информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Spanning Tree Protocol: недокументированное применениеСтрашный баг в WindowsГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / обзор / архив / 2002
АРХИВ
главная
2024
2023
2022
2021
2020
2019
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997






Подписка:
BuqTraq: Обзор
RSN
РВС
БСК




RSN и БСК снова в строю; RC5 и генетика; семинар Медведовского; Цифры и шифры; права провайдеров и обязанности пользователей; что случилось с HackZone.Ru

#119, 08.02.2002


Продолжаем оживлять сайт. В декабре/январе возродились два старых подпроекта - Russian Security Newsline, большую часть работы по ведению которой взял на себя Владислав Мяснянкин, и Бред Сивой Кобылы, коллекция всевозможных околокомпьютерных маразмов в фильмах, книгах, СМИ и т.п. Рассылка RSN уже возобновилась, материалов в ней стало сильно больше, чем раньше, рассылка БСК начнется после появления новых экспонатов, за которыми дело, конечно, не станет.


Сайт RC5 HackZone Team переехал на новый адрес. До восстановления статистики, накрывшейся вместе с hackzone.ru, руки у меня пока не дошли, но в течение недели надеюсь ее поднять.

Тем временем подоспела новость, меня, прямо скажем, изрядо удивившая. Для начала небольшое отступление.

Как известно, решение задачи дискретной оптимизации в принципе можно искать полным перебором. Другое дело, что даже при не слишком большом количестве критериев поле вариантов разрастается настолько, что даже при нынешнем развитии вычислительной техники решать эту задачу в лоб можно разве что от отчаянья, когда все прочие способы почему-то не сработали. Итак, в первую очередь стремятся каким-либо образом сократитьт поле перебора. Насколько я забыл курс исследования операций, в достаточно неплохо изученной области целочисленного линейного программирования используются всякие методы ветвей и границ, сечения Гомори и т.п., использующие для сокращения перебора технику, включающую решение задачи простого линейного программирования, несколько хуже все для нелинейных задач, и совсем весело, если в задаче фигурируют функции, непредставимые в аналитическом виде.

Очень красивым и зачастую очень неплохо работающим способом решения подобных задач стали генетические алгоритмы. Идея, если ее описать на пальцах, заключается в следующем (специалистам просьба отвернуться :)). Возможным значениям каждого параметра сопоставляем некий алфавит (грубо говоря, перенумеровываем все возможные альтернативы). Множеству возможных решений задачи сопоставляем множество строк (хромосом), состоящих из подкомпонентов, соответствующих различным параметрам нашей задачи (генов). Как правило, параметры представляются в двоичном коде (точнее, в более удобном для дальнейших операций рефлексивном годе Грея, отличающегося от традиционного двоичного тем, что изменение кодируемого числа на единицу соответствует изменению кодовой комбинации только в одном разряде - например, десятичной двойке тут соответствует 0011, а не 0010). Фактически, решение задачи теперь сводится к перебору 2 в степени n вариантов, где n - число битовых позиций. Критерий поиска - некая целевая функция (в терминах ГА, оценивающая приспособленность популяции).

Для решения задачи задается стартовый набор строк (популяция хромосом), после чего за дело принимаются операторы генерирования новых популяций. Стандартные для генетических алгоритмов операторы - это селекция, скрещивание и мутация. Селекция с помошью целевой функции отбирает наиболее приспособленные особи, признаки которых должны сохраниться в следующем поколении, скрещивание осуществляет обмен частями хромосом между разными особями популяции, мутация случайным образом меняет значения генов некоторых особей. Т.е. получаем полную аналогию эволюции животного мира. Наиболее приспособленные особи воспроизводятся в потомство с помощью скрещивания, появляются новые особи, которые сочетают в себе характеристики, наследуемые ими от родителей. Наименее приспособленные особи с меньшей вероятностью смогут воспроизвести потомков, и их свойства постепенно исчезают из популяции в процессе эволюции. Мутации необходимы для встряхивания системы, притока "свежей крови".

Вариаций на эту тему существует достаточно много, алгоритмы описаны, для особо ленивых доступны и готовые библиотеки, так что основная трудность при их использовании - сформировать набор генов и целевую функцию, после чего можно сидеть и наслаждаться процессом эволюции.

Так к чему это я все. Да к тому, что, несмотря на всю красоту подхода, использование генетического алгоритма для оптимизации программы стало для меня откровенно неожиданным подходом - а именно это сделал Леонид Юрьев, добившийся таким образом повышения скорости работы ядра клиента RC5 на два с лишним процента под Intel Class 6 Pentium Processor (что совсем немало, учитывая, что код этот вылизывался годами и считался оптимизированным по самое не могу). Если быть совсем точным, оптимизации подвергался не столько сам код, сколько расположение используемых в нем переменных, что приводило к изменению длины команд и как следствие, к времени их выполнения. Оптимизированный код отправлен в dnet, так что скоро, возможно, нас ждет очередное обновление клиента :)


21 февраля в Питере случится семинар, посвященный новому международному стандарту безопасности информационных систем ISO 17799. Проводит семинар один из авторов "Атаки на Internet" Илья Медведовский. К выпуску готовится и компакт-диск с переводом основных положений стандарта, комментариями к нему, и рекомендациями по практическому применению.


С книжками по криптографии в последнее время у нас несколько полегчало. Тиражи, правда, как водится, не слишком большие (порой выручает интернет - "Введение в криптографию", например, выложено на веб целиком), так что перенасыщения рынка пока явно нет. Вышедшую не так давно в издательстве СПб ГУ книгу "Цифры и шифры" (Утешев А.Ю., Черкасов Т.М., Шапошников А.А.) отличает, я бы сказал, практический подход к делу, что вполне оправдано для учебного пособия. Обсуждаемые вопросы можно сразу "пощупать руками" с помощью внушительного количества упражнений и примеров. Разумным компромиссом стало использование во многих примерах системы символьных вычислений Maple V, что позволило, с одной стороны, спуститься с теоретических высот, с другой, не увязнуть в деталях реализации алгоритмов. Обсуждение вопросов криптографии предваряется достаточно традиционным изложением основ теории чисел. Рассматриваются основы криптографии с секретным и открытым ключом, задача криптоанализа, вопросы применения цифровой подписи. Тираж книги совсем небольшой, успеть заказать ее еще можно на сайте издательства.


Случившийся в конце января конфликт между "Открытыми Системами" и рядом московских провайдеров послужил формальным поводом для появления любопытного проекта документа под названием Рекомендации по обеспечению прав абонентов. Еще немного предыстории. Уже почти три года назад в недрах Открытого Форума Интернет-Сервис-Провайдеров родился документ "Нормы пользования Сетью", он же ofisp-005. Не обладая самостоятельным юридическим значением, он, тем не менее, поддерживается многими интернет-провайдерами (очень бы хотелось, кстати, ознакомиться с полным списком), и его положения зачастую входят в абонентские договоры. По сути, ofisp-005 описывает то, что пользователям сети делать никак не можно: спамить, пытаться получить несанкционированный доступ, не соблюдать правила владельцев ресурсов, фальсифицировать идентифицирующую информацию, работать с кривыми настройками и, самое элегантное и универсальное, осуществлять "действия, направленные на нарушение нормального функционирования элементов Сети". Звучит разумно, но вот с правами пользователей случилась полная беда. Фактически, это полностью оправдывает действия в случае кофликтов, аналогичных нынешнему оспшному (вспомним, к примеру, старую историю с RLE), насильную фильтрацию спама у тех пользователей, которые этого особо и не жаждут (поскольку случается, что вместе со спамом из ванны выливается и ребенок) и многое, многое другое. Оправдание во всех случаях одно: разрыв связности с опасной (читай, неугодной) сетью - личное дело провайдера, и никто никому не гарантировал связности со всеми хостами internet. Интересно, если абонент узнает, что покупает лишь право на доступ к сети данного провайдера, а все прочее - вопрос провайдерской доброй воли, куда он отправится со своими денежками?

Посмотрим, что может изменить в сложившейся ситуации предлагаемый проект документа по правам абонентов. Ощущения, в целом, умеренно положительные. Весь пункт первый об информировании пользователей при заключении договора выглядит несколько утопичным. Для прикрытия своей ...эээ... спины в большинстве договоров примерно то же самое и прописано, мелкими буквами, а устное сообщение в суд не потащишь. А вот объединие под вывеской экстренных случаев аварийных ситуаций и отключений "для защиты от нежелательной активности" - как раз то, что и вызывает основные возражения, по крайней мере, до тех пор, пока формулировка понятия "нежелательной активности" зависит от настроения левой пятки системного администратора. Пункт 2 про настройку фильтров - бальзам на душу, схема прямо-таки идеальная. Пункт 3 про информирование в экстренных ситуациях - в целом разумно, с учетом приведенного выше замечания об экстренных случаях, пункт 4 про баннеры и кнопки - лирика, к делу отношения не имеющая.


Напоследок - ответ на интересующих многих вопрос, что случилось с HackZone.Ru. После второго десятка писем, пришедших на эту тему, я начал формулировать его в стиле нашего всенародно избранного: "Она умерла". Развернутый же ответ опять потребует небольшого исторического экскурса.

Сервер hackzone.ru был создан компанией Компьюлог в конце 1996 года, и до весны 1997 года его единственным содержанием была концептуальная надпись на черном фоне, обещающая, что скоро тут будет круто. Весной 97-го для реализации этого обещания и был приглашен ваш покорный слуга :)

Замечу сразу, что большую часть времени существования сервера дизайн, программирование, раскрутка и прочая работа над сайтом осуществлялась силами одного человека в свободное от основной работы время. С материалами для раздела Underground помогал Brother Hack, чуть позднее A.V.Komlin стал заниматься, увы, недолго прожившим RSN Forum (идею создания самой RSN подал Женя Ильченко), а Павел Протасов занялся юридическим разделом. Такими вот скромными силами был сделан сайт, популярности которого до сих пор не удалось достичь ни одному из русскоязычных сайтов нашей тематики.

Первый год, даже почти полтора года все шло достаточно успешно, был проведен конкурс статей, стал выходить бумажный журнал. А дальше случился кризис, и у Компьюлога банально закончились деньги (или, по крайней мере, нашелся замечательный повод так заявить). Начиная с этого момента поведение Компьюлога в лице его президента М.Л.Сальникова превратилось в поведение кидалы, кормящего лохов рассказами о тяжелом состоянии дел сегодня и о том, что завтра все будет зашибись. Пролетела подписка, два последних победителя конкурса статей так и не получили обещанных призов. Моя же работа над сайтом начиная с 1999 года превратилась в этакое хобби по поддержке своего детища, которое было просто жалко так сразу бросить, в сочетании с безуспешными попытками добиться от Компьюлога хоть какой-то определенности.

Год назад мне это окончательно надоело, и я стал готовить к запуску BugTraq. Работа над HackZone была фактически свернута, и в ноябре, два обзора тому назад я окончательно об этом объявил. Являясь фактически таким же хобби, как и HackZone в последние годы ее существования, BugTraq имеет два основных преимущеста: он ни от кого не зависит, и мне не нужно начинать разговор с объяснения того, что мы на самом деле белые и пушистые, а буквы "Hack" в названии сайта означают совсем не то, что вбили в голову обывателя СМИ.

Да, так что случилось с HackZone.Ru? Она умерла. Это обычно случается, если не платишь за хостинг в течение двух с половиной лет. Вполне логичный конец.


Последние обновления на сайте:

Серия статей "Узнай своего врага", Honeynet Project, Lance Spitzner, перевод В.Мяснянкина:


обсудить  |  все отзывы (0)
[38032]

анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach