|
|
- Knoppix - ДЛЯ ДЕЛА: ПРОФИ - Debian - ДЛЯ ДЕЛА: РОЛЛЫ - ArchLinux - ДЛЯ ДЕЛА: СОБЕРИ САМ - Gentoo - ДЛЯ ДЕЛА: ЛЁГКИЕ - TinyMe - ЗАЩИТА - Openwall - МУЛЬТИМЕДИЯ - Planet CCRMA - ПРИЛОЖЕНИЯ - OpenDisc - ДЛЯ ЗАБАВЫ - Линукс Геймер - ЭКСПЕРИМЕНТ - коЛинуксы - РОДНЯ - BSD-семейство - УСТАРЕВШИЕ - ASP Linux -
(2003 - 2011)
ПИНГВИН В КАРМАНЕ
|
Продолжая августовскую ретроспективу, было бы ошибкой не рассказать о продолжении истории компании SCO Group. Скандал, начавшийся ещё зимой, длится по сей день и успел обрасти такой массой деталей, что и вспомнить их все в одном обзоре, пожалуй, нереально. Но обрисовать происходящее на этом - самом горячем - направлении электронного фронта несомненно стоит: ведь от того, чем завершится битва сообщества open source с делягами из SCO Group, зависит будущее Linux. Впрочем, прежде чем перейти непосредственно к рассказу, давайте вспомним, вокруг чего поднята шумиха. Известно, что SCO Group принадлежат права на исходные тексты и сопутствующую интеллектуальную собственность операционной системы UNIX. Собственность свою SCO активно использует: во-первых, выпуская платную версию UNIX (UnixWare), во-вторых, предоставляя за деньги (лицензируя) на особых условиях сторонним компаниям. Одной из таких компаний, купивших часть прав на код UNIX у SCO, является IBM: она, в свою очередь, использует этот код в своей операционной системе AIX. Оговорка про "часть прав" очень важна: IBM лицензировавшая у SCO код, вправе использовать его только в некоторых продуктах. И уж точно не имеет права включать в состав свободной ОС Linux. Между тем, эксперты SCO зимой отыскали куски кода из UNIX, включенные в Linux. "Содран" был не только код, но даже комментарии, хранящиеся в исходных текстах UNIX. SCO назвала Linux "незаконной производной от UNIX" и начала искать виновных в краже. Первым подозрение пало на IBM: по мнению юристов SCO, программисты IBM, работая над своей версией Linux (для собственных серверо), и украли код UNIX. Иск, вчинённый SCO Голубому гиганту, тянет к сегодняшнему дню на 3 миллиарда долларов! Попутно SCO грозится привлечь к ответу рядовых пользователей Linux, использующих ОС в коммерческих целях (это прежде всего компании). Избежать претензий со стороны SCO можно приобретя у неё "лицензию на Linux" - стоит это удовольствие от 200 долларов за один компьютер. И, к сожалению, испугавшиеся уже есть: несколько компаний, входящих в список Fortune 500 (список крупнейших компаний планеты) уже приобрели у SCO её Linux-лицензию.
Но август, до начала которого SCO фактически единолично вела наступление, не встречая особых препонов, принёс и первые серьёзные попытки сопротивления. Тревожным звонком стало сообщение, сделанное представителем компании Red Hat (именно Red Hat Linux считается самым популярным из коммерческих дистрибутивов Linux) в день открытия выставки-конференции LinuxWorld 2003 (мы писали о ней пару дней назад). Red Hat обратилась к SCO через суд с требованием публично признать, что в коде Red Hat Linux нет никаких краденых элементов. Намерения Red Hat понятны: SCO, кричащая о незаконности Linux, распугивает и мелких, и крупных покупателей, и её необходимо остановить. Вскоре за Red Hat последовала IBM, подавшая иск против SCO: юристы Голубого гиганта утверждают, что поскольку SCO сама использовала лицензию GPL, у неё нет права называть Linux своей собственностью. Здесь необходимо сделать ещё одно отступление и вспомнить, что лицензия GPL считается главной среди свободных лицензий. Положения её просты: с программой, опубликованной под GPL, можно делать что вам заблагорассудится (изменять код, стыковать с другими программами, копировать и даже продавать) с единственным условием, которое требует, чтобы вы предоставили другим пользователям возможность столь же свободно работать с изменённой вами программой. Под GPL распространяется сама ОС Linux и тысячи других программ для неё и других операционных систем. SCO использовала элементы Linux в своих продуктах (в частности, в UnixWare), так что утверждение IBM имеет под собой почву.
