46437 (Сетевые проблемы в российских компьютерных журналах), страница 4

Статья Андрея Гришина «Один для всех» (№10; октябрь 2006) посвящена системе аутентификации OpenID, к которой обращались и авторы публикаций, рассмотренных выше. Автор обращает внимание на все возможные стороны проблемы OpenID – от причин возникновения до возможностей злоупотребления. Автор не видит лучшего выхода из проблемы запоминания логинов и паролей, чем хранение единого набора аутентификаторов для всех сервисов на удаленном сервере: «Идеалом был бы единый сервис аутентификации для абсолютно всех веб-служб, вне зависимости от того, кому она принадлежит. Проект OpenID занимается именно этим – когда данный сервис станет стандартом, пользователи забудут про частый ввод логинов и паролей». Еще одно неоспоримое достоинство системы в глазах автора – ее архитектура. Аутентификаторы хранятся на распределенных серверах, что выгодно отличает эту систему от централизованных систем (таких, как «Windows LiveID»): «OpenID не называлась бы открытой системой, если бы в ней хранились данные на едином сервере, который мог бы кем-то контролироваться. Логины и пароли пользователя могут находится на абсолютно любом веб-сервере, поддерживающем OpenID – в зависимости от выбора пользователя». Более того, при наличии возможности пользователь может превратить собственный сервер в сервер OpenID. Однако автор отмечает, что в достоинствах системы кроется и корень возможных проблем. Наличие возможности выбора сервера возлагает на пользователя часть ответственности за сохранность аутентификационных данных, а возможность создания собственного сервера – к невозможности прекратить поток спама путем бана: «Конечно, хорошие серверы OpenID не позволят зарегистрировать тысячу ников с последовательно возрастающими номерами. Но беда в том, что спамер может установить собственный сервер OpenID. Такова обратная сторона свободы». И, несмотря на очевидные недостатки, лежащие в основе системы, автор отмечает ее успешное развитие и относится к ней с выраженным энтузиазмом: «Хочется надеяться, что в будущем, когда все основные проблемы автоматической авторизации будут решены, OpenID (может быть, и его наследник) станет поддерживаться на каждом сайте. В этом случае облик Интернета станет абсолютно другим».

Статья «Сеть вместо софта» (№12; декабрь 2006) посвящена сетевым сервисам, заменяющим настольные приложения, однако в первую очередь ценна тем, что дает читателю общее понятие о концепции Web 2.0. Анонимный автор отмечает: « Как известно, до сих пор не существует четкого определения понятия Web 2.0. Дело в том, что Web 2.0 – это не заново изобретенный принцип World Wide Web, а нечто более широкое, объединяющее многие течения». Автор отмечает следующие общие принципы, объединяющие сервисы Web 2.0: замена приложения службой, совместная работа пользователей над документами, фолксономия, «бесконечная бета», объясняет понятие long tail. Основная часть статьи посвящена описанию работы с веб-приложениями. Автор относится к их появлению с воодушевлением, даже восторженно: «Благодаря Web 2.0 они [пользователи] могут сегодня бесплатно пользоваться приложениям, которые еще совсем недавно стоили довольно дорого – например, офисными программами для создания текстов или таблиц». Однако в статье нет ни слова о том, какие опасности могут таить веб-приложения. Не упоминает автор и о том, что постоянная работа с данными приложениями доступна немногим пользователям, в квартиры которых проведен широкополосный Интернет.

Как ни странно, именно журнал «Chip», имеющий практическую направленность, публикует обширный материал, посвящённый социальным новостным сервисам, в котором сделана попытка выявления различных моделей их наполнения и функционирования. Обзор Надежды Баловсяк «Социальные новости» (№2, февраль 2007) посвящён новостным сайтам, содержание которых формирует сообщество пользователей, а не группа редакторов. Кроме собственно обзора, в материал включено мини-интервью с экспертом – разработчиком одного из подобных проектов, Виктором Захарченко.

