ПИНГВИН В КАРМАНЕ
MATRIX GL
ПОЛЕЗНЫЕ СОВЕТЫ

  Начав обзор событий первой половины августа вчерашним рассказом о выставке-конференциии LinuxWorld 2003 я, если честно, сознательно пошёл наперекор здравому смыслу, подсказывавшему, что первой и заглавной новостью после двухнедельного отпуска следует сделать не столь печальную, сколь поучительную историю, приключившуюся с FTP-архивом, принадлежащим известнейшей в мире open source организации Free Software Foundation (FSF, см. fsf.org): в конце концов, последствия LinuxWorld для всех нас если и будут ощутимы, то не сегодня и даже не завтра, а вот взлом вышеупомянутого FTP-сервера, остававшийся незамеченным на протяжении пяти (!) месяцев мог и наверняка аукнулся отдельным пользователям, вызвав нервную дрожь у других. И оттянув рассказ на день, я ни малейшим образом не желаю уменьшить значимость случившегося - просто было необходимо подобрать материал, которым с вами сегодня и поделюсь.

  Итак, началась эта история аж в марте - к счастью, нынешнего года - когда остающийся по сей день неизвестным злоумышленник сумел тайно получить права администратора на сервере gnuftp.gnu.org Сервер этот, находящийся в распоряжении FSF, задействован под проект GNU Project. Поскольку GNU является своего рода знаком качества, гарантирующим, что получившее его программное обеспечение действительно свободно, легко догадаться, что именно лежало на этом FTP-сервере - тысячи отдельных программ и пакетов, изданных под лицензией GNU GPL. Среди них были как малозначащие и редко используемые системные утилиты, так и пакеты, к помощи которых ежедневно прибегают миллионы человек во всём мире (в частности, компилятор языка Cи, GCC). Естественно, распространяются программы в форме исходных текстов.

  Оговорка про тексты не случайна. Самое страшное, что взломщик (впрочем, эксперты делают оговорку: с тем же успехом это могла быть и взломщица), получив всю полноту власти параллельно с основным администратором архива, мог сделать - попытаться незаметно подкорректировать тексты выложенных на сервере программ, внедрив в них шпионские "закладки". Такие случаи известны, а, учитывая популярность данного хранилища (всё ж таки центральный архив проекта GNU), жертвами махинации могли пасть тысячи пользователей: скачав подправленную версию программы и откомпилировав её на своей машине, такие пользователи могли в перспективе потерять всё. К счастью, как уверяют специалисты FSF - обнаружившие факт взлома в конце июля - самые страшные предположения не подтвердились: судя по всему, исходные тексты программ остались нетронутыми. Что делал взломщик почти полгода? Скорее всего, крал пароли клиентов FTP-сервера.

  Полностью детали произошедшего не разглашаются, но, если судить по пресс-релизам (см. ftp://ftp.gnu.org/MISSING-FILES.README), кража логинов и паролей пользователей сервера - единственное, чем злоумышленник занимался. Полученную информацию - опять же предположительно - он мог использовать для попыток проникновения на другие серверы (не секрет, что многие из нас используют один и тот же пароль несколько раз). Как много людей пострадало от такой деятельности - неизвестно. Так или иначе, в настоящий момент "дыра" на взломанном сервере закрыта, а всё программное обеспечение перепроверено.

  Из истории этой есть два интересных следствия. Прежде всего, любопытно то, как именно был осуществлён взлом. Все вы наслышаны о "злобных хакерах", которые только и делают, что ждут открытия их коллегами новой уязвимости в какой-то программе, чтобы быстро-быстро, пока разработчики программы не успели уязвимость залатать, воспользоваться ею для проникновения на чужую машину. Все слышали, но, наверное, мало кто верил в то, что такие супергерои действительно есть. История с gnuftp - живое подтверждение существования таких личностей. В марте была опубликована информация об уязвимости ptrace, посредством которой локальный пользователь в состоянии получить права администратора на Linux-компьютере. Между публикацией анонса и выходом "заплатки" прошла всего неделя - и взломщик gnuftp успел использовать это время с пользой для себя, как раз и завладев FTP-сервером GNU Project.

  Второе важное следствие заключается в том, можно ли и как защититься от таких проникновений. В самом деле, гарантировать, что больше взломов крупных веб-архивов с текстами свободных программ не будет, никто не может. Но каждый из нас способен гарантировать себя от установки на компьютер поддельной версии программы - изменённой без ведома её автора или официального распространителя. Для этого используются так называемая контрольная сумма и цифровая подпись.

