По данным W3Techs, под управлением Apache сегодня работают 60,7% всех сайтов интернета. Написанный Игорем Сысоевым HTTP и почтовый сервер nginx обслуживает около 18% популярных российских сайтов, включая «Яндекс», Mail.Ru, «Рамблер» и «ВКонтакте».

По оценке издания ArsTechnica, критическая уязвимость в OpenSSL   Особенно важен тот факт, что атака с использованием данной уязвимости не оставляет никаких следов в логах сервера, поэтому не существует способа достоверно узнать, воспользовался ли кто-то   Уязвимость в OpenSSL была обнаружена экспертами из фирмы Codenomicon в начале апреля. Факт её существования подтверждён независимым исследованием исходного кода библиотеки ssl/d1_both.c, проведённым группой под руководством специалиста по вопросам безопасности компании Google Нила Мехты (Neel Mehta).затронула в общей сложности более двух третей сайтов в мире. «Возможно, нам следует выкинуть наш SSL-сертификат и получить новый», — пишут в блоге проекта Tor. этой ошибкой.

«Ради проверки мы решили взломать сами себя, — рассказывает Мехта. — Мы смогли получить секретные ключи, используемые для сертификатов X.509, имена пользователей и их пароли, перехватить мгновенные сообщения и электронные письма, прочесть критически важные для бизнеса документы».

Патч для OpenSSL был выпущен Ником Салливаном (Nick Sullivan) — системным программистом компании CloudFlare. Ему помогали программист Google Адам Лэнгли (Adam Langley) и советник по безопасности The OpenSSL Project Бодо Мюллер (Bodo Moeller).

Наиболее важная часть исправлений коснулась добавления проверки длины полезной нагрузки.

Они же придержали опубликование официального бюллетеня с описанием ошибки до её исправления. Однако по результатам своих исследований группа Мехта вынесла крайне неутешительный прогноз: поскольку уязвимость существовала давно и факты о её эксплуатации получить невозможно, её уже могут скрыто использовать для получения несанкционированного доступа и создания других обходных путей на будущее. Поэтому, считают эксперты Google, проблема НСД останется актуальной даже после установки патча.

Пока в бюллетене и распространённых информационных сообщениях официально советуют предпринять следующие шаги:

установить исправленную версию OpenSSL 1.0.1g или 1.0.2-beta2 либо перекомпилировать пакет OpenSSL с ключом OPENSSL_NO_HEARTBEATS;

перевыпустить SSL-сертификат;

использовать приманки (honeypot), имитирующие наличие серверов с уязвимым пакетом OpenSSL, и проверять подключения к ним.

К оглавлению

Уроки «кубинского Твиттера»: кто на самом деле стоит за Facebook, Google, другими ИТ-гигантами?

Евгений Золотов

Опубликовано 07 апреля 2014

Я скептически отношусь к разделяемой многими конспирологической теории о «правительственном следе в родословной ИТ-гигантов». Подозревать Facebook или Google в том, что они появились на свет как тайный проект американских спецслужб для глобальной слежки, подозревать в том же, но с китайской стороны, Huawei Technologies кажется мне не столько глупым, сколько бесполезным. Какой прок от таких рассуждений, что практически полезного можно из них вынести? Разве что потешить самолюбие. Граничащее же с паранойей любопытство способно завести ой как далеко — и совсем недавно все желающие могли убедиться в этом на примере уже упомянутой Huawei: какие-токак оказалось, пытаясь найти хоть доказательства вины, американские «партнёры» сами прибегали к грязным методам шпионажа.

Другой разговор, если подозрения подкрепляются фактами. Из этого уже можно извлечь кое-что ценное. Примером такой истории способен послужить разгорающийся сейчас скандал вокруг «кубинского Твиттера» ZunZuneo.com. В четверг агентство Associated Press обнародовало результаты своего расследования: документы и рассказы участников неопровержимо свидетельствуют о шпионской сути этого проекта.

Впрочем, прежде чем рассказать о ZunZuneo, стоит пояснить, какова ситуация с интернетом и персональными коммуникациями на Кубе. Остров Свободы остаётся одним из немногих регионов на Земле, где нищета населения, правящий режим и международные санкции (в данном случае на импорт телекоммуникационных и компьютерных технологий) свели пользование цифровой техникой практически к нулю. Согласно неофициальной статистике, в лучшем случае каждый третий кубинец имеет формальный интернет-доступ, на самом же деле речь идёт всего лишь о национальном интранете — доступом же в настоящую Глобальную сеть наслаждаются лишь некоторые госслужащие да туристы. Простые кубинцы могут подключиться к «внешке» только нелегально, заимев спутниковый телефон либо приобретя временный доступ у коррумпированных чиновников. Но, поскольку с компьютерами ситуация такая же аховая, а услуга мобильного доступа в интернет то ли не предоставляется (что там, до 2008 года даже мобильные телефоны сами по себе были запрещены!), то ли слишком дорога, практически единственной формой персональных коммуникаций для простых граждан Кубы остаётся СМС (тоже, кстати, не задёшево).

Кубинцам живётся легче, чем, к примеру, северокорейцам (у которых запрещены даже радиоприёмники со свободным диапазоном), но спрос на коммуникации в стране огромный и неудовлетворённый. И вот тут появляется такая удобная ZunZuneo: идейно схожая со знакомым нам Twitter, разве что построенная поверх СМС, она дала кубинцам возможность общаться с друзьями и единомышленниками бесплатно.

Благодаря AP мы знаем теперь, что инициатором этого проекта было государственное, подконтрольное президенту Агентство международного развития США (USAid), формально занятое оказанием гуманитарной помощи пострадавшим от стихийных бедствий, беженцам, голодающим и пр. Однако авторство было тщательно и сознательно скрыто. Нанимая посторонние компании (их имена, в общем, не имеют значения, хоть одна — американская Mobile Accord — как выясняется, замешана и в других «совместных» с правительством проектах), предоставляя финансирование через офшор, USAid замело следы, создав иллюзию обычного коммерческого доткома. 

Конечной целью стартовавшего в 2010-м году ZunZuneo была ни много ни мало реализация на Кубе сценария «арабской весны». Зарегистрировав несколько сот тысяч пользователей (на самом деле аудитория не превысила 40 тысяч человек и полумиллиона мобильных абонентов, которые только получали сообщения, но не отправляли — что при населении страны немногим больше 10 миллионов человек тоже может расцениваться как успех) и дав им возможность беспрепятственно, а в перспективе и анонимно общаться, создатели ZunZuneo планировали со временем организовать вброс новостей провокационно-политического толка (возможно, и силами самих пользователей, для чего вёлся сбор информации о них).

В данный момент скандал растёт и ширится. Пресс-секретарь Белого дома заявил, что Обама ни о чём не знал, хоть такой проект обязательно должен быть одобрен президентом. В свою очередь, ребята из USAid уверены, что за рамки закона не вышли, потому что их якобы неоднократно проверяли посылаемые законодателями комиссии. Сайт ZunZuneo.com уже больше года не функционирует, но самое смешное, что в эти выходные исчезла даже его копия из интернет-архива Archive.org (до чего же мелко!).

Нам, впрочем, важно другое. Со стороны ZunZuneo выглядел очень естественно. Рассказы пользователей рисуют картину становления типичного доткома. Сначала о нём почти никто не знает, и редкие энтузиасты исследуют его из любопытства, потом набирается критическая масса — и проект переживает взрыв популярности. И всё это время там обитают простые люди, обсуждаются обычные темы, ничто не выдаёт его «искусственной» натуры. Получается, отличить «шпионскую» компанию от настоящей по внешним признакам невозможно. И в этом главный урок ZunZuneo. 

«Кубинский Твиттер» не выдержал проверки славой. Популярность росла слишком быстро, а бесплатные эсэмэски кто-то должен был оплачивать — и у владельцев проекта банально кончились деньги. Бюджета USAid перестало хватать, найти сторонних инвесторов не удалось (общались даже с Джеком Дорси — сооснователем Twitter, Square), реклама же в условиях кубинской нищеты и тоталитаризма не окупила бы затрат.

Но у Facebook, Google, Twitter таких трудностей нет. У них (даже у Twitter, в которую долго не верили) естественный, «органический» рост, поддержанный рекламными поступлениями. И вопросом, в какой степени можно доверять той же Twitter, теперь задаются даже на Западе: только за выходные появилось несколько таких публикаций в англоязычных СМИ.

Что если и впрямь все эти невероятно успешные американские компании, построенные самородками доткомовской волны в гаражах, суть всего лишь гигантские машины политического влияния? Отталкиваясь же от истории ZunZuneo, можно шагнуть и дальше: например, теперь легко объясняются привычка Марка Цукерберга бросаться миллиардами и странные прихоти «гугловских близняшек», занимающихся прожектами, весьма далёкими от стержневого поисково-рекламного дела...

В статье использованы иллюстрации Paul Keller, Rog01, Achy Obejas.

К оглавлению

Гид

4 лучших файловых менеджера для облачных хранилищ

Олег Нечай

Опубликовано 11 апреля 2014

Когда-то все наши файлы умещались на жёстком диске компьютера и нескольких дискетах. Сегодня мы всё чаще пользуемся облачными хранилищами, а на рынке появляется всё больше сервисов, которые совершенно бесплатно предоставляют весьма внушительные дисковые ёмкости. И совсем скоро многие могут столкнуться с неожиданной ситуацией, когда будет непросто отыскать нужный файл, хранящийся на каком-то из нескольких облачных дисков. Уже сегодня мы не всегда можем вспомнить, куда загрузили рабочую таблицу — в Google Drive или в Dropbox? Или где хранится окончательный вариант презентации — в OneDrive или в SugarSync? А куда же мы сохранили те самые фотографии из отпуска — во Flickr или, может, в «Яндекс.Диск»?

Лучше всего в такой ситуации воспользоваться файловыми менеджерами, которые позволяют работать с разными облачными сервисами точно так же, как если бы это были жёсткие диски вашего компьютера. Существует два варианта. Во-первых, можно воспользоваться обычными десктопными файловыми менеджерами вроде популярного Total Commander, в которые автоматически интегрируются приложения разных облачных сервисов в виде отдельных папок или дисков. В мобильной версии Total Commander для Android есть встроенные плагины для доступа к Google Drive, Microsoft Live и Dropbox, при этом поддерживается установка и дополнительных плагинов — например, TotalBox или Google Drive.

Второй вариант — использовать специализированные онлайновые службы, доступные с любого компьютера с выходом в интернет. Этот вариант, на наш взгляд, безусловно предпочтительнее, поскольку мы как раз для того и помещаем наши файлы в «облака», чтобы они были всегда, так сказать, на расстоянии протянутой руки. Вот несколько таких онлайновых сервисов, способных работать со множеством популярных облачных хранилищ.

1. Primadesk

Primadesk — это не только онлайновый сервис, это ещё и мобильное приложение, доступное в версиях для Android и iOS. 

Главная идея Primadesk сводится к тому, что, открыв «рабочий стол» этой службы, вы сразу получаете информацию о всём происшедшем с вашими аккаунтами за последние 24 часа, что делает её особенно полезной, если вы пользуетесь множеством различных облачных сервисов. К Primadesk можно подключить сразу несколько учётных записей электронной почты от одного провайдера (например, несколько аккаунтов Gmail) и управлять ими всеми из одного окна. Дополнительно можно установить расширение в браузер для быстрого доступа к подключённым хранилищам без необходимости ввода паролей.

После регистрации в веб-сервисе Primadesk вам будет предложено подключить в нему аккаунты 39 разных сетевых служб — от Dropbox и Google Drive до Facebook и Twitter. В течение нескольких часов приложение будет сканировать эти аккаунты, после чего вы сможете вести поиск среди размещённых там файлов, в том числе по ключевому слову, диапазону дат и содержимому. 

Перемещать файлы между разными сервисами можно простым перетаскиванием, а 256-битное шифрование и доступ по HTTPS позволяют защитить ваши данные. К слову, поскольку основатели Primadesk — это те же люди, что разработали и известный брандмауэр ZoneAlarm, можно рассчитывать на то, что к безопасности они относятся вполне серьёзно.

Бесплатно любым пользователям Primadesk предоставляется возможность подключения до 5 аккаунтов сетевых сервисов и гигабайт дискового пространства для резервного копирования данных, а за дополнительную плату можно получить поддержку неограниченного числа аккаунтов и 10 или 30 Гбайт хранилища для бэкапа. Заметный и для кого-то существенный недостаток Primadesk — отсутствие возможности просмотра и редактирования заметок Evernote. И, увы, Primadesk не умеет работать ни с одним отечественным облачным хранилищем.

2. CloudKafé

По числу поддерживаемых облачных сервисов CloudKafé твёрдый середнячок — их 18, — но при этом он полностью бесплатен. И, о чудо, в нём есть поддержка «Яндекс.Диск»! Но, в отличие от Primadesk, у этой службы нет мобильных приложений и она работает исключительно через веб-интерфейс. 

При этом CloudKafé может похвастаться красивым лаконичным дизайном и уникальной функцией Baskets («Корзины»). Смысл её заключается в том, что вы можете набирать в такие корзины файлы из разных облачных хранилищ и делиться ими с друзьями или коллегами, просто вводя их адреса электронной почты. 

Ещё одна необычная функция, реализованная в CloudKafé, — это единая адресная книга для аккаунтов Google, Yahoo и LinkedIn, причём вы можете использовать по нескольку аккаунтов для каждого сервиса.

Все файлы, хранящиеся в подключённых облаках, сортируются по большим понятным группам — «Документы», «Фотографии», «Видео», «Заметки», «Контакты» и уже упомянутые «Корзины». Это очень практично, поскольку не редкость, когда, к примеру, фото или видеоролики случайно попадают в папки документов в облачных хранилищах, где и остаются забытыми навсегда.

При этом в CloudKafé поддерживается просмотр и редактирование заметок Evernote, а это большой плюс для бесплатного сервиса. Предусмотрена функция поиска файлов по всем подключённым облакам с последующим распределением результатов по перечисленным выше группам-категориям. 

Заметных недостатков у CloudKafé всего два — невозможность перемещения файлов между разными облачными хранилищами и отсутствие функции резервного копирования, что простительно для бесплатного сервиса. В целом же это очень удобное и простое в использовании веб-приложение.

3. JoliCloud

JoliCloud, как и Primadesk, доступен в качестве онлайнового сервиса через веб-интерфейс, а также в виде мобильного приложения, но только для устройств под управлением iOS. 

Зарегистрировавшись и подключив к JoliCloud нужные аккаунты, вы получаете большой рабочий стол, на котором можно управлять всеми вашими облачными сервисами — всего их 13. В JoliCloud нет встроенного почтового клиента, вместо этого предлагается некий единый «социальный поток», включающей в себя Facebook, Google+. Feedly, Tumblr и прочие аналогичные сервисы. В JoliCloud предусмотрена встроенная функция просмотра заметок Evernote.