Коллектив Авторов - Цифровой журнал «Компьютерра» № 181

А вот малым да средним бизнесменам в области ИТ, равно как и работающим по найму специалистам, стоит присмотреться к третьей сверху строчке в прогнозе от Gartner — той, которая Enterprise Software… Расходы на ПО растут куда быстрее средних по отрасли. 4,7% в 2012 году (против общих 2,5%). На 2013-й предсказываются в 6,4% (на фоне 2,0%), на 2014-й — 6,6% и оптимистичные 4,1%…

А ведь разработка программного обеспечения на экспорт — это одна из отраслей национальной экономики нашей страны, которая хоть и невелика, но высокотехнологическая (кроме оружейного экспорта). И динамично растёт. И – единственная рост цен на энергоресурсыеё коснётся в минимальной степени (куда меньше, чем промышленное производство). Так что, может быть, стоит присмотреться к ней?

Да и в целом рост нашей стране предсказывается не такой маленький (если сравнивать не с Китаем, а с США и ЕС). И растущие отрасли будут потреблять как аппаратное и программное обеспечение, так и услуги (хоть и не в таких масштабах, как хотелось бы). Видимо, это тоже вызовет обострение конкуренции на российском рынке, которая даст нам немало занятных новостей.

К оглавлению

Опубликовано10 июля 2013

Тема уязвимостей в программном обеспечении навязла в зубах ещё к концу «нулевых». Но даже на этом исхоженном поле, пусть и редко, случается найти самородок угрожающих размеров. Именно о таком сообщила на днях американская контора Bluebox Security: обнаруженная её специалистами ошибка в операционной системе Android ставит под удар без малого один миллиард устройств. К счастью, не компьютеров, а «всего лишь» смартфонов, планшетов и прочего недокомпьютерного железа: уязвимо всё, на чём работает Android версий от 1.6 вплоть до самой свежей. Все они имеют баг под скромным номером 8219321.

Чтобы понять опасность находки, нужно вспомнить, как организована дистрибуция приложений для Android. Несколько упрощая, можно сказать, что, выпуская новую версию программы («пакет» формата APK), разработчик сопровождает её контрольной суммой (хеш) и заверяет своей «цифровой подписью». Поскольку подпись и хеш подделать невозможно (задействована стойкая криптография), то теоретически без ведома автора невозможно незаметно изменить и ни один бит в APK-файле: прежде чем инсталлировать пакет на конкретное устройство, операционная система проверит контрольную сумму и в случае её несовпадения с эталонной откажется устанавливать программу. Проблема в том, что то ли механизм проверки, то ли механизм постановки подписи и хеша оказался с гнильцой. Действуя определённым образом, можно менять содержимое APK-файла незаметно для системы.

Представьте такую ситуацию. Злоумышленник находит APK-пакет с каким-нибудь важным системным обновлением от компании X, внедряет в него вредоносный код и размещает, скажем, на популярном форуме — якобы для удобства. Пользователи, скачавшие этот пакет, обнаружить подделку не смогут: автоматическая проверка контрольной суммы пройдёт без запинки, а в подписи по-прежнему фигурирует компания X. Пакет будет установлен — а значит, в ОС проникнет и вредоносный код. Поскольку системным приложениям по определению предоставляется максимум прав, malware получит доступ ко всем данным и ресурсам заражённого устройства.

Как много устройств подвержено этой проблеме? Согласно статистике, публикуемой Google, рыночная доля любой версии Android старше 1.6 составляет менее 0,1%. Следовательно, более 99% эксплуатируемых сегодня устройств содержат баг 8219321. Bluebox оценивает их число в 900 миллионов. Но не забывайте, что параллельно с «официальной» ветвью Android от Google существует множество неофициальных форков — изготовленных как крупными вендорами вроде Amazon.com, так и бесчисленной массой безымянных китайских производителей. Их считать никто не пытался, да и вряд ли это возможно. Так что итоговая фактическая численность потенциально уязвимых смартфонов, планшетов и прочих недокомпьютеров наверняка сильно превышает один миллиард.