Но юристы SCO тоже не бездействуют. Адвокаты компании заявили о том, что по их мнению сама лицензия GPL не имеет права на жизнь, поскольку противоречит положениям американских законов об авторском праве. GPL разрешает бесконтрольное копирование программ, тогда как законодательство США, якобы, позволяет пользователю сделать только одну копию для себя лично. Так это или нет - решать суду (который, кстати, состоится ещё нескоро - аж будущей весной), но важно понимать скрытую здесь опасность: ведь если GPL, легитимность которой до сих пор не обсуждалась в судебных процессах, окажется в конфликте с законами какой-то страны, под всю индустрию открытого кода будет заложена бомба. Впрочем, ответ сообщества open source на новую угрозу SCO последовал незамедлительно. Юристы Free Software Foundation (центр open source-движения) опубликовали анализ заявления SCO и назвали его поверхностным и не соответствующим действительности. Пока SCO пыталась запугать соперников, от неё начали потихоньку, без объяснения причин, отказываться бывшие коллеги. В этот понедельник в Лас-Вегасе открылась конференция пользователей и партнёров SCO - SCO Forum 2003, спонсировать который должны были, в частности, IBM и Intel. SCO уже включила их имена в список, рассылавшийся пресс-службой, однако обе компании от своего участия в SCO Forum отказались. Конечно, шоу открылось и без них, а главной темой на нём, как и ожидалось, стали судебные баталии SCO и непосредственно краденый код. Здесь необходимо упомянуть ещё один важный момент. SCO, кричащая о пропаже, так и не показала краденый код в открытую. Подписав обязательство о неразглашении сведений, на находки экспертов компании можно посмотреть - но поделиться увиденным через прессу, как вы понимаете, уже нельзя. Не принес перемен и SCO Forum - на котором хоть и были с помпой презентованы слайды, демонстрирующие некоторые куски из "миллиона краденых строк", но большей частью они оказались замазаны, дабы не выдать какие-то секреты. Чем всё закончится? Увы, сейчас трудно даже представить... В очередном Совете дня читайте, как дать системе знать об увеличившейся оперативной памяти, и - к коротким новостям: > населите ваш рабочий стол активными элементами с помощью GDesklets 0.12.1 Вы всегда можете обратиться к этой заметке, воспользовавшись адресом knoppix.ru/190803.shtml Начав обзор событий первой половины августа вчерашним рассказом о выставке-конференциии LinuxWorld 2003 я, если честно, сознательно пошёл наперекор здравому смыслу, подсказывавшему, что первой и заглавной новостью после двухнедельного отпуска следует сделать не столь печальную, сколь поучительную историю, приключившуюся с FTP-архивом, принадлежащим известнейшей в мире open source организации Free Software Foundation (FSF, см. fsf.org): в конце концов, последствия LinuxWorld для всех нас если и будут ощутимы, то не сегодня и даже не завтра, а вот взлом вышеупомянутого FTP-сервера, остававшийся незамеченным на протяжении пяти (!) месяцев мог и наверняка аукнулся отдельным пользователям, вызвав нервную дрожь у других. И оттянув рассказ на день, я ни малейшим образом не желаю уменьшить значимость случившегося - просто было необходимо подобрать материал, которым с вами сегодня и поделюсь. Итак, началась эта история аж в марте - к счастью, нынешнего года - когда остающийся по сей день неизвестным злоумышленник сумел тайно получить права администратора на сервере gnuftp.gnu.org Сервер этот, находящийся в распоряжении FSF, задействован под проект GNU Project. Поскольку GNU является своего рода знаком качества, гарантирующим, что получившее его программное обеспечение действительно свободно, легко догадаться, что именно лежало на этом FTP-сервере - тысячи отдельных программ и пакетов, изданных под лицензией GNU GPL. Среди них были как малозначащие и редко используемые системные утилиты, так и пакеты, к помощи которых ежедневно прибегают миллионы человек во всём мире (в частности, компилятор языка Cи, GCC). Естественно, распространяются программы в форме исходных текстов.
Оговорка про тексты не случайна. Самое страшное, что взломщик (впрочем, эксперты делают оговорку: с тем же успехом это могла быть и взломщица), получив всю полноту власти параллельно с основным администратором архива, мог сделать - попытаться незаметно подкорректировать тексты выложенных на сервере программ, внедрив в них шпионские "закладки". Такие случаи известны, а, учитывая популярность данного хранилища (всё ж таки центральный архив проекта GNU), жертвами махинации могли пасть тысячи пользователей: скачав подправленную версию программы и откомпилировав её на своей машине, такие пользователи могли в перспективе потерять всё. К счастью, как уверяют специалисты FSF - обнаружившие факт взлома в конце июля - самые страшные предположения не подтвердились: судя по всему, исходные тексты программ остались нетронутыми. Что делал взломщик почти полгода? Скорее всего, крал пароли клиентов FTP-сервера. Полностью детали произошедшего не разглашаются, но, если судить по пресс-релизам (см. ftp://ftp.gnu.org/MISSING-FILES.README), кража логинов и паролей пользователей сервера - единственное, чем злоумышленник занимался. Полученную информацию - опять же предположительно - он мог использовать для попыток проникновения на другие серверы (не секрет, что многие из нас используют один и тот же пароль несколько раз). Как много людей пострадало от такой деятельности - неизвестно. Так или иначе, в настоящий момент "дыра" на взломанном сервере закрыта, а всё программное обеспечение перепроверено. Из истории этой есть два интересных следствия. Прежде всего, любопытно то, как именно был осуществлён взлом. Все вы наслышаны о "злобных хакерах", которые только и делают, что ждут открытия их коллегами новой уязвимости в какой-то программе, чтобы быстро-быстро, пока разработчики программы не успели уязвимость залатать, воспользоваться ею для проникновения на чужую машину. Все слышали, но, наверное, мало кто верил в то, что такие супергерои действительно есть. История с gnuftp - живое подтверждение существования таких личностей. В марте была опубликована информация об уязвимости ptrace, посредством которой локальный пользователь в состоянии получить права администратора на Linux-компьютере. Между публикацией анонса и выходом "заплатки" прошла всего неделя - и взломщик gnuftp успел использовать это время с пользой для себя, как раз и завладев FTP-сервером GNU Project. Второе важное следствие заключается в том, можно ли и как защититься от таких проникновений. В самом деле, гарантировать, что больше взломов крупных веб-архивов с текстами свободных программ не будет, никто не может. Но каждый из нас способен гарантировать себя от установки на компьютер поддельной версии программы - изменённой без ведома её автора или официального распространителя. Для этого используются так называемая контрольная сумма и цифровая подпись. Контрольная сумма - штука очень простая: по сути, это сумма всех байт, составляющих ту программу, сумму для которой вы считаете. Конечно, на деле используется не просто побайтное суммирование, а более сложный алгоритм, который никогда не выдаст две одинаковых суммы для двух разных программ, но дела это не меняет: сегодня стандартом стали контрольные суммы, считаемые по алгоритму MD5. Каждая программа (в каком бы виде она ни распространялась) сопровождается такой суммой, представляющей длинное шестнадцатиричное число: что-нибудь вроде "0dc4d4fb1a5aabf63233471626656f70". Скачав программу из Сети, вам нужно обязательно проверить её MD5-сумму, что можно проделать с помощью имеющейся в каждом дистрибутиве Linux консольной утилиты md5sum (кстати, входящей в набор утилит, распространяемых GNU Project). Вот, к примеру, как считается контрольная сумма для файла под названием a.txt: md5sum a.txt Сумму, полученную в результате работы md5sum на вашем компьютере, надо сравнить с той, которая была указана для оригинала программы - и если они не совпали, значит либо в процессе выкачки из Сети произошла ошибка, либо программа была кем-то изменена ещё на сервере. Работники FSF, опубликовали для всех программ, лежавших на взломанном FTP-сервере, список истинных контрольных сумм (см. ftp://ftp.gnu.org/before-2003-08-01.md5sums.asc), которыми следует воспользоваться в слуаче возникновения сомнений в неизменности выложенных на сервере программ. Что мешает злоумышленнику, изменившему программу, изменить и контрольную сумму, публикуемую для проверки? Мешает цифровая подпись: взгляните на список контрольных сумм, ссылка на который приведена в предыдущем абзаце - он подписан цифровым криптографическим ключом по алгоритму PGP (в теле файла есть надпись "PGP SIGNED"). Проверив файл с помощью свободной программы GnuPG (также входящей во многие Linux-дистрибутивы - в частности, в ALT Linux), можно убедиться, что он не был изменён: подделать или взломать эти ключи практически невозможно. Криптографические ключи - штука интересная и многосторонняя, использовать которую можно не только для проверки истинности списков контрольных сумм, но и для тайной переписки, идентификации личности сетевого собеседника и многого другого. Впрочем, это уже отдельная большая история - которой посвящено немало статей, в том числе и на русском языке (см. к примеру, старый, но не теряющий актуальности Русский Альбом PGP). В очередном Совете дня читайте про русификацию Linux в случае отсутствия таковой, и - к коротким новостям: - IRC-бот Darkbot 7rc9 Вы всегда можете обратиться к этой заметке, воспользовавшись адресом knoppix.ru/180803.shtml Каюсь, путешествия затягивают, но - нечаянный полумесячный отпуск завершён и с сегодняшнего дня Knoppix.ru продолжит работу в прежнем ежедневном (за исключением субботы - по крайней мере на остаток лета) режиме. Первая половина августа выдалась щедрой на новости не только интересные, но и важные, поэтому, чтобы не пропустить что-нибудь значимое, процесс возвращения к действительности лучше растянуть на несколько дней. А начать логично с самого крупного события - события, можно сказать, мирового масштаба, что имело место в солнечной Калифорнии на прошлой неделе: с 4 по 7 августа в Сан-Франциско прошла выставка-конференция LinuxWorld 2003. Величина LinuxWorld - ежегодно проводимой два раза (зимняя сессия проходит в Нью-Йорке) - конечно, несравнима с электронными шоу общего плана вроде CeBIT, но в мире открытого кода с ней не может сравниться ничто. Представители 150 компаний, организаций и общественных групп со всей планеты, свыше двух десятков тысяч посетителей (до 30 тысяч по некоторым оценкам) - вот размах летней LinuxWorld 2003. Охватить столь серьёзное мероприятие в рамках одного обзора, конечно, нереально, можно выхватить лишь самые важные моменты. И прежде всего следует отметить свершившийся переход от демонстрационного шоу к действительно деловому собранию. Помните торвальдсовское "just for fun" ("по приколу")? Название, данное основателем Linux своей книге о свободной ОС, и хорошо охарактеризовавшее основной мотив, который движет многими энтузиастами, работающими над программным обеспечением с открытыми исходниками (согласитесь, очень многие работают с Linux интереса ради, корыстные мотивы часто отступает на второй план) - так вот это пресловутое just for fun отнюдь не мешает использованию Linux для решения самых серьёзных задач, и LinuxWorld 2003 - тому лучшее подтверждение. Очевидцы отмечают, что на выставке было очень мало детей и президентов - для этих "слоёв населения", посещающих выставки из любопытства и ради рекламы, нынешняя LinuxWorld потеряла свою привлекательность. Их место заняли руководители среднего звена - те, кто занимается непосредственно делами, ведёт переговоры и лично "двигает бизнес". Кстати, это подтверждается и интересным фактом из официальной статистики: около половины посетителей выставки никак не связаны с разработкой программного обеспечения - для них Linux стал просто рабочим инструментом.
