Компьютерные записки

MS SQL и LDAP запрос.

2011-09-29T21:41:00.000-07:00

Всем добрый день.
Рано или поздно вам возможно придется столкнуться с запросом к ActiveDirectory.
Собственно сам рецепт запроса прост:

Либо так:

SELECT primaryGroupID, primaryGroupToken, employeeid, sAMAccountName, [name], adspath, objectGUID, info FROM OPENQUERY (ADSI, 'SELECT name,adspath,objectGUID,info,primaryGroupID,primaryGroupToken,employeeid, sAMAccountName FROM ''LDAP://DC=MYDOMAIN,DC=RU'' WHERE objectCategory=''Group'' ORDER BY samAccountname');

Либо так:

SELECT primaryGroupID, primaryGroupToken, employeeid, sAMAccountName, [name], adspath, objectGUID, info FROM OPENQUERY (ADSI, N'<LDAP://DC=MORTON,DC=RU>;(&(objectClass=User)(objectCategory=Person)(|(sAMAccountName=a*)(sAMAccountName=b*)(sAMAccountName=c*)));primaryGroupID, primaryGroupToken,employeeid, sAMAccountName, name, adspath, objectGUID, info');

Но что делать если у вас в каталоге количество записей много? Хотя бы пара тысяч. Вот тут поможет мой рецептик, до нельзя простой.

declare @samAccountname varchar(64) declare @query varchar(4000) declare @rc int if (object_id('tempdb..#usersgrps') is not null) drop table #usersgrps CREATE TABLE #usersgrps ( id INT IDENTITY, primaryGroupID INT , primaryGroupToken INT , employeeid VARCHAR (15) , sAMAccountName VARCHAR (64) , username VARCHAR (1000), adspath VARCHAR (1000), isprocessed INT , sid VARBINARY (50), info VARCHAR (200) , isgroup BIT ); INSERT #usersgrps (primaryGroupID, primaryGroupToken, employeeid, sAMAccountName, username, adspath, isprocessed, sid, info, isgroup) SELECT TOP 900 primaryGroupID, primaryGroupToken, employeeid, sAMAccountName, [dbo].[f_string_ad_clear]([name]), [dbo].[f_string_ad_clear](adspath), 0, objectGUID, [dbo].[f_string_ad_clear](info), 0 FROM OPENQUERY(ADSI, 'SELECT name,adspath,objectGUID,info,primaryGroupID,primaryGroupToken,employeeid, sAMAccountName FROM ''LDAP://DC=MYDOMAIN,DC=RU'' WHERE objectCategory=''User'' ORDER BY samAccountname') set @rc = @@rowcount select @samAccountname = max(sAMAccountName) from #usersgrps where isgroup = 0 select @query = 'SELECT name,adspath,objectGUID,info,primaryGroupID,primaryGroupToken,employeeid, sAMAccountName FROM ''''LDAP://DC=MYDOMAIN,DC=RU'''' WHERE objectCategory=''''User'''' and samAccountname > '''''+@samAccountname+''''' ORDER BY samAccountname' print @query select @query = 'SELECT TOP 900 primaryGroupID, primaryGroupToken, employeeid, sAMAccountName, [dbo].[f_string_ad_clear]([name]), [dbo].[f_string_ad_clear](adspath), 0, objectGUID, [dbo].[f_string_ad_clear](info), 0 FROM OPENQUERY(ADSI, ''' + @query + ''')' print @query while @rc > 0 begin INSERT #usersgrps (primaryGroupID, primaryGroupToken, employeeid, sAMAccountName, username, adspath, isprocessed, sid, info, isgroup) exec (@query ) set @rc = @@rowcount select @samAccountname = max(sAMAccountName) from #usersgrps where isgroup = 0 select @query = 'SELECT name,adspath,objectGUID,info,primaryGroupID,primaryGroupToken,employeeid, sAMAccountName FROM ''''LDAP://DC=MYDOMAIN,DC=RU'''' WHERE objectCategory=''''User'''' and samAccountname > '''''+@samAccountname+''''' ORDER BY samAccountname' print @query select @query = 'SELECT TOP 900 primaryGroupID, primaryGroupToken, employeeid, sAMAccountName, [dbo].[f_string_ad_clear]([name]), [dbo].[f_string_ad_clear](adspath), 0, objectGUID, [dbo].[f_string_ad_clear](info), 0 FROM OPENQUERY(ADSI, ''' + @query + ''')' print @query end INSERT #usersgrps (primaryGroupID, primaryGroupToken, employeeid, sAMAccountName, username, adspath, isprocessed, sid, info, isgroup) SELECT TOP 900 primaryGroupID, primaryGroupToken, employeeid, sAMAccountName, [dbo].[f_string_ad_clear]([name]), [dbo].[f_string_ad_clear](adspath), 0, objectGUID, [dbo].[f_string_ad_clear](info), 1 FROM OPENQUERY(ADSI, 'SELECT name,adspath,objectGUID,info,primaryGroupID,primaryGroupToken,employeeid, sAMAccountName FROM ''LDAP://DC=MYDOMAIN,DC=RU'' WHERE objectCategory=''Group'' ORDER BY samAccountname') set @rc = @@rowcount select @samAccountname = max(sAMAccountName) from #usersgrps where isgroup = 1 select @query = 'SELECT name,adspath,objectGUID,info,primaryGroupID,primaryGroupToken,employeeid, sAMAccountName FROM ''''LDAP://DC=MYDOMAIN,DC=RU'''' WHERE objectCategory=''''Group'''' and samAccountname > '''''+@samAccountname+''''' ORDER BY samAccountname' print @query select @query = 'SELECT TOP 900 primaryGroupID, primaryGroupToken, employeeid, sAMAccountName, [dbo].[f_string_ad_clear]([name]), [dbo].[f_string_ad_clear](adspath), 0, objectGUID, [dbo].[f_string_ad_clear](info), 1 FROM OPENQUERY(ADSI, ''' + @query + ''')' print @query while @rc > 0 begin INSERT #usersgrps (primaryGroupID, primaryGroupToken, employeeid, sAMAccountName, username, adspath, isprocessed, sid, info, isgroup) exec (@query ) set @rc = @@rowcount select @samAccountname = max(sAMAccountName) from #usersgrps where isgroup = 1 select @query = 'SELECT name,adspath,objectGUID,info,primaryGroupID,primaryGroupToken,employeeid, sAMAccountName FROM ''''LDAP://DC=MYDOMAIN,DC=RU'''' WHERE objectCategory=''''Group'''' and samAccountname > '''''+@samAccountname+''''' ORDER BY samAccountname' print @query select @query = 'SELECT TOP 900 primaryGroupID, primaryGroupToken, employeeid, sAMAccountName, [dbo].[f_string_ad_clear]([name]), [dbo].[f_string_ad_clear](adspath), 0, objectGUID, [dbo].[f_string_ad_clear](info), 1 FROM OPENQUERY(ADSI, ''' + @query + ''')' print @query end select * from #usersgrps

Hot keys SQL Server Management Studio

2011-08-24T21:52:00.000-07:00

Еще одна вещь которая облегчает жизь, оригинал тут : http://msdn.microsoft.com/ru-ru/library/ms174205.aspx или http://msdn.microsoft.com/en-us/library/ms174205.aspx
тут нет никакой отсебятины, только копия полезной статьи.
Среда Среда SQL Server Management Studio предоставляет пользователям две схемы сочетаний клавиш. По умолчанию используется стандартная схема, при этом сочетания клавиш аналогичны применяемым в среде Microsoft Visual Studio. Вторая схема, называемая схемой SQL Server 2000, напоминает средства SQL Server 2000, в частности сочетания клавиш в программе Query Analyzer. Среда Среда SQL Server Management Studio поддерживает не все сочетания клавиш программы Query Analyzer. Чтобы изменить клавиатурную схему или добавить новые сочетания клавиш, выберите в меню Сервис пункт Параметры. Выберите предпочтительную клавиатурную схему на вкладке Среда страницы Клавиатура.
Сочетания клавиш для активации элементов меню

Действие	Стандартная схема	Схема SQL Server 2000
Активировать строку меню среды Среда SQL Server Management Studio	ALT	ALT
Открыть меню компонента средства	ALT + ДЕФИС	ALT + ДЕФИС
Отобразить контекстное меню	SHIFT + F10	SHIFT + F10
Отобразить диалоговое окно Создать файл	CTRL + N	Нет эквивалента
Отобразить диалоговое окно Создать проект для создания нового проекта	CTRL + SHIFT + N	CTRL + SHIFT + N
Отобразить диалоговое окно Открыть файл для открытия существующего файла	CTRL + O	CTRL + SHIFT + INS
Отобразить диалоговое окно Открыть проект для открытия существующего проекта	CTRL + SHIFT + O	Нет эквивалента
Отобразить диалоговое окно Добавить новый элемент для добавления нового файла в текущий проект	CTRL + SHIFT + A	Нет эквивалента
Отобразить диалоговое окно Добавить существующий элемент для добавления существующего файла в текущий проект	ALT + SHIFT + A	Нет эквивалента
Отобразить окно конструктора запросов	CTRL + SHIFT + Q	CTRL + SHIFT + Q
Закрыть меню или диалоговое окно, отменив выполнение действия	ESC	ESC

Сочетания клавиш для управления окнами и панелью инструментов

Действие	Стандартная схема	Схема SQL Server 2000
Закрыть текущее дочернее окно MDI-приложения	CTRL + F4	CTRL + F4
Печать	CTRL + P	CTRL + P
Выход	ALT + F4	ALT + F4
Переключиться в полноэкранный режим	SHIFT + ALT + ВВОД	SHIFT + ALT + ВВОД
Закрыть окно текущего средства	SHIFT + ESC	SHIFT + ESC
Перейти к следующему дочернему окну MDI-приложения	CTRL + TAB	CTRL + TAB
Перейти к предыдущему дочернему окну MDI-приложения	CTRL + SHIFT + TAB	CTRL + SHIFT + TAB
Активировать панель инструментов окна текущего средства	SHIFT + ALT	Нет эквивалента
Перейти к окну следующего средства	ALT + F6	ALT + F6
Перейти к окну, выбранному в предыдущий раз	SHIFT + ALT + F6	SHIFT + ALT + F6
Открыть новое окно редактора запросов	Нет эквивалента	CTRL + O
Отобразить окно обозревателя объектов	F8	F8
Отобразить окно зарегистрированных серверов	CTRL + ALT + G	Нет эквивалента
Отобразить окно обозревателя шаблонов	CTRL + ALT + T	CTRL + ALT + T
Отобразить окно обозревателя решений	CTRL + ALT + L	CTRL + ALT + L
Отобразить окно сводки	F7	F7
Отобразить окно свойств	F4	F4
Переключение между представлением списка сведений обозревателя объектов и областью свойств обозревателя объектов.	F6	Нет эквивалента
Управление разбивкой, которая разделяет представление списка сведений обозревателя объектов и область свойств обозревателя объектов, для настройки размера области отображения.	TAB + СТРЕЛКА ВВЕРХ или TAB + СТРЕЛКА ВНИЗ	Нет эквивалента
Отобразить область элементов	CTRL + ALT + X	CTRL + ALT + X
Отобразить окно закладок	CTRL + K, CTRL + W	Нет эквивалента
Отобразить окно браузера	CTRL + ALT + R	CTRL + ALT + R
Отобразить окно «Список ошибок» (только редактор Transact-SQL)	CTRL + \, CTRL + E	CTRL + \, CTRL + E

Сочетания клавиш для перемещения курсора

Действие	Стандартная схема	Схема SQL Server 2000
Переместить курсор на одну позицию влево	СТРЕЛКА ВЛЕВО	СТРЕЛКА ВЛЕВО
Переместить курсор на одну позицию вправо	СТРЕЛКА ВПРАВО	СТРЕЛКА ВПРАВО
Переместить курсор на одну позицию вверх	СТРЕЛКА ВВЕРХ	СТРЕЛКА ВВЕРХ
Переместить курсор на одну позицию вниз	СТРЕЛКА ВНИЗ	СТРЕЛКА ВНИЗ
Переместить курсор в начало строки	HOME	HOME
Переместить курсор в конец строки	END	END
Переместить курсор в начало документа	CTRL + HOME	CTRL + HOME
Переместить курсор в конец документа	CTRL + END	CTRL + END
Переместить курсор на один экран вверх	PAGE UP	PAGE UP
Переместить курсор на один экран вниз	PAGE DOWN	PAGE DOWN
Переместить курсор на одно слово вправо	CTRL + СТРЕЛКА ВПРАВО	CTRL + СТРЕЛКА ВПРАВО
Переместить курсор на одно слово влево	CTRL + СТРЕЛКА ВЛЕВО	CTRL + СТРЕЛКА ВЛЕВО

Сочетания клавиш для выделения текста

Действие	Стандартная схема	Схема SQL Server 2000
Выделить текст от начала документа до курсора	CTRL + SHIFT + HOME	CTRL + SHIFT + HOME
Выделить текст от позиции курсора до конца документа	CTRL + SHIFT + END	CTRL + SHIFT + END
Выделить текст от начала текущей строки до курсора	SHIFT + HOME	SHIFT + HOME
Выделить текст от курсора до конца текущей строки	SHIFT + END	SHIFT + END
Выделять текст по одной строке вниз, начиная от курсора	SHIFT + СТРЕЛКА ВНИЗ	SHIFT + СТРЕЛКА ВНИЗ
Выделять текст по одной строке вверх, начиная от курсора	SHIFT + ВВЕРХ	SHIFT + ВВЕРХ
Переместить курсор на одну строку вверх с расширением блока выделенного текста	SHIFT + ALT + СТРЕЛКА ВВЕРХ	SHIFT + ALT + СТРЕЛКА ВВЕРХ
Расширить блок выделенного текста на одну страницу вверх	SHIFT + PAGE UP	SHIFT + PAGE UP
Расширить блок выделенного текста на одну страницу вниз	SHIFT + PAGE DOWN	SHIFT + PAGE DOWN

Выделить весь документ	CTRL + A	CTRL + A
Выделить слово, на котором находится курсор, или ближайшее к курсору слово	CTRL + W	CTRL + W
Выделить в редакторе блок текста от текущей до предыдущей позиций курсора	CTRL + =	CTRL + =
Расширить блок выделенного текста до верха текущего окна	CTRL + SHIFT + PAGE UP	CTRL + SHIFT + PAGE UP
Переместить курсор в последнюю видимую на экране строку с расширением выделенного блока текста	CTRL + SHIFT + PAGE DOWN	CTRL + SHIFT + PAGE DOWN
Расширить блок выделенного текста на одно слово вправо	CTRL + SHIFT + СТРЕЛКА ВПРАВО	CTRL + SHIFT + СТРЕЛКА ВПРАВО
Расширить блок выделенного текста на одно слово влево	CTRL + SHIFT + СТРЕЛКА ВЛЕВО	CTRL + SHIFT + СТРЕЛКА ВЛЕВО
Переместить курсор на одно слово вправо с расширением блока выделенного текста	CTRL + SHIFT + ALT + СТРЕЛКА ВПРАВО	CTRL + SHIFT + ALT + СТРЕЛКА ВПРАВО
Переместить курсор на одно слово влево с расширением блока выделенного текста	CTRL + SHIFT + ALT + СТРЕЛКА ВЛЕВО	CTRL + SHIFT + ALT + СТРЕЛКА ВЛЕВО

Сочетания клавиш для закладок

Действие	Стандартная схема	Схема SQL Server 2000
Установить закладку на текущей строке или удалить ее	CTRL + K, CTRL + K	CTRL + F2
Перейти к следующей закладке	CTRL + K, CTRL + N	F2
Перейти к предыдущей закладке	CTRL + K, CTRL + P	SHIFT + F2
Очистить закладки	CTRL + K, CTRL + L	CTRL + SHIFT + F2

Сочетания клавиш для управления деревьями

Действие	Стандартная схема	Схема SQL Server 2000
Свернуть узлы дерева	— (на цифровой клавишной панели)	— (на цифровой клавишной панели)
Развернуть все узлы дерева	* (на цифровой клавишной панели)	* (на цифровой клавишной панели)
Прокрутить дерево вверх	CTRL + СТРЕЛКА ВВЕРХ	CTRL + СТРЕЛКА ВВЕРХ
Прокрутить дерево вниз	CTRL + СТРЕЛКА ВНИЗ	CTRL + СТРЕЛКА ВНИЗ

Сочетания клавиш редактора кода
Отдельные редакторы кода могут поддерживать не все сочетания клавиш.

Действие	Стандартная схема	Схема SQL Server 2000
Переключиться в полноэкранный режим или выйти из него	SHIFT + ALT + ВВОД	SHIFT + ALT + ВВОД
Прокрутить текст вверх на одну строку	CTRL + СТРЕЛКА ВВЕРХ	CTRL + СТРЕЛКА ВВЕРХ
Прокрутить текст вниз на одну строку	CTRL + СТРЕЛКА ВНИЗ	CTRL + СТРЕЛКА ВНИЗ
Отменить последнее действие по изменению кода	CTRL + Z	CTRL + Z
Восстановить отмененное действие	CTRL + SHIFT + Z или CTRL + Y или ALT + SHIFT + BACKSPACE	CTRL + SHIFT + Z или CTRL + Y или ALT + SHIFT + BACKSPACE
Вставить текст указанного файла в текущее окно	Нет эквивалента	CTRL + SHIFT + P
Сохранить выбранный элемент	CTRL + S	CTRL + S
Сохранить все	CTRL + SHIFT + S	CTRL + SHIFT + S
Закрыть	CTRL + F4	CTRL + F4
Печать	CTRL + P	CTRL + P
Выход	ALT + F4	ALT + F4
Удалить весь текст из текущего файла	CTRL + SHIFT + DEL	CTRL + SHIFT + DEL
Отобразить диалоговое окно Переход к строке	CTRL + G	CTRL + G
Увеличить отступ перед строкой	TAB	TAB
Уменьшить отступ перед строкой	SHIFT + TAB	SHIFT + TAB
Преобразовать выделенный текст в верхний регистр.	CTRL + SHIFT + U	CTRL + SHIFT + U
Преобразовать выделенный текст в нижний регистр	CTRL + SHIFT + L	CTRL + SHIFT + L
Сделать выделенный текст примечанием	CTRL + K, CTRL + C	CTRL + SHIFT + C
Снять комментарий с выделенного текста	CTRL + K, CTRL + U	CTRL + SHIFT + R
Открыть новый запрос в контексте текущего соединения	CTRL + Q	CTRL + N
Открыть базу данных в обозревателе объектов	ALT + F8	ALT + F8
Указать значения параметров шаблона	CTRL + SHIFT + M	CTRL + SHIFT + M
Выполнить фрагмент кода, выделенный в редакторе запросов, или весь код, находящийся в редакторе запросов, если ничего не выделено	F5 или CTRL + E или ALT + X	F5 или CTRL + E или ALT + X
Выполнить синтаксический анализ фрагмента кода, выделенного в редакторе запросов, или всего кода, находящегося в редакторе запросов, если ничего не выделено	CTRL + F5	CTRL + F5
Отобразить предполагаемый план выполнения	CTRL + L	CTRL + L
Отменить выполняемый запрос	ALT + BREAK	ALT + BREAK
Включить действительный план выполнения в данные, выведенные запросом	CTRL + M	CTRL + K
Открыть диалоговое окно Параметр запроса	Нет эквивалента	CTRL + SHIFT + O
Вывести результаты в сетку	CTRL + D	CTRL + D
Вывести результаты в текстовом формате	CTRL + T	CTRL + T
Вывести результаты в файл	CTRL + SHIFT + F	CTRL + SHIFT + F
Отобразить или скрыть панель результатов выполнения запроса	CTRL + R	CTRL + R
Переключение между панелями запроса и результатов выполнения запроса	F6	F6
Перейти к следующему активному окну в Management Studio	CTRL + F6	CTRL + F6
Скрыть все автоматически	ALT + ВВОД	Нет эквивалента
Окна	CTRL + W	Нет эквивалента
Открыть приложение Приложение SQL Server Profiler	CTRL + ALT + P	CTRL + ALT + P

Сочетания клавиш для работы с текстом в редакторе кода

Действие	Стандартная схема	Схема SQL Server 2000
Вставить символ переноса строки	ВВОД или SHIFT + ВВОД	ВВОД или SHIFT + ВВОД
Поменять местами два символа, расположенные слева и справа от курсора (неприменимо в редакторе SQL)	CTRL + T	Нет эквивалента
Удалить символ, расположенный справа от курсора	DELETE	DELETE
Удалить символ, расположенный слева от курсора	BACKSPACE или SHIFT + BACKSPACE	BACKSPACE или SHIFT + BACKSPACE
Вставить в текст последовательность пробелов, длина которой указана в настройках редактора	TAB	TAB
Вставить в текст пустую строку выше курсора	CTRL + ВВОД	CTRL + ВВОД
Вставить в текст пустую строку ниже курсора	CTRL + SHIFT + ВВОД	CTRL + SHIFT + ВВОД
Преобразовать выделенный текст в нижний регистр	CTRL + SHIFT + L	CTRL + SHIFT + L
Преобразовать выделенный текст в верхний регистр	CTRL + SHIFT + U	CTRL + SHIFT + U
Переключение между режимами вставки и замены текста	INSERT	INSERT
Переместить выделенные строки к левой позиции табуляции	SHIFT + TAB	SHIFT + TAB
Удалить слово, расположенное справа от курсора	CTRL + DELETE	CTRL + DELETE
Удалить слово, расположенное слева от курсора	CTRL + BACKSPACE	CTRL + BACKSPACE
Поменять местами слова, расположенные слева и справа от курсора (неприменимо в редакторе SQL)	CTRL + SHIFT + T	CTRL + SHIFT + T

Сочетания клавиш отладчика Transact-SQL

Действие	Standard	SQL Server 2000
Начать или продолжить отладку	ALT + F5	Нет эквивалента
Остановить отладку	SHIFT + F5	Нет эквивалента
Шаг с заходом	F11	Нет эквивалента
Шаг с обходом	F10	Нет эквивалента
Шаг с выходом	SHIFT + F11	Нет эквивалента
Реализация команды Выполнить до курсора	CTRL + F10	Нет эквивалента
Отобразить диалоговое окно Контрольное значениеQuickWatch.	CTRL + ALT + Q	Нет эквивалента
Переключить точку останова	F9	Нет эквивалента
Удалить все точки останова	CTRL + SHIFT + F9	Нет эквивалента
Отобразить окно Точки останова	CTRL + ALT + B	Нет эквивалента
Приостановить все	CTRL + ALT + BREAK	Нет эквивалента
Отобразить окно Просмотр значений 1	CTRL + ALT + W, 1	Нет эквивалента
Отобразить окно Просмотр значений 2	CTRL + ALT + W, 2	Нет эквивалента
Отобразить окно Просмотр значений 3	CTRL + ALT + W, 3	Нет эквивалента
Отобразить окно Просмотр значений 4	CTRL + ALT + W, 4	Нет эквивалента
Отобразить окно Автоматические значения	CTRL + ALT + V, A	Нет эквивалента
Отобразить окно Локальные значения	CTRL + ALT + V, L	Нет эквивалента
Отобразить окно Интерпретация	CTRL + ALT + I	Нет эквивалента
Отобразить окно Стек вызова	CTRL + ALT + C	Нет эквивалента
Отобразить окно Потоки	CTRL + ALT + H	Нет эквивалента

Сочетания клавиш для технологии Microsoft IntelliSense

Действие	Стандартная схема	Схема SQL Server 2000
Показать список элементов	CTRL + ПРОБЕЛ или CTRL + J	CTRL + J
Дополнить слово	ALT + ВПРАВО	ALT + ВПРАВО
Сведения о параметрах	CTRL + SHIFT + ПРОБЕЛ	Нет эквивалента
Обновление локального кэша	CTRL + SHIFT + R	Нет эквивалента
Перейти между синтаксическими парами	CTRL + ]	Нет эквивалента

Сочетания клавиш для окна документов и браузера

Действие	Стандартная схема	Схема SQL Server 2000
Переключиться в полноэкранный режим или выйти из него	SHIFT + ALT + ВВОД	SHIFT + ALT + ВВОД
Перейти к следующей панели представления документа с разделенными панелями	F6	F6
Перейти к предыдущему документу в редакторе или конструкторе	CTRL + SHIFT + F6 CTRL + SHIFT + TAB	CTRL + SHIFT + F6 CTRL + SHIFT + TAB
Перейти к предыдущей панели документа в представлении с разделенными панелями	SHIFT + F6	SHIFT + F6
Отобразить окно браузера	CTRL + ALT + R	CTRL + ALT + R
Отобразить предыдущую страницу в журнале просмотра страниц	ALT + ВЛЕВО	ALT + ВЛЕВО
Отобразить следующую страницу в журнале просмотра страниц	ALT + ВПРАВО	ALT + ВПРАВО

Сочетания клавиш обозревателя решений

Действие	Стандартная схема	Схема SQL Server 2000
Отобразить окно обозревателя решений	CTRL + ALT + L	CTRL + ALT + L
Отобразить диалоговое окно Создать файл	CTRL + N	CTRL + SHIFT + INS
Отобразить диалоговое окно Создать проект для создания нового проекта	CTRL + SHIFT + N	CTRL + SHIFT + N
Отобразить диалоговое окно Открыть файл для открытия существующего файла	CTRL + O	Нет эквивалента

Сочетания клавиш для работы со справкой и электронной документацией

Действие	Стандартная схема	Схема SQL Server 2000
Справка	F1	F1
Справка по разделу «Инструкции»	CTRL + F1	CTRL + F1
Выбрать в электронной документации вкладку «Оглавление»	CTRL + ALT + F1	CTRL + ALT + F1
Выбрать в электронной документации вкладку «Указатель»	CTRL + ALT + F2	CTRL + ALT + F2
Открыть в справочной системе окно поиска	CTRL + ALT + F3	CTRL + ALT + F3
Динамическая справка	CTRL + ALT + F4	CTRL + ALT + F4
Избранные разделы справки	CTRL + ALT + F	CTRL + ALT + F

Сочетания клавиш для поиска

Действие	Стандартная схема	Схема SQL Server 2000
Отобразить диалоговое окно Найти	CTRL + F	CTRL + F
Отобразить диалоговое окно Заменить	CTRL + H	CTRL + H
Начать последовательный поиск. Введите последовательность символов, которую нужно найти, или нажмите CTRL + I для поиска тех же символов, что и в предыдущий раз.	CTRL + I	CTRL + B
Найти следующее вхождение искомой последовательности символов в текст	F3	F3
Найти предыдущее вхождение искомого текста	SHIFT + F3	SHIFT + F3
Найти следующее вхождение выделенного текста	CTRL + F3	CTRL + F3
Найти предыдущее вхождение выделенного текста	CTRL + SHIFT + F3	CTRL + SHIFT + F3
Отобразить диалоговое окно Заменить в файлах	CTRL + SHIFT + H	CTRL + SHIFT + H
Изменить направление поиска с уточнением критериев, чтобы он выполнялся от конца файла к началу	CTRL + SHIFT + I	CTRL + SHIFT + I
Установить или снять флажок Искать вверх в диалоговом окне Найти и заменить	ALT + F3, B	ALT + F3, B
Остановить выполнение операции Найти в файлах	ALT + F3, S	ALT + F3, S
Установить или снять флажок Искать слово в диалоговом окне Найти и заменить	ALT + F3, W	ALT + F3, W
Установить или снять флажок Шаблон в диалоговом окне Найти и заменить.	ALT + F3, P	ALT + F3, P

Сочетания клавиш для вырезания и вставки текста

Действие	Стандартная схема	Схема SQL Server 2000
Вырезать (удалить выделенный элемент и поместить его в буфер обмена)	CTRL + X или SHIFT + DELETE	CTRL + X или SHIFT + DELETE
Скопировать данные в буфер обмена	CTRL + C или CTRL + INSERT	CTRL + C или CTRL + INSERT
Вставить данные из буфера обмена в позицию вставки	CTRL + V или SHIFT + INSERT	CTRL + V или SHIFT + INSERT

Сочетания клавиш средства просмотра журналов

Действие	Стандартная схема	Схема SQL Server 2000
Обновить	F5	F5
Переключаться между панелями Выбор журналов и Сведения журнала	F6	F6
Перейти на панель Сведения журнала	ALT + S	ALT + S
Загрузить новый журнал	CTRL + SHIFT + L	CTRL + SHIFT + L
Экспортировать журнал	CTRL + SHIFT + E	CTRL + SHIFT + E
Отфильтровать журнал	CTRL + SHIFT + F	CTRL + SHIFT + F
Поиск в журнале	CTRL + SHIFT + S	CTRL + SHIFT + S

Сочетания клавиш монитора активности

Действие	Стандартная схема	Схема SQL Server 2000
Обновить	F5	F5
Отфильтровать отображаемые монитором сведения	CTRL + SHIFT + F	CTRL + SHIFT + F

Сочетания клавиш монитора репликации

Действие	Стандартная схема	Схема SQL Server 2000
Обновить	F5	F5
Открыть окно сведений из сетки	ВВОД	ВВОД

Сочетания клавиш средства просмотра конфликтов репликации

Действие	Стандартная схема	Схема SQL Server 2000
Определить фильтр	F6	F6
Применить фильтр	F7	F7
Показать все столбцы	F8	F8

Оптимизация запросов - убираем корреляцию в запросах.

2011-07-22T03:58:00.000-07:00

Собственно нашел давно картинку, которая очень помогает в решении задач по оптимизации.
Например когда надо проверить (не)существование значений в другой таблице по заданным параметрам.

Самый простой вариант НЕ ПРАВИЛЬНЫХ запросов выглядит следующим образом
Вывести строки из t1, на которые есть ссылки в таблице t2

select * from t1
where exists(select * from t2 where t2.t1id = t1.id)

или на оборот,

select * from t1
where not exists(select * from t2 where t2.t1id = t1.id)

некоторые программисты начали пытаться ускорить код следующиими вариантами

select * from t1
where exists(select top 1 1 from t2 where t2.t1id = t1.id)

или на оборот,

select * from t1
where not exists(select top 1 1 from t2 where t2.t1id = t1.id)

Честно говоря я понимаю что есть ситуации когда без таких конструкций не обойтись, и в моей практике такое тоже встречалось. Но все же лучше пользоваться "умножения" таблиц
Получение строк, на которые есть ссылки в подчиненной таблице

select distinct t1.*
from t1
inner join t2 on t2.t1id = t1.id

И получение строк, на которые нет ссылок в подчиненной таблице

select distinct t1.*
from t1
left join t2 on t2.t1id = t1.id
where t2.id is null

Вобщем пользуйтесь на здоровье, и избегайте не нужной работы серверов

Оптимизация запросов - убираем TOP 1

2011-07-22T01:46:00.000-07:00

Иногда бывает необходимо получить только некие "верхние" записи из подчиненной таблицы
Кто-то делает так:

select *
, (select top 1 t2.id from t2 where t1Id = t1.id)
, (select top 1 t2.someData from t2 where t1Id = t1.id)
from t1

Чем плох такой вариант? А плох он следующим.
Мы ориентируемся на некое "верхнее" значение, которое может не относиться в нужной нам последовательности в итоге.
Кроме этого, у нас может возникнуть ситуация когда вызовы "верхнего" значения будут относиться к разным строкам таблицы.
Что тогда будете делать?
Поэтому я предлагаю использовать агрегирующий подзапрос

select *
from t1
inner join (select max(id) id, t1Id from t2 group by t1Id) T2i on t1.id = T2i.t1Id
inner join t2 on t2.id = T2i.id

В большинстве своем мы получим более лучший план запроса, эффективность во времени, предсказуемость (точность) результата.

Уровни изоляции в MS SQL - READ UNCOMMITTED

2011-07-05T03:33:00.000-07:00

READ UNCOMMITTED
Уровень изоляции READ UNCOMMITTED позволяет читать данные, измененные другими транзакциями, но еще не зафиксированными. Транзакции, запущенные с таким уровнем изоляции, не блокируют строки/объекты с которыми оперируют. Чтение в таком режиме также носит название "грязное чтение".
Так как READ UNCOMMITTED не блокирует доступ к своим объектам и может работать с заблокированными объектами, то может возникнуть ситуация, когда данные будут то появляться, то исчезать.

Откроем теперь 3 окна запроса
в 1-м окне введем:

SET TRANSACTION ISOLATION LEVEL READ UNCOMMITED
GO
BEGIN TRANSACTION

select * from t1

update t1
set textdata = 'thread 1'

select * from t1
GO

во 2-м окне

SET TRANSACTION ISOLATION LEVEL READ COMMITED
GO
BEGIN TRANSACTION

select * from t1

update t1
set textdata = 'thread 2'

select * from t1

COMMIT TRANSACTION
GO

в 3-м окне:

SET TRANSACTION ISOLATION LEVEL READ UNCOMMITED
GO
BEGIN TRANSACTION

select * from t1

update t1
set textdata = 'thread 3'

select * from t1

COMMIT TRANSACTION
GO

Запустите первый пакет, потом 2-й и 3-й.
Мы увидим, что если в 1-м пакете не закрыта транзакция, то 2-й и 3-й пакеты будут ожидать закрытия, но ожидать они будут в разных точках.
2-й пакет будет ожидать чтения (1-й select)
3-й пакет будет ожидать записи/обновления

Уровни изоляции в MS SQL - READ COMMITTED

2011-07-05T00:35:00.000-07:00

Все существует 5 уровней изоляции транзакций

READ UNCOMMITTED
READ COMMITTED
REPEATABLE READ
SNAPSHOT
SERIALIZABLE

READ COMMITTED
В режиме READ COMMITTED инструкции sql запроса будут читать только те данные, которые были зафиксированы предыдущими/параллельными транзакциями. Если же на читаемы данные была наложена блокировка, то текущий пакет инструкций будет ожидать высвобождения ресурса. Например, есть два пакета инструкций, запущенных одновременно, рассмотрим пример, в Microsoft SQL Manegment Studio откроем 2 окна запроса, в первом запустите следующий код

SET TRANSACTION ISOLATION LEVEL READ COMMITTED
GO
BEGIN TRANSACTION
SELECT * FROM t1

UPDATE t1
SET textdata = 'Thread_1'
WHERE row = 1

-- !!!Важно!!! - не фиксируем транзакцию
GO

во втором запускаем аналогичный код

SET TRANSACTION ISOLATION LEVEL READ COMMITTED
GO
BEGIN TRANSACTION
SELECT * FROM t1

UPDATE t1
SET textdata = 'Thread_2'
WHERE row = 1

SELECT * FROM t1

COMMIT TRANSACTION
GO

В результате, если запустить 1-й код а следом запустить 2-й, мы получим во 2-м коде ожидание завершения транзакции в первом окне.
Добавьте в первое окно следующую строку:

COMMIT TRANSACTION

И исполните только ее. Переключившись во 2-е окно мы увидим результат выполнения 2-го пакета , две выборки до изменения и после внесения изменений в таблицу t1.
Принцип работы этих пакетов можно отобразить на временной оси.

момент времени	1	2	3	4	5	6
запрос 1	начало транзакции	внесение изменений			фиксация изменений
запрос 1			начало транзакции	ожидание запроса 1	внесение изменений	фиксация транзакции

Базы Данных

2011-07-05T00:30:00.000-07:00

Думаю придтся начать "цикл" статей по моему основному профилю - базы данных.
Причина - надоело постоянно искать ответы на уже не однократно заданные мною вопросы.
С одной стороны это будет handbook за моим авторством, с другой - BookOnLine, третей - перевод понравившихся статей.
Да!!! Я не люблю редмоновского гиганта, но в большинстве своем работаю именно с ним, таковы реалии.

История дня по итогам голосования за 26 января 2011 от Анекдоты из России - Anekdot.ru

2011-03-02T21:59:00.000-08:00

В одном из российских медицинских институтов был жутко принципиальный препод, но при этом мужик правильный и никого специально не валил, да к тому же ещё имел какой-то бизнес и как следствие взяток практически не брал. Попался ему как-то студент оболтус, ну никак не хотевший учить его предмет, соответственно этот студиозус экзамен не сдал ни с первого раза, ни со второго, ни с третьего.

И вот перед четвёртой и последней пересдачей (за ней как правило следует отчисление) в кабинет к преподу заходит папаша этого студента и кладёт ему на стол ключи от чудного произведения отечественного автопрома 15-й модели со словами:

- Если он сдаст, то она твоя!

Препод некоторое время смотрит на папашу, потом из нагрудного кармана достает ключи от BMW Х-5 и кладёт на стол рядом с его ключами со словами:

- ЕСЛИ твой сын сдаст, то она твоя!

Perl vs прокси Socks

2010-11-22T04:18:00.000-08:00

Работа с socks прокси из Perla

Понядобятся следующие пакеты
sudo apt-get install libnet-ssleay-perl
sudo cpan LWP::Protocol::socks

Вот пример:

#!/usr/bin/perl
use strict;
use LWP::UserAgent;
 
my $ua = LWP::UserAgent->new(
  agent => q{Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; YPC 3.2.0; .NET CLR 1.1.4322)},
);
$ua->proxy([qw/ http https /] => 'socks://localhost:9050'); # Tor proxy
$ua->cookie_jar({});
my $rsp = $ua->get('http://www.yahoo.com/');
print $rsp->content;

Wimax 1.5 + Ubuntu 10.10

2010-11-11T01:13:00.000-08:00

Как многие из вас знают не так давно вышла новая версия Ubuntu 10.10 и вышли драйвера драйвера под WiMAX версии 1.5, так же несколько дней назад было выпущено обновление до версии 1.5.1. Долго не подходил к этому вопросу, но сейчас задался им.

И так для установки новых драйверов wimax нам понадобится
1. Создадим каталог для наших «экспериментов»

mkdir ~/wimax cd ~/wimax

2. Установить несколько пакетов из репозитариев

sudo apt-get install libnl-dev libssl-dev patch libglib2.0-dev

* Если что-то пропустил не обессудьте
3. Качаем исходники

wget 'http://www.linuxwimax.org/Download?action=AttachFile&do=get&target=i2400m-fw-1.5.0.tar.bz2' -O 'i2400m-fw-1.5.0.tar.bz2' wget 'http://www.linuxwimax.org/Download?action=AttachFile&do=get&target=wimax-tools-1.4.3.tar.gz' -O 'wimax-tools-1.4.3.tar.gz' wget 'http://www.linuxwimax.org/Download?action=AttachFile&do=get&target=wimax-1.5.tar.gz' -O 'wimax-1.5.tar.gz' wget 'http://www.linuxwimax.org/Download?action=AttachFile&do=get&target=wpa_supplicant-0.6.10-generate-libeap-peer.patch' -O 'wpa_supplicant-0.6.10-generate-libeap-peer.patch' wget 'http://hostap.epitest.fi/releases/wpa_supplicant-0.6.10.tar.gz' -O 'wpa_supplicant-0.6.10.tar.gz'

4. Распаковываем

tar xf i2400m-fw-1.5.0.tar.bz2 tar xf wimax-tools-1.4.3.tar.gz tar xf wimax-1.5.tar.gz tar xf wpa_supplicant-0.6.10.tar.gz

5. Установим i2400m firmware

cd i2400m-fw-1.5.0 sudo install -o root -g root -m -644 *.sbcf /lib/firmware cd ..

6. Компилим wimax-toos

cd wimax-tools-1.4.3 ./configure make sudo make install

* Следите внимательно за ./configure он укажет если каких-то библиотек не хватает
7. Теперь нужно установить кусочек wpa_suplicant

cd wpa_supplicant-0.6.10 patch -p1 < PATH/wpa_supplicant-0.6.10-generate-libeap-peer.patch make -C src/eap_peer sudo make -C src/eap_peer install sudo ldconfig

8. Теперь приступим к WiMAX Network Service

cd wimax-1.5 ./configure --sysconfdir=/etc —with-libwimaxll=../wimax-tools-1.4.3 —prefix=/usr make sudo make install

* если на этапе компиляции (make) выдает ошибку вида

make[2]: *** [wimaxd-GenericConsole.o]

попробуйте этот патч

wget 'http://excalibur.homelinux.com/wimax/wimax-1.5.patch' patch -p0 -i wimax-1.5.patch

9. Если wimaxcu не будет стартовать, то проверьте расположение библиотек. Их могло занести в /usr/local/lib, тогда скопируйте их в /usr/lib

sudo cp -r /usr/local/lib/* /usr/lib/

10. Список команд
* сканирование

wimaxcu scan

* коннект к Yota

wimaxcu connect network 21

* коннект к Comstar

wimaxcu connect network 41

IP должен быть получен автоматически.

Востановление One Key Recovery

2010-11-07T22:34:00.000-08:00

По сути, у меня была сохранена фабричная установка OKR, только не получалось ее запустить по кнопке NOVO. Размер раздела также был сохранен. Только был изменен тип ФС с 0x12 (Compaq Diagnostic) на 0x07 (HPFS/NTFS) во время установки бубна. В итоге для полного востановления необходимо было все разделы вернуть на свои места.
Разделы я вернул на место при помощи Acronis Disk Director.
Тип ФС вернул с помощью live-CD/USB Ubuntu, а именно fdisk.
т.о. кнопка NOVO работает, и у меня на выходе фабричная установка Windows XP

как бы пока все...

Ubuntu Lucid, первые впечатление

2010-04-29T21:20:00.000-07:00

Вчера к шести вечера докопировал релиз Lucid'a.
Вечером перепроверил с официальным релизом все совпало :)

Ставил пока на отдельный раздел.
Т.о. у меня сейчас XP (Ну куда уж без нее), ubuntu 8.04.4 и ubuntu 10.04.
Баг про который все кричали на нашем форуме успешно починен. С грубом проблем нет.
При установке не увиделись профили из других систем (. Оно и не особо нужно, но всеже для новичком будет печально. Допускаю что могло не увидиться еще потому что у меня профили в XP и 8.04 девственны пока.
Все завелось без проблем. Не ставил только модем, за не надобностью
Локализация внешне вся нормальная. Артефактов не замечено.
Спецификация
lspci

00:00.0 Host bridge: Intel Corporation Mobile 945GM/PM/GMS, 943/940GML and 945GT Express Memory Controller Hub (rev 03)
00:01.0 PCI bridge: Intel Corporation Mobile 945GM/PM/GMS, 943/940GML and 945GT Express PCI Express Root Port (rev 03)
00:1b.0 Audio device: Intel Corporation N10/ICH 7 Family High Definition Audio Controller (rev 02)
00:1c.0 PCI bridge: Intel Corporation N10/ICH 7 Family PCI Express Port 1 (rev 02)
00:1c.1 PCI bridge: Intel Corporation N10/ICH 7 Family PCI Express Port 2 (rev 02)
00:1c.2 PCI bridge: Intel Corporation N10/ICH 7 Family PCI Express Port 3 (rev 02)
00:1d.0 USB Controller: Intel Corporation N10/ICH7 Family USB UHCI Controller #1 (rev 02)
00:1d.1 USB Controller: Intel Corporation N10/ICH 7 Family USB UHCI Controller #2 (rev 02)
00:1d.2 USB Controller: Intel Corporation N10/ICH 7 Family USB UHCI Controller #3 (rev 02)
00:1d.3 USB Controller: Intel Corporation N10/ICH 7 Family USB UHCI Controller #4 (rev 02)
00:1d.7 USB Controller: Intel Corporation N10/ICH 7 Family USB2 EHCI Controller (rev 02)
00:1e.0 PCI bridge: Intel Corporation 82801 Mobile PCI Bridge (rev e2)
00:1f.0 ISA bridge: Intel Corporation 82801GBM (ICH7-M) LPC Interface Bridge (rev 02)
00:1f.2 IDE interface: Intel Corporation 82801GBM/GHM (ICH7 Family) SATA IDE Controller (rev 02)
00:1f.3 SMBus: Intel Corporation N10/ICH 7 Family SMBus Controller (rev 02)
01:00.0 VGA compatible controller: ATI Technologies Inc Mobility Radeon X2300
02:00.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL8111/8168B PCI Express Gigabit Ethernet controller (rev 01)
03:00.0 Network controller: Intel Corporation PRO/Wireless 3945ABG [Golan] Network Connection (rev 02)
06:01.0 FireWire (IEEE 1394): Ricoh Co Ltd R5C832 IEEE 1394 Controller
06:01.1 SD Host controller: Ricoh Co Ltd R5C822 SD/SDIO/MMC/MS/MSPro Host Adapter (rev 19)
06:01.2 System peripheral: Ricoh Co Ltd R5C843 MMC Host Controller (rev 01)
06:01.3 System peripheral: Ricoh Co Ltd R5C592 Memory Stick Bus Host Adapter (rev 0a)

lsusb

Bus 005 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 004 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 002 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 001 Device 004: ID 058f:6387 Alcor Micro Corp. Transcend JetFlash Flash Drive
Bus 001 Device 002: ID 05e1:0501 Syntek Semiconductor Co., Ltd DC-1125 Webcam
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

О грустном...

2010-04-21T11:43:00.001-07:00

Хронология:
Неделю назад, я видел хорошего человека. Смеялся в месте с ним.
В субботу его не стало.
В понедельник, когда мне сказали об этом, я не поверил.
Сегодня его хоронили.

Мысли:
Друзья, те кто читает этот текст. Посмотрите вокруг. Рядом с вами есть друзья, коллеги, матери, жены, дети... Любите и цените их, заботьтесь о них. Встречайтесь... Общайтесь... Иначе может быть поздно.

Вчера хорошему человеку, моему однокашнику исполнилось бы 28 лет. Тебе не хватило 4 дня до своего дня рождения. Нам всем будет не хватать твоей доброты и открытости. Я верю что сейчас ты в лучшем из миров. Верю что ты все равно отпраздновал свой праздник там... в Раю. Ведь такие как ты должны быть именно там.

Как мне сказали, ты сделал все 3 вещи. Построил дом (пусть даже скворечник). Посадил дерево, нашу русскую березу. Родил 2-х детей. Мне было известно только о детях: сын - 5 лет и дочь - 1,5 года.
Я не люблю давать пустых обещаний, но постараюсь сделать все что возможно для тех кого ты покинул.

jobs - основы управления заданиями

2010-04-13T21:58:00.000-07:00

Источник: Jobs - the basics of job control

Каждая команда, которую вы запускаете это задание (job), которое выполняется. Задание может быть приостановлено, размещено в фоновом режиме, вернуться на передний план или завершено.
Большинство команд, например ls выполняются быстро, но такие вещи, как перемещение больших файлов занимают довольно долгое время, и используют ваш терминал.
В этих случаях задание может быть помещено в фоновый режим, что позволяет выполнять другие команды в это время.
При выполнении задания (job), вы можете приостановить его нажатием Ctrl+Z и убить ее нажав Ctrl+C.

При выполнении работы вы можете	комбинация
приостановить работу	Ctrl+Z
прекратить работу	Ctrl+C

Если задание прерывается оно может быть перемещено обратно на первый план с помощью команды fg и помещена в фоновый режим (где она будет продолжать высполнятся) с помощью bg.

Функция	Команда
Move a suspended job to the foreground Перемещение приостановленого задания на первый план	fg
Continue a suspended job in the background Продолжить приостановленную работу в фоновом режиме	bg
List all jobs Список всех заданий	jobs
Kill a job (%N where N is the job number) Убить задание (%N, где N это номер задания)	kill %N && fg
Start a job directly in the background Запуск задания в фоновом режиме	command &

Как запускать, приостанавливать и продолжать команду в фоновом режиме
Примеры того, как выполнить работу в фоновом режиме:


$ cp video.avi /pub/videos
Ctrl-z
[1]+  Stopped  cp video.avi /pub/videos
$
[1]+  cp video.avi /pub/videos
$ bg
$
[1]+  Done  cp video.avi /pub/videos

Запуск задание в фоновом режиме при выполнении


$ cp video.avi /pub/videos &
[1] 6510
$ jobs
[1]+  cp video.avi /pub/videos &
$
[1]+  Done cp video.avi /pub/videos &

Убить запущенное задание


$ cp video.avi /pub/videos
Ctrl-z
$  kill %1 && fg
cp video.avi /pub/videos
Terminated

Обратите внимание, что команда jobs покажет задания запущенные в данном сеансе, используйте `top` или `ps -aux` чтобы просмотреть список всех запущенных заданий на компьютере.

Данная заметка - приближенный перевод статьи Øyvind Sæther, размещенной на http://linuxreviews.org

[Анекдоты] Узрел на forum.ubuntu.ru

2010-03-15T00:46:00.000-07:00

Dr.Strangelove: Ну как, Фей тебя с теми девками познакомил?
MindChanger: Угу. Правда я при знакомстве чуть не помер со смеху :-)
Dr.Strangelove: Хе, чего так?
MindChanger: Понимаешь, они сестры, близняшки. Так вот. Одну зовут Арина, а вторую Карина
MindChanger: Обе - линуксоидши. И самое интересное заключается в том, что на компе Арины стоит Ubuntu, на у Карины...
Dr.Strangelove: КUbuntu? :-D
MindChanger: Ага :-)

Прикладная некромантия в линукс или возвращаем из небытия удаленные файлы

2009-12-24T02:10:00.000-08:00

Источник

Думаю, каждый из нас с вами сталкивался с проблемой, когда из-за глюка прошивки фотоаппарата, камеры, кпк, смартфона или просто из-за особого устройства /dev/hands карточка была отформатирована, данные были удалены. В свое время данную проблему я решал достаточно просто, используя Portable версию Ontrack Easy Recovery, но так как уже несколько лет являюсь пользователем linux систем, то использование данного нелицензионнного приложения через wine показалось не совсем кошерным, к тому же жажда исследований и приключений требовала найти бесплатный родной аналог для linux систем. Исследования закончились, даже не успев начаться, так как первая строчка в поиске Google привела к набору утилит TestDisk, о которых я расскажу далее подробнее.

И так, TestDist состоит из двух утилит:
testdisk и photorec; Официальный сайт утилит.
Краткое описание:
testdisk – мощная утилита, разработанная для восстановления удаленных разделов и для восстановления загрузочных записей mbr после программных ошибок, действий некоторых вирусов, человеческих ошибок (например, когда раздел был просто удален).
Возможности testdisk:
Исправление таблицы разделов; восстановление удаленных разделов Восстановление FAT32 загрузочного сектора из бэкапа Перестроение FAT12/FAT16/FAT32 загрузочного сектора Исправление FAT tables
Перестроение NTFS загрузочного сектора Восстановление NTFS загрузочного сектора из бэкапа Исправление MFT используя MFT зеркало Нахождение ext2/ext3 Backup SuperBlock
Восстановление удаленных файлов в FAT, NTFS and ext2 файловых системах
Копирование файлов из FAT, NTFS and ext2/ext3 удаленных разделов.

photorec – утилита восстановления данных таких, как файлы видео, документы, архивы с жестких дисков и cdrom дисков, а также фото (поэтому название программы Photo Recovery) со встроенной памяти камер. Список типов файлов для восстановления весьма внушителен и с ним можно ознакомиться тут.

Обе утилиты open source, распространяются под лицензией GNU General Public License (GPL). Имеются в наличие версии для linux, unix, а также для windows платформ.

В большинстве линукс дистрибутивов уже включены в состав стандартного репозитория. Для debian-based дистрибутивов установка командой:

sudo aptitude install testdisk

В моем случае требовалось восстановить фотографии с карточки фотоаппарата после того, как фотоаппарат случайно отформатировал карточку. Вставив флешку в card reader и запустив с правами рута photorec в консоли, утилита предложила мне выбрать диск, на котором требуется восстановить данные.

В моем случае это будет /dev/sdb.
Далее выбираем тип таблицы разделов на диске, для большинства пользователей это будет Intel/PC.

И далее выбираем раздел или диск целиком для поиска удаленных файлов. Так как мне нужно было восстановить все удаленные файлы после форматирования, то я выбрал поиск по всему диску.
После этого photorec требуется указать тип файловой системы, в которой хранились удаленные файлы. В данном случае все просто, выбираем второй пункт.

А затем на другом диске выбираем директорию, куда утилита сохранит восстановленные файлы.

Далее нажимаем Y и программа начинает свою работу. Для 32Мб карточки ей потребовалось меньше минуты.
Теперь о результатах работы:
Честно говоря, по началу я весьма сомневался в способностях программы. Но открыв директорию с результатами работы утилиты, я с удивлением обнаружил, что были восстановлены не только нужные недавно сделанные 10 фотографий, но и еще 110 других, самая ранняя из которых была сделана 3 года назад и не была перезаписана при дальнейшем использовании карточки, хотя форматировалась карта неоднократно.
В итоге имеем очередную победу добра над злом, счастливую улыбку обладателя фотоаппарата, еще один факт доказательства того, что существует море полезных и качественных opensource утилит.
______________________

Ubuntu - Редактор конфигурации

2009-12-06T10:55:00.000-08:00

Задася целью убрать иконки подключенных дисков с "Рабочего стола" и вот нашел такую штуку.

