Storm, Srizbi и теперь Microsoft? Отдел по безопасности Microsoft Office использует свой собственный внутренний ботнет, который тестирует офисные приложения на уязвимости. Размер этого ботнета конечно не дотягивает до размеров Srizbi (более 300.000 инфицированных машин по последним подсчетам). Зато он играет ключевую роль в поисках новых уязвимостей в Office за счет симулирования широко распространенной fuzzing-технологии, представляющую собой тестирование программ с помощью случайных данных.
Стратегия взлома своих собственных программ стала нормой в отделе безопасности Office. Том Галлахер и Дэвид ЛеБлан, которые ведут это направление, проводят регулярные тесты и пытаются найти новые уязвимости в своих продуктах, и передают найденное ими разработчикам. Многие из обновлений безопасности в Office 2003 Service Pack 3 являются прямым результатом работы их команды анализировавшей полученную от ботнета информацию.
"Если мы считаем, что это рискованная область, где разработчики могут нуждаться в нашей помощи — мы пытаемся провести атаку в этом направлении" — сказал Галлахер. Кроме тестирования функций безопасности, тестируются и общие функции. "Наша задача — научить разработчиков как делать программы более безопасными", добавил он.
пятница, 18 июля 2008 г.
Торвальдс: разработчики OpenBSD - стадо мастурбирующих обезьян :D
Создатель Линукса Линус Торвальдс назвал разработчиков операционной системы OpenBSD "стадом мастурбирующих обезьян" в ходе жаркой дискуссии о их роли в индустрии IT-безопасности.
В рассылке разработчикам ядра Linux Торвальдс написал, что часть индустрии безопасности направлена на нахождение уязвимостей только для того, чтобы опубликовать информацию о них и привлечь к себе внимание. Это заявление было ответом на публикацию PaX Team, которая обвинила Торвальдса и других ведущих разработчиков ядра Линукс в "сокрытии влияния багов на безопасность".
Торвальдс написал, что раскрытие самих ошибок уже само по себе достаточно, без того чтобы маркировать каждую из них как дыру в безопасности. Он добавил, что преувеличение значения определённых ошибок только "цирк безопасности". "Это делает из людей занимающихся безопасностью героев, как будто бы люди которые закрывают обычные баги не так важны", - написал Торвальдс.
"Устранение обычных ошибок более важное дело, так как их намного больше. Я не думаю, что какая-нибудь эффектная дыра в безопасности должна считаться особенной по сравнению с ошибкой, ведущей к зависанию системы."
Особенно раздражают Торвальдса разработчики OpenBSD, которые фокусируются на безопасности и аудите. "Я думаю, что OpenBSD это стадо мастурбирующих обезьян, которые считают себя важными из-за концентрации на безопасности. Для меня безопасность важна. Но она не более важна чем всё остальное", - заключил Торвальдс.
Позже было заявлено, что Торвальдс извинился перед разработчиками OpenBSD.
В рассылке разработчикам ядра Linux Торвальдс написал, что часть индустрии безопасности направлена на нахождение уязвимостей только для того, чтобы опубликовать информацию о них и привлечь к себе внимание. Это заявление было ответом на публикацию PaX Team, которая обвинила Торвальдса и других ведущих разработчиков ядра Линукс в "сокрытии влияния багов на безопасность".
Торвальдс написал, что раскрытие самих ошибок уже само по себе достаточно, без того чтобы маркировать каждую из них как дыру в безопасности. Он добавил, что преувеличение значения определённых ошибок только "цирк безопасности". "Это делает из людей занимающихся безопасностью героев, как будто бы люди которые закрывают обычные баги не так важны", - написал Торвальдс.
"Устранение обычных ошибок более важное дело, так как их намного больше. Я не думаю, что какая-нибудь эффектная дыра в безопасности должна считаться особенной по сравнению с ошибкой, ведущей к зависанию системы."
Особенно раздражают Торвальдса разработчики OpenBSD, которые фокусируются на безопасности и аудите. "Я думаю, что OpenBSD это стадо мастурбирующих обезьян, которые считают себя важными из-за концентрации на безопасности. Для меня безопасность важна. Но она не более важна чем всё остальное", - заключил Торвальдс.
Позже было заявлено, что Торвальдс извинился перед разработчиками OpenBSD.
Подписаться на:
Сообщения (Atom)
