Andrey_D 2 Опубликовано 12 июля, 2010 Share Опубликовано 12 июля, 2010 Здравствуйте Евгений Валентинович. Когда я учился в институте. На предмете информационной безопасности наш преподаватель нам говорил какие методы применяются для защиты информации от проникновения в сеть из вне т.е из интернета,внешних носитетелей информации, внутренних угроз. Все компании твердят дословно: что у них самые лучшие системы и методы защиты покупайте наше программное обеспечение. Но я задал вопрос преподавателю как же узнать что к примеру антивирусное программное обеспечение действительно достойно продаваться на рынке. Мне был дан ответ: узнать можно только когда найдешь уязвимость т.е метод обхода защиты и т.д но главное чтобы эти попытки не вредили реальным систем. Получается что защиту надо попытаться обойти чтобы узнать достойна ли программа продаваться на рынке. Вопрос: Как вы считаете можно ли заниматься поиском уязвимостей(используя методы обхода сетевых экранов и других видов взлома) в программном обеспечении и потом именно сообщать (не используя в своих корыстных целях) производителю того или иного программного обеспечения что у них в том или ином месте есть уязвимость и чтобы они ее поскорей исправили ? P.S Приведу пример: мы пошли в магазин купили консерву с виду все впорядке и дата упаковки была указана в день покупки продукта, но прийдя домой и открыв консеры мы видим что все оказывается не так как указано на упаковке и товар просрочен. НЕ ВСКРЫВ БАНКУ НЕ УЗНАТЬ Ссылка на сообщение Поделиться на другие сайты
E.K. 11 229 Опубликовано 13 июля, 2010 Share Опубликовано 13 июля, 2010 Роскошный вопрос... Если будет еще конкурс на лучший вопрос - это кандидат. Попробую ответить.... Рыбу человек (хомо сапиенс) ловит уже не первую тысячу лет. В консервные банки закатывает уж как пару сотен лет (не знаю, надо гуглить). Массовый коммерческий софт пишет - лет всего-лишь тридцать. Т.е. стандарт упаковки рыбы в жестянки уже отработан, задокументирован, проверяем и нарушения пресекаются. А вот разработка софта - это еще очень неустоявшийся процесс, постоянно меняются и принципы разработки, да и само железо-операционки меняется, да и Интернет постоянно другой. Да еще мобильники... Короче, как правильно делать рыбные консервы - надо читать сертификаты и документацию. Как правильно делать софт - еще пока никто не знает. Лет через 50-100 - точно научимся, надо только подождать. Вопрос про уязвимости. Как мне кажется, если обнаружена серьёзная бага в софте - нужно сообщить производителю софта только. И никому больше. Примерно, если у Вашего соседа в двери торчит забытый ключ - это надо рассказать всем вообще? Или только позвонить соседу? Ссылка на сообщение Поделиться на другие сайты
Moldreik 3 Опубликовано 13 июля, 2010 Share Опубликовано 13 июля, 2010 нужно сообщить производителю софта только. И никому больше. Очень интересное сравнение про соседа. А почему же про баги в софте не должен знать никто кроме его производителя? На мой взгляд, чем больше людей узнают, тем лучше: меньше людей сделают неправильный выбор в сторону дырявого и некачественного приложения. Ссылка на сообщение Поделиться на другие сайты
E.K. 11 229 Опубликовано 13 июля, 2010 Share Опубликовано 13 июля, 2010 и больше кибер-негодяев узнает где "торчит ключ в двери". что лучше?.... Мне так кажется - лучше "позвонить соседу". Ссылка на сообщение Поделиться на другие сайты
Moldreik 3 Опубликовано 13 июля, 2010 Share Опубликовано 13 июля, 2010 (изменено) и больше кибер-негодяев узнает где "торчит ключ в двери".что лучше?.... Мне так кажется - лучше "позвонить соседу". Ну да, нужно же как-то утаить от общественности (читай от своих клиентов), что их машинам угрожает опасность. Очень удобный подход, фактически обязывающий пользователей быть еще и бета-тестерами за свои же деньги. Изменено 13 июля, 2010 пользователем Moldreik Ссылка на сообщение Поделиться на другие сайты
Nesser 923 Опубликовано 13 июля, 2010 Share Опубликовано 13 июля, 2010 (изменено) и больше кибер-негодяев узнает где "торчит ключ в двери".что лучше?.... Мне так кажется - лучше "позвонить соседу". Позвольте и мне поучаствовать. Продолжая аналогию с ключом. Мы нашли ключ и можем войти. Надо сообщить "соседу", но при этом скрывать "ключ" от остальных нет смысла. Так как "сосед" понадеется на то что никто не узнает и не станет торопиться забирать "ключик". Все же главное не неразглашение проблем, а их своевременное исправление. Поэтому лучше позвонить "соседу" и обнародовать "ключ" Это способствует защите пользователя (он будет знать где соломку подстелить) и активности разработчика. Изменено 13 июля, 2010 пользователем Nesser Ссылка на сообщение Поделиться на другие сайты
