التسمم المصدر


  Share  
|


ذلك ، لقد بحثنا شهدت مجموعة متنوعة من الاساليب السيءه لاستخدام الرجال العصره حصان طروادة الوظيفة الى انظمتنا. ومع ذلك ، ولعل اكثر مقلقا حصان طروادة لناقلات الامراض الخبيثه ينطوي على ادخال شفره برمجيات المنتج معروضا للحتى يفرج عنه. المهاجمون يمكن trojanize خلال برامج البرمجيات البائع عمليات التطوير والاختبار. لنفترض وجود المهاجم على اجور بصفة موظف رئيسي في تطوير البرمجيات متجر او متطوعين للمساهمه في المدونه الى البرمجيات مفتوحة المصدر المشروع. الهدف يمكن ان يكون أي شيء ؛ رئيسى نظام التشغيل ، تستخدم على نطاق واسع كاداه لتخطيط موارد المؤسسات ، او حتى برنامج باطني جدا تستخدمها المصارف على ادارة اموالهم من شأنه نقل كل ذلك يجعل كثير العصير الاهداف. بوصفها المطور او حتى اختبار ، المهاجم يمكن ان تضاف صغير نسبيا مستتر من اقل من 100kb للقانون داخل مئات ميغابايت من الشرعية المدونه. حقا إن للابرة في كومة التبن! أي مستخدمين شراء المنتج وعندئذ يكون عن غير قصد شراء حصان طروادة وتثبيته على نظمها. الجامع البرمجيات المنتج نفسه يصبح حصان طروادة ، ونفعل شيئا مفيدا) ، لذا عليك ان تشتري او التنزيل) ، بعد اخفاء هذا مستتر.

كين تومسون ، لاحظ يونيكس cocreator وجيم لغات البرمجه المعلم ، وناقش أهمية السيطرة على شفره المصدر وامكانيه الزراعة في backdoors في تقريره الشهير 1984 ورقة بعنوان "تأملات حول يثق ثقة". الكلاسيكيه في ان ورقة ، ووصف تومسون تعديل شفره المصدر لالمطيع حتى أنه بنى مستتر في جميع المدونه انه يجمع. المقترحة لا سيما الهجوم الغادر ، كما ولو ان مجمع جديد هو تجميع مع طروادة من النسخه القديمة المطيع سيكون لها مستتر فيه ، ايضا. هذا الطريق للهجوم منذ زمن طويل القلق ، ويمثل حتى اليوم أكبر مشكلة محتملة.

وهذا القلق هو الادهي من trojaning البرمجيات توزيع المواقع التي ناقشناها في القسم الاخير. عندما يكون المهاجم trojanizes توزيع برمجيات من هذا الموقع ، من مطوري البرمجيات على الاقل قد نظيفة نسخة من برمجيات يمكنها ان تقارن ضد لكشف تحايل. بدعم من أصل المشاكل هي اسهل نسبيا بعد اكتشاف ، كما نظيفة نسخة من برمجيات يمكن ان توضع على الموقع الشبكي للتوزيع. ومن ناحية أخرى ، إذا كان المهاجم يضمن أ حصان طروادة أثناء عملية تطوير البرمجيات ، والبائع قد لا يتمتعون ولو نسخة نظيفة. اذا كان المهاجمون بشكل خاص ذكي ، وانهم سوف شابك صغيرة ، مبهم مستتر في جميع انحاء المدونه العاديه ، مما يجعل من الصعب للغاية القضاء. فان مطور برامج سيتعين مسح الكميات الهاءله من قانون لضمان سلامة المنتج باكمله. فكلما البرمجيات المنتج ، ويزيد من صعوبة اكتشاف وأصبح القضاء. دعونا نحلل لماذا يحدث هذا.

مدونة التعقيد يجعل الهجوم الايسر

احدث ادوات البرمجيات واسعة جدا في نطاقها. اكتشاف البق في المدونه ، ناهيك عن backdoors ، هي صعبة جدا ومكلفه. لtrojanize أ البرمجيات المنتج ، شر الموظف لا يضطر حتى الى الكتابة فعلا بأكمله مستتر الى المنتج. وبدلا من ذلك ، يمكن خبيثة المطور بشكل هادف الكتابة المدونه على ان يتضمن استغلال الخلل ، مثل الاحتياطي الفائض ، والتي من شأنها ان اسمحوا المهاجم اتخاذ اجراء اكثر من الاله. بفعاليه ، وهذا عيب اعمال هادفه مثلهم مثل اي مستتر. واذا كان العيب الخونة الماضي البرمجيات اختبار فريق ، المطور سيكون الوحيد الذي يعرف عن ثقب في البداية. من خلال استغلال هذا العيب ، المطور يمكن استخدام نظم مراقبة اي بلدة او بلدها المدونه.

الى التعود على مدى سهولة مثل هذا الخلل المتعمد او حتى كامل حصان طروادة يمكن ان الصرير الماضية تطوير البرمجيات نوعية العمليات ، ولندع النظر في نوعية سجل للصناعة تكنولوجيا المعلومات مع مرور الوقت. برمجيات نوعية المشاكل التي تعاني لنا طوال عقود. مع الاخذ العالي الكثافة الرقائق ، وتكنولوجيا الألياف البصريه ، وافضل الاقراص الصلبه ، واجهزة تواصل للحصول على مزيد من يعول على مر الزمن. البرمجيات ، ومن ناحية اخرى ، لا تزال معيبه بعناد. اتس همفري ، برمجيات نوعية المعلم وباحث من جامعة كارنيجي ميلون ، وأجري المسح في عدد من الاخطاء مطوري البرمجيات عموما عندما جعل كتابه المدونه. تحليلات مختلفة وقد كشفت انه ، في المتوسط ، وهو يقدم عرضا نموذجيا المطور يتراوح بين 100 و 150 لكل عيوب 1،000 خطوط للقانون. هذه القضايا هي عرضي تماما ، ولكن عيب واحد يمكن ان يكون مقصودا في منسل كذلك.

ورغم ان العديد من هذه الاخطاء هي بسيطة نحوي بسهولة المشاكل التي اكتشفتها أ المطيع ، قدرا كبيرا من تبقى في كثير من الأحيان نتيجة للخلل في الامن الفغر الثقوب. في واقع الامر ، في جوهره ، هو ضعف الأمن حقا عادل جدا يسيطر استغلال أ بقة لتحقيق هدف محدد للمهاجم. اذا كان المهاجم يمكن ان يجعل البرنامج تفشل في شكل فوائد المهاجم (التحطيم من قبل النظام ، والوصول للإستسلام ، او عرض معلومات سرية) ، المهاجم انتصارات. تقدير متحفظ جدا ، وإن كان واحد فقط في 10 من عيوب فى البرمجيات ولقد أثار أمنية ، أن يترك ما بين 10 و 15 لكل 1،000 الامن العيوب خطوط للقانون. هذه مجرد ارقام لا ننظر للغاية السرور.

معقد مثل نظام التشغيل مايكروسوفت ويندوز اكس بي لديه نحو 45 مليون خط للقانون ، وهذا هو عملاق عدد متزايد كما ميزات جديدة ورقع يتم الافراج عنها. غيرها من نظم التشغيل والتطبيقات كميات ضخمة من المدونه ايضا. عمل تعدد للاكس بي ، قد يكون هناك حوالي 450،000 الامن عيوب في ويندوز اكس بي وحدها. حتى لو كان لنا من العودة - - - مظروف حساب مرتفعة جدا بها 100 الف عامل ، يمكن ان الامن لا يزال يعني 4،500 العيوب. اوتش! وفي الواقع ، فى نفس اليوم ان ويندوز اكس بي اطلقت في تشرين الاول / اكتوبر 2001 ، أصدرت شركة مايكروسوفت 18 ميغابايت من الضرب لانها الرقع.

لا يحصل لي الخطأ ؛ بحب ويندوز اكس بي. انها الآن اكثر موثوقيه واسهل استعمالا من الإصدارات السابقة من ويندوز. انها بالتأكيد خطوة في الاتجاه الصحيح من هذه المناظير. ومع ذلك ، وهذا مجرد مثال على المشكلة الامنية الكبيرة الكامنة في مشاريع البرمجيات. فهي ليست مجرد قضية مايكروسوفت اما ؛ صناعة البرمجيات بأكملها هو ادخال أكبر ، وأكثر تعقيدا ، غلاه سمة الغنيه (وأحيانا - سمة لادن) مع برامج الامن طن من العيوب. طوال صناعة البرمجيات ، ونحن نرى جدا تربة خصبة لزرع المهاجم لخفاء حصان طروادة.

