С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK
15 13 юни 2014, 16:37, 5458 прочитания

Пробуждането на разсеяния програмист

Хакерските атаки и пробиви в сигурността може да доведат до създаването на автоматизирани системи за проверка на написания код

  • LinkedIn
  • Twitter
  • Email
  • Качествената журналистика е въпрос на принципи, професионализъм, но и средства. Ако искате да подкрепите стандартите на "Капитал", може да го направите тук. Благодарим.

    Дарение
    Плащането се осъществява чрез ePay.bg


Софтуерът не е сигурен. Това е тъжната реалност, която все повече започва да изпъква на фона на всички разкрития за проблеми в най-различни платформи. Компании и специалисти търсят най-разнообразни решения, но засега без особени резултати. Което провокира появата на ново, по-нетрадиционно предложение, което цели съставянето на методи, които да накарат програмистите да обръщат повече внимание на качеството на своите приложения.

Само преди няколко седмици еBay например обяви, че е жертва на хакерска атака, която е компрометирала данните на много потребители. Тя помоли своите 145 млн. клиенти да сменят паролите си за всеки случай. Пак тази пролет беше открит и сериозен проблем в сигурността на стандарта за криптиране на интернет трафика OpenSSL. Пробивът, наречен Heartbleed, практически позволяваше на хакерите да заобикалят системите за сигурност и ако са достатъчно търпеливи, да изтеглят малки блокчета с информация, които след това могат да "сглобят". Съвсем наскоро беше открита уязвимост и в протокола TLS. Оказва се, че и двете грешки са дело на един и същ програмист и са съществували още от самото създаване на софтуера преди повече от 15 години.


Заложено в системата

Голяма част от програмите се пишат на езиците за програмиране C и C++. Той е обичан от разработчиците, защото разполага с множество възможности. Но тази му всеобхватност създава и проблеми, тъй като става много лесно да се допуснат грешки и да се направят пропуски, които след това да останат незабелязани. Причина за множеството неволи със сигурността на софтуера е и голямата динамика на индустрията. Високата конкуренция притиска разработчиците и често те трябва да правят труден избор: да забавят продукта си, докато той е напълно изпипан (с което рискуват конкуренцията да превземе сегмента) или да пуснат софтуера си на пазара, преди да са изчистили всички проблеми и да правят това в движение. Обикновено повечето компании избират втория вариант, който пък има и допълнителна уловка: започване на работа по следващия проект и така ресурсите за поддръжка на дадения продукт стават още по-малко.

Разбира се, това не означава, че фирмите пускат разработките си веднага, щом програмистите напишат последния ред на софтуера и го компилират. Всеки продукт преминава редица тестове, които да проверят сигурността й. Проблемът е, че в повечето случаи тези проверки са разработени от същите хора. Както знаем, веднъж допусната, една грешка продължава да се повтаря, докато не бъде посочена като такава. А това може да отнеме доста време, като в случая на OpenSSL - повече от 15 години. Има и още един доста показателен пример. Проблем в сигурността на iPhone и Mac компютрите на Apple позволяваше да се прихващат безжичните комуникации на тези устройства. Пробивът се оказва дело на програмист, който неволно копирал код на грешното място в програмата. А самият софтуер го е допуснал, защото конкретната използвана функция в езика за програмиране С, го е позволявала. Ироничното е, че за тази функция се знае, че е проблемна още преди да е въведена в C, отбелязва компютърният специалист Симсън Гарфинкъл пред онлайн изданието Technology Review. Гарфинкъл е и професор по компютърни науки.



Практически няколко фактора се крият в основата на всички софтуерни уязвимости. Те се коренят на едно място - неволните пропуски при писането на код и при самото създаване на езиците за програмиране. Тоест това е ситуация, която няма как да бъде избегната, освен ако не се направи тотално пренаписване на цялата софтуерна индустрия в буквалния смисъл на думата.
  • Facebook
  • Twitter
  • Зарче
  • Email
  • Ако този материал Ви е харесал или желаете да изразите съпричастност с конкретната тема или кауза, можете да ни подкрепите с малко финансово дарение.

    Дарение
    Плащането се осъществява чрез ePay.bg

Прочетете и това

Rocket Lab успешно изпробва технологии за многократна употреба на ракети Rocket Lab успешно изпробва технологии за многократна употреба на ракети

Частната космическа компания изведе микросателити в орбита за десети пореден път

6 дек 2019, 1730 прочитания

Дигитализацията на една болница в провинцията Дигитализацията на една болница в провинцията

Как технологиите промениха до неузнаваемост лечебното заведение "Д-р Димитър Чакмаков" в Раднево

6 дек 2019, 1194 прочитания

24 часа 7 дни
 
Капитал

Абонирайте се и получавате повече

Капитал
  • Допълнителни издания
  • Остъпки за участие в събития
  • Ваучер за реклама
Още от "Технологии" Затваряне
Интернет на счупените неща

Свързаните с глобалната мрежа предмети крият и своите тъмни страни

Още от Капитал
Супер звук в мини тяло

Кои са най-добрите TWS слушалки на пазара

Къде е еко-то в данъка за колите

Новите данъчни идеи на София се мотивират със замърсяването на въздуха, но реално нямат връзка с това

Доставянето на чиста енергия е по-лесно от съхранението й

Намаляването на емисиите зависи от узряването на технологиите за съхранение на енергия

От какво боледува педиатрията

За лечението на 1.2 млн. деца в България се отделят само 11% от бюджета на здравната каса

ЕСМ на 50

Поглед към влиянителния музикален лейбъл навръх 50-годишнината му

Звуковата терапия на Стейси Кент

What a Wonderful World: певицата за нуждата да имаме споделени преживявания в кризисно време

X Остават ви 0 свободни статии
0 / 10