Русская Америка - Russian America.
Новости на Русской Америке News События на Русской Америке Events Yellow Pages на Русской Америке Yellow Pages Доска объявлений на Русской Америке Classifieds Russian TV and Video TV/Video Знакомства на Русской Америке Dating Форум на Русской Америке Forum Чат на Русской Америке Chat Фотоальбомы RussianAmerica Photos
Русские в Америке. Русские знакомства, чат, форум.
Russian Chat, russian forum, russian dating.
 News Central
В мире
  Политика
  Разное
Бизнес
  Деньги
Общество
  Мода
  Религия
  Светская жизнь
  Шоу Бизнес
  Пикантные новости
  Животные
  Криминал
Спорт
Искусство
  Кино
  Музыка
Авто
Hi-Tech
  Интернет
  Hardware
  SoftNews
Здоровье
Путешествия
Вокруг света
USA
Россия
  
Ресурсы
  Самые последние
  Самые читаемые
Архив
 Другие ресурсы
Все Ресурсы

Рассылки
Газеты
Журналы
ТВ - Online
Радио

Юмор
  Анекдоты
  Игры
  Этикетки
  
Открытки
  Поздравь друга
  
Программа TV
Кино
  Новости кино
  Кинообзоры
  
Музыка
  Радио в internet
  Russian Top
  
Спорт
Web Обзоры Exler.ru
  
Читальный зал
ЭКСпромт - статьи для чайников
Компьютерные игры
Finance News
Автообзоры
Russian America Journal Digest
 Смотрите также
Yellow Pages
Объявления
Чат
Форум
  последнее

Читальный зал
  Стихи
  Проза
  Кулинария

Едем в Америку!
  Иммиграция
  Визы
  Советы

Знакомства
Фотоальбомы
Top Rating
  America TOP
  
Последние новости со всего мира.
 
NEWS CENTRAL >> Hi-Tech >> SoftNews

SoftNews

Microsoft "Платформа 2004". Безопасность ПО: Новый завет
3:04AM Saturday, Dec 6, 2003
Компьюлента. 28 ноября 2003 года, 17:20

"Компьюлента" продолжает публиковать материалы о конференции Microsoft "Платформа 2004". В этой статье приведены основные тезисы доклада Дэвида Лебланка, посвященного написанию безопасного программного кода. Лебланк занимается в Microsoft вопросами безопасности и является одним из авторов книги "Защищенный код", которая используется в процессе обучения программистов компании.

Главным тезисом доклада Лебланка стало доказательство необходимости создания программного обеспечения, изначально безопасного для использования. Это утверждение также является и частью стратегии Microsoft в рамках инициативы Trustworthy Computing ("Надежный компьютинг"), направленной на пересмотр кода существующего ПО компании и написание нового с упором на безопасность. По словам Лебланка, дыры в ПО зачастую появляются именно из-за ошибок на стадии проектирования и программирования. До 50% всех уязвимостей возникают именно на этой стадии.

Дэвид Лебланк
Дэвид Лебланк

Что необходимо сделать, чтобы обеспечить безопасность кода при его написании? Во-первых, считает Дэвид Лебланк, необходимо соответствующим образом обучать сотрудников. Если программисты не знают, где может скрываться уязвимость, они не смогут обеспечить безопасность продукта. Необходимо проверять работоспособность систем безопасности после написания программы - испытывать ПО на наличие наиболее распространенных уязвимостей. Кроме того, требуется то, что Лебланк назвал security push - придание импульса всей команде разработчиков в целях исследования кода на предмет безопасности.

Основные три правила безопасного ПО: оно должно разрабатываться с учетом вопросов безопасности, оно должно быть безопасным по умолчанию (неиспользуемые функции должны быть отключены в "заводских установках" ПО, что и было применено в Windows Server 2003 и сервис-паке для Windows XP), и оно должно внедряться с учетом вопросов безопасности. Последнее, опять-таки, означает обучение персонала клиентов Microsoft с целью недопущения злополучных ошибок при внедрении ПО, которые могут повлиять на уровень безопасности программного продукта.

Далее Лебланк перешел к конкретным вопросам "безопасного программирования", представив соответствущие тезисы, один из которых справедлив и сходен с вездесущими "законами Мерфи": "Все беды от неведомого". Далее последовали два уже не столь очевидных утверждения: "Увеличение числа тестировщиков ПО не гарантирует повышения безопасности" и "Наличие средств безопасности автоматически не повышает безопасность". Все три тезиса можно объединить в одно: попытка укрепить безопасность ПО простым увеличением объемов тестирования и средств контроля не сможет радикально снизить число уязвимостей, так как уязвимость может скрываться и в совершенно "невинном" фрагменте кода. Примеры подобных "невинных" фрагментов были приведены далее в ходе доклада Лебланка.

По мнению Лебланка, средства защиты от взлома должны быть многоступенчатыми, чтобы обеспечить защиту "на глубинном уровне". Программное обеспечение должно быть безопасным сразу после установки из-за того, что "никто и никогда не обращается к встроенной системе помощи" (это верно и для пользователей, и для администраторов систем). Меры по защите ПО должны опираться на уже существующий опыт. "Те, кто не знает истории, обречены на ее повторение", - говорит Лебланк.

Дэвид Лебланк в Москве
Дэвид Лебланк в Москве

При разработке безопасного ПО следует первоначально создать модель приложения для отработки на ней известных типов взлома. Нужно разделить угрозы на категории и создать "дерево угроз". Далее угрозы необходимо отсортировать по степени опасности, основываясь на следующих критериях: воспроизводимость (уязвимость можно использовать для взлома при любых условиях или только при определенном стечении обстоятельств), процент успешных использований уязвимости (опять-таки, уязвимость можно задействовать либо во всех случаях, либо в некоторых случаях можно потерпеть неудачу), затрагиваемые группы пользователей, легкость обнаружения уязвимости. На основе этой модели необходимо выстроить приоритеты работы по повышению безопасности программного продукта.

По словам Лебланка, врагом программистов номер один является ошибка переполнения буфера, то есть "попытка передачи большего объема данных, чем положено". По мнению Дэвида, те, кто считают, что некоторые ошибки переполнения буфера нельзя использовать, глубоко ошибаются. В этой, заключительной части доклада Лебланк привел примеры составления запроса на сайте, который приводит к выполнению команд пользователя, интегрированных в запрос. Простейшие примеры с соответствующим кодом демонстрировали, как можно с помощью модификации отправляемых на сервер данных получать над ним контроль. Кроме того, Дэвид продемонстрировал работу некоторых уязвимостей, которые ранее были обнаружены в браузере Internet Explorer. Например, раньше в этом браузере можно было загрузить сайт с "локальными" настройками безопасности, если точки в URL заменить на соответствующие шестнадцатеричные коды: программа отличала локальный ресурс от удаленного именно по наличию точек.

После доклада состоялась пресс-конференция с участием Дэвида Лебланка и представителей издательства "Русская редакция", которое выпустило русский вариант книги "Защищенный код", написанной Лебланком в соавторстве с Майклом Говардом. Стоит отметить, что тезисы доклада Лебланка на конференции "Платформа 2004" соответствуют содержанию книги, хотя в совместном труде Говарда и Лебланка проблема безопасности рассматривается намного глубже, с анализом реального кода на различных языках программирования.

В ходе пресс-конференции Лебланк ответил на некоторые вопросы корреспондента "Компьюленты". В частности, была затронута тема "пасхальных яиц" в программных продуктах, которым, кстати, в книге "Защищенный код" посвящена отдельная глава. Во время доклада Лебланк упомянул фразу Netscape engineers are weenies ("Разработчики Netscape - салаги"), которая использовалась как код шифрования в одном из модулей Internet Explorer. Отвечая на вопрос "Компьюленты" о наличии других подобных "бомбочек" в коде приложений Microsoft, в том числе "пасхальных яиц", Дэвид отметил, что теперь подобная самодеятельность программистов (известно, что в предыдуших версиях программ для Windows можно было отыскать то фото создателей, то трехмерную игрушку, как было в случае с Excel 97) строго запрещена и такие "шуточки" караются в Microsoft увольнением. В книге "Защищенный код" один из авторов пишет: "Должен сознаться, что в "предыдущей жизни" сам занимался этим, но только не в готовом приложении. Это была программа-прототип. Теперь я бы не стал писать "пасхальное яйцо", потому что знаю, что пользователям оно не нужно, да и откровенно говоря, у меня нет времени на это".

На вопрос о том, "ухудшились" ли условия работы программистов с началом воплощения в жизнь инициативы "Надежного компьютинга", Лебланк ответил, что, скорее, наоборот, улучшились. По словам Дэвида, одним из основных качеств программиста считается лень, и при работе с учетом вопросов безопасности он может это качество "реализовать", написав код один раз безопасным, не переписывая и дополняя всякий раз при обнаружении очередной дыры. Кроме того, Лебланк пояснил, что при обнаружении уязвимости в ПО Microsoft сторонними компаниями страдает, в первую очередь, не программист, который допустил ошибку в коде. Проводится расследование, с целью выяснить, почему ошибка не была обнаружена внутри компании, или если она была обнаружена, то почему ее не исправили. Впрочем, "если сотрудник постоянно допускает грубые ошибки в коде, это может послужить поводом расстаться с ним", - заметил Лебланк.

Высказал свое мнение Лебланк и по поводу модели разработки ПО в сообществе open source. Он привел в пример открытый проект, разработкой которого никто не интересуется, из-за чего идея остается нереализованной. В Microsoft, говорит Лебланк, программистам платят деньги, и не они решают, что им делать, а что - нет. Из-за этого модель разработки коммерческих программ эффективнее. Но в то же время, Лебланк отметил, что с точки зрения собственно разработки, а не организации, разница между коммерческим и свободным ПО не так уж и велика.

Смотрите также: Hi-Tech, Интернет, Hardware
 
Читайте также:

Microsoft TBox заменит бортовой компьютер автомобиля

Diebold будет встраивать в банкоматы брандмауэр

Письмо SCO к пользователям Linux

Готовится бета-тестирование второго сервис-пака для Windows XP

Бесплатный антивирусный софт от Computer Associates

Новая система электронного документооборота NauDoc 3.0 от Naumen


Разнософт: Программа для хранения ссылок

Microsoft готовится к выходу на массовый авторынок

Microsoft будет готовить в Японии специалистов по компьютерной безопасности

IBM, Sun, HP и Dell продвигают Linux для настольных компьютеров

N-Bench 3.0 - программа от AMD для тестирования производительности ПК

Серьезная дыра в MacOS X

Первая информация об операционной системе Solaris 10

Снова найдены критические дыры в Internet Explorer

Урегулирован коллективный иск против Microsoft в штате Теннесси

SCO отрицает слухи об иске против Google

Разнософт: Утилита для переименования файлов

Microsoft бесплатно раздает XML-схемы для Office 2003

"Платформа-2004": Microsoft продемонстрировала противоспамовые средства

Microsoft прекращает развитие NetMeeting

Бывший сотрудник Microsoft осужден за мошенничество



Рассылки:
  Новости-почтой
  TV-Программа
  Гороскопы
  Job Offers
  Концерты
  Coupons
  Discounts
  Иммиграция
  Business News
  Анекдоты
Многое другое...

News Central Home | News Central Resources | Portal News Resources | Help | Login
Russian America Top Rating © 2024 RussianAMERICA Holding
All Rights Reserved • Contact