На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 1999-7-9 на главную / новости от 1999-7-9
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 9 июля 1999 г.

Эксперт по защите информации обличает низкопробное ПО

Мудж Эксперты по защите информации и так называемые white hat-хакеры, собравшиеся на конференцию Black Hat Security Conference в Лас-Вегасе, раскритиковали современное состояние информационной безопасности в компаниях, обвинив во всем производителей, выпускающих недоброкачественные с точки зрения защиты данных продукты.

«Контролируют ли хакеры ваши системы? Конечно», — заявил в своем выступлении Мудж (Mudge), руководитель группы L0pht Heavy Industries — сообщества хакеров, цель которого совершенствование защиты Интернета. Эта «фирма» принимает от компаний заказы как на взлом систем, так и на создание средств защиты для них.

Выступление Муджа затронуло больную тему всех конференций по информационной безопасности: воюя с конкурентами за влияние на рынке, производители наспех оснащают свое ПО все новыми функциями, а вопросам защиты внимания уделяют недостаточно. Решение: им не следует позволять прятаться за лицензии, в которых оговаривается, что ПО поставляется «как есть».

Решение — в ответственности
«Мы должны возложить ответственность на всех этих производителей ПО, — сказал Мудж. — Но стоит произнести слово „ответственность”, как лоббисты от программной индустрии тут же начинают осаждать Вашингтон, мешая принятию соответствующих законов. Поэтому необходимо создать такие условия, чтобы производители обязательно тестировали и сертифицировали свои продукты на степень защищенности».

Критику в адрес производителей ПО поддержала Ребекка Бейс (Rebecca Bace), президент компании Infidel, специализирующейся на проверке защиты. «Нужны меры, способствующие повышению качества программного обеспечения», — сказала она, указав в качестве примеров на крупные пробелы защиты в продуктах Microsoft, включая SiteServer 3.0, Windows NT и демокод, поставляемый в комплекте с IIS 4.0.

Microsoft — притча во языцех
На недостатки ПО Microsoft указывали многие участники конференции. В среду Мудж и президент Counterpane Systems Брюс Шнайер (Bruce Schneier), известный специалист по криптографии, распространили документ, в котором критикуется ПО Microsoft для создания виртуальных частных сетей (VPN), где для создания защищенных каналов в незащищенных сетях типа Интернета применяется шифрование. Как уверяют Мудж и Шнайер, VPN на базе протокола Microsoft PPTP, бесплатно прилагаемого к Windows NT, ничего не стоит взломать. «Для систем, в которых действительно важна безопасность, этот продукт Microsoft не годится», — сказал Шнайер, к которому компании часто обращаются по вопросам, связанным со степенью защиты ПО шифрования.

Год назад Мудж и Шнайер опубликовали анализ первой версии ПО Microsoft PPTP. В нем Шнайер назвал Microsoft «шарлатаном от безопасности» и показал, как легко взломать созданную посредством этого ПО защищенную сеть.

PPTP «течет» меньше
«Сегодня ситуация немного улучшилась», — признал он, добавив, что наиболее серьезные ошибки Microsoft исправила. Присутствующий на конференции администратор Microsoft Network, попросивший не называть его имени, отметил, что в других операционных системах ничуть не меньше проблем. «Sun Solaris и все дистрибутивы Linux имеют столько же пробелов в защите», — сказал он, добавив, что эти системы тоже разбухают в размерах и нечего критиковать Windows 2000 за раздутый код (около 40 млн строк).

К концу своего выступления Мудж немного смягчился. «Я использую Microsoft в качестве примера просто потому, что все ее знают, — сказал он. — Те же самые проблемы есть и у других». «Пока мы не устраним их, мы должны быть готовы к новым взломам, повреждениям веба и, что, наверное, хуже всего, к новым вирусам, — сказала Бейс из Infidel. — Melissa и ExploreZip только начинают скрести по вершине айсберга».

 

← июнь 1999 5  6  7  8  9  12  13  14  15 август 1999 →
Реклама!
 

 

Место для Вашей рекламы!