Ломка устоев (Итоги недели с 5.08 по 11.08.2002 от Евгения Золотова)
АрхивИтоги неделиWindows: смотри, кто пишет! - Секрет полиSSHинеля. - Криминальное чтиво. - Чужая бирка. - Инсталляция по умолчанию. - Плюс IBM, минус AMD. - На смерть ХТМЛ.
Прошедшая неделя принесла с собой просто необычайное количество новостей, связанных с тематикой компьютерной безопасности. Причём, без дела на сей раз не остался никто: отличились все по очереди - и вездесущая Microsoft, и сообщество Open Source, и декларирующие своё превосходство над обеими вышеназванными сторонние производители. Впрочем, обо всех по порядку. Софтверный гигант оказался втянут в неприятную историю благодаря усилиям всего одного человека - независимого консультанта Криса Пейджета, который, задавшись вопросом, что означают слова руководства компании об "огромном ущербе для национальной безопасности страны в случае раскрытия некоторых недостатков ОС", решил копнуть глубже, нежели делают это рядовые искатели "дыр" в программном обеспечении - и обнаружил недоработку, корни которой уходят аж к временам возникновения Windows в её нынешнем виде. Дело в том, что т.н. сообщения (messages), через которые организован обмен информацией между системными процессами в этой операционной системе, ничем не контролируются - а потому любая мелкая, лишённая администраторских привилегий программка, вполне может отправить мессагу программе с более высоким уровнем прав, заставив последнюю выполнить некоторый произвольный код, который также обретёт права администратора. Пейджет доказал возможность осуществления такой атаки практически, но - что, впрочем, естественно - медали за заслуги от Microsoft не получил: в компании сочли "дыру" не представляющей опасности, поскольку, раз уж взломщик получил доступ к компьютеру, своего он так или иначе добьётся. На что Пейджет логично возразил, что под удар попадают важные системы, подключенные к локальным сетям - которым угрожают излишне любопытные или враждебно настроенные пользователи этих же локалок.
Готовность немедленно начать работу над устранением обнаруженных ошибок, без растраты времени на пустые отговорки, вероятно, главное отличие сообщества Open Source от создателей проприетарных продуктов: именно так поступили попавшие под удар взломщика разработчики программного инструмента OpenSSH. Дело было в конце июля, когда некий таинственный хакер сумел взломать главный FTP-сервер проекта OpenSSH, заменив несколько дистрибутивов продукта на свои собственные, с добавленным в них кода программы-шпиона. Модифицированные дистро превращались после компиляции на компьютере клиента в нормальные программы, однако, параллельно с ними компилировался и запускался и тот самый "троян", что был внедрён хакером. Используя эту программку, автор её мог получить полный доступ практически к каждому компьютеру, на котором она запускалась. К счастью, изменить контрольные суммы дистрибутивов злоумышленник не смог - и уже на второй день после подмены, несколько пользователей забили тревогу. Справедливость (в виде исходного кода) была восстановлена в тот же день, но масштабы случившегося так и остались невыясненными: сколько человек пострадали из-за того, что продукт, предназначавшийся для защиты приватности, сам превратился в шпиона, никто не знает.
А вот в случае с "дырой" в программной библиотеке XDR, куски кода из которой используются в десятках операционных систем и прикладных программных продуктов, оказались под ударом и представители проприетарного софта, и сторонники максимальной открытости. Уязвимость, скрывающаяся в одной из функций этой библиотеки (разработанной Sun Microsystems и предназначающейся для организации обмена информацией между программами, работающими на различных компьютерных платформах), обнаружилась и в MacOS X, и в нескольких вариантах Linux, во множестве UNIX-подобных систем, даже в Windows (хоть официально последнее ещё и не подтверждено). Несмотря на то, что многие производители софта уже выпустили соответствующие заплатки, ошибка в XDR обещает пережить не одно поколение программного обеспечения - слишком уж велико число пользователей продуктов, в код которых она затесалась.
Абстрактные сами по себе, глюки и "дыры" в программном обеспечении вкупе с неосведомлённостью пользователей могут обернуться самыми что ни на есть очевидными и тяжёлыми последствиями. Так, к примеру, как случилось это с только что введённой в эксплуатацию в Японии национальной идентификационной системой: каждый житель Страны восходящего солнца отныне можеть получить уникальный 11-значный идентификационный номер, по которому из единой базы данных можно вытащить имя, дату рождения и прочие приятные мелочи, что позволяют однозначно идентифицировать каждого гражданина. На этапе проверочной передачи этих данных из системы обратно к её пользователям и произошёл казус: несколько тысяч человек, подавших заявление на получение цифрового удостоверения личности, получили в ответ письма с подробнейшей информацией не только о себе, но и о других людях.
В условиях поголовной "вшивости" программного обеспечения, идея передачи программам большей самостоятельности кажется маленьким сумасшествием. Но, будучи помноженной на необходимость ограничения свободы пользователей в целях соблюдения авторских прав на цифровой контент (естественно, необходимость для производителей контента), она превращается из пустой идеи в реальную тенденцию - реализация которой начата, в частности, Microsoft. Любопытные пользователи последних версий Windows XP и Win2K отыскали в поставляющемся с ними лицензионном соглашении замечательный пунктик о праве компании автоматически устанавливать новые программы на машину клиента без его ведома. Предположительно, понадобилось это для легализации полной автоматизации службы обновления Windows Update, с помощью которой софтверный гигант намеревается оснащать свою ОС компонентами, установка которых самими пользователями представляется маловероятной - а именно, теми самыми средствами для связывания рук…
К счастью, прогресс означает не только и не столько рождение новых ограничений для пользователей, сколько обретение ими новых степеней свободы. Немногочисленное семейство 64-разрядных персоналок, цены на которые пока ещё парят на высотах, недостижимых для финансовых возможностей рядовых пользователей, обещает пополниться в ближайшее время новыми моделями благодаря усилиям компании IBM, по слухам, назначившей на октябрь представление 64-битной модификации процессора PowerPC. Главным следствием этого станет рождение новых компьютеров Apple, которая уже намеревалась было задействовать продукцию AMD: по мнению аналитиков, использование нового чипа архитектуры PowerPC (уже работающей в Mac'ах), пусть и не совсем совместимого со своими предшественниками, принесёт значительно меньше проблем, нежели перевод компьютерного парка на совершенно новую архитектуру.
Вероятно, одновременно с переходом компьютерного сообщества на 64-разрядные персоналки, завершится и другой качественный переход: язык HTML, что нынче правит балом в Веб, уступит своё место языку XHTML, а именно - его версии 2.0, черновая редакция которой была опубликована консорциумом W3C на минувшей неделе. Представляющий из себя XML-совместимый язык, XHTML 2.0 полностью избавлен от пережитков прошлого, внесённых HTML и доставшихся в наследство XHTML 1.0: столь суровый подход означает несовместимость со старыми браузерами, но обещает необычайно многое - в частности, однозначность трактовки языковых конструкций различными программами и эффективность описания структуры веб-страниц. Осталось только присмотреться и выучить. Удачи вам!