Аудит web-ориентированного программного обеспечения для контроля авиаперевозок, разработанного Федеральной администрацией по авиации США, выявил (http://it.slashdot.org/article.pl?sid=09/05/11/2159212) 3800 уязвимостей, из которых 763 помечены как опасные. За 2008 год разработчики данного ПО получили около 800 сообщений о проблемах безопасности, из которых до сих пор не исправлено 17%. Некоторые из ошибок позволяли атакующим получить управление над машинами ATO (http://en.wikipedia.org/wiki/Air_Traffic_Organization).По словам представителя компании WhiteHat Security, выполнившей аудит кода, тип и число ошибок типичны для большинства других проверяемых web-приложений. Проведя эксперимент, аудиторам удалось через брешь в безопасности web-приложения получить доступ к инфраструктуре управления воздушным транспортом и системе анализа погодных условий.
URL: http://it.slashdot.org/article.pl?sid=09/05/11/2159212&from=rss
Новость: http://www.opennet.me/opennews/art.shtml?num=21768
Браво, вот так пишется весь софт, который пишут гост конторы, понабирают туда своих детей и кумовей, и не важно, что они тупые, зато своих пристроили, да бабки попилили.
Ты тоже в такой работаешь? :)
Ит в этом плане не отличается от любой другой области. Количество нанятых по блату придурков в среднем 15-30 процентов в любой конторе, где препятсвующие этому правила четко не прописаны.
>Ит в этом плане не отличается от любой другой области. Количество нанятых
>по блату придурков в среднем 15-30 процентов в любой конторе, где
>препятствующие этому правила четко не прописаны." - Не я один, все так же осуждают!"
А судьи кто? - За древностию лет
К свободной жизни их вражда непримирима,
Сужденья черпают из забытых газет
Времен Очаковских и покоренья Крыма;
Всегда готовые к журьбе,
Поют все песнь одну и ту же,
Не замечая об себе:
Что старее, то хуже.
Где, укажите нам, отечества отцы, *
Которых мы должны принять за образцы?
Не эти ли, грабительством богаты?
Защиту от суда в друзьях нашли, в родстве,
Великолепные соорудя палаты,
Где разливаются в пирах и мотовстве,
И где не воскресят клиенты-иностранцы *
Прошедшего житья подлейшие черты.
Да и кому в Москве не зажимали рты
Обеды, ужины и танцы?
Не тот ли, вы к кому меня еще с пелен,
Для замыслов каких-то непонятных,
Дитей возили на поклон?
Тот Нестор * негодяев знатных,
Толпою окруженный слуг;
Усердствуя, они в часы вина и драки
И честь и жизнь его не раз спасали: вдруг
На них он выменил борзые три собаки!!!
Или вон тот еще, который для затей
На крепостной балет согнал на многих фурах
От матерей, отцов отторженных детей?!
Сам погружен умом в Зефирах и в Амурах,
Заставил всю Москву дивиться их красе!
Но должников * не согласил к отсрочке:
Амуры и Зефиры все
Распроданы поодиночке!!!
Вот те, которые дожили до седин!
Вот уважать кого должны мы на безлюдьи!
Вот наши строгие ценители и судьи!
Теперь пускай из нас один,
Из молодых людей, найдется - враг исканий,
Не требуя ни мест, ни повышенья в чин,
В науки он вперит ум, алчущий познаний;
Или в душе его сам Бог возбудит жар
К искусствам творческим, высоким и прекрасным, -
Они тотчас: разбой! пожар!
И прослывет у них мечтателем! опасным!! -
Мундир! один мундир! он в прежнем их быту
Когда-то укрывал, расшитый и красивый,
Их слабодушие, рассудка нищету;
И нам за ними в путь счастливый!
И в женах, дочерях - к мундиру та же страсть!
Я сам к нему давно ль от нежности отрекся?!
Теперь уж в это мне ребячество не впасть;
Но кто б тогда за всеми не повлекся?
Когда из гвардии, иные от двора
Сюда на время приезжали, -
Кричали женщины: ура!
И в воздух чепчики бросали!(с) Грыбыедоф
>Браво, вот так пишется весь софт, который пишут гост конторы, понабирают туда
>своих детей и кумовей, и не важно, что они тупые, зато
>своих пристроили, да бабки попилили....а только ли гос??.. Эх-х-х...
Гы ! А я думал, что такое ПО на этапе тестирования гоняют по секурити.
Возможно, ввел в заблуждение заголовок: "полная беззащитность", "авиацонное ПО". Классический газетный (и не только) прием - громкий заголовок, а реально речь вовсе не о том, о чем подумает большинство людей. ;-) Будьте уверены - то ПО, которое представляется при словах "авиационное ПО" (пилотажно-навигационные системы, системы жизнеобеспечения, различное самолетное оборудование и т. п.) действительно "гоняют" по самым разным критериям на всех этапах испытаний с обязательными процедурами различных сертификаций и приемок.Подавляющее большинство таких систем вообще не имеет выхода "наружу" - только в кино можно несанкционированно управлять сливом бачка унитаза в туалете летящего самолета с ноутбука, находящегося в подвале дома на другом краю Земли.
была, кстати, проблема с возможностью получения доступа к системам управления из сети пассажирского салона в 787 боинге
Феерический бред. Ссылку в студию!
>Феерический бред. Ссылку в студию!пользоваться поиском уже немодно?
Я не собираюсь искать доказательства феерического бреда.
>Я не собираюсь искать доказательства феерического бреда.Там была уязвимость в сети, по которою юзерам контент в самолете доставляли. От систем управления самолетом она была отделена физически.
сети физически отделены. т.ч. бред
обоим неверующим: мне очень нравится ваша позиция "этого не может быть потому что этого не может быть", особенно в сфере безопасности, такая страусиная позиция.
вам, как великим экспертам по безопасности и боингам я ничего доказывать не собираюсь. я только сказал что такая проблема была и боинг ее признал, так что феерический и прочий бред это к ним. если нужны детали -- вы их легко найдете в сети, мальчики, судя по понтам, уже большие...
Буквально на днях летал на B767 через океан. Так вот его развлекательная система весьма красиво в реальном времени показывает пасажирам кое-какую простейшую телеметрию вроде высоты, скорости и текущих координат. При взлете система отключена, но посадку через нее приятно наблюдать. Я не сомневаюсь что эта система максимально изолирована от систем управления самолетом, но если данные в нее как-то поступают, то можно допустить теоретическую возможность наличия уязвимости. Хотя они конечно могли и отдельный GPS поставить для этого. Может как раз после того случая и поставили.
там был сразу отдельный GPS и не из-за проблем с безопасностью....
>Буквально на днях летал на B767 через океан. Так вот его развлекательная
>система весьма красиво в реальном времени показывает пасажирам кое-какую простейшую телеметрию
>вроде высоты, скорости и текущих координат. При взлете система отключена, но
>посадку через нее приятно наблюдать. Я не сомневаюсь что эта система
>максимально изолирована от систем управления самолетом, но если данные в нее
>как-то поступают, то можно допустить теоретическую возможность наличия уязвимости. Хотя они
>конечно могли и отдельный GPS поставить для этого. Может как раз
>после того случая и поставили.Я вот тоже на таком же агрегате недавно летал. И систему эту видел, по моему именно "gps" составляющая ее настолько условна и корява, что как бы она не сугубо вычислительные данные использовала. Т.е. вполне возможно, что там вообще нет никакого gps в ней :)
Кстати акцент у вас брутальный совершенно, но говорите бодренько :)
>была, кстати, проблема с возможностью получения доступа к системам управления из сети
>пассажирского салона в 787 боингеНу да, всё верно, всегда было проблемматично получить доступ к системам управления из сети пассажирского салона в 787 боинге.
Хрен с этими сертификациями и приёмками. Имеет значение ВЕРИФИКАЦИЯ и качество её организации.
>Хрен с этими сертификациями и приёмками. Имеет значение ВЕРИФИКАЦИЯ и качество её
>организации.Без надлежащей верификации (и многого другого, кстати) НЕВОЗМОЖНО получить сертификат (по крайней мере, это касается ПО для авиационного оборудования). Тоже самое можно сказать про испытания и приемки.
Почти стихи:
Именно сертификация
закрывает путь в авиацию
тем, кто "кладет" на верификацию.
> Без надлежащей верификации (и многого другого, кстати) НЕВОЗМОЖНО получить сертификат (по крайней мере, это касается ПО для авиационного оборудования). Тоже самое можно сказать про испытания и приемки.Смотря в какой стране и на какой уровень безопасности.
Вы по ходу дела не очень то понимаете этот процесс в реальной жизненной практике.
>> Без надлежащей верификации (и многого другого, кстати) НЕВОЗМОЖНО получить сертификат
>> (по крайней мере, это касается ПО для авиационного оборудования).
>> Тоже самое можно сказать про испытания и приемки.
> Смотря в какой стране и на какой уровень безопасности.
> Вы по ходу дела не очень то понимаете этот процесс в реальной
> жизненной практике.Эта фраза предполагает, что можно получить сертификаты разработчика, годности и прочие (http://www.mak.ru/russian/certificates_all.html) не имея и не подтверждая качества верификации ПО? Или что можно официально оснащать борт несертифицированным оборудованием?
По ссылке, есть сертификаты двух систем, в разработке и сертификации которых я принимал непосредственное участие (не считая сертификации самого предприятия). Как происходит этот процесс в реальной жизненной практике, к примеру, в Конго, я действительно понятия не имею, и соответственно не очень-то его понимаю.
> Эта фраза предполагает, что можно получить сертификаты разработчика, годности и прочие (http://www.mak.ru/russian/certificates_all.html) не имея и не подтверждая качества верификации ПО? Или что можно официально оснащать борт несертифицированным оборудованием?Нет, это фраза предполагает, что у нас это делается чисто формально, для бумажки. Это реальный факт и реальная жизнь наших почтовых ящиков.
По вашей ссылке нет ни чего про сертификацию софта.
> По ссылке, есть сертификаты двух систем, в разработке и сертификации которых я принимал непосредственное участие (не считая сертификации самого предприятия). Как происходит этот процесс в реальной жизненной практике, к примеру, в Конго, я действительно понятия не имею, и соответственно не очень-то его понимаю.Ясненько :) стало быть откаты стрижёте? В не поверю, что есть польза от вашей сертификации предприятия.
Кроме Конго, есть ещё другие страны, которые добились существенных успехов по части верификации. На собственном опыте знаю (верификация софта для прибора 787), что организация сертификации в США это серьёзно. У нас на таком уровне это сделать не реально - нужна нормальная организация процесса и деньги. У нас же деньги просто распилят. А за копеечную зарплату провести нормальный процесс верификации в принцепе не возможно.
>По вашей ссылке нет ни чего про сертификацию софта.Странная ремарка от человека, который, как мне показалось, "в теме". Сертификация изделий, содержащих ПО, подразумевает и сертификацию ПО.
>Ясненько :) стало быть откаты стрижёте?
О как повернулось-то! Чтоб стричь откаты - надо чтоб деньги давал "кто-то" (наверное, государство?), а для этого надо быть чем-то типа большого НИИ, да еще и поближе к Москве. Поверьте, тем, кому государство денег на разработку и сертификацию не выделяет - откатывать нечего (получается как сам у себя деньги берешь).
>Кроме Конго, есть ещё другие страны, которые добились существенных успехов по части
>верификации. На собственном опыте знаю (верификация софта для прибора 787), что
>организация сертификации в США это серьёзно. У нас на таком уровне
>это сделать не реально - нужна нормальная организация процесса и деньги.
>У нас же деньги просто распилят. А за копеечную зарплату провести
>нормальный процесс верификации в принцепе не возможно.Ничуть не сомневаюсь, а про некоторые страны даже точно знаю (про Конго и США - не знаю :) ), что уровень (даже требований) совершенно иной. Верификация, куча испытаний и приемок, и сертификация (как итог) требуются исключительно для обеспечения качества, а те, кому важно качество своей продукции (не только на словах) и не ждет пока кто-то кому-то выделит деньги на организацию каких-то там процессов. Настоящее качество начинается задолго до сертификации (и, по большому счету, слабо связано с организациями эту сертификацию проводящими). Возможно, где-то это и не так - не знаю, в таких местах работать не доводилось.
Если же мы говорим "абстрактно", что некий "кто-то" может получить сертификат годности ничего не соблюдая, не проводя и не обеспечивая (видимо, каким-то образом задействуя "распилы" и "откаты"??), то, наверное, это даже возможно, хотя мне такие случаи неизвестны - слишком велик уровень ответственности.
Ох уж мне эти сказочники...
Прикол в том, что теперь на многие сайты авиакомпаний пойдут массированные атаки.
Ага, особенно после того как прочитают Opennet :)))
http://www.driverforum.com/printer5/31259.html к вопросу о тщательно проверенном ПО для самолетов
Реально, набор о-о-очень старых баек. Причем, некоторые из них реально произошли в жизни, только не совсем так, как описано по ссылке. Не спиз***ь, как говорится, - не расскажешь. Вот это особенно понравилось: "Лишь одному пилоту удалось связаться с экспертами разработчика (компании Lockheed Martin). Несколько пилотов попытались перезагрузить ПО истребителя в полете."
Может быть кто-то думает, что у пилота истребителя (!) есть так много свободного времени в полете, что он может связаться с кем хочет? Или все-таки это шел обычный процесс летных испытаний и выявилась обычная недоработка (правда, в этом случае эпизод существенно теряет "зрелищность")? По остальным эпизодам вопросов не меньше.
Начать с того, что если пилот и может перезагрузить комп, то только тот, который на влияет напрямую на безопсность полёта.
>Несколько
>пилотов попытались перезагрузить ПО истребителя в полете."Несколько... в истребителе? Пятеро? Интересно как это? Один жал кнопку, остальные кричали...
Да и что за софт такой? Снова Windows? Завис проводник, пелоты не могли открыть через Paint карту... пытались слать багрепорт, еле отправили... после перезагрузки...
Скорее всего перегрузили комп, который обеспечивает сервис пилота, но не влияет напрямую на безопасность полёта. Видимо пилоты соблюли инструкции и полетили обратно.
Гы-гы... Вспомните историю про Фантомы и ошибку при делении на 0 в бортовом компе при полете над Мертвым морем :)