12.08.2003  Новости

БЕЗОПАСНОСТЬДеннис ФишерДо недавнего времени бреши в системе защиты выявлялись, как правило, случайно, а сообщали о них разработчики, эксперты безопасности и другие специалисты. Известия же об обнаруженных утечках распространялись весьма неторопливо, узнать о них можно было разве что на сетевых форумах или на тематических лекциях.Но сейчас проявился совершенно новый феномен: гигантская армия исследователей буквально наперегонки друг с другом бросилась на поиски очередных уязвимых мест в Windows, Apache и т. д. Появилось к тому же множество перекрывающих и дополняющих друг друга списков рассылки, в которых публикуются сообщения о сделанных открытиях. Оперативную информацию о намечающихся проблемах с ПО, например, администраторы и прочие специалисты ИТ всегда могут найти в списках BugTraq и Full Disclosure.Однако рост гласности и усиление внимания к вопросам безопасности привели к тому, что за последние годы это сообщество пополнилось множеством не слишком-то опытных и дисциплинированных членов. В результате известия о брешах стали выходить еще до выпуска заплат под них, бюллетени из исследовательских компьютеров безо всякой на то санкции публикуются в Сети...В таком хаосе у специалистов безопасности все чаще возникает вопрос: чего больше - добра или зла - несут такие поиски уязвимых мест и сообщения о них? Ведь, во-первых, в любом ПО имеется множество потенциальных брешей, поэтому выявление и латание нескольких дыр в год едва ли может способствовать повышению общей ... читать далее.