Vlákno názorů k článku Sporná otázka bezpečnosti od anonym - Pisete popisy reálných mezer jsou k dispozici ......
-
Pisete popisy reálných mezer jsou k dispozici ... zločincům, kteří by je sami odhalit nedokázali. Jaky pro to mate dukaz ? Ve skutecnosti zlocinci JSOU schopni odhalit chyby a delaji to - jenom se o tom malokdy dozvime. Vyznam "lovcu mrsin" je pak v tom, ze narozdil od zlocincu o nalezenych chybach reknou autorovi programu, ktery je muze zalepit. Nebo alespon takovy by jejich vyznam mel byt - nepopiram, ze nektere nalezene chyby vypadaji jako ze je blbost je hlasit a asi budou i chyby, ktere autor zalepi jen proto, ze si chce udrzet vysoke skore ve hre na program bez hlasenych bezpecnostnich chyb, protoze v realite jsou k nicemu. Kazdopadne je ale lepsi, kdyz ty "lovce mrsin" mame, nez kdyby jsme je nemeli, protoze chyba skutecne vznika pri psani kodu (jakkoliv nebyvaji chybou programovaci, ale proste variantou vstupnich dat ktera autora nenapadla) a ruzni lide potom mohou nezavisle objevit stejnou chybu.
Priklad z praxe: tuhle mi nekdo hlasil, ze v mem sifrovacim algoritmu je chyba projevujici se kdyz jedny data zasifrujete dvakrat se stejnym parametrem time. Sakra, od toho se ten parametr jmenuje time a je nastavovan funkci time(), aby byl pokazde ruzny ! Ale v necem mel ten clovek pravdu: je lepsi na to explicitne upozornit. Tak jsem to udelal (a asi dvakrat prodlouzil dokumentaci :-)). Mohlo by se totiz stat, ze nekdo vezme kus meho kodu, neprohledne si ho a zabuduje ho nekam, kde tohle chovani zpusobi vaznou bezpecnostni chybu ... -
Docela by me zajimal pomer mezi zneuzitymi chybami objevenymi "lovci mrsin" a chybami objevenymi samotnymi hackery (zneuzitymi drive nez existuje nejaky verejne znamy exploit). Ze zprav ktere si prectu na siti to na me pusobi tak, ze ve vetsine pripadu nekdo obevi diru, publikuje v cem problem spociva, toho se chytne nekolik "zloduchu", kteri ji vyuziji k napadeni systemu, ktere jeste nejsou proti teto chybe osetreny. Z toho mi tedy vychazi to, ze kdyby nebyla dira objevena temi hodnymi, s velkou pravdepodobnosti by nebyla zneuzita temi zlymi.
Existuje nekdo, kdo se timhle problemem nejak seriozne zabyva? Tady na diskuzi to vypada tak, ze si kazdy mysli neco, co nema nijak statisticky podlozeno. -
JeromeHeretic (neregistrovaný)Zijes ve svete, kdy se tymy hackeru stavaji soucasti armady (viz. napr: http://www.underground.cz/1133 ). Mas pocit, ze kdyz takovyto tym zrovna nepracuje na zadne "misi", jenom sedi a dloube se v nose? Naopak... oni hledaji a shromazduji chyby. Veskere poznatky vzesle z jejich vyzkumu jsou TOP SECRET, nebot kazda jimi objevena chyba je "strategicka zbran". Premyslej o tom...
-
dejf (neregistrovaný)No a ty si myslis, se je vyhodne, aby byly mnohe pocitace po celem pod kontorlou armady USA jen proto, ze postupy ktere pouzivaji nikod nehledal a nepublikoval?
Jde ale o jiny problem: kazda chyba muze mit dopad mnoho let po svem napsani prave diky nejakym dodatecnym okolnostem, kdyby ji nekdo obevil a opravil nazacatku, nemusela by se po tech deseti letech prepisovat mnohem vetsi kvanta kodu. Navic, nikdy nemuze autor tusit k cemu se jeho soft bude jednou pouzivat a treba kus hry pujde pouzit v zobrazovacim enginu k CTcku v nemocnici, buga zpusobi drobnost, zlomenina se nejaky opravnym mechanismem zalepi :) -
Opravdu povazujes za divne, ze nikdo nema kvalitni a spolehliva data o poctu objevenych nereportovanych bugu ? A co takhle data o poctu bezdomovcu v lete ? Pocet lidi nakazenych tuberkulozou, kteri nesli k doktorovi ? Pocet lidi nakazenych HIV, kteri o tom nevedi ? Nebo co treba cena vsech neobjevenych potopenych pokladu (na lodich) ?
-
Hmmm (neregistrovaný)Dovolím si upozornit na to, že většina "děr" je známa mnohem později, než byly zneužity a opravdu schopného protivníka na síti nijak lehce nenajdete a představa, že on sám bude publikovat díry, které zneužívá je dost tristní. Takže to co vlastně známe a vidíme je jen špička ledovce. Co je pod hladinou, o tom se nám ani nesní... Většina rozumných "zločinců" neničí systémy, neničí data, pouze je inteligentně využívá a to tak, aby vás moc neomezovali. Souhlasím s tím, že díry, které se najdou rychle jsou obecně méně nebezpečné než ty, které se nenajdou vůbec. U těch posledních zase ale můžeme klidně spát, protože o nich sami nevíme a proto nás ani trápit nebudou.
To máte jako s vaší tělesnou schránkou. žije v ní mnoho organizmů, o některých víte, o některých ne. Nikdy se vám je nepodaří zcela zlikvidovat a ochránit se před nimi. Některé vám mohou i pomoci. S tou bezpečností je to stejné jako se zdravím. Můžete být zdraví více nebo méně, ale stejně nakonec umřete... Podstatný není cíl, podstatná je cesta. To znamená proces vzniku, vývoje, soutěže a zániku, stejně u člověja jako u SW a na tom procesu nejvíce záleží. Ten proces může být lepší ( Open Source ) nebo horší (MS). Tím je třeba se zabývat, ne tím, že za posledních 14 dnů tu byly 3 chyby z toho 1 kritická a tam 2 chyby a z toho obě kritické.