Автор прослеживает развитие сервисов социальных новостей от коллективных блогов и дайджестов русскоязычной блогосферы (которые могли формироваться вручную, редакторами сервиса, или с помощью RSS-агрегации), однако современные русскоязычные сайты данного типа называет «клонами Digg.com» – несмотря на то, что автор раскрывает различия в моделях их функционирования, хотя и не акцентирует на этом внимания читателя. При этом последнюю главку обзора автор начинает словами: «Таким образом, на сегодняшний день можно выделить несколько моделей сервисов», хотя из дальнейшего повествования становится понятно, что в данном случае автор имеет в виду всё те же сервисы социальных новостей, блоги и традиционные новостные ресурсы. С точки зрения автора, никакой конкуренции между ними нет, и, тем не менее, он ставит вопрос об их жизнеспособности. При этом никакого серьёзного анализа ситуации он не предлагает, а ответ на вопрос тривиален и, более того, противоречит тезису об отсутствии конкуренции между разными типами сервисов: «Ответить на него можно будет со временем, но очевидно одно: популярными будут те сервисы, которые предложат пользователям новое решение, объединяющее эти подходы». Описанные противоречия представляются допущенными непреднамеренно, однако они в значительной степени снижают доверие читателя к обзору.

В 2007 году журнал «Chip» начал уделять пристальное внимание безопасности работы в Сети. Наиболее ярким свидетельством тому является запуск продолжающейся серии публикаций Валентина Плетцнера «CSI: Место преступления – Интернет». Определить их жанровую принадлежность затруднительно. Как дизайн соответствующих полос, так и композиция материала и манера изложения служат для стилизации под американский телесериал «C.S.I.: Место преступления». Каждый из материалов выстроен как детективный рассказ о расследовании преступления в сфере информационной безопасности, жертвой которого стал читатель «Chip», однако в материале нет указаний ни на то, что он основан на реальных событиях, ни на то, что все персонажи и события являются вымышленными. Автор подробно описывает весь процесс раскрытия преступления – от поступления жалобы до нахождения преступника (или до окончательной потери следа). Обязательно воссоздаётся механизм хакерской атаки, приводятся комментарии сторонних экспертов. Каждый материал завершается небольшим советом, как не стать жертвой такого преступления в будущем.

Рассмотрим для примера 5 часть этого «сериала» (№ 8, август 2007). Его героиней является девушка Людмила, бывший возлюбленный которой инфицировал систему, установленную на её компьютере, и получил возможность перехватывать её электронную почту и выводить её из себя упрёками. Работа криминалистов описана детально, однако недостаточно подробно для того, чтобы читатель смог повторить их действия. Кроме того, постоянно подчёркивается, что для расследования хакерских атак необходимы профессиональные навыки и инструменты: «С помощью профессионального дизассемблера IDA компании DataRescue бинарный код трояна [22] преобразуется в язык ассемблера. После этого профессионалы могут без труда прочесть код и безошибочно определить функции вредителя». В то же время советы по профилактике подобных происшествий даются скупо, в двух предложениях: «Мы советуем ей осторожнее обращаться с незнакомыми файлами и электронными письмами, а также регулярно скачивать обновления. Любые другие меры могут осложнить для непрофессионала работу на ПК». При этом приглашённый эксперт Евгений Касперский [23] замечает: «Хакерские атаки становятся всё более изощрёнными и прицельными. Но это создаёт проблемы скорее для фирм, нежели для частных пользователей». И сразу же после материала следует врезка: «www.viruslist.com/weblog: блог для экспертов, организованный Касперским, рассказывает о том, что разгул вредоносных программ становится повседневным делом». То есть, автор одновременно и успокаивает читателя, и заставляет его встревожиться. В связи с этим любопытным представляется вопрос о цели данного материала. Такие приёмы характерны для материалов, главная функция которых – рекламная, однако ни имена криминалистов, ни организация, которую они представляют, не были названы. Таким образом, представляется, что данный приём употреблён случайно, неосознанно, и данный текст можно назвать развлекательно-просветительским.

Среди других публикаций, посвящённых компьютерной безопасности, следует выделить статью «По следам Интернет-мафии» (№ 2, февраль 2008). Написана она в том же стиле, что и серия «CSI: Место преступления – Интернет», однако в данном случае имя автора не указано, и сделать какие-либо выводы об авторстве материала невозможно. Статья целиком посвящена описанию методов работы преступников в Интернете и выстроена нестандартно: анонимный автор ведёт повествование от лица коллектива «тайных агентов», которые проникли в круг Интернет-мафиози и рассказывают читателю об используемых ими криминальных схемах. Автор останавливается подробно на нескольких видах преступлений в Интернете: фишинг-атаках [24], использовании троянских программ, краже номеров ICQ, продаже трафика и распределённых атаках типа «отказ от обслуживания» [25]. Процесс «вступления в контакт» с хакерами и покупки троянской программы у одного из них описан досконально. Автор включает в материал рекламу «услуг» Интернет-преступников, цены на вредоносные программы, подробные алгоритмы совершения преступлений (описание дублируется на иллюстрации-схеме), методику сохранения хакерами анонимности, а главное – уделяет внимание проблеме вовлечения сторонних людей в криминальную деятельность в Интернете. В статье упоминаются два вида деятельности, для которых обычно обманным путём привлекаются законопослушные люди: перевод денег, похищенных в ходе фишинг-атаки, на заграничный счёт хакера, и добровольное встраивание в собственную веб-страницу фрейма [26], который якобы обеспечивает прибыль от каждого посетителя. К сожалению, упоминаются они мимоходом, на них не заостряется внимание. Разоблачение предложений преступников производится сжато, в двух-трёх фразах, и автор не даёт никаких рекомендаций по распознанию хакерских предложений: «На самом деле эта затея рискованная и малоприбыльная. За 1000 посетителей в день хозяин сайта получает всего 5 рублей. При этом фрейм, как правило, содержит вредоносное ПО или рекламу, вопреки уверениям продавца, что его предложение легально и совершенно безобидно». То есть, автор отклоняется от общей практической направленности журнала, предпочитая давать теоретические сведения, безусловно интересные и важные, но не давая тех сведений, которые можно применить на практике.

Повествование откровенно беллетризовано: «Словно тайные агенты, мы проникаем в самые тёмные углы Интернета, где вершит свои дела организованная преступность». Автор активно обращается к эмоциям читателя, будто бы специально запугивая его: «Организованная преступность предлагает свои услуги открыто, не боясь ни государства, ни частных охранных фирм. И бояться ей действительно нечего: редкие проколы для неё – как с гуся вода»; «Мафия не боится ничего, а Интернет-мафия особенно». Среди подобных «голословных» утверждений встречаются и обоснованные, которые могут объяснить общий тревожный тон статьи: «Программы, с которыми мы столкнулись, имеют одну общую черту: они становятся всё более профессиональными и серьёзными. Даже экспертам иногда бывает трудно отличить «хорошее» приложение от зловредного». В статье встречаются и курьёзные примеры проявления авторской эмоциональности. К примеру, описывая фиктивную покупку троянской программы, автор негодует по поводу хитрости и жадности хакера: «Троян уже несколько устарел – хакеру это известно, нам тоже. Торгуемся на ломаном английском. Изменённая криптером сигнатура – вот и всё, что в трояне нового. За это хакер просит 300 WMZ, то есть долларов». Или иронически замечает: «Сомнительные или криминальные веб-сайты почти не выдают себя – разве что парой мелочей. Например, на многих из них отсутствует информация об авторах, в качестве контактов указаны адреса ICQ, а английский язык напоминает перевод в духе Babelfish [27]».

Тем не менее, несмотря на уход от практического направления, автор статьи не приходит к серьёзному публицистическому анализу явления Интернет-преступности. Автор, завершая статью, делает малоубедительную попытку ответить на вопрос, кто стоит за Интернет-мафией: «Кто проворачивает все эти махинации в Интернете – несомненно, самый интересный вопрос. Даже эксперты, которые занимаются данной темой уже несколько лет, не смогли дать удовлетворительного ответа. Так, на конференции по информационной безопасности Black Hat один хакер выразил мнение, что это дело рук русской мафии. Другие придерживаются теории заговора, что якобы за этим стоит бывший сотрудник КГБ. На вопрос, не кроются ли за этим всем какие-нибудь известные организации, мы услышали только: «Не будем обобщать»». Обе версии, предполагающие исключительно «русский след», больше похожи на догадки. Собственного вывода автор не делает, однако сделать его на приведённом в статье материале и невозможно.

Таким образом, можно сделать вывод, что в обоих случаях при освещении проблем безопасности в Интернете авторы журнала «Chip» дают минимум рекомендаций читателям и избегают серьёзного публицистического анализа данных проблем, предпочитая преподносить их в развлекательно-просветительском ключе.