Бачить Бог, я цього не хотів - J3qx
Posted by j3qx січні 7, 2009
Бачить Бог, я цього не хотів…
Чому я це публікую
Нарешті була отримана перша відповідь. Але, що ні контакти з Mail.ru, то або образа, або на межі цього. Затримка відповіді більш ніж на добу разом з відсутністю квиток може означати, що листа, не прочитавши, просто викинули в кошик. Та й сама відповідь залишає бажати кращого, оскільки мені ставили в провину те, що в момент реєстрації ресурсу на Mail.ru (у той час ще List.ru) персонал Mail.ru мені не запропонував код java-лічильника . У відповіді я довів до відома модератора своє трактування кривої відвідуваності і попросив надіслати мені код необхідного java-лічильника.
І тоді я зрозумів, що це не дурість і не помилка, а здирство грошей з персоналу ресурсу з високим рейтингом (мовляв, рейтинг високий, а лічильник безкоштовний, але якщо заплатите, то проблем не буде).Слово, що пояснюєкорисливий мотив вчиненоїдії, було сказано. А слово — не горобець, вилетіло — не зловиш. І деякі шановні мною люди встигли побачити привселюдне звинувачення мене в шахрайстві і висловили мені своє здивування з цього приводу. І я був змушений давати їм пояснення та показувати листування з Mail.ru.
Як це було насправді
Оскільки ресурс працював у режимі налагодження, то в конфігурації Apache стояло MaxRequеstsPerChild=1. Через це обмеження у кривій відвідуваності з'явився горизонтальний «стіл». До 5-го травня я займався дослідженням відповідності пропускної спроможності каналу та продуктивності сервера з одночасною правкою коду Проекту. Коли ж я переконався, що все нормально, зробив MaxRequеstsPerChild=0. Так з'явився другий стрибок. Незабаром я планую викласти на сайті остаточну версіюпроекту, і це буде третій стрибок.
DURA LEX, SED LEX
Заборона не поширюється на дії, спрямовані проти Mail.ru, доки Mail.ru не принесуть публічно вибачення за нанесену образу і не буде відновлено status quo лічильника.
Щоб не стикатися з несподіванками, я попередньо розглянув практично всі аспекти проблеми та намітив шляхи реалізації поставленого завдання. Не приховую, «накрутку» я розглядав як тимчасово допустимий засіб, який міг допомогти ресурсу швидше піднятися в рейтингу рівня «саморозкрутки» (верхні рядки рейтингу), коли «накрутка» вже не потрібна. Але щоб користуватися «накруткою», необхідно було з'ясувати юридичні наслідки від її застосування, а також хто може «зловити за руку» і як треба «накручувати» ресурс і не бути спійманим.
Про етику годі й казати, і так усе ясно. Тішить уже те, що хоча б вдається уникнути кримінального переслідування. український законодавець заздалегідь потурбувався ще й про те, щоб log-файли, не кажучи про результати їх обробки, не можна було розглядати як докази провини (але не невинності через дії принципу презумпції невинності) завдяки логічно невірним і чинним юридичним визначенням поняття "документ".
Отже, якщо Ви з власної волі розмістили посилання на свій ресурс у публічному списку учасників рейтингу, і якщо це посилання, крім Вашої волі і не за рішенням Суду, персонал рейтингової системи видалив з цього списку, варто відразу ж вимагати принесення Вам публічних вибачень і відновлення посилання у списку аж до подання позову до Суду . Жодні внутрішні правила (регламенти) рейтингових систем не можуть виправдати публічне, що принижує Вас самоврядність (порушення волі)і, тим більше, публічне поширення вигадок, що ганьблять Вас (звинувачення в шахрайстві без рішення Суду). І не варто погоджуватися з нікчемністю нанесеної Вам моральної шкоди, оскільки сам по собі зроблений в обличчя плювок нікчемний (досить просто витертися), але моральна шкода від скоєного публічно незрівнянно величезна (аж до інфаркту чи суїциду). І повсякденний сенс поняття «накрутки» тотожний повсякденному поняття шахрайства.
Тепер варто сказати кілька слів про java-лічильник. Сам собою код java-лічильника дає додаток до трафіку розміром 1-2 Кбайт для кожної сторінки. При показі сайтом близько 10 тисяч сторінок на добу загальна надбавка складає 10-20 Мбайт. На місяць це становитиме 300-600 Мбайт. За це доводиться платити близько 15-30 доларів США. І за це доводиться платити користувачам. А це збільшення становить близько 10 відсотків від усього трафіку користувача. Отже, застосування Java-лічильників призводить до збільшення фінансових витрат усіх учасників Інтернету мінімум на 10 відсотків. А коли ми платимо гроші, то нам треба знати, за що ж ми їх насправді платимо.
Java-лічильник передає таку інформацію про комп'ютер користувача третій особі (модератор рейтингу), яку неможливо отримати в рамках стандарту HTTP. За цією інформацією модератор рейтингу може дізнатися, звідки було здійснено перехід на сторінку, який сервіспак встановлений на комп'ютері, паролі та багато іншого. Так порушується конфіденційність відомостей про особу і це може бути розцінено або як перлюстрація кореспонденції без рішення Суду або як отримання несанкціонованого доступу до комп'ютера користувача. Тобто, самоуправство, що межує з кримінально кримінальними діяннями, що порушують права людей. Виходить, що всі ми платимо гроші за те, що порушуються нашіправа.
І одразу все стає зрозумілим, треба тільки вибудувати правильну аналогію у звичній нам сфері. Ось, як приклад, фраза з одного закону:«перед використанням засіб захисту інформації має бути сертифіковано ФАПСІ». Давайте замінимо слова та звороти їх синонімами: «засіб захисту інформації» на «сейф» (від англійської safe — зберігати, захищати), «сертифіковано» на «досліджено» (сертифікація — дослідження зразка на відповідність вимогам, що висуваються) і «ФАПСІ» на « стороння особа» (навряд чи ФАПСІ є підрозділом Вашого підприємства). Виходить«перед використанням сейф має бути досліджений сторонньою особою». Не знаю як Ви, а особисто я такому сейфу не довірю навіть використані презервативи.
І останнє питання, як технічно організувати накрутку так, щоб високопрофесійні команди не змогли б відрізнити роботу віртуальних машин від реальних. Пошук в Internet-е комп'ютерів з ОС Windows, потім їх «зламування» і впровадження в систему коду для «накрутки» лічильників відкидаю відразу, як явну кримінальність, яка підпадає під дію відразу всіх «комп'ютерних» статей КК. А міліції варто задуматися про затримання шахраїв, які користуються такою «накруткою», бо цей вид шахрайства, за визначенням, входить до компетенції підрозділів боротьби зі злочинами у сфері високих технологій.
Дорога до Пекла
Армія лише невелика частина суспільства, що існує тільки для захисту суспільства і призначена для ведення бойових дій. І не може замінити собою суспільство. Інакше – війна. І чим довше армія не бере участь у бойових діях, тим складніше структурно вона стає, тим більше в ній накопичується різноманітних проявів мирного життя. І цей процес ускладнення називається розкладанням армії. Іармія бореться із розкладанням. Єдиний ефективний шлях боротьби – війна. Недарма США після 1945 постійно брали участь у регіональних конфліктах (Корея, Куба, В'єтнам, Камбоджа, Ірак, Косово, Афганістан). Війна все списує і можна когось вбити чи послати на смерть і нічого за це не буде, особливо якщо є широкі лампаси. І в армії починають превалювати структурно прості, на зразок хамуватих і неосвічених «генерал-модераторів» від Mail.ru.
Простота армії ефективна лише тоді, коли є чітка лінія фронту, з одного боку якої соратники, а з іншого — противники. І армія завжди програє у боротьбі з партизанами, коли немає чіткого кордону між соратниками та противниками. Будь то під час Великої Вітчизняної Війни, у В'єтнамі, Афганістані, Косово чи Чечні. І лише створення складної інфраструктури мирного життя уможливлює припинення партизанської війни. Але це вже не війна і не в цьому полягає завдання армії. І простота армії у складній ситуації грає з нею злий жарт. На початку Чеченської кампанії українська армія користувалася зв'язком між підрозділами широкомовними каналами радіозв'язку. Під час артобстрілів чеченські бойовики, маскуючись у каналах радіозв'язку під підрозділи української армії, коригували вогонь так, що обстріляли підрозділи української армії. І армія сама себе знищувала.
Невідомі шляхи пакетів
Я не розглядатиму всі можливі методи обману в мережі Internet. Я і так уже сказав і ще скажу достатньо, щоб розумна людина змогла сама далі розвинути мої думки, а «безбаштовим» все знати небезпечно насамперед для самих себе. Я опишу лише один єдиний чеченський варіант маскування. Бо саме цей варіант найбільш придатний для використання в «накрутці»,яку практично неможливо виявляти. І я не наведу жодного рядка коду, щоб мене не могли звинуватити в написанні шкідливих програм, і навмисно допущу деякі замовчування та неточності, щоб мене не могли звинуватити у підбурюванні до шахрайства.
Статично прописувати маршрути для кожного хопу — завдання фізично нереалізоване, особливо великих мереж. Для зниження витрат при прописуванні маршрутів було винайдено RIP. Але при використанні RIP або його розширень (BGP, EGRP та ін.) зростає небезпека блокування роботи мережі на невизначений час, коли обсяг службового трафіку почне суттєво перевищувати обсяг корисного. Ви можете провести повчальний експеримент, якщо у Вас під руками є різнорідна мережа з «надмірно розумними» маршрутизаторами (близько сотні комп'ютерів, близько десяти роутерів CISCO, частина яких з'єднана трикутником каналами зв'язку з різною пропускною здатністю). Одного разу, налаштовуючи комп'ютер з HPUX в одній організації з такою мережею, я не відключив DHCP-сервер на цій машині і в кінці RC-файлу вставив команду reboot. Не пам'ятаю вже, але для чогось мені це було потрібне. І мережа встала. Швидкість передачі ftp-даних у 100 мегабітному сегменті мережі стала щось близько 1.5-1.9 Кбайт/сек, хоча нормальна була 9-11 Мбайт/сек. Виміряв обсяг службового трафіку - 99 відсотків. При вимиканні HPUX або заміні CISCO на прості HUB роботи мережа відновлювалася.
Нехай у мережі є три комп'ютери: A (атакуючий), B (імітований), C (лічильник) і нехай у мережі є два проміжні хопи X1, X2. Завдання: імітація з'єднання між комп'ютерами за маршрутом B X1 X2 C. Рішення: оскільки маршрути руху пакетів у мережах TCP/IP заздалегідь не регламентовано, створити для комп'ютера C ілюзію руху пакетів за маршрутом B X1 A X2C. Спочатку потрібно переконатися, що комп'ютер B знаходиться у мережі. Потім, віртуальна машина на комп'ютері A посилає пакет встановлення з'єднання на комп'ютер C такого виду, ніби він пройшов маршрутом B X1 A. Всі інші пакети до закриття з'єднання будуть рухатися по встановленому маршруту A X2 C і повинні мати такі параметри, ніби вони попередньо пройшли за маршрутом B X1 A. Спроба простежити маршрут руху пакетів з комп'ютера C до комп'ютера B дасть маршрут B X1 X2 C, оскільки це вже нове з'єднання. Необхідно домогтися, щоб віртуальна машина могла в необхідному для маскування об'ємі імітувати ОС і броузер комп'ютера B. Так комп'ютера C створюється повна ілюзія роботи з комп'ютером B і жодними засобами TCP/IP цю ілюзію не можна розвіяти. Ось такий фокус-покус.
«Здрастуйте, дівчатка…»
Рейтинговим системам, у вигляді, як вони існують нині, загрожує повна дискредитація. І не моя в тому вина, лише користуючись науковим методом, я даю опис стану справ у цій сфері, і, ґрунтуючись на результатах аналізу, роблю синтез можливого варіанта розвитку подій.
Видалення ресурсу з рейтингу свідчить про низьку кваліфікацію персоналу, оскільки такий персонал або не знає інших методів боротьби з накруткою, або йому простіше обмежувати права інших, ніж працювати своїми мізками. Це не додає довіри до рейтингових систем. І оскільки дії персоналу можуть бути оскаржені в Суді, то після двох-трьох програних процесів (як і у випадку із законом «Про захист прав споживачів») персонали рейтингових систем взагалі припинять видаляти зі списків учасників рейтингів будь-які ресурси.
В результаті верхні рядки рейтингів заповнять «накручені» ресурси. Добре, якщо якось вдастьсявикривати у шахрайстві власників таких ресурсів. А якщо немає? Друге ймовірніше, бо будь-який сумнів завжди трактується на користь підозрюваного (обвинуваченого). Отже, шахраї найчастіше залишатимуться безкарними, і все активніше користуватимуться довірою до рейтингових систем. Ставши мимовільними посібниками шахраїв, рейтингові системи лише посилять втрату довіри. Значне зниження довіри призведе до зниження капіталізації рейтингових систем, оскільки в основі цього виду бізнесу лежить довіра до високої кваліфікації та чесності персоналу. Як наслідок, знизиться прибутковість бізнесу. І розпочнеться відтік кваліфікованого персоналу.
І коло замкнеться. Значне зниження довіри призведе до фінансових втрат, через що виникнуть складності з наймом кваліфікованого персоналу, через що ще більше знизиться довіра бізнесу, через що ще більше знизиться дохідність бізнесу, через що ще складніше стане найм кваліфікованого персоналу, і т.д. Це опис можливої схеми ланцюгової реакції самознищення рейтингових систем. Залишається лише ініціювати процес…
Хтось, прочитавши останній абзац, скаже «ось і ***діць, прийшли», як той одноокий, який повів сліпого в бордель через ліс і вибив собі гілкою останнє око, а у відповідь чує радісне «добрий день, дівчатка…»…