중독의 소스

Share

|

그래서, 우리는 다양한 기법을 나쁜 애들 보았던 squeeze 트로이 목마 기능을 이용하여 우리의 체제로합니다. 그러나, 아마도가 장 우려 트로이 목마 악성 코드를 삽입하는 벡터를 포함하는 소프트웨어 제품을 출시도되기 전에 해당합니다. 공격자 수 trojanize 프로그램이 과정에서 소프트웨어 공급 업체의 개발 및 테스트 프로세스를합니다. 시다에서 공격자로 직원을 고용하는 주요 소프트웨어 개발 상점이나 자원 봉사에 기여 코드를 오픈 소스 소프트웨어 프로젝트입니다. 이 대상 수 아무것; 주요 운영 체제로 널리 사용되는 엔터 프라이즈 리소스 계획 도구, 또는 심지어는 아주 밀교 프로그램을 관리하는 데 사용하는 은행들은 송금은 모든하게 juicy 목표물입니다. 으로 개발자 또는 심지어는 테스터, 공격자 수 삽입하는 비교적 소규모 우회 미만의 100가의 코드 내부의 수백 메의 합법적인 코드가있습니다. 그것은 정말 주사 바늘로 haystack! 모든 사용자가 구입가의 제품은 다음 구매 모르게된다 트로이 목마, 그것을 자신들의 시스템에 설치됩니다. 전체 소프트웨어 제품 자체는 트로이 목마, 일을 뭔가 유용 (이런 이유를 구입하거나 다운로드), 아직 마스킹이 우회합니다.

켄 톰슨, 언급된 유닉스 cocreator 및 c 프로그래밍 언어 273, 논의의 중요성을 제어하는 소스 코드와가 능성을 개척 backdoors에 그것은 그의 유명한 1984 논문 제목이 "반성을 믿고 신뢰합니다." 에있는 클래식 종이, 톰슨의 소스 코드에 대한 설명을 수정 컴파일러 있도록 만들어 뒷문으로 모든 코드가 컴파일합니다. 제안된 공격이 있었다 특히 무력으로 심지어는 브랜드가 새로운 컴파일러는 컴파일으로 트로이 버전은 이전 컴파일러는이 뒷문으로 그것을 너무합니다. 이 에비뉴의 공격이 이미 오래 전부터 우려를하고는 더 큰 잠재적인 문제는 오늘입니다.

이러한 우려는 더욱 방해에 비해 trojaning의 소프트웨어 배포 사이트가되는 것은 마지막 섹션에서 논의합니다. 때 공격자 trojanizes는 소프트웨어 배포 사이트, 개발자의 소프트웨어를 적어도이있는 깨끗한 버전의 소프트웨어가있는 그들이 볼 수 비교할 얕은를 검색합니다. 배경 아웃 문제는 상대적으로 더 쉽게 발견되면, 그 깨끗한 버전의 소프트웨어 배포를 위해 웹 사이트에 삽입 할 수있습니다. 다른 한편, 만약 공격자가 포함 a 트로이 목마 동안에 소프트웨어 개발 과정에서 공급 업체들은 클린 복사조차하지 않을 수도있습니다. 경우에 공격자는 특히 재치가 이들은 intertwine 작은, 화장기 우회 전체의 정상적인 코드, 제작 퇴치 매우 어렵습니다. 이 소프트웨어 개발자는 엄청난 양의 코드를 스캔을 전체 제품의 무결성을 보장합니다. 가 더 큰는 소프트웨어 제품을 더욱 어렵게 탐지 및 퇴치되고있습니다. 합시다 분석할 수 있도록하는 이유입니다.