الاختبار؟ ما هي التجارب؟

وبالرغم من هذه الامنية البق ، وبعض الناس لا تزال تعتقد ان عملية الاختبار التي يستخدمها مطوري سوف تنقذنا واحصنه طروادة نجد قبل اتلافها المنتجات تصل الى الرفوف. وكنت انتظر لتهدئة قلقي مع ان الحجه كذلك. انها ساعدتني في النوم ليلا افضل. ولكن هناك بعدا آخر هنا ان نضع في اعتبارنا لتدمير الخاص بك سلمي النوم : عيد الفصح والبيض. ووفقا لعيد الفصح البيض ارشيف ™ ، وهو عيد الفصح البيض تعرف بأنها :

اي ان الحكايه التسليه حجبا المبدعين في الاعمال الابداعيه. انها يمكن ان تكون في البرامج الحاسوبيه ، والافلام والموسيقى والفن ، والكتب ، أو حتى مشاهدة الخاص بك. وهناك الآلاف منهم ، وانها يمكن ان تكون تسلية تماما ، اذا كنت تعرف الى اين نظره.

عيد الفصح والبيض هي تلك متوقعة أخرق قليلا "ملامح" حافظ بعيدا في برنامجك (او غيرها من المنتجات) التي البوب حتى تحت ظروف خاصة جدا. فعلى سبيل المثال ، اذا قمت بتشغيل البرنامج حين اجراء تخفيض ه ، و ، ق ومفاتيح ، انت قد نصل الى رؤية غبي او عديم الفاءده صورة البرنامج المطور. فان الفصح البيض الارشيف تحتفظ القائمة الرئيسية من هذه الاحجار الكريمه في www.eeggs.com قليلا ، مع اكثر من 775 2 البرمجيات الفصح والبيض على سجل حتى وقت كتابة هذا التقرير.

ماذا الفصح والبيض لها علاقة طروادة الخيول في البرمجيات؟ الكثير ، في واقع الأمر. احد الفصح البيض هو في الحقيقة شكل من اشكال حصان طروادة ، وان كان (عادة) حميدة واحدة. ولكن ، اذا كان يمكن مطوري البرمجيات الخائن حميدة بيض الفصح الماضي البرمجيات الاختبار ، وضمان الجوده فرق ، ومما لا شك فيه ان في خاطري انهم وبالمثل يمكن ان يصدر عن قصد او حصان طروادة عازلة الفيض كذلك. في الواقع ، المهاجم حتى يمكن وضع مستتر داخل بيضة الفصح التي تكمن داخل البرنامج الرئيسي. وإذا كان الاختبار ، وضمان الجوده فرق لا تنتبه الفصح البيض او حتى اشعار انها ولكن ليكن عن طريق ، من المرجح انها لن تحقق من أنها خفية لهذه الوظيفة. لي ، وجود بيض الفصح يثبت بوضوح تام ان كيديه او المطور الفاحص يمكن ان يتدهور وضع مخباه داخل الوظيفة من رمز المنتج والحصول عليها من خلال الافراج عن المنتج دون أن يلاحظ.

الى التعود على لبيض الفصح ، دعنا ننظر في واحدة مجسدة شعبية المنتج ، وميكروسوفت اكسيل برنامج جداول بيانات. أكسل الشهير جدا لعيد الفصح والبيض. نسخة سابقة من البرنامج ، اكسل 97 ، وتضمنت لعبة محاكاه الطيران. أحدث نسخة ، اكسل 2000 ، ويشمل سيارة - لعبة القيادة دعا ديف هنتر.

لهذا الفصح البيض الى العمل ، لا بد انك اكسل 2000 (قبل الخدمة الاصدار 1) ، وانترنت اكسبلورر ، وdirectx تركيبها على جهاز الكمبيوتر الخاص بك. لتفعيل الفصح البيض ونلعب لعبة ، عليك ان تفعل ما يلي :

  • البعيد اكسل 2000.

  • تحت قائمة الملفات ، باستثناء ما ورد اختر صفحة ويب.

  • على انقاذ البينيه ، ونشر اختيار ثم انقر على اضافة التفاعلية المربع.

  • انقر تنشر لانقاذ مما ادى الى صفحة الانترنت الخاصة بك على حمله.

  • المقبل ، ويفتح لك صفحة الانترنت التي انشأتها توا مع انترنت اكسبلورر. الفراغ جداول البيانات ستظهر في منتصف الخاص بك نافذة متصفح انترنت اكسبلورر.

  • إليك فإن الجزء العويصه. انزل الى 2000 على التوالي ، واكثر من عمود إلى دورة المياه.

  • الآن ، اختر من الصف بكامله 2000 بالنقر على عدد 2000 على يسار الصف.

  • تضرب علامة التبويب الرئيسية لجعل دورة المياه النشطه العمود. هذا العمود سيكون البيضاء ، في حين ان الاعمده الاخرى في الصف سيكون مظلم.

  • ابق ضاغطا على السيطرة تحول + + والبديل ، في الوقت نفسه ، انقر على شعار مايكروسوفت اوفيس في اعلى الزاويه اليسرى من الكشوف.

  • في ثانية أو اثنتين ، وسوف تدير اللعبة.

  • استخدام مفاتيح السهم الى حملة وتوجيه ومفتاح المسافة لاطلاق النار. س فان قطرات النفط الرئيسية البقع الزيتيه الى الخلط بين السيارات الأخرى. عندما تحصل عليه الظلام ، يمكنك استخدام ح مفتاح بدوره على قيادتكم الاضواء العلويه.

اذا كانت اللعبة لم تحتج على جهازك ، فمن المرجح أنك داءره الاصدار 1 او لاحق نسخة من مايكروسوفت إكسل تركيبها على جهازك ، والتي لا تشمل عيد الفصح البيض. انت يمكن ان تعقب صيغة سابقة من مايكروسوفت إكسل ، أو اتخاذ مجرد كلمة لانها بلدى.

الآن ، واعتبارها لكم ، هذه "الميزه" هو في جدول بيانات ، ومكتب برنامج الانتاجية. اعتمادا على عقليه الخاص بك ، قد يكون ملتوي والمرح. ولكن ، كيف أحصل على مثل هذا الأمر في الماضي عملية نوعية البرمجيات (التي ينبغي ان تتضمن المدونه الاستعراضات) واختبار فريق؟ ربما ضمان الجوده والاختبار للأفراد ولم تنتبه له. او ، ربما لضمان الجوده والفاحصات الناس كانوا في تواطؤ مع مطوري نرى أن اللعبة حصلت المدرجه في الانتاج الافراج. اما الطريقة ، فأنا المعنية مع احتمالات التوصل الى حصان طروادة يجري في ادراج بطريقة مماثلة فى البائعين الآخرين.

مرة أخرى ، أنا لست مجرد قبض على مايكروسوفت هنا. في الحقيقة ، لقد بدأت مايكروسوفت افضل على مدى العامين الماضيين فيما يتعلق بهذه الاهتمامات. خدمة جديدة او علب الساخنه ويحدد كثيرا وبسرعة الاسكواش اي عيد الفصح والبيض وشملت في وقت سابق اطلاق سراح اسرى الحرب. ميكروسوفت عن ثقته في مبادره الحوسبه ، ورغم سخريه كثير من الاحيان ، هو بداية لتؤتي بعض الثمار فيما تضاءل عدد نقاط الضعف الامنية وعيد الفصح والبيض ويبدو ان القادمين الى السوق في برامج مايكروسوفت. ومع ذلك ، وأقول هذا مع تردد كبير ، كما ضخم آخر الفغر البيض يمكن اكتشافها في أي يوم. لا يزال ، مؤكدين على ان هذه ليست فقط قضية مايكروسوفت ، والعديد غيرها من المحلات التجارية وتطوير البرمجيات قد الفصح البيض المدرجه في منتجاتها ، بما تفاحة الحاسوب ، نورتون ، اللبنه ، كوارك ، المفتوحه المصدر موزيلا متصفح ويب ، والاوبرا متصفح. والقائمة تطول وعلي ، وموضح ليراه العالم في www.eeggs.com.

التحرك في اتجاه التنمية الدولية

نهائي المنطقة عن القلق حيال مطوري البرمجيات الخبيثه واحصنه طروادة هي المرتبطه المدونه التي يجري وضعها في مختلف انحاء العالم. مصنعي البرمجيات التى تعتمد بشكل متزايد على درجة عالية من فرق وزعت في جميع انحاء الكرة الارضيه لخلق المدونه. ولماذا لا؟ من منظور اقتصادي ، بلدان عديدة مع مواطنين من أعلى الى الشق تطوير البرمجيات ومهارات العمل بمعدلات اقل من ذلك بكثير. ورغم ان الاقتصاد له معنى ، وحصان طروادة قضية الأمن يلوح أكبر بكثير مع هذا النوع من برامج التنمية.

افترض انكم شراء او تنزيل قطعة من البرمجيات من البائع عاشرا - ان البائعين ، بدوره ، والعقود المبرمه مع البائعين وصاد وعين لتطوير اجزاء معينة من المدونه. بائع ض الباطن فرعية مختلفة من العمل الى ثلاثة بلدان مختلفة حول العالم. وبحلول الوقت الذي يجلس المنتج على محرك القرص الثابت لديك ، ووزعت الآلاف من الأيدي عبر الكوكب يمكن ان تكون ضالعه في تطويرها. بعض تلك الايدي قد زرع حقير مستتر. والاسوأ من ذلك ، نفس التحليل ينطبق على ظهره نهاية النظم المالية التي يستخدمها البنك الذي تتعامل معه ، وقاعدة بيانات برامج الاسكان الخاصة بك والسجلات الطبية. أمن المعلومات القوانين وقواعد المسؤولية عن المنتجات تتفاوت تفاوتا كبيرا من بلد الى آخر ، مع عدم وجود العديد المتحدة قوية جدا على جميع الانظمه.

هذا القلق غير المرتبطه الاخلاق للمطورين في مختلف البلدان. وبدلا من ذلك ، فإن القلق ويتناول مستوى مراقبة الجوده التي يمكن تطبيقها مع المحدوده العقد والهياكل التنظيمية الداعمة. ايضا ، نفس الآثار الاقتصادية التي هي دافعة لتنمية البلدان الاقل كلفة التنمية مع افراد يمكن ان يؤدي الى تفاقم المشكلة. وهو المهاجم قد تكون قادرة على رشوة احد المطور يجعل 100 دولار في الشهر أو في الأسبوع أ مستتر الى وضع مدونة للمال قليل جدا. "اليك 10 سنوات راتب... الرجاء تغيير سطرين من المدونه بالنسبة لي" قد يكون جميع ان الامر سيستغرق. ونحن لا نريد ان نكون هنا كراهيه الاجانب ؛ تطوير البرمجيات الدولية هو حقيقة واقعة مع فوائد هامة في اليوم تكنولوجيا المعلومات التجارية. ومع ذلك ، يجب علينا أيضا أن نعترف أنه لا زيادة المخاطر الامنية للاحصنه طروادة او متعمد البرمجيات العيوب.

دفاعات ضد التسمم المصدر

كيف يمكنك ان تدافع عن نفسك من حصان طروادة زرعت من قبل أحد موظفي البيت التنمية برنامجك؟ هذا هو السؤال صعبة خاصة ، كما لديك سيطره تذكر على تطوير الغالبيه العظمى من البرمجيات على النظم الخاصة بك. ولا تزال هناك أمور يمكننا جميعا ان نقوم كمجتمع لتحسين هذا الوضع.

اولا ، يمكنك نشجعك مع الموردين التجاريين الى ضوابط قوية النزاهه واختبار نظم لمنتجاتها. اذا لم تفعل ذلك ، حتى بضربهم ويهددون باستخدام المنتجات الاخرى. لا أقصد إلى بضربهم حتى حرفيا. انا لا اريد للتحريض على العنف ، من اجل الخير الخواطر. "بضربهم حتى ،" يعني اعطاءها الوقت الصعب. التحدي لهم. يصيح عليهم. اسمحوا برنامجك التنمية البائعين نعرف مدى اهمية تأمين المدونه الي العمليات الخاصة بك. عندما يبدأ السوق مطالبة اكثر امنا المدونه ، سنقوم تدريجيا بدء تحرك في هذا الاتجاه. وبالاضافة الى ذلك ، اذا كنت تستخدم الكثير من البرمجيات المفتوحه المصدر ، ان دعم المجتمع مع وقتك والجهد في فهم البرمجيات العيوب. إذا كانت لديك المهارات ، وتساعد بها استعراض الشفره المفتوحه المصدر لنتأكد من انها آمنة.

المقبل ، عندما كنت شراء او تحميل برمجيات جديدة ، وهو اول اختبار للتأكد من انها لا تضم اي من الواضح حصان طروادة القدرة. مع دقيق البرمجيات للاختبار والتقييم عملية في البيت ، أنت فقط قد تجد بعض طروادة الخيول في منتجاتك قبل اي شخص آخر اشعارات لهم. الاتصال هذه المعلومات الى البائع للمساعدة في حل القضية.

اذا منظمتكم يضع اي قانون في البيت ، تأكد برنامجك اختبار فريق مدرك للمشاكل الفصح والبيض ، طروادة الخيول ، ومتعمد العيوب. ومن المحزن ان الفاحصات البرمجيات غالبا ما ينظر اليها على أنها غاية اسفل طبقة من أهمية في تطوير البرمجيات التسلسل الهرمي ، وعادة ما تحصل على القليل الاحترام ، والاعتراف ، او الدفع. ومع ذلك ، واهميتها لأمن منتجاتنا ذات اهمية قصوى. تدريب هؤلاء الناس حتي يتسنى لهم بسرعة سبوت المدونه ان لا ينظر الحق في تقرير وانها مناسبة لإدارة الافراد. مكافاه الفاحصات الخاص بك عندما تجد مشاكل أمنية كبيرة امامكم سفينة البرمجيات. كن حذرا ، وان كان. انك لا تريد ان يكون الفاحصات العمل مع مطوري لعبة النظام والنباتية البق حتى يتمكنوا من تقديم المزيد من الاموال. وهذا مثل وجود اوراق اليانصيب ، حيث يستطيع الناس ان المطبوعه الخاصة بهم الفوز التذاكر. ترصد بعناية اي مكافاه بقة برامج تصنع لهذه الحيله.

علاوة على ذلك ، فإن ضمان بأن ما تتمتعون به الفاحصات ويمكن للمطورين تقرير الشواغل الامنية دون الانتقام من مديري محاولة ياءسه لتلبية صارم البرمجيات الموعد النهائي. وتبعا لحجم منظمتكم وثقافته ، انك قد يضطر حتى الى ادخال مجهول tipline لمطوري الخاصة بك الى تقرير مثل هذه المخاوف. باعطاء هذا تشتد الحاجة الى مزيد من الاهتمام لبرنامجك الفاحصات ، يمكنك ان تساعد على الكبت مشاكل مع احصنه طروادة وكذلك تحسين النوعيه الشامله لمنتجاتك.

الى بث هذه العقليه في جميع انحاء ثقافة برنامجك فرق التطوير ، والنظر في تحويل المنظمه الى اختبارك كاملة وظيفة ضمان الجوده. ضمان الجوده وينبغي للمنظمة ان تكون مستاجره مع برمجيات الامن المسؤولية باعتبارها من جوانب الجوده. قم ببناء عملية ضمان الجوده في كامل دورة تطوير البرمجيات ، بما في ذلك التصميم ، ويستعرض القانون ، واجراء التجارب. يجب عليك ايضا ان يفرض الحرص على الضوابط الخاصة بك شفره المصدر ، التي تتطلب مطوري للتوثق من قبل العاملين على أي وحدات. كل التغييرات التي ينبغي أن تتبعها والتي استعرضها مطور آخر. فقط مع دقيق نوعية العمليات والسيطرة على شفره المصدر يمكننا تحسين الوضع المرتبطه شفره المصدر غير موثوق.

هذا هو مقال اضافها غريغ mcklein

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions