Ograniczenia dotyczące zmian w pakietach oprogramowania

Replies to This Discussion

Permalink Reply by Anita Krotofil on November 30, 2010 at 11:23am

Jesli modyfikacja taka jest niezbedna, to zaleca sie uwzglednienie:
a) ryzyka naruszenia wbudowanych zabezpieczen i procesów ochrony integralnosci;
b) przypadków, w których trzeba uzyskac zgode sprzedawcy;
c) mozliwosci otrzymania od sprzedawcy wymaganych zmian w formie standardowych aktualizacji
programu;
d) wplywu przejecia przez organizacje odpowiedzialnosci za przyszle utrzymanie oprogramowania, jako
konsekwencji przeprowadzonych zmian.

Norma jasno określa, że takie zmiany powinny być przeprowadzone tylko, kiedy taka konieczność następuje. Należy wszystkie, wymienione przez normę, ryzyka uwzględnić przy wprowadzeniu zmian.

Jest to bardzo poważna sprawa i nie możemy sobie, tak po prostu, zmieniać systemu co tydzień...

Jeśli chodzi o ten "niezależny ośrodek", to myślę, że chodzi tutaj o taką osobę, która nie jest związana z konkurencją i która może w sposób obiektywny, bezstronny przetestować i ocenić daną modyfikację. Jeśli chodzi o „ethical hacker”, to dobry pomysł.

Korzyści, o których mowa na stronie podanej przez kolegę (http://www.windowsecurity.com/articles/Hackers-Security-Consultants...), są bardzo trafne. Przede wszystkim to, że mają oni już pewne doświadzczenie w tych sprawach. Przy takiej , oczywiście zaufanej osobie , firma miałaby na pewno zapewnienie większego bezpieczeństwa informacji.
Poważnym minusem jest tutaj sprawa zaufania, a więc to, co pogrubiłam we wcześniejszym zdaniu. To również wielkie ryzyko zatrudniać taką osobę.

Oczywiście prawdą jest, że w dzisiejszych czasach bardzo trudno o specjalistów, którzy będą potrafili myśleć tak, jak haker i zrozumieć jego działania. A jeśli się już ktoś taki znajdzie, to kwestia zaufania takiej osobie jest bardzo trudną kwestą.

Podsumowując, mogę tylko dodać, że tak naprawdę nie wierzę w to, że istnieje taki system, który jest w pełni bezpieczny. Myślę, że nawet zatrudnienie tzw. „ethical hacker” nie sprawi pełnego bezpieczeństwa naszego systemu.

Permalink Reply by Emilia Lihs on January 19, 2012 at 3:20am

Uważam, że zastosowanie metody ethical hacking do przetestowania modyfikacji i bezpieczeństwa zmodyfikowanego oprogramowania jest najlepszym wyjściem, jeśli zależy nam na bezpieczeństwie informacji w naszym przedsiębiorstwie. Metoda Ethical Hacking, zamiennie nazywana także Red Teaming (czym jest Red Team: http://en.wikipedia.org/wiki/Red_team ), pozwala znaleźć skuteczne zabezpieczenia oprogramowania przed atakami nieuczciwych hakerów.

Etyczny-uczciwy haker (ethical hacker) do wyszukiwania luk i błędów w oprogramowaniu, wykorzystuje takie same metody, co jego mniej uczciwy odpowiednik. Dodatkowo nie czerpie z ataków korzyści, co jest zazwyczaj w interesie tych złych hakerów.

Uczciwego hakera warto zatrudnić już przy planowaniu modyfikacji oprogramowania, a nie tylko przy końcowym etapie sprawdzania, gdyż taki haker jest na bieżąco z wieloma nowymi rozwiązaniami programowymi często bardziej niż zdolny programista.

Czy ethical hacker jest na pewno ethical? Czy można mu zaufać?

Uczciwy haker, żeby zasługiwać na to miano/stanowisko, musiał być jednak kiedyś tym złym hakerem. Odpowiednia wiedza nie bierze się znikąd. Co prawda są centra szkoleniowe (w Polsce), które kształcą etycznych hakerów (np: http://www.arrowecsservices.pl/www/news.nsf/id/MHOA-8DQHEE ), ale słuchacze tych kursów też na pewno mają parę ataków na sumieniu. Można tu tylko powiedzieć no risk no gain i wierzyć, że zatrudniamy nawróconego na jasną stronę mocy uczciwego hakera, który po wewnętrznej przemianie :-) zapragnie podzielić się z nami swoją wiedzą i umiejętnościami.

Dobrym wyjściem jest zatrudnienie certyfikowanego etycznego hakera. Mamy wtedy większe prawdopodobieństwo jego dobrych zamiarów, a w razie oszukania, złego ataku, mamy chociaż kogo pozywać (wydawca certyfikatu), ale to byłby najczarniejszy scenariusz.

A nawiązując jeszcze do wypowiedzi koleżanek Anity i Agnieszki, dotyczących konieczności modyfikacji zakupionego oprogramowania, dopowiem tylko, że w każdej firmie takie oprogramowanie powinno być koniecznie dopasowywane (szyte na miarę) pod firmę (nawet tą najmniejszą) jeszcze przed zakupem. Pochwalam także modyfikacje oprogramowania już zakupionego, tzw. z półki, bo kto jak kto, ale użytkownicy oprogramowania znają najlepiej swoje dokładne potrzeby oraz wymagania i wydawcy programów powinni zostawić pewne pole do modyfikacji i ulepszania bez cofania licencji.

Permalink Reply by Gerard Tkacz on January 20, 2012 at 12:18am

Jestem zdania, że ingerowanie w integralność oprogramowania lub też polepszanie na własną rękę wcale nie musi być złe. Oczywiście dla własnego dobra powinniśmy próbować dokonywać ewentualnych zmian na wcześniej wykonanej kopii. Dla osób, dla których informatyka jest prawdziwą pasją, takie modyfikacje są świetną zabawą i możliwością rozwoju. Wyżej został wymieniony przykład nastolatka, który pracuje już dla Microsoftu. Być może całą swoją wiedzę wyssał z mlekiem matki, ale sądzę, że właśnie takie próby modyfikacji pozwoliły mu dokonać tak spektakularnej rzeczy. Oczywiście nikogo nie namawiam do robienia podobnych rzeczy. Chcę tylko powiedzieć, że przez własnoręczne próby poprawiania wydanego oprogramowania możemy stworzyć coś naprawdę dobrego (niekoniecznie przez przypadek). Przecież każdy program po upływie określonego czasu zostaje zastąpiony nowym, ulepszonym przez modyfikacje odpowiednikiem. Bardzo często wydawca dostaje sugestie oraz przykłady zmian i polepszeń owego programu od "zwykłych" użytkowników.