Category: it

Киберпанк на марше

Все, последний копипаст "малоизвестного", и работать:

9 из 10 считают, что главные угрозы в области кибербезопасности в том, что у вас украдут деньги со счета, залезут в ваш компьютер, воспользуются вашими паспортными данными и заснимут вас за неприглядным занятием. Поверьте, все перечисленное – это цветочки. А ягодки в том, что 9 из 10 самых страшных угроз в области кибербезопасности заключаются совсем в ином.

...именно о них говорится в большом интервью (видео 44 мин. и текст) (https://www.edge.org/conversation/ross_anderson-the-threat) Росса Андерсона – профессора инжиниринга безопасности Кембриджского университета.... перечислю лишь 3 момента, из наиболее мне запомнившихся.

1. Есть три вида лжи: ложь, наглая ложь и статистика. Последняя пытается нас убедить, что преступность не растет и даже падает. На самом деле, в этом году в Великобритании от рук преступников пострадают примерно 1 млн. семей, а от рук киберпреступников до 4 млн. семей.

А дальше ситуация станет еще сложнее, поскольку возникают десятки классов новых, доселе невообразимых преступлений.

Например, крупные автопроизводители собираются автоматически обновлять программное обеспечение своих авто раз в месяц.

Это значит, что скоро появится преступник, который потребует денег от владельцев таких авто, иначе он отключит им тормозную систему на полной скорости.

2. Люди постоянно говорят о вредоносном ИИ и всякой научной фантастике про то время, когда роботы возьмут на себя выполнение человеческих функций, оставят нас без работы, а то и взбунтуются.

Меня же беспокоит совсем другое. То, что сейчас у нас уже есть люди, чьи способности, сознание и восприятие чрезвычайно усиливается за счет использования инструментов аналитики больших данных, Интернета вещей и прочих прорывных технологий.

Уже сегодня, мало-мальски способный аналитик способен только из открытых источников накопать компромат почти на любого человека или бизнес.

Все шумят про Сноудена и Викиликс. Но это пустое. Хакеров уже десятки тысяч. А когда их будет миллионы, кто их сможет остановить.

3. Является ли использование гибридного кибер-конфликта с использованием беспилотников, вместо вооруженного конфликта с использованием самолетов и танков, улучшением безопасности?

Поживем-увидим. Но уже очевидно – здесь есть большие риски, связанные со снижением порога для конфликта.

А это значит, что лет через 10 на Земле могут начаться гибридные кибер-войны всех со всеми: страны со странами, конкуренты с конкурентами, соседи с соседями.

Тем более, что мы уже знаем о растущей тенденции людей группироваться в «красной вселенной» и «синей вселенной», где вы слышите только те сообщения от людей, которые имеют шанс вам понравиться. Это происходит, потому что Facebook и Google решили так направлять сообщения к вам, чтобы было удобней вас группировать для последующего кормления рекламой. Таким образом, мы имеем все меньше и меньше политического пространства, в котором все мы можем взаимодействовать и обсуждать вещи с людьми, с которыми мы не всегда согласны.

И это делает снижение порога конфликтов еще более опасным.

Нужно осознавать, что угрозы цифрового мира – это не новые угрозы для старого мира.
Это новый мир с новыми угрозами, отразить которые, да и просто выжить сможет лишь новое человечество. И состоять оно будет из новых людей, столь же мало похожих на прежних, как и новые угрозы.


Все это наконец-то становится похожим на гибсоновский Count Zero, опубликованный в 1986 году (когда Интернет еще пешком под стол ходил, а до идеи HTML оставалось еще пять лет). Так и хочется, вслед за отдельными товарищами, сказать - Люди Работают (tm) :)

Держаться нету больше сил...

Помогите, люди добрые, я в безвыходном положении. Много лет назад делал веб-приложения на GXT, да только застрял безнадежно на 2-ой версии, а нынче там уже 5-ая. А между тем, ситуации, когда нужно быстренько сделать некую веб-морду, встречаются все чаще и чаще, при том, что времени на освоение нового инструмента - все меньше и меньше :(

Не появилось ли в веб-разработке чего-нибудь легкого, фриварного, HTML5-го, с низким порогом вхождения? Или наоборот, чего-нибудь тяжелого, проприетарного, компилируемого в JS, и постепенно становящегося стандартом-де-факто? Сколько сам не смотрел - все тот же Ангуляр глаза застит, который никоим образом ни первое, ни второе...

Фраза дня

Президент Обама утверждает, что он мог выиграть на третий срок, если он был разрешен бежать - но даже если он прав, его тени не так много сделал для остальной части его стороной.

Теперь я такое вижу в фейсбуке каждый день. Искусственный интеллект вступил в свои права и автоматически переводит. По-моему, он собирается отнять последний кусок хлеба у интеллектуального большинства :(

Профессиональное: на чем делать веб-приложения?

Подскажите, кто в теме - на чем сейчас (2016 год) можно делать веб-приложения, типа "фронт-фейс хранилища данных", "личный платежный кабинет" или "магазин по продаже собственных книг"?

За последние годы я пробовал и традиционный Drupal/PHP, и GWT/GXT, но от обеих платформ осталось впечатление тяжести и неповоротливости. Ну а поскольку всерьез задачи "сделать хорошо" передо мной не стояло, то вопрос так и остался нерешенным. Так что подскажите - весь этот бум JS-фреймворков последних лет привел к какому-то позитивному результату?

Есть чем друпал заменить, чтобы не только на сервере, но в браузере что-то работало?

Любопытное совпадение

Как вы наверное помните, идея заняться математикой как языком программирования пришла мне в голову буквально на днях, в августе 2016. Казалось бы, остальное человечество, и входящие в его число математики, должны были сообразить то же самое значительно раньше, и давно уже переделать математику в 146% техническую дисциплину. Тем более, что необходимость этого известна уже давно:

Много веков что математические доказательства, что математические построения (как в геометрии: помните, там часто достраивают всякие штуки, чтобы доказательство провести) записывали обычными человеческими словами. В 19ом веке случился кризис, стало понятно, что если доказательства записывать недостаточно строго, возможны очень тонкие ошибки, которые очень тяжело заметить.

Возникла необходимость разработать строгий формальный язык для записи утверждений и доказательств. Такой, чтобы в правильности доказательства можно было убедиться алгоритмическим образом. Говоря современным языком, чтобы доказательство можно было скормить компьютеру, а он его верифицировал.

Идеи на эту тему были уже у Декарта и Лейбница, но первая попытка сделать такой язык и такую систему принадлежит Фреге с его Begriffschrift...


Однако выяснилось, что к решению этой задачи математики приблизились лишь совсем недавно, да и то далеко не все:

...мне удалось создать унивалентный подход к формализации, который позволяет использовать программную оболочку UniMath для того, чтобы записывать те утверждения, которые мне нужны. Сейчас я могу запросто записать лемму и проверить ее доказательство, у меня есть этот язык. Точнее, язык был давно - он называется Coq, но теперь я знаю, как его использовать для решения математических задач.
- Как все же родилась UniMath?
- Ее ядро - мои Foundations и еще несколько библиотек, которые использовали “основания” в качестве базиса. Я был инициатором всего этого, потом привлек к работе нескольких людей. Сегодня в команде Unimath Development Team четыре человека. Помимо меня это Бенедикт Аренс, Даниэл Грейсон и Майкл Уоррен. Само название UniMath года полтора назад подсказал Дэн Грейсон.
- Вы же не специалист в программировании, а здесь наверняка приходилось писать коды, программы.
- Кстати, я умею писать программы. Когда-то на первом курсе мехмата я подрабатывал, преподавая программирование. Так что в этой области я себя чувствую комфортно. Но практически мне этого делать не пришлось, потому что я задействовал готовую систему Coq, которая к тому времени существовала лет 20... Она очень общая, ее можно применять для многих целей. В том числе для того, чтобы проверять логические манипуляции. Оттолкнувшись от нее, я придумал новый стиль ее использования, новый способ записывать математику.
- А вы можете сказать: разработанная мною программа уже позволила мне сделать то-то и то-то? Или вы продолжаете работать над совершенствованием системы UniMath, и это сегодня основная ваша задача?
- Я сейчас продолжаю заниматься не столько даже совершенствованием UniMath, сколько тем, чтобы убедить математиков, что способу использования компьютерной системы, который я придумал, действительно можно доверять. То есть если система говорит, что доказательство правильное, то оно действительно правильное. Это неочевидно, в этом надо людей убедить.


Так что не успел я даже собраться поизучать математику - а уже оказался впереди паровоза :)

Что выбрать - Coq, Isabelle, Agda?

Лучшим (из пока мне известных) способов освоения математики является самостоятельное конструирование математических объектов. Однако самостоятельность приводит к существенной проблеме - а как проверить, точно ли объект (теорема или комплект теорем) сконструирован правильно? В случае стандартного обучения проверку обеспечивает преподаватель, но как быть одиночке?

Поскольку я всю жизнь учил новые языки программирования самостоятельно, методом "запускаешь программу - не работает", логично поступить так же и с математикой. Осталось выбрать ту среду исполнения, в которой удобнее всего "запускать" математические выкладки. Насколько я успел почитать Интернет, наиболее популярны три таких среды (вынесенные в заголовок). Так что если кто работал с Coq, Isabelle, Agda, а еще лучше с несколькими из них, - поделитесь опытом.

Какая из этих сред, на Ваш взгляд, будет удобнее всего для психа-одиночки, начавшего самостоятельно изучать математику с нуля? Ну то есть как новый язык программирования - с hello world, print 1+1, и так далее.

Ethereum-DAO: подробности

Как, оказывается, интересно люди живут (по беглому прочтению Ethereum/TheDAO hack simplified ). DAO это всего-лишь decentralized autonomous organization, действия в рамках которых можно совершать запуском соответствующих скриптов в рамках исполняющей системы Ethereum.

Один из типов таких организаций, TheDAO - обыкновенный инвест-фонд, позволяющий вкладывать и забирать денежки. " You buy in, vote on which investments the fund should make, then reap the returns". Когда Вы забираете денежки, Вы вызываете функцию split ("отщепиться"). Вот она и оказалась взломанной: ее реализация в Ethereum позволяла, во-первых, передать на выполнение системе некий код (обеспечивающий вывод денег на счет клиента), а во-вторых, запускать в нем что угодно. В результате нашелся сообразительный человек, и вызвал в этом коде (разумеется, после вывода денежек) еще одну процедуру split(), запускающую... тот же самый вывод денег плюс следующий split(), и так до бесконечности.

Теперь в исполняющей системе Ethereum (крутящейся, как и в биткойне, на распределенной сети компьютеров "майнеров", поддерживающих базу транзакций за небольшую денежку) придется что-то менять, во-первых, для предотвращения подобных взломов в будущем (хотя если можно передать в систему какой-то код на выполнение - взломы практически гарантированы), а во-вторых, для отката уже наделанных злоумышленником операций split.

Интрига заключается в том, как именно это будет сделано: до сих пор предполагалось, что любая транзакция в рамках блокчейн-технологии сохраняется в общей базе навсегда (и служит основной для подписания следующих транзакций, в чем собственно блокчейн и заключается). То есть по уму все платежи злоумышленнику нужно признавать технически правильными, а деньги у него отбирать другими способами (в реальном мире - полиция ловит грабителей банков, и отбирает у них мешки с деньгами не с помощью платежных поручений). Однако основа идеологии блокчейна заключается как раз в том, что полиции нам не надо, у нас все денежки электронные, электронно и будем отбирать.

Вот как сумеет Ethereum отобрать деньги электронно, и что из этого выйдет - как раз самое интересное в этой истории.

Написал бы кто подробнее про Ethereum-DAO?

Похоже, что на наших глазах разворачивается эпическая битва за электронные деньги будущего, а в жежешечке по этому поводу если и не тишина, то какие-то невразумительные подхихикивания.

1) Неизвестный злоумышленник использовал уязвимость в функции splitDAO, предназначенной для создания дочерних версий проекта. Эта функция является частью кода DAO. Уязвимость позволяет вызывать splitDAO рекурсивно в процессе каждого отделения и таким образом многократно получать «эфиры» (валюту Ethereum) в течение единственной транзакции.

В течение нескольких часов на адрес устроителя атаки утекли средства, эквивалентные десяткам миллионов долларов. В 15:00 по московскому времени сообщали о пропаже примерно 53 миллионов долларов, но поскольку атака продолжается, а курс «эфира» падает, итоговая цифра, скорее всего, окажется иной.

Строго говоря, по той логике, в которой оперирует Ethereum, атака не является преступлением. Правила DAO — это код, и непреднамеренные уязвимости в них — это такая же часть контракта, как и сознательно описанные условия. Действия, которые выполняет злоумышленник, предусмотрены правилами DAO.


2) "Эфирчики" упали с 15 до 11 долларов за последние сутки

3) Благодаря системе Ethereum хакер не сможет потратить деньги в течение 27 дней, поэтому в настоящий момент они находятся на текущем счете. Руководители предпринимают ряд усилий, направленных на возврат средств. Некоторые специалисты предложили модифицировать код, чтобы сделать невозможным процесс вывода денег.

Однако злоумышленник считает, что любое подобное изменение приведет к краже его законно приобретенных средств. Он угрожает судебным иском тем, кто попытается это сделать. Сооснователь Ethereum Виталик Бутерин заверил пользователей в блоге компании, что средства не будут потрачены.


4) Разочарованный в реакции Эфириума взломщик обратился к его руководству с открытым письмом (!): Such fork would permanently and irrevocably ruin all confidence in not only Ethereum but also the in the field of smart contracts and blockchain technology. Many large Ethereum holders will dump their ether, and developers, researchers, and companies will leave Ethereum. Make no mistake: any fork, soft or hard, will further damage Ethereum and destroy its reputation and appeal. [Насколько я понял, перевод примерно такой: "Ежели вы откажетесь платить, это будет означать, что всеми вообще блокчейновыми контрактами можно подтереться, не делайте этой ошибки, не уничтожайте перспективную для нас, взломщиков, отрасль"]

5) Ну и собственно о чем речь: «Когда Виталик рассказывает о блокчейне, профессора Стэнфорда достают блокноты и начинают записывать» — так презентовал Бутерина глава Сбербанка Герман Греф на форуме в Давосе.

История, достойная лучших перьев рунета - напишите же про нее подробно и интересно!