Коллектив Авторов - Цифровой журнал «Компьютерра» № 164

Взлом внешне прост: пытаясь открыть нужную веб-страничку, браузер совершает ошибку, спрятанный на странице машинный код преодолевает защитные механизмы браузера и операционной системы — и без дополнительной помощи пользователя берёт компьютер под свой контроль. На самом деле, конечно, механика нетривиальна: атакующим приходится каждый раз изыскивать новые способы проникновения и подъёма привилегий, оставаясь на шаг впереди разработчиков атакуемого софта (так Vupen нынче нашла и воспользовалась новым обходным путём от загрузки кода в случайную область памяти). «Хорошая» новость в том, что фантазия хакеров вряд ли истощится в обозримом будущем — уж очень серьёзные её питают деньги. И речь отнюдь не только о конкурсных призовых. Которые хоть за последние годы и сильно выросли, по-прежнему остаются сравнимы разве что с нижней границей того, что могут выручить авторы оригинальных эксплоитов так сказать в частном порядке — продавая свои решения корпорациям и государствам.

Существование чёрного рынка уязвимостей нулевого дня — печальный факт, с которым ничего не поделаешь (см. «Знание — сила»). Не все согласны ждать, пока уязвимость будет обнаружена злоумышленниками, использована против кого-нибудь, о ней узнает разработчик программы и выпустит заплатку. Есть немало покупателей с толстым кошельком, готовых заплатить за очередную ZDV, чтобы получить её раньше других. Получить не с целью усиления только лишь «защитной безопасности» (defensive security), но и чтобы — как политкорректно формулирует это та же Vupen — усилить безопасность наступательную (offensive security). Знаете, насолить конкурентам, влезть на компьютеры к террористам, а то и самому устроить теракт на вражеской территории, что случилось не так давно в Натанзе.

Теоретически, если бы бизнес мог предложить хакерам хорошую — сравнимую с чёрнорыночной — цену, то и проблема уязвимостей нулевого дня в значительной степени осталась бы в прошлом. Однако предлагаемые легально суммы постоянно растут, а потолка не видно. Параллельно с Pwn2Own, там же на CanSecWest, Google проводит собственный конкурс Pwnium, целью для участников которого нынче была операционная система Chrome OS (фактически браузер Chrome, играющий роль GUI-надстройки над ядром Linux). Так вот призовой фонд здесь достигал уже 3.14 млн. долларов. И мало кто сомневается, что в следующем году мы увидим ещё большие суммы, а паритет с чёрным рынком всё равно останется мечтой: всегда найдётся тот, кто будет готов заплатить больше, только бы быть на шаг впереди.

Единственное светлое пятно в этой мрачной картине — результаты Pwnium, дающие некоторую надежду небольшой (даже — незначительной) части компьютерных пользователей. Так вот Chrome OS нынче «сломать» не удалось. Отчасти это заслуга Google, которая активно латает свою платформу. Но просматривается и более интересная причина. Один из важных пунктов в правилах Pwn2Own и Pwnium — стандартная комплектация машины-мишени. Так организаторы упрощают задачу и вместе с тем стараются сделать конкурс больше похожим на реальную жизнь. Браузеры ведь у большинства пользователей работают в одинаковых конфигурациях, с одним набором плагинов и т.д. Тонкость в том, что, взломав браузер, атакующий сталкивается ещё и с операционной системой. А здесь платформы MS Windows и Mac OS X принципиально отличаются от Linux.

Продукты Microsoft и Apple — это именно продукты: одинаковые для всех, с общим набором системных файлов, настроек, структурой каталогов, устройством рабочего стола и прочим, и прочим. А вот Linux была и остаётся скорее конструктором для сборки. Одних только популярных дистрибутивов насчитывается дюжина — а ведь каждый из них ещё и оптимизируется под конкретную машину, конкретный процессор, настраивается в соответствии с нуждами пользователя, обновляется чуть ли не каждый день. В результате Линуксы — чрезвычайно пёстрая семья, в которой братьев порой с лица и не узнаешь. Это разнообразие и есть спасительное свойство, позволяющее линуксоидам меньше волноваться за безопасность своей машины, своего браузера.

Chrome OS, правда, это преимущество уже подрастеряла. Она сделала широкий шаг в направлении Продукта — и на тот же шаг отдалилась от хаотичного, своевольного, но такого приятного линуксового разнообразия.

В статье использованы иллюстрации Kevan Davis, the Fl0yd, Destination Knowlton.

К оглавлению

Опубликовано 15 марта 2013

Когда в среду руководители Google ставили точку в истории одного из своих многочисленных веб-сервисов, едва ли они могли вообразить, какая реакция за этим последует. Согласно плану, 1 июля перестанет существовать RSS-читалка Google Reader — а волна недовольства уже сегодня буквально перехлёстывает через край: вслед за критическими публикациями в блогах и сетевых СМИ, появились сразу несколько петиций протеста — и под ними на сегодняшнее утро поставлены суммарно свыше ста тысяч подписей! Более чем странно, если учесть, что даже сама аббревиатура RSS нынче мало кому знакома. Но тем интересней попробовать добраться до причин — как раздражения публики, так и останова собственно сервиса.

Google Reader появился на свет в 2005 году и быстро стал стандартом де-факто в сегменте RSS-читалок. Хотите, называйте их агрегаторами, хотите фид-ридерами, сути это не меняет: когда вам нужно отслеживать состояние множества веб-ресурсов, такие программы оказываются чрезвычайно полезными. На каждом уважающем себя сайте есть файл в формате RSS, содержащий информацию о последних обновлениях, новых сообщениях на форуме и т.п. Агрегатор обходит любимые сайты пользователя, собирает RSS-файлы и превращает их в единый поток. Поглощать информацию в таком концентрированном виде выгодней по многим причинам, но в общем и целом можно сказать, что так просто быстрей: не мешает реклама, нет нужды шариться по сайтам в браузере, события легко рассортировать по темам.

Google Reader казался проектом на века, но продержался всего восемь лет. Как теперь мрачно шутят его поклонники, гугловскими продуктами не стоит увлекаться: скажем, легендарный Google Car тоже ведь могут остановить прямо на полном ходу.

Главная проблема RSS в том, что технология эта абсолютно чужда массам. Читателям Компьютерры поверить в это будет, пожалуй, трудно, но не верите — проверьте сами. Возьмите человека с улицы и попробуйте втолковать ему принцип действия и выгоды от применения RSS. В лучшем случае вы наткнётесь на непонимание, в худшем на три латинских буквы вам ответят тремя русскими.

Заставлять обывателя пользоваться RSS — всё равно что заставлять его же учиться скорочтению: забавно, да, но убивает удовольствие от потребления контента. Обывателю чужды страдания Роба Мальды (он же CmdrTaco, он же сооснователь Slashdot), среагировавшего на приговор GReader так: теперь каждую неделю Google будет недополучать как минимум десять часов моего времени! Обывателю лень, да и нет нужды стараться поглотить как можно больше килобайт за ограниченный отрезок времени. Когда же возникает потребность следить за интересностями, он «френдит» друзей и группы в любимой социальной сети. Ему невдомёк, что хаос в новостной ленте Фейсбука, В Контакте, да даже Google+ имеет очень мало общего со строго упорядоченным потоком информации, производимым любым RSS-ридером.

А ведь GReader был не любым! Спасибо ребятам из Google, это был мощный и очень гибкий продукт. Его облачный функционал (вся вычислительная работа и все данные выполнялись и хранились на серверах самой Google) делал лёгким слежение за сотнями источников с любого цифрового устройства, позволял хранить контент годами, превращая его в ценный архив. А открытый программный интерфейс, когда необходимо, превращал GReader в сервис-посредник для снабжения переваренным RSS-контентом других программ и сервисов. Всё это сформировало вокруг него большую лояльную аудиторию. Пользователи GReader тратили годы на сбор и настройку своих RSS-коллекций. Чего ж удивляться, что известие о скором закрытии их так расстроило?

Но и для Google, конечно, это не просто каприз. Во-первых, GReader был одним из ранних экспериментов компании в новой для неё теме социальных сетей. Сейчас уже мало кто помнит, но в GReader были функции, роднящие его с соцсетями: возможность отметить запись как понравившуюся или поделиться ею с друзьями. Со временем — и по причине моды на социальные сети, и по причине вышеназванной малопонятности RSS для обывателя — внимание Google переключилось на Google+. Популярность GReader поослабла — и разработчики решили закрыть проект. Потому что — и это причина номер два — Google хоть и любит агрессивно экспериментировать, неудавшиеся начинания прикрывает по возможности быстро (см. «Как выигрывать реже, но больше»).

Одновременно стало известно, что Энди Рубин, «отец» платформы Android и бессменный Главный по «зелёным человечкам», уходит — к счастью не из Google, а только на другую должность. Предположительно, он переводится в Google X: сверхсекретное подразделение компании, подконтрольное Сергею Брину. Там работают над самыми сумасшедшими и самыми перспективными проектами, вроде робота-автомобиля.

Как хорошо пошутили коллеги, если из трубы гугловской штаб-квартиры валит чёрный дым, значит, компания убивает очередной неудавшийся проект — а дым, получается, вьётся почти без перерывов вот уже два года, с того момента как кресло CEO занял Ларри Пейдж (см. «Точка G глобальной сети»). Сменив Эрика Шмидта, Пейдж начал затягивать пояса и, в частности, приступил к жёсткой «прополке» экспериментальных начинаний. Как известно, сотрудники Google обязаны тратить пятую часть своего рабочего времени на собственные проекты. Теперь, однако, их фантазию ограничивают начальники — решающие, насколько та или иная задумка перспективна и совпадает с общей корпоративной стратегией. Всё лишнее безжалостно уничтожается. GReader очевидно пересекается функционалом с социальными сетями, а потому тоже идёт под нож — и вместе с ним ещё полдюжины других веб-сервисов. А всего с весны 2011 года (по собственным подсчётам Google) таким образом были репрессированы уже семьдесят сервисов и приложений.