코드가 복잡하게 공격을 더 쉽게

대부분의 최신 소프트웨어 도구는 광대한의 범위입니다. 감지 버그에 코드를 는커녕 backdoors,이 매우 어렵고 값비싼. 를 trojanize있는 소프트웨어 제품을 악의 직원하지 않는다 쓰기도가 실제로는 전체 뒷문으로 제품을합니다. 대신, 악의적인 개발자 수 의도적으로 쓰기 코드가 들어있는 익스플로잇의 결함과 같은 버퍼 오버플로,이 될 수 있도록 공격자가 컴퓨터를 인수합니다. 사실상,이 같은 목적의 결함 사도 행전처럼 우회합니다. 결함이 아플 경우에 과거의 소프트웨어 테스트 팀은 개발자가 될 수있는 유일한 사람이 알고 구멍 처음입니다. 에 의해 악용하는 결함을 제어할 수있는 시스템을 사용하는 개발자가 자신의 코드가있습니다.

에 대한 느낌을 받으려면을 의도하는 방법을 쉽게 이런 결함 또는 심지어 전체 트로이 목마 수 삐걱 과거 소프트웨어 개발 품질 프로세스, 보겠습니다의 품질을 추적할 수있는 정보 기술 산업의 기록 시간이 지남에있습니다. 소프트웨어 품질이 문제가 plagued 우리에 대한 수십년입니다. 과 함께 소개가 높은 밀도 칩, 광섬유 - 광학 기술, 그리고 더 나은 하드 드라이브, 하드웨어를 계속해서 더 많은 믿을만한 시간이 지남에있습니다. 소프트웨어, 반면 유해 고집 결함입니다. watts humphrey, 소프트웨어 품질의 273과 카네기 멜론 대학에서 연구원이 실시한 설문 조사에 수의 오류가 소프트웨어 개발자를 자주하게되면 코드를 작성합니다. 다양한 분석이 밝혔다는 평균, 일반적인 개발자가 실수를 도입 사이의 100과 150 결함 1,000 줄의 코드입니다. 이러한 문제는 전적으로 우연하지만, 단일 고의 결함이 될 구강의도합니다.

이러한 오류는 단순한 문법 문제가 많지만 쉽게 발견하는 컴파일러, 좋은 거래의 남아있는 결함을 자주 결과의 뒷구멍 보안 구멍이있습니다. 사실, 본질적으로, 보안 취약점은 정말 그냥 바로 콘트롤 착취의 버그를 달성 공격자의 특정 목표입니다. 경우에 공격자가 프로그램이 실패하는 방향으로 만들 수있습니다 이점는 공격자 (하여 충돌이 시스템을 양보 액세스, 또는 게재 기밀 정보), 공격자 승. 추정가 매우 보수적, 단 1에서 10의 경우 결함이 소프트웨어는 보안 관련 사항, 그 나뭇잎 사이 10 그리고 15 보안 결함 1,000 줄의 코드입니다. 이 숫자를 그냥하지 않는 모양 매우 907.

복잡한 운영 체제와 같은 microsoft windows xp는 약 45,000,000 줄의 코드, 그리고이 거대한 숫자는 성장과 새로운 기능 및 패치가 출시됩니다. 다른 운영 체제와 응용 프로그램이 엄청난 양의 코드도있습니다. 수행 번식에 대한 xp,이있을 수 약 450000 보안 결함에 windows xp 혼자입니다. 설령 우리의 백 - 중 -는 - 봉투가 계산이 너무 높은 의해 영향을 미치는 요인은 100, 그 의미는 4500 보안 결점 수가 계속됩니다. 아얏! 사실, 바로 같은 날이 windows xp 출범 년 10 월 2001 년, microsoft를 출시 무려 18 메가 바이트의 패치에 대한 것이있습니다.

하지를 얻을 나를 잘못; 내 사랑을 windows xp. 것이 훨씬 더 안정적이고보다 쉽게보다 이전 릴리스의 windows를 사용합니다. 것이 분명 이러한 관점에서 올바른 방향으로의 이동합니다. 그러나, 이것은 단순한 일러스트 레이션의 보안 문제를 고유의 대형 소프트웨어 프로젝트입니다. 잠시만 microsoft 문제는없습니다 중 하나; 전체 소프트웨어 산업이 도입 더 큰, 더 복잡한, 울트라 - 기능 - 리치 (과 때로는 기능 - 빈 라덴) 프로그램과 함께 다수의 보안 결함입니다. 전체의 소프트웨어 산업, 우리가 매우 비옥한 토양에 대한 공격자가 공장을 참조하십시오 미묘한 트로이 목마입니다.

테스트가? 무엇을 테스트합니까?

이러한 보안 버그에도 불구하고, 일부 민속 아직 생각합니다 테스트 과정을 고용하여 개발자가이 저장됩니다 우리를 찾아 트로이 목마 전에 tainted 제품을 키보드의 선반. 나는 나의 우려를 함께 지향하는 데 사용되는 인수도합니다. 나에게 그것을 도왔 밤에 잠을 더 잘됩니다. 그러나이 또 다른 차원의 평화를 파괴하려면 여기를 염두에 두어야합니다 졸자 : 부활절 달걀입니다. 에 따르면 이스터 에그 보관 ™을 이스터 에그가로 정의합니다 :

어떤 재미있는 말미에 그들의 공감대가 만든 숨겨있습니다. 분명에서 컴퓨터 소프트웨어, 영화, 음악, 미술, 도서, 또는 심지어 귀하의 감시합니다. 지 수천명의 그들, 그들은 아주 재미를 알고있다면 어디를 찾아야합니다.

부활절 계란은 이러한 예기치 못한 엉뚱한 리틀 "기능"squirreled 원정의 소프트웨어 (또는 다른 제품)이 팝업 되었음 아주 특별한 상황입니다. 예를 들면, 프로그램을 동시에 실행하는 경우 누른 상태에서 이메일, 금, 그리고의 열쇠를 얻을 수있습니다을 보려면 dorky 그림의 프로그램 개발자가. 가 이스터 에그 아카이브를 유지 관리하는 마스터 목록은 이러한 작은 보석 언제 www.eeggs.com, 이상인 2775 소프트웨어가 부활절 계란에 대한 기록으로이 글을 작성합니다.

부활절 계란 무엇을해야 할와 트로이 목마의 소프트웨어가 있습니까? 이 많은, 사실입니다. an 이스터 에그은 지극히 형태의 트로이 목마,으로나마 (일반적으로)을 양성 하나입니다. 그러나, 만약 소프트웨어 개발자를 빠져나와 a 양성 이스터 에그 '는 소프트웨어 테스트 및 품질 보증 팀,에는 아무런 의심을 내 마음이 그들 수 비슷하게 전달하는 트로이 목마 또는 고의 버퍼 오버플로 잘합니다. 사실, 공격자 수조차 두지 우회 내부의 이스터 에그 임베디드 내에있는 메인 프로그램입니다. 테스트 및 품질 보증 팀하지 않는 경우에 유의합니다 이스터 에그, 심지어 규정이 있지만 사용자가 그것을 통해, 그들이 같은 숨겨진 기능에 대한가 능성이없는 것으로 확인됩니다. 이 나에게 부활절 달걀의 존재를 증명 아주 명확하게하는 악의적인 개발자 또는 테스터 싸 숨김 기능을 넣을 수있다 내부의 제품 코드를 얻기를 통해 제품을 출시하지 않고 나타났습니다.

이스터 에그에 대한 느낌을 받으려면, 살펴 봅시다 하나의 임베디드 이내로 인기 제품, 마이크로 소프트의 엑셀 스프레드 시트 프로그램입니다. 엑셀은 아주 유명한 부활절 계란입니다. 이전 버전의 프로그램, 엑셀 97을 포함 비행 시뮬레이터 게임입니다. 좀 더 최근의 버전, 엑셀 2000을 포함하고 승용차 - 운전 게임 개발자 사냥꾼이라고합니다.

이 이스터 에그가 작동하려면이 있어야합니다 엑셀 2000 (선불 서비스 릴리스 1), 익스플로러, 그리고 directx 컴퓨터에 설치되어있습니다. 이스터 에그 및 재생을 활성화하기 위해이 게임을해야합니다 다음을 수행합니다 :

• 실행을 엑셀 2000.

• 아래에있는 파일 메뉴를 선택합니다 웹 페이지로 저장합니다.

• 에 저장 인터페이스를 선택하고 다음을 클릭하십시오 추 양방향 대화 상자를 게시합니다.

• 이로 htm 페이지에 게시를 클릭하여 귀하의 드라이브에 저장합니다.

• 다음으로, 엽니다 htm 페이지가 방금 만든 인터넷 탐색기와 함께합니다. 빈 스프레드 시트를 게재됩니다의 중간에서 귀하의 인터넷 탐색기 브라우저 창입니다.

• 여기는 까다로운 부분입니다. 아래로 스크롤하여 행 2000 년 이상으로 열이 wc.

• 이제, 선택하고 전체의 행 2000으로 클릭은 2000 번호는 왼쪽의 행.

• 키보드의 탭 키를하기 wc는 활성 칼럼입니다. 이 칼럼은 흰색, 동안에 다른 컬럼에서 행을 어두워됩니다.

• 누르시 이동 + +하고, 동시에, microsoft 사무실 로고를 클릭하십시오 스프레드 쉬트의 왼쪽 상단 구석에있습니다.

• 에서 두 번째 또는 두 개의,이 게임은 실행됩니다.

• 화살표 키를 사용하여 드라이브와 조종하고 스페이스 바를 눌러 화재입니다. 가 o 키가 떨어지면 기름 slicks를 confound의 다른 차량입니다. 어두운 때 얻을 수있습니다 검색 키를 설정하려면 귀하의 전조등을 사용합니다.

이 게임은 사용자의 시스템에서 실행되지 않으면, 그것이 예상되므로 거의 서비스 릴리스 1 또는 그 이상 버전의 microsoft 엑셀 컴퓨터에 설치하는 이스터 에그은 포함되지 않습니다. 이전 버전의 수 사냥 다운 microsoft 엑셀, 아니면 그냥 제 말을 믿으세요.

이제, 마음이 여러분,이 "기능"은 스프레드 시트, 사무실 생산성 프로그램입니다. 에 따라 마인드를 것이 재미있는과 즐거움입니다. 그러나, 어떻게 이런 일이 벗어나기는 소프트웨어의 품질 프로세스 (어떤 코드 리뷰를 포함한다) 및 테스트 팀은? 미정의 품질 보증 및 테스트 인사 않았다 통지합니다. 또는, 아마도가 품질 보증 개발자 및 테스터들이 모으고있는 개발자를 보려면 생산 릴리스에 포함되어있는 게임을 얻었다. 두 방법으로, 저는 관심있는 잠재 고객의 트로이 목마가 삽입된과 유사한 방식은 다른 공급 업체입니다.

다시 따기에 확실하지 않습니다 microsoft 여기에 불과합니다. 사실, microsoft이 gotten 더 나은 지난 몇 년 동안과 관련하여 이러한 우려를합니다. 새 서비스 팩 또는 핫 픽스가 자주하고 신속 스쿼시 어떠한 부활절 계란 이전 버전에 포함되어있습니다. 마이크로 소프트의 신뢰할 수있는 컴퓨팅 이니셔티브, 비록 자주 조롱은 시작하는 베어 일부 과일과 더 적은과 더 적은 보안 취약점 및 부활절 계란을 시장에서 프로그램을 오는 것으로 나타납니다. 그러나, 나는이 말을과 함께 큰 망설임, 또 다른 거대한 역간 달걀을 발견하지 날 수있다. 그럼에도 불구하고, 현재는이가 아니 microsoft - 유일한 문제는, 많은 다른 소프트웨어 개발 상점이 부활절 계란에 포함되어 자신의 제품을 비롯한 애플 컴퓨터, 노턴, adobe, quark를 오픈 소스 모질라 웹 브라우저, 오페라 브라우저를합니다. 이 목록에서 이동을하고 있으며,이 철자가 밖의 세계를 볼에서 www.eeggs.com.

