Nová zbraň proti hackerům: obrovské množství chyb v softwaru

Bravo!!!
Čo keby sme rovno do každého programu zabudovali aj špehovacie rutiny? Budeme hovoriť, že to bude špehovať len hackerov aby to v trojpísmenkových agentúrach mali jednoduchšie a mohli konečne tých zlých hackerov všetkých polapiť.

Teoreticky to zní pěkně. ale hlavně aby v úmělé vytvořené chybě nebyla skutečná kritická chyba. Protože pak to dohledat je totálně nemožné.
Programátor je člověk, dělá sám o sobě chyby, nechápu proč tam zanášet umělou chybu. To radši najmu dalšího programátora pro testování a lazení, repsektive reinženýrink.

Asi už jsem programátor ze staré školy, protože za nás jsme se snažily udělat zdrojový kód co nejsnazší nejpřehlednější a nejúspornější. Tím pádem spotřebovává méně systémových prostředků a je méně náchylný k chybám. Vše navíc muselo ze zdrojáku pryč.
Tento nový trend v programování jaksi nechápu. Ekonomický "přínos" v tom také nevidím, právě naopak. Možná to ztíží práci hackerům, ale jinak to bude nevýhodné pro všechny ostatní.

Ten článek mi připomíná dokumenty o leteckých katastrofách. V nich taky něco, co by šlo vysvětlit za 5 minut, natahují na celou hodinu. Informace v článku by šly popsat dvěma, třemi větami, ale autor to sáhodlouze vysvětluje, jako kdyby měl pocit, že když chápe to, co popsal, tak je raketový inženýr a my všichni ostatní jsme idioti.

1) clanek je nesmyslny. Rikat ze chyby jsou zbran PROTI hackerum je blbost (jo, to z titulky vyplyva).
2) zapominate, ze chyby v SW (routery a dalsi cinsky serepeticky) jsou tu proto, ze kazdy dneska kodi levny HW. Sosne si nejakou knihovnu, udela AP a jede. Updaty? Ne proc. A pak si ve svete IoT nejake takove zarizeni pripojde to vnitni site. Problem je na svete.Takze reseni v clanku je sice teoreticky pekne, ale v praxi je uplne mimo misu. Pes je zakopan jinde (a protoze lidi chteji vyrabet levne, tak to delaji i nekvalitne). Proste kodeni, vyvoj a kvalita neco stoji a kdo ji nechce zaplatit, bude mit diry. Jako je tomu koneckoncu u vseho, treba u obleceni.

Ehm, teď je v korporacích velké téma "penetrační testy". To je taková mašinérie, jejímž výstupem je tabulka, kde jsou "díry" v systému, které je potřeba odstranit. A běda, když v té kolonce nebude fajfka. Až tam budou tisíce umělých chyb, tak jsem zvědavý, co se s těmi sheety plnými "děr" bude dělat.

Takže místo ladění a vychytávání chyb během vývoje softwaru bude jednodušší se na nějaké hledání chyb rovnou vykašlat a naopak tam nasekat falešné .

A až ten SW nebude fungovat kvůli nějaké chybě tak se raději napíše znovu, protože hledat chybu v chybě by trvalo moc dlouho

Sice pisu az ted, ale rozesmalo me, ze prolink tohoto clanku z titulky zive.cz smeroval na server error stranku.

Tohle uz par let pouzivame v produkci, proste urcity SW odpovida stejne jako stara nezaplatovana verze jineho SW a zaznamenavaji se logy. Kdyz se nekdo o neco pokousi a je nadevse jasne, ze ma nekale umysly, tak se jeho IP blokne v cele infrastrukture na 72 hodin, pokud to zkusi i priste, je to 2x 72 hodin, potreti 3x 72 hodin atd, atd...Na tuto myslenku nas privedl boom ssh honeypotu. Proste jsme si napsali SW ktery se tvari jako memcached, stary nginx, apache, PHP-FPM, vymyslet se da temer cokoli, vse otevreno do sveta a pritom absolutne nezneuzitelne.

Problém by byl jestli exploiteři používají roboty na exploitaci skriptů. Prostě by robot vše prozkoušel. Já mám na serveru Mod Security pravidla od Comodo a pokud je detekována z jedné Ip adresy exploitace několikrát za časový interval, tak se IP blokne. Zajímalo by mě, jestli už existují nějaké Wordpress pluginy, které implementují chyby, které nejdou exploitovat, docela rád by to zkusil abych exploiterům ztížil práci :)

Znate ten vtip, jak se hadaji skutecna a falesna chyba ve zdrojaku, ktera z nich dvou vydelala vice? Po chvili za nimi prijde skutecna chyba z falesneho kodu s otazku: "Prominte, nemate tu nejakou dalsi pamet?"

Tak jak je to popsáno, je to nesmysl. Pokud by chyby byly zaneseny již do zdrojáku, přestaly by fungovat i vývojářské nástroje na odhalování chyb + vývojáři by se v tom bordelu nevyznali. Nemluvě o tom, že původně neškodná chyba by časem mohla stát skutečnou dírou.Muselo by se to tedy aplikovat až při kompilaci. To prakticky vylučuje opensource a dělá z toho jen nástroj pro closedsource.

Welcome to opensource
Ale, čo sa stane vtedy, keď sa bude robiť ranking? Niektoré firmy nebudú odlišovať počet chýb a software s úmyselnými chybami bude patriť medzi najhoršie v zozname. Ako to potom odlíšia, čo je a čo nie je chyba v teste?

Názor byl 1× upraven, naposled 12. 08. 2018 13:51

Takže naroste velikost programů. A dostal mne ten důvod, proč se to dělá - hackeři jsou pečlivější než vývojáři a programátoři.

No nevim. Teoreticky to smysl dává, ale je tam hodně ALE.1. kód softwaru bude plný nesmyslů, což bude zpomalovat jeho provádění a může mást i samotné vývojáře2. bude se muset také zhodnotit ekonomická stránka vývoje toho SW, co bude dělat ty chyby. Je opravdu těžké udělat ho tak, aby si hackeři nějaký ten filtr nenašli. Takže to budou zase hodiny a hodiny tvoření SW na chyby.... Je to nekonečný boj, nevěřim, že toto je řešení. Navíc, budou tam dávat přesně ty chyby, které očekávají by se mohly vyskytnout a ve vlastním kódu si ohlídaji. A pak hacker přijde s chybou, na kterou vůbec nepomysleli, tudíž ji ani SW přidávající chyby nikam necpe.

Názor byl 1× upraven, naposled 12. 08. 2018 11:45