назад. Суть проблемы сводилась к тому, что киберпреступники при определенных знаниях и навыках могли воспользоваться особенностями работы инфраструктуры DNS с целью перенаправления трафика на собственные серверы.

Иными словами, юзер, набравший в адресной строке браузера имя вполне легальной платежной системы, мог попасть на подконтрольный хакерам сайт, копирующий дизайн оригинального ресурса. В отличие от обычного фишинга, заподозрить неладное при таком раскладе практически невозможно.

Камински пока не вдается в подробности относительно коварного бага, обещая обнародовать свои изыскания на августовской конференции Black Hat 2008 в Лас-Вегасе. Однако из комментариев эксперта все же можно сложить общую картину.

Работа системы DNS поддерживается тринадцатью корневыми и множеством второстепенных серверов. Каждому запросу о том, какой IP-адрес соответствует конкретному доменному имени, с целью обеспечения безопасности присваивается случайный 16-битный идентификационный номер. Однако, как выяснилось, при определенных условиях хакеры могли выяснить этот номер и подделать ответ DNS-сервера. В результате юзер, набравший правильное доменное имя, мог попасть на сайт, расположенный по совершенно другому айпишнику.

К счастью, Дэн Камински не стал раскрывать информацию о проблеме, названной DNS Cache Poisoning, а обратился напрямую к поставщикам серверного ПО, а также организациям, специализирующимся на информационной безопасности. В марте специалисты шестнадцати известных компаний собрались в редмондском кампусе Microsoft и выработали план устранения потенциальной угрозы. В итоге 8 июля Microsoft, Cisco, Sun и многие другие разработчики соф та синхронно выпустили обновленные версии ПО, обеспечивающего работу DNS-серверов, и патчи, устраняющие проблему.

Пока, впрочем, не ясно, какое количество юзеров могло пострадать от действий злоумышленников. Но хочется верить, что хакеры не успели воспользоваться багом в своих целях. ВГ

Обладая некой дорогостоящей технологией, станете ли вы с кем-нибудь делиться? А если таким образом можно получить шанс нагнать более успешного конкурента? Для принятия подобных решений в крупных корпорациях есть аналитики. В случае с Yahoo они ответили на поставленный вопрос утвердительно, дав путевку в жизнь проекту Build your Own Search Service, или сокращенно — BOSS.