Добро пожаловать,
Свежие материалы
Обсуждения
Микропроцессор "Эверест" (1)
Запрет регистрации на osrc.info (1)
Ответ Javе и Flash'у (70)
Новая программа поддержки от Microsoft (2)
Solaris будет портирован на Itanium и POWER? (3)
9 декабря вышла новая сборка Xameleon (9)
рассылка (2)
ЗРОС (3)
Новый стиль OSRC.info (2)
Обсуждение статьи "Взгляд на развитие YellowTAB" (124)В Сети
Гостей: 3, Пользователей: 0 ...
рекорд он-лайн: 2015
(Пользователей: 1, Гостей: 2014) в 29.03.2010 00:07
Пользователей: 1007
Новичок: alicemokas
рекорд он-лайн: 2015
(Пользователей: 1, Гостей: 2014) в 29.03.2010 00:07
Пользователей: 1007
Новичок: alicemokas
Французскому исследователю грозит тюрьма за публикацию данных о дырах в ПО
 В 2001 году француз Гийом Тина обнаружил большое количество уязвимостей в антивирусной программе Viguard, выпущенной парижской компанией Tegam International. В марте 2002 года Тина, на тот момент известный под псевдонимом Guillermito, выложил результаты своих исследований в интернете. Tegam International отнеслась к этому деянию без энтузиазма и инициировала судебную тяжбу. |
Комментарии
| Dreamer |13.01.2005 15:44 | |
 Зарегистрирован: 04.07.2004 14:01 | А как эта статья относится к операционным системам?  К слову, правильно они сделали. Гораздо умнее было бы сообщить об этом в саму компанию. А так обнаруженными уязвимостями могли бы воспользоваться (или уже воспользовались) хакеры. Кстати, слово "Интернет" пишется с большой буквы  |
| Roman I Khimov |13.01.2005 16:31 | |
| Комментарии: 952 | [quote] Несомненно. Очень. И вообще, давно пора всем запретить искать дырки - а ну как чего? |
| Dreamer |14.01.2005 11:07 | |
Зарегистрирован: 04.07.2004 14:01 | Искать дырки можно и нужно. Но не стоит их выкладывать во всеобщее обозрение. Между прочим, этот случай далеко не единственный. |
| Roman I Khimov |14.01.2005 13:58 | |
| Комментарии: 952 | Но, согласись, подавать в суд за публикацию информации о дыре - тоже идиотизм. Я согласен с тем, что сей исследователь был не совсем прав опубликовав результаты сначала в Сети, но и производителя ПО такие ходы не украшают. В общем, пострадал ни за что человек... |
| Dreamer |14.01.2005 15:52 | |
Зарегистрирован: 04.07.2004 14:01 | Просто отыгрались на нем, дав публике пример, что с ними может произойти при таком подходе. А тот человек тоже думать должен был. В любом случае закон есть закон. |
| Dron |14.01.2005 16:47 | |
 | Если производитель не реагирует, это его проблемы... я на 100% уверен что сперва он передал баги им... Помню как-то давно я нашел багу в FreeBSD, так они быстро среагироваль... сделали патчик... умный админ возьмет и пропатчит. а глупый сам виноват. Здесь его кстати не за то ругают... Он нашел не дыры, (я так понимаю)... он просто привел примеры - что антивирь дерьмо. (сорри) и сопросодил свои примеры вирусами, которые тот не ловил. Хотя ловля вирусов - дело темное... А здесь еще говорят нарушил копирайт... он видимо владел лицензией или еще что-то... я по английски плохо... А баги открывать можно и нужно!!! чтобы производитель не дремал! |
| Roman I Khimov |14.01.2005 18:28 | |
| Комментарии: 952 | Понимаешь, в чем фишка, вот если ты, например, сможешь доказать, что при повороте с углом поворота колес в 15 градусов на автомобиле Ford на скорости 120 км/ч отваливается руль, то неважно как ты будешь распространять эту информацию - хоть сарафанным радио, хоть через Сеть, хоть сразу вызывай журналистов, хоть ты даже к самому Ford обратишься - результат будет один. Производитель утрется, отзовет машины и постарается замять дело. И все очень просто - на то есть закон о защите прав потребителя. Дело будет обстоять очень похожим образом также в случае, если ты сможешь подобрать универсальную отмычку к замкам фирмы X. Она, конечно, уже отзывать ничего не будет, но и свои ошибки признать будет вынуждена и далее будет годами доказывать, что ее замки нового поколения все-таки работают значительно лучше. Но и тут, снова - никаких судов и быть не может. А с ПО получается, что почему-то нельзя так делать. Почему? Не понимаю. Лучше уж open source - там таких проблем в принципе быть не может. Кстати, это опять же про безопасность - AFAIK, во время мировой войны каждый использовал свои шифровальные машины и все они были очень круты и жутко секретны. Настолько секретны, что сегодня выясняется, что чуть ли не все у всех все читали. Reverse Engineering, оп-ля! И настоящая безопасность пришла только тогда, когда появились открытые научные математические обоснования теории шифрования и разработанные соответствующим образом алгоритмы. И сегодя мы все можем спокойно использовать алгоритмы шифрования, которые, о ужас! известны каждому. Но математически, научно, доказано, что они невскрываемы за хоть сколь-нибудь приемлемое время. Никто не отрицает того, что может найтись такой умник, который докажет, что все-таки в этом всем есть какая-то брешь, но этого почему-то не происходит. Слова Линуса Торвальдса про сходство научного подхода и open source имеют огромный смысл, на самом деле. Ситуация ровно такая же - да, открытые исходники открыты для всех, в том числе и для плохих парней, но и попробуй ты в них найти ошибку! Да, сегодняшний открытый код не так идеален, как строгая математика того же, например, RCA, но он к этой строгости неуклонно движется. В отличие от магов с закрытым кодом, которые пытаются доказать, что они знают секрет, который нарушает математику, но им-то, в отличие от математиков, можно верить. Так что, пишите открытый код. И лучше - свободный. |
| Dreamer |15.01.2005 12:59 | |
Зарегистрирован: 04.07.2004 14:01 | Если производитель не реагирует, это его проблемы... я на 100% уверен что сперва он передал баги им... Это предположение ни на чем не основывается. Он нашел не дыры, (я так понимаю)... он просто привел примеры - что антивирь дерьмо. (сорри) и сопросодил свои примеры вирусами, которые тот не ловил. Насколько я знаю, таких вирусов можно понаписать и для KAV, и для Norton AV. Вопрос времени, т.к. подавляющее большинство антивирусов используют при поиске вирей свои базы данных, а не какие-нибудь эвристические методы. Как бы там ни было, человек нарушил закон и он вполне мог об этом знать. Теперь пусть не удивляется. |
| Roman I Khimov |15.01.2005 13:45 | |
| Комментарии: 952 | Dreamer написал(а) ... Как бы там ни было, человек нарушил закон и он вполне мог об этом знать. Какой закон он нарушил-то, я все никак не пойму? |
| Dreamer |15.01.2005 19:08 | |
Зарегистрирован: 04.07.2004 14:01 | Цитата из текста новости на "Компьюленте": "Согласно информации, поступившей от французской компании K-OTik Security, Тина нарушил копирайт тем, что его исследования предназначались не только для личного пользования, но и были предъявлены широкой общественности.". Копирайт - это закон для пользователя. Он, видимо, его и нарушил. Одно можно сказать: лучше на них не нарываться. |
| Roman I Khimov |15.01.2005 19:24 | |
| Комментарии: 952 | написал(а) ... ...его исследования "показывали принцип работы программы, демонстрировали уязвимости и проводили несколько тестов с вирусами". Француз также заявлял, что, вопреки рекламным объявлениям, программа не в состоянии распознавать и блокировать "100% существующих вирусов"... Какой закон-то? На что копирайт? На вирусы копирайт? Его исследование принадлежит ему самому, он волен публиковать его как хочет. Или копирайт на вранье компании о 100% защите? Дурь все это... |
| Dreamer |15.01.2005 21:45 | |
Зарегистрирован: 04.07.2004 14:01 | Видимо, закон предусматривал, что нельзя распространять способы нанесения врема ПО - в данном случае антивирусу, ставя под удар как пользователей, предлагая хакерам новые способы взлома, так и имидж компании. |
| Dreamer |15.01.2005 21:46 | |
Зарегистрирован: 04.07.2004 14:01 | Пардон - хотел написать "вреда" |
| Dron |17.01.2005 11:26 | |
| Может быть у них в лицензионном соглашении что нибудь подобное написано? или он осуществлял мониторинг по их заказу и не имел права публиковать материалы? Вообще какая-то темная история. 2Роман: Я во многом разделяю твои мысли. Может быть я выражаю их не так логично? |
Комментарии доступны только авторизованным пользователям, авторизуйтесь или зарегистрируйтесь на сайте здесь