Правда, если исходить из оценок в ценах фиксированных (которые отбрасывают фокусы, выкидываемые ребятами из Федеральной резервной, да и их коллегами из других стран) то ИТ-рынок увеличится на 3,5% по сравнению с 3,1% роста глобальной экономики. Превышение есть, но всего лишь в полтора десятка процентов…

Правда, на 2014 год рост ИТ-рынка предсказан в 4% в текущих ценах. Побольше, чем МВФовский прогноз глобальной экономики, оценённый в 3,8%. Но это прогноз перспективный; для 2013-го таковой тоже был весьма неплох… Впрочем, эмвээфовский прогноз 2014 года вызывает несопоставимо большие сомнения: с какой это стати Европа, с ее массами безработных и зашкаливающими госрасходами и безумными долгами, вдруг сменит знак тенденции и начнёт расти? Да и учитывают ли эмвээфовцы драматический рост китайского долга — не ясно…

Так что пирог ИТ остается всё ещё очень большим (3,7 триллиона долларов!), но подниматься будет сравнительно медленно. А капиталистическая экономика нуждается в росте, в расширенном воспроизводстве. И можно попытаться предсказать резкое ужесточение конкуренции. Если тебе надо увеличить свой кусок, а рынок прирастает слабо, то нужно всеми способами стараться повысить свою долю! Но это игры больших парней. Крупных корпораций.

А вот малым да средним бизнесменам в области ИТ, равно как и работающим по найму специалистам, стоит присмотреться к третьей сверху строчке в прогнозе от Gartner — той, которая Enterprise Software… Расходы на ПО растут куда быстрее средних по отрасли. 4,7% в 2012 году (против общих 2,5%). На 2013-й предсказываются в 6,4% (на фоне 2,0%), на 2014-й — 6,6% и оптимистичные 4,1%…

Прогнозы ИТ-рынка от Gartner на 2013–2014 годы.

А ведь разработка программного обеспечения на экспорт — это одна из отраслей национальной экономики нашей страны, которая хоть и невелика, но высокотехнологическая (кроме оружейного экспорта). И динамично растёт. И – единственнаярост цен на энергоресурсы её коснётся в минимальной степени (куда меньше, чем промышленное производство). Так что, может быть, стоит присмотреться к ней?

Да и в целом рост нашей стране предсказывается не такой маленький (если сравнивать не с Китаем, а с США и ЕС). И растущие отрасли будут потреблять как аппаратное и программное обеспечение, так и услуги (хоть и не в таких масштабах, как хотелось бы). Видимо, это тоже вызовет обострение конкуренции на российском рынке, которая даст нам немало занятных новостей.

К оглавлению

Чёрный день для «Андроида»: ошибка в системе ставит под удар один миллиард устройств

Евгений Золотов

Опубликовано 10 июля 2013

Тема уязвимостей в программном обеспечении навязла в зубах ещё к концу «нулевых». Но даже на этом исхоженном поле, пусть и редко, случается найти самородок угрожающих размеров. Именно о таком сообщила на днях американская контора Bluebox Security: обнаруженная её специалистами ошибка в операционной системе Android ставит под удар без малого один миллиард устройств. К счастью, не компьютеров, а «всего лишь» смартфонов, планшетов и прочего недокомпьютерного железа: уязвимо всё, на чём работает Android версий от 1.6 вплоть до самой свежей. Все они имеют баг под скромным номером 8219321.

Чтобы понять опасность находки, нужно вспомнить, как организована дистрибуция приложений для Android. Несколько упрощая, можно сказать, что, выпуская новую версию программы («пакет» формата APK), разработчик сопровождает её контрольной суммой (хеш) и заверяет своей «цифровой подписью». Поскольку подпись и хеш подделать невозможно (задействована стойкая криптография), то теоретически без ведома автора невозможно незаметно изменить и ни один бит в APK-файле: прежде чем инсталлировать пакет на конкретное устройство, операционная система проверит контрольную сумму и в случае её несовпадения с эталонной откажется устанавливать программу. Проблема в том, что то ли механизм проверки, то ли механизм постановки подписи и хеша оказался с гнильцой. Действуя определённым образом, можно менять содержимое APK-файла незаметно для системы.

Распознать модифицированный пакет простому пользователю почти невозможно. В лучшем случае (если злоумышленник решит распространять заражённый APK-пакет через тот же апп-стор, что и оригинал пакета) другим будет имя автора приложения, в худшем — видимых отличий не окажется вовсе.

Представьте такую ситуацию. Злоумышленник находит APK-пакет с каким-нибудь важным системным обновлением от компании X, внедряет в него вредоносный код и размещает, скажем, на популярном форуме — якобы для удобства. Пользователи, скачавшие этот пакет, обнаружить подделку не смогут: автоматическая проверка контрольной суммы пройдёт без запинки, а в подписи по-прежнему фигурирует компания X. Пакет будет установлен — а значит, в ОС проникнет и вредоносный код. Поскольку системным приложениям по определению предоставляется максимум прав, malware получит доступ ко всем данным и ресурсам заражённого устройства.

Как много устройств подвержено этой проблеме? Согласно статистике, публикуемой Google, рыночная доля любой версии Android старше 1.6 составляет менее 0,1%. Следовательно, более 99% эксплуатируемых сегодня устройств содержат баг 8219321. Bluebox оценивает их число в 900 миллионов. Но не забывайте, что параллельно с «официальной» ветвью Android от Google существует множество неофициальных форков — изготовленных как крупными вендорами вроде Amazon.com, так и бесчисленной массой безымянных китайских производителей. Их считать никто не пытался, да и вряд ли это возможно. Так что итоговая фактическая численность потенциально уязвимых смартфонов, планшетов и прочих недокомпьютеров наверняка сильно превышает один миллиард.

Android 1.6 Donut, вышедшая четыре года назад, на текущий момент является самой ранней из версий системы, сохранивших заметное присутствие на рынке. Впрочем, и её доля оценивается всего в 0,1%, так что на этом графике от Google она даже не показана (а будучи видимой, заняла бы тонкую полосочку, сравнимую с 3.2 Honeycomb).

Если принять во внимание масштабы возможной эпидемии, неудивительно, что Bluebox, сделавшая своё открытие ещё зимой, до последнего момента держала абсолютно все детали в тайне. В известность были поставлены лишь Google и крупные Android-вендоры. И только на днях авторы находки обнародовали некоторую информацию о сути уязвимости и продемонстрировали скриншот приложения, модифицированного таким образом, — как доказательство практической осуществимости атаки. Любопытно, кстати, что заплатка, устраняющая баг в операционной системе, состоит всего из пары строчек кода. Однако производителей ещё нужно заставить эти две строчки в свои версии Android внести! Собственно говоря, при наблюдаемых сумасшедших темпах эволюции модельного ряда и невообразимой фрагментированности платформы задача представляется неосуществимой. Ведь даже именитые вендоры прекращают поддержку своих устройств через год–два после выпуска, что уж говорить про китайский ноунейм.

Есть, правда, и другой способ защитить пользователей — принудительно проверять каждый APK-пакет, попадающий в магазин приложений. Google именно так и поступила — и пользователи, устанавливающие программное обеспечение только из Google Play (запретившие установку пакетов из посторонних источников; в настройках системы есть соответствующий пункт), могут быть спокойны. Но, к сожалению, и тут силами одного игрока не справиться. На многих Android-устройствах включен доступ к альтернативным апп-сторам, а на тех, что используют Android без гугловской лицензии, Google Play недоступен вовсе. Понятное дело, достучаться до владельцев каждого магазина приложений и заставить их проверять пакеты едва ли возможно. А ведь только популярных альтернативных апп-сторов насчитывается дюжина (включая отечественный «Яндекс.Store»).

В разработке Android принимают участие организации из самых разных профессиональных областей. Есть среди них даже АНБ. Стоп… Та самая АНБ?! (Графика: Davidsancar.)

Что ж, насколько известно, в ходе проверки Google Play ни одного пакета, модифицированного с применением бага 8219321, выявлено не было. Так что проблема оставалась теоретической и обещала остаться таковой вплоть до конца июля, когда Bluebox планирует обнародовать детали на конференции Black Hat. Однако её опередили. На днях компания viaForensics опубликовала свой эксплойт того же бага — утилиту, позволяющую распаковать, модифицировать и запаковать обратно APK-файл с сохранением его контрольной суммы и подписи.