Цитата: DarkRaider от 21.04.2017 21:11:581) Это очень распространенная иллюзия, что "открытый код анализируют миллионы глаз и мозгов". "Понимание происходящего"+"Умение найти причину"+"понимание какие последствия вызовёт "правка" - это признаки высококлассных специалистов которых от этого миллиона 0.00..1% + они редко бывают фанатиками-бессеребренниками готовыми ночи напролёт анализировать груду кода в поисках всеобщего совершенства. Если выправляются и быстро - значит либо это ошибки невысокого уровня сложности, либо не за бесплатно для исправляющего.
А теперь противопоставим этому закрытый код. Исходников нет и не будет. Дизассемблирование - это ОЧЕНЬ сложно, ОЧЕНЬ дорого и требует ОЧЕНЬ высокого уровня квалификации.
Но ещё остаётся класс "юнных хацкеров энтузиастов" - которые "по умолчанию" - фанатики и "бессеребренники" думающие о том, как бы покруче свою жизнь устроить. Вот именно этот класс активней всего "сидит и анализирует открытый код" - "потому что может"(как в одном анекдоте про животных).
Вывод для меня был всегда однозначен: открытый код сам по себе идеально безопасным быть не может, так как желание "юнного хацкера" - поломать ВСЕГДА превалирует над желанием профессионала забесплатно сделать этот мир лучше, а искать "уязвимости" в доступном исходном коде намного проще чем в скомпилированном файле (не стоит забывать что дизассемблирование нормальных классических исполняемых файлов, зачастую невозможно до "первоначального вида исходника").
Цитата: DarkRaider от 21.04.2017 21:11:582) Замечательно так говорить и думать пока перед тобой не встаёт задача такого анализа, даже банального обмена между 2 компьютерами, даже по простым протоколам, хотя бы за день. Для справки - фрагмент обмена трафиком по сути банальный открытый вид с попадающимся XML Https IM за часовую "сессию" может легко "обрабатываться"(расшифровываться и расписываться) wireshark`ом больше 6 часов. Когда вопрос выходит за "поиск определённой цифры или строки" в потоке - такой анализ "вручную" будет занимать неимоверное количество времени и мощностей.
Цитата: pkdr от 25.04.2017 11:11:321. Описанный вами "метод защиты" правильно называется "security by obscurity" и уже лет 20 как считается совершенно неэффективным средством безопасности.
Цитата2. Вы может быть не заметили ... А корпорации ... заменяют профессионалов на толпы рукожопых, зато очень дешёвых, индусов
Цитата5. Основное количество уязвимостей находят при помощи анализаторов работающих процессов, подсовывании некорректных параметров и т. п., а не анализом кода. Таким анализаторам в принципе наплевать на открытость или закрытость кода.
ЦитатаНа самом деле всё не так страшно, не припоминаю случаев когда надо что-то анализировать сложно
Цитата: DarkRaider от 25.04.2017 22:21:58А теперь посмотрим на это чуть чуть с другой колокольни:
- принцип, который хорошо "не работает" в криптосистемах и коммуникациях, в приложении к ПО - будет неоднозначным. Почему? Потому, что, в первых системах - основную ценность имеет передаваемая информация, как единица и несущественно каким образом она будет "защищена" или "передана", если соблюдены граничные условия. В ПО (как системном так и прикладном) - основная ценность - это алгоритмы работы. Нам всё равно какая информация в бинарном exe, но важно чтобы этот процесс нормально работал, то есть Операционная Система создала пространство исполнения и интерфейс с аппаратной частью, распределила доступные ресурсы и права.
- и теория и практика давно показывают: абсолютно надёжных (в плане взлома) систем и программ - нет. Современный мир таков, что сложность "взлома" определяется временем(обнаружение, проникновение, обратные каналы и прочие этапы), ресурсами(деньгами, мощностями) и "правами"(государственный уровень, бизнес, профессионалы, любители, школьники). "Закрытый код" - это эффективный метод удорожания взлома минимум по 2 приведённым параметрам. "Открытый код" - шаг в сторону "удешевления", так как поиск уязвимостей при заранее известных алгоритмах - проще. Тут полезно немного расширить соображалку, ведь уязвимости не только в ПО - если достоверно известно что "тут используется совершенный открытый алгоритм, знание которого ничего не даёт, кроме понимания, что нужна ключевая последовательность" - то зачем пытаться дальше копать в эту сторону? можно быстрей приступать к другим методам... коммуникациям, терморектальному анализу наконец.
Цитата: DarkRaider от 25.04.2017 22:21:58Пример? ну давайте, например, возьмём расчётное инженерное ПО. Есть математический модуль, созданный группой профессионалов на стыке нескольких наук - математиками, материаловедами, конструкторами, технологами и реализованный программистами. Результат работы этого модуля - расчёт механических параметров, допустим, деформации некоей детали. Показатель эффективности - точность полученных параметров. Модуль написан для вполне определённых вычислений (оборонка, корпорации, компании, государства, службы) - нужное подчеркнуть. Каков шанс получить opensource модуль выдающий результат (точность расчётов) не хуже?
Цитата: DarkRaider от 25.04.2017 22:21:58Он обратно пропорционален сложности расчётов и стремится к нулю. Почему? Потому, что "стадо энтузиастов" априори не может сформировать нужную команду профессионалов РАЗНЫХ нужных областей без централизованного управления. "Профессионалы за деньги"? которых нужно найти, нанять, координировать, обеспечивать и ещё очень много чего надо - это означает создать "параллельную команду", потратить много времени и ресурсов - зачем? чтобы реализовать модуль и сделать его opensource?
Цитата: DarkRaider от 25.04.2017 22:21:58- хорошо работает для коммуникаций, плохо для вычислений
Цитата: DarkRaider от 25.04.2017 22:21:58Вероятно, набор проблем перед нами стоит разный? Впрочем, я не упоминал анализ трафика в разрезе opensource, я говорил о том, что этот процесс увеличивает сложность пропорционально объёму входных данных в геометрической прогрессии. Найти 3 зелёных иголки в одном маленьком стогу быстрее, чем четырёх больших и совсем всё плохо, когда одна из этих трёх иголок может быть красной.
Цитата: pkdr от 25.04.2017 23:20:27И, как показывает практика, почему-то нынче ботнеты на 99% состоят из "защищённых закрытым кодом" виндовых машин, а не из гораздо более многочисленных линуксов.
Цитата: DarkRaider от 25.04.2017 22:21:58А теперь посмотрим на это чуть чуть с другой колокольни:
ример? ну давайте, например, возьмём расчётное инженерное ПО. Есть математический модуль, созданный группой профессионалов на стыке нескольких наук - математиками, материаловедами, конструкторами, технологами и реализованный программистами. Результат работы этого модуля - расчёт механических параметров, допустим, деформации некоей детали. Показатель эффективности - точность полученных параметров. Модуль написан для вполне определённых вычислений (оборонка, корпорации, компании, государства, службы) - нужное подчеркнуть. Каков шанс получить opensource модуль выдающий результат (точность расчётов) не хуже?
Цитата: pkdr от 25.04.2017 23:20:27Основные взломы как раз и происходят на этапе коммуникации, приложение, которое с миром не общается никто и не взламывает.
У меня такое ощущение, что вы говорите исключительно о взломе программ которые требуют лицензию
Цитата И, как показывает практика, почему-то нынче ботнеты на 99% состоят из "защищённых закрытым кодом" виндовых машин, а не из гораздо более многочисленных линуксов.
Цитата 2. Математического и научного ПО в опенсорсе и так немеряно, может быть там уже всё и так есть.
Цитата Ну, например, такое "стадо энтузиастов" сформировало команду профессионалов из разных областей и сделало ядро linux
Цитата linux в настоящее время самое распространённое в мире и технологически лучшее ядро ОС из массово используемых.
Цитата например коммерческие продукты в принципе неконкурентноспособны в таких сложнейших областях: сеть, веб-серверы, бигдата, хайлоад, суперкомпьютеры, nosql, кластеры.
Цитата: adolfus от 26.04.2017 01:31:32Потому что в конце цепочки стоит программист, который вынужден разбираться в проблеме "снизу", потому что ему нужно программу не только написать, но и отлаживать. В резульате в программе будет ровно столько интеллекта "специальной группы профессионалов", сколько эта группа сможет вложить программисту в голову, и не больше.
ЦитатаВы может быть не заметили, но 90-е годы закончились 17 лет назад, нынче опенсорс пишется профессионалами и за деньги.
Цитата: adolfus от 26.04.2017 01:31:32Не меньший, чем в случае "специальной группы профессионалов". Потому что в конце цепочки стоит программист, который вынужден разбираться в проблеме "снизу", потому что ему нужно программу не только написать, но и отлаживать. В резульате в программе будет ровно столько интеллекта "специальной группы профессионалов", сколько эта группа сможет вложить программисту в голову, и не больше. Как-то встречался с такими профессионалами. Приносят мятую общую тетрадку в 96 листов формата A4, исписанную куриной лапой в различных направлениях, и говорят через губу – вот алгоритм. Пиши программу. Я говорю – косинус около нулядостигает пятине работает и нужно все эти формулы переписать как-то иначе, а он тебе, типа я профессор и защитил полсотни кандидатов, а ты дурак – программируй давай.
Цитата: AndreyK-AV от 29.04.2017 06:20:32Была такая профессия "постановщик задач".
Любой алгоритм расписывается строго по ГОСТ... ISO.... ТУ....ОСТ
Для этого создана чёртова туча CASE средств, и куча стадий и этапов работ.
Цитата: Igor_FF от 17.04.2017 12:17:42Вот оно
Цитата: TAU от 03.05.2017 20:48:01Нет. Вот. СУБД Линтер.
Ниже приведены основные возможности ЛИНТЕР: Хранение больших объемов данных, в том числе BLOB-объектов, которые могут содержать любую информацию (например, мультимедийные данные), общим объемом до 3.9 Тбайт; Использование полного набора возможностей стандартного (ANSI/ISO SQL-92) языка SQL для построения сложных запросов к данным; Полнотекстовый поиск в базе данных; Использование гибкой системы безопасности информации (ЛИНТЕР сертифицирован Государственной технической комиссией при Президенте РФ на соответствие 2 классу защиты информации от несанкционированного доступа); Контроль целостности информации; Импорт из внешних источников данных; Экспорт данных в файлы; Сохранение/восстановление базы данных целиком или выборочно. Реализована возможность создания архивной копии БД без остановки работы приложений; Создание и исполнение хранимых процедур и триггеров; Использование возможностей реального времени. ЛИНТЕР работает на различных программно-аппаратных платформах (MS WINDOWS NT/2000/XP/Vista/2003/98/95/CE, Linux, FreeBSD, UNIXWare, UNIX SYSTEM V, SINIX, SUN Solaris, Digital UNIX, USIX, OS/9000, OS-9, QNX, VAX/VMS, OpenVMS, OpenVMS/Alpha, VX Works, HP-UX, Embedded Linux (Zaurus), Novell NetWare, ОС 2000, OS/2, AIX, IRIX, MCBC, ИНТРОС, PalmOS
Цитата: folk от 04.05.2017 08:53:42http://linter.ru/ru/documentation/information/html/arht_all/arht.html#N2161A
Что то я не вкурил что там блокируется - строки, блоки, таблицы? Вообще часть с описанием транзакций настораживает.
ЦитатаОбновление. Сведения о том, как использовать эту уязвимость, теперь становятся общедоступными. Важно как можно скорее принять меры для обеспечения безопасности уязвимых систем. См. Наше руководство по смягчению или подробности обслуживания клиентов ниже.
1 мая корпорация Intel опубликовала рекомендации по безопасности, касающиеся уязвимости прошивки в некоторых системах, использующих технологию Intel® Active Management Technology (AMT), технологию Intel® Standard Manageability (ISM) или технологию Intel® Small Business (SBT). Уязвимость может позволить сетевому злоумышленнику удаленно получить доступ к бизнес-ПК или устройствам, использующим эти технологии.
Цитата: Поверонов от 10.05.2017 07:57:10Важная информация о защищенности встроенной программы Intel Manageability
реакция на Wikileaks из CIA
Цитата: Senya от 10.05.2017 10:02:46В кучу ко всему.
Указ Президента Российской Федерации от 09.05.2017 № 203 "О Стратегии развития информационного общества в Российской Федерации на 2017 - 2030 годы"
http://publication.p…1705100002
http://publication.p…2?type=pdf
Цитата: Поверонов от 11.05.2017 08:05:23Юмор использования антивирусной системы Касперского госучреждениями США состоит в функции антивируса сканировать абсолютно весь имеющийся в компьютерах код и отсылать подозрительные сигнатуры на дополнительные исследования в центральную лабораторию. После этого хакерам там делать нечего.
Цитата: andron от 12.05.2017 17:43:11Так ведь все антивирусы так работают.
Мало того, скорее всего (это предположение ) некоторые антивирусы пропускают свои (нужные) вирусы в систему.
Цитата: Поверонов от 13.05.2017 16:43:52Вирус затронул в основном WindowsXP поддержка которых закончилась еще в 2015 году.
Цитата: Senya от 13.05.2017 18:26:40Но патч для них сейчас выпустили, в том числе и для русских домашних.
Цитата: Поверонов от 13.05.2017 20:59:09Далеко не все делают регулярные бэкапы компов