Как выяснить что программное обеспечение достойно рынка продаж

[Andrey_D 4]

Здравствуйте Евгений Валентинович.

 

Когда я учился в институте. На предмете информационной безопасности наш преподаватель нам говорил какие методы применяются для защиты информации от проникновения в сеть из вне т.е из интернета,внешних носитетелей информации, внутренних угроз.

 

Все компании твердят дословно: что у них самые лучшие системы и методы защиты покупайте наше программное обеспечение.

 

Но я задал вопрос преподавателю как же узнать что к примеру антивирусное программное обеспечение действительно достойно продаваться на рынке.

 

Мне был дан ответ: узнать можно только когда найдешь уязвимость т.е метод обхода защиты и т.д но главное чтобы эти попытки не вредили реальным систем. Получается что защиту надо попытаться обойти чтобы узнать достойна ли программа продаваться на рынке.

 

Вопрос:

Как вы считаете можно ли заниматься поиском уязвимостей(используя методы обхода сетевых экранов и других видов взлома) в программном обеспечении и потом именно сообщать (не используя в своих корыстных целях) производителю того или иного программного обеспечения что у них в том или ином месте есть уязвимость и чтобы они ее поскорей исправили ?

 

 

P.S

 

Приведу пример: мы пошли в магазин купили консерву с виду все впорядке и дата упаковки была указана в день покупки продукта, но прийдя домой и открыв консеры мы видим что все оказывается не так как указано на упаковке и товар просрочен. НЕ ВСКРЫВ БАНКУ НЕ УЗНАТЬ

[E.K. 10 289]

Роскошный вопрос... Если будет еще конкурс на лучший вопрос - это кандидат.

 

Попробую ответить....

 

Рыбу человек (хомо сапиенс) ловит уже не первую тысячу лет. В консервные банки закатывает уж как пару сотен лет (не знаю, надо гуглить). Массовый коммерческий софт пишет - лет всего-лишь тридцать. Т.е. стандарт упаковки рыбы в жестянки уже отработан, задокументирован, проверяем и нарушения пресекаются. А вот разработка софта - это еще очень неустоявшийся процесс, постоянно меняются и принципы разработки, да и само железо-операционки меняется, да и Интернет постоянно другой. Да еще мобильники... Короче, как правильно делать рыбные консервы - надо читать сертификаты и документацию. Как правильно делать софт - еще пока никто не знает. Лет через 50-100 - точно научимся, надо только подождать.

 

Вопрос про уязвимости. Как мне кажется, если обнаружена серьёзная бага в софте - нужно сообщить производителю софта только. И никому больше. Примерно, если у Вашего соседа в двери торчит забытый ключ - это надо рассказать всем вообще? Или только позвонить соседу?

[Moldreik 7]

нужно сообщить производителю софта только. И никому больше.

 

Очень интересное сравнение про соседа. А почему же про баги в софте не должен знать никто кроме его производителя? На мой взгляд, чем больше людей узнают, тем лучше: меньше людей сделают неправильный выбор в сторону дырявого и некачественного приложения.

[E.K. 10 289]

и больше кибер-негодяев узнает где "торчит ключ в двери".

что лучше?.... Мне так кажется - лучше "позвонить соседу".

[Moldreik 7]

и больше кибер-негодяев узнает где "торчит ключ в двери".

что лучше?.... Мне так кажется - лучше "позвонить соседу".

Ну да, нужно же как-то утаить от общественности (читай от своих клиентов), что их машинам угрожает опасность. Очень удобный подход, фактически обязывающий пользователей быть еще и бета-тестерами за свои же деньги.

Изменено 13 июля, 2010 пользователем Moldreik

[Nesser 962]

и больше кибер-негодяев узнает где "торчит ключ в двери".

что лучше?.... Мне так кажется - лучше "позвонить соседу".

Позвольте и мне поучаствовать.

Продолжая аналогию с ключом. Мы нашли ключ и можем войти. Надо сообщить "соседу", но при этом скрывать "ключ" от остальных нет смысла. Так как "сосед" понадеется на то что никто не узнает и не станет торопиться забирать "ключик".

Все же главное не неразглашение проблем, а их своевременное исправление.

 

Поэтому лучше позвонить "соседу" и обнародовать "ключ" Это способствует защите пользователя (он будет знать где соломку подстелить) и активности разработчика.

Изменено 13 июля, 2010 пользователем Nesser

[Moldreik 7]

Поэтому лучше позвонить "соседу" и обнародовать "ключ" Это способствует защите пользователя и активности разработчика.

 

Согласен. Потому, что мне вот например было бы неприятно, что вендор, которому я доверил защиту своего компа, что-то там темнит за моей спиной, прикидываясь, что все хорошо.

[E.K. 10 289]

Ну вы как дети малые... Ну давайте быть реалистами, ага?

 

Предположим, что у кого-то из вас есть информация об очередной дыре в каком-то софте. И чтобы "спасти мир" вы об это трубите по полной программе. Кто будет потребителем этой информации?

 

1. Компания-производитель, которая будет вас поминать весьма табуированными терминами, которая бросит все ресурсы на немедленное исправление, во вред новым версиям своих продуктов, а ПР-отдел бросится писать извинительные аннонсы, а саппорт будет "в ружьё" перед новой угрозой. А потом, недели через две, проснутся партнёры и клиенты - и по новой.

 

2. Пользователи продукта. Не считается, поскольку подавляющее большинство из них нифига не понимают в безопасности, дырах и прочем. И вообще они сидят только в Одно-...всякниках, почте, новостях, чатах, где еще - но только не в новостях о зловредах и компьютерной безопасности. Им это пофиг.

 

3. Кибер-мерзавцы, которые моментально используют новую возможность хакнуть и влезть в новые тысячи, десятки или сотни тысяч компьютеров-жертв.

 

И кто выиграл?

 

Есть еще категория 4. IT-отделы крупных компаний, которые узнают, но ничего сделать не успеют. Читай пункт 1.

 

Так что, в полной "свободе информации" заинтересованы только потенциальные клиенты исправительных заведений...

[Kapral 1 488]

Поэтому лучше позвонить "соседу" и обнародовать "ключ" smile.gif Это способствует защите пользователя (он будет знать где соломку подстелить) и активности разработчика.

Красиво и правильно

Но если ключ можно вытащить через 2 минуты. Но многие дыры закрываются гораздо дольше

 

Я бы сравнил обнародование чуточку по другому

Есть замок, который был популярен и разошелся по десяткам тысяч потребителей

Вы обнаруживаете, что если поработать с ключом следующим образом ...., то он начинает открывать любой такой замок....

Вы публикуете данное ноу-хау по обработке ключа.... Под заголовком "Обнаружена уязвимость в замках фирмы рога-и-копыта"....

50% людей тут же поменяли на другой замок.

А 10% поехали в отпуск и ничего не знали....

Вернулись с отпуска - а им подарок.... Некие товарищи, которые никому не товарищи воспользовались данной уязвимостью....

Угадайте кому эти 10% скажут спасибо.....

 

А с человеческой точки зрения - публикация уязвимости - это не забота о клиентах....

а самопЕар - смотрите какой я вумный и замечательный....

 

Сделал гадость - сердцу радость

[Nesser 962]

Красиво и правильно

Но если ключ можно вытащить через 2 минуты. Но многие дыры закрываются гораздо дольше

 

Я бы сравнил обнародование чуточку по другому

Есть замок, который был популярен и разошелся по десяткам тысяч потребителей

Вы обнаруживаете, что если поработать с ключом следующим образом ...., то он начинает открывать любой такой замок....

Вы публикуете данное ноу-хау по обработке ключа.... Под заголовком "Обнаружена уязвимость в замках фирмы рога-и-копыта"....

50% людей тут же поменяли на другой замок.

А 10% поехали в отпуск и ничего не знали....

Вернулись с отпуска - а им подарок.... Некие товарищи, которые никому не товарищи воспользовались данной уязвимостью....

Угадайте кому эти 10% скажут спасибо.....

 

А с человеческой точки зрения - публикация уязвимости - это не забота о клиентах....

а самопЕар - смотрите какой я вумный и замечательный....

 

Сделал гадость - сердцу радость

В общем согласен. Но я же и не говорю, что надо обнародовать сразу и вместе с отправкой дыры производителю. Да и почему сразу пиарится? Это совсем необязательное условие

Ну только в случае с софтом есть/должны быть автообновления, которые должны ставятся сервисом сразу по возвращении клиента из "отпуска" или без участия оного. Это только повысит класс качества софта. Или я не прав?

Ну а тот кто автообновления отключил, сам виноват и знал что делал.

[SLASH_id 989]

А если практиковать другой подход?

 

Допустим я обнаружил уязвимость в софте. Пишу об этом вендору с условием, что в случае не исправления уязвимости в течении некоего разумного периода (в зависимости от типа баги, например кто-то ее поправит автофиксом, а кому-то надо будет переписывать код почти с нуля) она будет обнародована.

 

Тут вам и ситмул разработчика исправить уязвимость, и информирование общественности о том что они (были) под угрозой.

[Kapral 1 488]

Согласен. Потому, что мне вот например было бы неприятно, что вендор, которому я доверил защиту своего компа, что-то там темнит за моей спиной, прикидываясь, что все хорошо.

Вы помните - что Майкрософт регулярно выпускает заплатки и патчи

и остальные производители операционных систем тоже?

Темнят .... заразы....

 

Дружно переходим на "Феликс", в крайнем случае им удобно атаки отражать.... один раз Феликсом по атакующему и у того пропадает желание на долго

 

Пишу об этом вендору с условием, что в случае не исправления уязвимости в течении некоего разумного периода

Кто определяет разумность интервала?

и как это будет происходить?

Письмо вида

1. Вот вам бага, я даю вам 5 дней

2. Вот вам бага, давайте договоримся за сколько вы исправите

2.а. Договорились - хорошо

2.б. вендор просит 5 дней, а вы хотите за 4

3. ?

 

Да и почему сразу пиарится?

Хорошо, подберите другой термин.... по указанным условиям

1. Уязвимость есть

2. Объявлена в паблик

3. Не каждый пользователь может закрыть багу сам

4. Есть промежуток времени между опубликованием и выпуском новой версии/патча/обновлений, которые закрывают уязвимость

5. Есть промежуток времени между опубликованием патча и установкой на компы пользователей

6. есть некоторые компы, на которых исправление применить не получится.

пример. у меня есть 2 компа, которые современные, но на которых стоит Windows 98, потому что работает специфическое оборудование, софт под которое есть только для 98.

А замена оборудования выльется в такую денежку.... Мне дешевле поставить круглосуточную охрану и кормить её красной икрой и коллекционным вином. Которые будут бить по рукам пользователям, если они будут делать что-то кроме работы с оборудованием.

[Nesser 962]

Кто определяет разумность интервала?

 

4. Есть промежуток времени между опубликованием и выпуском новой версии/патча/обновлений, которые закрывают уязвимость

5. Есть промежуток времени между опубликованием патча и установкой на компы пользователей

Вадим, ты сам ответил на свой вопрос. Разумность объявления в паблик диктуется временем исправления.

 

6. есть некоторые компы, на которых исправление применить не получится.

пример. у меня есть 2 компа, которые современные, но на которых стоит Windows 98, потому что работает специфическое оборудование, софт под которое есть только для 98.

А замена оборудования выльется в такую денежку.... Мне дешевле поставить круглосуточную охрану и кормить её красной икрой и коллекционным вином. Которые будут бить по рукам пользователям, если они будут делать что-то кроме работы с оборудованием.

Это уже проблемы пользователя. Если он не может отказаться от устаревшего и неподдерживаемого софта, то вся ответственность за уязвимости на нем. Пример не удачен, на мой взгляд.

[SLASH_id 989]

Кто определяет разумность интервала?

 

Человек способный найти уязвимость как правило представляет как и почему она есть и имеет представление о способе устранения. Если это тупо поправить две строчки кода то и срок исправления несколько дней. Если же вендор просит на это 4 месяца, значит надо их подстегнуть публикацией.

[ГНОМ 1]

Вот приставте себе,что вы всё узнали-секреты соседа и у вас есть ключ,от квартиры где деньги лежат-.Народ есть разный,я уверен 85 из 100 соблазнятся и полезут.Я если б и знал,то не полез бы,может меня не все поймут,но главное чтоб я сам себя понял.Просто есть вещи,которые должны знать определённое количество людей.Нелуче просто доверять этим людям? Тем более если они знают больше. Лично я доверяю и знаю что если чего,то меня Большой брат спасет я про разблокировщик.