는 이동 방면으로 국제 개발

악성 소프트웨어에 대한 우려를 최종 면적은 개발자와 트로이 목마는 세계 각지의 개발과 연관된 코드가되고있습니다. 소프트웨어 제조 업체들은 점점 더 의존 높은 분산 팀들 주위의 행성을 만드는 코드입니다. 그리고 이유가 무엇입니까? 경제적 관점에서, 수많은 나라들이 시민과 함께 기 - 무늬 소프트웨어 개발 능력 및 훨씬 낮은 노동 격입니다. 비록 경제학을 이해, 트로이 목마 보안 문제로 떠오르 훨씬 더 큰 함께 이러한 유형의 소프트웨어를 개발합니다.

시다를 구입하거나 다운로드 한 조각의 소프트웨어를 공급 업체 ⅹ 해당 공급 업체에서 차례, 계약과 함께 공급 업체의 예와 자유를 개발할 특정 부분의 코드가있습니다. 공급 업체에 자유의 하위 구성 요소 덕에 서로 다른 3 개의 서로 다른 나라의 작품을 전세계적으로합니다. 에 의해 시간이 제품 앉아서에서 하드 드라이브, 수천명의 손을 분산 전역의 행성 수 있었을 개발 그것에 관여합니다. 일부 사람 손을했을가 능성이있는 심은 a 싸 우회합니다. 더 나쁜 아직, 같은 분석을 적용 뒤쪽 - 엔드 금융 시스템을 사용하는 귀하의 은행 및 데이터베이스 프로그램을 주택 귀하의 의료 기록합니다. 정보 보안 법률과 제품 책임 관련 규정과 크게 다를 국가,이 많은 나라가 매우 강력한 규제가 전혀 발생하지 않습니다.

이것과 관련된 우려가 아닙니다 도덕의 개발자는 다양한 나라에서입니다. 대신에 우려를 다루고 적용할 수있는 수준의 품질 관리와 함께 제한된 계약과 규제를 지원 구조입니다. 또한,이 같은 경제적 효과가있는 운전을 개발하여 국과 함께 저렴 개발 인력 수 악화 문제가있습니다. 공격자 못할 수 뇌물 개발자가 제작 $ 100 일주일이나 한달에 퍼팅 a 뒷문으로 코드가에 대한 아주 약간의 수익입니다. "여기 10 년 '연봉… 나를위한 두 줄의 코드를 변경하십시오"모든 것이라고 걸릴 수도있습니다. 우리가하지 않으려는 성향은 여기에; 국제 소프트웨어 개발은 현실과 함께 중요한 이점은 오늘날의 정보 기술 사업입니다. 그러나, 우리는 또한이 보안 위험을 인식하는 것이하지 증 트로이 목마 또는 고의 소프트웨어 결함입니다.

방어 상대로 중독의 소스

자신을 방어하는 방법을 할 수 트로이 목마에 의해 심은 한 직원의 소프트웨어 개발 집니까? 이것은 매우 힘든 질문으로 제어할 수있는 약간의 발전은 대부분의 소프트웨어를 시스템을합니다. 그럼에도 불구하고,이 일을 우리는이 상황을 개선하기 위해 모든 작업으로 지역 사회입니다.

먼저, 여러분의 상업적인 공급 업체가 할 수있습니다 강력한 무결성을 제어하고 테스트 regimens에 대한 자신의 제품입니다. 하지 않는 경우를 꺾고 그들을 위협하고 다른 제품을 사용합니다. 나는 그들을하지 말 그대로의 의미를 눌렀다. 하고 싶지 않습니다 부추기고 폭력, 예를 선은 술. 에 "때려 그들을,"나는 그들의 하드 시간을 의미 부여합니다. 도전합니다. yell 언제 그들입니다. 귀하의 소프트웨어 개발 공급 업체가 알 수 있도록 안전한 코드는 귀하의 업무에 얼마나 중요합니다. 마켓 플레이스가 시작되면 요구를보다 안전 코드,리겠습니다 9.5에서 해당 방향으로 서서히 시작합니다. 또한, 많은 오픈 소스 소프트웨어를 사용하는 경우, 지원하는 지역 사회와 관련하여 시간과 노력을 이해 소프트웨어의 결함입니다. 가있을 경우, 기술, 도움이 아웃을 검토하여 오픈 소스 코드가 있는지 확인 것이 안전합니다.

다음으로, 새로운 소프트웨어를 다운로드하면 구매를하거나, 테스트를 먼저하도록해야합니다 어떠한 명백한 트로이 목마 기능을 포함하지 않습니다. 와 함께 철저한 소프트웨어를 테스트하고 평가 과정의 집, 바로 찾을 수있습니다 일부 트로이 목마를 당신 누구 고지하기 전에 제품입니다. 의사 소통이 정보를 공급 업체에이 문제의 해결을하는 데 도움이됩니다.

만약 귀하의 조직을 개발하는 모든 코드에 집, 반드시 귀하의 소프트웨어 테스팅 팀은의 문제는 부활절 계란, 트로이 목마, 그리고 의도적 흠집입니다. 슬프게, 소프트웨어 테스터들이 종종 보입니다 계층의 중요성은 매우 하단에있는 소프트웨어 개발 계층 구조, 주로 찾아 리틀 존중, 인식, 또는 비용을 지불합니다. 그러나, 그들의 중요성을 안보의 제품은 파라마운트입니다. 기차 이러한 민속 수 있도록 신속하게 현장 코드가없는 모양 권리 및보고 그것을 적절한 관리 요원합니다. 현상금 주요 보안 문제를 찾을 때 귀하의 테스터 선적하기 전에 소프트웨어입니다. 조심지만. 하지 않으려는 노력과 함께 개발자가 게임이 테스터의 시스템과 공장 버그 때문에 그들이 볼 수 있도록 더 많은 돈을합니다. 그건 같은 데 복권 여기서 사람들은 자신의 당첨 티켓을 인쇄할 수있습니다. 주의 깊게 모니터를 어떠한 버그 현상금 프로그램에 대한이 같은 얕은를 작성합니다.

또한, 있도록하여 테스터와 개발자는 보고서를 보안 문제없이 보복에서 엄격한 소프트웨어를 마감 기한을 준수하려는 필사 관리자입니다. 크기에 따라 귀하의 조직과 그 문화, 수도를 도입 익명의 운영에 대한 귀하의 개발자는이 같은 우려를 신고합니다. 이 훨씬 - 필요에 추가 관심을 갖게하여 귀하의 소프트웨어 테스터를하실 수 있도록 도와을 squelch에 문제가 트로이 목마의 전체적인 품질을 향상시킬뿐 아니라 귀하의 제품입니다.

이러한 마인드를 더하고 전체의 문화의 소프트웨어 개발 팀들을 고려 변형 귀하의 테스트기구로 전체 -을 갖춘 품질 보증 기능을합니다. 품질 보증 조직하여야한다 전세기와 함께 소프트웨어 보안을 책임적으로 여년간의 품질입니다. 귀하의 품질 보증 프로세스로 구축하여 전체 사이클의 소프트웨어 개발을 비롯한, 디자인, 코드 리뷰 및 테스트를합니다. 또한 세심한 컨트롤을 부과하여 소스 코드, 개발자가 인증을하기 전에 필요한 모든 모듈에서 작동합니다. 모든 변경 사항을 검토하여 다른 개발자가 추적해야한다. 만을 사용하여 철저한 품질 프로세스 및 소스 코드 컨트롤 수있습니다 특정인 소스 코드와 관련된 우리의 상황을 개선합니다.