The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Аудит кода показал полную беззащитность авиационного ПО пере..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от opennews (??) on 16-Май-09, 11:51 
Аудит web-ориентированного программного обеспечения для контроля авиаперевозок, разработанного Федеральной администрацией по авиации США, выявил (http://it.slashdot.org/article.pl?sid=09/05/11/2159212) 3800 уязвимостей, из которых 763 помечены как опасные. За 2008 год разработчики данного ПО получили около 800 сообщений о проблемах безопасности, из которых до сих пор не исправлено 17%. Некоторые из ошибок позволяли атакующим получить управление над машинами ATO (http://en.wikipedia.org/wiki/Air_Traffic_Organization).

По словам  представителя компании  WhiteHat Security, выполнившей аудит кода, тип и число ошибок типичны для большинства других проверяемых web-приложений. Проведя эксперимент, аудиторам удалось через брешь в безопасности web-приложения получить доступ к инфраструктуре управления воздушным транспортом и системе анализа погодных условий.


URL: http://it.slashdot.org/article.pl?sid=09/05/11/2159212&from=rss
Новость: http://www.opennet.dev/opennews/art.shtml?num=21768

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Аудит кода показал полную беззащитность авиационного ПО пере"  –1 +/
Сообщение от ZANSWER (??) on 16-Май-09, 11:51 
Браво, вот так пишется весь софт, который пишут гост конторы, понабирают туда своих детей и кумовей, и не важно, что они тупые, зато своих пристроили, да бабки попилили.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Аудит кода показал полную беззащитность авиационного ПО пере"  –1 +/
Сообщение от pavlinux (ok) on 16-Май-09, 13:49 
Ты тоже в такой работаешь? :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Аудит кода показал полную беззащитность авиационного ПО пере"  +/
Сообщение от Hettikus (??) on 17-Май-09, 13:42 
Ит в этом плане не отличается от любой другой области. Количество нанятых по блату придурков в среднем 15-30 процентов в любой конторе, где препятсвующие этому правила четко не прописаны.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Аудит кода показал полную беззащитность авиационного ПО пере"  +2 +/
Сообщение от pavlinux (ok) on 17-Май-09, 15:34 
>Ит в этом плане не отличается от любой другой области. Количество нанятых
>по блату придурков в среднем 15-30 процентов в любой конторе, где
>препятствующие этому правила четко не прописаны.

" - Не я один, все так же осуждают!"

А судьи кто? - За древностию лет
К свободной жизни их вражда непримирима,
Сужденья черпают из забытых газет
Времен Очаковских и покоренья Крыма;
Всегда готовые к журьбе,
Поют все песнь одну и ту же,
Не замечая об себе:
Что старее, то хуже.
Где, укажите нам, отечества отцы, *
Которых мы должны принять за образцы?
Не эти ли, грабительством богаты?
Защиту от суда в друзьях нашли, в родстве,
Великолепные соорудя палаты,
Где разливаются в пирах и мотовстве,
И где не воскресят клиенты-иностранцы *
Прошедшего житья подлейшие черты.
Да и кому в Москве не зажимали рты
Обеды, ужины и танцы?
Не тот ли, вы к кому меня еще с пелен,
Для замыслов каких-то непонятных,
Дитей возили на поклон?
Тот Нестор * негодяев знатных,
Толпою окруженный слуг;
Усердствуя, они в часы вина и драки
И честь и жизнь его не раз спасали: вдруг
На них он выменил борзые три собаки!!!
Или вон тот еще, который для затей
На крепостной балет согнал на многих фурах
От матерей, отцов отторженных детей?!
Сам погружен умом в Зефирах и в Амурах,
Заставил всю Москву дивиться их красе!
Но должников * не согласил к отсрочке:
Амуры и Зефиры все
Распроданы поодиночке!!!
Вот те, которые дожили до седин!
Вот уважать кого должны мы на безлюдьи!
Вот наши строгие ценители и судьи!
Теперь пускай из нас один,
Из молодых людей, найдется - враг исканий,
Не требуя ни мест, ни повышенья в чин,
В науки он вперит ум, алчущий познаний;
Или в душе его сам Бог возбудит жар
К искусствам творческим, высоким и прекрасным, -
Они тотчас: разбой! пожар!
И прослывет у них мечтателем! опасным!! -
Мундир! один мундир! он в прежнем их быту
Когда-то укрывал, расшитый и красивый,
Их слабодушие, рассудка нищету;
И нам за ними в путь счастливый!
И в женах, дочерях - к мундиру та же страсть!
Я сам к нему давно ль от нежности отрекся?!
Теперь уж в это мне ребячество не впасть;
Но кто б тогда за всеми не повлекся?
Когда из гвардии, иные от двора
Сюда на время приезжали, -
Кричали женщины: ура!
И в воздух чепчики бросали!

(с) Грыбыедоф

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Аудит кода показал полную беззащитность авиационного ПО пере"  +/
Сообщение от Sphynkx (ok) on 19-Май-09, 04:02 
>Браво, вот так пишется весь софт, который пишут гост конторы, понабирают туда
>своих детей и кумовей, и не важно, что они тупые, зато
>своих пристроили, да бабки попилили.

...а только ли гос??.. Эх-х-х...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от Юниксоид email(??) on 16-Май-09, 11:57 
Гы ! А я думал, что такое ПО на этапе тестирования гоняют по секурити.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от wr2 on 16-Май-09, 16:23 
Возможно, ввел в заблуждение заголовок: "полная беззащитность", "авиацонное ПО". Классический газетный (и не только) прием - громкий заголовок, а реально речь вовсе не о том, о чем подумает большинство людей. ;-) Будьте уверены - то ПО, которое представляется при словах "авиационное ПО" (пилотажно-навигационные системы, системы жизнеобеспечения, различное самолетное оборудование и т. п.) действительно "гоняют" по самым разным критериям на всех этапах испытаний с обязательными процедурами различных сертификаций и приемок.

Подавляющее большинство таких систем вообще не имеет выхода "наружу" - только в кино можно несанкционированно управлять сливом бачка унитаза в туалете летящего самолета с ноутбука, находящегося в подвале дома на другом краю Земли.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от аноним on 16-Май-09, 19:52 
была, кстати, проблема с возможностью получения доступа к системам управления из сети пассажирского салона в 787 боинге
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от yantux (??) on 17-Май-09, 01:03 
Феерический бред. Ссылку в студию!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от аноним on 17-Май-09, 03:46 
>Феерический бред. Ссылку в студию!

пользоваться поиском уже немодно?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от yantux (??) on 17-Май-09, 12:30 
Я не собираюсь искать доказательства феерического бреда.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от Hettikus (??) on 17-Май-09, 13:44 
>Я не собираюсь искать доказательства феерического бреда.

Там была уязвимость в сети, по которою юзерам контент в самолете доставляли. От систем управления самолетом она была отделена физически.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от gordev email(ok) on 17-Май-09, 13:05 
сети физически отделены. т.ч. бред
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от аноним on 17-Май-09, 13:18 
обоим неверующим: мне очень нравится ваша позиция "этого не может быть потому что этого не может быть", особенно в сфере безопасности, такая страусиная позиция.
вам, как великим экспертам по безопасности и боингам я ничего доказывать не собираюсь. я только сказал что такая проблема была и боинг ее признал, так что феерический и прочий бред это к ним. если нужны детали -- вы их легко найдете в сети, мальчики, судя по понтам, уже большие...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от Alexander Motin on 18-Май-09, 03:18 
Буквально на днях летал на B767 через океан. Так вот его развлекательная система весьма красиво в реальном времени показывает пасажирам кое-какую простейшую телеметрию вроде высоты, скорости и текущих координат. При взлете система отключена, но посадку через нее приятно наблюдать. Я не сомневаюсь что эта система максимально изолирована от систем управления самолетом, но если данные в нее как-то поступают, то можно допустить теоретическую возможность наличия уязвимости. Хотя они конечно могли и отдельный GPS поставить для этого. Может как раз после того случая и поставили.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от cryptoanonymouns on 19-Май-09, 09:31 
там был сразу отдельный GPS и не из-за проблем с безопасностью....
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от yarodin email(??) on 27-Май-09, 20:37 
>Буквально на днях летал на B767 через океан. Так вот его развлекательная
>система весьма красиво в реальном времени показывает пасажирам кое-какую простейшую телеметрию
>вроде высоты, скорости и текущих координат. При взлете система отключена, но
>посадку через нее приятно наблюдать. Я не сомневаюсь что эта система
>максимально изолирована от систем управления самолетом, но если данные в нее
>как-то поступают, то можно допустить теоретическую возможность наличия уязвимости. Хотя они
>конечно могли и отдельный GPS поставить для этого. Может как раз
>после того случая и поставили.

Я вот тоже на таком же агрегате недавно летал. И систему эту видел, по моему именно "gps" составляющая ее настолько условна и корява, что как бы она не сугубо вычислительные данные использовала. Т.е. вполне возможно, что там вообще нет никакого gps в ней :)

Кстати акцент у вас брутальный совершенно, но говорите бодренько :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от Ivan (??) on 23-Май-09, 20:42 
>была, кстати, проблема с возможностью получения доступа к системам управления из сети
>пассажирского салона в 787 боинге

Ну да, всё верно, всегда было проблемматично получить доступ к системам управления из сети пассажирского салона в 787 боинге.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от yantux (??) on 17-Май-09, 01:04 
Хрен с этими сертификациями и приёмками. Имеет значение ВЕРИФИКАЦИЯ и качество её организации.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от wr2 on 17-Май-09, 02:35 
>Хрен с этими сертификациями и приёмками. Имеет значение ВЕРИФИКАЦИЯ и качество её
>организации.

Без надлежащей верификации (и многого другого, кстати) НЕВОЗМОЖНО получить сертификат (по крайней мере, это касается ПО для авиационного оборудования). Тоже самое можно сказать про испытания и приемки.

Почти стихи:

Именно сертификация
закрывает путь в авиацию
тем, кто "кладет" на верификацию.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от yantux (??) on 17-Май-09, 12:33 
> Без надлежащей верификации (и многого другого, кстати) НЕВОЗМОЖНО получить сертификат (по крайней мере, это касается ПО для авиационного оборудования). Тоже самое можно сказать про испытания и приемки.

Смотря в какой стране и на какой уровень безопасности.


Вы по ходу дела не очень то понимаете этот процесс в реальной жизненной практике.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от wr2 on 17-Май-09, 15:32 
>> Без надлежащей верификации (и многого другого, кстати) НЕВОЗМОЖНО получить сертификат
>> (по крайней мере, это касается ПО для авиационного оборудования).
>> Тоже самое можно сказать про испытания и приемки.
> Смотря в какой стране и на какой уровень безопасности.
> Вы по ходу дела не очень то понимаете этот процесс в реальной
> жизненной практике.

Эта фраза предполагает, что можно получить сертификаты разработчика, годности и прочие (http://www.mak.ru/russian/certificates_all.html) не имея и не подтверждая качества верификации ПО? Или что можно официально оснащать борт несертифицированным оборудованием?

По ссылке, есть сертификаты двух систем, в разработке и сертификации которых я принимал непосредственное участие (не считая сертификации самого предприятия). Как происходит этот процесс в реальной жизненной практике, к примеру, в Конго, я действительно понятия не имею, и соответственно не очень-то его понимаю.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от yantux (??) on 17-Май-09, 19:07 
> Эта фраза предполагает, что можно получить сертификаты разработчика, годности и прочие (http://www.mak.ru/russian/certificates_all.html) не имея и не подтверждая качества верификации ПО? Или что можно официально оснащать борт несертифицированным оборудованием?

Нет, это фраза предполагает, что у нас это делается чисто формально, для бумажки. Это реальный факт и реальная жизнь наших почтовых ящиков.

По вашей ссылке нет ни чего про сертификацию софта.


> По ссылке, есть сертификаты двух систем, в разработке и сертификации которых я принимал непосредственное участие (не считая сертификации самого предприятия). Как происходит этот процесс в реальной жизненной практике, к примеру, в Конго, я действительно понятия не имею, и соответственно не очень-то его понимаю.

Ясненько :) стало быть откаты стрижёте? В не поверю, что есть польза от вашей сертификации предприятия.

Кроме Конго, есть ещё другие страны, которые добились существенных успехов по части верификации. На собственном опыте знаю (верификация софта для прибора 787), что организация сертификации в США это серьёзно. У нас на таком уровне это сделать не реально - нужна нормальная организация процесса и деньги. У нас же деньги просто распилят. А за копеечную зарплату провести нормальный процесс верификации в принцепе не возможно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от wr2 on 17-Май-09, 21:18 
>По вашей ссылке нет ни чего про сертификацию софта.

Странная ремарка от человека, который, как мне показалось, "в теме". Сертификация изделий, содержащих ПО, подразумевает и сертификацию ПО.

>Ясненько :) стало быть откаты стрижёте?

О как повернулось-то! Чтоб стричь откаты - надо чтоб деньги давал "кто-то" (наверное, государство?), а для этого надо быть чем-то типа большого НИИ, да еще и поближе к Москве. Поверьте, тем, кому государство денег на разработку и сертификацию не выделяет - откатывать нечего (получается как сам у себя деньги берешь).

>Кроме Конго, есть ещё другие страны, которые добились существенных успехов по части
>верификации. На собственном опыте знаю (верификация софта для прибора 787), что
>организация сертификации в США это серьёзно. У нас на таком уровне
>это сделать не реально - нужна нормальная организация процесса и деньги.
>У нас же деньги просто распилят. А за копеечную зарплату провести
>нормальный процесс верификации в принцепе не возможно.

Ничуть не сомневаюсь, а про некоторые страны даже точно знаю (про Конго и США - не знаю :) ), что уровень (даже требований) совершенно иной. Верификация, куча испытаний и приемок, и сертификация (как итог) требуются исключительно для обеспечения качества, а те, кому важно качество своей продукции (не только на словах) и не ждет пока кто-то кому-то выделит деньги на организацию каких-то там процессов. Настоящее качество начинается задолго до сертификации (и, по большому счету, слабо связано с организациями эту сертификацию проводящими). Возможно, где-то это и не так - не знаю, в таких местах работать не доводилось.

Если же мы говорим "абстрактно", что некий "кто-то" может получить сертификат годности ничего не соблюдая, не проводя и не обеспечивая (видимо, каким-то образом задействуя "распилы" и "откаты"??), то, наверное, это даже возможно, хотя мне такие случаи неизвестны - слишком велик уровень ответственности.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от Zulu on 17-Май-09, 13:04 
Ох уж мне эти сказочники...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Аудит кода показал полную беззащитность авиационного ПО пере"  +/
Сообщение от Андрей К. on 16-Май-09, 15:59 
Прикол в том, что теперь на многие сайты авиакомпаний пойдут массированные атаки.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Аудит кода показал полную беззащитность авиационного ПО пере"  +/
Сообщение от DrNo (??) on 17-Май-09, 14:20 
Ага, особенно после того как прочитают Opennet :)))
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от rst07 on 18-Май-09, 12:57 
http://www.driverforum.com/printer5/31259.html к вопросу о тщательно проверенном ПО для самолетов
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Аудит кода показал полную беззащитность авиационного ПО пере..."  –1 +/
Сообщение от wr2 on 18-Май-09, 23:54 
Реально, набор  о-о-очень старых баек. Причем, некоторые из них реально произошли в жизни, только не совсем так, как описано по ссылке. Не спиз***ь, как говорится, - не расскажешь. Вот это особенно понравилось: "Лишь одному пилоту удалось связаться с экспертами разработчика (компании Lockheed Martin). Несколько пилотов попытались перезагрузить ПО истребителя в полете."
Может быть кто-то думает, что у пилота истребителя (!) есть так много свободного времени в полете, что он может связаться с кем хочет? Или все-таки это шел обычный процесс летных испытаний и выявилась обычная недоработка (правда, в этом случае эпизод существенно теряет "зрелищность")? По остальным эпизодам вопросов не меньше.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +1 +/
Сообщение от yantux (??) on 19-Май-09, 17:53 
Начать с того, что если пилот и может перезагрузить комп, то только тот, который на влияет напрямую на безопсность полёта.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от koffu email(??) on 24-Май-09, 11:23 
>Несколько
>пилотов попытались перезагрузить ПО истребителя в полете."

Несколько... в истребителе? Пятеро? Интересно как это? Один жал кнопку, остальные кричали...
Да и что за софт такой? Снова Windows? Завис проводник, пелоты не могли открыть через Paint карту... пытались слать багрепорт, еле отправили... после перезагрузки...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от yantux (??) on 19-Май-09, 17:55 
Скорее всего перегрузили комп, который обеспечивает сервис пилота, но не влияет напрямую на безопасность полёта. Видимо пилоты соблюли инструкции и полетили обратно.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Аудит кода показал полную беззащитность авиационного ПО пере..."  +/
Сообщение от Agressor (ok) on 20-Май-09, 18:37 
Гы-гы... Вспомните историю про Фантомы и ошибку при делении на 0 в бортовом компе при полете над Мертвым морем :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру