Mokslas ir IT

2019.03.30 21:10

Profesionalus programuotojas: net ir nemokama kompiuterinė programa turi savo kainą

LRT.lt2019.03.30 21:10

„Jei mes gauname puikias nemokamas paslaugas, tinka klasikinis pasakymas: jeigu tu neperki, vadinasi – prekė esi tu. Štai tokie yra privatumo spąstai“, – taip Gytis Repečka, sistemų analitikas ir profesionalus programuotojas, apibūdina situaciją, kai žmonės, norėdami sutaupyti, naudojasi nemokamomis „nulaužtomis“ kompiuterio programomis, rašoma Lietuvos žurnalistikos centro pranešime.

Specialistas papasakojo apie tokio elgesio galimas pasekmes ir virtualioje erdvėje sklandančius mūsų duomenis, kuriuos, naudodamiesi internetine paslauga, sutinkame atiduoti „aklai“.

– Kai kalbame apie tam tikras programas, kurias galime įdiegti savo kompiuteryje, kyla noras naudoti nemokamas programas, juk jos dažniausiai yra laisvai prieinamos ir gana populiarios bei padeda sutaupyti pinigų. Bet visgi, kodėl „nulaužtos“ programos yra pavojingos?

– Pirmiausiai reikia suprasti, kad komercinė programinė įranga kainuoja ne be priežasties. Jeigu kalbėtume apie nuotraukų redagavimo programą „Adobe Photoshop“, ji kainuoja ne vieną šimtą, o tam tikros versijos – ne vieną tūkstantį eurų vienai darbo vietai. Tiesa, ne veltui tas prekės ženklas su nuotraukų redagavimu mums asocijuojasi pirmiausiai, nes tai yra, ko gero, geriausia programinė įranga. Ją sukurti reikėjo daugybės pastangų ir programuotojų darbo valandų. Kai mes turime galimybę gauti daiktą „už dyką“, reikėtų pagalvoti, kam yra nauda tuo užsiimti. Aišku, yra entuziastų, kurie savo malonumui laužo įvairias apsaugas.

Bet jeigu jums atiduodama programinė įranga, kuri kainuoja daug, kodėl ji atiduodama dykai? Tai tie nulaužimai, vadinami „crack‘ais“, yra geras būdas piktavaliams įsiūlyti tam tikrą programinę įrangą šalia. „Crack‘as“ pakoreguoja, vadinkime, originalią programą iš jos išlupdamas arba apgaudamas licencijavimo modulį, kuris užtikrina licencijos tikrumą, ne piratavimą, arba sugeneruoja mums serijinį numerį, kurį paskui mes įvedame toje programoje. Tai natūralu, kad šalia to, galbūt toje programoje, kuri generuoja numerius „crack‘e“, yra įdėta ir kažkas, kas veiks kaip serveris ir suteiks prieigą prie vartotojo tam tikrų failų.

Jeigu žmonės naudoja tuos „crack‘us“ taikomosioms, tokioms kaip, pavyzdžiui, nuotraukų redagavimo, programoms nulaužti, tai yra vienas dalykas, tuos „crack‘us“ dažnai antivirusinės programa aptinka, ugniasienė gali užblokuoti „crack‘ui“ išėjimą į internetą ir tokiu būdu jį atkirsti nuo galimos žalos. Bet jeigu mes naudojame piratinę operacinę sistemą, joje gali būti įdiegta priemonių, kurių tiesiog tam tikrais atvejais apsaugos programos gali nematyti. Ir tada kyla klausimas, ar jūs norėsite iš to kompiuterio, kuriame yra operacinė sistema, kuria nelabai galima pasitikėti, tikrinti savo bankininkystę, apsipirkinėti internetu, įvedant kreditinės kortelės numerį ir panašiai.

– Kuo skiriasi antivirusinės programos ir jūsų paminėtos ugniasienės funkcijos?

– Antivirusinė yra programa, kuri ieško virusų požymių kompiuterių failų sistemoje ar operatyvinėje atmintyje, tai yra – kompiuteryje veikiančiose programose. Ji virusus aptinka ir eliminuoja pagal galimybes. Bet reikia suprasti, kad antivirusinė yra post factum veikla – saugo nuo grėsmių, kurios jau yra sistemoje. Ugniasienė, tuo tarpu, yra siejama su tinklu, tinklo įranga. Kompiuteryje žmonės dažniausiai naudoja programinę ugniasienę. Operacinė sistema, iš esmės, visą tinklo srautą, kuris ateina į kompiuterį, pirmiausiai atiduoda ugniasienei, kuri nusprendžia, ar jį leisti toliau, ar atiduoti kažkokiai programai.

