Цифровой журнал «Компьютерра» № 161

Авторов Коллектив

IT-рынок

 

 

Чему роботы из Lego смогут научить российских школьников

Андрей Письменный

Опубликовано 18 февраля 2013

Вряд ли кому-то нужно объяснять, что такое конструктор Lego: для детей это один из главных предметов желания наряду с моделями машинок, куклами «Барби» и продуктами Apple. Впрочем, наборы Lego Mindstorms привлекают не только детей: в эти комплекты входят программируемый модуль, моторы и датчики, из которых можно в два счёта соорудить настоящего робота, а затем запрограммировать его. Чего только не мастерят из Mindstorms: от до . Неудивительно, что объявленное в 2013 году новое поколение Mindstorms, которое будет выпускаться под маркой EV3, вызвало широчайший интерес среди любителей домашних изобретений. Прошлая версия (NXT) появилась в 2006 году, и её электронная часть давно перестала выглядеть современной.

В Lego, однако, энтузиастов не считают своей основной аудиторией: в первую очередь продукты компании нацелены на детей — и не только на их развлечение, но и на обучение. Презентация Mindstorms EV3 в Москве была устроена именно подразделением Lego Education, поставляющим Lego в учебные заведения. Mindstorms будет продаваться школам, а школы, в свою очередь, будут учить детей делать из Lego роботов. И не только — конструкторы Mindstorms EV3 Education, как нам объяснили, можно использовать при изучении самых разных естественных наук.

Свою историю Mindstorms ведёт от «умного кирпичика», который создали в медиалаборатории Массачусетского технологического института в 1994 году. Первую коммерческую версию в Lego сделали в 1998 году. Она назвалась RCX (Robotic Command eXplorers), была основана на восьмибитном контроллере Renesas и имела 32 Кбайта оперативной памяти.

Современный Mindstorms куда интереснее. Программируемый блок из комплекта EV3 — это не контроллер, а полноценный компьютер с операционной системой Linux, работающей на процессоре ARM9. В систему входит 2 ГБ флэш-памяти, к тому же есть слот для карт SD. Другими словами, места для программного обеспечения робота — навалом, да и вычислительная мощность тоже подросла.

К слову о ПО: к наборам Mindstorms прилагается пакет визуальной разработки, в котором можно составлять программы для робота, просто перетягивая мышью инструкции и выставляя параметры. Но при желании можно использовать один из многих языков программирования, для которых разработаны официальные (или неофициальные) программные интерфейсы.

Собравшейся на презентации публике показали несколько примеров роботов, собранных из EV3: один из них — восхитительный механический слон, умеющий шагать и поднимать хобот, второй робот держится, стоя на двух колёсах, подобно самокату Segway, умеет ездить за разноцветными маркерами (благодаря камерам) и не наталкивается на препятствия (благодаря ультрафиолетовому датчику).

В инструкции к Mindstorms приведены схемы и других роботов, но интереснее всего, конечно, проектировать их самостоятельно. До пресс-конференции в том же зале проводилось соревнование среди старшеклассников, в школах которых уже используют Mindstorms прошлого поколения. Им дали задание: за час смастерить из EV3 простейшего робота, способного передвигаться вперёд. Единственное условие — не использовать колёса.

Несколько лучших ходунов потом запустили для демонстрации — в доказательство того, что часа более чем достаточно для создания и программирования простого робота. Это немаловажный момент: школьный урок ограничен сорока минутами, и в Lego хотели бы, чтобы дети уходили с первой же лабораторной работы с чувством того, что только что создали работающий механизм. Тогда к следующему уроку они придут уже с идеями о том, как улучшить конструкцию.

Показали и то, как программировать роботов при помощи прилагающейся к нему визуальной среды разработки. Простейшую конструкцию, состоящую из управляющего модуля, колёс и камеры, поставили на стол, подключили к компьютеру проводом (при желании можно использовать Bluetooth) и составили программу всего из трёх блоков: «старт», «вращение мотора» и «условие».

В качестве условия был выбран цвет поверхности, находящейся перед камерой. На старте это жёлтый (столешница), но если цвет вдруг изменится, робот сразу затормозит. Если запустить эту нехитрую программу, робот проезжает до края стола и останавливается. Интересно здесь не столько визуальное программирование (такие же блоки есть, к примеру, в языке Scratch), а возможность отлаживать программу сразу на роботе. Лучше того, информация с датчиков поступает непрерывно, и жёлтый цвет стола в примере был получен именно с камеры.

В рекламных материалах Lego большой акцент делается на том, что кроме непосредственно построения роботов датчики (особенно те, что поставляются в виде дополнительных комплектов «Технология и физика», «Восполняемые источники энергии» и т.п.) могут быть использованы и на других уроках. Это далеко не то же самое, что делать лабораторную работу с обычными инструментами: современные датчики снимают показания со скоростью до пяти измерений в секунду, и школьники могут видеть на экране компьютера красивый ровный график того или иного процесса. Это шанс воочию убедиться, как уравнения работают в реальной жизни, и в реальном времени наблюдать, как меняется результат от изменения параметров.

Кроме комплектов в Lego делают и электронные методические материалы и тетради. Исследование не будет научным, если не фиксировать его ход, и программа в этом поможет. Присутствовавшие на презентации учителя подтвердили: такой метод обучения отлично подходит для современных метадисциплинных занятий: можно одновременно изучать математику, физику и программирование.

Конструкторы бесспорно хороши, но могут ли наши школы себе их позволить? Мой вопрос о том, сколько, собственно, придётся заплатить за класс с роботами, почему-то прозвучал неудобным: представитель фирмы даже замешкался, решая, нужно ли отвечать. Но деваться некуда — без этой информации обсуждение лишено всякого смысла! Оказалось, школьный набор будет стоить 18 тысяч рублей, и одного хватит на двух-трёх учеников. То есть на класс нужно примерно десять наборов — 180 тысяч рублей. Позволить себе это смогут далеко не все школы — на те же деньги можно, к примеру, оборудовать компьютерный класс, отремонтировать один-два туалета или год платить зарплату учителю младших классов.

Если же хотя бы один компьютерный класс есть, туалеты сверкают, учителей хватает и зарплату они получают вовремя, то роботы могут быть куда предпочтительнее многих других способов потратить государственные или родительские деньги. Одна электронная доска с тачскрином (их предлагают разные поставщики, и в некоторых школах такие уже можно встретить) стоит примерно столько же, а проку в обучении от неё меньше. Даёшь детям роботов!

По ходу презентации EV3 в голове возникают две диаметрально противоположенные картины. Первая: каждый второй школьный класс снабжён компьютерами и «умными» наборами для проведения экспериментов; школьники одновременно изучают естественные науки, математику и алгоритмы, сохраняют результаты в «облако» и могут продолжить дома со своим конструктором. Словом, получают то образование, которое им пригодится в современном мире.

Вторая картина — печальная, но рисующаяся в голове с куда большим реализмом: школы тратят деньги на дорогостоящих роботов, а потом ставят их в шкаф на полочку и запрещают детям прикасаться к ним до тех пор, пока не понадобится провести показательный урок перед родителями, представителями администрации или журналистами.

По крайней мере, именно так обстояли дела, когда в школу ходили мы. Возможно, именно поэтому теперь не оставляет желание дождаться осени 2013 года, когда розничная версия EV3 начнёт продаваться в России, и купить её домой. В конце концов, на коробках написано «8+» и «10+», но насколько «плюс», тактично не сообщается. Наличие же детей подходящего возраста должно избавить от лишних сомнений. Не считая, конечно, тех, что связаны с финансами.

 

Что погубило браузер Opera и чем займутся его создатели в будущем

Олег Парамонов

Опубликовано 19 февраля 2013

Неделю назад о прекращении разработки браузера Opera, переходе на WebKit и сокращении сотрудников, которые трудились в норвежской компании Opera Software. Это стало неожиданностью. Судя по финансовым отчётам, дела компании шли совсем неплохо. Зачем же потребовались настолько радикальные меры?

Для начала хотелось бы прояснить один вопрос, который может вызывать сомнения: того браузера, который мы знали, действительно больше нет. Если бы обычный движок Opera просто , это было бы не очень приятно, но не смертельно. Однако в Opera Software планируют сделать совсем не это.

Следующая версия Opera будет использовать не только WebKit. Она будет основана на Chromium — открытом коде браузера Chrome. Это имеет смысл только в том случае, если новая «опера» будет отличаться от Chrome лишь незначительными мелочами. Если бы в компании планировали выпустить приложение, которое ничуть не похоже на Chrome, от кода Chromium не было бы никакого толка — его всё равно пришлось бы переписать почти полностью.

Причины, которые подтолкнули Opera Software к полной перестройке, можно найти в тех самых финансовых отчётах, которые сообщают о росте доходов.

Попробуем разобраться, на чём зарабатывает эта компания. В далёком прошлом всё было просто и понятно: браузер Opera распространялся на условиях shareware. Пробная версия, которую можно было скачать бесплатно, снабжалась рекламным баннером, отъедающим приличную долю и без того небольшого экрана. Чтобы избавиться от него, пользователям приходилось платить за полную версию Opera.

Этот источник дохода иссяк почти десять лет назад, но к тому времени к Opera для ПК добавилась Opera Mobile, предназначенная для карманных компьютеров. Ещё через пару лет появился браузер Opera Mini, который работает на самых примитивных и маломощных мобильных телефонах. Opera Mobile и Opera Mini отодвинули Opera для ПК на вторые роли — во всяком случае, в финансовых отчётах.

Фотографии телефонов из старых финотчётов Opera вызывают ностальгические чувства

Норвежская компания сумела построить бизнес на технических ограничениях, отличавших мобильные и встраиваемые устройства, которые были в ходу в прошлом десятилетии. Opera Mini и Opera Mobile без проблем шли на таком железе и таких каналах связи, которые создатели Mozilla или WebKit видели только в кошмарных снах.

Ничего подобного в тот момент не мог предложить никто. В карманы Opera Software потекли деньги операторов связи и производителей телефонов. К 2009 году отчисления, которые выплачивают компании, использующие в своих продуктах мобильные версии Opera, заметно превосходили доходы, даваемые обычной «оперой» для персональных компьютеров.

Однако уже тогда над Opera Software сгущались тучи. С каждым годом мобильные устройства становились мощнее, а связь — быстрее и дешевле. На современных смартфонах нет нужды экономить каждый килобайт, а LTE не требует специальных прокси, сжимающих контент.

Opera в Африке

Мало того, теперь каждая мобильная платформа снабжена встроенным браузером, который если и уступает аналогу, разработанному в Opera Software, то не сильно. Opera Mobile, подобно Opera для ПК, начала превращаться в «альтернативный» браузер, который устанавливают только немногочисленные любопытные пользователи.

Доля современных смартфонов на рынке — и рост не прекратится до тех пор, пока они не поглотят весь рынок целиком. Аналитики отпускают простым мобильным телефонам ещё два или три года, не больше. Это смертный приговор Opera Mini.

До сих пор на руку Opera Software работала неравномерность прогресса. Современные смартфоны и быстрая дешёвая связь пока доступны не всем и не везде. В первую очередь они захватили крупные города и богатые страны. Мест, где не знают ничего лучше пуленепробиваемой Nokia и неровного GPRS, остаётся всё меньше, но они есть.

Создатели Opera это давно поняли — и приложили все усилия для того, чтобы найти партнёров в третьем мире. Сообщения о заключении сделок с операторами связи во всё более экзотических местах содержатся почти в каждом квартальном отчёте. Последние завоевания Opera Software — Вьетнам и Чили.

Рост количества пользователей браузеров Opera на обычных мобильниках (красный график) замедлился по сравнению со смартфонами (синий график)

Однако вечно бегать от прогресса не получится. Это подтверждает даже та статистика, которую публикует сама Opera. Рост количества пользователей на простых мобильных телефонах почти сошёл на нет.

Всё это — далеко не новость. Куда дует ветер, было ясно ещё несколько лет назад. В ноябре 2010 года я писал в статье ««:

Вряд ли в Opera Software не догадываются о нависшей над компанией угрозе. Скорее всего, наоборот: знают о ней такие подробности, о которых мы с вами и не догадываемся. Недавняя покупка фирмы AdMarvel, занимающейся мобильной рекламой, свидетельствует о том, что в Opera Software уже пытаются отыскать новые бизнес-модели. Получится ли?

Теперь можно не гадать. Разберём последний квартальный отчёт компании и посмотрим, что получилось.

Сразу бросаются в глаза новые источники дохода, которые не фигурировали в отчётах два года назад. Покупка AdMarvel была верным решением. Почти треть доходов Opera Software в четвёртом квартале 2012 года принесла мобильная реклама. Темпы роста впечатляют: по сравнению с четвёртым кварталом 2011 года рекламные доходы увеличились почти в пять раз.

Ещё один источник дохода, не упоминавшийся в 2010 году, — это мобильные пользователи. Они дают не так уж много — всего 4,6 миллиона долларов за квартал, однако стопроцентный рост по сравнению с аналогичным периодом 2011 года не позволяет от них отмахнуться.

По другим пунктам всё не так радужно. Производители телефонов утратили желание платить за право установить Opera Mobile на новый телефон. К концу 2011 года доля производителей телефонов в доходах Opera Software упала до 5,8 процента и составила 2,5 млн долларов. Но на этом падение не остановилось. В четвёртом квартале этот источник дохода усох до 300 тысяч долларов в квартал.

Производители электроники — главным образом телевизоров и телевизионных приставок — пока сохраняют верность Opera, но заметного роста не наблюдается. Примерно та же ситуация с операторами связи, которые принесли 17,3 процента доходов Opera Software в четвёртом квартале 2012 года.

Иными словами, источники дохода, на которые в Opera Software полагались в прошлом, в лучшем случае стагнируют, в худшем — тают на глазах. Если бы не мобильная реклама, которой компания занялась всего два года назад, сегодня ей приходилось бы считать убытки.

Ещё важнее другое: лишь 35 процентов доходов дают непосредственно браузеры. Остальное приносит деятельность, либо не связанная с браузерами вообще (например, мобильная реклама), либо связанная с ними лишь косвенно (например, сервисы, предоставляемые операторам связи). И именно на эту долю приходится основной рост.

Последнее приобретение компании — американский стартап SkyFire — свидетельствует, что в скором времени зависимость Opera Software от браузеров сократится ещё сильнее. Сервис сжатия видео «на лету», разработанный SkyFire, станет частью одной из новых услуг для операторов связи. Он, как и другие новые услуги, может использоваться любыми браузерами или мобильными приложениями.

Если знать всё это, то понять логику людей, которые свернули разработку браузера Opera, становится проще. Можно предположить, что они решили не цепляться за браузеры, постепенно превращающиеся в тормоз развития компании, и попытаться выжать пользу из реального богатства Opera Software — партнёрских отношений с многочисленными операторами связи и производителями электроники.

В будущем, которое они готовят для компании, никто не будет помнить, что она когда-то занималась браузерами. Opera Software зарабатывает на обслуживании разработчиков мобильных приложений и операторов связи, которым нужна мобильная реклама, аналитика или средства сжатия контента.

Переход на WebKit призван сгладить трансформацию. Какой движок стоит внутри Opera Mobile, скорее всего, заинтересует немногих. Значительная переделка Opera для ПК может ускорить отток пользователей, но даже в худшем случае он не будет мгновенным. Его скроют уменьшение расходов на разработку и рост других источников доходов.

Верна ли моя догадка, и если да, то насколько разумен и дальновиден этот план, мы узнаем совсем скоро.

 

Алексей Афанасьев, «Лаборатория Касперского»: DDoS-атаки — инструмент давления на бизнес

Юрий Ильин

Опубликовано 19 февраля 2013

DDoS-атаки сегодня — чрезвычайно распространённое явление. Их достаточно легко организовать, учитывая, что сетевые злоумышленники в последнее время старательно занимались «разведением» сетей заражённых компьютеров — ботнетов. В то же время противодействие DDoS — очень непростая задача. Непростая, но осуществимая. Как и зачем сегодня организуются DDoS-атаки, какими средствами с ними можно бороться и почему борьба может быть неэффективной, «Компьютерре» рассказывает Алексей Афанасьев, руководитель проекта Kaspersky DDoS Prevention в компании «Лаборатория Касперского».

- Расскажите, пожалуйста, что из себя представляет DDoS-атака — для непосвящённых — и почему о них столько говорят сейчас?

- DDoS-атака — распределённая атака типа «отказ в обслуживании». Что означают такие слова, как «атака», «отказ в обслуживании», «распределённая» — что это такое? Выглядит это примерно так: допустим, у вас есть некий ресурс, сайт. Если на него одновременно заходят два, три, десять пользователей, то он работает стабильно. Но что произойдёт, если к нему одновременно обратятся сто или тысяча человек? Будет ли он продолжать функционировать? Вот в чём вопрос. При этом наряду с реальными людьми на этот ресурс могут заходить роботы. То есть некий специально созданный программный код, который эмулирует или симулирует действия пользователя. При этом он не будет запускать браузер, однако может проявлять какую-то активность: «тянуть» графику, устанавливать соединение с этим веб-сервером и так далее. Фактически идея DDoS-атаки заключается в том, что огромное количество таких вот паразитных запросов к ресурсу рано или поздно приводит к исчерпанию его полосы пропускания, мощности оборудования и он становится недоступным для легитимных пользователей.

Алексей Афанасьев, руководитель проекта Kaspersky DDoS Prevention «Лаборатории Касперского

Поскольку физически сайт размещён у какого-то хостера, ресурс-провайдера и так далее, то могут быть исчерпаны ресурсы веб-движка, на котором работает сайт, и даже ресурсы самого железа.

- Что значит «распределённая»?

- Это значит, что один пользователь в большинстве случаев не может создать нагрузку на ресурс с таким большим количеством запросов. К тому же сайты обычно имеют ограничения по количеству одновременных рабочих сессий. Если вы скачиваете какие-то файлы с одного сервера или файлообменника, то, как правило, можете установить несколько одновременных сессий, но не бесконечное их количество. Точно так же и здесь: если один пользователь или робот с одного и того же IP-адреса будет запускать несколько параллельных сессий, то рано или поздно это закончится неудачей – для него. Однако если запросы будут идти с разных компьютеров, находящихся в разных географических локациях, то определить, кто является их автором, реальный пользователь или робот, ведущий «нелегитимную» активность, достаточно сложно.

Именно поэтому важнейшие черты DDoS-атаки – это её распределённость и паразитная активность, радикально отличающаяся от действий реальных пользователей.

- По поводу масштабов угрозы: по вашим оценкам, каковы они? Если взглянуть на какую-нибудь криминальную хронику, то возникает ощущение, что преступники — везде и повсюду, несть им числа, хотя потом выясняется, что это изолированные события, которые могли происходить на довольно большом географическом разбросе. С DDoS-атаками как обстоит дело?

- Пожалуй, самое основное отличие электронных преступлений от «реальных» заключается в том, что киберзлоумышленник может совершать свои действия удалённо. Например, похищать деньги, переводить их, прятать или наоборот, доставать из электронного кошелька и обналичивать.

Простой пример: сегодня, если мы хотим купить какую-то вещь, то, как правило, сначала ищем её в интернете. Поисковик дает ссылки на различные магазины, например Amazon. Однако на самом деле это не сам магазин, а некая торговая площадка, которая перекупает товар у локального магазина в Штатах. А тот, в свою очередь, имеет эксклюзивные права в Китае. Соответственно покупка сначала из Китая едет сначала в Штаты, и только потом в Москву. Таким образом, мы видим пересечение цепочек реальной и виртуальной логистики. В виртуальной логистике требуются минуты, чтобы определиться с покупкой, совершить оплату с помощью электронных денег и осуществить заказ. Реальный же товар будет перемещаться намного дольше. Злоумышленники очень часто пользуются такими безналичными платежами, чтобы моментально проводить транзакции и рассылать команды на включение и выключение DDoS-атаки, которая может идти откуда угодно. Кроме того, ботнет может быть очень быстро перепродан и перенацелен на другую жертву. Соответственно, когда правоохранительные органы приходят в предполагаемое «гнездовье» киберпреступников, там уже никого нет.

- Но какова плотность бомбардировки в целом? По количеству инцидентов за какой-то период?

- В целом это вопрос бизнеса. Чаще всего атакам подвергаются мелкие фирмы, небольшие интернет-магазины. Как мы об этом узнаём? У нас есть специальный ресурс – ферма серверов, которая «слушает» интернет и вылавливает команды центров управления ботнетами. Мы не можем их заблокировать, но мы можем их «слышать» благодаря тому, что у нас имеются сэмплы ботов, которые регистрируют услышанное и позволяют понять статистическую ситуацию.

Соответственно перед глазами у нас есть «новостная лента» атак, производимых практически по всему миру. Естественно, мы видим и слышим не абсолютно всё, но значительную часть. И по результатам анализа происходящего в российской зоне мы можем сказать, что в день осуществляется несколько сотен атак — включение активности и выключение таковой. Более того, есть очень продолжительные атаки, к которым подключаются различные ботнеты. То есть видно, что одни ресурсы перестают работать и сразу начинают работать другие.

Если говорить о количестве таких атак на мелкие и средние компании, то их осуществляется по несколько сотен в день. То есть суммарно в год получается какое-то огромное количество. Другое дело, что какая-то доля их успешна, а какая-то нет – какая именно, мы не можем сказать. Чтобы получить достоверную информацию, нужно проверять каждый конкретный случай.

У нас есть система по предотвращению DDoS-атак, рассчитанная преимущественно на крупных клиентов (или бизнес, связанный с сетью), для которых интернет важен не только для имиджевой составляющей, но и для ведения бизнеса в целом. Такие клиенты имеют хорошую сетевую инфраструктуру, но нередко становятся мишенями: обычно это одна-две атаки в квартал.

Но эти атаки, как правило, уже построены конкретно под них. Это уже не хулиганская атака на магазин. Речь идёт о бизнес-войнах, которые воплощаются вот в такую активность. Мы видим, что, когда у наших клиентов высокий сезон — например, в конце года, когда у банков появляются новые кредитные предложения, когда начинается сезон повышенных продаж в сетевых магазинах, — количество DDoS-атак стремительно возрастает. В конце весны начинается туристический сезон. Соответственно мы наблюдаем повышение DDoS-активности, направленной на сайты туристических компаний. Как только какой-нибудь банк выходит с ценовой политикой или с новыми рекламными акциями и предложениями, часто бывает так, что буквально на следующий день или в тот же день организовывается DDoS-атака на этот ресурс. Это лишний раз показывает, что такие атаки – экономически эффективный инструмент давления на конкурента, давления на тот или иной бизнес.

- Вы упоминаете бизнес-войны – это, как правило, сведение счетов или действительно попытки саботировать работу конкурентов?

- Да, саботаж.

- А есть ли по этому судебная практика, то есть доказательство того, что вот именно так делается всё это?

- Судебная практика есть, но она пока незначительная. Связано это c недостаточно налаженным взаимодействием между экспертами, интернет-сообществом и правоохранительными органами и отсутствием доверия между ними. Например, наши правоохранительные органы не очень глубоко понимают техническую сторону вопроса. Те, кто понимает, не всегда доверяют экспертному сообществу в интернете. А интернет-сообщество, в свою очередь, с недоверием смотрит на регуляторов и правоохранительные органы. Оттого происходят временные задержки, недопонимания.

Мы принимали участие в круглом столе по поводу DDoS-атак на такие ресурсы, как «Слон», «Эхо Москвы», «Коммерсант» и так далее. И многие из журналистов и редакторов высказывались тогда в таком духе: «Мы подавали документы в правоохранительные органы, но буквально тут же дело закрывали за недостатком улик и ещё чем-то». То есть всем было очевидно, что сайты и ресурсы не работают, но судебная система на собранные документы отвечала: «С чем вы пришли? Где ваши доказательства, что вас заDDoSили, что вы не просто выключили свой сервер?» Отсутствие таких расследований идёт на руку преступникам.

В нашей практике раскрытых преступлений немного. Они есть, конечно, но это скорее исключения из правил, нежели обыденная практика правоохранительных органов. К сожалению, пока это так.

- Как вы считаете, это изменится в ближайшем будущем или так и будет оставаться «воз и ныне там»?

- Я думаю, что это может измениться, если у нас изменится взаимодействие между интернет-экспертами и правоохранительными органами.

- То есть это вопрос главным образом к правоохранительным органам?

- Главным образом, наверно, это запрос ко взаимодействию в целом.

- Давайте вернёмся к технической стороне. Значит, источником DDoS-атак, как правило, являются боты…

- Под ботом может подразумеваться всё, что угодно. Можно сказать, что есть разные принципы организации DDoS-атак. Ещё год назад можно было сказать, что большинство узлов ботнета — это рабочие станции, а также в теории обсуждалось, возможен ли в теории крупный мобильный ботнет…

- Как минимум одна попытка создать нечто подобное была.

- Ну да. Возможно, небезуспешно, и такой ботнет существует — в каком-то пределе.

Но вот другой пример, безо всякой экзотики. В конце прошлого года, начиная с осени, была организована серия мощных, массированных атак с помощью инфицированных PHP веб-серверов. Атаки были с так называемым «плечом»: атакующий бил по мишени не напрямую, а через определённые «дыры» в необновлённых веб-движках устанавливал некоторый PHP-скрипт, который он дальше мог разным образом активировать. И эта активация могла быть в том числе так построена, что даже обычный легитимный пользователь, заходя на страницу, активировал кусок этого скрипта, который отбрасывал какое-то количество пакетов на сервер мишени. Таким образом, злоумышленник получал значительное количество «мусорного трафика», прикладывая значительно меньшие усилия.

- То есть это не было заражением пользовательского компьютера, просто пользователь заходил и…

- Да. Определённый веб-сервер, мощный веб-сервер, и не один, а может быть, даже целая группа, атаковали американские банки, находясь в Турции и в Европе.

- В Восточной, в Западной?

- И в Западной и в Восточной. Важнее другое: атака производилась не с каких-то заражённых компьютеров, а именно с заражённых серверов. И, поскольку сервера имеют намного более широкий канал передачи данных, намного более серьёзную инфраструктуру, то, естественно, отдача трафика такого устройства, количество определённого паразитного трафика, который он может от себя отослать, в разы превосходит возможности пользователя какого-либо ПК, который может быть подключён к каким-то «дохлым» интернет-каналам. Для успешной атаки таких серверов надо намного меньше. Более того, если вы даже нападёте на этот след и выключите этот сервер, то это не значит, что вы «выключите» тех людей, кто это сделал. Сервером может владеть совершенно «непричастная» компания или фирма, которая даже не знает, что происходит.

Бороться с такими схемами намного сложнее, потому что, если ботнет на обычном пользователе, вы можете пожаловаться провайдеру и провайдер может как-то сигнализировать этому пользователю или просто, в конце концов, его отключить. А выключить какой-то сервер или выключить какую-то компанию из интернета – это намного сложнее. Более того, выявить заражение на серверных устройствах, которые включены постоянно и их работа связана с какой-либо бизнес-активностью, намного сложнее.

Если здесь у нас может быть инфицирована рабочая станция, достаточно переустановить Windows, установить антивирус — и всё будет нормально. А если у вас сервер и там крутится множество скриптов, которые ещё постоянно дописываются, переписываются, модифицируются, то представьте, каково отыскать там какой-то вредоносный код. Более того, код находится внутри некоторого скрипта. А это не некое win32-приложение, которое вы можете просто стереть. Скрипт будет подгружаться динамически и активироваться только в определённый момент.

Когда вся эта история началась, то я обратился к нашему подразделению вирусных аналитиков на предмет наличия у нас российской статистики по подобным заражениям, по подобным PHP-скриптам. Изначально была описана подобная ситуация с Linux-платформой, и мы решили посмотреть на Windows-платформу. И оказалось, что мы имеем достаточно большое количество заражений.

Россия там занимала третье место с очень большим количеством Windows-серверов, на которых установлены уязвимые и заражённые PHP-движки. Это означает, что источником такого лавинообразного трафика эти сервера могут выступать хоть завтра, потому что они уже находятся в зоне риска, они уже заражены. Когда их активируют – это вопрос времени.

- А если в абсолютных цифрах – примерно сколько заражённых серверов удалось насчитать?

- Мы видели несколько сотен серверов. Это достаточно большое количество. Мы не проверяли, что это, но представьте себе, что это, например, какие-то крупные компании. Им, скорее всего, нельзя будет позвонить и сказать: «Выключите свой сервер».

- Скажите, пожалуйста, а как обеспечивается защита? Понятно, что мощность канала граничит с бесконечным числом. В своей статье вы упомянули, что у вас есть специальная аналитика, которая…

- Основная идея защиты от DDoS-атаки заключается в том, чтобы чётко понять, кто есть пользователь, а кто есть бот. Если брать классическую семиуровневую сетевую модель, то фактически любой уровень (за исключением физического уровня, самого первого) может быть так или иначе подвержен какой-либо форме паразитной активности.

DDoS-атака не всегда выполняется на уровне приложения (седьмого уровня). Она может выполняться просто для того, чтобы забить канал, например, или получить отказ сетевого оборудования.

Перед сервером-мишенью стоит какое-то сетевое оборудование, какие-то провайдеры, какие-то каналы. Всё, что стоит до этого устройства, и оно само является так или иначе звеном в цепочке взаимодействия – цепочке доступности. И основная задача злоумышленника при организации атаки – найти слабое звено. Наша задача как раз, с одной стороны, тоже отыскать, точно так же, как и злоумышленник, слабое звено, а с другой стороны – чётко понять, как звенья этой цепочки работают в нормальном режиме.

Понять, как они работают, как они взаимодействуют и что будет отклонением от нормы. Как только мы это хорошо понимаем и знаем, мы сразу можем построить некую модель работы обычного легитимного пользователя. Исходя из этой комплексной многоуровневой модели, мы понимаем, как себя ведёт нормальный пользователь и где начинается отклонение, обозначающее бота.

И тогда мы можем жёстко отделить ботов от легитимных пользователей. Это если говорить общими словами.

Но если говорить на реальном языке, то существуют сетевые атаки «нижних» уровней; а также существуют атаки уровня приложений, и для них требуются совершенно разные фильтры. Трафик защищаемого ресурса в момент, когда происходит атака на него, меняет свою маршрутизацию: он проходит через наши центры очистки вне зависимости от того, на какой сетевой уровень рассчитана атака. Для очистки мы применяем те или иные методы фильтрации. Есть атаки, когда идёт так называемый SYN-флуд, например, с подменой IP-адреса, и сама сессия не устанавливается. Просто большое количество мелких пакетов передаются на целевой IP-адрес. Источник этих пакетов, то есть исходящий IP-адрес, может быть подменён.

Соответственно вы не знаете, откуда пакеты приходят, но вы можете понять, что их гигантское количество и вам, как мелкую кильку, надо перекидать из бочки в другую бочку по одной рыбке и при этом выполнить проверки. Задача крайне сложная, если это обычное сетевое оборудование, но мы умеем с этим справляться. Есть атаки уровня приложений, когда у вас есть какая-нибудь «тяжёлая» страничка и «тяжёлый» контент. И вот открытие этой странички и загрузка этой странички, установление большого количества одновременных сессий уже будет приводить к тому, что сайт будет подтормаживать и медленно открываться.

- Это, я так понимаю, HTTP-флуд?

- Да. И если бот, например, не переходит на какую-нибудь другую страничку, а только использует какие-то поисковые запросы, перебирает их и больше ничего не открывает, то обычный пользователь установил сессию, сделал какой-то запрос, открыл какую-то страничку и дальше начинает куда-то по ссылке уходить с неё. А если вы просто постоянно пять раз в минуту открываете только главную страничку, но больше никуда не ходите, или вы задаёте случайные поисковые запросы, но никакие ссылки в них не открываете, только лишь поисковые запросы делаете – соответственно, понятно, что вы бот.

- А бывают какие-то более продуманные виды HTTP-флуда, когда бот действительно делает вид, что он человек, и становится трудно отличить его от среднестатистических пользователей? Случалось с таким сталкиваться?

- Действительно, бывают и такие случаи. Дело в том, что на сегодняшний день злоумышленники, конечно, понимают, что, раскусив модель поведения бота, мы сразу видим, что она достаточно статична. И злоумышленник применяет другие тактики. Например, комплексные атаки, когда, с одной стороны, устраивается какая-то атака, исходящая от одной части ботнет-сети, — сервер бомбардируют какими-то определёнными запросами. Другая ботнет-сеть или её часть работает с другими запросами, третья – с третьими, и так далее. Три таких комплексных аномалии уже сложнее выявить. С одной стороны, вы смотрите – большое количество пользователей пытается открыть какую-то поисковую страницу, другое количество пользователей пытается стянуть какие-то картинки. И вот сразу понять и догадаться, что и те, и те – боты, а реальный пользователь один раз открыл страницу и больше ничего не сделал, сложнее.

Плюс ко всему прочему могут применяться атаки на сетевом уровне, как я говорил, — так называемый SYN-флуд, когда ещё необходимо помимо установленных сессий работать с приложениями и ещё раскидать эти мелкие пакеты, что в какой-то мере ещё дозагрузит ваше сетевое оборудование в любом случае. То есть ваше сетевое оборудование уже будет загружено в значительной степени, и вам надо будет разбираться ещё с дополнительными неприятностями.

Это напоминает матрешки: одну открыли, а там ещё одна, а в ней ещё одна. И вот бывали ситуации, когда моим коллегам приходилось достаточно долго выяснять, где же они заканчиваются.

- И на кого была такая ухищрённая атака направлена?

- Из недавних таких примеров – это комплексные атаки на интернет-магазин и туристический сайт. DDoS состоял из трёх компонентов. Шла небольшая атака в виде определённого запроса к сайту, к приложению, которое медленно обрабатывалось; это была атака просто на установление HTTP-сессии – так называемый connection-флуд. К тому же осуществлялся SYN-флуд, то есть бомбардировка мелкими пакетами, чтобы и сетевое оборудование тоже «не отдыхало». Дальше злоумышленник может просто варьировать эти вещи, и такие три одновременные неприятности уже достаточно весомы. - Ваш центр очистки с подобными вещами справляется?

- Да, конечно. Когда мы его строили, мы исходили из того, чтобы компании могли себя чувствовать под таким «зонтиком» достаточно комфортно.

- То, как работает центр очистки, не сказывается ли на сложности установки соединения для рядовых пользователей? Они испытывают какие-то замедления в работе?

- Скорее в теории, нежели в жизни. Речь может идти о задержках на сотые доли секунды. То есть человеку её ощутить практически невозможно.

Бывают ситуации, когда для каких-то пользователей по тем или иным причинам сайт может оказаться недоступен — в силу ложных срабатываний. Но это крайне редкая ситуация.

У нас была история, когда часть ботнет-сети располагалась внутри сетей той же компании, чей сайт подвергался атаке. Мы, как внешний наблюдатель, видели: источник атаки – всего один IP-адрес, за которым находится масса пользователей, как легитимных, так и нелегитимных. Когда мы обнаружили большое количество нелегитимных запросов именно с этого IP-адреса, мы пресекли доступ с него, не вникая в его подробности. Оказалось, что там есть легитимные пользователи, и они сидели за этим же прокси. Соответственно им их же ресурс оказался недоступен.

Такие ситуации бывают, но они достаточно редки, и есть определённые технологии, которые позволяют этого избежать, — те же самые белые списки. В случае их использования посетитель сайта проходит некоторые авторизационные процедуры, и движок отдаёт информацию нашей системе о том, что это — легитимный пользователь. Соответственно мы его помещаем в белый список и его уже не будем блокировать.

- А на каком уровне функционирует белый список?

- Белый список работает на уровне IP-адресов. Наша система готова в минуту для одного защищаемого IP-адреса загрузить порядка 500 тысяч IP-адресов. Помимо белого списка есть ещё черный список, общий размер списка – до 1 млн IP-адресов для одного защищаемого ресурса. Сегодня на один бизнес-ресурс в России столько народу одновременно не заходит.

- Если сравнивать DDoS и угрозы, не относящиеся к DDoS-атакам, то от чего больше ущерб? От DDoS-атак или от вирусов, взломов и тому подобного?

- Сложно сказать. Хищение персональных данных или банковской тайны – это крупные неприятности. Перевод каких-то средств — тоже. С другой стороны, DDoS может быть прикрытием хищения. Мы, в частности, видели ситуации, когда определённые действия злоумышленников просто прикрывались DDoS-атаками. Как в случае с военными действиями: помехи, дымовая завеса, всё точно так же и здесь. Со взломанного счёта клиента списываются некоторые деньги, и сразу же устраивается DDoS-атака; легитимный пользователь не может зайти в свой клиент-банк и посмотреть деньги на своём счету. Соответственно он не видит, что происходит.

Или вот другой пример: проводятся определённые интернет-торги, и последние 10 минут критичны для работы с предложением.

И если в это время возникает резкая DDoS-активность, то может произойти срыв торгов, а может быть, если это единичный клиент не смог работать, он фактически проиграл торги. Потери его достаточно велики и весомы. Поэтому может ли DDoS-активность сильно влиять на монетизацию? Однозначно, да. Насколько она хуже или лучше взлома сайта – здесь сложно сказать. Всё зависит от ресурса.

 

Дети, учите китайский!

Денис Викторов

Опубликовано 19 февраля 2013

Недавно заполнял одну анкету. Там требовалось указать владение языками. Написал: «немецкий, английский». И вздохнул. Немецкий мой после окончания аспирантуры был чудо как хорош. Нет, это ещё не было свободное владение языком, как у Штирлица, который, согласно Юлиану Семёнову, «думал по-немецки». Но после того, как пару лет я провёл в ежовых рукавицах Владимира Ароновича Гандельмана, возглавлявшего в 90-х кафедру иностранных языков РГГУ, произошло удивительное «переключение». Я не испытывал никаких проблем с тем, чтобы сформулировать любую мысль по-немецки грамотно. То есть строил фразы так, как строили бы их носители языка. И даже пытался делать это, что называется, «красиво». А редкие немцы, с которыми я имел удовольствие практиковаться в личных беседах, отмечали, что у меня «австрийский национальный вариант» немецкого языка. Откуда бы?

Но немецкий мой пропал. За ненадобностью. Оказалось, что технологическая журналистика требует прежде всего умения (хотя бы) прочитать и понять текст, а в идеале ещё и провести интервью пусть на куцем, но — английском. Пришлось «подтягивать» инглиш самостоятельно.

Почему в советских школах часто учили немецкому, понятно. В орбите СССР была как минимум ГДР. Да и ФРГ вела себя более или менее прилично. Но если бы я дал себе труд подумать году этак в 1998-м (впервые выехав за границу со студенческой группой по обмену) о том, к чему приведёт горбачёвская перестройка, то начал бы учить английский вовремя. Ибо после падения железного занавеса перед нами, наивными и неподготовленными, открывался весь мир. В котором важнейшим языком был английский.

А вот если бы я сейчас был учеником старших классов или студентом, точно начал бы учить китайский. Резонов предостаточно.

Ну вот посмотрите хотя бы сегодняшние новости. Китай стал крупнейшим в мире национальным рынком активно применяемых пользователями смартфонов и планшетов на платформах iOS и Android. По крайней мере аналитики из компании Flurry уверены, что не ошиблись в своих оценках. Ежедневно Flurry отслеживает (не очень понял, как именно; утверждается, что в анонимном режиме) 2,4 млрд. пользовательских сессий по 275 000 мобильных приложений во всём мире. Всё это позволяет представителям фирмы утверждать, что в её статистические выборки попадает не менее 90 процентов «умных» мобильных устройств.

Так вот, в январе 2013 года США и Китай шли в рейтинге Flurry, что называется, ноздря в ноздрю по числу активно используемых смартфонов и планшетов (222 млн устройств против 221 млн соответственно). Но уже к концу февраля оценки изменились. США: 230 млн устройств. Китай: 246 млн. Кроме Индии (но здесь до сих пор ключевое ограничение — низкий уровень доходов) в этой гонке Китаю противостоять могли только американцы. Однако «популяционный» ресурс исчерпан. В Китае живёт 1,3 миллиарда человек, в США — 310 миллионов. Так что спорить с китайцами Америка может теперь разве что по общему числу инсталляций мобильных платформ. Думаю, если добавить сюда рынок m2m, то США будут впереди. Пока впереди…