Сайбержуть, или Горе от ума

1 февраль, 2011 - 12:14Александр Черников
 
Этот закон давно известен и часто приводит в уныние, например, тестировщиков ПО: чем сложнее и объемнее становится программный код, тем большее количество ошибок закрадывается в него, причем удельная величина в расчете на число строк кода примерно постоянна. Вот что принес 2010 г.
 
Программер, жжош, пеши исчо!
 
·      McAfee в апреле выпустила обновление ПО, чтобы защитить компьютеры от вредоносных файлов, которые были внесены для этого в специальный список. Каким-то образом в него попал файл из состава Windows. ПО McAfee не долго думая удалило его, что привело в непрерывному циклу перезагрузки. Корпорации некоторое время были в шоке.
 
·      В конце декабря на 24 часа упал Skype, заставив поволноваться 560 млн пользователей во всем мире.
 
·      Ошибка выбора времени для обновления ПО на электронной бирже Arca NYSE Euronext привела к тому, что все неожиданно подешевело почти на 10%.
 
·      В ноябре анализ ядра смартфонов Google Android выявил 88 брешей в безопасности, которые могли использоваться для снятия с них личной информации пользователей.
 
·      Facebook также имел бреши, которые возможно, позволяли хакерам изменять информацию о профиле и настройки конфиденциальности для отдельных страниц.
 
·      Программное обеспечение СУБД онлайн-банка Чейза, поставляемое сторонней компанией, исказило информацию в системах и два дня банк не работал.
 
·      «Черный ящик» Toyota неправильно записывал показания скорости, что вызывало самопроизвольное ускорение автомобилей.
 
·      Большое количество запросов на закачки от iPhone 4 выявило недостатки в ПО для 3G сетевого оборудования Alcatel-Lucent, заставив пользователей iPhone4G изнывать от аномально низкой скорости закачки.
 
·      В начале 2010 г. Google признала, что в течение прошлых трех лет «неосторожно собирала частные данные в сетях WiFi» в рамках исследования «уличного трафика».
 
·      В начале года 30 миллионов немецких кредитных карт временно перестали быть актуальными из-за ошибки ПО, которая не позволила перевести год.
 
·      Windows и Linux шли на равных в соревновании на скорость суперкомпьютеров, пока ошибка ПО в пакете, разработанном для управления тестом Microsoft помешала Windows бороться за победу (или по крайней мере соответствовать Linux).
 
·      В середине 2010 было много систем аварийного реагирования (по крайней мере, в США), которые по вине ПО работали со сбоями при торнадо и других стихийных бедствиях. Еще страшнее то, что сложные медицинские устройства (в частности, электронные капельницы и системы диализа) также имели проблемы с ПО.

 Вот такие пироги. Да, собственно, давно уже чувствовалось, что все становится слишком сложным, и единственный способ избежать подобных проблем — вообще не иметь ничего сложнее телевизора.

На закуску: (ну прям не знаешь, радоваться или плакать). В декабре был произведен успешный на старте запуск трех последних навигационных спутников системы GLONASS. Однако сразу после запуска программная ошибка заставила ракету-носителя «Протон-M» отклониться от курса и она улетела в сторону Гавайских островов. — То есть и в пределах СНГ все как «у них» — сложные програмы пишутся, но с ошибками :).

Сайбержуть, или Горе от ума

Пепел Мааса стучит в мое сердце
 
Вопросы безопасности, честно говоря, уже набили оскому — только ленивый не пишет сегодня о захватывающих дух страшных атаках на системы и сети. Поэтому отдельный пост по данной тематике я писать не буду. Упомяну только одну относительно новую тенденцию, которая, вероятно, может быть связана с описанными выше случаями.
 
Аналитики по безопасности из WatchGuard Technologies выпустили свои предсказания главных проблем IT-безопасности на 2011 г. Среди них технологии VOIP, бреши в сетях social media и общие постоянные угрозы (Advanced Persistent Threats, APTs) для бизнеса. Главные тенденции на 2011 г. включают распространение Malware-as-a-Service (МааS) и атаки на сайты социальных сетей.
 
APTs создаются таким образом, чтобы оставаться скрытыми в пределах сети жертвы или хозяина в течение длительного периода времени — как правило, при использовании мощных rootkit-технологий*, постоянной чистки, и медленных каналов управления. Они реализуют самые современные способы нападения, и, кроме того, инфицируют компьютеры и устанавливают не него разнообразное malware, используя уже известные методы распространения.
 
* Rootkit-технологии используются для таких задач, как сокрытие действий атакующего, подмена выдачи браузера, прозрачное проксирование, балансировка нагрузки, защита системы от атак. Традиционно руткиты подразделяются на два больших класса: руткиты, работающие в пространстве пользователя (user-mode) и руткиты уровня ядра (kernel-mode).
 
Собственно, АРТ — только новый термин для самых изощренных из известных на сегодня атак вредоносного ПО класса malware. Поэтому аналитики считают, что 2011 г. в первую очередь будут характеризоваться тем, что эксперты по безопасности поднимут шум, говоря о MaaS к месту и не к месту. Тем не менее, появятся и реальные примеры проявления АРТ.
 
Компания предсказала, что самую большую угрозу MaaS будет представлять для Facebook. С другой стороны, предполагается, что правительства во всем мире станут активнее помогать защите интеллектуальной собственности.
 
Интересно, что в последние годы взлом стал более организованным. Хакеры начали подражать коммерческим рынкам, выпуская полностью укомплектованные средства. Более того, уже говорят о том, что следующий шаг — «one click» для тех или иных хакерских действий — будет реализован в ближайшее время.
 
… Запыленная манипула Александра неслась по старой дороге, проходящей вдоль моря. На узкой песчаной полосе пляжа безмятежно лежал Пифагор, подставив горячим солнечным лучам могучее тело. Александр резко осадил коня и воскликнул: — «Как я хотел бы сейчас лежать рядом с тобой!» — «Что ж, ложись» — ответил Пифагор. — «Но сначала я должен завоевать весь мир!»…
 
Сделайте лицо попроще, господа программеры. Сильно умные все стали. И слишком дорого ваши ошибки могут обойтись человечеству.