  Контрольная сумма - штука очень простая: по сути, это сумма всех байт, составляющих ту программу, сумму для которой вы считаете. Конечно, на деле используется не просто побайтное суммирование, а более сложный алгоритм, который никогда не выдаст две одинаковых суммы для двух разных программ, но дела это не меняет: сегодня стандартом стали контрольные суммы, считаемые по алгоритму MD5. Каждая программа (в каком бы виде она ни распространялась) сопровождается такой суммой, представляющей длинное шестнадцатиричное число: что-нибудь вроде "0dc4d4fb1a5aabf63233471626656f70". Скачав программу из Сети, вам нужно обязательно проверить её MD5-сумму, что можно проделать с помощью имеющейся в каждом дистрибутиве Linux консольной утилиты md5sum (кстати, входящей в набор утилит, распространяемых GNU Project). Вот, к примеру, как считается контрольная сумма для файла под названием a.txt:

md5sum a.txt

  Сумму, полученную в результате работы md5sum на вашем компьютере, надо сравнить с той, которая была указана для оригинала программы - и если они не совпали, значит либо в процессе выкачки из Сети произошла ошибка, либо программа была кем-то изменена ещё на сервере. Работники FSF, опубликовали для всех программ, лежавших на взломанном FTP-сервере, список истинных контрольных сумм (см. ftp://ftp.gnu.org/before-2003-08-01.md5sums.asc), которыми следует воспользоваться в слуаче возникновения сомнений в неизменности выложенных на сервере программ.

  Что мешает злоумышленнику, изменившему программу, изменить и контрольную сумму, публикуемую для проверки? Мешает цифровая подпись: взгляните на список контрольных сумм, ссылка на который приведена в предыдущем абзаце - он подписан цифровым криптографическим ключом по алгоритму PGP (в теле файла есть надпись "PGP SIGNED"). Проверив файл с помощью свободной программы GnuPG (также входящей во многие Linux-дистрибутивы - в частности, в ALT Linux), можно убедиться, что он не был изменён: подделать или взломать эти ключи практически невозможно. Криптографические ключи - штука интересная и многосторонняя, использовать которую можно не только для проверки истинности списков контрольных сумм, но и для тайной переписки, идентификации личности сетевого собеседника и многого другого. Впрочем, это уже отдельная большая история - которой посвящено немало статей, в том числе и на русском языке (см. к примеру, старый, но не теряющий актуальности Русский Альбом PGP).

  В очередном Совете дня читайте про русификацию Linux в случае отсутствия таковой, и - к коротким новостям:

- IRC-бот Darkbot 7rc9
- сборщик новостей Straw 0.19
- файловый менеджер в духе KDE Krusader 1.25-beta1 и в духе Amiga Worker 2.8.1
- язык программирования LuaCheia alpha1
- мультимедийный многоязыковой словарь Zabaan 1.0.1b
- виртуальные миры Eternal Lands 0.7.8
- ваш Интернет-фотоальбом Pixory Beta 3.2
- аркадно-офисный симулятор Infernal Contractor II 0.1.1
- телефонная книга telbook 0.3

  Каюсь, путешествия затягивают, но - нечаянный полумесячный отпуск завершён и с сегодняшнего дня Knoppix.ru продолжит работу в прежнем ежедневном (за исключением субботы - по крайней мере на остаток лета) режиме. Первая половина августа выдалась щедрой на новости не только интересные, но и важные, поэтому, чтобы не пропустить что-нибудь значимое, процесс возвращения к действительности лучше растянуть на несколько дней. А начать логично с самого крупного события - события, можно сказать, мирового масштаба, что имело место в солнечной Калифорнии на прошлой неделе: с 4 по 7 августа в Сан-Франциско прошла выставка-конференция LinuxWorld 2003.

  Величина LinuxWorld - ежегодно проводимой два раза (зимняя сессия проходит в Нью-Йорке) - конечно, несравнима с электронными шоу общего плана вроде CeBIT, но в мире открытого кода с ней не может сравниться ничто. Представители 150 компаний, организаций и общественных групп со всей планеты, свыше двух десятков тысяч посетителей (до 30 тысяч по некоторым оценкам) - вот размах летней LinuxWorld 2003. Охватить столь серьёзное мероприятие в рамках одного обзора, конечно, нереально, можно выхватить лишь самые важные моменты. И прежде всего следует отметить свершившийся переход от демонстрационного шоу к действительно деловому собранию. Помните торвальдсовское "just for fun" ("по приколу")? Название, данное основателем Linux своей книге о свободной ОС, и хорошо охарактеризовавшее основной мотив, который движет многими энтузиастами, работающими над программным обеспечением с открытыми исходниками (согласитесь, очень многие работают с Linux интереса ради, корыстные мотивы часто отступает на второй план) - так вот это пресловутое just for fun отнюдь не мешает использованию Linux для решения самых серьёзных задач, и LinuxWorld 2003 - тому лучшее подтверждение. Очевидцы отмечают, что на выставке было очень мало детей и президентов - для этих "слоёв населения", посещающих выставки из любопытства и ради рекламы, нынешняя LinuxWorld потеряла свою привлекательность. Их место заняли руководители среднего звена - те, кто занимается непосредственно делами, ведёт переговоры и лично "двигает бизнес". Кстати, это подтверждается и интересным фактом из официальной статистики: около половины посетителей выставки никак не связаны с разработкой программного обеспечения - для них Linux стал просто рабочим инструментом.

  Сам Линус на выставке тоже был, но с удовольствием (он недолюбливает публичные выступления) уклонился от произнесения речей с трибуны. В настоящее время он с коллегами работает над завершением полировки ядра свободной ОС, выпустив уже третью предварительную тестовую версию 2.6.0 (см. Kernel.org). Но, конечно, недостатка в ораторах не было, а среди них самым заметным стало выступление Брюса Перенса (бывший лидер проекта Debian), который озвучил любопытное предложение: по мнению Перенса, дабы не дать возможности нечестным коммерсантам наживаться на трудах сообщества независимых разработчиков во вред последним, необходимо включить в свободные лицензии (вроде GNU GPL) пункт, который автоматически лишает пользователя права защищать этой лицензией свои продукты в случае, если данный пользователь обвинит в воровстве своего кода кого-то из коллег. Идея кажется сложной, но вспомните про то, что сейчас делает компания SCO - и вы поймёте, от чего хочет оградить open source-сообщество Брюс Перенс. SCO, настаивающая на том, что в "ничейную" Linux незаконно включены куски кода, принадлежащие только ей, угрожает всем бизнес-пользователям Linux судебным преследованием. И предлагает желающим оградить себя от такого преследования заплатить "отступные" - приобретя выпущенную SCO "коммерческую лицензию на Linux". Лицензия эта очень недёшева и стоит от 200 долларов за один компьютер, но покупатели в лице крупных компаний уже нашлись. В случае, если бы GPL включала пункт, предложенный Перенсом, попытка SCO заработать на чужом труде просто провалилась бы. Черновой вариант документа, кстати, уже существует - его разработали в организации Open Source Initiative.

  К истории SCO мы ещё вернёмся в ближайшие дни - ибо там есть о чём поговорить, включая судебный иск против этой компании, поданный Red Hat, и намерение юристов SCO оспорить легитимность лицензии GNU GPL. Но, возвращаясь к LinuxWorld, необходимо упомянуть ещё одно громкое заявление, сделанное на этой выставке - компаниями IBM и SuSE. Эти два гиганта (SuSE Linux считается вторым по популярности дистрибутивом планеты после Red Hat Linux) сумели получить сертификат соответствия ОС Linux международному стандарту Common Criteria. Точнее, версии SuSE Linux, работающей на сервере от IBM, выдан сертификат соответствия уровню EAL2 вышеупомянутого стандарта. В планах на ближайшие месяцы у IBM и SuSE - получение сертификатов на уровни EAL3 и EAL4, на последнем из которых сейчас находятся несколько проприетарных операционных систем (в их числе и Windows 2000). Что это значит? Только то, что Linux признан продуктом, удовлетворяющим по критериям надёжности самым строгим требованиям. А также то, что его дорога в государственные учреждения и крупные компании теперь будет проще - ведь стандарт Common Criteria общепризнан.

  На нынешней LinuxWorld обозначился и ещё один важный плацдарм, который свободной ОС предстоит захватить в единоличное пользование буквально в течение следующих 12 месяцев: если сегодня Linux является самой популярной операционной системой для серверов, то к концу следующего года она обещает стать и самой популярной системой для суперкомпьютеров. На настоящий момент под управлением Linux работает третий по мощности числогрыз планеты, к концу года его должен заменить суперкомпьютер, который построит Dell для Университета Иллинойса (пиковая скорость 17.7 терафлопс), в мае будущего года вступят в строй две мощных (11.2 и 12.4 терафлопса соответственно) Linux-машины от IBM и Fujitsu, а к концу 2004-го Cray обещает построить Linux-гиганта, который выдаст на-гора 40 триллионов операций с плавающей запятой (его поставят в лабораториях Sandia, в США)!

  К анонсам и событиям LinuxWorld мы ещё вернёмся не раз, пока же - обратите внимание на очередной Совет дня, повествующий об основах работы в консоли, и Форум, начавший работу на нашем сайте. И перейдём к свежим релизам:

- могучий вьюер Imgv 2.8.9
- сетевой монитор Network Probe 0.5 - лучший помощник сисадмина
- удобная программа для чтения news-конференций Pan 0.14.0.95
- универсальный KDE-архиватор KArchiver 3.0.5
- свободный биржевой тикер Keep It Simple Stock Quote 3.2
- Java Commander Java File Manager 0.5
- SMS-сендер gtkSMS 0.3.0pre1

  Сегодняшняя сводка включает обзор самых важных событий прошедших дней. Следующая, по всей видимости, выйдет лишь послезавтра. Не забывайте, что несмотря на нерегулярный выход новостей, наша служба продаж работает в прежнем режиме. Итак, к новостям: