|
|
- Knoppix - ДЛЯ ДЕЛА: ПРОФИ - Debian - ДЛЯ ДЕЛА: РОЛЛЫ - ArchLinux - ДЛЯ ДЕЛА: СОБЕРИ САМ - Gentoo - ДЛЯ ДЕЛА: ЛЁГКИЕ - TinyMe - ЗАЩИТА - Openwall - МУЛЬТИМЕДИЯ - Planet CCRMA - ПРИЛОЖЕНИЯ - OpenDisc - ДЛЯ ЗАБАВЫ - Линукс Геймер - ЭКСПЕРИМЕНТ - коЛинуксы - РОДНЯ - BSD-семейство - УСТАРЕВШИЕ - ASP Linux -
(2003 - 2011)
ПИНГВИН В КАРМАНЕ
|
Честное слово, наблюдая из тихого Линукс-уголка за тем, как мир Microsoft Windows содрогается в припадке очередной глобальной эпидемии, невозможно пожелать лучшего пристанища. Да, вероятно, обретя популярность, сравнимую с популярностью Windows, Linux тоже получит свои эпидемии, от которых особенно - как и везде - будут страдать начинающие пользователи, не успевшие освоить правила безопасного обращения с системой (к 2008-му году свободной ОС обещают 20% долю рынка десктопов), но пока этого не произошло, Linux остаётся безусловно более надёжной ОСью, нежели продукт от Microsoft. И чем дальше - тем больней отзываются любые на неё нападки. Впрочем, об этом речь шла вчера, сегодня же давайте обратим внимание на новости более приятные. Рассказывая во вчерашней Сводке о демонстрации компанией SCO слайдов, запечатлевших "краденый" из UNIX код, я упомянул, что ключевые места на слайдах были замазаны. Волею случая снимки попали в руки Linux-общественности и оказалось, что не всё так плохо. Взгляните на иллюстрацию: код UNIX действительно заменён абракадаброй, но строки из ядра Linux, приведённые справа для сравнения, оставлены неизменными. Вот он, один из тех самых уворованных кусков, о которых SCO кричит на всех углах уже добрых полгода. Действительно ли он украден? Вопрос этот интересует сегодня приверженцев Linux со всего мира - и, естественно, просочившиеся фотографии не оставили без внимания. На сайте LWN.net был опубликован замечательный анализ данного куска, с совершенно однозначным выводом: SCO лжёт.
Собственно анализ прост и сводится к следующим рассуждениям. Раз SCO демонстрирует код в качестве примера того, что у неё украли, права на фрагмент программы, изображённый на фото, должны принадлежать ей же. Так ли это? К счастью, нет. Поиск, выполненный в исходных текстах ядра Linux ветви 2.4, приводит к тому же отрезку, расположенному в файле функции управления памятью malloc.c Добавлен в Linux он был специалистами компании SGI (в этом нет ничего удивительного: код Linux пишется совместно не только энтузиастами-одиночками, но и работниками различных компаний), но задолго до этого использовался во всех версиях UNIX, уходя корнями в 1973 год, когда и был написан Деннисом Ричи или Кеннетом Томпсоном в лаборатории компании AT&T. Код существует в нескольких версиях и широко публиковался, в том числе под открытой лицензией (разновидностью лицензии BSD) самой SCO и без ограничений вовсе Денисом Ричи. Известный в мире открытого кода Брюс Перенс (бывший лидер проекта Debian), подтверждает находку своих коллег: с такими доказательствами SCO обречена на провал в суде. Ну а Linux продолжает своё шествие по планете. Наладонным машинкам семейства Sharp Zaurus, бывшим до настоящего момента единственными в своём классе более-менее серьёзными мобильными компьютерами под управлением свободной ОС, в сентябре появится хорошая альтернатива. Выпустить её собирается компания Softfield, которой досталось интеллектуальное наследство наделавшей много шуму три года назад Agenda Computing. Agenda была известна своим наладонником Agenda VR3: замечательной бесклавиатурной машинкой, своими размерами близкой к Palm'ам, а по функциональности превосходившей всех конкурентов - ведь VR3 работала под настоящей Linux. В отличие от операционных систем, созданных специально с прицелом на наладонники и портативные машины (WindowsCE, Symbian OS, PalmOS), и являющихся самостоятельными продуктами, для которых необходимо написание нового программного обеспечения, Линукс остаётся Линуксом и позволяет запускать те же программы, что работают с ним на десктопах. Конечно, определённые ограничения здесь есть - вносимые прежде всего скромным объёмом оперативной памяти, малыми размерами экрана, отсутствием клавиатуры - но в общем и целом потенциал Linux-наладонника на порядок выше конкурирующих изделий с другими ОСями. VR3 с маленьким (160х240) монохромным дисплеем и памятью в 8 мегабайт, продавался скромно, а отдельные его экземпляры даже достигли России. По сегодняшним меркам эта машинка, конечно, смотрится анахронизмом. Но у неё - достойный потомок. Softfield, которой достались активы Agenda, использовала их для создания вполне современного наладонника MX-7.
MX-7 основан на ARM-совместимом процессоре с тактовой частотой 200 МГц, наделён сенсорным 3.5-дюймовым дисплеем c разрешением 240х320 (65 тысяч цветов), 64 Мбайт оперативной памяти и 32 Мбайт постоянной (флэш), разъёмами USB 1.1, RS232 (старый добрый COM-порт) и PS/2 (для внешней мыши или клавиатуры), слотом расширения для карт памяти и устройств SecureDigital/MMC, звуковым выходом. Работает машинка под управлением версии Linux на ядре 2.4.18, графический интерфейс построен на движке Qt (тот же, на котором основан KDE). Технические параметры позволяют многое - и, как утверждают разработчики, MX-7 в состоянии запускать приложения, написанные и для Zaurus, и для обычных компьютеров: так, после компиляции из исходников, работает файловый менеджер Konqueror. Отличная особенность новинки - её цена, которая должна составить всего 300 долларов. В очередном Совете дня читайте про монтирование дисков, и - к коротким новостям: > скорый на руку спам-детектор bogofilter 0.14.5.1 (Current) Вы всегда можете обратиться к этой заметке, воспользовавшись адресом knoppix.ru/200803.shtml Продолжая августовскую ретроспективу, было бы ошибкой не рассказать о продолжении истории компании SCO Group. Скандал, начавшийся ещё зимой, длится по сей день и успел обрасти такой массой деталей, что и вспомнить их все в одном обзоре, пожалуй, нереально. Но обрисовать происходящее на этом - самом горячем - направлении электронного фронта несомненно стоит: ведь от того, чем завершится битва сообщества open source с делягами из SCO Group, зависит будущее Linux. Впрочем, прежде чем перейти непосредственно к рассказу, давайте вспомним, вокруг чего поднята шумиха. Известно, что SCO Group принадлежат права на исходные тексты и сопутствующую интеллектуальную собственность операционной системы UNIX. Собственность свою SCO активно использует: во-первых, выпуская платную версию UNIX (UnixWare), во-вторых, предоставляя за деньги (лицензируя) на особых условиях сторонним компаниям. Одной из таких компаний, купивших часть прав на код UNIX у SCO, является IBM: она, в свою очередь, использует этот код в своей операционной системе AIX. Оговорка про "часть прав" очень важна: IBM лицензировавшая у SCO код, вправе использовать его только в некоторых продуктах. И уж точно не имеет права включать в состав свободной ОС Linux. Между тем, эксперты SCO зимой отыскали куски кода из UNIX, включенные в Linux. "Содран" был не только код, но даже комментарии, хранящиеся в исходных текстах UNIX. SCO назвала Linux "незаконной производной от UNIX" и начала искать виновных в краже. Первым подозрение пало на IBM: по мнению юристов SCO, программисты IBM, работая над своей версией Linux (для собственных серверо), и украли код UNIX. Иск, вчинённый SCO Голубому гиганту, тянет к сегодняшнему дню на 3 миллиарда долларов! Попутно SCO грозится привлечь к ответу рядовых пользователей Linux, использующих ОС в коммерческих целях (это прежде всего компании). Избежать претензий со стороны SCO можно приобретя у неё "лицензию на Linux" - стоит это удовольствие от 200 долларов за один компьютер. И, к сожалению, испугавшиеся уже есть: несколько компаний, входящих в список Fortune 500 (список крупнейших компаний планеты) уже приобрели у SCO её Linux-лицензию.
Но август, до начала которого SCO фактически единолично вела наступление, не встречая особых препонов, принёс и первые серьёзные попытки сопротивления. Тревожным звонком стало сообщение, сделанное представителем компании Red Hat (именно Red Hat Linux считается самым популярным из коммерческих дистрибутивов Linux) в день открытия выставки-конференции LinuxWorld 2003 (мы писали о ней пару дней назад). Red Hat обратилась к SCO через суд с требованием публично признать, что в коде Red Hat Linux нет никаких краденых элементов. Намерения Red Hat понятны: SCO, кричащая о незаконности Linux, распугивает и мелких, и крупных покупателей, и её необходимо остановить. Вскоре за Red Hat последовала IBM, подавшая иск против SCO: юристы Голубого гиганта утверждают, что поскольку SCO сама использовала лицензию GPL, у неё нет права называть Linux своей собственностью. Здесь необходимо сделать ещё одно отступление и вспомнить, что лицензия GPL считается главной среди свободных лицензий. Положения её просты: с программой, опубликованной под GPL, можно делать что вам заблагорассудится (изменять код, стыковать с другими программами, копировать и даже продавать) с единственным условием, которое требует, чтобы вы предоставили другим пользователям возможность столь же свободно работать с изменённой вами программой. Под GPL распространяется сама ОС Linux и тысячи других программ для неё и других операционных систем. SCO использовала элементы Linux в своих продуктах (в частности, в UnixWare), так что утверждение IBM имеет под собой почву.
Но юристы SCO тоже не бездействуют. Адвокаты компании заявили о том, что по их мнению сама лицензия GPL не имеет права на жизнь, поскольку противоречит положениям американских законов об авторском праве. GPL разрешает бесконтрольное копирование программ, тогда как законодательство США, якобы, позволяет пользователю сделать только одну копию для себя лично. Так это или нет - решать суду (который, кстати, состоится ещё нескоро - аж будущей весной), но важно понимать скрытую здесь опасность: ведь если GPL, легитимность которой до сих пор не обсуждалась в судебных процессах, окажется в конфликте с законами какой-то страны, под всю индустрию открытого кода будет заложена бомба. Впрочем, ответ сообщества open source на новую угрозу SCO последовал незамедлительно. Юристы Free Software Foundation (центр open source-движения) опубликовали анализ заявления SCO и назвали его поверхностным и не соответствующим действительности. Пока SCO пыталась запугать соперников, от неё начали потихоньку, без объяснения причин, отказываться бывшие коллеги. В этот понедельник в Лас-Вегасе открылась конференция пользователей и партнёров SCO - SCO Forum 2003, спонсировать который должны были, в частности, IBM и Intel. SCO уже включила их имена в список, рассылавшийся пресс-службой, однако обе компании от своего участия в SCO Forum отказались. Конечно, шоу открылось и без них, а главной темой на нём, как и ожидалось, стали судебные баталии SCO и непосредственно краденый код. Здесь необходимо упомянуть ещё один важный момент. SCO, кричащая о пропаже, так и не показала краденый код в открытую. Подписав обязательство о неразглашении сведений, на находки экспертов компании можно посмотреть - но поделиться увиденным через прессу, как вы понимаете, уже нельзя. Не принес перемен и SCO Forum - на котором хоть и были с помпой презентованы слайды, демонстрирующие некоторые куски из "миллиона краденых строк", но большей частью они оказались замазаны, дабы не выдать какие-то секреты. Чем всё закончится? Увы, сейчас трудно даже представить... В очередном Совете дня читайте, как дать системе знать об увеличившейся оперативной памяти, и - к коротким новостям: > населите ваш рабочий стол активными элементами с помощью GDesklets 0.12.1 Вы всегда можете обратиться к этой заметке, воспользовавшись адресом knoppix.ru/190803.shtml Начав обзор событий первой половины августа вчерашним рассказом о выставке-конференциии LinuxWorld 2003 я, если честно, сознательно пошёл наперекор здравому смыслу, подсказывавшему, что первой и заглавной новостью после двухнедельного отпуска следует сделать не столь печальную, сколь поучительную историю, приключившуюся с FTP-архивом, принадлежащим известнейшей в мире open source организации Free Software Foundation (FSF, см. fsf.org): в конце концов, последствия LinuxWorld для всех нас если и будут ощутимы, то не сегодня и даже не завтра, а вот взлом вышеупомянутого FTP-сервера, остававшийся незамеченным на протяжении пяти (!) месяцев мог и наверняка аукнулся отдельным пользователям, вызвав нервную дрожь у других. И оттянув рассказ на день, я ни малейшим образом не желаю уменьшить значимость случившегося - просто было необходимо подобрать материал, которым с вами сегодня и поделюсь. Итак, началась эта история аж в марте - к счастью, нынешнего года - когда остающийся по сей день неизвестным злоумышленник сумел тайно получить права администратора на сервере gnuftp.gnu.org Сервер этот, находящийся в распоряжении FSF, задействован под проект GNU Project. Поскольку GNU является своего рода знаком качества, гарантирующим, что получившее его программное обеспечение действительно свободно, легко догадаться, что именно лежало на этом FTP-сервере - тысячи отдельных программ и пакетов, изданных под лицензией GNU GPL. Среди них были как малозначащие и редко используемые системные утилиты, так и пакеты, к помощи которых ежедневно прибегают миллионы человек во всём мире (в частности, компилятор языка Cи, GCC). Естественно, распространяются программы в форме исходных текстов.
Оговорка про тексты не случайна. Самое страшное, что взломщик (впрочем, эксперты делают оговорку: с тем же успехом это могла быть и взломщица), получив всю полноту власти параллельно с основным администратором архива, мог сделать - попытаться незаметно подкорректировать тексты выложенных на сервере программ, внедрив в них шпионские "закладки". Такие случаи известны, а, учитывая популярность данного хранилища (всё ж таки центральный архив проекта GNU), жертвами махинации могли пасть тысячи пользователей: скачав подправленную версию программы и откомпилировав её на своей машине, такие пользователи могли в перспективе потерять всё. К счастью, как уверяют специалисты FSF - обнаружившие факт взлома в конце июля - самые страшные предположения не подтвердились: судя по всему, исходные тексты программ остались нетронутыми. Что делал взломщик почти полгода? Скорее всего, крал пароли клиентов FTP-сервера. Полностью детали произошедшего не разглашаются, но, если судить по пресс-релизам (см. ftp://ftp.gnu.org/MISSING-FILES.README), кража логинов и паролей пользователей сервера - единственное, чем злоумышленник занимался. Полученную информацию - опять же предположительно - он мог использовать для попыток проникновения на другие серверы (не секрет, что многие из нас используют один и тот же пароль несколько раз). Как много людей пострадало от такой деятельности - неизвестно. Так или иначе, в настоящий момент "дыра" на взломанном сервере закрыта, а всё программное обеспечение перепроверено. Из истории этой есть два интересных следствия. Прежде всего, любопытно то, как именно был осуществлён взлом. Все вы наслышаны о "злобных хакерах", которые только и делают, что ждут открытия их коллегами новой уязвимости в какой-то программе, чтобы быстро-быстро, пока разработчики программы не успели уязвимость залатать, воспользоваться ею для проникновения на чужую машину. Все слышали, но, наверное, мало кто верил в то, что такие супергерои действительно есть. История с gnuftp - живое подтверждение существования таких личностей. В марте была опубликована информация об уязвимости ptrace, посредством которой локальный пользователь в состоянии получить права администратора на Linux-компьютере. Между публикацией анонса и выходом "заплатки" прошла всего неделя - и взломщик gnuftp успел использовать это время с пользой для себя, как раз и завладев FTP-сервером GNU Project. Второе важное следствие заключается в том, можно ли и как защититься от таких проникновений. В самом деле, гарантировать, что больше взломов крупных веб-архивов с текстами свободных программ не будет, никто не может. Но каждый из нас способен гарантировать себя от установки на компьютер поддельной версии программы - изменённой без ведома её автора или официального распространителя. Для этого используются так называемая контрольная сумма и цифровая подпись. Контрольная сумма - штука очень простая: по сути, это сумма всех байт, составляющих ту программу, сумму для которой вы считаете. Конечно, на деле используется не просто побайтное суммирование, а более сложный алгоритм, который никогда не выдаст две одинаковых суммы для двух разных программ, но дела это не меняет: сегодня стандартом стали контрольные суммы, считаемые по алгоритму MD5. Каждая программа (в каком бы виде она ни распространялась) сопровождается такой суммой, представляющей длинное шестнадцатиричное число: что-нибудь вроде "0dc4d4fb1a5aabf63233471626656f70". Скачав программу из Сети, вам нужно обязательно проверить её MD5-сумму, что можно проделать с помощью имеющейся в каждом дистрибутиве Linux консольной утилиты md5sum (кстати, входящей в набор утилит, распространяемых GNU Project). Вот, к примеру, как считается контрольная сумма для файла под названием a.txt: md5sum a.txt Сумму, полученную в результате работы md5sum на вашем компьютере, надо сравнить с той, которая была указана для оригинала программы - и если они не совпали, значит либо в процессе выкачки из Сети произошла ошибка, либо программа была кем-то изменена ещё на сервере. Работники FSF, опубликовали для всех программ, лежавших на взломанном FTP-сервере, список истинных контрольных сумм (см. ftp://ftp.gnu.org/before-2003-08-01.md5sums.asc), которыми следует воспользоваться в слуаче возникновения сомнений в неизменности выложенных на сервере программ. Что мешает злоумышленнику, изменившему программу, изменить и контрольную сумму, публикуемую для проверки? Мешает цифровая подпись: взгляните на список контрольных сумм, ссылка на который приведена в предыдущем абзаце - он подписан цифровым криптографическим ключом по алгоритму PGP (в теле файла есть надпись "PGP SIGNED"). Проверив файл с помощью свободной программы GnuPG (также входящей во многие Linux-дистрибутивы - в частности, в ALT Linux), можно убедиться, что он не был изменён: подделать или взломать эти ключи практически невозможно. Криптографические ключи - штука интересная и многосторонняя, использовать которую можно не только для проверки истинности списков контрольных сумм, но и для тайной переписки, идентификации личности сетевого собеседника и многого другого. Впрочем, это уже отдельная большая история - которой посвящено немало статей, в том числе и на русском языке (см. к примеру, старый, но не теряющий актуальности Русский Альбом PGP). В очередном Совете дня читайте про русификацию Linux в случае отсутствия таковой, и - к коротким новостям: - IRC-бот Darkbot 7rc9 Вы всегда можете обратиться к этой заметке, воспользовавшись адресом knoppix.ru/180803.shtml |
|||||||||||||||||||||||||||||||||||
|
материалов cайта ссылка на Knoppix.ru обязательна (c) Knoppix.ru 2003 - 12 |
||||||||||||||||||||||||||||||||||||