Редактор конфигурации gconf-editor

Вот пример параметров "Рабочего стола"
gconf-editor>apps>nautilus>desktop
volumes_visible - Показывать подключенные носители на рабочем столе
trash_icon_visible - Отображать на рабочем столе значок «Корзина»
trash_icon_name - Имя значка «Корзина» на рабочем столе
text_ellipsis_limit - Предел многоточия
network_icon_visible - Значок «Сетевые серверы» присутствует на рабочем столе
network_icon_name - Имя значка сетевых серверов
home_icon_visible - Отображать на рабочем столе значок домашней папки
/home_icon_name - Имя значка «Домашняя папка» на рабочем столе
computer_icon_visible - Показывать значок «Компьютер» на рабочем столе
computer_icon_name - Имя значка «Компьютер» на рабочем столе

D-Link DNS-323 - transmission

2009-12-06T08:57:00.000-08:00

Итак приступим.
Что такое D-Link DNS-323? Это NAS - сетевое хранилище. описание
Примечательно что к нему существуют хаки. Одним из таких хаков является transmission торрент-клиент.

Для его установки надо:
1. скачать funplug

http://www.inreto.de/dns323/fun-plug/0.5/fun_plug 
http://www.inreto.de/dns323/fun-plug/0.5/fun_plug.tgz

2. Зайти по шаре на диски

smb://dlinknas/volume_1/
smb://dlinknas/volume_2/

3. Скопировать на оба диска фалы fun_plug и fun_plug.tgz
на оба диска потому что мы не знаем как они определятся системой.
4. Перезагрузиться.
После перезагрузки нам будет доступен телнет и еще куча плюшек.
5. Заходим удаленно на наш D-Link.
telnet 192.168.1.100
6. Далее готовим каталог для установочных файлов

cd /mnt/HD_a2/
mkdir transmission.setup
cd transmission.setup

7. Загружаем необходимые файлы
wget к сожалению не все смог загрузить :( поэтому грузим с большого брата на шару следующие файлики в smb://dlinknas/volume_1(2)/transmission.setup
curl-7.18.1
Transmission-1.76-1
uclibc-0.9.29-7
8. Возвращаемся в telnet
если все нормально то файлики можно будет найти тут
cd /mnt/HD_a2/transmission.setup
или тут
cd /mnt/HD_b2/transmission.setup
команда ls покажет содержимое каталога
9. Установка самого битторрент клиента

funpkg -i curl-7.18.1.tgz
funpkg -i Transmission-1.76-1.tgz
funpkg -i uclibc-0.9.29-7.tgz

10. В терминале (telnet) Стартуем/Останавливаем клиента чтобы появились файлы настроек

# /ffp/start/transmission.sh start
# /ffp/start/transmission.sh stop

11. Редактируем файл настроек.
а) либо из терминала (telnet'a)
vi /mnt/HD_a2/.transmission-daemon/settings.json
б) либо через шару
smb://dlinknas/volume_1/.transmission-daemon/settings.json
smb://dlinknas/volume_2/.transmission-daemon/settings.json
12. У себя я поставил следующие строки.
"rpc-whitelist-enabled": true,
на
"rpc-whitelist-enabled": false,
и
"download-dir": "\/home\/torrent\/download",
на
"download-dir": "\/mnt\/HD_a2\/transmission",
13. В терминале (telnet) окончательно Стартуем клиента
# /ffp/start/transmission.sh start
14. Проверяем доступность через веб.
В браузере в строке адреса вбиваем
http://192.168.1.100:9091
Мы должны увидеть веб интерфейс для нашего transmission

источники
http://forum.dsmg600.info/t2719-%5BREL%5D-Transmission.html
http://forum.dsmg600.info/viewtopic.php?pid=15546
http://wiki.dns323.info/
http://www.inreto.de/dns323/

з.ы. Честно говоря у веб интерфейса есть недостатки, например нужно постоянно менять папку, куда класть закачку. По этой причине я у себя поставил "удаленный" интерфейс (transmisson-remote-gui)
Найти его можно тут. Есть клиенты для Windows, Linux и MacOS.

MD5SUM

2009-12-06T01:57:00.000-08:00

Рекурентный расчет md5sum для всей/всех папок
find . -type f 2>/dev/null -exec md5sum {} \; >md5sum.txt

Как запретить доступ к USB носителям

2009-11-27T11:56:00.000-08:00

Просматривал форум российского ЛоКо ubuntu (forum.ubuntu.ru)

И зацепила меня тема
Запретить доступ к usb носителям [решено]

Там разобрался, сюда как шпаргалку положить надо. В развернутом виде.

И так. До 9.04 включительно была тулза policykit-gnome.
Это графический фронтенд для настройки политик.
В 9.10 эта утилита есть. НО она обращается по старому местоположению файлов. И поэтому видит только одну единственную ветку.

По этой причине пришлось расковырять где же собака порылась.

Оказывается политики это просто xml файлики. В которых просто указывается правило доступа к тому или иному объекту.

В результате разбирательства были найдены файлики
для 9.04 и ниже
/usr/share/PolicyKit/
для 9.10
/usr/share/polkit-1/actions/

В этих каталогах штук 15 файликов, нас же интересует вот этот файл : org.freedesktop.devicekit.disks.policy

идем на http://hal.freedesktop.org/docs/polkit/
И там выясняется, что за сам доступ отвечают 3 параметра (тега)
allow_any
allow_inactive
allow_active

которые могут принимать значения (тут оригинал)

no - Not authorized.
yes - Authorized.
auth_self - Authentication by the owner of the session that the client originates from is required.
auth_admin - Authentication by an administrative user is required.
auth_self_keep - Like auth_self but the authorization is kept for a brief period.
auth_admin_keep - Like auth_admin but the authorization is kept for a brief period.

Играя с этими параметрами, мы установим ограничения на подключение флешек, дисков и т.д.

з.ы. еще будем править
з.ы.ы. Проверить к моему сожалению мне особо не где, НО если мы говорим о безопасности корпоративной системы, то еще рекомендую убрать пользователей из групп wheel, sudoers и т.п.

з.ы.ы.ы. В последнем посту Dfg предложил пойти еще дальше. Дойдя до dbus
http://forum.ubuntu.ru/index.php?topic=76165.msg572550#msg572550
Что в свою очередь тоже любопытно.

XML editor for Linux

2009-11-27T11:50:00.000-08:00

Решил поискать на досуге легковестный opensource XML редактор.
Нашел XML Copy Editor (ссылка)

Простой и Фполне функциональный.

Как альтернатива - использовать eclipse... Не монстр... Хотя местами и его буду ипользовать.

Ubuntu 9.10 + Yota (wimax) vs Я

2009-11-17T00:46:00.000-08:00

В продолжении этой темы

У меня были предположения что рецептура не меняется, так и получилось.
# для работы драйверов нам также понадобится пакет libnl-dev
apt-get install libnl-dev

# cтавим управляющую обвязку для драйвера

cd /usr/src/WiMAX-Network-Service-1.4.0
make clean
./configure --prefix=/usr/ --with-i2400m=/usr/src/linux-headers-$(uname -r) --localstatedir=/var
make
sudo make install

# Cтавим Supplicant

cd /usr/src/Intel-WiMAX-Binary-Supplicant-1.4.0
sudo ./install_supplicant.sh install

# Супликант у меня ставится в /usr/local/lib, я его сразу скопирую в /usr/lib
cp -r /usr/local/lib/wimax/*.* /usr/lib/wimax/
Либо исправляем путь в ./install_supplicant.sh на нужный

# Загружаем yot'овские конфиги, спасибо icelord

wget http://icelord.net/images/wimax/NDnSAgentConfig_forDriver.xml
wget http://icelord.net/images/wimax/NDnSAgentDefaultConfig.xml

# копируем по назначению /usr/share/wimax/

sudo cp NDnSAgentConfig_forDriver.xml /usr/share/wimax/NDnSAgentConfig_forDriver.xml
sudo cp NDnSAgentDefaultConfig.xml /usr/share/wimax/NDnSAgentDefaultConfig.xml

И всю последовательность загнать в файл скрипта
Даст упрощение при последующей перекомпиляции

Вот еще один гик, от icelord'а
http://icelord.net/wordpress/archives/1151
Там есть интересный скрипт, для переключения между режимами.
Добрался наконец до этого скрипта и переделал.

#!/bin/sh
STATE_WIMAXCU=`sudo wimaxcu status link`
#STATE=`sudo /etc/init.d/wimax status| awk '{print $4}'`
if [ "$STATE_WIMAXCU" = "Operation Failed." ]
then
echo "$STATE_WIMAXCU"
echo "WiMAX Network Service: Stoping"
 sudo /etc/init.d/wimax stop
echo "WiMAX Network Service: Starting"
sudo /etc/init.d/wimax start
else
echo "$STATE_WIMAXCU"

fi

STATE_WIMAXD=`sudo /etc/init.d/wimax status`
#Operation Failed.

if [ "$STATE_WIMAXD" = "WiMAX Network Service: Running" ]
then
echo "$STATE_WIMAXD"
else
echo "$STATE_WIMAXD"
echo "WiMAX Network Service: Stoping"
 sudo /etc/init.d/wimax stop
echo "WiMAX Network Service: Starting"
sudo /etc/init.d/wimax start
fi

STATE_LINK=`sudo wimaxcu status system`
#Connected.
#Link Status: Network is not connected.
#SW Radio is OFF.
if [ "$STATE_LINK" = "Connected." ]
then
echo "$STATE_LINK"
 sudo ifconfig wmx0 down
sleep 0.1s
 sudo wimaxcu roff
 sleep 2s
 sudo iwconfig wlan0 tx on
 sleep 0.5s
 sudo ifconfig wlan0 up
else
if [ "$STATE_LINK" = "Link Status: Network is not connected." ]
then
 echo "$STATE_LINK"
 sudo wimaxcu connect network 15
 sudo dhclient wmx0
else
 if [ "$STATE_LINK" = "SW Radio is OFF." ]
 then
  echo "$STATE_LINK"
   sudo iwconfig wlan0 tx off
   sudo ifconfig wmx0 up
   sleep 0.1s
   sudo wimaxcu ron
   sleep 2s
   sudo wimaxcu connect network 15
   sudo dhclient wmx0
  echo ""
 else
   if [ "$STATE_LINK" = "Scanning..." ]
   then
    echo "$STATE_LINK"
    STATE_SCAN=`sudo wimaxcu scan| grep Yota | awk '{print $3}'`
    if [ "$STATE_SCAN" = "Yota" ]
    then
     sudo wimaxcu connect network 15
     sudo dhclient wmx0
    fi
   
   fi

 fi
fi
fi

В своем варианте я этот скрипт сохранил в /usr/share/wimax/wifiwimax.sh и на табе создал кнопку запуска.

и красивое решение на последок
отсюда http://vonderer.blogspot.com/2006/10/initd-autorun-debian.html
+
http://translated.by/you/man-update-rc-d-8-install-and-remove-system-v-style-init-script-links/into-ru/

cd /etc/init.d
sudo update-rc.d wimax defaults

Даст авто запуск службы wimax

з.ы. У меня работает а у вас?

Дубликаты файлов

2009-10-26T02:05:00.000-07:00

Истановка

sudo apt-get install fdupes

Использование
Поиск

fdupes -r .

Поиск и запрос на удаление

fdupes -rd .

Поиск и запрос на удаление игнорировать пустые

fdupes -rdn .

Точка - текущий каталог

Usage: fdupes [options] DIRECTORY... -r --recurse for every directory given follow subdirectories encountered within -R --recurse: for each directory given after this option follow subdirectories encountered within -s --symlinks follow symlinks -H --hardlinks normally, when two or more files point to the same disk area they are treated as non-duplicates; this option will change this behavior -n --noempty exclude zero-length files from consideration -f --omitfirst omit the first file in each set of matches -1 --sameline list each set of matches on a single line -S --size show size of duplicate files -m --summarize summarize dupe information -q --quiet hide progress indicator -d --delete prompt user for files to preserve and delete all others; important: under particular circumstances, data may be lost when using this option together with -s or --symlinks, or when specifying a particular directory more than once; refer to the fdupes documentation for additional information -N --noprompt together with --delete, preserve the first file in each set of duplicates and delete the rest without without prompting the user -v --version display fdupes version -h --help display this help message

ссылки по теме:

http://mydebianblog.blogspot.com/2006/10/blog-post_16.html
http://mydebianblog.blogspot.com/2009/09/linux.html

Защитный член

2009-10-21T06:55:00.000-07:00

Источник: http://secureblog.info/

В Россию начались поставки нового средства защиты от вирусов и других вредоносных программ с "противопихотными членами"...

Пруф линк

Я понятия не имею чем и как это было переведено, так как ни один онлайн переводчик слово "противопихотный" мне нормально не перевел + на вирусный маркетинг не смахивает... Единственное объяснение — переводили индусы, а лучше пакистанцы или Иракцы с англиского на свой родной, а потом на русский 8)
Удивительно так же что с "противопихотными членами" антивирус от симантика стоит дешевле...
Fail.

Расширительное толкование терминов «вредоносная программа» и «неправомерный доступ»

2009-10-20T23:43:00.000-07:00

Источник: http://forensics.ru/

Середа С.А., к.э.н.;
Федотов Н.Н., к.ф-м.н.
Впервые опубликовано в журнале "Закон", N7, 2007.

В статье рассматривается ошибочная практика квалификации по «компьютерным» статьям 272 и 273 УК правонарушений, связанных с авторским правом. В силу схожести терминов и игнорирования понятия объекта преступления работники правоохранительных органов неверно квалифицируют подобные деяния. Эксперты ошибочно признают некоторые программные средства для преодоления технических средств защиты авторских прав вредоносными программами. Сами деяния, имеющие целью подобное преодоление, квалифицируются как неправомерный доступ к компьютерной информации. В ряде случаев это переводит нарушение из административной или гражданской сферы в уголовную.

Авторы подробно анализируют соответствующие составы преступлений, уточняют толкование ключевых терминов, критикуют методы и приёмы экспертизы, а также опровергают расхожие заблуждения, касающиеся вредоносных программ.

Тенденция к использованию статей 272 и 273 УК в отношении правонарушений, связанных с авторским правом

Примерно с 2001 года в практике правоохранительных органов России появилась странная тенденция: добавлять обвинение по статье 272 (неправомерный доступ) или 273 (вредоносные программы) ко всем обвинениям по ч. 2 и 3 статьи 146 (нарушение авторских прав), если только охраняемое произведение было представлено в цифровой форме. По информации авторов, инициатором подобной практики стал один крупный российский правообладатель при технической поддержке им же учреждённой некоммерческой организации.

Причины появления такой «инициативы» достаточно ясны. Для привлечения нарушителя авторских прав по «целевой» статье 146 УК необходимо доказать, что стоимость контрафактных экземпляров была не менее 50 000 рублей. При единичной же установке программного продукта подобная сумма может фигурировать только, если этот продукт очень дорогой, такой, например, как AutoCAD компании AutoDesk (около 106 000 рублей). А большинство популярных отечественных программ существенно дешевле и, как правило, по стоимости не превышают 40 000 рублей. В то же время, львиная доля нарушений осуществляется именно посредством единичных инсталляций программных продуктов.

Соответственно, возникла потребность «найти иные пути» привлечения нарушителей к уголовной ответственности. Именно к уголовной, потому что она оказывает максимальный психологический эффект на потенциальных нарушителей, а также даёт несравненно большие возможности для сбора доказательств. Доказывать нарушения авторских прав в гражданском порядке намного труднее и дороже; при этом невозможны такие действия, как проверочная закупка, обыск, допрос подозреваемого и свидетелей.

Искомую возможность перевода нарушения из гражданской сферы в уголовную предоставили формулировки статей 272 и 273 УК. Речь в них идёт о неправомерном доступе к компьютерной информации и о создании вредоносных программ, заведомо приводящих к модификации, копированию, уничтожению либо блокированию компьютерной информации, нарушению работы ЭВМ, системы ЭВМ или сети. Объект авторского права, программа для ЭВМ, записанная на машинный носитель, очень похожа на «компьютерную информацию» в неюридическом, бытовом значении этого термина. А имущественные авторские права на программу для ЭВМ обозначаются терминами: «воспроизведение», «распространение» и «переработка», которые по своему значению похожи на термины «копирование» и «модификация», используемые в статьях 272 и 273.

Соответственно, с этой точки зрения, «неправомерное воспроизведение объекта авторских прав» и «преодоление технических средств защиты авторских прав» похоже по звучанию на «неправомерный доступ к информации», который подпадает под действие статьи 272. А написание специализированных программ для преодоления технических средств защиты авторских прав похоже на «создание вредоносных программ», подпадающее под действие статьи 273 УК.

Дополнительным запутывающим фактором здесь служит и непродуманное использование законодателем одного и того же термина «модификация», как в федеральном законе «О правовой охране программ для электронных вычислительных машин и баз данных» [14], так и в указанных статьях Уголовного кодекса. Такое «совпадение» приводит к тому, что даже в правовых работах известных специалистов всерьёз исследуется вопрос, чем отличается «модификация компьютерной информации» от её «адаптации». Хотя термин «адаптация» применяется лишь в отношении программ для ЭВМ как объектов авторского права и не приложим к информации.

Со своей стороны, представители правоохранительных органов охотно приняли «на вооружение» этот подход, так как он позволяет как наказать «виновных» лиц, неподсудных (из-за установленного «порога» по стоимости) по статье 146, так и поднять показатели раскрываемости преступлений в области компьютерной информации. Практика вменения состава преступления по статьям 272 и 273 УК изначально распространилась в регионах, в настоящее же время она начала внедряться и в столице.

По мнению авторов настоящей статьи, во-первых, эта практика нарушает существующее законодательство Российской Федерации, криминализируя большинство пользователей ЭВМ в нашей стране (согласно данным международной организации Business Software Alliance, 87% установленного программного обеспечения в России – контрафактное). Во-вторых, такая практика предоставляет правообладателям дополнительные, изначально не предусмотренные законом возможности для защиты их прав. И тем самым сильно перекашивает баланс между интересами авторов, пользователей и общества в целом, в то время как именно баланс прав и является целью законодательства об интеллектуальной собственности.

Разумеется, утверждение о неправомерности применения статей 272 и 273 УК к случаям нарушения авторских прав на программы для ЭВМ нуждается в доказательствах его верности. Ниже мы попробуем проанализировать указанные статьи и область их применения и сформулировать необходимые доказательства.

Преступления в сфере компьютерной информации

Указанная глава появилась, вместе с Уголовным кодексом Российской Федерации, в 1996 году. Изначально, осуществить криминализацию «компьютерных преступлений» предполагалось посредством внесения ряда статей в Уголовный кодекс РСФСР [1], в частности:

статья 152-3. «Незаконное овладение программами для ЭВМ, файлами и базами данных»;
статья 152-4. «Фальсификация или уничтожение информации в автоматизированной системе»;
статья 152-5. «Незаконное проникновение в АИС, совершенное путем незаконного завладения парольно–ключевой информацией, нарушение порядка доступа или обхода механизмов программной защиты информации с целью ее несанкционированного копирования, изменения или уничтожения»;
статья 152-6. «Внесение или распространение «компьютерного вируса»;
статья 152-7. «Нарушение правил, обеспечивающих безопасность АИС»;
статья 152-8. «Промышленный шпионаж с использованием ЭВМ».

Однако переход к совершенно новому Уголовному кодексу стал причиной переработки указанных статей и их сведению к нынешним трём статьям 28-й главы УК.

По нашему мнению, указанное сокращение составов преступлений сказалось на «компьютерной» части уголовного закона отнюдь не лучшим образом. Первоначальный вариант, хотя и не идеальный, более соответствовал реальности и теоретическим положениям информационной безопасности, а также не давал возможности для смешения разных категорий правонарушений.

Современная же формулировка статей 28-й главы УК, по сути, была морально устаревшей уже в момент её принятия. И, к большому сожалению, за прошедшие 10 лет она ни разу не подвергалась пересмотру и уточнению. В существующем же виде использование не раскрытых в уголовном законе терминов «информация», «санкционирование», «доступ» часто позволяют необоснованно распространять действие указанных статей на области, явно не предусматривавшиеся законодателем.

Общий правовой анализ статей 272 и 273

Статья 272

Объект преступления. В комментариях [3, 4, 5] в качестве объекта преступления для статьи 272 указываются соответственно: «охраняемая законом компьютерная информация»; «права на информацию ее владельца и третьих лиц»; «право на неприкосновенность информации ее владельца и третьих лиц» и «материальные интересы потерпевшего».

Но сама по себе компьютерная информация не может считаться объектом преступления – из теории уголовного права известно, что объектом может быть только один из видов общественных отношений [12]. Правильнее сказать, что объектом являются отношения, связанные с компьютерной информацией. А именно, следующие: право лица на безопасное пользование своим компьютером и сетевым соединением, право владельца на доступ к своей информации в её неизменном виде.

Объективная сторона «выражается в: а) неправомерном доступе к охраняемой законом информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети; б) наступлении неблагоприятных последствий в виде уничтожения, блокирования, модификации, копирования информации, нарушения работы ЭВМ, их системы или сети; в) наличии причинной связи между неправомерным доступом и наступившими последствиями» [5].

Субъект преступления – «вменяемое физическое лицо, достигшее ко времени совершения преступления 16-летнего возраста» [4].

Субъективная сторона. В [3] указывается, что преступления, подпадающие под действие статьи 272, могут совершаться только с прямым умыслом, однако в [4] указывается и на возможность совершения подобных преступлений по неосторожности, а в [5] говорится не только о прямом, но и о косвенном умысле.

С учетом того, что информационные системы обладают высокой сложностью, и их функционирование зависит от огромного числа параметров, значение многих из которых пользователь не контролирует, следует признать, что неосторожность здесь неприменима. Сложность, слабая предсказуемость и фактическая недетерминированность современных компьютерных систем приводит к тому, что доступ к чужой информации и воздействие на неё происходит не то чтобы часто, но регулярно – в силу ошибок в программах и случайных факторов. Каждый специалист знает об этом и вынужден допускать возможность возникновения таких ошибок, застраховаться от которых невозможно.¹ Поэтому включение в состав преступления варианта его совершения по неосторожности криминализировало бы всю повседневную работу любых ИТ-специалистов.

Таким образом, неправомерный доступ к охраняемой законом компьютерной информации может совершаться с прямым или косвенным умыслом.

Состав преступления является материальным и предполагает обязательное наступление одного из следующих последствий: уничтожение информации; блокирование информации; модификация информации; копирование информации; нарушение работы ЭВМ, системы ЭВМ или их сети.

Статья 273

Объект преступления. В [4] в качестве объекта преступления называется «безопасность пользования интеллектуальными и вещественными средствами вычислительной техники», в [5] – «безопасность использования информационных ресурсов и электронно-вычислительной техники» и «материальные интересы потерпевших». Так как, с одной стороны, не вполне ясно, что такое «интеллектуальные и вещественные средства вычислительной техники», а, с другой стороны, в самой статье 273 ничего не говорится о «безопасности» и «материальных интересах потерпевших», с формулировками из вышеприведённых комментариев нельзя полностью согласиться. По нашему мнению, в данном контексте объектом преступления следует назвать общественные отношения по обеспечению корректной работы вычислительной техники в виде единственной ЭВМ, системы ЭВМ или их сети, то есть, право пользователя на безопасное пользование своим компьютером и сетевым соединением.

Объективная сторона преступления заключается в создании либо модификации одной или более программ для ЭВМ так, чтобы полученные в итоге программы заведомо приводили к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети. Преступлением считается и виновное использование и/или распространение подобных вредоносных программ.

Субъективная сторона преступления характеризуется только прямым умыслом [3, 4, 5], однако часть 2 статьи 273 предусматривает наступление тяжких последствий по неосторожности [3]. На практике распространение и использование вредоносных программ не всегда считается преступлением – исключением является деятельность разработчиков антивирусных средств, средств обнаружения и предотвращения атак, а также академических исследователей вредоносных программ. Все эти лица действуют, имея умысел на нечто противоположное – на предотвращение распространения таких программ.

Состав преступления является формальным и не требует для квалификации наступления каких-либо последствий.

Следует учитывать, что обсуждаемые комментарии [3, 4, 5] создавались сразу после принятия нового УК. В то время не было никакой практики применения составов из 28 главы, которые отсутствовали в прежнем кодексе. Следовательно, комментарии писались, исходя из общих соображений, без учёта сомнений и неоднозначностей в толковании, которые появились лишь позже. И уж конечно, без учёта такого явления, как технические средства защиты авторских прав, которые начали применяться лишь в последние годы.

Нечёткость определения вредоносной программы

В Уголовном кодексе РФ вредоносная программа определена как «заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети»

Три подчёркнутых термина в этом определении сразу обращают на себя внимание специалиста и вызывают ряд вопросов, чёткого ответа на которые в законе не содержится.

1. «Заведомо» Для какого именно субъекта последствия применения программы должны быть «заведомые», то есть, заранее ведомые [2]? Варианты такие: (а) для создателя этой программы; (б) для пользователя этой программы, то есть, для запускающего её лица; (в) для владельца ЭВМ, на которой запускается эта программа; (г) для обладателя копируемой, модифицируемой, уничтожаемой информации; (д) для правообладателя соответствующего произведения.

2. «Информация» Определение информации дано в законе «Об информации...» [15]: «информация – сведения (сообщения, данные) независимо от формы их представления». Должно ли здесь применяться именно это определение, либо иное – более широкое или более узкое? Любая ли информация имеется в виду или только «внешняя» по отношению к рассматриваемой программе? Охватываются ли временные технологические копии обрабатываемой информации, или имеется в виду лишь информация, доступная для человека?

3. «Несанкционированное» Кто именно должен санкционировать указанные действия над информацией, чтобы они не считались несанкционированными? Варианты: (а) пользователь программы; (б) владелец ЭВМ или носителя информации; (в) обладатель обрабатываемой информации; (г) обладатель исключительных прав на объекты интеллектуальной собственности, представляемые обрабатываемой информацией.²

Авторы предлагают следующее толкование спорных терминов.

1. «Заведомо»

Вредоносность, очевидно, есть свойство самой программы, не зависящее от знаний о ней каких-либо лиц. В противном случае получится, что действия лица квалифицируются в зависимости от свойства программы, которое, в свою очередь, зависит от действий этого же лица.

То есть, вредоносность программы – это её объективное свойство. Следовательно, слово «заведомо» в обсуждаемом определении надо трактовать как «хорошо известно», «несомненно» [6], «определённо», «неслучайно», «в силу свойств самой программы». То есть, вредные последствия применения такой программы должны неизбежно следовать из её устройства, а не быть случайным или побочным эффектом или результатом нецелевого использования.

Все несанкционированные действия должны выполняться вредоносной программой только в автоматическом режиме (независимо от воли и действий оператора ЭВМ, но заведомо для автора). Только при этом условии можно отделить вредоносные от обычных программ, выполняющих аналогичные действия с информацией, но по команде пользователя.