Moldreik 3 Опубликовано 13 июля, 2010 Share Опубликовано 13 июля, 2010 Поэтому лучше позвонить "соседу" и обнародовать "ключ" Это способствует защите пользователя и активности разработчика. Согласен. Потому, что мне вот например было бы неприятно, что вендор, которому я доверил защиту своего компа, что-то там темнит за моей спиной, прикидываясь, что все хорошо. Ссылка на сообщение Поделиться на другие сайты
E.K. 11 229 Опубликовано 13 июля, 2010 Share Опубликовано 13 июля, 2010 Ну вы как дети малые... Ну давайте быть реалистами, ага? Предположим, что у кого-то из вас есть информация об очередной дыре в каком-то софте. И чтобы "спасти мир" вы об это трубите по полной программе. Кто будет потребителем этой информации? 1. Компания-производитель, которая будет вас поминать весьма табуированными терминами, которая бросит все ресурсы на немедленное исправление, во вред новым версиям своих продуктов, а ПР-отдел бросится писать извинительные аннонсы, а саппорт будет "в ружьё" перед новой угрозой. А потом, недели через две, проснутся партнёры и клиенты - и по новой. 2. Пользователи продукта. Не считается, поскольку подавляющее большинство из них нифига не понимают в безопасности, дырах и прочем. И вообще они сидят только в Одно-...всякниках, почте, новостях, чатах, где еще - но только не в новостях о зловредах и компьютерной безопасности. Им это пофиг. 3. Кибер-мерзавцы, которые моментально используют новую возможность хакнуть и влезть в новые тысячи, десятки или сотни тысяч компьютеров-жертв. И кто выиграл? Есть еще категория 4. IT-отделы крупных компаний, которые узнают, но ничего сделать не успеют. Читай пункт 1. Так что, в полной "свободе информации" заинтересованы только потенциальные клиенты исправительных заведений... Ссылка на сообщение Поделиться на другие сайты
Kapral 1 322 Опубликовано 14 июля, 2010 Share Опубликовано 14 июля, 2010 Поэтому лучше позвонить "соседу" и обнародовать "ключ" smile.gif Это способствует защите пользователя (он будет знать где соломку подстелить) и активности разработчика. Красиво и правильно Но если ключ можно вытащить через 2 минуты. Но многие дыры закрываются гораздо дольше Я бы сравнил обнародование чуточку по другому Есть замок, который был популярен и разошелся по десяткам тысяч потребителей Вы обнаруживаете, что если поработать с ключом следующим образом ...., то он начинает открывать любой такой замок.... Вы публикуете данное ноу-хау по обработке ключа.... Под заголовком "Обнаружена уязвимость в замках фирмы рога-и-копыта".... 50% людей тут же поменяли на другой замок. А 10% поехали в отпуск и ничего не знали.... Вернулись с отпуска - а им подарок.... Некие товарищи, которые никому не товарищи воспользовались данной уязвимостью.... Угадайте кому эти 10% скажут спасибо..... А с человеческой точки зрения - публикация уязвимости - это не забота о клиентах.... а самопЕар - смотрите какой я вумный и замечательный.... Сделал гадость - сердцу радость Ссылка на сообщение Поделиться на другие сайты
Nesser 923 Опубликовано 14 июля, 2010 Share Опубликовано 14 июля, 2010 Красиво и правильноНо если ключ можно вытащить через 2 минуты. Но многие дыры закрываются гораздо дольше Я бы сравнил обнародование чуточку по другому Есть замок, который был популярен и разошелся по десяткам тысяч потребителей Вы обнаруживаете, что если поработать с ключом следующим образом ...., то он начинает открывать любой такой замок.... Вы публикуете данное ноу-хау по обработке ключа.... Под заголовком "Обнаружена уязвимость в замках фирмы рога-и-копыта".... 50% людей тут же поменяли на другой замок. А 10% поехали в отпуск и ничего не знали.... Вернулись с отпуска - а им подарок.... Некие товарищи, которые никому не товарищи воспользовались данной уязвимостью.... Угадайте кому эти 10% скажут спасибо..... А с человеческой точки зрения - публикация уязвимости - это не забота о клиентах.... а самопЕар - смотрите какой я вумный и замечательный.... Сделал гадость - сердцу радость В общем согласен. Но я же и не говорю, что надо обнародовать сразу и вместе с отправкой дыры производителю. Да и почему сразу пиарится? Это совсем необязательное условие Ну только в случае с софтом есть/должны быть автообновления, которые должны ставятся сервисом сразу по возвращении клиента из "отпуска" или без участия оного. Это только повысит класс качества софта. Или я не прав? Ну а тот кто автообновления отключил, сам виноват и знал что делал. Ссылка на сообщение Поделиться на другие сайты
SLASH_id 865 Опубликовано 14 июля, 2010 Share Опубликовано 14 июля, 2010 А если практиковать другой подход? Допустим я обнаружил уязвимость в софте. Пишу об этом вендору с условием, что в случае не исправления уязвимости в течении некоего разумного периода (в зависимости от типа баги, например кто-то ее поправит автофиксом, а кому-то надо будет переписывать код почти с нуля) она будет обнародована. Тут вам и ситмул разработчика исправить уязвимость, и информирование общественности о том что они (были) под угрозой. Ссылка на сообщение Поделиться на другие сайты
Kapral 1 322 Опубликовано 14 июля, 2010 Share Опубликовано 14 июля, 2010 Согласен. Потому, что мне вот например было бы неприятно, что вендор, которому я доверил защиту своего компа, что-то там темнит за моей спиной, прикидываясь, что все хорошо.Вы помните - что Майкрософт регулярно выпускает заплатки и патчии остальные производители операционных систем тоже? Темнят .... заразы.... Дружно переходим на "Феликс", в крайнем случае им удобно атаки отражать.... один раз Феликсом по атакующему и у того пропадает желание на долго Пишу об этом вендору с условием, что в случае не исправления уязвимости в течении некоего разумного периода Кто определяет разумность интервала? и как это будет происходить? Письмо вида 1. Вот вам бага, я даю вам 5 дней 2. Вот вам бага, давайте договоримся за сколько вы исправите 2.а. Договорились - хорошо 2.б. вендор просит 5 дней, а вы хотите за 4 3. ? Да и почему сразу пиарится?Хорошо, подберите другой термин.... по указанным условиям1. Уязвимость есть 2. Объявлена в паблик 3. Не каждый пользователь может закрыть багу сам 4. Есть промежуток времени между опубликованием и выпуском новой версии/патча/обновлений, которые закрывают уязвимость 5. Есть промежуток времени между опубликованием патча и установкой на компы пользователей 6. есть некоторые компы, на которых исправление применить не получится. пример. у меня есть 2 компа, которые современные, но на которых стоит Windows 98, потому что работает специфическое оборудование, софт под которое есть только для 98. А замена оборудования выльется в такую денежку.... Мне дешевле поставить круглосуточную охрану и кормить её красной икрой и коллекционным вином. Которые будут бить по рукам пользователям, если они будут делать что-то кроме работы с оборудованием. Ссылка на сообщение Поделиться на другие сайты
Nesser 923 Опубликовано 14 июля, 2010 Share Опубликовано 14 июля, 2010 Кто определяет разумность интервала? 4. Есть промежуток времени между опубликованием и выпуском новой версии/патча/обновлений, которые закрывают уязвимость 5. Есть промежуток времени между опубликованием патча и установкой на компы пользователей Вадим, ты сам ответил на свой вопрос. Разумность объявления в паблик диктуется временем исправления. 6. есть некоторые компы, на которых исправление применить не получится.пример. у меня есть 2 компа, которые современные, но на которых стоит Windows 98, потому что работает специфическое оборудование, софт под которое есть только для 98. А замена оборудования выльется в такую денежку.... Мне дешевле поставить круглосуточную охрану и кормить её красной икрой и коллекционным вином. Которые будут бить по рукам пользователям, если они будут делать что-то кроме работы с оборудованием. Это уже проблемы пользователя. Если он не может отказаться от устаревшего и неподдерживаемого софта, то вся ответственность за уязвимости на нем. Пример не удачен, на мой взгляд. Ссылка на сообщение Поделиться на другие сайты
SLASH_id 865 Опубликовано 14 июля, 2010 Share Опубликовано 14 июля, 2010 Кто определяет разумность интервала? Человек способный найти уязвимость как правило представляет как и почему она есть и имеет представление о способе устранения. Если это тупо поправить две строчки кода то и срок исправления несколько дней. Если же вендор просит на это 4 месяца, значит надо их подстегнуть публикацией. Ссылка на сообщение Поделиться на другие сайты
ГНОМ 1 Опубликовано 14 июля, 2010 Share Опубликовано 14 июля, 2010 Вот приставте себе,что вы всё узнали-секреты соседа и у вас есть ключ,от квартиры где деньги лежат-.Народ есть разный,я уверен 85 из 100 соблазнятся и полезут.Я если б и знал,то не полез бы,может меня не все поймут,но главное чтоб я сам себя понял.Просто есть вещи,которые должны знать определённое количество людей.Нелуче просто доверять этим людям? Тем более если они знают больше. Лично я доверяю и знаю что если чего,то меня Большой брат спасет я про разблокировщик. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти