ソース中毒
このため、さまざまな技術を見てきました悪人スクイーズトロイの木馬の機能を使用して私たちのシステムです。 しかし、おそらく、最も気になるトロイの木馬ベクター悪質なコードを挿入するには、ソフトウェア製品の前にもリリースしました。 攻撃者がトロイの木馬プログラムの中に、ソフトウェアのベンダーの開発およびテストのプロセスです。 アタッカーとして採用すると仮定する店の従業員は、主要なソフトウェアの開発への貢献やボランティアのコードを、オープンソースソフトウェアのプロジェクトです。 ターゲットの可能性があるもの;主要なオペレーティングシステムは、広く使われてエンタープライズリソース計画ツール、またはプログラムで使用されても、非常に難解な銀行振込みご希望のすべての資金を管理して目標をみずみずしいます。 テスターまたは開発者としても、攻撃者が裏口を挿入する比較的小さな未満の100kbのコードの中で何百人ものメガバイト以上の合法的なコードです。 それは実際には無駄骨! すべてのユーザーが製品の購入をご希望の無意識のうちに購入するとトロイの木馬をインストールして、システムにします。 全体のソフトウェア製品自体が、トロイの木馬、有用な何か(それが理由で購入したり、ダウンロードすること)は、まだこの裏口マスキングします。 ケントンプソン、有名なのunix cocreatorとcプログラミング言語グルは、議論の重要性を制御するソースコードとバックドアの可能性を作付けしたことで有名な1984年の論文タイトルは"反省の信頼を信じて疑わない"と述べた。 そのクラシック紙、トンプソンのソースコードを記述するコンパイラを変更するように裏口を建てたすべてのコードをコンパイルしています。 提案は特に陰湿な攻撃は、新たなブランドとしても、コンパイラであるということは、トロイの木馬をコンパイルして、古いバージョンのコンパイラは、ご希望の裏口では、もします。 このアベニューの攻撃に懸念を入れてきました、そして今日は、さらに大きな潜在的な問題だ。 この懸念はさらに心をかき乱すよりtrojaningのソフトウェア配布して議論されたサイトの最後のセクションをご覧ください。 ときに、攻撃者trojanizesのソフトウェア配布サイトでのソフトウェア開発者が、少なくともきれいなバージョンのソフトウェアを検出することに反対の口実を比較することができます。 支持する問題は、比較的簡単検出後には、きれいなバージョンのソフトウェアに配置することができ、ウェブ上のサイトで配布します。 その半面、埋め込み場合、攻撃者にトロイの木馬、ソフトウェアの開発プロセスの中には、ベンダーがあるかもしれません。きれいにコピーします。 気の利いた攻撃している場合は、特に、彼らは合わさる小さく、目立たない裏口を通して、通常のコードは、非常に難しいの根絶作りました。 ソフトウェアの開発者がコードをスキャンする膨大な量の全体の整合性を確保するための製品です。 大規模なソフトウェア製品は、より多くの困難になると根絶検出します。 これはなぜ分析してみようよ。 複雑なコードを簡単に攻撃最も近代的なソフトウェアツールは、広大な範囲にします。 コードのバグを検出し、ましてや、バックドアは非常に難しいとコストがかかります。 トロイの木馬、ソフトウェア製品には、従業員の悪すらありません。全体を実際に書き込みをして裏口の製品です。 その代わりに、悪意のあるコードを書く開発者が意図的に悪用する脆弱性が含まれ、バッファオーバーフローのような、それを攻撃しようと、マシンを引き継ぐます。 効果的に、このような目的をもった傷行為とちょうど同じように裏口ます。 欠陥sneaks過去の場合は、ソフトウェアのテストチームは、開発者の一人だけ知っているだろう穴については、最初にします。 欠陥が悪用されると、任意のコントロールを使って、システムの開発者が自分のコードです。 を取得するためにどのように簡単に感じるような意図的な欠陥またはトロイの木馬がきしむ音も完全に過去のソフトウェア開発プロセスの品質は、品質を考慮してみよう情報技術産業の追跡記録される予定です。 ソフトウェア品質の問題に悩まされる私たちが何十年です。 高い密度での導入チップは、光ファイバー技術、およびより良いハードドライブ、ハードウェアの信頼性をもっと多くの時間を続けています。 ソフトウェア、その半面、頑固には欠点がある。 ワッツハンフリー、ソフトウェア品質の権威カーネギーメロン大学の研究者からは、調査が実施されたエラーの数般的に行うソフトウェア開発者向けのコードを書くときにします。 さまざまな分析が明らかにし、平均的には、典型的な開発者の間に100人から150人の欠陥を誤って紹介あたり1000行のコードです。 これらの問題は、完全に偶発的ではなく、 1つの意図的な欠陥かもしれないsneakedでいます。 にもかかわらず、これらの単純な構文エラーが発見された問題を容易にするコンパイラ、かなりの残りの結果にぽっかり開いたセキュリティホールの欠陥を頻繁にします。 実際のところ、本質的には、セキュリティ上の脆弱性だけで、実際には非常に制御されたバグの搾取の具体的な目標を達成するために、攻撃者です。 プログラムを作ることができた場合は攻撃に失敗した場合、攻撃するような方法でのメリット(クラッシュされるこのシステムは、降伏のアクセス、または表示され機密情報)は、攻撃者勝します。 推定非常に控えめに、 1つだけで10のソフトウェアはセキュリティ上の欠陥、その葉の間に10と15のセキュリティ欠陥を1000人あたりのコード行します。 これらの数値だけで見ていない非常に励みにします。 オペレーティングシステムのように複雑なmicrosoft windows xpには、約45万行のコードは、この巨大な数は増加し、新機能やパッチがリリースされます。 他のオペレーティングシステムやアプリケーションの中には膨大な量のコードされます。 xpの乗算をやっている、約45万セキュリティー上の欠陥があるかもしれないと、 windows xpの一人です。 たとえ私たちの背中が、封筒が高すぎると計算される要因が100 、平均4500セキュリティ上の欠陥がまだました。 痛い! 実際のところ、非常にwindows xpにして同じ日に発足2001年10月に、マイクロソフトのパッチをリリースしおよそ18メガバイトのためにしてください。 誤解しないでね; windows xpのが大好きです。 それははるかに信頼性が高く、より簡単に利用できるのwindowsよりも以前のリリースします。 それは確かに正しい方向に進むこれらの観点からします。 しかし、これは単なるイラストは、大規模なソフトウェアプロジェクトに固有のもので、セキュリティ上の問題です。 それだけではない、マイクロソフト社のいずれかの問題;ソフトウェア業界全体の大規模な導入は、より複雑な、超機能豊富な(そして時には機能を含んだ)トンのプログラムのセキュリティ上の欠陥です。 ソフトウェア業界を通して、私たちを参照してください非常に豊かな土壌を、攻撃者がトロイの木馬に微妙な植物です。 テストですか? 試験は何ですか?これらのセキュリティバグの修正にもかかわらず、まだいくつかの皆さんと考えている開発者は、テストプロセスで採用され保存先を見つけるとトロイの木馬の前に汚染された製品は店の棚にヒットします。 私は私の懸念を和らげることが議論されます。 夜よく眠れるように助けてくれたことです。 しかし、それには別の次元を念頭に置いて、ここを維持して平和的な眠りを破壊する:イースターエッグます。 ™アーカイブによると、イースターエッグ、イースターエッグの定義は:
イースターエッグは、これらの予期せぬグーフィーリトル"機能" squirreledを無駄にしてソフトウェア(またはその他の製品)かなり特殊な状況下にポップアップします。 たとえば、実行している場合、プログラム中のeを押したまま、金、およびsキーを取得する可能性を確認するに役立たず、プログラムの開発者の写真です。 イースターエッグのアーカイブを維持するのマスターリストを、これらの小さな宝石www.eeggs.comでは、以上の2,775ソフトウェアのイースターエッグを記録としてこの記事を書いています。 イースターエッグは何ですが、トロイの木馬を行うソフトウェアですか? 多く、実際にします。 イースターエッグの形では、実際にはトロイの木馬、たとえ(通常は) 1つの良性ます。 ただし、ソフトウェア開発者向けの良性イースターエッグ過去に持ち込むことができ、ソフトウェアのテストと品質保証チームは、私の心の中ではありません疑うことができると同様に合格する意図またはトロイの木馬バッファオーバーフローされます。 実際のところ、攻撃の可能性もあるイースターエッグの中に入れる裏口メインプログラム内に埋め込まれました。 テストと品質保証チームの場合は注意していないイースターエッグましょうあるいはそれを通知することが、彼らを確認することは予想されませんこのような機能が隠されています。 私には、イースターエッグの存在を非常にはっきりと証明しても、悪意のある開発者やテスターに意地の悪いの内側に隠された機能を使って商品の商品コードを取得すると気付かずにリリースします。 を取得するには、イースターエッグを感じる、見てみましょう組み込み内で人気の高い商品の1つは、マイクロソフトのエクセルのスプレッドシートプログラムです。 excelではかなり有名なイースターエッグです。 以前のバージョンのプログラムは、 excel 97で、フライトシミュレータのゲームに含まれています。 もっと最近のバージョンでは、 excel 2000で、ゲームが含まれて車を運転devよりハンターと呼ばれます。 このイースターエッグに仕事は、する必要がありますエクセル2000 (事前サービスリリース1 )は、インターネットエクスプローラで、とdirectxコンピュータにインストールされます。 イースターエッグを有効にすると試合で、次の手順をする必要があり:
ゲームではありません呼び出された場合は、お客様のシステムでは、それが高いためですがサービスリリース1またはそれ以降のバージョンをお使いのコンピュータにインストールされmicrosoft excelで、イースターエッグが含まれていないのです。 追い詰めることができ、以前のバージョンのmicrosoft excelのか、ただ私の言うことをしてください。 さて、あなたの心は、この"機能"は、スプレッドシート、オフィスの生産性のプログラムです。 お客様の考え方に応じて、楽しいかもしれません。奇態とします。 しかし、このようなことはどのように取得して過去のソフトウェア品質プロセス(コードを含めてレビュー)とテストチームのですか? 品質保証とテストのかもしれませんでした人事注意してください。 または、おそらく、皆さんと品質保証テスターがcahootsの開発者に含まれたのを見て、ゲームの生産をリリースします。 いずれにせよ、私は関心があるの見通しが挿入され、トロイの木馬のようなやり方で、他のベンダーです。 また、私だけではありませんマイクロソフト社のページを拾いました。 実際のところ、マイクロソフトは良い得て、過去数年間に、これらの懸念を尊重します。 新しいサービスパックまたはホットフィックス頻繁にかつ迅速にイースターエッグスカッシュ任意の以前のリリースに含まれています。 マイクロソフト社のトラステッドコンピューティングイニシアチブは、しばしばderidedかかわらず、初めに耐えることが少なくなり、いくつかのセキュリティ上の脆弱性の果物やイースターエッグに見えることがあり市場でマイクロソフトのプログラムに来ています。 しかし、こんなことを言って非常にためらって、別のぽっかり開いた巨大な卵を発見する可能性がある日です。 それでも、強調して、この問題だけではありませんマイクロソフトは、他の多くのソフトウェア開発ショップが自社製品に含まれてイースターエッグなど、アップルコンピュータ、ノートン、アドビ社は、クォークは、 mozillaのオープンソースのウェブブラウザで、 operaブラウザとします。 リストが更けていくとしており、つづりを見て、世界でwww.eeggs.comます。 国際的な開発へ向けた動きの関心分野について、最終的な悪意のあるソフトウェアの開発者と関連付けられているコードは、トロイの木馬、世界中で開発されます。 ソフトウェアメーカーはますます高度に分散チームに頼ってその惑星を回るのコードを作成します。 そしてなぜですか? 経済的観点から、多くの国では、市民に切り込みトップソフトウェア開発のスキルや労働力率かなり低いです。 ものの、経済学を理解すると、トロイの木馬のセキュリティ問題loomsはるかに大規模で、このタイプのソフトウェアを開発中です。 と仮定し、ソフトウェアを購入またはダウンロードしてからxのベンダーのベンダーは、電源、 y 、 zはベンダー契約を結ぶのある部分のコードを開発しました。 z subcontracts異なるベンダーの作業を3つのサブコンポーネントは、世界中のさまざまな国にします。 時間される製品のハードドライブ上に存在する、数千人の手に渡っ分散して惑星が関与してきた発展途上してください。 これらのいくつかの手で植えられたかもしれない、意地の悪い裏口ます。 さらに悪いことには、同じバックエンドの分析に適用され、お客様の銀行と金融システムで使用されるデータベースプログラム住宅医療記録しています。 情報セキュリティに関する法律および製品責任ルールによって大きく国から国へと、多くの国でないことを非常に堅牢な規制である。 この懸念が関連付けられていないのは、道徳的にさまざまな国の開発者です。 その代わりに、懸念を扱っているレベルの品質管理に適用できることが限られて契約および規制当局の構造をサポートします。 また、同じ経済効果が運転して発展途上国の開発担当者が少ない高価な問題を悪化させる可能性です。 アタッカーを買収するかもしれません。開発者の100ドル、 1週間または1カ月を付けて裏口からコードをほとんどお金を持っています。 "ここでの10年間の給与の2行のコードを変更してください…私"を取ることにしたすべてのかもしれませんします。 ていません。ここで外国人になりたい;国際的なソフトウェア開発を実現するには、今日の情報技術の重要なメリットのビジネスです。 しかし、でも認識しなければならない、という点があり、セキュリティリスクを増加させるトロイの木馬または意図的なソフトウェアの欠陥がします。 中毒に対する防御機構のソース自分を守るにはどうすればトロイの木馬を植えたから、お客様のソフトウェア開発され、従業員の家ですか? これは、特に厳しい質問に、あなたはほとんどの開発を制御して、大多数のソフトウェアをお使いのシステムです。 それでも、物事にはすべてのことができないとして、このような状況を改善するためのコミュニティです。 まず、お客様のを奨励することができ商用ベンダーとの整合性を持つ堅牢なコントロールと自社製品のテストを計画します。 なければならない、ビートを使用して他の製品を脅かすとします。 私を上回ることはありません文字通りアップします。 暴力あおるたくはありません、善良sakesます。 "ビートして、 "私はそれらの意味を与えるのに苦労しました。 挑戦してください。 叱るしてください。 あなたの知っているソフトウェアの開発ベンダーを確保する重要なコードはどのように操作をしています。 マーケットプレイスを開始したときより安全なコードを求めて、私たちはその方向に少しずつ寸開始します。 また、使用している場合、多くのオープンソースソフトウェアは、そのコミュニティをサポートし、お客様の時間と労力がソフトウェアの欠陥を理解します。 スキルをお持ちの場合は、オープンソースの手伝いを検討されることを確認するためのコードは、セキュリティで保護されます。 次に、新しいソフトウェアをダウンロードしたときに購入したり、テストすることを最初に含まれていないことを確認して任意の明白なトロイの木馬機能します。 でのソフトウェアのテストと評価プロセスを徹底的に家の中では、いくつかのトロイの木馬を見つけるだけかもしれないし、お客様の製品にする前にほかの誰にも注意してください。 この情報を意思疎通の問題を解決するのに役立つのベンダーです。 任意のコードを開発した場合、お客様の組織の家は、必ずお使いのソフトウェアのテストチームは、イースターエッグの問題を認識して、トロイの木馬、意図的な欠陥とします。 残念ながら、ソフトウェアのテスターは、しばしば見られるのは、非常に重要なの下段ソフトウェア開発の階層内では、通常はほとんど敬意を取得、認識、またはお支払いします。 しかし、彼らの安全を守るために重要なわが社の製品は、重要です。 列車のようにすることができ、これらの人たちのコードをすばやくスポット右を見ることはできませんと適切な経営陣に報告しています。 お客様の報酬テスターときに発送する前に、セキュリティ上の問題を見つけるの主要なソフトウェアです。 に注意し、思っています。 テスターはありませんが仕事をしたい開発者にゲームシステムのバグや植物のようにもっとお金を作ることができます。 宝くじのようなことがどこに印刷することができ、自分のチケットを獲得します。 すべてのバグを注意深く監視するプログラムを作成するためにこのような報酬言い逃れします。 また、確認してください。テスターや開発者は報告せずに安全保障上の懸念から報復しようと必死のマネージャーに会い、厳格なソフトウェアを締め切りました。 お客様の組織の規模に応じて、その文化、さえ持ってお勧めを紹介し、匿名のtipline 、お客様の開発者がそのような懸念を報告します。 必要に応じて追加されることは非常に関心をお使いのソフトウェアテスターは、問題が発生することができヘルプを押しつぶそトロイの木馬と同様、お客様の全体的な品質を向上させる製品です。 この考え方を吹き込むの文化を通して、お客様のソフトウェア開発チームは、形質転換を検討する組織をテストして本格的な品質保証機能します。 品質保証機構チャータードなければならないので、ソフトウェアのセキュリティ面の責任として品質ます。 品質保証プロセスを構築して、ソフトウェア開発サイクル全体を含め、デザイン、コードレビュー、およびテストします。 課すにも慎重にコントロールする必要があり、お客様のソースコードは、開発者が必要な作業を始める前にすべてのモジュールを認証します。 すべての変更を追跡しなければならない別の開発者が審査されます。 徹底した品質プロセスだけで、ソースコードを制御できるということは信用できない状況を改善するソースコードに関連付けられています。 これは、記事に追加され、グレッグmcklein
|
|||
|