В формулировке статьи 273 УК РФ слово «заведомо» совершенно четко и однозначно связано с процессом создания программ для ЭВМ или внесения изменений в существующие программы [11], что полностью соответствует техническому пониманию сущности вредоносных программ. Многие некорректные трактовки статьи 273 УК РФ строятся так, будто она звучит как «распространение программ для ЭВМ, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети…», а не «создание программ для ЭВМ или внесение изменений в существующие программы…». Подобные трактовки являются спекулятивными, но, к сожалению, остаются весьма популярными среди представителей правоохранительных органов.

2. «Информация»

Как в комментариях к Кодексу, так и в материалах судебных дел для разъяснения не раскрытых в УК терминов принято обращаться к гражданскому законодательству или даже к нормативно-техническим документам. Полагая это общепринятой практикой, примем, что при трактовке статей 272 и 273 УК РФ необходимо пользоваться определениями ФЗ «Об информации...», так как именно этот закон «регулирует отношения, возникающие при… обеспечении защиты информации» (п. 3 части 1, ст. 1 ФЗ). Так как определение информации в этом законе носит весьма общий характер, следует сделать вывод, что определение вредоносной программы охватывает все виды информации. Более того, в статье 273 говорится не о «компьютерной информации», как в статье 272, а об информации вообще. Таким образом, программа для ЭВМ, «заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации», скажем, на бумажном носителе (например, вычеркивая часть слов при распечатке текста на принтере, как это делает система защиты документов формата PDF) также будет признана вредоносной.

3. «Несанкционированное»

Кто может санкционировать действия над информацией? Согласно закону «Об информации…», право осуществлять различные действия над информацией и разрешать осуществление таких действий принадлежит обладателю этой информации (ч. 3 ст. 6). Следовательно, санкция на модификацию, копирование, уничтожение и блокирование информации должна исходить от обладателя информации.

Кроме этого, в статье УК говорится и о нарушении работы ЭВМ, системы ЭВМ или их сети. Не вполне понятно, относится ли слово «несанкционированное» к далее перечисленным действиям «нарушение работы ЭВМ...». Бывает ли нарушение работы санкционированным? В принципе, бывает. Тогда кто может санкционировать нарушение работы ЭВМ? В силу ч. 6 ст. 13 [15], такими правами наделён оператор информационной системы (ибо ЭВМ, система ЭВМ, сеть ЭВМ – это всё информационная система в терминах указанного закона).

Таким образом, уничтожение, блокирование, модификация либо копирование информации являются несанкционированными, если на их осуществление нет разрешения обладателя обрабатываемой информации, а нарушение работы ЭВМ, системы ЭВМ или их сети являются несанкционированными, если на их осуществление нет разрешения оператора информационной системы. Как ясно видно, в числе субъектов, санкционирующих действия с информацией, ЭВМ, системой ЭВМ или их сетью, никаких правообладателей объектов интеллектуальной собственности нет.

Но давайте, всё-таки, предположим, что правообладатель находится в числе субъектов, могущих санкционировать действия над информацией. Из этого вытекает, что вредоносность не есть имманентное свойство самой программы, а зависит от обстоятельств. Ведь действие без санкции со стороны обладателя информации или оператора информационной системы (пользователя) – это конструктивная особенность программы. Она не запрашивает в диалоговом режиме согласия на проводимые операции либо запускается скрытно от пользователя либо замаскирована под программу другого типа. Это всё признаки самой программы, выявляемые в ходе компьютерно-технической экспертизы. Отсутствие же санкции правообладателя – это не свойство программы, а часть отношений между ним и пользователем. Правообладатель может дать или не дать разрешение, программа же от этого не изменится. Программа «не знает» об условиях договора между пользователем и правообладателем.

Более того, законодательством предусмотрены случаи, когда разрешения (санкции) правообладателя не требуется для использования произведения. То есть, санкции нет, а действия правомерные. Например, исправление явных ошибок в компьютерной программе, или её адаптация. В отношении же обладателя информации или оператора информационной системы таких случаев не бывает. Там связь однозначная: есть санкция – правомерно, нет санкции – неправомерно.

То есть, если предположить, что правообладатель входит в число дающих «санкцию» на действия с информацией, то одна и та же программа будет вредоносной и не вредоносной в разных случаях. Как же тогда эксперт сможет оценить её? Вредоносность – технический факт. А сделанное предположение превратило бы его в факт юридический, судить о котором эксперт не уполномочен [8]. Мы пришли к противоречию. В этих условиях следует признать, что правообладатель объекта интеллектуальной собственности не вправе санкционировать действия с информацией.

Таким образом, авторы предлагают следующее разъяснение термина «вредоносная программа».

Вредоносной следует считать программу для ЭВМ, объективным свойством которой является её способность осуществлять неразрешённые обладателем информации уничтожение, блокирование, модификацию либо копирование этой информации или неразрешённые оператором информационной системы нарушения работы этой информационной системы (ЭВМ, системы ЭВМ или их сети), причём, те и другие действия – без участия и без предварительного уведомления вышеуказанных субъектов.

Данное разъяснение ни в чём не противоречит формулировке УК и положениям закона «Об информации...» и в то же время снимает упомянутые выше неясности в толковании применяемых терминов.

Примечательно, что самостоятельно выработанная авторами статьи позиция по трактовке вредоносности программ во многом совпала с мнением, высказанным в [4]: «Вредоносность или полезность соответствующих программ для ЭВМ определяется не в зависимости от их назначения, способности уничтожать, блокировать, модифицировать, копировать информацию (это – вполне типичные функции абсолютно легальных программ), а в связи с тем, предполагает ли их действие, во-первых, предварительное уведомление собственника компьютерной информации или другого добросовестного пользователя о характере действия программы, а во-вторых, получение его согласия (санкции) на реализацию программой своего назначения. Нарушение одного из этих требований делает программу для ЭВМ вредоносной».

Аналогичная позиция высказывается и в [5]: «В качестве наиболее важных особенностей подобных компьютерных программ принято выделять несанкционированность их действия и способность уничтожить, блокировать, копировать или модифицировать информацию… Несанкционированность вредоносной программы означает, что ее запись, хранение в ЭВМ или на машинном носителе и последующая активизация происходят помимо воли правомерного владельца информационного ресурса. Это проявляется в отсутствии предварительного оповещения пользователя о появлении вредоносной программы и последующем игнорировании его возможного запрета на действие такой программы».

Отделение защиты информации от охраны авторских прав

В законе «Об информации...» определяются термины «информация» и «обладатель информации» («владелец информации» по старой редакции закона), но в этом законе ничего не говорится о произведениях и правообладателях. Более того, здесь же прямо указывается, что положения закона «не распространяются на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации» (ч. 2 ст. 1) [15]. Следовательно, определяемый этим законом термин «информация» не может применяться к отношениям с интеллектуальной собственностью.

В законе «Об авторском праве...», напротив, не используются термины «информация» и «обладатель информации». Вместо этого там говорится о «произведении» и «правообладателе». Также, в этом законе говорится, что авторское право не распространяется на «сообщения о событиях и фактах, имеющие информационный характер» [13].

То есть, законодатель намеренно разделяет различные виды информационных отношений – разделяет их и при помощи терминологии, и иными способами. В одном случае объект регулирования именуется «информацией», а в другом случае «произведением».

Программа для ЭВМ является произведением. И одновременно она является компьютерной информацией. Эти две характеристики применяются при разных общественных отношениях, которые, регулируются разными нормативными актами и, как это указано, не пересекаются друг с другом. Программа-произведение охраняется законом, и программа-информация охраняется законом, но другим. Но при анализе одного вида охраны недопустимо переносить выводы на другой вид охраны. Одно и то же физическое лицо может являться автором и обладать авторскими правами. Одновременно то же лицо может являться потребителем и обладать соответствующими правами потребителя. Однако недопустимо при нарушении авторских прав применять санкции за нарушение прав потребителя и наоборот, хотя лицо – одно и то же в обоих правоотношениях.

Для окончательного разделения понятий «информация» и «произведение» законодатель ввёл в закон «Об авторском праве...» статью 48.1, говорящую о технических средствах защиты авторских прав (ТСЗАП) и соответствующих нарушениях. Понятно, что внесение этих положений было бы бессмысленно, если бы преодоление ТСЗАП являлось бы «доступом к информации», а средства такого преодоления – вредоносными программами.

В главе 28 УК, как и в законе «Об информации…» используется термин «информация», но отсутствуют термины «произведение» и «правообладатель». В статье 146 УК, как и в законе «Об авторском праве…», напротив, не употребляются термины «информация» и «обладатель информации», так как они не предназначены для описания правоотношений, связанных с интеллектуальной собственностью.

Таким образом, отношения, возникающие при обеспечении защиты информации, существуют независимо от отношений, возникающих при правовой охране результатов интеллектуальной деятельности.

Как известно [12], статьи в особенной части УК сгруппированы в главы по признакам родового объекта преступления. Объектом преступления во всех составах 28 главы УК (ст. 272-274) являются общественные отношения, связанные с безопасным использованием информационных систем. Не компьютерная информация как таковая, а именно отношения. Как неправомерный доступ, так и использование вредоносных программ посягают не на компьютерную информацию как таковую, а на интересы пользователя (оператора, в терминах закона «Об информации...») и владельца информационных систем. Следовательно, санкция именно этих лиц имеет значение для квалификации деяния.

Объектом преступления, предусмотренного статьёй 146 УК, являются интересы правообладателя. Следовательно, санкция правообладателя имеет значение для квалификации деяния по этой статье.

Как легко видеть, для рассматриваемых составов не совпадают объекты преступления. Как следствие, не совпадают и лица, уполномоченные давать санкцию на соответствующие действия (например, модификацию компьютерной информации и воспроизведение произведения).

Главная ошибка в обсуждаемой практике состоит в том, что (то ли намеренно, то ли из-за похожести терминов) при трактовке статей 272, 273 УК РФ подставляются иные общественные отношения – совсем не те, что являются объектом преступления.

Кроме того, если предположить, что доступ к информации санкционируется не её обладателем, а правообладателем объекта интеллектуальной собственности (что требуется признать, чтобы распространить действия статей 272 и 273 УК РФ на объекты авторского права), то следует сделать однозначный вывод о том, что на информацию как таковую распространяется авторское право. А это уже явно противоречит как упомянутым выше законам «Об авторском праве…» и «Об информации…», так и Конституции, гарантирующей гражданам свободу сбора и обмена информацией.

Применение статей 272 и 273 УК РФ по совокупности в делах о «взломе» программ

Нередко статьи 272 и 273 УК вменяются лицам, осуществившим преодоление технических средств защиты авторских прав (ТСЗАП), по совокупности. При этом в обвинении указывается, что под состав преступления, предусмотренный статьёй 273, подпадает использование «вредоносной программы», отключающей систему защиты, а под состав статьи 272 подпадает само отключение системы защиты, так как оно «является результатом неправомерного доступа к охраняемой законом компьютерной информации».

Однако такое использование статей 272 и 273 приводит к логическому противоречию.

Если верно обвинение в деянии, соответствующем составу ч. 1 ст. 272, то тогда нельзя признать программу-«взломщик» вредоносной, так как отсутствует заведомость несанкционированного уничтожения, блокирования, модификации либо копирования информации, заложенная в эту программу для ЭВМ. Ведь «неправомерный доступ к компьютерной информации» происходит по умыслу того, кто этой программой пользуется, а не по умыслу автора используемой программы.

Если же верно обвинение в деянии, соответствующем составу ч. 1 ст. 273, то несанкционированное уничтожение, блокирование, модификация либо копирование информации, происходит в силу их заведомости, то есть, эти последствия заложены в программу для ЭВМ её автором и не зависят от воли пользователя. В таком случае лицо, использующее вредоносную программу, не виновно в неправомерном доступе к компьютерной информации, а виновно лишь в использовании вредоносного программного обеспечения.

Также, здесь, скорее всего, можно сослаться и на ч. 2 ст. 6 УК РФ, согласно которой «никто не может нести уголовную ответственность дважды за одно и то же преступление».

В то же время, составы статей 272 и 273 не являются взаимоисключающими вообще. Разумеется, злоумышленник может сперва атаковать систему, осуществив к ней неправомерный доступ, а потом запустить в неё вирус или, наоборот, сперва запустить в систему вредоносную программу, которая даст возможность осуществить неправомерный доступ, и, затем, «взломать» систему. В указанных случаях никаких противоречий при совокупном вменении обеих стаей не возникнет. Однако в описанном выше контексте, составы статей исключают возможность их совместного применения.

Технические средства защиты авторских прав

Средства преодоления технических средств защиты авторских прав (ТСЗАП) включают в себя почти три десятка классов программ для ЭВМ [9]. Практически все они относятся к обычному пользовательскому или системному программному обеспечению. В контексте настоящей статьи мы рассмотрим только «средства поиска и замены текстовых и двоичных последовательностей», «средства редактирования "ресурсов" объектных модулей», «средства загрузки объектных модулей и/или их динамической модификации в ОЗУ» и «программы эмуляции аппаратных средств».

Первые три класса программ позволяют вносить изменения в двоичный код программ для ЭВМ (в том числе, и с целью преодоления ТСЗАП), записанных в оперативной или внешней памяти ЭВМ. Большая их часть работает в режиме диалога с пользователем, либо требует предварительной настройки или предоставления необходимых дополнительных данных. Указанные программы загружаются для исполнения процессором только самим пользователем и работают в соответствии с его командами, предоставленными данными или выполненными им настройками. Таким образом, любые действия, осуществляемые этими программами с информацией, являются санкционированными оператором информационной системы, так как выполняются по его воле. При этом никак нельзя говорить о том, что подобные программы заведомо приводят к каким бы то ни было последствиям, так как все осуществляемые действия с компьютерной информацией полностью зависят от пользователя, управляющего программой.

Вместе с тем, есть генераторы специализированных программ для ЭВМ. Сгенерированные ими программы в соответствии с заранее заданными настройками выполняют модификацию единственного чётко определённого файла (как правило, он идентифицируется по имени). Такую программу может сгенерировать (то есть, настроить) один пользователь, а использовать – совсем другой. Таким образом, подобная программа, действительно, заведомо приводит к определённым действиям с компьютерной информацией. В то же время, этого ещё не достаточно для признания таких программ вредоносными, так как указанные действия санкционированы пользователем, загружающим программу в оперативную память для исполнения процессором. Предполагается, что пользователю известно предназначение подобных программ и результат их работы. Если это так, ответственность за последствия запуска программы несёт пользователь, а не автор программы (то есть, «вредоносным» в такой ситуации будет действие пользователя, а не программа сама по себе).

Что касается программ эмуляции аппаратных средств с целью обхода ТСЗАП, они применяются для выполнения (подмены) функций электронных ключей защиты, ключевых дискет или защищённых от копирования дисков. Программы этого класса реализованы в виде системных драйверов, их применение не предусматривает (за редкими исключениями) никаких действий с кодом защищённой программы для ЭВМ. Оператор информационной системы вправе изменять конфигурацию операционной системы своей ЭВМ по своему усмотрению, в частности, устанавливать, удалять и заменять одни системные драйверы другими. Если не признавать за ним такого права, будут считаться незаконными действия сразу всех операторов информационных систем.

Отделение средств преодоления ТСЗАП от вредоносных программ

С технической точки зрения, средства преодоления технических средств защиты авторских прав выполняют функцию, прямо противоположную выполняемой вредоносными программами. Деактивируя защиту от копирования или от запуска, эти средства превращают неработоспособные программы для ЭВМ в работоспособные. Целью же вредоносных программ является обратная операция – преобразование работоспособных программ в неработоспособные или вредоносные. В этом смысле ТСЗАП намного ближе ко вредоносным программам (кстати говоря, часто они используют технологии, впервые реализованные именно в вирусах).

Таким образом, признать средства преодоления технических средств защиты авторских прав вредоносными программами никак нельзя.

Технически возможно «скрестить» первые со вторыми и написать компьютерный вирус, который, распространяясь, будет вопреки воле пользователя модифицировать установленные в системе программы для ЭВМ таким образом, что используемые в них технические средства защиты авторских прав будут отключаться. Лишь в этом случае такой вирус можно будет признать вредоносной программой, но только лишь по той причине, что указанные действия он будет выполнять без санкции оператора информационной системы.

Ещё одно доказательство того, что программы, позволяющие отключить ТСЗАП, не могут относиться ко вредоносным, существует на уровне делового оборота. Средства модификации программного кода и эмуляции аппаратных средств официально распространяются на мировом рынке программного обеспечения многими компаниями, и никто не пытается привлекать их представителей к уголовной ответственности за создание и распространение вредоносного программного обеспечения.

Даже сама компания «1С» разрешает своим легальным пользователям отключать технические средства защиты авторских прав на продукты линейки «1С:Предприятие» при помощи программы «Sable» [7], которую сама же объявила «вредоносной».

Ниже приведена цитата из указанной статьи.

А.Н.Яковлев: «...в течение двух последних лет на специализированных семинарах юристы фирмы "1С" доводят до сведения заинтересованных лиц, что фирма разрешает пользователям, легально приобретающим программы "1С", использовать программу "Sable". Эта программа позволяет работать с программой "1С" без электронного ключа аппаратной защиты, используется всеми нелегальными пользователями программы "1С", за что ее разработчик Сергей Давыдюк в 2005 году был приговорен судом к двум годам лишения свободы условно. Несмотря на это, использование программы "Sable" легальными пользователями программы "1С" расценивается фирмой "1С" как адаптация программы "1С"»

Из этого факта, кстати, следует одно из двух: либо программа «Sable» не является вредоносной (т.к. одна и та же программа для ЭВМ не может быть в одной ситуации вредоносной, а в другой – нет), либо компания «1С» поощряет использование вредоносной программы, а, следовательно, отдельные её сотрудники могут быть привлечены к уголовной ответственности за соучастие.

Аргументы за отнесение средств преодоления ТСЗАП ко вредоносным программам и их критика

Одним из аргументов тех, кто относит программные средства преодоления ТСЗАП ко вредоносным программам, является то, что такие средства приводят к модификации компьютерной информации, которая не санкционирована правообладателем. А если она не санкционирована правообладателем, значит, она «несанкционированная». Логическая ошибка здесь состоит в применении «правообладателя» к «информации». Как указывалось выше, это термины из различных видов отношений. У «информации» бывает лишь «обладатель». А «правообладатель» бывает лишь у «произведения». Это всё равно, что путать интеллектуальную собственность с собственностью вещной – непростительно для юриста.

Другой аргумент наших оппонентов опровергнуть простой логикой не получится. Аргумент состоит в том, что в каждом конкретном уголовном деле эксперт признавал то или иное средство преодоления ТСЗАП вредоносной программой. Опровергнуть же заключение эксперта может лишь другой эксперт, да и то лишь, если у суда появятся сомнения.

Против такого можно спорить лишь в каждом конкретном случае. Авторы готовы это делать и делали неоднократно. В распоряжении авторов имеются материалы множества уголовных дел описанного типа с весьма спорными заключениями экспертов. Чаще всего такие спорные экспертизы проводились в организациях, тесно связанных с правообладателями.

В одних случаях экспертиза, сделавшая вывод о вредоносности, не была компьютерно-технической. Эксперты называют экспертизу «автороведческой», «криминалистической» и даже просто «экспертизой». Но вывод о свойствах программы для ЭВМ может сделать только компьютерно-техническая (программно-техническая) экспертиза. Автороведческая экспертиза такого вывода сделать не может. Настоящих экспертов по вредоносным программам, то есть, специалистов из ЗАО «Лаборатории Касперского» и ООО «Санкт-Петербургская антивирусная лаборатория Данилова» (товарный знак «Доктор Веб») к подобным экспертизам почему-то не привлекают.

В других случаях утверждение о вредоносности программы содержалось уже в формулировке вопросов, поставленных следователем перед экспертом. Понятно, что следователь не может вместо эксперта решать, является ли программа вредоносной. Все такие решения являются неправомерными.

В некоторых случаях и вопросы поставлены корректно, и эксперт формально соответствовал требованиям. Однако вывод эксперта «представленная программа является вредоносной, поскольку приводит к несанкционированной модификации информации» был попросту неверным в силу высказанных ранее аргументов – указанную модификацию санкционирует пользователь (оператор ИС).

Есть даже почти анекдотический прецедент, когда эксперт признал вредоносной программой генератор ключей активации. Такая программа вообще никакой информации не изменяет, не копирует и, тем более, не уничтожает. Генератор из неких входных данных, вводимых пользователем, вычисляет некие выходные данные. Из трёх обязательных признаков вредоносной программы (заведомость, изменение информации и отсутствие санкции) генератор ключей не обладает ни одним.

Ещё один аргумент наших оппонентов состоит в том, что одна и та же программа может являться вредоносной или не являться таковой в зависимости от способа её использования. То есть, если у подозреваемого был умысел на уничтожение, модификацию и т.д. информации, то программа является «заведомо приводящей к…», то есть, вредоносной. Указанная логика очень быстро приводит к противоречию. Как известно, подавляющее большинство программ имеют штатные функции для уничтожения и (или) модификации тех или иных данных. Следуя логике наших оппонентов, практически любая существующая программа для ЭВМ будет признана вредоносной при соответствующих условиях её использования. А как же ответственность за создание вредоносных программ? Программируя функцию стирания файла, автор программы знал, что её использование «заведомо приводит» к уничтожению информации, в том числе, охраняемой законом. Следовательно, почти все авторы существующих на сегодняшний день программ для ЭВМ могут (неожиданно для самих себя) стать создателями вредоносной программы.

Кроме того, если допустить справедливость вышеуказанного утверждения, то вредоносность программы не может устанавливаться в ходе экспертизы. Ведь эксперт не может оценить знания и намерения подозреваемого в конкретных условиях применения программы.

C прецедентами уголовных дел обсуждаемой категории можно ознакомиться на веб-странице.

Выводы

Проведённый выше анализ и предъявленные доказательства верности позиции авторов позволяют говорить о том, что сложившаяся на сегодняшний день практика, допускающая привлечение к уголовной ответственности по статьям 272 и 273 УК за деяния, заключающиеся в нарушении авторских прав на программы для ЭВМ, не соответствует закону. Указанные статьи уголовного закона ошибочно применяются к правоотношениям, не входящим в сферу действия 28-й главы УК. Фактически, люди, осуждённые по этим статьям, невиновны в неправомерном доступе к компьютерной информации или использовании вредоносных программ для ЭВМ. Следовательно, можно даже поднимать вопрос о фактах привлечения к уголовной ответственности заведомо невиновных лиц.

Действия представителей правоохранительных органов можно объяснить недостаточным уровнем их «компьютерной грамотности», в то время как упрекнуть в этом юристов компаний-правообладателей нельзя. Следовательно, существует принципиальная возможность подачи индивидуальных или коллективных исков от имени осужденных по статьям 272 и 273 «пиратов» о возмещении нанесённого им материального и морального ущерба.

Что касается мер по исправлению сложившейся ситуации, можно предложить следующее:

инициировать рассмотрение одного из судебных дел с вменением состава преступления по статьям 272 и (или) 273 нарушителям авторских прав Верховным Судом РФ с целью получения соответствующего постановления;
инициировать публикацию Верховным Судом России разъяснений терминов, используемых в статьях 272 и 273 УК РФ;
проводить разъяснительную работу (например, посредством публикации соответствующих материалов) среди представителей правоохранительных органов, а также среди потенциальных нарушителей авторских прав (системных администраторов, программистов, «настройщиков» вычислительной техники и программного обеспечения);
разработать и ввести в действие новую редакцию 28-й главы УК, соответствующую текущей практике информационной безопасности и современному уровню техники (например, на базе уголовного законодательства развитых зарубежных стран).

Литература

Богомолов М.В. Уголовная ответственность за неправомерный доступ к охраняемой законом компьютерной информации. – Красноярск, 2002, Гл. 2, §4. (назад)
Даль В.И. Толковый словарь живого великорусского языка. – М., Государственное издательство иностранных и национальных словарей, 1955. (назад)
Комментарий к Уголовному кодексу Российской Федерации: Научно-практический комментарий. / Отв. ред. В.М. Лебедев. – М.: «Юрайт-М», 2001. – 736 с. (назад)
Комментарий к Уголовному кодексу Российской Федерации. Особенная часть / Под общей редакцией Генерального прокурора Российской Федерации, профессора Ю.И. Скуратова и Председателя Верховного Суда Российской Федерации В.М. Лебедева. – М., Издательская группа «ИНФРА-М-НОРМА», 1996. – 592 с. (назад)
Комментарий к Уголовному кодексу Российской Федерации / Отв. ред. А.А. Чекалин; под ред. В.Т. Томина, B.C. Устинова, В.В. Сверчкова. – М.: «Юрайт-Издат», 2002. – 1015 с. (назад)
Ожегов С.И. Словарь русского языка. – М., «Русский язык», 1978. (назад)
"Охота" на контрафакт. // Газета «Компьютерные решения», № 84, 2006. (назад)
Постановление Пленума Верховного Суда Российской Федерации № 15 от 19 июня 2006 г. «О вопросах, возникших у судов при рассмотрении гражданских дел, связанных с применением законодательства об авторском праве и смежных правах»; пункт 15. (назад)
Середа С.А. Анализ средств преодоления систем защиты программного обеспечения // ИНФОРМОСТ: Радиоэлектроника и Телекоммуникации. - 2002. №; 4 (22). (назад)
Середа С.А. Новые виды компьютерных злоупотреблений и 28 глава Уголовного кодекса Российской Федерации. / Тез. конф. «Право и Интернет», Москва, 2005. (назад)
Уголовный Кодекс Российской Федерации от 13.06.1996 №; 63-ФЗ. (назад)
Уголовное право: учебник. / Под. ред. проф. Л.Д. Гаухмана – Москва, «Юриспруденция», 1999. (назад)
Федеральный закон «Об авторском праве и смежных правах» от 9 июля 1993 г. № 5351-I (с изменениями от 19 июля 1995 г., 20 июля 2004 г.) (назад)
Федеральный закон «О правовой охране программ для электронных вычислительных машин и баз данных» от 23 сентября 1992 г. № 3523-1. ( (назад)
Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ. (назад)
Фролов А.В. Глоссарий терминов и определений по теме информационной безопасности. 2005. (назад)

¹ Лишним подтверждением служит принцип «as is», который положен в основу абсолютно всех лицензий на ПО – как коммерческих, так и «свободных». Согласно этому принципу, авторы программы допускают её некорректную работу, приводящую к порче или утрате информации пользователя, заранее предупреждают об этом и отказываются от ответственности. Иными словами, возможность случайного неправомерного доступа, приводящего к модификации, блокированию или уничтожению информации, допускается всегда, всеми производителями программного обеспечения.

² Автор программы, конечно же, из вариантов исключается, поскольку иначе теряет смысл ответственность за создание вредоносных программ.

Тайна связи против технических средств защиты информации в Интернете

2009-10-20T23:40:00.000-07:00

Источник: http://forensics.ru/

Николай Николаевич Федотов,
fnn@fnn.ru

Аннотация

Конституционное право граждан на тайну связи придумано задолго до возникновения Интернета. Оно не знает таких понятий, как "логи", "хэш-функция" и "вирус". Новые информационные технологии и связанные с ними новые социальные явления нуждаются в согласовании со старыми, но "незыблемыми" правами человека. А нарушение оных при управлении современными компьютерными сетями носит характер повсеместный, но, к счастью, незлонамеренный. Постоянно углубляется пропасть между технарями и юристами - право не поспевает за развитием информационных технологий, а информационные технологии не поспевают за появлением всё новых и новых прав и обязанностей граждан. Соответственно с этим, появляются новые риски в работе операторов связи (провайдеров), а также предприятий, которые самостоятельно эксплуатируют информационные ресурсы. Анализу одной такой новой группы рисков и посвящена настоящая работа. Риски, связанные с тайной сообщений электросвязи и тайной личной жизни.

О вы, которые уверовали, не входите в дома, кроме ваших домов, пока не спросите позволения и пожелаете мира обитателям их. Если же не найдёте там никого, то не входите пока не позволят вам. А если вам скажут: "Уходите!", то уходите.
Коран, сура 24 "Свет", аяты 27-28.
(первый в истории нормативный документ, где закреплено право на тайну частной жизни)

1. Технические специалисты и закон

Тайна связи и раньше, в доинтернетовские времена, постоянно конфликтовала с требованиями безопасности. Но конфликты не были столь широки, как нынешние, поскольку "древние" средства связи - почта, телефон, телеграф - обслуживались относительно узким кругом технических специалистов. Да и вопросы безопасности тоже были уделом не слишком многочисленных "специальных товарищей". Сейчас обе эти сферы расширились, увеличив возможности для конфликтов. Нынешнее количество системных администраторов не идёт ни в какое сравнение с тогдашним количеством работников почты. А вопросы безопасности в Сети заботят ещё большее число людей - почти всех пользователей.

Итак, область потенциальных конфликтов техники и права расширилась. А кто призван решать эти конфликты?

На нынешнем этапе развития Сети мы столкнулись с очередным диалектическим противоречием, разрешение которого выведет нас на новый этап эволюции. Суть противоречия состоит в неспособности узких технических специалистов управлять глобальной сетью, на которую завязаны не только технические, но всё больше "гуманитарные" интересы граждан и организаций - и финансовые, и нравственные, и политические; словом, интересы нетехнического свойства. А методы управления применяются сугубо технические. И применяются они людьми с сугубо техническим способом мышлением.

Современные информационные технологии очень сложны. Управлять многообразным телекоммуникационным оборудованием в состоянии лишь специалисты высокой квалификации. "Высота" неизбежно выливается в "узость". Нужная квалификация приобретается годами. Обучаясь в своей технической области, они вынужденно упускают гуманитарную сторону образования. В результате многие из нас, ИТ-специалистов страдают так называемым техническим варварством.

Односторонне развитый технарь не имеет даже элементарнейших, базовых знаний в области права, обладает весьма своеобразной моралью, не ориентируется в текущих общественных отношениях и вообще плохо социализирован. Он эффективно решает чисто технические задачи, но если столкнётся с проблемой политического, юридического или нравственного плана, то в лучшем случае не сможет её решить. А в худшем - станет действовать привычным технократическим методом, напоминая варвара среди культурных ценностей. Такие несоциализированные элементы были всегда. Но раньше они были обречены оставаться возле своего "станка" и не могли влиять на жизнь других людей. В наше время подобный тип вполне может очутиться возле Большой Кнопки. Потому, что только он способен её, эту кнопку обслуживать.

Неприятные следствия вышеописанного противоречия между новыми общественными отношениями в Сети и старыми методами управления Сетью пока накапливаются. (Например, одно из них - так называемая "проблема спама". Разрешить данный социально-экономический вопрос - вопрос о рекламе в Сети - пытаются технические специалисты доступными им техническими средствами, совершенно игнорируя экономические и социально-психологические факторы, которые как раз и являются здесь ключевыми. Естественно, вопрос не разрешается. Отсюда и "проблема" - как совокупность побочных последствий технократических попыток "решения".)¹

В данной работе автор постарается хоть частично примирить "негуманитарных" сисадминов с конституционным правом граждан на тайну связи (ТС).

2. Что такое тайна связи?

Тайна связи - это часть вторая статьи 23 Конституции РФ. Она гласит:

"Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения"

Подобное положение присутствовало и в прошлых конституциях (ст. 56 Конституции СССР 1977 года; ст. 128 Конституции СССР 1936 года), и в конституциях большинства зарубежных стран. Оно же утверждается во "Всеобщей декларации прав человека"² 1948 года. Можно сказать, что ТС - общепринятое в мире положение.

Нарушением ТС признаётся ознакомление с охраняемым сообщением какого-либо лица кроме отправителя и получателя (его уполномоченного представителя). В некоторых видах связи, в силу их технических особенностей, допускается ознакомление с сообщением отдельных работников связи, как, например, при передаче телеграммы. В таких случаях нарушением ТС будет считаться не ознакомление, а разглашение содержимого сообщения.

Не следует путать право личности на ТС с правом юридических лиц на коммерческую тайну, а также с правом на профессиональную тайну (адвокатскую, врачебную и т.д.). Сообщения, содержащие другие виды тайн, также охраняются законом, но термин "ТС" относится только к личной жизни.

На всех операторов связи законом возложена обязанность принимать меры к охране ТС (ст. 63 закона "О связи").

За нарушение ТС в России установлена уголовная ответственность, (ст. 138 УК РФ). Также возможна гражданская ответственность, если нарушение ТС повлекло материальный ущерб или моральный вред.

Откуда возникла ТС и зачем она нужна?

В настоящее время право на тайну связи считается составной частью так называемых "прав человека" - естественных и неотъемлемых прав личности, признанных на международном уровне. Само понятие "права человека" возникло в XVIII веке и опиралось оно на европейские философские традиции пяти-шести предшествующих веков. Первым документом, официально провозгласившим "права человека" в их современном виде, считается французская "Декларация прав человека и гражданина" 1789 года. Некоторые исследователи считают родоначальником современных "прав человека" Декларацию независимости США 1776 года, в которой также провозглашался набор прав личности, более-менее похожий на современный. Можно сказать, что эти два документа составили фундамент современной правовой парадигмы, поначалу действовавшей только в Европе и Новом свете, а позже распространённой на весь мир. Однако право на тайну переписки появилось в составе "прав человека" несколько позже - в документах ООН в 1945-1948 годах.

Первые разговоры о праве на "приватность" начались лишь в конце XIX века³. В первой половине 20 века положения о защите тайны личной жизни и тайны переписки появились во многих конституциях. Например, в США считается, что приватность и тайна связи охраняется Четвёртой поправкой к Конституции (1791). Однако так не считалось до 1928 года (дело Олмстеда), когда Верховный суд признал право на тайну почтовой переписки. В 1934 году действие этой поправки распространили и на телефонные переговоры, а позже и ещё шире - на любые личные коммуникации (дело Каца, 1967).

Право на тайну переписки (позже к переписке добавились телефонная, телеграфная и иная связь) является производным от права на тайну личной жизни (в англоязычной литературе употребляется термин "privacy" - приватность). [2]

Почему же в XX веке было признано, что личная жизнь человека может сохраняться в тайне, хотя раньше тайна личной жизни не охранялась?

Рациональная основа этого права в том, что нецелевое использование персональных данных может нанести вред человеку. Персональные данные и сведения о личной жизни могут быть использованы для обмана, шантажа, вымогательства, для неэтичных методов маркетинга. Представляется, что данная аргументация слишком слаба для обоснования такого серьёзного правового института, как тайна личной жизни (приватность).

Скорее всего, обоснование следует искать в иррациональной области. У человека, являющегося представителем отряда приматов, есть врождённый "инстинкт территории" - неосознанное стремление защищать от любых вторжений иных особей некоторое личное пространство. И чувство дискомфорта, когда в такое пространство вторгаются, даже без враждебных намерений. "Личное пространство" подразумевает не только пространство как таковое, но и предметы личного пользования, а также личные документы (информацию). Это инстинктивно обусловленное чувство дискомфорта вызывает желание как-то изолировать личное пространство, в том числе, при помощи законодательного запрета. Есть желание, есть возможность - будет и закон. А логическое обоснование уж какое-нибудь придумают.

В XX веке, когда производительность труда достигла достаточно высокого уровня, чтобы позволить удовлетворять не только основные потребности людей, но всё более и более второстепенные, такие потребности стали постепенно закрепляться и законодательно (в первую очередь - в наиболее богатых странах). В их числе право на приватность, право на защиту от неприятных ассоциаций (та самая "политкорректность"), разнообразные новые "права потребителя", право на защиту от спама и так далее.

Итак, следует констатировать, что право на ТС является относительно недавним правовым нововведением, которое обусловлено ростом благосостояния общества и не является "критическим" для сохранения человеческой цивилизации, её культуры и научного потенциала.

Более того, "права человека" в определённых ситуациях могут использоваться (и использовались неоднократно) для оказания давления на те государства, которые недостаточно состоятельны, чтобы обеспечить их в полном объёме. Давления со стороны более богатых государств, которым полноразмерные "права человека" по карману.

Общественное сознание России и многих других стран до сих пор не признаёт право на ТС и тайну личной жизни частью естественных прав человека. Частично это объясняется тем, что пока ещё не реализованы в должной мере более важные права человека, такие как право на правосудие. Другая причина - в древних общественно-философских традициях Азии, в которых нет приоритета прав личности над правами общества (государства). Положение о приоритете индивидуальных интересов над общественными было привнесено из Европы. Некоторые исследователи выражают сомнения, что основанная на нём европейская правовая парадигма сможет быстро прижиться в России.

3. Служебные каналы и средства связи

Наиболее актуальным и наименее разъяснённым представляется следующий вопрос. Распространяется ли ТС на сообщения, передаваемые по служебным каналам и средствам связи?

Понятие ТС относится к частной жизни гражданина. Именно о частной жизни говорит 23 статья, да и вся 2 глава Конституции посвящена правам личности. Означает ли это, что не охраняются сообщения, передаваемые по служебным каналам и средствам связи?

С одной стороны, служебная корреспонденция не имеет отношения к личной жизни того, кто её отправляет или получает. С другой стороны, невозможно заведомо утверждать, что любая корреспонденция, отправляемая через служебные каналы связи, только служебная. Человек вполне может отправить по этим каналам личное письмо. Или смешать в одном сообщении личное со служебным.

С одной стороны, собственник средств связи вправе запретить передавать личные сообщения. С другой стороны, никакой собственник не может ограничить конституционные права гражданина.

Ответ на этот вопрос таков. Право на ТС распространяется на все сообщения, передаваемые по служебным каналам связи. Кроме тех каналов, которые явно не приспособлены для охраны сообщений, например, переговоры по радио. Другое исключение - случай, когда работник дал явное согласие на ознакомление с его сообщением. Следует обратить внимание, что человек не может отказаться от своего права на ТС. Говорят, что это право неотчуждаемое⁴. То есть, любой отказ от права будет недействителен. Разрешение на ознакомление с одним или несколькими сообщениями - не то же самое, что отказ от права на ТС. Уведомление работника о том, что служебный канал связи прослушивается (контролируется) также не является эквивалентом вышеуказанного разрешения от работника.

Существует и иная, ещё более либеральная точка зрения на данный вопрос. [5] Согласно ей, ограничение права на ТС может быть единственным - по судебному решению, а любое разрешение гражданина на ознакомление с неопределённым множеством его сообщений будет недействительно. Такая точка зрения имеет под собой серьёзные основания, но она очень далека от нашей российской практики.

Могут возразить, а как же права собственника канала связи? А как же права владельца коммерческой тайны, которая может "утечь" через неконтролируемый канал связи? Ответ такой: право личности в данном случае превыше. Среди перечня прав обладателя информации, составляющей коммерческую тайну⁵, отсутствует право на ознакомление с передаваемыми сообщениями и вообще право как-либо мониторить каналы связи с целью проверки режима коммерческой тайны. Самое большее, на что имеет право обладатель комтайны - требовать от иных лиц конфиденциальности и неразглашения.

Если работник предприятия, вопреки установленным правилам, воспользовался служебными средствами связи для передачи личного сообщения, то он совершил дисциплинарное нарушение. За это он подлежит дисциплинарной ответственности, а также должен будет возместить ущерб. А работник службы безопасности предприятия, который данное нарушение выявил, подлежит уголовной ответственности за нарушение ТС. Иными словами, совершение работником правонарушения не лишает его конституционных прав и не является оправданием такого преступления, как нарушение тайны связи.

Следует уточнить, что право на ТС защищает не сами служебные сообщения, а каналы их передачи. Никто не имеет права проверять все сообщения в канале связи на том основании, что среди них может попасться недозволенное. Но если сообщение уже чётко квалифицировано каким-либо правомерным способом как служебное или рекламное⁶, с ним можно ознакомиться, не боясь нарушить ТС. Таким образом работают системы автоматического обнаружения вирусов и спама в электронной почте. Проходящие письма "читаются" не человеком, а программой, которая субъектом права не является. И только когда есть уверенность в том, что конкретное сообщение не является личным (то есть, это вредоносная программа или реклама), с ним можно совершить определённые действия, в том числе, ознакомиться администратору мейлсервера. Надёжность современных почтовых антивирусов близка к 100%. (В данном аспекте под надёжностью следует в первую очередь понимать отсутствие ошибок второго рода, то есть, ложных срабатываний.) У самых лучших моделей антиспамового ПО вероятность ложных срабатываний также низка. Поэтому когда администратор мейлсервера контролирует почтовый трафик на основании такой диагностики, его нельзя обвинить в умысле на нарушение ТС. К сожалению, кроме лучших продуктов используются также и посредственные, и совсем негодные. Многие образцы антиспамового ПО имеют весьма высокий процент ложных срабатываний. То есть, они легко могут принять валидное письмо (в том числе, личного характера) за спам, и об этой их склонности к ошибкам заранее известно. Руководствоваться информацией от такого ПО рискованно в плане ответственности за нарушение ТС.

Не исключено, что в скором времени на основе опробованных антиспамовых технологий контентного анализа появятся автоматические детекторы служебных сообщений, имеющие крайне низкий уровень ложных срабатываний. Тогда проводимый службой безопасности мониторинг электронной почты предприятия перестанет быть незаконным.

4. Сведения о...

Закон приравнивает сами сообщения электросвязи и сведения о таких сообщениях⁷. Сведения о сообщениях должны защищаться так же, как сами сообщения. Для "сведений о", в частности, действует такой же порядок передачи их правоохранительным органам - только по судебному решению. Определено, что для телефонной связи такими "сведениями, приравненными" являются: время разговора, его продолжительность, номера вызывающего и вызываемого абонентов. По аналогии можно заключить, что применительно к электронной почте такими сведениями, подлежащими охране наравне с самим сообщением, являются: адреса отправителя и получателя, время отправления или доставки, длина сообщения. То есть, те данные, которые обычно фиксируются в логе мейлсервера.

Относится ли к охраняемым сообщениям веб-трафик? Доступ человека к публичным вебстраницам - это коммуникация между человеком и не-человеком. То есть, сообщение, передаваемое по протоколу HTTP от публичного вебсервера к пользователю (равно как и запрос пользователя к серверу) не является аналогом письма от человека к человеку. С другой стороны, "посещение" человеком определённой вебстраницы, без сомнения, может считаться частью его личной жизни, хотя эта вебстраница и доступна неопределённому кругу лиц. Значит, факт запроса вебстраницы пользователем - факт из его личной жизни и охраняется правом на тайну личной жизни.

Не вполне ясно соотношение права на тайну личной жизни и права на тайну связи. С одной стороны, второе представляется производным от первого. Но эти два права провозглашаются отдельными положениями Конституции (ч.1 ст.23 и ч.2 той же статьи). И режим охраны у двух этих прав несколько различается. И ответственность за нарушение каждого из этих прав устанавливается отдельными статьями УК (137 и 138 соответственно). Значит, это самостоятельные права, и второе, хотя и произошло от первого, не является его частным случаем. Так или иначе, нарушать право на тайну личной жизни граждан оператору связи тоже нельзя. Поэтому автор рекомендует логи доступа по протоколу HTTP защищать в том же режиме, что и логи мейлсервера.

5. На кого возложена обязанность охранять ТС?

В статье 63 закона "О связи" сказано как отрезано: "Операторы связи обязаны обеспечить тайну связи" Понятно, что обеспечить - не то же самое, что гарантировать. "Обеспечить" - это означает предпринять все меры в разумных пределах, чтобы ТС была соблюдена при обычных условиях эксплуатации сети связи. Разумеется, каждый оператор должен обеспечивать ТС лишь на собственной сети, в сфере своей ответственности⁸.

В числе этих мер должна быть как защита ТС от "внешних" угроз, так и от собственных сотрудников.

Ведя борьбу против спама, вирусов, порнографии и других действительных и мнимых угроз, технические сотрудники операторов связи очень часто забывают сверить свои действия с Конституцией и прочим законодательством. Автору даже приходилось слышать вполне искренние высказывания сисадминов такого плана: "Какое ещё законодательство? Мы же в Интернете!"⁹ Это и есть одно из проявлений ранее упоминавшегося технического варварства. Лишь поголовная юридическая неграмотность пользователей да древние российские традиции право(не)применения спасают персонал операторов связи от массовых репрессий.

Крупные и средние предприятия также часто имеют собственный сервер электронной почты и другие сетевые ресурсы. Однако при этом они оператором связи не считаются. На персонал таких предприятий не распространяется обязанность "обеспечить тайну связи". Тем не менее, совершенно игнорировать вопросы обеспечения ТС они не могут, потому что от ответственности за нарушение ТС никто их не освобождал.

6. Нарушения тайны связи в различных ситуациях

Давайте проанализируем, в каких случаях возможно нарушение права на ТС при различных работах, связанных с защитой информации.

6.1. Проверка почты на вирусы

Лишь некоторые несведущие в праве лица допускают утверждения о якобы нарушении ТС, когда антивирус "читает" сообщения электронной почты. Разумеется, в этом нарушения нет, поскольку нет ознакомления какого-либо лица с сообщением - программа субъектом права не является. Не происходит нарушения и в тех случаях, когда заражённое сообщение (целиком или только его заголовки) возвращается отправителю. Бывает, что адрес отправителя вредоносная программа подменяет, тогда сообщение (или его часть) попадёт к ненадлежащему лицу. Это, конечно, неправильно, этого следует избегать, но такое нарушение вполне можно считать непреднамеренным. Явное и преднамеренное нарушение ТС - это перенаправление заражённых писем (их заголовков) третьему лицу, например, администратору.

Наиболее "чист" в правовом отношении следующий алгоритм действий антивируса. Если сообщение содержит вредоносный код в отчуждаемом виде (приложение, выделенный скрипт), то вредоносный код удаляется, а "очищенное" письмо пересылается по назначению с соответствующей пометкой. Если вредоносный код неотделим от сообщения (или вирус сам сгенерировал несущее его сообщение), то следует справиться в базе данных о том, склонен ли найденный вирус подменять адрес отправителя. Если да, то уведомление о вирусе направляется лишь получателю, если нет, то получателю и отправителю; само вредоносное сообщение при этом уничтожается.

6.2. Детектирование и фильтрация спама

Ситуация с автоматическим детектированием спама провайдером аналогична автоматической проверке на вирусы. До тех пор, пока письмо не перенаправляется какому-либо третьему лицу, ТС не нарушена. Простановка на письмах служебных пометок, означающих их классификацию (в частности, принадлежность к спаму) - наиболее безупречный в правовом отношении метод.

Фильтрация предусматривает детектирование спама тем или иным способом и последующее автоматическое возвращение либо уничтожение сообщения, если результат детектирования положительный. ТС, аналогично предыдущему случаю, здесь не нарушается. Зато нарушается закон "О связи", который признаёт лишь за адресатом право получить сообщение или отказаться от его получения¹⁰.

В отличие от антивирусного ПО, где процент ложных срабатываний пренебрежимо низок, антиспамовые средства могут ошибаться. Причём не просто могут. Процент ложных срабатываний - это главная характеристика любого антиспамового средства, у большинства он находится на приличном уровне - 1-3 процента.

Поэтому автоматическая фильтрация спама допустима лишь с явного разрешения получателя. Давая такое разрешение, получатель должен быть предупреждён, что антиспамовое ПО может ошибаться и отвергать (уничтожать) определённый процент валидной почты. Умалчивание об этом факте является обманом клиента.

Другое дело, что за нарушение ТС предусмотрена уголовная ответственность¹¹, а за недоставку сообщений возможна лишь гражданско-правовая ответственность, либо санкции к оператору связи со стороны лицензирующего органа.

У некоторых провайдеров практикуется автоматическое направление жалоб на спам. Поскольку "жалобная инстанция" не является ни отправителем, ни получателем сообщения, а ложные срабатывания исключить нельзя, такое автоматическое перенаправление незаконно. Направление жалобы (в которой полагается приводить заголовки или спамовое сообщение целиком) допустимо лишь самим получателем или с его согласия.

Последующее рассмотрение жалобы, переданной адресатом спама (а равно хранение, анализ и публикация таких жалоб), не нарушает права на ТС.

6.3. Комплексный мониторинг интернет-коммуникаций

В некоторых предприятиях и государственных органах под предлогом мер по обеспечению режима коммерческой тайны¹² вводится комплексный мониторинг всех каналов связи, включая электронную почту. На рынке имеется несколько программных продуктов для такого мониторинга, например, "MIMEsweeper", "Дозор-Джет", "Websense" и другие.

Как уже отмечалось, обладание коммерческой тайной даёт предприятию некоторые права, обеспечивающие её сохранение. Они перечислены в законе "О коммерческой тайне". Среди этих прав нет права не мониторинг всех служебных сообщений. Такой мониторинг, если он предусматривает ознакомление человека с некоторыми сообщениями, незаконен.

Наличие явного разрешения работника на ознакомление с его сообщениями примиряет систему мониторинга с законодательством. Впрочем, следует отметить, что эту точку зрения разделяют не все юристы. Некоторые считают, что разрешение работника на ознакомление с неопределённым количеством его сообщений - недействительно в силу неотчуждаемости права на ТС. [5, 6]

6.4. Изучение логов мейлсервера

Как указывалось ранее, сведения о сообщении электронной почты охраняются так же, как и само сообщение. Казалось бы, ознакомление администратора с логами мейлсервера должно считаться нарушением ТС. Но это не так. Запрет на ознакомление всегда ограничен техническими особенностями системы связи. Когда ознакомление персонала требуется для корректной работы связи, оно допустимо - как в случае с передачей телеграмм. Для поддержания должной работы мейлсервера администратор должен в некоторых случаях обращаться к логам - это непреодолимая техническая особенность. В данном случае запрет на ознакомление с логом касается всех остальных работников оператора связи, а в отношении администратора действует запрет на разглашение полученных из логфайла сведений.

6.5. Система обнаружения атак (IDS)

Большинство систем обнаружения атак сетевого уровня (в дальнейшем - IDS) работают по сигнатурному принципу. То есть, они проверяют транзитные пакеты (как заголовки, так и содержимое пакетов) на соответствие заранее заданным шаблонам. В случае соответствия генерируется сигнал тревоги, при этом пакет или вся сессия могут быть сброшены.

В логах IDS всегда (или почти всегда) приводится вызвавший тревогу пакет или последовательность пакетов. В ряде случаев для анализа ситуации можно было бы обойтись лишь заголовками пакетов, но в общем случае потребуются полные данные - и заголовок, и содержимое.

Нельзя сказать заранее, может ли в пакете содержаться охраняемая ТС информация. Даже для каждой конкретной сигнатуры не всегда можно сделать такое утверждение.

Получается, что использование почти любой IDS приводит к нарушению ТС, поскольку подразумевается, что сотрудник знакомится с содержимым передаваемых по сети сообщений, среди которым могут быть и личные сообщения.

С другой стороны, ознакомление с логами IDS является необходимым для защиты от атак на сети - полностью автоматизировать действия IDS пока не представляется возможным. Необходимость анализа ситуации человеком - это как раз то непреодолимое техническое условие (как и прочтение телеграммы телеграфистом), которое переводит ознакомление в разряд законных действий. Разглашение остаётся незаконным. Понятно, что логи IDS также должны защищаться, поскольку могут содержать охраняемую информацию.

Можно возразить, что наличие IDS в сети не является абсолютно необходимым условием для функционирования системы связи. Более того, многие сети прекрасно обходятся безо всяких IDS, при этом нормально работают и отвечают требованиям нормативных актов. Следовательно, и ознакомление с логами IDS не является необходимым.

Обе вышеописанные позиции обоснованы. Окончательное слово в данном вопросе может сказать только суд. Мнения юристов, как это всегда бывает, расходятся. Тем не менее, большинство склоняется к тому, что анализ логов IDS назначенным на эту задачу оператором с целями защиты от сетевых атак следует признать законным.

6.6. Изучение статистики трафика

Статистическое обобщение данных обычно скрывает персональную информацию. А когда нет информации, относящейся к конкретной личности, не может быть и нарушения тайны личной жизни, а также тайны связи. Таким образом, если статистика трафика агрегирована не по пользователям (отдельным компьютерам), то ознакомление с такой статистикой ТС не нарушает.

Вопрос насчёт статистики, агрегированной по пользователям, представляется не вполне ясным. Из такой статистики часто можно извлечь информацию, затрагивающую тайну личной жизни, хотя и нельзя извлечь сведения об отдельных сообщениях электросвязи. На всякий случай рекомендуется ограничивать "персонализированную" (то есть, агрегированную по пользователям) статистику общим объёмом трафика.

6.7. Другие ситуации

На некоторых предприятиях применяются системы "цензуры", ограничивающие доступ к определённым вебсерверам или по определённым протоколам. Причём "чёрные" или "белые" списки ресурсов могут как составляться вручную, так и генерироваться автоматически на основании некоторых формальных признаков. Сюда же относятся системы, блокирующие рекламные баннеры, всплывающие окна, порнографию, потенциально вредоносный контент и т.д. Для всех таких систем действует один принцип: их функционирование законно, пока не происходит ознакомление человека с передаваемыми сообщениями или сведениями о них (какой пользователь когда на какой ресурс обращался).

Как видно из проведённого рассмотрения, организация работ по технической защите информации изобилует различными юридическими "тонкостями", которые не могут быть известны техническим специалистам. И это - лишь стандартные ситуации, а сколько возможно нестандартных?

7. Ответственность за нарушение тайны связи

За нарушение права на ТС в России предусмотрена уголовная ответственность - согласно статье 138 УК. Эта статья так и называется - "Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений". В ней три части: первая и вторая говорят собственно о нарушении ТС, а часть третья - о производстве и сбыте специальных технических средств, предназначенных для нарушения ТС.

Статистика сообщает, что уголовные дела по данной статье время от времени возбуждаются и даже иногда доходят до суда. Наиболее популярна часть третья, но и по первым двум частям прецеденты тоже есть. В большинстве случаев 138-я статья идёт не самостоятельно, а "в довесок" к таким преступлениям как мошенничество, незаконное предпринимательство, превышение полномочий охранных или детективных служб, злоупотребление должностными полномочиями, шпионаж и т.п.

Следует констатировать, что практика применения ответственности за нарушение ТС на сегодняшний день недостаточная. Данное преступление небольшой тяжести блекнет перед лицом иных современных преступлений - огромных хищений, террористических актов и множественных бытовых убийств. Надо признать, что сегодня для лица, совершающего данное преступление, риск подвергнуться уголовной ответственности за него весьма невелик. Если, конечно, не будет особой заинтересованности правоохранительных органов или, как говорят, "заказа" на определённого "хозяйствующего субъекта".

Как можно оценить перспективы законного разбирательства, если пользователь корпоративной информационной системы пожелает защитить свои права на тайну связи или тайну личной жизни, нарушаемые работодателем? Например, несанкционированный мониторинг электронной почты. В условиях практического отсутствия отечественных прецедентов дать такую оценку представляется затруднительным. Единственный верный способ - дождаться, когда появится первый такой "правдоискатель", готовый отстаивать свои права из принципа (то есть, не считаясь с практической нецелесообразностью этого процесса) и посмотреть, что у него получится.

Можно лишь дать некоторые рекомендации по досудебному урегулированию таких вопросов. Удобнее будет избрать механизм уголовного разбирательства, нежели гражданского. Тогда бремя доказывания правонарушения возлагается на правоохранительные органы. Самостоятельно получить доказательства несанкционированного применения системы мониторинга электронной почты будет затруднительно.

Даже "профессиональные" российские правозащитники признают, что наш народ пока не готов всерьёз воспринимать посягательства на тайну личной жизни (приватность). [2]

8. Рекомендации

В целом риск для оператора связи, связанный с нарушением ТС, следует признать низким. Учитывая малое количество судебных прецедентов, давние русские традиции, а также несовершенство методов доказывания в компьютерно-сетевой сфере, провайдер может не применять особых мер для обеспечения ТС сверх общепринятых.

В то же время, для надёжности автор рекомендует каждому интернет-провайдеру ряд недорогих в осуществлении мероприятий, которые должны снизить риск.

Следует признать, что технари, управляющие сетями связи, как правило, не имеют знаний в правовой и иных гуманитарных областях и неспособны самостоятельно оценивать, учитывать и применять требования законодательства, в частности, касающиеся обеспечения ТС. В то же время, юристы оператора связи (если таковые вообще есть в штате) не способны дать технарям конкретные рекомендации по данному вопросу в силу того, что они, в свою очередь, не имеют соответствующих технических знаний и неспособны понять принципы работы сетей связи. Оптимальным решением было бы иметь специалиста, одинаково хорошо разбирающегося в обеих областях, однако автор сознаёт, что это затруднительно - такие специалисты крайне редки. Рекомендуется постараться организовать взаимодействие технаря и юриста; желательно, чтобы задачи им ставил руководитель, компетентный в финансовых вопросах.
Не следует применять автоматических антивирусных и антиспамовых систем, у которых процент ложных срабатываний существенный. В настоящее время хорошим показателем считается 0,0001, удовлетворительным - 0,001, неудовлетворительным - 0,01 и выше.
Не следует предоставлять своим сотрудникам (а тем более - клиентам и другим посторонним лицам) доступ к логам мейл-сервера, прокси-сервера, межсетевого экрана, системы обнаружения атак и иных систем, которые могут фиксировать какие-либо сведения о передаваемых по сети сообщениях. Такой доступ должен иметь строго ограниченный круг лиц. Желательно, чтобы в должностной инструкции каждого из них была прописана обязанность не разглашать соответствующие сведения, использовать их только для управления сетью и принимать меры к защите этой информации.
Организовывать мониторинг электронной почты сотрудников или комплексный мониторинг всех коммуникаций предприятия не желательно без веских на то оснований. Прежде чем принять такое решение, следует тщательно оценить риск утечки коммерческой тайны и риск непроизводительной траты рабочего времени. Часто такие риски преувеличиваются собственными службами безопасности предприятия или теми, кто желает продать вам средства для мониторинга.
Если принято решение о мониторинге электронной почты сотрудников и других видов служебных коммуникаций, недостаточно просто поставить сотрудников в известность. Следует получить письменное разрешение от каждого (отдельным документом или в составе трудового договора). Предлагаемая формулировка: "Я, Такойто Такойтович, даю разрешение Предприятию в лице уполномоченных на то сотрудников службы безопасности на ознакомление с сообщениями, передаваемыми мной, получаемыми мной или адресованными мне, которые передаются или поступают по средствам связи, принадлежащим или используемым Предприятием. В число указанных средств связи входят следующие: персональные компьютеры сотрудников, сервер электронной почты Предприятия, сервер доступа в Интернет, цифровые каналы связи, арендуемые Предприятием..." Надо отдавать себе отчёт, что даже в случае рекомендованного оформления остаётся небольшой риск, что мониторинг каналов связи будет признан судом неправомерным.
Статистику работы пользователей в сети не следует агрегировать по пользователям или по адресам (компьютеров) пользователей за исключением общего объёма трафика. Другие виды агрегирования (по времени, по протоколам, по удалённым адресам, по большим группам пользователей) можно считать безобидными с точки зрения нарушения ТС и тайны личной жизни.

9. Заключение

Право на тайну связи, несмотря на то, что формально оно существует в нашей стране несколько десятилетий, непривычно для большинства наших граждан. Русские (советские) люди не воспринимают ТС как нечто ценное, а нарушение оной - как серьёзное посягательство на их права. Распространена точка зрения "Мне нечего скрывать, я честный человек" или "Пусть преступники прячутся, а нам-то зачем?". В подобных рассуждениях с логикой всё в порядке. Право на ТС как производное от права на тайну личной жизни (приватность) обусловлено не столько логикой, сколько традициями западного либерализма. Традиции эти пришли в Россию извне и пока не очень хорошо прижились. Вряд ли русский менталитет изменится в ближайшем будущем.

Следовательно, несмотря на всемерную законодательную поддержку, защита ТС на практике будет в России весьма затруднена.

Автор рекомендует в деятельности по технической защите информации учитывать ТС, но не присваивать этому вопросу высший приоритет.

Примечания

1 Подробнее об этом - в статьях автора "Спам обречён" // Мир ПК, #11/2003 и "Возможен ли компромисс со спамерами" // электронный журнал "Спамтест" <<
2 Принята и провозглашена резолюцией 217 А (III) Генеральной Ассамблеи ООН от 10 декабря 1948 года. Положение о тайне связи содержится в статье 12. Полный текст <<
3 Луис Брэндейс и Сэмюэль Уоррен. "The Right to Privacy" - журнал "Harvard Law Review", 1890 год. см. http://www.louisville.edu/library/law/brandeis/privacy.html <<
4 См. ст.17 Конституции РФ. <<
5 Установлен законом "О коммерческой тайне" (N98-ФЗ), ст.7,8,9. <<
6 Рекламное сообщение (спам) предназначено неопределённому кругу лиц, следовательно, оно не считается личным и не охраняется. <<
7 Это лишний раз подтверждено определением Конституционного Суда РФ от 02.10.03 N 345-О (см. http://www.rg.ru/2003/12/10/svjaz-doc.html). <<
8 Области ответственности операторов связи могут быть разграничены не только пространственными рамками, но и логическими уровнями сетевых протоколов. Например, хостинг-провайдер отвечает за уровни 5-7, магистральный провайдер за уровни 3-4, канальный провайдер за уровни 1-2. И это касается одного и того же сигнала в одном и том же кабеле. <<
9 Среди сисадминов ещё более распространён миф о том, что "собственник средств связи вправе установить любые правила их использования". Столь наивное утверждение может вызвать лишь улыбку у юриста, но технические работники часто верят. <<
10 См. ст.62 закона "О связи". <<
11 Статья 138 УК РФ - "Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений" <<
12 Случай работы с государственной тайной рассматривать не будем. Это отдельная большая тема. <<

Литература

Луис Брэндейс и Сэмюэль Уоррен. "The Right to Privacy" // журнал "Harvard Law Review", 1890 год.
Смирнов С. Прив@тность. - Москва, издательство "Права человека", 2002. - 96 с. ББК 67.91; ISBN 5-7712-0230-4. Текст в электронном виде:
Ваше право на неприкосновенность частной жизни (справочник). - Санкт-Петербург, "Гражданский контроль", 1996.
Защита прав граждан при внедрении системы оперативно-розыскных мероприятий в сетях связи (автор и составитель Ю.И.Вдовин, "Гражданский контроль"). - СПб: "ЛИК" - 2000.
Поликарпова О.Н. Законодательные основы защиты прав и интересов работника и работодателя в процессе обеспечения информационной безопасности предприятия. // ИНФОФОРУМ.РУ, 07.04.2004.
Савельев М.С. С утечкой информации нужно бороться! // PCWeek/RE, N37, 2002.

FTPFS или что можно сделать на базе FUSE

2009-10-17T12:35:00.000-07:00

Источник: http://www.e-lug.ru/node/185

Скопирую на будущее. Вдруг пригодится опять.

Владелец одного из серверов, администрированием которого занимается наша компания, поставил такую забавную задачу. На его сервере присутствует громадный ftp-архив (2 storage по 6 ТБ каждый на данный момент). Неподалеку от этого сервера стоит другой сервер, на котором есть тоже интересный архив, причем постоянно обновляемый. Необходимо было сделать так, чтобы архив второго сервера стал как бы частью ftp-архива нашего сервера. При этом копировать данные с сервера на сервер не допускалось (ну там, дублирование информации и все такое).

Задача усложнялась тем, что на втором сервере стоит FreeBSD и ручек от его администрирования нам, естественно, никто не дал. После небольшого гугления было найдено 2 варианта решения данной проблемы:

sshfs. то есть файловая система, работающая поверх ssh через FUSE (Filesystem in USEr space)
ftpfs, то есть то же самое, но только работающее поверх ftp

Выбор был сделан в пользу ftpfs. Во-первых, очевидно что протокол ftp будет работать быстрее чем ssh, т.к. соединение не шифруется. Во-вторых, оба сервера находятся на одном и том же узле связи, никакой особой безопасности тут не требуется, тем более что второй сервер вообще разрешает анонимный доступ по ftp. Да, забыл добавить немаловажный факт: между серверами гигабитная сетка.

Итак, решение выбрано, приступаем к настройке. Первым делом, установим необходимые пакеты:
apt-get install curlftpfs
все, что нужно, debian скачает и установит сам. Дальше нужно создать точку монтирования (куда собственно подключать удаленный ftp):
mkdir /home/ftp/cool-ftp chown user:group /home/ftp/cool-ftp
Монтируем ftp-шник:
curlftpfs ftp://ftp.host.ru/ /home/ftp/cool-ftp/ -o ro,allow_other,uid=user,gid=gro
Собственно, вот и всё. Почти :) Дело в том, что нормальные админы не занимаются развешиванием соплей, отваливающихся при ребуте сервера, а приколачивают все гвоздиками. В нашем случае, нужно прописать соответствующую строчку в /etc/fstab, чтобы при загрузке нашего сервера, ftp-шник подмонтировался автоматом. Делается это очень просто, путем добавления в /etc/fstab вот такой строчки:
curlftpfs#anonymous:@ftp.host.ru /home/ftp/cool-ftp/ fuse ro,allow_other,uid=user,gid=group 0 0
Разумеется, так же полезно добавить строчку "fuse" в файл /etc/modules, чтобы модуль fuse был автоматом загружен в ядро.
Да, чуть не забыл добавить. Не знаю почему, но uid=user,gid=group у меня на самом деле не работало. Вместо этого я написал uid=1001 (цифровой идентификатор юзера user, который можно получить, выполнив id -u user) и, соответственно, gid=...

Еще, кстати, полезно сделать вот так:
ln -s /usr/bin/curlftpfs /sbin/mount.curlftpfs
чтобы можно было монтировать файловые системы типа curlftpfs обычной командой mount -t curlftpfs

P.S. После некоторого времени эксплуатации выяснилось, что система ведет себя не совсем стабильно: периодически процессы ftpfs зависали на команде LIST. Поэтому в итоге мы таки откатились на sshfs. Делается это не менее просто:

Генерируем rsa-ключ для ssh для того пользователя, которым мы ходим на удаленный хост, то есть в нашем случае это root:
ssh-keygen -t rsa
Прописываем этот ключ, который лежит в файле ~/.ssh/id_rsa.pub на удаленном хосте в файл ~/.ssh/authorized_keys2
В /etc/fstab добавляем строчку:
sshfs#ftp.host.ru:/home/ftp/public/ /home/ftp/cool-ftp/ fuse ro,allow_other,uid=user,gid=group 0 0

Полный формат первого аргумента выглядит так: sshfs#user:pass@ftp.host.ru:/home/ftp/public/ но мы, разумеется, логин и пароль сюда не пишем, т.к. пользуемся ключами.
Ну и наконец, монтируем:
mount -a

Оригинал (Халиков Антон)

Dlink DNS - 323

2009-10-17T11:57:00.000-07:00

Купил себе новую игрушку. Dlink DNS-323.
По сути это сетевое хранилище.
Внутри линукс.
Хард на 1Тб она форматнула как ext2.

Задача перегона данных усложнилась еще тем, что NTFS не поддерживает в принципе, даже "только на чтение" не хочет.
Ладно.... Что может этот девайс из протоколов FTP, SMB. HTTP (грустно только админка и никакого нормального доступа в файлам).

Для начала, я включил поддержку UTF8. Это избавляет меня от проблем с русскими именами файлов на диске, но дбавило проблем для монтирования.

Для SMB вывел следующую мантру
1. Установить поддержку smbfs
apt-get install smbfs
2. Создать каталог монтирования
sudo mkdir /media/vol1
3. Сам монтаж
mount -t smbfs -o username=admin,password=,iocharset=utf8 //192.168.1.33/Volume_1 /media/vol1

Для FTP нашел готовую мантру и даже больше http://www.e-lug.ru/node/185 оригинал тут Большое спасибо Халикову Антону
1. Fuse обертки
apt-get install curlftpfs
2. Создаем каталог
sudo mkdir /media/vol1_ftp
3. Монтируем
sudo curlftpfs ftp://anonymous:anonymous@192.168.1.33/ /media/vol1_ftp -o ro,allow_other,uid=1001,gid=1001

javascript:void(0)

Философия...

2009-10-12T04:44:00.001-07:00

Просто удивительно, насколько важна ваша работа, когда нужно отпроситься
с нее, и насколько она маловажна, когда вы просите прибавки в зарплате!

Индексы на основе B-деревьев для поддержки высокого темпа обновлений

2009-10-12T03:01:00.000-07:00

http://www.interface.ru/

Перевод: Сергей Кузнецов
Предисловие переводчика

Статья Грейфа привлекла меня тем, что уже давно не попадались обзоры, посвященные алгоритмам работы с B-деревьями. Должен сразу сказать, что во многом статья не оправдала мои ожидания: многие, по-видимому, интересные методы и структуры данных описаны слишком кратко и сумбурно, очень не хватает иллюстраций. Во время перевода мне постоянно хотелось исправить недостатки статьи, благо, что большая часть источников, упоминаемых в списке литературы, свободно доступна в Internet. Однако я сдержал себя и представляю вам чистый перевод статьи. В целом он дает представление о существующих подходах, а с подробностями вы можете при желании ознакомиться сами, воспользовавшись списком литературы и поставленными мной ссылками на публикации в Web.

1. Аннотация

В некоторых приложениях сбор данных доминирует над обработкой данных. Например, при мониторинге движущихся объектов часто требуется больше операций вставки и обновления, чем запросов. Это дисбаланс часто демонстрируется при сборе данных с использованием автоматических сенсоров. В более широкой постановке, нерешенной проблемой является индексирование потоков.

Для этих приложений хорошим вариантом являются индексы на основе B-деревьев, если принять некоторые компромиссные решения, направленные на оптимизацию скорее операций обновления, чем запросов. В этой статье приводится обзор некоторых методов, которые за счет снижения эффективности обработки запросов позволяют B-деревьям выдерживать очень высокий темп обновлений, на несколько порядков более высокий, чем могут допустить традиционные B-деревья. Не удивительно, что некоторые из этих методов напоминают методы, используемые при создании, перестройке индексов и т.д., а другие выводятся из известных технологий, таких как дифференциальные файлы и файловые системы с журнальной структурой (log-structured file system).
2. Введение

Некоторые приложения в большей мере собирают данные, чем обрабатывают запросы к ним. Например, система управления автопарком компании грузовых автомобильных перевозок или такси может регистрировать данные о текущей позиции движущегося средства намного чаще, чем позиции автомобилей запрашиваются диспетчеров автопарка. В этих случаях организацию индекса и B-дерева, в отличие от традиционного подхода, следует оптимизировать с целью повышения эффективности выполнения операций вставки и обновления, а не запросов.

Другой областью применения методов, обсуждаемых в этом обзоре, является индексирование непрерывных потоков данных. Достаточно хорошо понятна фильтрация потоков "на лету", но для потоков, содержащих идентификаторы объектов реального мира, часто требуется сопоставление со статическими данными, а также с другими потоками. Поэтому крайне необходима возможность сбора потоковых данных, обычно в порядке их поступления, а также их индексирования по атрибутам, отличным от времени поступления. Иногда требуется несколько индексов, поддерживающих разные порядки. Например, для обеспечения эффективного и близкого к мгновенному обнаружения случаев мошенничества в потоке данных о транзакциях с кредитными карточками может потребоваться индексирование по номеру карты, идентификационным данным клиента (клиент может потерять несколько кредитных карт в одно и то же время) и данным о продавце (нечестный служащий может мошенническим образом расплачиваться кредитными картами многих клиентов).

Далее мы предполагаем, что эффективность операций обновления и вставки является более важной, чем эффективность обработки запросов. Если читателя не интересуют такие приложения, то к его B-деревьям следует применять традиционные оптимизационные методы, а не методы, обозреваемые в этой статье. Кроме того, мы предполагаем, уже применен какая-либо регулировка рабочей нагрузки, например, выработана "наилучшая" политика регистрации данных о текущем местоположении автомобилей, так что оставшиеся запросы на обновление действительно должны быть отражены во всех рассматриваемых индексах. Наконец, мы предполагаем, что учитывается возможность аппаратной поддержки, и она используется, насколько это возможно и уместно, например, используются расслоение дисков и твердотельные диски или дисковые буфера.
3 Оптимизация ввода/вывода

Как и в большинстве операций баз данных, фокусирование на эффективности дисковых операций ввода/вывода является действенным способом повышения производительности и масштабируемости. Однако необходимо разделять совершенствование общей пропускной способности системы и сокращение времени отклика отдельных транзакций, что может быть очень интересно в данном случае, а может быть и совсем не интересно.

Имеется несколько очень общих технологий совершенствования производительности, например, сжатие данных [WKH 00]. В рабочих нагрузках с интенсивным обновлением данных существенное сжатие применяется не только к данным, но и к журналу транзакций. Здесь достаточно заметить, что некоторые методы сжатия являются удивительно простыми, например, отбрасывание лидирующих или хвостовых нулей или пробелов и объединение нескольких журнальных записей от одной транзакции в одну журнальную запись для сокращения накладных расходов, вызываемых наличием в журнале транзакций множественных заголовков записей.
3.1 Предварительная выборка, упреждающее чтение и отложенная запись

Отложенная запись (write-behind) страниц журнала и данных является хорошо известным методом. Сама по себе отложенная запись не повышает пропускную способность системы, поскольку объем записи не сокращается. Однако отложенная запись часто обеспечивает возможность записи данных большого объема, что является еще более эффективным, чем поддержка очередей ввода/вывода. Кроме того, отложенная запись полезна в случае пиков рабочей нагрузки и позволяет производить дополнительную оптимизацию. Например, в современных дисковых устройствах поддерживаются собственные очереди команд, и обмены выполняются лучше, если всегда имеются десятки ждущих операций ввода/вывода [ADR 03].

Упреждающее чтение (read-ahead, обычно используемое при сканировании) не применяется к операциям обновления, но оно применяется для присоединения всей ветви модификаций к существующему B-дереву. При слиянии нескольких разделов B-дерева (обсуждаемом ниже) в один раздел упреждающее чтение с использованием прогнозирования может улучшить производительность, поскольку слияние разделов, по существу, представляет ту же проблему, что и слияние прогонов при выполнении внешней сортировки со слиянием [G 03a]

Предварительная выборка (prefetch), основанная на индивидуальных ключах, применяется не только к операциям выборки, например, при передвижении из некластеризованного индекса в кластеризованный индекс, но и к операциям обновления. Однако, подобно упреждающему чтению и отложенной записи, предварительная выборка также не приводит к непосредственному улучшению производительности или пропускной способности системы, а лишь уменьшает время реакции или задержку выполнения отдельных операций, что может косвенным образом привести к повышению производительности за счет сокращения конкуренции при управлении параллельным выполнением операций.
3.2 B-деревья, оптимизированные для записи

В дополнение к асинхронному вводу-выводу, эффективность операций записи может быть улучшена за счет динамического размещения содержимого на диске [G 04]. Этот эффект хорошо известен и интенсивно исследовался для файловых систем с журнальной структурой [OD 89], в частности, в контексте RAID-хранилищ [PGK 88]. Основная идея B-деревьев, оптимизированных для записи, состоит в выделении нового места на диске при каждой записи страницы на диск при выполнении операции записи, т.е. позже принятия решения менеджером буферов о замещении буфера. При этом новое место для страницы выделяется таким образом, что несколько параллельных операций записи нацеливается на одну и ту же область диска.

Чтобы избежать последующего обновления соседних страниц, традиционная цепочка страниц с использованием физических идентификаторов страниц заменяется логической цепочкой страниц с использованием разделительных ключей (separator key), т.е. каждая страница несет в качестве нижнего и верхнего барьеров разделительный ключ, копируемый в страницу родительского узла при отщеплении страницы от ее соседей. В дополнение к поддержке тех же проверок согласованности и других технических операций, что и те, которые поддерживаются традиционными физическими цепочками страниц, барьерные ключи упрощают и улучшают блокировку диапазонов значений ключа, поскольку никогда не требуется перемещаться к соседней листовой странице для нахождения правого значения ключа в диапазоне. После замены физических цепочек страниц логическими барьерными ключами физические идентификаторы страниц остаются только в указателях детей, и только их требуется изменять при перемещении узла на новое место на диске.

В традиционных алгоритмов B-деревьев новое место выделяется при принятии решения менеджером B-дерева о расщеплении узла, так что в последующих журнальных записях могут иметься ссылки на идентификатор этой страницы. В B-деревьях, оптимизированных для записи, новой странице дается временный идентификатор, который может использоваться в журнальных записях, и страница перемещается при выполнении операции записи, что очень напоминает перемещение страницы при выполнении дефрагментации B-дерева. Поэтому применяются испытанные механизмы управления параллельным выполнением операций и восстановления.

Воздействие на производительность B-деревьев, оптимизированных для записи, состоит в том, что случайные операции записи преобразуются в крупные последовательные операции записи, обеспечивающие повышение пропускной способности более чем в 10 раз ценой дополнительной поддержки родителя каждого узла при каждой его записи на новое место на диске.
4. Буферизация вставок

Имеется несколько способов буферизации и группировки новых вставок с целью уменьшения частоты обновления каждого узла B-дерева, что, в свою очередь, приводит к уменьшению интенсивного дискового ввода-вывода, обменов с кэшем центрального процессора и т.д. При выполнении запросов приходится либо производить поиск в буферной структуре в дополнение к поиску в индексе B-дерева, либо втискивать все или некоторые буферные запись в индекс B-дерева.

Для корректного транзакционного выполнения требуется журнализировать и вставки, и удаления в буфере; поэтому объем журнала может превосходить объем традиционного журнала более чем в три раза. Однако пользовательской транзакцией является только исходная вставка в первый буфер, а все следующие перемещения записи могут быть системными транзакциями, которые можно фиксировать дешевым образом без выталкивания заключительной части журнала в стабильную память.
4.1 Буферизация в пределах блоков дерева

Некоторые исследователи анализировали структуры данных и алгоритмы, добавляющие большой буфер к каждому внутреннему узлу дерева [A 96, AHV 02, VSW 97]. Часто размер этого буфера превышает размер области, предназначенной для традиционных пар "ключ-указатель", не только потому, что каждая буферизованная новая запись больше пары "ключ-указатель", но также и потому, что число сохраняемых записей может быть больше числа пар "ключ-указатель". Когда буфер полностью заполняется, соответствующие записи выталкиваются в его ребенка с наибольшим числом сохраняемых записей.

Как кажется, записи должны удерживаться только для тех детей, которые не находятся непосредственно в буфере ввода-вывода. На основе того, что в большинстве B-деревьев имеется не менее ста ветвей, что в большинстве серверов баз данных размер памяти превосходит 1% размера диска, и что обсуждаемые здесь B-деревья являются наиболее активно используемыми и критически влияющими на производительность индексами внутри базы данных, можно заключить, что такая буферизация применима только к узлам, являющимся непосредственными предками листьев. Другими словами, могут быть возможны дополнительные усовершенствования опубликованных методов, позволяющие буферизовать узлы всех уровней B-дерева.
4.2 Буферизация в отдельных структурах

Альтернативой буферизации вставок в узлах дерева является создание отдельной структуры данных для буферизации новых вставок [LJB 95, MOP 00, OCG 96]. Эта структура данных может быть еще одним B-деревом или может представлять другую разновидность структуры данных в основной памяти, например, хэш-таблицу. На самом деле, она может являться и набором структур данных, образующих иерархию или каскад областей хранения. Интересно, что эта организация напоминает обе организации, предлагавшиеся сборку мусора по поколениям [U 84].

Использование новых структур предполагает наличие новых механизмов для управления параллельным выполнением операций и восстановления. Таким образом, предпочтительным механизмом была бы уже реализованная индексная структура. В противном случае для новых моделей или протоколов блокировки потребуются доказательства корректности, реализация, тестирование и т.д. Возможно, в наиболее желательной реализации должны избегаться и отдельные структуры, и модификации существующих структур, а вместо этого существующие механизмы должны использоваться другим образом.
4.3 Буферизация в разделах B-дерева

В одной из работ, мотивируемой желанием избежать кодирования частных случаев, используется основное B-дерево как собственная буферная структура данных за счет введения разделов внутри каждого B-дерева [G 03a]. За счет введения искусственного лидирующего столбца ключа сохраняется традиционная структура B-дерева. "Основное" B-дерево определяется общим значением искусственного лидирующего столбца ключа, скажем, 0 или null, а один или более буферов определяются другими значениями этого столбца, скажем, 1, 2 и т.д.

Традиционное управление буферами вместе с ограничениями на размер заново добавленных разделов обеспечивают, что вставки данных пользовательскими транзакциями могут полностью происходить в основной памяти. В предельном случае разделы новых вставок могут состоять из одной записи, т.е. каждая вставка определяет новый раздел и, таким образом, может выполняться практически без поиска или реорганизации страницы внутри B-дерева. Таким образом, максимизируется скорость вставок и пропускная способность пользовательских транзакций за счет потребности больших усилий для оптимизации и реорганизации индекса.

При выполнении запросов требуется производить поиск в каждом разделе с использованием традиционных методов, ограничивающих значения некоторых столбцов индекса, за исключением лидирующего [LJB 95], которые, возможно, дополняются оптимизацией на основе того факта, что в качестве идентификаторов разделов используются последовательные целые значения. В качестве альтернативы, при выполнении запросов могут возникать некоторые слияния, выполняемые до реальной выборки данных и реализуемые с использованием системных транзакций. Таким образом, работа по поддержке B-дерева, традиционно выполняемая как часть операций обновления, перемещается в состав операций запросов или реорганизации, которая может случаться в любое время между вставкой и запросом. В крайнем случае, запрос может привести к полному слиянию и оптимизации всех разделов за исключением, может быть, одного раздела, предназначенного для текущих вставок.

Некоторые интересные аспекты таких B-деревьев состоят в том, что

1. операция реорганизации, которая объединяет несколько разделов в один раздел, очень похожа на шаг слияния в традиционной внешней сортировке со слиянием;
2. такие операции слияния могут выполняться как системные транзакции и фиксировать каждый раз очень небольшой диапазон ключей;
3. такие операции слияния и реорганизации могут приостанавливаться и возобновляться в любое время, если возникают периоды пиковой нагрузки;
4. тот же метод может способствовать выполнению массовых удалений, т.е. удаляемые элементы B-дерева перемещаются небольшими системными транзакциями в выделенный раздел, а затем удаляются в одной из быстрых пользовательских транзакций, которая вырезает из B-дерева несколько полных страниц.

4.4 Плавное снижение эффективности

Помимо общего повышения производительности, буферизованные вставки обеспечивают плавное снижение эффективности в случае ошибочных оценок мощности в ходе оптимизации запросов. Сегодня при оптимизации запросов можно выбирать между обработкой операций обновления в режиме "строка-за-строкой" и обработкой в режиме "индекс-за-индексом". При выполнении операции обновления в режиме "строка-за-строкой" обновление всех нужных индексов производится сразу после обновления очередной строки. Обновление в режиме "индекс-за-индексом" означает, что к каждому индексу сразу применяются все обновления, возможно, после расщепления каждой операции модификации на соответствующую пару операций удаления и вставки, сортировки изменений по значениям ключа индекса и рекомбинирования изменений, если это оказывается уместным. Обобщенная версия методов, описанных в [GKK 01], реализуется Microsoft SQL Server, начиная с выпуска 7.0. Обновления в режиме "строка-за-строкой" наиболее уместны для небольших изменений, например, при оперативной обработке транзакций, в обновления в режиме "индекс-за-индексом" являются более эффективными для крупных обновлений, в особенности таких, которые затрагивают не только листовые страницы индексов, например, массовых вставок или удалений. Для обеспечения плавного снижения эффективности план выполнения может предписывать обработку обновления в режиме "строка-за-строкой" при ожидаемом небольшом множестве обновлений, а при реальном выполнении можно обнаружить, что множество обновлений является гораздо более крупным, и переключиться на режим выполнения "индекс-за-индексом".

Описанные выше буферизованные вставки с использованием разделенных B-деревьев представляют собой третий способ применению обновлений к индексу на основе B-дерева, и тем самым обеспечивают еще один вариант плавного снижения эффективности. Обработка в режиме "строка-за-строкой", нацеленная на новый раздел, сулит лучшие модель ввода/вывода и производительность, чем те, которые обеспечиваются при обработке в режиме индекс-за-индексом, хотя при этом сохраняется недостаток неоптимальности индексов. Для обеспечения плавного снижения эффективности план выполнения операции обновления может предусматривать выполнение обновления в режиме "строка-за-строкой" в главном разделе до тех пор, пока не выяснится реальный размер множества обновлений, а затем переключение на буферизованные или разделенные обновления. Хотя можно реализовать плавное снижение эффективности путем смены режима "строка-за-строкой" на режим "индекс-за-индексом" с использованием условного выполнения в традиционном плане выполнения запроса, назначение индексным изменениям нового идентификатора раздела (искусственного лидирующего столбца ключа) является гораздо более простым действием и содействует повышению эффективности обновлений.
5. Дифференциальные файлы и индексы

Хотя методы, обсуждавшиеся в предыдущем разделе, пригодны для буферизации вставок, они не позволяют буферизовать другие операции обновления, т.е. модификации и удаления. Однако, эти методы можно расширить путем адаптации к B-деревьям идей из области дифференциальных файлов [SL 76]. Интересно, что некоторые адаптации B-деревьев для версионного управления параллельным выполнением операций и для исторических индексов являются очень похожими, включая логику, требуемую в течение обработки запросов.

Основной подход состоит в добавлении записей, которые делают недействительными предыдущие записи, без реального изменения этих предыдущих записей. При обновлении новая запись замещает предыдущий элемент B-дерева с тем же ключом. При удалении заново добавляемая запись просто указывает на конец истории данного ключа, или, по крайней мере, на конец истории до тех пор, пока впоследствии не произойдет новая вставка с тем же ключом.

При выполнении запросов требуется искать в истории каждого конкретного ключа либо его текущее состояние (при традиционной семантике запросов), либо состояние в заданное время (при обработке исторических запросов, привязанных к точке во времени). Историю ключей можно уплотнять с помощью операций слияния, в зависимости от желательных возможностей будущих запросов.

Другими словами, подобно буферизованным вставкам, буферизованные модификации и удаления в дифференциальных B-деревьях жертвуют эффективностью запросов в пользу эффективности обновлений. Преобразование случайных вставок, удалений и модификаций по одной записи в операции добавления с использованием крупных последовательных операций записи обещает повышение пропускной способности обработки обновлений на два порядка.

Конечно, имеется также взаимосвязь между дифференциальными файлами и реализацией версионной изоляции на основе мгновенных снимков (multi-version snapshot isolation). Однако основное различие состоит в том, что в дифференциальных файлах сохраняется самая старая версия плюс набор "дельт" в прямом времени, а реализации версионной изоляции на основе мгновенных снимков обычно ориентированы на обеспечение доступа к наиболее свежим версиям, т.е. в них обычно сохраняется наиболее свежая версия плюс набор "дельт" в обратном времени.
6. Гарантии транзакций

Еще одна возможность улучшения производительности может основываться на ослаблении транзакционных гарантий для некоторых индексов, в частности, для избыточных некластеризованных индексов. Мы рассмотрим три метода: ослабление разделения индивидуальных транзакций за счет пакетирования; ослабление гарантий в случае системных сбоев; запись изменений только в журнал транзакции без попыток их применения к индексу с неявной опасностью того, что попытка применения таких изменений в более позднее время может закончиться неудачей. Очевидно, что эти методы применимы только в тех случаях, когда оставшиеся транзакционные гарантии являются достаточно строгими для имеющихся приложений.
6.1 Операции только над журналом

Если операции поддержки индекса не могут справиться с потоком обновлений, может быть, их удастся хотя бы зарегистрировать в журнале транзакций. В этом случае можно было бы помещать в журнал транзакции логические записи redo и впоследствии их применять, используя, по существу, восстановление redo (восстановление с повторным выполнением операций). Конечно, этот процесс нарушает несколько традиционных предположений о журнализации, например, что операции redo - это всегда физические операции, которые уже совершились, что операции r edo не могут заканчиваться неудачно и т.д. Однако в зависимости от приложения такие сбойные ситуации могли бы не являться катастрофой, и их можно было бы игнорировать, например, вполне допустимы ситуации, когда в приложении отслеживания движущихся средств некоторые отдельные отчеты о местоположении не могут быть записаны в исторический индекс. Ясно, что эту идею можно было бы применить, но ее детали требуют проработки, например, что сулит и гарантирует фиксация транзакции, как работают контрольные точки и что они гарантируют и т.д.
6.2 B-деревья без журнализации

В некоторых системах баз данных при создании индексов используются специальные методы, препятствующие появлению содержимого нового индекса в журнале транзакции. Вместо этого журнализуются только изменения каталога и выделение страниц. Сбой в процессе создания индекса приводит к возврату этих страниц и подчистке информации о новом индексе в каталоге. Создание индекса заканчивается сбросом на диск всех заново выделенных и заполненных страниц и последующими операциями резервного копирования базы данных и даже журнала транзакций, удерживающего информацию об этих новых страницах. Последующие пользовательские транзакции журнализуют свои изменения в новом индексе обычным образом.

Эту идею можно расширить следующим образом. Если индекс является действительно избыточным, подобно традиционному кэшу, и если допустимо разрушение индекса в течение восстановления носителя данных или системы, то все операции над этим индексом могут не журнализоваться, т.е. журнализуется только распределение памяти. Это включает и пользовательские транзакции, выполняемые после завершения создания индекса. Откат пользовательской транзакции управляется виртуальными журнальными записями, подсоединенными к описателю транзакции в основной памяти, аналогично виртуальным журнальным записям, которые используются в других методах управления транзакциями [G 04, GK 85]. Детали этого метода в настоящее время не опубликованы, но для некоторых приложений этот метод кажется вполне обещающим, в частности, для временных кэшей и индексов, существующих только в основной памяти.
6.3 Пакетные обновления

Наконец, можно группировать несколько операций обновления и транзакций в одну транзакцию. Однако кажется важным отделять семантику транзакций от структуры данных. Например, как описывалось выше, много небольших пользовательских транзакций могут производить вставки в один буфер, оставляя на последующую системную транзакцию (или последовательность небольших системных транзакций) работу по вливанию этих вставок в основное B-дерево. Другими словами, для достижения делаемого улучшения производительности и масштабируемости может не требоваться или не быть полезным модификация или ослабление границ и семантики пользовательских транзакций.
7. Резюме и заключение

Таким образом, если согласиться с ухудшением производительности при обработке запросов на порядок, например, за счет поиска в нескольких разделах, то производительность операций обновления и вставки можно поднять не менее чем на два порядка, например, путем преобразования операций вставки в операции дополнения и преобразования случайных одиночных записей в крупные последовательные записи в заново выделяемое дисковое пространство. Имеются и менее драматические компромиссы. Хотя в большинстве приложений выполняется больше запросов, чем операций обновления, и это приводит к организации базы данных, ориентированной на оптимизацию запросов, некоторые приложения (например, отслеживание движущихся объектов) больше заняты записью изменений, чем предоставлением ответов на запросы (например, о текущей позиции объекта). Для таких приложений уже имеются многочисленные методы, которые осталось реализовать поставщикам баз данных. Некоторые из этих методов доступны даже для пользователей баз данных, например, введение искусственного лидирующего столбца ключа в видимой схеме базы данных и использование его для создания индекса и, возможно, для его поддержки при выполнении массовых операций [G 03b].

В этом обзоре мы старались перечислить разнообразные возможные методы. Новые методы включают B-деревья, оптимизированные для записи, разделяемые B-деревья, в которых разделы используются для буферизации вставок или всех модификаций в манере дифференциальных файлов, и B-деревья без журнализации. Однако наша интуитивная оценка нуждается в подтверждении с использованием прототипирования или даже производственной реализации.

Очевидно наличие многочисленных открытых вопросов, включая вопрос о дополнительных или улучшенных компромиссах между эффективностью обновлений и запросов; сравнение эффективности описанных методов на основе подходящего тестового набора; адаптация описанных методов для других индексных структур, таких как UB-деревья и R-деревья, а также материализованные и индексные представления; интеграция обработки запросов и операций обновления с операциями поддержки базы данных, такими как проверка согласованности, дефрагментация и обновление статистики для оптимизации запросов. Может быть, этот обзор послужит стимулированию и структуризации таких исследований.
8. Благодарности

Тео Хардер (Theo Härder) и Берндхард Митшанг (Bernhard Mitschang) читали предварительные, неполные варианты статьи и сделали несколько очень полезных замечаний.
9. Литература

[A 96] Lars Arge: Efficient External-Memory Data Structures and Applications. University of Aarhus (Denmark), 1996. http://www.brics.dk/DS/96/3/BRICS-DS-96-3.pdf
[ADR 03] Dave Anderson, Jim Dykes, Erik Riedel: More Than an Interface - SCSI vs. ATA. Conference on File and Storage Technology (FAST), March 2003. http://www.seagate.com/content/docs/pdf/whitepaper/ D2c_More_than_Interface_ATA_vs_SCSI_042003.pdf
[AHV 02] Lars Arge, Klaus Hinrichs, Jan Vahrenhold, Jeffrey Scott Vitter: . Algorithmica 33(1): 104-128 (2002). http://www.cs.duke.edu/~jsv/Papers/AHV99.bulk.pdf
[G 03a] Goetz Graefe: Sorting and Indexing with Partitioned B-Trees. Conference on Innovative Data Systems Research, 2003. http://www-db.cs.wisc.edu/cidr/cidr2003/program/p1.pdf
[G 03b] Goetz Graefe: Partitioned B-trees - a user's guide. Datenbanksysteme f?r Business, Technologie und Web (BTW) 2003: 668-671. http://doesen0.informatik.uni-leipzig.de/proceedings/paper/IP11.pdf
[G 04] Goetz Graefe: Write-Optimized B-Trees. VLDB Conference 2004: 672-683. http://www.vldb.org/conf/2004/RS18P2.PDF
[GK 85] Dieter Gawlick, David Kinkade: Varieties of Concurrency Control in IMS/VS Fast Path. IEEE Data Eng. Bulletin 8(2): 3-10 (1985).
[GKK 01] Andreas G?rtner, Alfons Kemper, Donald Kossmann, Bernhard Zeller: Efficient Bulk Deletes in Relational Databases. IEEE ICDE 2001: 183-192. http://www.hpl.hp.com/techreports/tandem/TR-85.6.pdf
[JNS 97] H. V. Jagadish, P. P. S. Narayan, S. Seshadri, S. Sudarshan, Rama Kanneganti: Incremental Organization for Data Recording and Warehousing. VLDB Conference 1997: 16-25 http://www.vldb.org/conf/1997/P016.PDF
[LJB 95] Harry Leslie, Rohit Jain, Dave Birdsall, Hedieh Yaghmai: Efficient Search of Multi-Dimensional B-Trees. VLDB Conference 1995: 710-719. http://www.vldb.org/conf/1995/P710.PDF
[MOP 00] Peter Muth, Patrick E. O'Neil, Achim Pick, Gerhard Weikum: The LHAM Log-Structured History Data Access Method. VLDB J. 8(3-4): 199-221 (2000). http://www.cs.umb.edu/~poneil/LHVLDBJ.pdf
[OCG 96] Patrick E. O'Neil, Edward Cheng, Dieter Gawlick, Elizabeth J. O'Neil: The Log-Structured Merge-Tree (LSM-Tree). Acta Inf. 33(4): 351-385 (1996). http://www.cs.umb.edu/~poneil/lsmtree.ps
[OD 89] John K. Ousterhout, Fred Douglis: Beating the I/O Bottleneck: A Case for Log-Structured File Systems. Operating Systems Review 23(1): 11-28 (1989). http://www.ugrad.cs.ubc.ca/~cs415/X/Info/papers-2003/ousterhout88beating.ps
[PGK 88] David A. Patterson, Garth A. Gibson, Randy H. Katz: A Case for Redundant Arrays of Inexpensive Disks (RAID). ACM SIGMOD Conference 1988: 109-116. http://www.cs.cmu.edu/~garth/RAIDpaper/Patterson88.pdf
[SL 76] Dennis G. Severance, Guy M. Lohman: Differential Files: Their Application to the Maintenance of Large Databases. ACM Trans. Database Syst. 1(3): 256-267 (1976).
[U 84] David Ungar: Generation Scavenging: A Non-Disruptive High Performance Storage Reclamation Algorithm. Software Development Environments (SDE), ACM SIGPLAN Notices 19(5): 157-167 (1984).
[VSW 97] Jochen Van den Bercken, Bernhard Seeger, Peter Widmayer: A Generic Approach to Bulk Loading Multidimensional Index Structures. VLDB Conference 1997: 406-415. http://www.vldb.org/conf/1997/P406.PDF
[WKH 00] Till Westmann, Donald Kossmann, Sven Helmer, Guido Moerkotte: The Implementation and Performance of Compressed Databases. ACM SIGMOD Record 29(3): 55-67 (2000). http://www.dbis.ethz.ch/research/publications/sigrec00.pdf

Советы по первичной настройке FreeBSD для новичков"

2009-10-12T00:06:00.000-07:00

www.interface.ru

Идея этой статьи возникла в тот момент, когда я впервые установил FreeBSD 6.1. Ситуация была такова, что я сидел перед компьютером, глядя на черный экран и не понимая, что же вообще делать. Наверное, со стороны смотрелось забавно… Данный материал будет точнее характеризовать как не статью, а мануал из разряда "Заметки начинающего пользователя". Соответственно, и ориентирован он на начинающих пользователей, которые, как и я в свое время, не знают, что и как им делать в новой операционной системе.

Примечания:

Я не буду подробно расписывать то, что у вас будет написано на экране. Там обо всем сообщают на английском, а его почти все знают. Если вы не знаете - вооружитесь словариком.
Я не претендую на звание "Автор года" - я просто хочу кому-нибудь помочь. Не знаю, помогу ли, но так я не буду чувствовать себя ненужным.
Вместо слов "От рута" или "С правами суперпользователя" я буду ставить символ "#" перед командой. В случаях, где стоит "$", эти прав не нужны.

1) Пользователи и права

Если вы не забыли добавить пользователя в процессе установки, то можете сразу перейти к пункту "б)".

а) Чтобы не рисковать, постоянно находится в системе под root'ом не рекомендуется, ибо малейшая оплошность может привести к серьезным последствиям. Для этого существуют пользовательские учетные записи, с которыми и надлежит работать. Если же у вас появляется необходимость, например, изменить какой-нибудь системный конфигурационный файл, существует команда su, которая (после ввода пароля от root) предоставляет права суперпользователя для текущего терминала.

Итак, чтобы создать пользователя, существует несколько вариантов. Мы остановимся на двух самых простых: через меню sysinstall и через команду adduser.

Первый способ:

# sysinstall
-> Configure -> User management -> User.

Все просто: заполняем стандартную форму (имя, пароль, реальное имя, адрес домашнего каталога, группа). (Чтобы пропустить выполнение пункта "б)", можно в поле "Group" вписать wheel, хотя перед этим рекомендуется почитать, к чему это приводит.)

Второй способ:

# adduser

Далее предстоит ответить на несколько вопросов системы. Тоже все просто.

б) Группа wheel дает вам возможность выполнять команды от имени суперпользователя (root). Это сделано для того, чтобы ускорить выполнение этих самых команд: в такой случае не нужно каждый раз начинать новый сеанс, а достаточно воспользоваться командой su примерно так:

$ su Password: # ls

Как вы понимаете, последняя команда (ls) выполняется уже с правами суперпользователя.
Чтобы получить доступ к выполнению этой команд,ы достаточно включить себя в группу wheel. Делается это редактированием файла /etc/group:

# ee /etc/group

Откроется стандартный текстовый редактор ee, в первой строке (возможно, и не в первой) будет запись:

wheel:*:0:root

Ставим запятую после слова root и вписываем имя нашего пользователя. Например, так (для пользователя joe):

wheel:*:0:root,joe

Теперь заходим в систему под своим именем и больше никогда не входим с логином root.

2) Настройка и запуск иксов (X-сервера X.Org)

Тут тоже ничего сложного нет. Единственная проблема в том, что в процессе установки FreeBSD Xorg не конфигурируется. Поэтому нам предстоит это сделать самим. Итак:

# Xorg -configure

Запускается конфигурационный скрипт. Он создаст файл xorg.conf.new и сохранит его в каталоге /root.

# Xorg -configure ~/xorg.conf.new

Проверяется конфигурация из нового сгенерированного файла (/root/xorg.conf.new). Если все правильно, появится серый экран и курсор мыши (крестик). Нажимаем комбинацию клавиш ++ ("экстренное" завершение работы X-сервера).

# cp ~/xorg.conf.new /etc/X11/xorg.conf

Новый конфигурационный файл копируется на место стандартного системного конфига Xorg.

Теперь надо определить менеджер окон по умолчанию. Это делается просто: создается файл .xinitrc в домашнем каталоге пользователя (для которого и определяется оконный менеджер по умолчанию) и в него помещается строку вида exec <запускающий_скрипт>.

Например, для текущего пользователя определение KDE как оконного менеджера по умолчанию делается так:

$ echo "exec startkde">~/.xinitrc

Теперь можно выполнить команду startx и оказаться в графической оболочке.

3) Локализация (русификация системы)

Многие считают, для русификации Linux достаточно поставить пакет локализации используемого оконного менеджера, но на самом деле это, конечно, не так. Далее я приведу порядок действий для локализации FreeBSD в CP1251. Это стандартная кодировка, используемая в операционной системе Windows. У меня на компьютере FreeBSD и Linux установлена и Windows XP, поэтому, чтобы они все друг друга "понимали", все приводится в CP1251 (строго говоря, это вовсе не обязательное условие для организации такого "понимания" - прим. Д. Шурупова) . К тому же, нет проблем, например, с тегами .mp3-файлов, записанных в Windows.

Редактируем /etc/login.conf:

russian/Russian Users Accounts:
 :charset=CP1251:
 :lang=ru_RU.CP1251:
 :tc=default:

Далее исправляем конфигурационные файлы используемых командных оболочек.
Для bash (Bourne-Shell) в файл /etc/profile вписываем:

 LANG=ru_RU.CP1251; export LANG
 LC_ALL=ru_RU.CP1251; export LC_ALL
 MM_CHARSET=CP1251; export MM_CHARSET

Для csh (или tcsh) в файл /etc/csh.login вписываем:

 setenv LANG ru_RU.CP1251
 setenv MM_CHARSET CP1251

Для того, чтобы не только читать, но и писать в CP1251, качаем 2 файла: ru.cp1251.kbd и win2cpp866.scm. Первый копируем в /usr/share/syscons/keymaps/, второй - в /usr/share/syscons/scrnmaps/.

Теперь в /etc/rc.conf пишем:

 keymap=ru.cp1251
 scrnmap="win2cpp866"
 font8x16=cp866-8x16
 font8x14=cp866-8x14
 font8x8=cp866-8x8

После запуска KDE устанавливаем стандартные Windows-шрифты через центр управления KDE.

Windows-разделы жесткого диска (FAT32) легко монтируются после редактирования файла /etc/fstab. В него необходимо добавить строку вида:

/dev/ad1s1 /mnt/win_d msdosfs rw,auto,-DCP866,-Lru_RU.CP1251 0 0

Где /dev/ad1s1 - имя устройства нужного раздела жесткого диска, /mnt/win_d - точка монтирования (где будет доступен этот раздел жесткого диска после монтирования), msdosfs - тип файловой системы.

4) Настройка звука

Для начала рекомендую посетить http://www.freebsd.org/releases/6.2R/hardware-i386.html - на этой странице можно найти информацию обо всем поддерживаемом оборудовании на данный момент. Как не трудно догадаться, нужно найти свою аудиокарту и запомнить имя драйвера для нее.

После этого в файл /boot/loader.conf нужно добавить строку типа:

snd_cmi_load="YES"

Где вместо snd_cmi нужно указать название своего драйвера. После перезагрузки в системе появится звук.

5) Рихтовка xorg.conf

а) Возможно, колесо мышки (скролл) не будет работать. В этом случае необходимо открыть конфигурационный файл Xorg (/etc/X11/xorg.conf), найти секцию мышки и привести ее примерно к следующему виду:

Section "InputDevice"
 Identifier  "Mouse0"
 Driver      "mouse"
 Option     "Protocol" "auto"
 Option     "Device" "/dev/sysmouse"
 Option     "ZAxisMapping" "4 5 6 7"
EndSection

Моя оптическая беспроводная мышь от Logitech работает отлично.

б) Раскладки клавиатуры и параметры переключения редактируются там же, только в секции клавиатуры:

Section "InputDevice"
 Identifier "Keyboard0"
 Driver  "kbd"
 Option  "XkbModel" "pc105"
 Option  "XkbLayout" "us,ru(winkeys)"
 Option  "XkbRules" "xorg"
 OPtion  "XkbOptions" "grp:ctrl_shift_toggle,grp_led:scroll" 
EndSection

В данном примере представлено переключение по + и включение индикатора Scroll Lock, когда активирована русская раскладка.

6) Установка программ

В FreeBSD предусмотрено 3 основных типа установки нового программного обеспечения.

Из исходников.
Нужно скачать архив (вероятно, им будет тарболл, т.е. файлы типа *.tar, *.tar.gz или *.tar.bz2) и распаковать его (для .tar: tar xvf xxx.tar; для .tar.gz: tar xzvf xxx.tar.gz; для .tar.bz2: tar xjvf xxx.tar.bz2). После этого установка вкратце выполняется так:

$ ./configure $ make # make install

(Последнюю операцию, как видно, необходимо выполнять с правами root.)
Из пакетов.
Для работы с ними используются программы pkg_add, pkg_delete и pkg_info. Пакеты доступны на FTP-сервере FreeBSD (ftp://freebsd.org/). Программы работают так:

# pkg_add <имя_пакета>
- устанавливает пакет.

# pkg_delete <имя_пакета>
- удаляет установленный пакет из системы.

# pkg_info <имя_пакета>
- выводит информацию об установленном пакете.
Из портов.
Коллекция портов FreeBSD может быть установлена во время инсталляции системы или в любое время с помощью команды sysinstall. Для портов используется несколько источников их получения (например: FTP-сервер, привод CD-ROM и т.д). Разумеется, предпочтительным вариантом является FTP, но это не всегда возможно. По умолчанию порты ставятся в /usr/ports. Чтобы найти нужное приложение, достаточно выполнить специально предусмотренный поиск:

$ cd /usr/ports $ make search name=<имя_приложения>

В этом случае программа даст вам расположение и название каталога искомого пакета, а также информацию о том, что надо, чтобы его установить (зависимости). Если в процессе установки чего-то не будет хватать, программа сама поставит все, что ей надо.

Итак, допустим, мы устанавливаем nmap:
```
$ cd /usr/ports
$ make search name=nmap
Port:   nmap-4.11
Path:   /usr/ports/security/nmap
Info:   Port scanning utility for large networks
Maint:  daniel@roe.ch
B-deps: gettext-0.14.5_2 gmake-3.81_1 libiconv-1.9.2_2 pcre-6.7
R-deps: pcre-6.7
WWW:    http://www.insecure.org/nmap/
$ cd security/nmap
# make install clean
```
Вот и все. Спустя 10 минут я получил в свое распоряжение готовую рабочую программу.

Ubuntu WiMAX, WiFi И конечно же моя Lenovo S10-2

2009-09-28T03:50:00.001-07:00

В обще опять я мучал свой бук. Результат это корректировки мануалов по WiMAX и WiFi.

И так имеем, Ubuntu 9.04 Ядро 2.6.28-15 (после всех обновлений).

Стартуем WiFi
Стартуем WiMAX

Все...

з.ы. Ищу инструкцию по прикручиванию Переключения WiMAX|WiFi в NetworkManager'е

Суждения об информационной безопасности мудреца и учителя Инь Фу Во, записанные его учениками

2009-09-20T21:39:00.000-07:00

Николай Николаевич Федотов,
главный аналитик компании InfoWatch;
fnn@fnn.ru
Суждения об информационной безопасности мудреца и учителя Инь Фу Во[1], записанные его учениками

Глава 1. О работниках

1.1
Однажды Сисадмин пожаловался Учителю:
– Мы выдали всем нашим пользователям индивидуальные пароли, а они не желают хранить их в тайне. Записывают на листочках и приклеивают к мониторам. Что нам делать? Как заставить их?
Инь Фу Во спросил:
– Сначала скажи, почему они это делают.
Сисадмин подумал и ответил:
– Может быть, они не считают пароль ценным?
– А разве пароль сам по себе ценный?
– Не сам по себе. Ценна информация, которая под паролем.
– Для кого она ценна?
– Для нашего предприятия.
– А для пользователей?
– Для пользователей, видимо, нет.
– Так и есть, – сказал Учитель. – Под паролем нет ничего ценного для наших работников. Надо, чтоб было.
– Что для них ценно? – спросил Сисадмин.
– Догадайся с трёх раз, – рассмеялся Учитель.
Сисадмин ушёл просветлённый и сделал на корпоративном портале персональные странички для всех работников. И на тех страничках был указан размер зарплаты. Узнав об этом, все пользователи забеспокоились о своих паролях. На другой день в курилке обсуждали размер зарплаты Главбуха. На третий день ни у кого не было видно листочков с паролями.

1.2
Однажды Сисадмин пожаловался Учителю:
– Наш Техдиректор не хочет выполнять требования безопасности. Всем положено иметь антивирус, а он не ставит. Как на него повлиять?
– Попробуй его убедить, – сказал Инь Фу Во.
Сисадмин ушёл убеждать, но вскоре вернулся разочарованным:
– Я не смог убедить его, Учитель.
– Почему так случилось? – спросил Инь Фу Во и сразу же заметил. – Но только ответь честно, без пристрастия и обиды.
Сисадмин подумал, опустил глаза и тихо сказал:
– Наверное потому, что он знает об информационной безопасности больше меня.
– Ну, если Техдиректор знает больше тебя, что совсем не удивительно, – заметил Учитель, – то ему виднее, где нужен антивирус, а где нет.
– А как же тогда Политика безопасности! – воскликнул Сисадмин.
– А кто писал эту Политику?
Сисадмин потупился и сказал:
– Я.
Учитель мудро промолчал, и Сисадмин ушёл просветлённый.

1.3
Однажды в курилке пользователи стали возмущаться, что Сисадмин закрыл всем доступ на сайт "Одноклассники". Инь Фу Во услышал об этом и нахмурился.
– Почему ты закрыл людям доступ? – спросил он у Сисадмина, когда они после перекура пили кофе.
– Потому что такие сайты не нужны для работы.
– А курить нужно для работы?
– Вообще-то нет...
– А кофе пить?
– Ну...
– Ну тогда, – сказал Учитель, – открой людям доступ.

1.4
Однажды Сисадмин захотел установить в локальной сети сканер безопасности.
Инь Фу Во сказал:
– Не делай этого.
– Но почему?
– В нашей сети сто компьютеров. Сканер найдёт тебе по две-три уязвимости на каждом из них.
– Ну, да, найдёт...
– А что ты будешь делать с этими уязвимостями?
Сисадмин задумался и ничего не ответил Учителю. Сканер безопасности он не поставил.

1.5
Однажды Сисадмин пожаловался Учителю:
– Антивирус не помогает. Установлен на всех рабочих станциях и обновляется дважды в день. А всё равно каждую неделю кто-то заражается и теряет данные.
Инь Фу Во с сожалением покачал головой.
– Надо что-то делать, – продолжал Сисадмин.
Учитель слегка покивал. Сисадмин спросил:
– Что лучше: поставить всем новый многоядерный антивирус или поднять централизованную систему бэкапа?
Инь Фу Во ответил:
– Проведи курсы для пользователей.

1.6
Однажды Директор решил взять на работу Эникейщика. Инь Фу Во нашёл кандидата, поговорил с ним и остался доволен. Он сказал Директору:
– Этот человек обратил свои помыслы к учёбе. Возможно, из него получится достойный работник.
Но начальник службы безопасности стал возражать:
– У этого человека была судимость. Его нельзя брать на службу.
Тогда Инь Фу Во спросил:
– Как вы узнали об этом?
– У меня есть связи.
Почтенный Инь помрачнел лицом и сказал Директору:
– Какой из двух работников более добродетельный? Первый совершил преступление и понёс заслуженное наказание, которое могло его вразумить. Второй совершил преступление сам, подбил на совершение преступления государственного служащего, при этом не чувствует за собой вины и никогда не понесёт наказания? Какой из этих двух достоин выдвижения?
Начальник службы безопасности молча встал и вышел.

1.7
Однажды Директор спросил Инь Фу Во про защиту от внутренних угроз. Тот сказал:
– Во внешнем мире есть сто человек, которые хотели бы заполучить конфиденциальную информацию из вашей сети. И есть пять, которые способны это сделать. Но эти сто вряд ли встретятся с этими пятью.
Ещё Учитель сказал:
– А в вашей внутренней сети есть пять пользователей, которые хотели бы заполучить конфиденциальную информацию. И есть сто, которые могут это сделать. И они уже встретились.

1.8
Однажды Директор пришёл к защитнику Иню за советом. Директор сказал:
– Я хотел бы заставить всех пользователей соблюдать строгие правила безопасности. Но тогда они обидятся на меня и станут хуже работать. Я хотел бы дать пользователям полную свободу. Но тогда они нахватают вирусов, разгласят конфиденциальную информацию, и наш бизнес пострадает. Как мне найти золотую середину?
Инь Фу Во ответил:
– Высота забора равна высоте самого низкого участка. Прочность цепи равна прочности слабейшего звена. Заставь самых нерадивых из пользователей соблюдать те правила безопасности, которые без принуждения соблюдают все остальные.
– Как просто! – воскликнул Директор и ушёл просветлённый.

1.9
Директор спросил почтенного Иня:
– Мне предлагают купить систему защиты от несанкционированного доступа. Стоит ли она денег, которые за неё просят?
Инь Фу Во в ответ спросил:
– Сколько у вас было случаев несанкционированного доступа за последние три года?
– Ни одного, – ответил Директор.
– А сколько ноутбуков и флэшек потеряли ваши работники за это время?
– Два ноутбука, – ответил Директор, – а флэшки никто не считал.
– Почему бы вместо этого не купить систему для шифрования информации на ноутбуках и флэшках? – сказал Инь Фу Во.

1.10
Однажды Директор спросил почтенного защитника Иня про защиту от внутренних угроз. Тот сказал:
– Внутренний враг бывает злонамеренный и неосторожный. Неосторожный враг подобен каплям дождя, что многочисленны и летят по воле ветра. От дождя легко заслониться зонтом. Злонамеренный враг подобен комару, который кусает в незащищённое место. Заслониться от него зонтом нельзя.
Директор ещё спросил:
– А какой инсайдер хуже, злонамеренный или неосторожный?
Инь Фу Во ответил:
– Нельзя так ставить вопрос. Оба они хуже.

1.11
Как-то Сисадмин спросил:
– Учитель, не желаете ли красивую картинку для вашего десктопа? У меня есть коллекция "обоев для рабочего стола" со звёздным небом и моральным законом.
– Почему ты думаешь, что мой нынешний "wallpaper" хуже? – спросил в ответ Инь Фу Во.
– Я не знаю, какая у вас картинка сейчас. Я никогда не видел вашего десктопа. У вас всегда открыто множество окон.
– Я тоже его никогда не видел, – сказал почтенный Инь. – Я работаю.

1.12
Однажды младший бухгалтер Ли Чан принесла в дар Инь Фу Во кактус.
– Поставьте его возле вашего монитора, Учитель, – сказала она. – Этот кактус защитит вас от вредного излучения.
– Отнеси его Сисадмину, – сказал Инь Фу Во. – Мне кактус не поможет.
– Почему? – обиженно спросила Ли Чан.
– Для него нет драйвера под FreeBSD, – ответил Учитель.

1.13
Однажды в офис забрёл продавец китайских товаров. Он ходил по комнате и пытался каждому что-нибудь продать.
Инь Фу Во сказал Сисадмину:
– Ты всегда говоришь и пишешь в блоге, что спамеров нужно убивать. Смотри, это – спамер.
– Это не тот спамер, – пробормотал Сисадмин.
– Ты даже охрану не позовёшь? – ехидно спросил Учитель.
Сисадмин ничего не ответил. Он увлечённо долбил по клавиатуре.

1.14
Сисадмин спросил Учителя:
– В статье написано, что любое усиление безопасности снижает лояльность работников. Это правда?
Инь Фу Во ответил:
– На самом деле усиление безопасности снижает удобство. Снижение удобства повышает усталость. Повышение усталости снижает добросовестность. А снижение добросовестности работников – это и есть то, чего следует избегать.
– Тогда что же такое лояльность? – спросил Сисадмин.
– "Лояльность", – усмехнулся Инь Фу Во, – это японцы выдумали, чтоб денег не платить.

1.15
Однажды Сисадмин пожаловался Учителю:
– Наш Директор совершенно не разбирается в ИТ. Я не могу ему объяснить. И его указания всегда такие нелепые.
Инь Фу Во ответил:
– Это нормальный порядок вещей. Его забота – люди и деньги. Твоя забота – техника и программы. Вы разговариваете на разных языках.
Сисадмин согласился и спросил:
– Как нам изучить язык друг друга?
– Это почти невозможно, – сказал Учитель. – Для этого Директору пришлось бы несколько лет проработать сисадмином, но он не пожелает. Для этого тебе пришлось бы несколько лет проработать руководителем, но тебя не допустят.
– Как же понять друг друга тем, кто говорит на разных языках? – спросил Сисадмин.
Инь Фу Во ответил:
– Специально для этих целей создан промежуточный язык, доступный обоим. Имя ему – "ГОСТ-17799".
– Как просто! – воскликнул Сисадмин и ушёл просветлённый.

Глава 2. О шифровании

2.1
Однажды Сисадмин спросил почтенного защитника Иня:
– Учитель, почему вы не пользуетесь ЭЦП?
– У надёжных средств ЭЦП нет сертификата. У сертифицированных нет удобства. У удобных нет надёжности, – ответил Инь Фу Во.

2.2
Инь Фу Во два дня настраивал VPN-туннель для своего персонального компьютера. Когда туннель заработал, Инь уселся, почтительно повернувшись лицом к югу, и стал читать свою френдленту.
– О, Учитель, – спросил его Сисадмин, – я не могу понять, зачем вам VPN?
– Ты разве не знаешь, что в VPN-туннеле весь трафик шифруется? – удивился Инь.
– Знаю. Но ваш туннель терминируется на обычном сервере в стране западных варваров. А далее весь ваш яшмовый трафик идёт по Сети в открытом виде.
– Сети нет дела до моего трафика, чего не скажешь о провайдере, – ответил Учитель. Видя, что Сисадмин не понял, он добавил. – Вот, например, ты доверил свои деньги банку.
Сисадмин кивнул.
– Но ты не можешь доверить все свои деньги собственной супруге, – продолжал мудрый Инь. – Почему? Потому что она может посчитать эти деньги своими. А с банком такого не случится.
Просветлённый Сисадмин ушёл поднимать себе VPN-туннель.

2.3
Сисадмин спросил Инь Фу Во:
– Правда ли, что любой шифр можно сломать?
Учитель ответил:
– Можно. Но не "шифр", а систему из четырёх: алгоритм, реализация[2], окружение[3] и оператор.
Сисадмин ещё спросил:
– А что из этих четырёх самое непрочное?
– Стыки между ними, – ответил Учитель.

2.4
Однажды к почтенному защитнику Иню обратился Следователь. Он спросил:
– Учитель, вы сможете расшифровать криптоконтейнер PGPdisk без знания пароля?
– Не смогу, – ответил Инь Фу Во. – И никто другой не сможет.
– Тогда горе мне! – воскликнул Следователь. – Тогда у меня нет доказательств.
– Увидев запертый замок, обычный человек желает заглянуть внутрь. Но благородный муж знает, что самое ценное лежит не под замком, – сказал Учитель. – Что именно вы желаете доказать?
– Нарушение авторских прав на программы.
– Оставьте криптоконтейнер в покое, – ответил Учитель. – Свидетельских показаний будет более чем достаточно.

2.5
Инь Фу Во сказал:
– Шифрование – это обмен большого секрета на маленький секрет. Этот маленький должен помещаться в голове. Когда пароль в голове держится хуже, чем в компьютере, шифрование не приносит пользы.

2.6
Однажды Сисадмин и инженер Чжа Вынь почтительно приблизились к Учителю, и Сисадмин сказал:
– Мой единочаятель Вынь утверждает, что во всех обнародованных криптографических программах есть "чёрный ход", сделанный спецслужбами. А я полагаю, что это не так. Кто из нас прав?
Инь Фу Во ответил:
– С этого вопроса начинают свой путь все инженеры и все сисадмины. Тот, кто утвердил для себя ответ на него, навсегда остановился и не может следовать Дао. Однако и пренебрегать этим вопросом тоже было бы не верно.
Потом почтенный Инь продолжил:
– У северных варваров есть такая легенда. Грозный и мудрый Тигр, царь зверей повелел Лису построить утиную ферму. Глупый Лис при строительстве сделал для себя тайный ход, чтобы воровать государственных уток. И, конечно же, сразу попался. Тигр велел казнить обманщика и таким образом сэкономил деньги на строительство. Не думай, драгоценный Вынь, что спецслужбы подобны глупому Лису. Но и ты – отнюдь не мудрый Тигр, царь зверей.
Ученики ушли просветлённые. Сисадмин после этого вообще отказался от шифрования своего диска. А инженер Чжа Вынь сделал криптоконтейнер внутри криптоконтейнера.

2.7
Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.
– Как вы думаете, Учитель, пароль "史達林格勒戰役" стойкий?
Нет, – ответил мастер Инь, – это словарный пароль.
– Но такого слова нет в словарях...
– "Словарный" означает, что это сочетание символов есть в wordlists, то есть "словарях" для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.
– А пароль "Pft,bcm" подойдёт?
– Вряд ли. Он тоже словарный.
– Но как же? Это же...
– Введи это сочетание в Гугле – и сам увидишь.
Сисадмин защёлкал клавишами.
– О, да. Вы правы, Учитель.
Через некоторое время Сисадмин воскликнул:
– Учитель, я подобрал хороший пароль, которого не может быть в словарях.
Инь Фу Во кивнул.
– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
– Теперь есть.

2.8
Однажды инженер Чжа Вынь обратился к Учителю:
– Один достойный уважения человек сказал мне, что шифровать электронную почту неправильно. Поскольку честному человеку нечего скрывать, шифрованная переписка неизбежно привлечёт внимание Охранительного ведомства. Учитель, что вы об этом думаете?
Инь Фу Во ответил:
– Благородный муж имеет чувство стыдливости. Он закрывает одеждой свою наготу. Вовсе не потому, что лицезрение другими принесёт ему ущерб. Но такова воля Неба, и таков ритуал. Честному человеку есть, что скрывать.

2.9
Инженер Чжа Вынь долго сидел над проектом, а потом пожаловался Учителю:
– Не могу примирить бэкап и шифрование. Всё время одно мешает другому.
Инь Фу Во ответил:
– Они непримиримы. Шифрование защищает конфиденциальность. Резервное копирование защищает доступность. Конфиденциальность и доступность – это разные защиты.
– Но как же быть тогда? – спросил Чжа Вынь. – Здесь нужна и конфиденциальность, и доступность.
– Пусть одна будет внутри другой. Пусть первая не знает про вторую.
Инженер Чжа Вынь спросил Учителя:
– Что значит резервирование внутри шифрования?
– Пусть все файловые системы будут зашифрованы, а файлы будут бэкапиться с одной на другую, – ответил Инь Фу Во.
Ещё Чжа Вынь спросил:
– Что значит шифрование внутри резервирования?
– Делай резервную копию криптоконтейнера как файла, – ответил Инь Фу Во.

2.10
Директор сказал:
– Зачем нам шифровать содержимое дисков? Зачем нам VPN? У нас нет противозаконной информации.
Мудрый Инь Фу Во ответил:
– Безгрешность – не результат праведности, а результат наивности.

Глава 3. Об этике

3.1
Сисадмин спросил:
– Учитель, можно ли блэкхолить[4] трафик в случае DoS-атаки?
– Иногда можно, – ответил Инь Фу Во.
– А в каких случаях?
– В каких случаях доктор может причинить вред своему пациенту? – спросил в ответ Учитель.
– Наверное, когда предотвращённый вред превышает вред причинённый, – ответил Сисадмин, подумав.
– Теперь спрошу другое, – продолжил Учитель. – В каких случаях доктор может причинить вред постороннему человеку?
– Я не знаю таких случаев, – ответил Сисадмин.
– Вот теперь ты готов блэкхолить нужный трафик, – кивнул Учитель.
И Сисадмин ушёл просветлённый.

3.2
Инь Фу Во, проходя по офису, взглянул на мониторы сотрудников. Пробравшись на своё рабочее место, он изрёк:
– Наш инженер Чжа Вынь сейчас настраивает QOS[5]. Он думает, что взаимодействует с техникой, а на самом деле – с людьми. Наша бухгалтер Ли Чан сейчас чатится по ICQ. Она думает, что общается с человеком, а на самом деле – с программой.
– Учитель, а почему ваш монитор развёрнут экраном к стенке? – спросила Ли Чан.
– Чтобы всё время видеть людей, – ответил Учитель.

3.3
Инженер Чжа Вынь хотел работать в отделе информационной безопасности. Инь Фу Во сказал ему:
– Ты ещё не готов. Ты представляешь себя воином сети. А нам нужен доктор сети.

3.4
Однажды инженер Чжа Вынь сообщил:
– Я нашёл уязвимость в программе «Лин». Что вы об этом думаете, Учитель?
– Надо сообщить Производителю.
Через некоторое время Чжа Вынь снова пришёл к почтенному защитнику Иню.
– Я написал об уязвимости Производителю. Мне ответили, что закроют уязвимость только в следующей версии. Она выйдет через полгода.
Инь Фу Во помрачнел:
– Напиши им, что мы опубликуем эту уязвимость ровно через две недели.
Через три дня вышел патч к программе «Лин».
– А если бы они не выпустили патч? – спросил Сисадмин Учителя. – Вы бы позволили Чжа Выню опубликовать найденную уязвимость?
Инь Фу Во мягко улыбнулся и сказал:
– Нет. Дао информационной безопасности тем и прекрасен, что по нему нельзя идти в одиночку. Как только ты опередил других, другие ускоряют шаг. Как только ты оторвался от других, ты покинул Дао.

3.5
Прочитав статью в журнале, Учитель заметил:
– Человек не есть «слабейшее звено в информационной безопасности». Человек вообще не есть звено.

3.6
Однажды Сисадмин спросил:
– Учитель, вы всегда говорите, что надо делиться знаниями в области защиты информации со всеми, кто пожелает учиться.
Инь Фу Во кивнул.
Сисадмин продолжал:
– Но ведь бывают и опасные знания! Особенно знания в информационной безопасности.
Инь Фу Во воскликнул:
– Опасные знания?! Знание опасно для того, кто им НЕ обладает.

3.7
Однажды Техдиректор прислал почтенному Иню вопрос по электронной почте. Учитель ответил на него, поместив в письмо фрагмент конфига. Кроме конфига и подписи в ответе ничего не было.
Сисадмин, который получил копии обоих писем, спросил:
– Учитель, почему вы поместили в письмо только несколько команд, но не добавили ни единого слова?
Инь Фу Во в ответ процитировал своего учителя:
– «Я не хочу говорить. Разве Небо говорит? А между тем времена года исправно сменяют друг друга»

3.8
Инженер Чжа Вынь спросил:
– Следует ли при защите информации стремиться к возмездию? Или мы должны использовать только пассивную защиту?
– Смотря, кто противник, – ответил Учитель. – Если тебя кусает комар, его следует прихлопнуть. Если на тебя капает дождь, следует прикрыться зонтом.
– Я понял. Во многих случаях инцидент безопасности – это стихийная сила. И в нём никто не виноват.
Инь Фу Во покачал головой:
– Не совсем. В том, что пошёл дождь, действительно никто не виноват. Но если случилось землетрясение, и разрушилось здание, которое должно было устоять, то здесь есть виноватый. И его накажут.
Чжа Вынь ушёл в задумчивости.

3.9
Учитель сказал:
– Знание в ИБ подобно оружию. Неужели боец откажется поделиться своим оружием с другим, который хочет защищать свою землю? А ведь мы – в состоянии войны.

3.10
Однажды Инь Фу Во заблокировал на межсетевом экране несколько IP-адресов. Сисадмин спросил его о причинах. Учитель сказал:
– На всякий случай. Я увидел необъяснимое поведение программ.
– Может быть, это просто глюк? – предположил Сисадмин.
Инь Фу Во ответил:
– Каждый из нас иногда сталкивается с необъяснимым. Не поняв сути, каждый действует по-своему. Сисадмин – камлает с бубном. Инженер Чжа Вынь – пьёт пиво и переинсталлирует систему. А я – начинаю подозревать действия коварного врага.
Инженер Чжа Вынь, услышав разговор, заметил:
– Это похоже на паранойю.
– Паранойя входит в число моих должностных обязанностей, – ответил Учитель.

3.11
Однажды к почтенному защитнику Иню пришёл Хакер.
– О, мудрый Инь, – сказал он, – обучи меня своему искусству.
– Перед этим тебе придётся пройти испытание. Взломай вот этот компьютер, – и Инь Фу Во написал на листке IP-адрес.
– Но это же мой собственный компьютер! – удивился Хакер.
– Именно так, – подтвердил Учитель. – Ты должен взломать его, не используя известные тебе пароли.
Хакер за один час справился с испытанием.
– Я буду учить тебя, – сказал Инь Фу Во.
Через три года Учитель снова дал Хакеру такое же задание. Хакер не смог его выполнить.
– Теперь твоё обучение закончено, – сказал Инь Фу Во.

3.12
Инь Фу Во сказал:
– Защитник информации не ликвидирует угрозы. Он перераспределяет угрозы между людьми. От менее доверяемых к более доверяемым.

3.13
Младший бухгалтер Ли Чан спросила:
– Учитель, почему нашего инженера все зовут Чжа Вынь (奓蟁)? Ведь по паспорту он Чжа Сунь (奓诵).
Инь Фу Во ответил:
– Взгляни на него, какой же он Сунь? Когда он теряет данные о клиенте, он отключает порт на коммутаторе и ждёт от клиента звонка. Ну какой же он Сунь?

[1] Инь Фу Во (廕傁幄) – почтенный защитник Инь.
[2] Инь Фу Во имеет в виду программу, которая производит шифрование и расшифровывание по алгоритму.
[3] Инь Фу Во называет окружением операционную систему, в которой работает шифрующая программа и сам компьютер, то есть аппаратную платформу.
[4] от "blackhole", что означает маршрутизацию соответствующего трафика в /dev/null
[5] QOS, quality of service – система приоритезации трафика

© Н.Н.Федотов, 2009.
Допускается воспроизведение и доведение до всеобщего сведения настоящего произведения полностью или частями, с обязательной ссылкой на данную веб-страницу или на корпоративный блог компании InfoWatch.

Lenovo S10-2 vs я & Ubuntu - WiFi

2009-09-17T23:39:00.000-07:00

На форуме узрел вопрос про то как запустить на ленове Wifi
Как говорится спрашивали - отвечаем.

sudo apt-get install linux-backports-modules-jaunty

Скачать файлик отсюда
http://www.intellinuxwireless.org/?n=Downloads
Под свою карточку. У меня был нужен вот этот
5150 Images - for Intel Wireless WiFi 5150AGN
wget [url]http://www.intellinuxwireless.org/iwlwifi/downloads/iwlwifi-5150-ucode-8.24.2.2.tgz[/url]

Распаковать его
tar -xvjf 'iwlwifi-5150-ucode-8.24.2.2.tgz'
Идем в папку
cd 'iwlwifi-5150-ucode-8.24.2.2'
Внутри лежит файлик
iwlwifi-5150-2.ucode
переименовываем (я делаю копию - привычка)
cp iwlwifi-5150-2.ucode lbm-iwlwifi-5150-2.ucode

и копируем в каталог /lib/firmware
sudo cp lbm-iwlwifi-5150-2.ucode

После этого ребут. Должно работать.

з.ы. Спасибо USP с форума forum.ubuntu.ru, за то что исправил ход моих мыслей.

Processor	Intel® Core™2 Duo Processor 5300
Operating System	Genuine Windows® XP™ Professional Ubuntu 8.04.4
Chipset_test	Intel® 945PM
Main Memory	DDR2- DRAM 1024MB
Display	15.4" WXGA
Video Graphics & Memory	ATI Mobility Radeon X2300 External 128MB VRAM (DDRII VRAM*4)
Hard Drive	SATA 120Gb
Optical Drive	24/10/8/24X Combo CD-RW+DVD
Card Reader	One built-in 7 in one card reader support (MMC/ SD/ Mini-SD/ Memory Stick/ MS Pro/ MS-Duo/MS-Pro-Duo)
LAN	RTL8111 PCI Express Gigabit Ethernet
WLAN	Integrated Intel® Golan 802.11a/b/g
Bluetooch	Bluetooth module v2.0+EDR
Video Camera	1.3 Camera (Optional)