`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Александр Черников

Сайбержуть, или Горе от ума

+410
голосов
 
Этот закон давно известен и часто приводит в уныние, например, тестировщиков ПО: чем сложнее и объемнее становится программный код, тем большее количество ошибок закрадывается в него, причем удельная величина в расчете на число строк кода примерно постоянна. Вот что принес 2010 г.
 
Программер, жжош, пеши исчо!
 
·      McAfee в апреле выпустила обновление ПО, чтобы защитить компьютеры от вредоносных файлов, которые были внесены для этого в специальный список. Каким-то образом в него попал файл из состава Windows. ПО McAfee не долго думая удалило его, что привело в непрерывному циклу перезагрузки. Корпорации некоторое время были в шоке.
 
·      В конце декабря на 24 часа упал Skype, заставив поволноваться 560 млн пользователей во всем мире.
 
·      Ошибка выбора времени для обновления ПО на электронной бирже Arca NYSE Euronext привела к тому, что все неожиданно подешевело почти на 10%.
 
·      В ноябре анализ ядра смартфонов Google Android выявил 88 брешей в безопасности, которые могли использоваться для снятия с них личной информации пользователей.
 
·      Facebook также имел бреши, которые возможно, позволяли хакерам изменять информацию о профиле и настройки конфиденциальности для отдельных страниц.
 
·      Программное обеспечение СУБД онлайн-банка Чейза, поставляемое сторонней компанией, исказило информацию в системах и два дня банк не работал.
 
·      «Черный ящик» Toyota неправильно записывал показания скорости, что вызывало самопроизвольное ускорение автомобилей.
 
·      Большое количество запросов на закачки от iPhone 4 выявило недостатки в ПО для 3G сетевого оборудования Alcatel-Lucent, заставив пользователей iPhone4G изнывать от аномально низкой скорости закачки.
 
·      В начале 2010 г. Google признала, что в течение прошлых трех лет «неосторожно собирала частные данные в сетях WiFi» в рамках исследования «уличного трафика».
 
·      В начале года 30 миллионов немецких кредитных карт временно перестали быть актуальными из-за ошибки ПО, которая не позволила перевести год.
 
·      Windows и Linux шли на равных в соревновании на скорость суперкомпьютеров, пока ошибка ПО в пакете, разработанном для управления тестом Microsoft помешала Windows бороться за победу (или по крайней мере соответствовать Linux).
 
·      В середине 2010 было много систем аварийного реагирования (по крайней мере, в США), которые по вине ПО работали со сбоями при торнадо и других стихийных бедствиях. Еще страшнее то, что сложные медицинские устройства (в частности, электронные капельницы и системы диализа) также имели проблемы с ПО.

 Вот такие пироги. Да, собственно, давно уже чувствовалось, что все становится слишком сложным, и единственный способ избежать подобных проблем — вообще не иметь ничего сложнее телевизора.

На закуску: (ну прям не знаешь, радоваться или плакать). В декабре был произведен успешный на старте запуск трех последних навигационных спутников системы GLONASS. Однако сразу после запуска программная ошибка заставила ракету-носителя «Протон-M» отклониться от курса и она улетела в сторону Гавайских островов. — То есть и в пределах СНГ все как «у них» — сложные програмы пишутся, но с ошибками :).

Сайбержуть, или Горе от ума

Пепел Мааса стучит в мое сердце
 
Вопросы безопасности, честно говоря, уже набили оскому — только ленивый не пишет сегодня о захватывающих дух страшных атаках на системы и сети. Поэтому отдельный пост по данной тематике я писать не буду. Упомяну только одну относительно новую тенденцию, которая, вероятно, может быть связана с описанными выше случаями.
 
Аналитики по безопасности из WatchGuard Technologies выпустили свои предсказания главных проблем IT-безопасности на 2011 г. Среди них технологии VOIP, бреши в сетях social media и общие постоянные угрозы (Advanced Persistent Threats, APTs) для бизнеса. Главные тенденции на 2011 г. включают распространение Malware-as-a-Service (МааS) и атаки на сайты социальных сетей.
 
APTs создаются таким образом, чтобы оставаться скрытыми в пределах сети жертвы или хозяина в течение длительного периода времени — как правило, при использовании мощных rootkit-технологий*, постоянной чистки, и медленных каналов управления. Они реализуют самые современные способы нападения, и, кроме того, инфицируют компьютеры и устанавливают не него разнообразное malware, используя уже известные методы распространения.
 
* Rootkit-технологии используются для таких задач, как сокрытие действий атакующего, подмена выдачи браузера, прозрачное проксирование, балансировка нагрузки, защита системы от атак. Традиционно руткиты подразделяются на два больших класса: руткиты, работающие в пространстве пользователя (user-mode) и руткиты уровня ядра (kernel-mode).
 
Собственно, АРТ — только новый термин для самых изощренных из известных на сегодня атак вредоносного ПО класса malware. Поэтому аналитики считают, что 2011 г. в первую очередь будут характеризоваться тем, что эксперты по безопасности поднимут шум, говоря о MaaS к месту и не к месту. Тем не менее, появятся и реальные примеры проявления АРТ.
 
Компания предсказала, что самую большую угрозу MaaS будет представлять для Facebook. С другой стороны, предполагается, что правительства во всем мире станут активнее помогать защите интеллектуальной собственности.
 
Интересно, что в последние годы взлом стал более организованным. Хакеры начали подражать коммерческим рынкам, выпуская полностью укомплектованные средства. Более того, уже говорят о том, что следующий шаг — «one click» для тех или иных хакерских действий — будет реализован в ближайшее время.
 
… Запыленная манипула Александра неслась по старой дороге, проходящей вдоль моря. На узкой песчаной полосе пляжа безмятежно лежал Пифагор, подставив горячим солнечным лучам могучее тело. Александр резко осадил коня и воскликнул: — «Как я хотел бы сейчас лежать рядом с тобой!» — «Что ж, ложись» — ответил Пифагор. — «Но сначала я должен завоевать весь мир!»…
 
Сделайте лицо попроще, господа программеры. Сильно умные все стали. И слишком дорого ваши ошибки могут обойтись человечеству.
 

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+410
голосов

Напечатать Отправить другу

Читайте также

Все это пахнет дешевым поп-Юлизмом. Приличная часть этих заявлений об ошибках в ПО на самом деле скрывает человеческий фактор, PR и другие ляпы. Другая часть ну аж никак не может считаться "жутью".

Начнем с простого.
По инциденту с ГЛОНАСС, сами знаете, есть альтернативное мнение. Аналогично, есть разные объяснения падению Skype прямо перед IPO. Глюк на Arca NYSE Euronext подозрительно совпал с публикацией финансовых отчетов IBM и Apple... Про Windows vs Linux - улыбнуло. Способность MS к искажению реальности уступает только способности Apple. Дайте, пожалуйста, ссылку на источник.

Теперь о серьезном.
30 миллионов немецких кредитных карт Ну да, программисты Gemalto забыли про 2010 год, получился аналог Y2K. :) Только вот памяти на платежной карте обычно 4-128K, так что о сверхсложном коде говорить не приходится. Да и, как обычно, "слухи о моей смерти довольно преувеличены" - менее чем за неделю вышел фикс, а тем временем терминалы и банкоматы были перепрограммированы на работу с магнитной полосой. Gemalto сработали очень оперативно, сведя потенциальный ущерб в ~300M EUR к 6-10M.

У банка Chase из-за порчи данных в Oracle действительно два дня были проблемы ..с веб-сайтом! Ну, на самом деле они помучились, восстанавливая еще порядка 1000 заявок на кредиты от студентов и часть истории клиринга, но говорить о том, что лежал весь банк? Отделения, банкоматы и телефонный банкинг работал. Да и проблема здесь все равно не в багах Оракла, а в том, что какой-то умный архитектор завязал множество разных приложений на одну инстанцию БД. Жуть?

Google, собирающий данные из незашифрованных точек Wi-Fi - вроде давно закрытая тема. Да, собирают - IP, SSID. Именно на них работает Google Locator и миллион его альтернатив. Кто людям доктор, что они не включили шифрование? При чем здесь именно Google? Только при том, что можно полаять на слона. Жуть? Ошибки в ПО?

iPhone4 vs Alcatel-Lucent. Во-первых, это была официальная отмазка AT&T. Во-вторых, Apple известна своим тщательным подходом к соблюдению стандартов - еще первый iPhone успешно завешивал Wi-Fi точки всемогущей Cisco. Да и до сих пор Wi-Fi на iDevice'ах работает не со всеми точками, когда дело доходит до 802.1x. В третьих, где жуть? Что, раньше багов в прошивках не было?

Про сбои систем оповещения при торнадо тоже надо было внимательнее читать. Cирены можно было активировать по телефону, обычно на эти номера можно звонить только с определенных разрешенных телефонов. AT&T (странное совпадение) напутало и убрало ограничение, в итоге на эти телефоны периодически попадали рядовые граждане, неправильно вбивавшие номер. Где жуть? Вы уверены, что виноваты программеры?

Про "черный ящик" Toyota - ну надо же думать, перед тем как такое писать! "Черный ящик" (EDR) только записывает данные, и не включен в цепи управления. Как он может влиять на скорость??? Там суть скандала была совсем в другом, черные ящики проходили "свидетелем по делу". Toyota (да и на других производителей, Audi, например) по поводу "внезапного ускорения" атакуют с 2003 года, в то время как EDR появились в машинах только в 2007. Напоминает страшилки про "транзитный сервер" на выборах 2004. "Слышал звон, да не знаю, где он".

В общем, такое ощущение, Александр, что вы читали только заголовки. И вообще, это "КО" или газета "Факты и комментарии" (прочитайте заголовок по ссылке, понравится)? А "аналитеги", которых вы цитируете, явно оттуда. Наша миссия - запугивать людей трешем? Да, мы с каждым годом все больше зависим от ИТ. Да, shit happens. Да могут и люди пострадать. И да, всегда удобнее назначить крайним железо ("ой, комп заглючил", "ой, файл вытерся", "ой, у нас почта не работала"), чем признать вину.
Ну а что, если бы всю эту работу проделывала армия клерков с блокнотами и счетами, если бы мы до сих пор водили Жигули и обходились без мобильной связи, жизнь была бы лучше?

Доброго времени суток, Арсен
Что так сердито? По твоим же словам, все это подтверждается. При желании можно собрать множество примеров и чисто программистких ошибок, и добросовестную реализацию неверных изначально принципов. Разве что с ящиком я просмотрел: конечно, ложную фиксацию неконтролируемого ускорения. Уверен, что со временем многое будет выяляться и исправляться специальными тестовыми системами, гораздо более интеллектуальными, чем применяемые сейчас. А в целом имхо основная причина проблем именно в очень быстром развитии ИТ и трэша еще будет и будет.

Ну а зачем так трешово подавать "по верхам"? Здесь же не это (они продолжают радовать заголовками). Серьезные люди. Гораздо интереснее видеть серьезную аналитику и работу со специализированными источниками. По тому же Чейзу есть достаточно подробных материалов, чтобы написать заметку на тему "все яйца в одной корзине". Тем более, что один из их ИТшных боссов сказал, что выгоды от того, что все данные были в одной БД были сопоставимы с рисками. То ли они не знали, что такое Oracle RAC, то ли просто вселенски не повезло, и даже бекап не помог.

А лучше, напишите про то, как с помощью мобильных компьютеров Motorola продукция 1C выходит за пределы бухгалтерии, финансов и документооборота и начинает реально работать на складах, заводах, в магазинах и аптеках. Внедрений-то в Украине и России уже несчесть Ж:)

Вот этот последний абзац про 1С+мото с картинками - это кто-то важный из ПР-отдела компании, в которой Вы работаете, подошел, прочитал через плечо и под угрозой увольнения заставил написать или Ваше собственное творчество ??? В огороде бузына, в коде баги, а меня припёрло...

Обычно авторы блогов предлагают таким комментаторам ("автор, ты пиши не про это, а ты пиши ВОТ ПРО ЭТО, оно МЕНЯ больше печёт") пройти на известный официальный сайт символического направления от Каганова.

Ну вот, на тему ошибок в программном обеспечении теста Windows vs Linux: http://ko.com.ua/node/54670

да и еще как-то забыли про то, что в ПО (сложном и не очень) есть много недокументированных возможностей, например: удаленное управление и обновления ПО для АТС фирмы ericsson и Samsung, когда АТС сама звонит куда надо и обновляется.
+ забыли про промышленную электронику - там тоже есть дыры и ошибки в ПО управляющим техпроцессами.

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT