Аналітичні матеріали та блог про сучасні інформаційні технології. Основні теми: Інтернет та WWW, комплексна автоматизація підприємств та установ, інформаційна безпека, системи аналітичної обробки інформації.

Рахуємо чужі гроші або скільки заробляє Google

Чому рахуємо? Тому, що велику долю прибутків становлять сайти з AdSense - тобто наші.
Компанія Google оприлюднила свої доходи за останній квартал 2006 року і за весь 2006 рік.

За IV квартал компанія заробила 3,21 млрд. долярів, тобто на 67% більше, ніж у цьому ж кварталі 2005 року, і на 19% більше, ніж у III кварталі 2006 року.

Це загальний дохід, який не включає вартість придбання трафіку (traffic acquisition costs), котра становила 976 млн. долярів.
Вартість придбання трафіку - це частина доходів, яка виплачується партнерам Google, в основному це сайти з AdSense. Ця сума склала 916 млн. долярів.

Джерела прибутків у IV кварталі виглядають наступним чином:
62,6% (1,98 млрд.) — прибуток від власних сайтів,

Про Oracle та MYSQL

За повідомленням zdnet.ru Oracle спробувала придбати MYSQL. Генеральний директор Мартен Мікос підтвердив цей факт, але не повідомив коли це було і за скільки. Він бажає, щоб компанія залишилась незалежною.
Зараз пішла якась масова тенденція до впрвадження open-source projects. ІВМ запропонувала безкоштовну DB2, WebSphere community edition . Зараз ведуться розробки компаніями Ingres та EnterpriseDB над створенням СУБД з відкритим кодом.
СУБД MYSQL поповнює свій арсенал більш потужнішими функціями, але твердженням її шефа вони не хочуть конкурувати із Oracle. Як відомо MYSQL є безкоштовною для не комерційних проектів і 200 долярів треба заплатити за використання у комерційних цілях. СУБД широко використовується у масових та дешевих проектах. СУБД Oracle закорінилось у потужних та великих системах. Компанія Oracle у 2005 році вже придбала InnoDB та Sleepycat (компанії СУБД з відкритим кодом). Зараз вони ще й хочуть купити сервер JBoss. Правильно говорить народне прислів’я – краще переспати, ніж недоїсти.

Чим Vista є безпечною

Як сказав свого часу Тарас Бульба свому сину: «Чим я тебе породив – тим я тебе і вб’ю». Це я про Microsoft та Vista. Аліса Шевченко на http://www.viruslist.com у своїй статті «Microsoft Vista против вирусов: кто кого?» ставить під сумнів всю безпеку середовища цієї ОС. Слід зауважити, що кубіта працює на Лабораторію Касперського. Ясна річ, що якби вона написала, що Vista така хороша ОС, що їй не потрібно ані антивіруса, ані файєрвола її стаття була б підписаною вже як «Аліса Шевченко. Шукаю роботу». Оскільки Касперський також хоче урвати шмат грошей від Vista. І якби я належав до працедавців, то на роботу я б її взяв.
Свого часу я вже згадував про технологію захисту ядра від модифікацій у Vista – PatchGuard. Правда тоді я забув добавити, що технологія ця працює тільки для 64-розрядної машини та цю фігню можна відключити. При чому, як її відключити та використовувати – написано до мене.

Телепузики – сила. Покемони – могила. Про РНР

« Мене задовбали трамваї і колії, кондуктори дибіли і профілакторії». Цей уривок із пісні «Олені» дуже гарно описав мої відчуття, коли я вкотре прочитав статтю на одному шанованому порталі про шкідливість застосування мови РНР. Знову вискочила цифра 43% ( саме стільки РНР-коду містить вразливості ). Та хіба винна та балярина, що їй мішає те, що мішає поганому танцюристу. От там використовують РНР і у них є недоліки і звісно тут винна мова програмування, а не програміст. Як противагу можна сказати, щоб відкрили код Windows і тоді чітко буде видно, чи винна мова програмування? Прочитавши одну мудру книжку, мудрий код писати не навчишся. Потрібно постійно пильнувати про всі події пов’язані із РНР, виявленні недоліки, підходи до побудови програмного коду. У даному матеріалі я спробую навести базові помилки із безпеки, які роблять початківці.

Google Earth і партизани-2

Компанія Google продовжує допомагати союзникам боротися з іракськими "бандитами".
Нещодавно в будинках іракських терористів були знайдені документи, серед яких роздруківки знимків Google Earth. Це змусило компанію Google замінити новіші знимки (кінець 2004/початок 2005), зокрема, міста Басри старішими, як були зроблені ще у 2002, перед початком війни.
Це було помічено при порівнянні деяких знимків, на котрих раніше було помітно деякі створені американцями "архітектурні форми" (типу вирви від бомб), а тепер їх там немає.
В дослідників виникло ряд запитань, наприклад чи було це зроблено на вимогу американського уряду і чи у випадку звернення інших урядів буде вчинено аналогічно.

Wikiseek - нова пошукова система по Wikipedia

Запущена нова пошукова система по Вікіпедії - Wikiseek (наразі лише бета версія)
Wikiseek здійснює пошук по сторінках Wikipedia и тих сторінках на які вона має посилання.
Пошукова система працює на основі технології Searchme, яка здійснює пошук по користувацьким тегам і класифікації Wikipedia. Така пошукова технологія вважається кращою за звичайні, оскільки краще уникає впливу SEO (Search Engine Optimization)та спаму.
Почерпнуто звідси:
Welcome to the Wikiseek Community Wiki
Поисковая система по Wiki

OpenID – ідентифікація для Вебу 2.0


Що це таке?
OpenID (http://openid.net) – це відкрита розподілена безкоштовна інфраструктура для користувацько-орієнтованої ідентифікації у Вебі.

Чому це потрібно?
Сукупність нових технологій та підходів до розробки й експлуатації Веб-ресурсів (Веб 2.0 - http://it.ridne.net/web2-overview) диктують учасникам великої гри під назвою "WWW" нові правила. Якісним проривом, наприклад, стало переведення рядового користувача Інтернету зі споживача інформації у ранг повноцінного он-лайн видавця контенту – від коментарів до чужих статей і дописів на форумах до величезних авторських опусів у власному блозі. Веб еволюціонував від read до read/write, що внесло принципові зміни до самої його структури і логіки побудови.

Правила використання SQL injection

Ціль яку ставить автор висвітлюючи даний матеріал полягає у організації кращого захисту розроблених веб проектів, а не способів їх взлому .
Це вразливість, яка існує через недосконалість чи відсутність механізму провірки даних отриманих від користувача. Наприклад, маючи наступну адресу http://site.ua/site.php?id=01 повинна завантажитись якась сторінка. Але якщо після знаку рівності користувач вкаже будь-які символи (наприклад ...php?id= test, .php?id=01’, .php?id=10 …) і в результаті все одно завантажиться дана сторінка, то сайт на 90% може бути взломаний через sql ін’єкцію, оскільки не проводиться фільтрування отриманого від користувача параметру. В гіршому випадку отримаєте повідомлення про помилку, в кращому - пустий результат. Наприклад, .php?id=10 – повинно би повернути пустий sql запит, а .php?id=10” – помилку. В основному, ціль яка ставиться при використанні sql ін’єкції полягає у отриманні доступу до бази даних (зазвичай це MYSQL, безкоштовна для не комерційних проектів та надійна СУБД). Для розуміння наступних дій необхідні деякі знання із побудови запитів до БД. Так для визначення який номер стовпця виводить на сторінку інформацію достатньо виконати запит типу /test.php?id=10+union+select+’test’,null,null/* чи /test.php?id=10+union+select+null,’test’,null/*. Якщо з бази читається кілька параметрів то необхідно знайти той, що має тип text . А ці запити потрібно виконувати доки не побачимо слово test у потрібному місці. Одною із цікавих властивостей MYSQL є перетворення числового типу даних до будь-якого іншого, без породження при цьому помилки. Це майже як у РНР, змінній не присвоюється певний тип даних, що можна можна використати при взломі сайту, простим перевизначенням цієї змінної ( наприклад, присвоїти їй якусь адресу скрипта) . Цю властивість можна використати при такому запиті, де лапки можуть фільтруватися .php?id=10+union+select+1,2,3/* . Ім’я таблиці можна отримати наступним запитом .php?id=01+union+select+null,null,null+from+table1/* . Так можна часом знайти таблицю з ім’ям users, passwords etc і працювати вже безпосереньо з нею. Назви стовпців в таблиці вичисляються так .php?id=10+union+select+null,row1,null+from+table1/* . Якщо користувач має права на select то в результаті запиту .php?id=10+union+select+null,mysql.user.password,null+from+mysql.user/* можна отримати хеш пароля, який потім розшифровується.

Взломали Macworld за 10 секунд

Kurt Grutzmacher (фахівець з області комп’ютерної безпеки) в свому блозі розповів як йому вдалось попасти на конференцію Macworld. Вхід на цю конференцію коштує 1700 $ . Сайт Macworld , за його словами, мав занадто низький рівень захисту і йому без проблем вдалося його взломати. А взломаний сайт був через неякісний JavaScript код. Під час відвідин сайту, він вже містив перелік під назвою "Priority Codes", котрий і був взломаний за 10 сек. Наступного дня про недоліки захисту він розповів IDG World Expo організатору Macworld . Компанія на це не відреагувала. Це мені нагадало історію, коли в Естонії, нещодавно, школяр посів перше місце з математики. Але в кінці, жюрі засумнівались у правдивості його перемоги.

Google просто вбиває на місці. Цензура повертається

А почалося все із проекту StopBadware.org власником якого є Berkman Center for Internet and Society (входить у склад Гарвардської школи права) і Internet Institute (Оксфордський університет), а також компанії Google, Sun Microsystems и Lenovo. Суть проету полягає у виявленні шкідливого ПЗ в інтернет. Коли користувач, в результаті пошуку, отримав у Google перелік сайтів, то декотрі з них можуть бути помічені як небезпечні. І додатково юзеру з’являється повідомлення про те, що відвідини цього сайту може спричинити шкоду вашому комп’ютеру. Адреса сайту не блокується, але щоб туди попасти в браузері адресу потрібно набирати руцями. От і посипався шквал протестів на Google Groups, за те що алгоритм виявлення цих сайтів є не ефективний. Занадто часто звичайні сайти помічались як небезпечні. Google Groups проблему коментувати відмовилась, проте зголосився StopBadware.org . Хлопці пообіцяли переглянути свої рішення. Дослівно це прозвучало десь так. "Ми розуміємо на скільки це може бути неприємно і часто власники сайтів самі і не знають, що їх сайт містить чи якось пов’язаний із шкідливим ПЗ". Якщо хтось попав в цю категорію, пишіть заявки за адресою appeals@stopbadware.org .

I.UA - рекламуємо злив компромату?

Добрі люди з служби I.UA прислали мені (і думаю - дуже багатьом іншим) лист з пропозицією створити блог на їхньому сервісі.
Блог так блог. Інша справа - здивував текст запрошення. У преамбулі дослівно "Теперь у Вас есть возможность вести свой личный дневник, в котором можно
рассказать все что угодно: от рассказов о прошедших праздниках до историй о
замучившем Вас шефе или о преподавателе"
Цікаво, невже головним призначенням блогів бачиться саме "истории о замучившем Вас шефе или преподавателе"? До речі, в народі таке називається "компромат", і є характерним для не дуже чистоплотних середовищ пошинення інформації. Особливо, якщо врахувати, що "Мы не ограничиваем Вас в тематиках". Отаке...
До речі, указаний сервіс уже відзначився нав'язливими запрошенняии усіх підряд до реєстрації скриньок у них на сервері.

Вразливості FreeBSD та Linux

У Linux Kernel версії до 2.6.19.2 була віднайдена вразливість( рівень небезпеки низький). Належить вразливість до серії атака на відмову системи. Атака реалізується через функцію zlib_inflate(), що відповідає за обробку певних видів даних. Для реалізації вразливості необхідно сформувати cramfs образ, що спричинить відмову обслуговування системи. До цієї категорії належить і вразливість, що виникає при обробці семафорів функції mincore(). При використанні цієї функції на нерозмічених сторінках система може зависнути. Ну і націкавіша вразливість існує через те, що ядро некоректно обробляє пошкоджені структури даних в Ext2. Через спеціяльно сформований образ система знову зависає. Слід зауважити, що всі вразливості працюють тільки для локального користувача. Для вирішення цих проблем необхідно поставити ядро 2.6.19.2 , а стягнути його можна за адресою www.kernel.org.

Windows Home Server і з чим його їсти

Ну вже зовсім нещодавно на конференції CES 2007 Microsoft представила Windows Home Server (WHS). Ця операційка це гібрид всіх версій Windows, де в основі все таки лежить Windows Server 2003. Основне призначення – бути їй вдома і керувати мультимедіа та клієнтськими машинами.
Цікаво, що простий смертний не зможе прийти до магазину і купити собі цю ОС. При розробці Microsoft співпрацювала із НР( до цього вони мали HP MediaSmart Server) і коли ви будете купувати сервер НР то до нього і додасться WHS. А вихід планується на кінець літа.
Перше, що мене вражає так це МІНІМАЛЬНІ системні вимоги : 1ГГц процесора, 512 Мб операційки, 80Гб вінчестер, Ethernet .
В Home Server забрали Active Directory хоча сама синхронізація користувацьких облікових записів та паролей є. Клієнти зможуть зберігати свої файли за рахунок технології WHS Drive Extender (звичайнісіньке добавляння дисків ATA/SATA, USB/Firewire, тільки тепер цей процес ось так називається ). Дані від збоїв захищені за рахунок зазеркалювання (не RAID). Розподіл файлів здійснюється SMB протоколом (слава Linux). Присутньою є також технологія Single Instance Store, що використовується для зберігання даних. Суть полягає в тому, що виключно зміни добавляються до backup, зменшуючи його в розмірі та пришвидшуючи архівування. Це той самий інкрементальний backup, тільки знову назвали це по іншому. Коли Home Server помре, то в комп’ютер потрібно запхати пілюлю у вигляді компакт диску ( але не чистий, а той що додається до ОС) і чисто теоретично всі дані можна відновити. Є реалізований Remote Administration через ІЕ.

Ломати – не будувати, ще й за 8000$

Лабораторія iDefense Labs оголосила конкурс на взлом Vista та Internet Explorer 7. Конкурс триватиме до 31 березня. В кінці 6 переможців повинні отримати від 8 до 12 тис. долярів. Експлойт буде оцінюватися за оформленою до нього документацією та якістю коду. Він повинен ломати без допомоги сторонніх та додаткових програм. Хочу сказати, що я не знайшов переконливих гарантій отримання цих грошей. Тут або 8 000$ або 8 років без права переписки. Але те, що на облік поставлять це без сумніву. Проте все ж шанси взлому зараз звісно є великі. За повідомленням аналітика Gartner Майкла Сільвера (Michael Silver) Vista не готова до масового випуску. Нагадаю, що ще не готові тисячі драйверів до різних пристроїв.

Про інтернетівський детектор брехні

В кінці року минулого компанія з назвою BATM Advanced Communications випустила в світ детектор брехні призначений для інтернет-користувачів. Його можна використати, наприклад, при спілкуванні через інтернет в реальному часі. В програмі застосували складний механізм, що аналізує найменші зміни тембру мови, її тональності, швидкості, а також унікальні психологічні алгоритми, що дозволяють з визначеною ймовірністю сказати чи говорить людина правду. Програма працює за наступною схемою. Після підключення до каналу зв’язку необхідно зачекати 15 секунд для стабілізації голосових сигналів та вивчити особливості мови людини, що говорить. Потім програма в реальному часі скаже чи говорить людина правду. Результат виводиться у вигляді поліграфу чи за рівнем – зелений (абсолютна правда) або червоний ( абсолютна брехня). Точність роботи програми становить 90%. Під час своєї роботи програма повідомляє особу, для якої проводиться прослуховування, про те що її голос аналізується системою LieDetector. Качнути програму можна за адресою http://www.kishkish.com/liedetector/. Але не все так просто. Умовою користування програми є володіння програмою Skype 3.0 (19 мб). І коли буде йти до/від вас дзвінок то на передній фон і вискочить віконце детектора. Зауважу, що LieDetector не .ехе програма, це модуль до Skype 3.0 .

Vista-Melinda –користуйтесь люди

Не пройщло повних 2 неділі після офіційного виходу Windows Vista, а активація вже взломана. Хлопаки вирішили назвати програму-активатора – Мелінда, на честь жінки Біла Гейтса. Я собі уявляю як їй було приємно. Нагадаю, що на розробку операційки пішло 5 років і паралельно до неї вийшов Office 2007 . Ще 7 місяця року минулого фірма F-Secure, що займається питаннями комп’ютерної безпеки представила перший в світі вірус для бета версії Vista (ще колись Longhorn). Вірус успішно використовує успішну розроблену дірку у Microsoft Command Shell . Ще тоді висувалися думки що може Microsoft забере цю командну оболонку. А вірус був написаний австрійським хакером і він дозволяє отримати несанкціонований доступ через нестандартний запит до Microsoft Command Shell чи її надбудови Monad.

Новий вид спаму - спам приватних повідомлень на форумах

З'явився на світ новий вид спаму - спам приватних повідомлень. Бот реєструється на форумах (а може використовує ручками зареєстрований запис) і потім з під нього розсилає повідомлення через систему приватних повідомлень.
На початках ефективність такої методики спаму буде дуже висока, адже забезпечується:
- цільова тематична аудиторія, що відповідає тематиці вибраної вибірки форумів;
- високий відклик людей (у багатьох двигунах форумів попередження про повідомлення висилається на пошту, але без самого тексту повідомлення), користувач часто реагує на такі сигнали;
- низькі витрати на розсилку (нема розсилання на мільйони напівмертвих адресів).
Проте, імовірно, якщо така форма спаму буде популярною та створюватиме масові проблеми, двигуни форумів у нових версіях міститимуть захист від такого спаму. А захиститися не так вже і складно - достатньо використати систему візуального захисту (наприклад набір випадкових контрольних цифр).

Деякі підсумки минулого року

І знову хотілося б вернутися до казочок. Дослідницька ферма (фірма) Yankee Group вважає, що Windows Server 2003 є більш надійнішою системою, ніж серверний Linux. За їх дослідженнями Windows Server 2003 на 20% випереджують Enterprise Linux від Red Hat по показникам відмовостійкості. Windows є навіть кращою від Unix Sun Solaris та FreeBSD. Неприємним фактом є те, що дослідницька група Yankee вже колись погоріла на махінаціях. Але менше з тим. Хотілося б проаналізувати звідки взялася ця цифра. А відповідь проста, як двері – сервери на базі Windows значно менше використовують, ніж Unix, от і показник надійності вищий. Мій FreeBSD сервер вже рік не перезавантажувався і жодного разу не дав збій. А я знаю де працюють машини з Freebsd вже 5 років без жодного перевантаження. Коли така система обслуговує локалку то перезавантаження не є настільки критичне. Але більшість обслуговують домени Інтернет. Ще й до того діри Unix систем латаються швидше, не так швидко як цього хотілося б ( точно не за 30 годин, читай нижче), але швидше ніж Microsoft.

А Google ніколи не спить

За кілька годин після того як всі були вже п’яні, 1 січня в Інтернеті з’явився код вразливості Gmail. Вразливість дозволяла викрасти контакт лист цільового користувача. Вона пов’язана із тим, що перелік контактів зберігався в javascript і його можна було викликати через довільний сайт. Gmail не робив провірки, який сайт викликав цю функцію і як результат будь-хто міг прочитати перелік контактів цільового користувача. Єдина вимога використання вразливості полягає у тому, що потрібно мати активну сесію в Gmail. І за 30 годин діру залатали. Хочу ще раз нагадати, що це було 1 січня, коли всі нормальні люди сплять під ялинкою.
Чомусь перше, що спало мені на думку так це Microsoft. Мені стало цікаво, скільки їй потрібно було б місяців для ліквідації дірки такого типу. Якби корпорація навчилась працювати як Google, мені здається кількість ліцензій на їх продукти значно зросла б. Microsoft має значно більші кошти, більше працівників, так чому так повільно працюють? Буде справедливе народне прислів’я – маленька рибка краща від великого таргана.

Тенденції в глобальному розвитку Інтернету

Цікавий матеріал розмістила робоча група Південно-Каліфорнійського Університету. ЦЕ документ, який описує суттєві зміни в глобальній аудиторії Мережі в 2006 році. Документ (безкоштовна версія) є тут:
http://www.digitalcenter.org/pdf/2007-Digital-Future-Report-Press-Release-112906.pdf
з головного:
Користувачів Інтернету є понад 1 млрд., з них 7% мають власні блоги, а 12% власні сайти, 26% - онлайн-фото(підозрюю, що цифри завищено, хоча хто зна?).
США уже практично вичерпали людський ресурс приросту аудиторії Інтернету. 72% жителів країни користаються Мережею. Причому жінки користають Інтернетом більше за чоловіків.
Відзначається тенденція до перетворення онлайн-спільнот в реальні співтовариства та витіснення Інтернетом традиційних форм спілкування і підтримання товариських стосунків. Відзначається також поступове витіснення Інтернетом традиційного ТВ.

Syndicate content

© Інформаційні технології. Аналітика , Рідна Мережа