Цифровой журнал «Компьютерра» № 191

Почему миллиардные инвестиции не сделают открытые ОС безопаснее Андрей Васильков

Опубликовано 18 сентября 2013

Компания IBM вложит ещё один миллиард долларов в развитие Linux. Подробнее о структуре инвестиций будет объявлено на конференции LinuxCon в Новом Орлеане на этой неделе. Ожидается, что IBM в течение ближайших пяти лет будет софинансировать разработку приложений для серверов Power Systems, расширит облачные сервисы и привлечёт внимание к отрытым разработкам для архитектуры Power.

Генеральный менеджер IBM Power Systems Дуг Балог (Doug Balog) пояснил, что компания не будет отказываться от развития других операционных систем в пользу Linux:

Нашумевшая история с программой разведки PRISM породила новую волну интереса к Linux и свободному программному обеспечению. Поэтому такие вложения выглядят особенно логично. На этот раз камни летят не только в сторону Windows, но и других программных продуктов с закрытым исходным кодом.

Исполнительный директор Фонда свободного программного обеспечения Джон Салливан (John Sullivan) призывает отказаться от покупки новых iPhone 5S и 5C, мотивируя это явной угрозой приватности:

Заявление было написано вскоре после скандала, который породил эксперимент криптографа Мэтью Грина (Matthew Green), показавший, что Apple может читать зашифрованную переписку в iMessage: «В Apple могут призывать “думать иначе”, но правила безопасности касаются их тоже», — пишет он в заключение.

Сегодня достаётся даже основанной на ядре Linux ОС Android. Независимый консультант по вопросам информационной безопасности Майкл Хоровиц (Michael Horowitz) написал в своём блоге, что начиная с версии 2.2 все устройства под управлением Android по умолчанию отправляют сохранённые пароли от сетей Wi-Fi и другие приватные данные в дата-центры компании:

В качестве альтернативы Хоровиц упоминает проект Replicant, в рамках которого уже четвёртый год создаётся свободно распространяемая версия Android с открытым исходным кодом.

Действительно, в свете последних известий о размахе деятельности АНБ многие видят в открытом ПО средство спасения от протрояненных систем и основу доверенных платформ. Однако скептики в очередной раз предостерегают от ложных надежд.

Открытость ещё ничего не значит сама по себе. Порой опытные программисты с трудом читают свои же листинги старых проектов. Эффективный анализ чужого кода и вовсе под силу единицам. Причём совсем не факт, что эти специалисты высокого уровня захотят тратить на это неблагодарное занятие своё время.

Внедрить программную закладку в Linux или *BSD сегодня так же просто, как и в проприетарные ОС. При существующем объёме открытого кода они будут оставаться незамеченными месяцами, если не годами. Истории с переходившими от версии к версии критическими уязвимостями — наглядное тому подтверждение.

К примеру, уязвимость нулевого дня, вызывающая несанкционированное повышение привилегий, существовала в ядрах Linux версий с 2.6.37 до 3.8.8. Иными словами, серьёзную ошибку не замечали около двух с половиной лет.

«Зачем я буду проверять код, если до меня его уже досконально изучили тысячи более опытных волонтёров?» — примерно так думает большинство сторонников open source.

В самом деле, кто из вас лично проверял исходники хотя бы десятка популярных программ? Драйверов? Сколько пользователей вообще загрузили их для ознакомления? Единицы, и уровень их далёк от экспертного.

Впрочем, и специалистам приходится нелегко. Например, в коде хост-контроллера Intel xHCI (hub.c) целых восемь лет существовала ошибка с указанием тайм-аута, приводящая к внезапному отключению многих USB-устройств после выхода из режима ожидания. Баг не просто не замечали так долго. Его прицельно искали программисты Intel и многие члены Linux-сообщества, но не могли найти.

Серьёзный анализ кода часто становится невозможным или неоправданным из-за темпов разработки и разветвлённости направлений оптимизации. Пока вы будете изучать один релиз, напишут два новых.

Казалось бы, ладно — Linux. Там чёрт ногу сломит, в этом обилии дистрибутивов и их специфике. Есть же более узкоспециализированные операционные системы и защищённые программно-аппаратные решения от уважаемых компаний. Почему бы не довериться им?

Да хотя бы потому, что и в этих продуктах по-прежнему выявляются ошибки, выглядящие как явные программные закладки. Например, не так давно компания Hewlett-Packard подтвердила наличие бэкдоров в своих системах резервного копирования StoreOnce D2D Backup и хранения данных StoreVirtual Storage. Уязвимости, которые невозможно было устранить путём любых изменений конфигурации, существовали на протяжении четырёх лет.

Последний гвоздь в крышку гроба приватности забивает технический эксперт Роберт Погсон (Robert Pogson) из Университета Манитобы. Он сам сторонник концепции open source и считает это направление верным, но при этом спрашивает коллег: «С чего вы вообще взяли, что основные угрозы приватности реализованы на уровне бэкдоров в ОС и приложениях? Есть более удобные и универсальные способы контролировать всех на более низком уровне».

Речь идёт о низкоуровневых функциях современного «умного» железа — сетевых картах с изменяемыми настройками, маршрутизаторах с прошивками на базе полноценной ОС, UEFI с браузером и кучей встроенных утилит, независимой от платформы среды драйверов EBC, технологии Intel vPro, наконец.

Уже давно не удивляет возможность получить удалённый доступ к компьютерам без установки на них не только сетевых драйверов, но и самой операционной системы. Даже удалённое включение «выключенного» компьютера и изменение его BIOS по сети не выглядит чудом. И это только известные штатные функции, верхушка айсберга.

К оглавлению

Пять главных бизнес-моделей продажи цифровой музыки Олег Нечай

Опубликовано 18 сентября 2013

Восемнадцатого сентября 2013 года Apple наконец-то запускает долгожданный потоковый сервис iTunes Radio: бесплатное веб-радио станет частью мобильной операционной системы iOS 7, пользователи которой смогут создавать собственные «станции» с учётом своих уникальных музыкальных предпочтений. Сервис будет полностью бесплатным, причём подписчики iTunes Match даже не увидят никакой рекламы. Кроме того, веб-радио максимально упростит покупку музыки: слушатель сможет нажать кнопку «Купить» непосредственно во время трансляции понравившейся песни — или найдя её потом в «истории» прослушивания.

Фактически iTunes Radio представляет собой «вариацию на тему» интернет-радиоcервисов вроде Pandora, Spotify или Rhapsody, только для владельцев iPhone и iPad. Именно таким потоковым службам многие эксперты прочат большое будущее. Тем не менее, несмотря на рост популярности стриминговых веб-радиостанций, окупающихся за счёт демонстрации рекламы, многие до сих пор предпочитают скачивать музыку на свои плееры, поэтому тесная интеграция iTunes Radio с собственно iTunes может действительно подстегнуть продажи аудиозаписей через интернет. Так что в лице iTunes Radio та же Pandora может получить очень опасного конкурента.

Модель, реализованная в iTunes Radio, хорошо известна: выбираете жанр или исполнителя или альбом и получаете бесконечный автоматически сгенерированный поток музыки, которая, исходя из заданных критериев, должна вам понравиться. При этом можно отметить песни, которые вас особенно впечатлили или, напротив, треки, которые вы больше не хотели бы слышать никогда. В Apple также обещают эксклюзивные предложения самых свежих релизов и поддержку стриминга не только на мобильных устройствах, но и на настольных компьютерах.

Наблюдатели так давно ожидали появления потокового интернет-радио в исполнении Apple, что его реальный запуск даже теряется на фоне презентации новых iPhone 5S с биометрическим датчиком, а тем более — разноцветных пластмассовых iPhone 5C. Между тем это весьма значительное событие для всей индустрии цифровой музыки: компания, которая изначально сделала ставку именно на продажу легальных аудиозаписей, сегодня пытается стимулировать спрос с помощью бесплатного сервиса, эксплуатирующего принципиально иную бизнес-модель.

Всё больше крупных компаний обращают внимание на этот способ опосредованной продажи записей, при котором вроде бы основная функциональность сервиса предоставляется совершенно бесплатно (или на условиях просмотра рекламы), но сама технология веб-вещания провоцирует слушателя на случайные покупки, сделанные нередко чисто из-за минутного порыва. Поскольку цена отдельного трека очень невелика, такие покупки не станут обузой даже для студенческого бюджета, а в процессе прослушивания веб-радио будет формироваться стойкая привычка приобретать понравившиеся песни.

Любопытно, что компанию Apple, слишком долго тянувшую с открытием iTunes Radio, умудрилась немного опередить даже Microsoft, которая уже с 9 сентября сделала бесплатный стриминговый веб-сервис Xbox Music доступным не только для пользователей Windows 8 и приставок Xbox, но и для любых других посетителей Всемирной сети. Впрочем, тем, кто намерен использовать для доступа к Xbox Music приложения для iOS и Android, придётся выложить $9,99 за месячный или $99 за годовой «музыкальный пропуск»: веб-сервис бесплатен при условии просмотра рекламы.

Итак, к 2013 году сложилось целых пять устойчиво функционирующих моделей легального распространения цифровой музыки, которые можно приравнять к моделям продажи — даже если формально такой сервис и не торгует записями, а получает доход лишь от демонстрации рекламы. Эти пять моделей можно условно назвать так: «Магазин», «Склад», «Поток», «Библиотека» и YouTube.

1. «Магазин». Самая старая бизнес-модель распространения записей, производная от классических магазинов физических носителей — пластинок, плёнок, кассет и компакт-дисков. Покупатель находит нужную песню на веб-сайте и нажимает кнопку «купить», после чего с его счёта списывается некоторая сумма (сегодня это около одного доллара). Как минимум с начала 2009 года, когда Apple прекратила устанавливать защиту DRM в треках, продаваемых через iTunes, загруженный на компьютер, смартфон или планшет покупателя аудиофайл можно использовать без ограничений в любом звуковоспроизводящем устройстве — от ПК до плеера.

2. «Склад». Некоторые продавцы музыки (к примеру, Apple или Amazon) готовы за определённую плату хранить всю вашу коллекцию файлов на своих «облачных» серверах. В России годовая подписка на сервис Apple iTunes Match обойдётся в 799 рублей, при этом в «облако» iCloud можно загрузить не только музыку, купленную в iTunes, но и любые аудиофайлы, скопированные с компакт-дисков или полученные из каких-то других источников. Те треки из коллекции, которые продаются в магазине iTunes Store, автоматически добавляются в «облако», и их не нужно отдельно загружать на сервер. При этом вся хранящаяся там музыка доступна на любых устройствах клиента, способных работать с iCloud, — смартфонах iPhone, плеерах iPod touch, планшетах iPad, а также на компьютерах Mac или PC.

3. «Поток». Стриминговый сервис, с которого мы и начали разговор. Лучший пример такого интернет-радио — Pandora, когда на основе того, какие жанры, исполнители, песни или альбомы нравятся подписчику, сайт по специальному алгоритму составляет плейлист из других композиций, которые должны ему понравиться. Услуги сервисов обычно бесплатны для пользователей, просматривающих рекламу, однако есть и ограничения как на число прослушиваемых треков в течение определённого времени (неинтересные, как правило, можно пропускать), так и на число песен определённого исполнителя. Возможен и вариант без рекламы, но с абонентской платой (например, Rdio).

4. «Библиотека». По этой схеме работают Spotify и Rdio: на серверах компании хранится большая библиотека аудиофайлов, и клиент за определённую плату может прослушивать любые их этих файлов в любом сочетании и любом количестве: если вам нужны 24 часа Iron Maiden или Genesis, вы их получите. У владельцев аккаунтов Facebook есть возможность бесплатно пользоваться услугами Spotify, прослушивая рекламные ролики, в то время как Rdio работает только за деньги. Бизнес-модель «Библиотеки» очень похожа на «Поток», только здесь нет различных ограничений на воспроизводимый контент. При этом вам всё так же требуется постоянное подключение к интернету и вы не можете (официально) загрузить файлы на свой компьютер.

5. YouTube. Для этого сервиса излишне придумывать какое-то особое название: это уникальное явление как по масштабам, так и по разнообразию способов использования. Хотя формально YouTube предназначен для размещения видеороликов и не считается музыкальным сервисом, по данным Nielsen, почти две трети американских подростков слушают музыку на этом сайте, предпочитая его любым другим носителям. Такая неожиданно массовая любовь меломанов к видеохостингу объясняется просто: в YouTube огромная библиотека всевозможных записей, от музыкальных видео до обычных аудиотреков, проиллюстрированных статичными картинками, имеется функция рекомендаций на основе просмотренных роликов — и всё это совершенно бесплатно! К тому же сервис доступен не только на настольных компьютерах, но и на планшетах и смартфонах, клиенты YouTube есть в «умных» телевизорах, сетевых медиаплеерах и игровых приставках. Фактически YouTube совмещает все достоинства «Хранилища», «Потока» и «Библиотеки», при этом бесплатен, легален, а благодаря демонстрируемой пользователям рекламе даже способен отсылать авторские отчисления исполнителям.

Сам факт существования пяти различных моделей распространения музыки, востребованных пользователями, означает, что даже в эпоху цифровых файлов далеко не все готовы забивать свои винчестеры полными дискографиями любимых исполнителей и тратить на это внушительные суммы. Значительной части меломанов достаточно самой возможности доступа к обширной фонотеке, хранящейся на серверах различных музыкальных служб. Любители музыкальных радиостанций теперь могут самостоятельно создавать каналы с индивидуальной программой, формируемой с учётом их вкусов и предпочтений. Наконец, можно создать виртуальную копию своей коллекции звукозаписей в «облаке» и сделать её доступной для прослушивания в любом месте, где есть выход в интернет.

И всё это — совершенно легальные схемы, причём очень недорогие для конечного пользователя. Похоже, звукозаписывающий бизнес при посредничестве высокотехнологичных гигантов всё-таки постепенно нащупывает оптимальные способы получения прибыли в новую эру виртуальных цифровых носителей, приемлемые для них самих, а самое главное, удобные для слушателей.

К оглавлению