Сам Линус на выставке тоже был, но с удовольствием (он недолюбливает публичные выступления) уклонился от произнесения речей с трибуны. В настоящее время он с коллегами работает над завершением полировки ядра свободной ОС, выпустив уже третью предварительную тестовую версию 2.6.0 (см. Kernel.org). Но, конечно, недостатка в ораторах не было, а среди них самым заметным стало выступление Брюса Перенса (бывший лидер проекта Debian), который озвучил любопытное предложение: по мнению Перенса, дабы не дать возможности нечестным коммерсантам наживаться на трудах сообщества независимых разработчиков во вред последним, необходимо включить в свободные лицензии (вроде GNU GPL) пункт, который автоматически лишает пользователя права защищать этой лицензией свои продукты в случае, если данный пользователь обвинит в воровстве своего кода кого-то из коллег. Идея кажется сложной, но вспомните про то, что сейчас делает компания SCO - и вы поймёте, от чего хочет оградить open source-сообщество Брюс Перенс. SCO, настаивающая на том, что в "ничейную" Linux незаконно включены куски кода, принадлежащие только ей, угрожает всем бизнес-пользователям Linux судебным преследованием. И предлагает желающим оградить себя от такого преследования заплатить "отступные" - приобретя выпущенную SCO "коммерческую лицензию на Linux". Лицензия эта очень недёшева и стоит от 200 долларов за один компьютер, но покупатели в лице крупных компаний уже нашлись. В случае, если бы GPL включала пункт, предложенный Перенсом, попытка SCO заработать на чужом труде просто провалилась бы. Черновой вариант документа, кстати, уже существует - его разработали в организации Open Source Initiative.
К истории SCO мы ещё вернёмся в ближайшие дни - ибо там есть о чём поговорить, включая судебный иск против этой компании, поданный Red Hat, и намерение юристов SCO оспорить легитимность лицензии GNU GPL. Но, возвращаясь к LinuxWorld, необходимо упомянуть ещё одно громкое заявление, сделанное на этой выставке - компаниями IBM и SuSE. Эти два гиганта (SuSE Linux считается вторым по популярности дистрибутивом планеты после Red Hat Linux) сумели получить сертификат соответствия ОС Linux международному стандарту Common Criteria. Точнее, версии SuSE Linux, работающей на сервере от IBM, выдан сертификат соответствия уровню EAL2 вышеупомянутого стандарта. В планах на ближайшие месяцы у IBM и SuSE - получение сертификатов на уровни EAL3 и EAL4, на последнем из которых сейчас находятся несколько проприетарных операционных систем (в их числе и Windows 2000). Что это значит? Только то, что Linux признан продуктом, удовлетворяющим по критериям надёжности самым строгим требованиям. А также то, что его дорога в государственные учреждения и крупные компании теперь будет проще - ведь стандарт Common Criteria общепризнан.
На нынешней LinuxWorld обозначился и ещё один важный плацдарм, который свободной ОС предстоит захватить в единоличное пользование буквально в течение следующих 12 месяцев: если сегодня Linux является самой популярной операционной системой для серверов, то к концу следующего года она обещает стать и самой популярной системой для суперкомпьютеров. На настоящий момент под управлением Linux работает третий по мощности числогрыз планеты, к концу года его должен заменить суперкомпьютер, который построит Dell для Университета Иллинойса (пиковая скорость 17.7 терафлопс), в мае будущего года вступят в строй две мощных (11.2 и 12.4 терафлопса соответственно) Linux-машины от IBM и Fujitsu, а к концу 2004-го Cray обещает построить Linux-гиганта, который выдаст на-гора 40 триллионов операций с плавающей запятой (его поставят в лабораториях Sandia, в США)! К анонсам и событиям LinuxWorld мы ещё вернёмся не раз, пока же - обратите внимание на очередной Совет дня, повествующий об основах работы в консоли, и Форум, начавший работу на нашем сайте. И перейдём к свежим релизам: - могучий вьюер Imgv 2.8.9 Вы всегда можете обратиться к этой заметке, воспользовавшись адресом knoppix.ru/170803.shtml |
|||||||||||||||||||||||||||||||||||
|
материалов cайта ссылка на Knoppix.ru обязательна (c) Knoppix.ru 2003 - 12 |
||||||||||||||||||||||||||||||||||||
