На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2002-1-24 на главную / новости от 2002-1-24
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 24 января 2002 г.

Академия наук: за глюки ─ под суд

Группа американских ученых заявила, что производители ПО должны нести юридическую ответственность за пробелы в защите своих продуктов.

Национальная академия наук (NAS) США порекомендовала законодателям принять законы, которые позволяли бы привлекать компании к ответственности за пробелы в защите, ставшие результатом уязвимости их продуктов. В опубликованном на прошлой неделе докладе, озаглавленном «Кибербезопасность сегодня и завтра: заплатите сегодня, чтобы не расплачиваться завтра», NAS призывает законодателей предпринять «шаги, которые сделали бы программное обеспечение более прозрачным, а на производителей и системных операторов возложили бы ответственность за пробелы в защите». Кроме того, ученые призывают принять законы, принуждающие производителей ПО сообщать о проблемах безопасности.

Сегодня, если злоумышленник использует в своих целях лазейку в каком-нибудь программном продукте, шишки валятся на всех, от самого взломщика до специалиста, обнаружившего ошибку. Перед судом обычно предстает только хакер. Для производителя ПО высшей мерой наказания служит огласка в прессе. К тому же компании часто отрицают, что взлом произошел из-за уязвимости их ПО. Они утверждают, что не получали прямых указаний на проблемы безопасности. Некоторые настаивают на том, что лазейка, обнаруженная специалистом, является чисто теоретической и не может эксплуатироваться в реальной жизни.

Однако после терактов 11 сентября, когда важность вопросов безопасности многократно возросла, компании все чаще стали оценивать степень защищенности своих продуктов и заниматься повышением их надежности. На прошлой неделе председатель правления Microsoft Билл Гейтс призвал сотрудников своей компании сделать безопасность «высшим приоритетом». Прежде Microsoft уделяла главное внимание расширению функциональных возможностей своих продуктов, подчас жертвуя при этом надежностью. Однако в разосланном всем сотрудникам Microsoft электронном письме Гейтс заявил, что компания должна сделать свое ПО «настолько безопасным, чтобы заказчики больше никогда не беспокоились об этом». 

 Предыдущие публикации:
2001-12-15   ФБР подтвердило существование инструмента интернет-сыска
2002-01-18   Гейтс: «Пора браться за повышение безопасности»
2002-01-19   Письмо Билла Гейтса: конец невинности
 В продолжение темы:
2002-01-31   Microsoft объединила поправки к Windows 2000
2002-02-06   Ошибки в чат-программе ставят под удар миллионы пользователей
2002-02-11   Баги в серверном ПО Microsoft открывают двери для хакеров
2002-02-17   Спор по поводу «ошибки» Microsoft не утихает
Обсуждение и комментарии
Medikus
25 Jan 2002 8:10 AM
Совсем недавно "отдельные святые умники" с пеной у рта на этих страницах доказывали, что о дырах должны знать только "посвященные", а всем остальным - "С Новым годом! Пошел нафиг!". Так что же сейчас я не вижу ни одного "святого гения" с новой порцией лабуды? Что, в рот Г@вно попало? Или вся рота идет не в ногу? Ау-у!
 

Noname
25 Jan 2002 10:01 AM
Так ведь статья не о том, кому положено знать о дырах, а о том, что пора ввести юридическую ответственность за некачественные программные продукты. Долой лицензии, ни к чему не обязывающие производителей ПО!
 

Qrot
25 Jan 2002 11:32 AM
2Medikus: тебе чего надо то? если имеешь что сказать по теме - так скажи, а не гавкай.
 

RoN - rodionlenta.ru
25 Jan 2002 5:27 PM
ИМХО - херня. "Перед судом обычно предстает только хакер" (с)
Это что же, если пидор какой-нибудь мне хату обнесёт, сажать не его, а разработчика замка ? Или вместе ?
 

Qrot
25 Jan 2002 5:52 PM
2RoN: разработчика замка и вора. а если к тебе придет человек и скажет - вот этот замок можно сломать так и так, и вовсе это не замок, а херня - ты кого в суд потащишь? но вообще, ассоциации с RL неверны, ИМХО.
вот здесь то опенсорс и накроется медным тазом - пересажают почти всех, останутся единицы.
 

RoN - rodionlenta.ru
25 Jan 2002 6:06 PM
2 Qrot:
Я тому человеку спасибо скажу и замок пропатчу (поменяю) :)) А от того разработчика замки больше покупать не стану.
 

quadic - quadicmail.ru
25 Jan 2002 6:41 PM
А как там по латыни будет "Что один человек построил другой завсегда сломать cможет"?
 

RoN - rodionrndex.ru
25 Jan 2002 8:46 PM
Не... ну , к примеру, стану я прогу писать и прозеваю что-нибудь, чтож меня за это на кол сажать ? Этак вообще никто ничего разрабатывать не станет... :-(((
 

Qrot
25 Jan 2002 11:42 PM
2RoN & quadic: да будут писать, будут, никуда не денутся. вообще, разговор идет о методах защиты, как я понял, а не о всем ПО.
ИМХО, хоть какое то наказание должно быть, иначе дойдем до того что можно будет просто написать - это ПО защищено такой-то конторой, кто не спрятался, мы не виноваты.
 

Qrot
25 Jan 2002 11:44 PM
2RoN: это ты такой правильный. а тот кто это замок глкавый сделал, возьмет и человека к суду привлечет - например, за то, что тот покупателей отпугивает. или за то, что он в этом замочке поковырялся, авторское право нарушил.
 

Medikus
26 Jan 2002 6:40 AM
2Qrot - запомни, поц: гавкают собаки, твои свояки и ты вместе с ними.
 

RoN - rodionrndex.ru
26 Jan 2002 12:11 PM
2 Medikus: Пока что тут никто не гавкал, кроме тебя. Сорри за резкость, но не люблю, когда на профессиональном форуме кто-то начинает на личности переходить. Нечего сказать по делу - вали нахер отсюда.
2 Qrot: Я сам, в общем-то, считаю себя больше разработчиком, хотя сейчас работаю не на чисто программерской работе, знакомых программеров у меня много. Убеждён, что всё это такие люди, для которых на первом месте при работе стоит увлечённость, интерес к работе и желание сделать продукт-конфетку. Могу поручиться и за себя и за тех людей, кторых я знаю: _никто_ из них не станет пускать в релиз продукт, содержащий известные им баги и дыры. Я верю, что это везде так. А послушать многих "ищущих альтернативу", так все остальные чуть ли не специально дыры делают, только они сами такие светлые, чистые и бессеребрянные - работают ради удовольствия.
Всё вышесказанное - это моё ИМХО, основанное больше на вере, чем на фактах, и не претендующее на стопроцентную истину.
 

RoN - rodionrndex.ru
26 Jan 2002 12:22 PM
2 Noname: Вот, смотри, допустим выпускается коробочный продукт. Юзер купил его, поставил, эксплуатирует. Опыт показывает, что среднестатистический юзверь вытворяет со своим рабочим местом такое, что не снилось в кошмаре ни проектировщику, ни кодеру, ни тестеру. Как в таких условиях давать какую-то гарантию за правильную работу софта. ИМХО - лицензия "AS IS" для коробочного продукта с ценой в пару сотен баксов / лицензия - это вполне нормально и ничего аморального в этом нет. А если софт делается на заказ и потом сопровождается, то никто его "AS IS" и не продаёт.
 

Qrot
26 Jan 2002 2:23 PM
2RoN: а много зависит от программера при выпуске релиза? релиз выпускает контора (а не программисты), руководствуясь ситуацией на рынке, а здесь уже как получится - могут баги в доки занести, могут на следующую версию перенести, а могут и вовсе "забыть".
ИМО, as is сейчас уже никого не устраивает - люди хотят гарантий, хоть каких-нибудь.
вот контора выпускает продукт для защиты чего-либо, и заявляет - у нас все ОК, мы крутые, мы вас защитим от всего угодно. и тут в инете появляется кряк для этой защиты - с DVD, с Adobe так было. человек нашел пробел в защите и выложил описание - считаю, имеет полное право, пока в инете еще свобода слова есть. а продуктик то уже вовсю используется, и пользователи несут убытки - с кого взыскивать? с того, кто халатно отнесся к разработке алгоритма, или к тому кто нашел ошибку? напомню, что ни косорциум по DVD, ни Adobe и не подумали исправлять свои алгоритмы, они предпочли засудить людей которые нашли у них ошибки.
другой вариант - из-за халатных отношений сисадмина к своей работе в сеть проник червячок, привел к полной остановке работы конторы - кто виноват? автор вируса - да, потому что запустил его в сеть, но админ то куда смотрел?
и напомню - речь в статье о пробелах именно в защите, а не в любом ПО.
 

Dmitry - dgzhmail.ru
26 Jan 2002 5:10 PM
То, как оно есть сейчас, толково. Ибо вы совсем не знаете, что такое по-настоящему НАДЕЖНОЕ ПО. Надежное ПО - это только заказное ПО. Надежное ПО - это только очень дорогое ПО. Надежное ПО - это ПО, за которое разработчик может и ДОЛЖЕН взять юридическую ответственность: материальную или даже уголовную. Возьмем, к примеру, ПО управления баллистическими ракетами. Разумеется, там все вылизано до немыслимости, вплоть до машинных кодов. И конечно те, кто это пишут, пойдут под суд, если что не так. Но и стоит это ПО немыслимые деньги. А ента Академия наук выставила себя в дураках такими заявлениями. Так что хотите коробочку за пару сотен баксов - терпите глюки. Ну а если вообще open source - то уж вы меня извините %) Халявщикам просьба не беспокоиться %)))
 

Qrot
26 Jan 2002 9:29 PM
2Dmitry:
OpenBSD - черт те сколько лет без удаленных дыр при установке по умалчанию. Qmail опять же. Это "безвоздмездно, то есть дадом" (С) Сова. Но очень надежно. И не на заказ.
И причем здесь ПО на ракетах? с статье же написано - "...привлекать компании к ответственности за пробелы в защите, ставшие результатом уязвимости их продуктов". защита, понимаешь? не вычесление правильной траектории, а защита от переполнения буфера (к примеру). ты знаешь как на ADA защититься от переполнения буфера при получении координат цели? я не знаю, но думаю что там такого понятия вообще нет, как и машинных кодов.

Хрюн, куда пропал? :)
 

RoN - rodionrndex.ru
26 Jan 2002 10:14 PM
Имхо, академикам в очередной раз поумничать захотелось.
Ясен-красен, насчёт того, чтобы человека, обнаружившего дырку тащить в суд - это говно полное, такие конторы надо гномить без жалости.
Ну а конторы, что баги в релиз пихают ради пары баксов лишних, надеюсь, будут в конце-концов свой хер без соли есть. Я работал в такой конторе когда-то. Продукт - полное говно, юзеры плюются, блюются, девелоперов по матери ругают. А начальству - пох..й, бо у них отношения с начальством тех юзеров хорошие. Вся херня пихалась без тестирования, так запустят - запустилось - "о... работает", а на остальное времени нет. Ну кое-кто до сих пор там работает, а я всех нахер послал и ушёл оттуда. И ещё ни разу не пожалел.
 

Qrot
26 Jan 2002 11:29 PM
2RoN: я не такие конторы имею ввиду. ПО должно соответсвовать рынку, и иногда выгоднее выпустить релиз с новыми фичами, а потом уже долизывать (тем более что долизывать все равно придется).
хех, я тоже такой гадкой конторе работал... сейчас вспомнил аж тошно стало - и смешно. потому что просто все было как Dmitry написал: на заказ, с сопровождением, за бешеные бабки и без тестирования практически. правда, ходили слухи что потом эти бешеные бабки возвращались руководству юзеров почти целиком. anyway таких гадов судить точно нужно.
 

glassy
27 Jan 2002 1:37 PM
Вот уж не думал здесь найти сподвижников! :)

Один васек (практически мой наставник, но интересовавшийся больше асмом и сетевыми технологиями) на 2 курса закончивший раньше меня, занимается вопросами безопасности. В контору приходит заказ потестить. Они, контора, сначала делают удаленную атаку, потом внутреннюю, и под конец -- на уровне отдельных компов.
теоретически после такой проверки можно вернуть объект на доработку. ИМХО статья для непрофессионалов, просто как новость.

 

RoN - rodionrndex.ru
27 Jan 2002 3:27 PM
glassy прав, статья - говно :)) Ничего толкового не сказано. "Давайте наказывать тех, кто допускает дыры в безопасности". Зато потом 1 абзац из трёх - про мастдай. По центу за слово я таких статей могу по восемь в день лепить :)
 

glassy - da2001hotmail.ru
28 Jan 2002 11:58 AM
2RoN: Это как я посуду мыл за ящик пива ;)
 

vIv
28 Jan 2002 4:54 PM
если какой-нибудь 3.14дор будет продавать задвижку-вертушку под лейблой "сейфовый замок", то его при помощи экспертизы можно "нагнуть" за недобросовестную рекламу. А когда такой же чмырь лабает ГУЙ-надстройки под видом ОС - это нормально...

ИМХО какая-то дискриминация... за что так IT-юзеров обесправили?
 

RoN - rodionlenta.ru
28 Jan 2002 6:16 PM
2 vlv: Поясни, плз, мне, тупому ламеру, что означает "ГУЙ-надстройка под видом ОС"?
 

RoN - rodionlenta.ru
28 Jan 2002 6:19 PM
2 vlv: Это, наверное, вы своим комьюнити, какую-то новую фичу выдумали и лабаете ? :))
 

Qrot
28 Jan 2002 7:25 PM
2vIv: а надстройка над чем собственно? :))
а вообще - за недобросовестную рекламу еще не одного хмыря в IT не посадили. а надо бы! а то развелось всякой ГНУси, понимашь...
 

glassy
29 Jan 2002 10:55 AM
Долой бинарники!!!
 

RoN - rodionlenta.ru
29 Jan 2002 11:57 AM
2 glassy: > Долой бинарники!!! - Переходим на скрипты ???
 

glassy
29 Jan 2002 4:41 PM
Долой бинарники у их распространителей!!!
(но звучит уже не так...)
:)
 

glassy
29 Jan 2002 4:41 PM
M$ must die!

Во, самое то!
 

RoN - rodionlenta.ru
29 Jan 2002 6:19 PM
Линукс - САКССС !!!!

Ещё более то!
:)))
 

Qrot
29 Jan 2002 11:20 PM
glassy, бЫклан ты наш, бинарники кто только не распространяет - и всеми "любимая" RedHat, и всеми уважаемая SuSE, и т.д. и т.п. и че, все must die?
 

glassy
30 Jan 2002 9:36 AM
*.i?86.rpm мастдай, *.src.rpm рулезззз!
 

vIv
1 Feb 2002 11:46 PM
2RoN: вот ежели напишешь "защищено против DoS", а он под DoS пронётся - добро пожаловать на нары 8-)

И имхо правильно!

Перестанут лохотронщики впаривать надстройки на ДОС под видом полноценных ОС. Да и ОС, к которым в закрытой инфе идёт "нестабильно при более одного Network Interface" , перестанут продаваться с обозначением "Serever"...
 

RoN - rodionlenta.ru
2 Feb 2002 11:03 PM
2 vlv: Тащи сюда:
1. Куски кода, которые убедят присутствующих здесь в том, что НТ есть "надстройка над ДОС".
2. Ссылку на закрытую инфу.
Насчёт нар - не знаю, но, если бы речь шла о моём продукте, то кое-кого из вашей братии в казённый дом вместе с адвокатом сводить бы стоило за подобные заявления.
 

glassy
5 Feb 2002 9:49 AM
lol
Кто-то защиту от DoS придумал?
 

 

← декабрь 2001 19  21  22  23  24  25  27  28  29 февраль 2002 →
Реклама!
 

 

Место для Вашей рекламы!