Pavyzdžiui, ugniasienė, jeigu jūs įsidiegiate naują programą į kompiuterį, sakys „štai, šita programa nauja kompiuteryje. Ar jūs norite leisti jai jungtis prie interneto?“. Paspausite „Yes“, ir iškart vyks jungimasis. Bet jūs bent matysite, kad ta programa nori atlikti kažkokį veiksmą. Beveik visose dabartinėse operacinėse sistemose yra integruota vienokia ar kitokia ugniasienė ir antivirusinė programa, tik vėlgi, galima ginčytis, kiek daug ji aptinka. Bet tokių priemonių reikėtų. Dauguma dabartinių ugniasienių turi išmanų rėžimą, kai jos daugiau ar mažiau sudėlioja taisykles standartinei programinei įrangai, ką paprastai vartotojai naudoja ir užklausa vartotojui pateikiama tik neaiškiais atvejais, pamačius egzotiškesnę programinę įrangą, kuri nenaudojama masiškai. Labai dažnai tokia apsauga yra pakankamai stipri vartotojų privatumui ir saugumui užtikrinti.

– Kodėl piktavaliai nori pasiekti kompiuterio resursus?

– Žmonės potencialiomis aukomis gali tapti nebūtinai dėl savo asmeninių duomenų. Galbūt jie yra net nelabai aktualūs įsilaužėliams, bet gali būti labai aktualu užvaldyti jūsų kompiuterį ir iš jo vykdyti kitas atakas. Įsilaužėliams svarbu maksimaliai paslėpti savo tapatybę, todėl jiems yra labai naudinga apsimesti kažkuo kitu ir taip mėtyti pėdsakus. Jeigu jie įvykdys kažkokią ataką per jūsų kompiuterį, pirmiausia policija kreipsis į tą tarpinę grandį, kurią bus lengviausia nustatyti. Natūralu, lengviausia bus nustatyti nelaimėlį, per kurio kompiuterį kažkas buvo atlikta. Tai tapatybės vagystė – viena vertus, gali atrodyti, kad mes neturime ko slėpti, kita vertus, turbūt nenorėtumėme, kad mūsų vardu kažkas atliktų ataką, paimtų greitąjį kreditą, ar paskolą. Nors, aišku, pastaruoju atveju saugiklių sistemoje yra daugiau.

Šioje vietoje turbūt būtų svarbu pakalbėti ir apie taip vadinamą zombių kompiuterių tinklą.

Paprastai tą zombių tinklą sudaro užvaldyti kompiuteriai, kuriuose yra įdiegta kenkėjiška programinė įranga. Ji kompiuteryje stengiasi likti kiek įmanoma nematoma, neveikli, naudoja įvairius būdus apkvailinti antivirusines programas bei tinklo ugniasienes. Tam tikru momentu ji gauna signalą iš zombių tinklą valdančio piktavalio serverio. Jis visiems užvaldytiems kompiuteriams, kuriuose įdiegta ta kenkėjiška programa, praneša, kad tam tikru metu atakuosime tam tikrą puslapį, turintį tokį IP adresą.

Gali būti, kad iš tos kenkėjiškos programinės įrangos toliau nebus jokio aktyvumo, bet, atėjus konkrečiam laikui, ji ims ir, pavyzdžiui, ištisai, kokius dešimt ar šimtą kartų per sekundę bandys pakartotinai jungtis prie to tinklalapio ar tos paslaugos. Ką tai reiškia? Tai reiškia, kad prie to pačio puslapio ar paslaugos jungiasi didžiulis skaičius vartotojų – tų vadinamų zombių – ir serveriai neatlaiko apkrovos. Kadangi tai koordinuota ataka, normalūs vartotojai tuo metu prisijungti jau nebegali, o net ir dešimties minučių, valandos negalimas prisijungimas elektroninėje parduotuvėje gali reikšti konkrečius patiriamus nuostolius.

Kenkėjiška programa, kuri leidžia kompiuterį padaryti zombiu ar atlikti nepageidaujamus veiksmus, turi kažkokiu būdu pasiekti kompiuterį. Vienas iš būdų – gali ateiti su nelegalia programine įranga, pavyzdžiui, su nemokama programėle kokiai nors funkcijai atlikti, kuri prieinama kažkokiame puslapyje, kur yra naršyklės įskiepis.

– Kuo tai susiję su įskiepiais? Nes šie gali būti ir naudingi, ir kenkėjiški.

– Įdiegus į naršyklę įskiepį, kombinuojant su papildoma programine įranga, kuri įdiegiama kartu, galima vykdyti pakankamai įmantrias atakas. Vėlgi, kaip jos įdiegiamos? Elektroniniu paštu, atsiunčiant kenkėjiškus failus. Tačiau, vis tiek, kenkėjiškai programinei įrangai reikia kelio ateiti į kompiuterį ir jame įsikurti. Kartais tam užtenka tiesiog skylių, paliktų operacinėje sistemoje ar programinėje įrangoje, todėl reikėtų nuolat naudoti naujausias programinės įrangos versijas, nes klaidos joje nuolat taisomos, o tai reiškia, kad vartotojui reikia turėti prevencinę antivirusinę programinę įrangą ir ugniasienę, kuri gali užkirsti tokius prisijungimus iš tinklo.

Labai plačiai apie tai nekalbama, bet buvo padarytas toks kenkėjiškos programinės įrangos rinkinys, pritaikytas Lietuvoje veikiančių bankų bankininkystės sistemoms; įskiepis įsidiegdavo į naršyklę tiesiog paspaudus kenkėjišką nuorodą, išnaudojus naršyklės „Internet Explorer“ spragas. Vartotojas gauna elektroniniu paštu nuorodą, neapdairiai ją paspaudžia, ten atsidaro kažkoks PDF failas, kuris turi įdiegtą „macro“ – instrukcijų rinkinį, kuris tam tikrose „Adobe Acrobat Reader“ versijose saugiai neinterpretuojamas ir leidžia į naršyklę įdiegti įskiepį. Tas įskiepis falsifikuoja adresą, kuris matomas adreso laukelyje ir kai vartotojas surenka internetinės bankininkystės vardą, jį iš tikrųjų nukreipia į kenkėjo tinklalapį, kuris padarytas lygiai taip pat, kaip normalaus banko tinklalapis, tik vartotojo įvesti duomenys nukeliauja sukčiams.

– Norėčiau šiek tiek sugrįžti prie duomenų rinkimo per vartotojų susirašinėjimą. Sakykime, „Google“ šifruoja siunčiamus elektroninius laiškus, tad išorėje jų turinio pasiekti negalima, tačiau pats „Google“ gali prieiti prie šio turinio, tiesa? Kodėl žinutės nėra šifruojamos taip, kad jų turinį galėtų matyti tik konkretūs vartotojai?

– Yra keli modeliai. Paimkime pavyzdį. „Gmail“ yra labai populiari pašto paslauga, programai „Google“ susirašinėjimo turinys šiuo atveju yra visapusiškai prieinamas ir pagal jį jis pateikia reklamas – taip veikia marketingo modelis. Tačiau yra toks Šveicarijoje įsikūręs „ProtonMail“ paštas, iš pradžių buvęs startuoliu, juo naudojosi kai kurie žurnalistai, įvairių rėžimų persekiojami žmonės. Jų politika yra tokia, kad laiškai yra užšifruojami dar prieš išeinant iš jūsų kompiuterio – jeigu pasieki „ProtonMail“ pašto paslaugą per naršyklę, yra tam tikra biblioteka, kai žinutė yra užkoduojama naršyklėje ir serverį pasiekia užkoduota forma. Paslaugos teikėjas net neturi galimybės pasiekti turinio, ten yra matomas simbolių kratinys. Jis negali taikyti jokios turinio analizės. Bet čia iš esmės skiriasi veiklos modeliai – „ProtonMail“ išsilaiko, nes vartotojai už jo paslaugas moka.

Tačiau toks modelis visai netiktų „Google“, kurio modelio esmė yra turinio analizė. Dažniausiai programos užtikrina saugumą nuo tavęs iki jų serverių, kad pašaliniai tarpinėje vietoje neįsiterptų, bet čia yra absoliuti jų teisė spręsti, kaip jos pačios su tais duomenimis elgsis. Pavyzdžiui, kaip veikia „Google Vertėjas“?

Jeigu mes tekstui versti naudojime jį, tai nereiškia, kad jis bus gramatiškai teisingas ir visiškai korektiškas. Tai reiškia, kad bus verčiama taip, kaip žmonės paprastai verčia ir naudoja tekstą, nes tos paslaugos tobulinimui naudojama, „įvedama“ informacija iš visų „Google“ paslaugų. Pavyzdžiui, jeigu žmonės vadins obuolį kriauše ir tai darys absoliuti dauguma žmonių bei taip įvardins susirašinėdami, „Google Vertėjas“ ir išvers „Obuolį“ į „Kriaušę“.

– Kokie kiti veiksniai skatina šias programas rinkti duomenis?

– Surinkti duomenys kompanijai yra duomenų šaltinis. Kai „Google“ sėkmingai pateikia reklamą, ji susilaukia lankytojų, reklamos užsakovai tikrai norės tokiame tinkle reklamuotis. „Google“ verslo modelis yra reklama. Tačiau jie daro ir labai daug kitų veiklų, investuoja į dirbtinį intelektą, net ir į technologinius sprendimus. Bet jų tikslas – surinkti duomenis apie žmones ir juos suprasti – nagrinėti, kokie žmonės, ką jie veikia, ką jie daro.

Tas pats „Google“ turi net ir karinių užsakymų, apie kuriuos nelabai kas kalba, pavyzdžiui, turi užsakymą karinėms tarnyboms suteikti vaizdų atpažinimo galimybę, pagal kurią kariniai dronai galėtų atpažinti ir suvokti tam tikrus taikinius – taikyti aplinkos vaizdo analizę. Supraskime, kad „Google“ turbūt ne be reikalo turi „Street View“, tikrai buvo ką jiems veikti, paleisti mašinas važinėti, viską filmuoti ir tada susluoksniuoti, sulieti. Norint daryti didelius, rimtus projektus, reikia daug informacijos.

Vėlgi, neseniai girdėjome, kad autonominis „Uber“ automobilis užmušė žmogų, patyrė pirmą auką. Pabrėžtina – autonominė. Reikia suprasti, kad skaitmeninė technika yra, jeigu galima taip pasakyti, kvaila. Ji daro tai, kas jai pasakyta. Vadinasi, dirbtinis intelektas yra galimybė mokytis iš aplinkos, kai yra suformuojamos taisyklės, remiantis aplinka. Tačiau čia nėra jausmų, sąžinės ar moralės – nėra nieko. Tad šių kompanijų, kurios renka duomenis, tikslas galbūt yra pirmiausiai susirinkti pakankamą duomenų kiekį savo intelekto sistemų apmokymui. Finansinės institucijos renka duomenis, norėdamos įvertinti kreditingumą, ar didelė tikimybė, kad įmonė ar žmogus bankrutuos. O personalo atrankos įmonės nori žinoti, kokia tikimybė, kad žmogus išeis iš darbo, ar ateis į darbą.

– Šiuo atveju labai aišku, kaip „Google“ surenka sau reikalingus duomenis, o kaip kitos įmonės juos gauna?

– Kodėl mus įkiša į dantis tas lojalumo korteles? Tai leidžia susieti asmenį su atliktais veiksmais – transakcijomis ir panašiai. Jeigu tu brauki lojalumo kortelę ir perki tam tikrą pirkinių krepšelį, galima suprasti, kokiems prekės ženklams tu lojalus, kaip dažnai perki, ką perki, ar tu reaguoji į akcijas ir panašiai. Jeigu įmonė tokių duomenų susirinkti negali, ji juos perka. Na, ir užsako iš tokių, kaip „Cambridge Analytica“, ar tiesiai iš pačio „Facebook“ ir panašiai.

– Iš tikrųjų galima taip prekiauti?

– Taip vyksta. Kažkokie, galbūt, apribojimai yra, bet dažniausiai tai atsimuša į paslaugų teikimo sąlygas. Jeigu mes naudojamės „Google“ paslaugomis, tose ilgose sąlygose, kurių dažniausiai niekas neskaito, tikrai yra parašyta, kad „Google“ gali perduoti duomenis trečiosioms šalims ar atlygintinai, ar neatlygintinai.

– Kas konkrečiai yra parduodama, viskas, ką keliame?

– Įvairiai. Gali būti konkretus turinys arba gali būti jau padarytos įžvalgos, arba „žali“ (angl. raw) duomenys, veiksmai, ką mes atlikome, arba kažkokia apibendrinta analitika. Ta pati „Cambridge Analytica“ greičiausiai susirinkdavo iš „Facebook“ neapdorotus duomenis, ką žmonės veikia, tada apibendrindavo juos, taikydavo dirbtinį intelektą ir nustatydavo, kad tiek ir tiek procentų tam tikroje Amerikos apylinkėje gyvenančių žmonių yra labiau linkę balsuoti už Donaldą Trumpą. Duomenų keitimasis vyksta įvairiuose etapuose – tiek neapdorotais duomenimis, tiek jau ir apibendrintais.

Gali būti, kad pats „Google“ ar „Facebook“ parduoda nuasmenintus duomenis. Ne apie konkrečius asmenis, bet apie kažkokias tendencijas. Pavyzdžiui, Vilniaus mieste dirbantys asmenys iki 40 metų, kurių darbo laikas yra standartinis, nuo 8-os valandos ryto iki 5-os valandos vakaro, būtent 12 valandą dienos dažniausiai lankosi „Centrinėje Universalinėje Parduotuvėje“ ar „Europoje“, ar kur kitur. Vėlgi, viskas įstatymų ribose. Bet tai nėra draudžiama ir dažniausiai vartotojas, naudodamasis paslauga, kurioje renkami duomenys, aklai, bet su tuo sutinka.

Reikėtų pastebėti, kad, tarkime, prie kokio forumo ar sistemos yra rašoma „prisijunk su Facebook paskyra“, „prisijunk su Google paskyra“. Ką tai reiškia, kaip tai veikia? Aš turiu diskusijų forumą savo puslapyje ir žinau, kad žmonės labai nemėgsta registruotis, kurti naujų slaptažodžių, todėl suteikiu galimybę jiems prisijungti per pagrindinius socialinius tinklus. O tai reiškia, kad iš mano forumo vartotojas nukreipiamas į paslaugos, šiuo atveju „Google“ ar „Facebook“ puslapį, ten prisijungia ir grįžta į mano puslapį.

Kitaip sakant, „Google“ ar „Facebook“ atiduoda tam tikrą požymį, informaciją, kad šis vartotojas yra tas, kuo skelbiasi, jį reikia prijungti, jis sėkmingai autentifikavosi. Tai veikia taip, kad mano forumas inicijuoja programėlę šių puslapių infrastruktūroje, vartotojas prie jos prisijungia ir ta programėlė grąžina tam tikrus duomenis į mano forumą. Mano atveju, aš forume matysiu jų vietą, gimimo datą, dar kažką. Pats „Facebook“ po visų šitų skandalų, matyt, stengsis kuo išsamiau informuoti vartotoją, kas konkrečiai tampa prieinama.

Kitas dalykas yra taip vadinami „Like“ mygtukai. Dėl patogumo puslapyje dažnai norima „įdėti“ pamėgimo bei dalijomosi mygtukus. Vartotojas ant jų paspaudžia ir iš karto yra nukreipiamas. Kai mygtukas bus įdėtas puslapyje, bus užkraunami tam tikri funkcionalumai iš „Facebook“ serverių. Ką tai reiškia? „Facebook“ žinos, kad aš lankausi tokiame puslapyje, forume ar kažkur kitur, kiek laiko aš ten būnu, kaip greitai aš pereinu prie kito puslapio.

– Bet čia yra milžiniškas kiekis duomenų, kuriuos reikia stebėti, ar viskam jie turi įrankius?

– Žmonės kuria dirbtinio intelekto algoritmus. Iš esmės, tai yra mokslas. Tai yra matematika, statistika, dirbtinis intelektas, mašininis mokymasis ir yra nežmoniški skaičiavimo resursai, kuriuos šitos kompanijos turi tiems duomenims apdoroti.

Jei mes gauname puikias nemokamas paslaugas, tinka klasikinis pasakymas: jeigu tu neperki, vadinasi – prekė esi tu. Štai tokie yra privatumo spąstai.

Daugiau detalių apie savo saugumą ir privatumą internete sužinokite iš „Interneto medijų žemėlapio“. Jį rengė žurnalistai ir technologijų ekspertai, bendradarbiaujant Lietuvos žurnalistikos centrui, Švedijos ambasadai bei Švedijos institutui.