Перейти к содержанию

Как выяснить что программное обеспечение достойно рынка продаж


Рекомендуемые сообщения

Здравствуйте Евгений Валентинович.

 

Когда я учился в институте. На предмете информационной безопасности наш преподаватель нам говорил какие методы применяются для защиты информации от проникновения в сеть из вне т.е из интернета,внешних носитетелей информации, внутренних угроз.

 

Все компании твердят дословно: что у них самые лучшие системы и методы защиты покупайте наше программное обеспечение.

 

Но я задал вопрос преподавателю как же узнать что к примеру антивирусное программное обеспечение действительно достойно продаваться на рынке.

 

Мне был дан ответ: узнать можно только когда найдешь уязвимость т.е метод обхода защиты и т.д но главное чтобы эти попытки не вредили реальным систем. Получается что защиту надо попытаться обойти чтобы узнать достойна ли программа продаваться на рынке.

 

Вопрос:

Как вы считаете можно ли заниматься поиском уязвимостей(используя методы обхода сетевых экранов и других видов взлома) в программном обеспечении и потом именно сообщать (не используя в своих корыстных целях) производителю того или иного программного обеспечения что у них в том или ином месте есть уязвимость и чтобы они ее поскорей исправили ?

 

 

P.S

 

Приведу пример: мы пошли в магазин купили консерву с виду все впорядке и дата упаковки была указана в день покупки продукта, но прийдя домой и открыв консеры мы видим что все оказывается не так как указано на упаковке и товар просрочен. НЕ ВСКРЫВ БАНКУ НЕ УЗНАТЬ

Ссылка на комментарий
Поделиться на другие сайты

Роскошный вопрос... Если будет еще конкурс на лучший вопрос - это кандидат.

 

Попробую ответить....

 

Рыбу человек (хомо сапиенс) ловит уже не первую тысячу лет. В консервные банки закатывает уж как пару сотен лет (не знаю, надо гуглить). Массовый коммерческий софт пишет - лет всего-лишь тридцать. Т.е. стандарт упаковки рыбы в жестянки уже отработан, задокументирован, проверяем и нарушения пресекаются. А вот разработка софта - это еще очень неустоявшийся процесс, постоянно меняются и принципы разработки, да и само железо-операционки меняется, да и Интернет постоянно другой. Да еще мобильники... Короче, как правильно делать рыбные консервы - надо читать сертификаты и документацию. Как правильно делать софт - еще пока никто не знает. Лет через 50-100 - точно научимся, надо только подождать.

 

Вопрос про уязвимости. Как мне кажется, если обнаружена серьёзная бага в софте - нужно сообщить производителю софта только. И никому больше. Примерно, если у Вашего соседа в двери торчит забытый ключ - это надо рассказать всем вообще? Или только позвонить соседу?

Ссылка на комментарий
Поделиться на другие сайты

нужно сообщить производителю софта только. И никому больше.

 

Очень интересное сравнение про соседа. А почему же про баги в софте не должен знать никто кроме его производителя? На мой взгляд, чем больше людей узнают, тем лучше: меньше людей сделают неправильный выбор в сторону дырявого и некачественного приложения.

Ссылка на комментарий
Поделиться на другие сайты

и больше кибер-негодяев узнает где "торчит ключ в двери".

что лучше?.... Мне так кажется - лучше "позвонить соседу".

Ну да, нужно же как-то утаить от общественности (читай от своих клиентов), что их машинам угрожает опасность. Очень удобный подход, фактически обязывающий пользователей быть еще и бета-тестерами за свои же деньги.

Изменено пользователем Moldreik
Ссылка на комментарий
Поделиться на другие сайты

и больше кибер-негодяев узнает где "торчит ключ в двери".

что лучше?.... Мне так кажется - лучше "позвонить соседу".

Позвольте и мне поучаствовать.

Продолжая аналогию с ключом. Мы нашли ключ и можем войти. Надо сообщить "соседу", но при этом скрывать "ключ" от остальных нет смысла. Так как "сосед" понадеется на то что никто не узнает и не станет торопиться забирать "ключик".

Все же главное не неразглашение проблем, а их своевременное исправление.

 

Поэтому лучше позвонить "соседу" и обнародовать "ключ" :) Это способствует защите пользователя (он будет знать где соломку подстелить) и активности разработчика.

Изменено пользователем Nesser
Ссылка на комментарий
Поделиться на другие сайты

Поэтому лучше позвонить "соседу" и обнародовать "ключ" :) Это способствует защите пользователя и активности разработчика.

 

Согласен. Потому, что мне вот например было бы неприятно, что вендор, которому я доверил защиту своего компа, что-то там темнит за моей спиной, прикидываясь, что все хорошо.

Ссылка на комментарий
Поделиться на другие сайты

Ну вы как дети малые... Ну давайте быть реалистами, ага?

 

Предположим, что у кого-то из вас есть информация об очередной дыре в каком-то софте. И чтобы "спасти мир" вы об это трубите по полной программе. Кто будет потребителем этой информации?

 

1. Компания-производитель, которая будет вас поминать весьма табуированными терминами, которая бросит все ресурсы на немедленное исправление, во вред новым версиям своих продуктов, а ПР-отдел бросится писать извинительные аннонсы, а саппорт будет "в ружьё" перед новой угрозой. А потом, недели через две, проснутся партнёры и клиенты - и по новой.

 

2. Пользователи продукта. Не считается, поскольку подавляющее большинство из них нифига не понимают в безопасности, дырах и прочем. И вообще они сидят только в Одно-...всякниках, почте, новостях, чатах, где еще - но только не в новостях о зловредах и компьютерной безопасности. Им это пофиг.

 

3. Кибер-мерзавцы, которые моментально используют новую возможность хакнуть и влезть в новые тысячи, десятки или сотни тысяч компьютеров-жертв.

 

И кто выиграл?

 

Есть еще категория 4. IT-отделы крупных компаний, которые узнают, но ничего сделать не успеют. Читай пункт 1.

 

Так что, в полной "свободе информации" заинтересованы только потенциальные клиенты исправительных заведений...

Ссылка на комментарий
Поделиться на другие сайты

Поэтому лучше позвонить "соседу" и обнародовать "ключ" smile.gif Это способствует защите пользователя (он будет знать где соломку подстелить) и активности разработчика.

Красиво и правильно

Но если ключ можно вытащить через 2 минуты. Но многие дыры закрываются гораздо дольше

 

Я бы сравнил обнародование чуточку по другому

Есть замок, который был популярен и разошелся по десяткам тысяч потребителей

Вы обнаруживаете, что если поработать с ключом следующим образом ...., то он начинает открывать любой такой замок....

Вы публикуете данное ноу-хау по обработке ключа.... Под заголовком "Обнаружена уязвимость в замках фирмы рога-и-копыта"....

50% людей тут же поменяли на другой замок.

А 10% поехали в отпуск и ничего не знали....

Вернулись с отпуска - а им подарок.... Некие товарищи, которые никому не товарищи воспользовались данной уязвимостью....

Угадайте кому эти 10% скажут спасибо.....

 

А с человеческой точки зрения - публикация уязвимости - это не забота о клиентах....

а самопЕар - смотрите какой я вумный и замечательный....

 

Сделал гадость - сердцу радость

Ссылка на комментарий
Поделиться на другие сайты

Красиво и правильно

Но если ключ можно вытащить через 2 минуты. Но многие дыры закрываются гораздо дольше

 

Я бы сравнил обнародование чуточку по другому

Есть замок, который был популярен и разошелся по десяткам тысяч потребителей

Вы обнаруживаете, что если поработать с ключом следующим образом ...., то он начинает открывать любой такой замок....

Вы публикуете данное ноу-хау по обработке ключа.... Под заголовком "Обнаружена уязвимость в замках фирмы рога-и-копыта"....

50% людей тут же поменяли на другой замок.

А 10% поехали в отпуск и ничего не знали....

Вернулись с отпуска - а им подарок.... Некие товарищи, которые никому не товарищи воспользовались данной уязвимостью....

Угадайте кому эти 10% скажут спасибо.....

 

А с человеческой точки зрения - публикация уязвимости - это не забота о клиентах....

а самопЕар - смотрите какой я вумный и замечательный....

 

Сделал гадость - сердцу радость

В общем согласен. Но я же и не говорю, что надо обнародовать сразу и вместе с отправкой дыры производителю. Да и почему сразу пиарится? Это совсем необязательное условие :)

Ну только в случае с софтом есть/должны быть автообновления, которые должны ставятся сервисом сразу по возвращении клиента из "отпуска" или без участия оного. Это только повысит класс качества софта. Или я не прав?

Ну а тот кто автообновления отключил, сам виноват и знал что делал.

Ссылка на комментарий
Поделиться на другие сайты

А если практиковать другой подход?

 

Допустим я обнаружил уязвимость в софте. Пишу об этом вендору с условием, что в случае не исправления уязвимости в течении некоего разумного периода (в зависимости от типа баги, например кто-то ее поправит автофиксом, а кому-то надо будет переписывать код почти с нуля) она будет обнародована.

 

Тут вам и ситмул разработчика исправить уязвимость, и информирование общественности о том что они (были) под угрозой.

Ссылка на комментарий
Поделиться на другие сайты

Согласен. Потому, что мне вот например было бы неприятно, что вендор, которому я доверил защиту своего компа, что-то там темнит за моей спиной, прикидываясь, что все хорошо.
Вы помните - что Майкрософт регулярно выпускает заплатки и патчи

и остальные производители операционных систем тоже?

Темнят :).... заразы....

 

Дружно переходим на "Феликс", в крайнем случае им удобно атаки отражать.... один раз Феликсом по атакующему и у того пропадает желание на долго :(

 

Пишу об этом вендору с условием, что в случае не исправления уязвимости в течении некоего разумного периода

Кто определяет разумность интервала?

и как это будет происходить?

Письмо вида

1. Вот вам бага, я даю вам 5 дней

2. Вот вам бага, давайте договоримся за сколько вы исправите

2.а. Договорились - хорошо

2.б. вендор просит 5 дней, а вы хотите за 4

3. ?

 

Да и почему сразу пиарится?
Хорошо, подберите другой термин.... по указанным условиям

1. Уязвимость есть

2. Объявлена в паблик

3. Не каждый пользователь может закрыть багу сам

4. Есть промежуток времени между опубликованием и выпуском новой версии/патча/обновлений, которые закрывают уязвимость

5. Есть промежуток времени между опубликованием патча и установкой на компы пользователей

6. есть некоторые компы, на которых исправление применить не получится.

пример. у меня есть 2 компа, которые современные, но на которых стоит Windows 98, потому что работает специфическое оборудование, софт под которое есть только для 98.

А замена оборудования выльется в такую денежку.... Мне дешевле поставить круглосуточную охрану и кормить её красной икрой и коллекционным вином. Которые будут бить по рукам пользователям, если они будут делать что-то кроме работы с оборудованием.

Ссылка на комментарий
Поделиться на другие сайты

Кто определяет разумность интервала?

 

4. Есть промежуток времени между опубликованием и выпуском новой версии/патча/обновлений, которые закрывают уязвимость

5. Есть промежуток времени между опубликованием патча и установкой на компы пользователей

Вадим, ты сам ответил на свой вопрос. Разумность объявления в паблик диктуется временем исправления.

 

6. есть некоторые компы, на которых исправление применить не получится.

пример. у меня есть 2 компа, которые современные, но на которых стоит Windows 98, потому что работает специфическое оборудование, софт под которое есть только для 98.

А замена оборудования выльется в такую денежку.... Мне дешевле поставить круглосуточную охрану и кормить её красной икрой и коллекционным вином. Которые будут бить по рукам пользователям, если они будут делать что-то кроме работы с оборудованием.

Это уже проблемы пользователя. Если он не может отказаться от устаревшего и неподдерживаемого софта, то вся ответственность за уязвимости на нем. Пример не удачен, на мой взгляд.
Ссылка на комментарий
Поделиться на другие сайты

Кто определяет разумность интервала?

 

Человек способный найти уязвимость как правило представляет как и почему она есть и имеет представление о способе устранения. Если это тупо поправить две строчки кода то и срок исправления несколько дней. Если же вендор просит на это 4 месяца, значит надо их подстегнуть публикацией.

Ссылка на комментарий
Поделиться на другие сайты

:( Вот приставте себе,что вы всё узнали-секреты соседа и у вас есть ключ,от квартиры где деньги лежат-.Народ есть разный,я уверен 85 из 100 соблазнятся и полезут.Я если б и знал,то не полез бы,может меня не все поймут,но главное чтоб я сам себя понял.Просто есть вещи,которые должны знать определённое количество людей.Нелуче просто доверять этим людям? Тем более если они знают больше. Лично я доверяю :) и знаю что если чего,то меня Большой брат спасет :( я про разблокировщик.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      В условиях современного мира становится все сложнее обеспечивать полноценную защиту информационной инфраструктуры предприятия, соблюдая при этом требования государственных регуляторов. С одной стороны, российский рынок покинуло огромное количество вендоров средств защиты информации (СЗИ), оставив многих клиентов без привычных ИБ-решений. С другой, требования регуляторов в вопросах кибербезопасности постоянно ужесточаются. Стало очевидно, что в рамках тренда на импортозамещение российскому рынку ИБ нужны качественные решения, отвечающие российским реалиям и требованиям. И в начале 2022 года мы представили целую линейку таких решений — Kaspersky Symphony во главе с ее верхним уровнем — Kaspersky Symphony XDR.
      Наш подход к разработке решения для российского рынка
      Начнем с того, что наша разработка полностью локальна: над решением для российского рынка работают исключительно эксперты, базирующиеся в наших российских офисах. Также мы сотрудничаем с государственными регуляторами в области сертификации продуктов. При разработке решений учитываются нормативные требования, актуальные потребности в импортозамещении и актуальные угрозы ИБ.
      При этом мы не прекращаем финансирование новых разработок, оптимизируя старые процессы, повышая общую эффективность наших решений, автоматизируя рутинные процессы и объединяя решения в единые защитные системы. Одновременно с этим мы создаем и развиваем собственные программы обучения и развития сотрудников, что позволяет не зависеть от зарубежных обучающих курсов и экспертных знаний. Причем речь идет не только о программах обучения по работе с конкретными СЗИ из нашего портфеля, но и о курсах по информационной безопасности в целом, где наши специалисты делятся экспертными знаниями по расследованию ИБ-инцидентов.
      Для того чтобы эффективно бороться с различными атаками, в линейке решений Kaspersky Symphony мы реализовали экосистемный подход к киберзащите, основанный на взаимной интеграции разных продуктов между собой для создания комплексной системы обеспечения информационной безопасности.
       
      View the full article
    • zvv
      От zvv
      Здравствуйте, AVZ нашел следующие проблемы

      Подскажите, пожалуйста, как их возможно устранить? Kaspersky Virus Removal Tool и Dr.Web CureIt! не находят проблем, но тем не менее Kaspersky Security Cloud не устанавливается по неизвестной ошибке. Защитник Windows не удаляет обнаруженные угрозы, в автономном режиме не запускается. TS360 удален, но не устанавливаться тоже, конфликтует!
      Даю ссылку на предыдущую тему
       
       
    • Kirillizator
      От Kirillizator
      Добрый день,
       
      Поискал по форуму не нашел данную тему.
      Ситуация наблюдается после обновления KSC до 14й версии. При попытке входа к раздел "Обновления программного обеспечения", система выдает сообщение "Не удалось загрузить список обновлений. Содержимое не готово. Пожалуйста, попробуйте позже." Лицензии для сервера есть. Советовали перезагружать, не помогает. Обновления клиентам при этом приходят.
       

×
×
  • Создать...