Был бы интересен сабж по оценке продукта на устойчивость ко взлому (речь не только о серийниках и активациях, но и о выявлении в продукте уязвимостей вообще)? Т.е. по сути то же тестирование, но узкоспециализированное.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Был бы интересен сабж по оценке продукта на устойчивость ко взлому (речь не только о серийниках и активациях, но и о выявлении в продукте уязвимостей вообще)? Т.е. по сути то же тестирование, но узкоспециализированное.
KV>Или может такие сервисы уже есть?
Конечно, есть. Публикуешь свою программу под левым именем, достаточно высокой ценой и которая не содержит какой-то важной функциональности (либо функциональность с багами, несовместимыми с нормальным использованием). И дальше засекаешь время, за сколько сломают.
Здравствуйте, Красин, Вы писали:
К>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Был бы интересен сабж по оценке продукта на устойчивость ко взлому (речь не только о серийниках и активациях, но и о выявлении в продукте уязвимостей вообще)? Т.е. по сути то же тестирование, но узкоспециализированное.
KV>>Или может такие сервисы уже есть?
К>Конечно, есть. Публикуешь свою программу под левым именем, достаточно высокой ценой и которая не содержит какой-то важной функциональности (либо функциональность с багами, несовместимыми с нормальным использованием). И дальше засекаешь время, за сколько сломают.
Это все так. Но это только тестирование устойчивости лицензионной защиты проги. Да и подробный отчет о найденных дырках и рекомендации по их закрыванию вряд ли кто-нибудь опубликует
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Был бы интересен сабж по оценке продукта на устойчивость ко взлому (речь не только о серийниках и активациях, но и о выявлении в продукте уязвимостей вообще)? Т.е. по сути то же тестирование, но узкоспециализированное.
Исходники этому сервису надо открывать. Многие на это пойдут? Вообще, танцы с защитой излишни, как излишня любая паранойя. Хоть какую навесил защиту — и вперёд. Сломали — и фиг с ней, кто не хотел купить, тот и так не купит.
Здравствуйте, Xander Zerge, Вы писали:
XZ>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Был бы интересен сабж по оценке продукта на устойчивость ко взлому (речь не только о серийниках и активациях, но и о выявлении в продукте уязвимостей вообще)? Т.е. по сути то же тестирование, но узкоспециализированное.
XZ>Исходники этому сервису надо открывать. Многие на это пойдут?
То есть NDA для шароварщиков ничего не значит?
XZ>Вообще, танцы с защитой излишни, как излишня любая паранойя. Хоть какую навесил защиту — и вперёд. Сломали — и фиг с ней, кто не хотел купить, тот и так не купит.
Угу... Научились в почтовике с формулами произвольный код выполнять на машине пользователя — и фиг с ним, купил ведь уже... Так что ли?
KV>Был бы интересен сабж по оценке продукта на устойчивость ко взлому (речь не только о серийниках и активациях, но и о выявлении в продукте уязвимостей вообще)? Т.е. по сути то же тестирование, но узкоспециализированное.
А Вы готовы гарантировать "взломостойкость" протестированных программ?
И отвечать за базар, если "устойчивую" (по Вашему мнению) прогу вдруг взломают?
Здравствуйте, kochetkov.vladimir, Вы писали:
XZ>>Исходники этому сервису надо открывать. Многие на это пойдут? KV>То есть NDA для шароварщиков ничего не значит? Мне как-то хватило денежных затрат на протектор, временных затрат на его интеграцию... Пока не сломали. А сломают — полдня возни и новая версия готова — всего делов-то; это заместо предлагаемого тестирования защищённости, выдвижения рекомендаций по улучшению и углублению защиты, внедрения всего этого дела и получения результата процентов на несколько лучшего, кои проценты выразятся в лишних паре ночей для крякера. Скепсисизьм, в-общем, такой. Как самостоятельный сервис не покатит, мне кажется, а вот как доп.услуга от разработчиков протекторов — это очень даже может быть, ведь сколько раз уже споры о том, какой протектор лучше, приходили к тому, что "лучшесть" определяет не протектор, а "прямизна" рук его приложивших к продукту. Вот это можно и тестировать, анализировать, улучшать и углублять. А сможет ли кто конкурировать в этом вопросе с самими разработчиками протекторов?
KV>Угу... Научились в почтовике с формулами произвольный код выполнять на машине пользователя — и фиг с ним, купил ведь уже... Так что ли?
Ах, даже так широко, понятно... Ну это может и быть. Но как практически реализовать? Вот вывалят на вас 100Кстрок+ кода и что? Такие вещи надо на этапе разработки учитывать, а не писать абы как, чтоб потом другие дяди в этом ковырялись и дыры находили. Чего-то смутно я себе это дело представляю.
И каких денег это стоить будет?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Был бы интересен сабж по оценке продукта на устойчивость ко взлому (речь не только о серийниках и активациях, но и о выявлении в продукте уязвимостей вообще)? Т.е. по сути то же тестирование, но узкоспециализированное.
KV>Или может такие сервисы уже есть?
Мы (www.testyoursoft.com) предоставляем услуги по тестированию безопасности ПО. Как правило, это нужно для программ, которые работают с приватными данными. В результате тестирования проверяется — возможно ли получить несанкционированный доступ к данным или испортить их. Но именно "хакерских" проверок не делаем.
Здравствуйте, Xander Zerge, Вы писали:
XZ>"лучшесть" определяет не протектор, а "прямизна" рук его приложивших к продукту. Вот это можно и тестировать, анализировать, улучшать и углублять. А сможет ли кто конкурировать в этом вопросе с самими разработчиками протекторов?
не могу говорить за остальных, но мы например в приватной зоне сайта размещаем различную информацию по "прямизне" применения наших продуктов. в ближайшее время планируем поднять вики ибо масса материала полезного накопилась в форуме.
а автору идеи я бы рекомендовал посмотреть немного рядом сервис по созданию кастомных решений в защите возможно будет более прибыльным
Здравствуйте, Xander Zerge, Вы писали:
XZ>Здравствуйте, kochetkov.vladimir, Вы писали:
XZ>>>Исходники этому сервису надо открывать. Многие на это пойдут? KV>>То есть NDA для шароварщиков ничего не значит? XZ> Мне как-то хватило денежных затрат на протектор, временных затрат на его интеграцию... Пока не сломали. А сломают — полдня возни и новая версия готова — всего делов-то; это заместо предлагаемого тестирования защищённости, выдвижения рекомендаций по улучшению и углублению защиты, внедрения всего этого дела и получения результата процентов на несколько лучшего, кои проценты выразятся в лишних паре ночей для крякера. Скепсисизьм, в-общем, такой. Как самостоятельный сервис не покатит, мне кажется, а вот как доп.услуга от разработчиков протекторов — это очень даже может быть, ведь сколько раз уже споры о том, какой протектор лучше, приходили к тому, что "лучшесть" определяет не протектор, а "прямизна" рук его приложивших к продукту. Вот это можно и тестировать, анализировать, улучшать и углублять. А сможет ли кто конкурировать в этом вопросе с самими разработчиками протекторов?
Мне вот тут подсказали, что этот сервис стоит организовать не так. Никаких NDA, договоров... Просто отслеживать вновь выпускаемые продукты, ломать их и далее отправлять автору письмо: "ваш продукт сломали, есть кейген. За ничтожно малую сумму в ... поделимся слабыми местами в его защите, посоветуем как их закрыть". Никакого шантажа, отказались — и фиг с ними. Кейгены не рапространяются, инфа о найденных дырках — тоже.
Не скажу что полностью согласен с такой моделью, но выглядит она почему-то более работоспособной
KV>>Угу... Научились в почтовике с формулами произвольный код выполнять на машине пользователя — и фиг с ним, купил ведь уже... Так что ли? XZ>Ах, даже так широко, понятно... Ну это может и быть. Но как практически реализовать? Вот вывалят на вас 100Кстрок+ кода и что?
100K это еще не так уж и много. Что касается части проведения именно аудита исходников на безопасность — то тут вопросов как раз-таки нет. Есть и опыт в этом деле, и команда владеющая предметной областью на достаточно высоком уровне.
XZ>Такие вещи надо на этапе разработки учитывать, а не писать абы как, чтоб потом другие дяди в этом ковырялись и дыры находили. Чего-то смутно я себе это дело представляю.
Здравствуйте, Relayer, Вы писали:
R>Здравствуйте, Xander Zerge, Вы писали:
XZ>>"лучшесть" определяет не протектор, а "прямизна" рук его приложивших к продукту. Вот это можно и тестировать, анализировать, улучшать и углублять. А сможет ли кто конкурировать в этом вопросе с самими разработчиками протекторов?
R>не могу говорить за остальных, но мы например в приватной зоне сайта размещаем различную информацию по "прямизне" применения наших продуктов. в ближайшее время планируем поднять вики ибо масса материала полезного накопилась в форуме.
А вики тоже в приватной области будет?
R>а автору идеи я бы рекомендовал посмотреть немного рядом сервис по созданию кастомных решений в защите возможно будет более прибыльным
Спорить не буду, бо так и есть. Как правильно заметили выше, вопросы безопасности нужно в первую очередь учитывать на этапе разработки системы, а не ее тестирования, когда продукт практически готов. А навесные защиты это как раз первый случай.
Здравствуйте, uuu2, Вы писали:
KV>>Был бы интересен сабж по оценке продукта на устойчивость ко взлому (речь не только о серийниках и активациях, но и о выявлении в продукте уязвимостей вообще)? Т.е. по сути то же тестирование, но узкоспециализированное.
U>А Вы готовы гарантировать "взломостойкость" протестированных программ? U>И отвечать за базар, если "устойчивую" (по Вашему мнению) прогу вдруг взломают?
Вы вероятно никогда не сталкивались с аудитами безопасности? Продукт не может быть признан устойчивым по определению. Безопасность системы, это всегда компромис с ее же производительностью. Даже если явные дыры не будут найдены, будут выявлены недочеты в архитектуре системы, отмечены слабые с т.з. безопасности сторонние библиотеки (WinAPI например), отмечена слабая реализация обмена данными (если приложение сетевое, а трафик не шифруется/подписывается) и т.п.
Задача подобного аудита — не признание системы "устойчивой" или "неустойчивой", а выявление максимального числа рисков, связанных с ИБ (которые так или иначе, имеют место в любой системе, отличной от "Hello world"), и предоставление заказчикам best practice и рекомендаций по тому, как этих рисков избежать. В дальнейшем, разработчиком системы уже самостоятельно принимается решение, какие риски он готов принять, а с какими — будет бороться.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>отслеживать вновь выпускаемые продукты, ломать их и далее отправлять автору письмо: "ваш продукт сломали, есть кейген. За ничтожно малую сумму в ... поделимся слабыми местами в его защите, посоветуем как их закрыть". Никакого шантажа, отказались — и фиг с ними. Кейгены не рапространяются, инфа о найденных дырках — тоже.
и будет у вас ноль клиентов первая заповедь — не вести переговоры с террористами и шантажистами
KV>Не скажу что полностью согласен с такой моделью, но выглядит она почему-то более работоспособной
лучше сделай сервис по мониторингу кряков, серийников и кейгенов каждый кряк тестируйте на предмет работоспособности. сделать такой сервис не сложно особенно если знать где это мониторить все, а заинтересованность по идее будет
Здравствуйте, kochetkov.vladimir, Вы писали:
XZ>>Исходники этому сервису надо открывать. Многие на это пойдут?
KV>То есть NDA для шароварщиков ничего не значит?
Здравствуйте, ASX, Вы писали:
ASX>Здравствуйте, kochetkov.vladimir, Вы писали:
XZ>>>Исходники этому сервису надо открывать. Многие на это пойдут?
KV>>То есть NDA для шароварщиков ничего не значит?
ASX>Абсолютно ничего. И не только для шароварщиков.
А поподробнее можно? С каких это пор обязательство о неразглашении коммерческой тайны перестало что-либо значить в нашей стране?
Т.е. статья 183 УК РФ, закон N 98-ФЗ "О коммерческой тайне" и ст. 139 ГК ФР для шароварщиков не являются гарантией?
KV>Задача подобного аудита — не признание системы "устойчивой" или "неустойчивой", а выявление максимального числа рисков, связанных с ИБ
Ну и как Вы сможете подтвердить качество тестирования? Допустим, Вы обнаружили 3-4 мелких недочёта, я Вам заплатил деньги. А через месяц прогу взломали — оказалось, что там очень серьёзный баг. Как оценить Ваш "аудит" — он качественный или нет? Что Вы сделали? Серьёзно протестировали программу? Или кое-как её посмотрели, сообщили мне о самых легких ошибках (с точки зрения их нахождения), хапнули деньги, а потом сказали, что типа ничего не гарантируем?
Здравствуйте, uuu2, Вы писали:
KV>>Задача подобного аудита — не признание системы "устойчивой" или "неустойчивой", а выявление максимального числа рисков, связанных с ИБ
U>Ну и как Вы сможете подтвердить качество тестирования? Допустим, Вы обнаружили 3-4 мелких недочёта, я Вам заплатил деньги. А через месяц прогу взломали — оказалось, что там очень серьёзный баг. Как оценить Ваш "аудит" — он качественный или нет? Что Вы сделали? Серьёзно протестировали программу? Или кое-как её посмотрели, сообщили мне о самых легких ошибках (с точки зрения их нахождения), хапнули деньги, а потом сказали, что типа ничего не гарантируем?
ок, зайдем с другой, более формальной стороны
Существует масса контор, предлагающих услуги комплексного аудита ИТ-инфраструктуры компаний-клиентов. По Вашему они дают какие-либо гарантии? Нет конечно. Тут все просто — части ИТ-инфраструктуры проверяются не просто на наличие каких-либо уязвимостей, недочетов, процедурных несоответствий и т.п., а на соответствие общепринятому (международному) стандарту безопасности. Как правило это ISO 17799. И полное соответствие этому стандарту, по определению должно являться (и является на практике) гарантией достаточного уровня зрелости компании по части ИБ. По крайней мере, большинство крупных отечественных компаний вполне себе доверяют этому стандарту и не скупятся на проведение аудитов на соответствие, при этом — не требуя от компании-аудитора каких-либо дополнительных гарантий. Дополнительной гарантией здесь может служить страхование рисков, но для шаровары это — стрельба из пушек по воробьям. Да и законодательная база по данному вопросу у нас в стране еще не развита
Так вот, упомянутый выше стандарт, содержит (помимо прочего) требования к разрабатываемым системам. На основе этих требований созданы т.н. "Нефункциональные требования к продуктам", шаблонный документ, описывающий — каким образом можно обеспечить соответствие разрабатываемого продукта этому стандарту. То, о чем говорил я — есть ни что иное как тестирование продукта на соответствие этим требованиям. Если соответствие 100% — ок, информационная система (согласно стандарту) безопасна. Если цифра отличается от 100%, то она уязвима, и не играет никакой роли — мелкие это недочеты или крупные. Ее можно взломать и вы потеряете при этом Х рублей. Ее можно доработать. Вы потеряете при этом Y рублей. Чем больше Y, тем меньше вероятность потери Х. Точка. Компромис — выбирайте сами.
Это что касается ответственности аудиторов за последующие взломы системы. Что касается вопроса качества исполнения аудита (т.е. ситуации когда система, как и обещал аудитор — взломана, но с использованием необнаруженной в процессе аудита уязвимости)... Скажите, что происходит когда клиент, оплативший шароварную прогу, получает не все функции, которые ему были обещаны в полной версии? Какие гарантии в этом случае шароварщик предоставляет своим потенциальным клиентам? Вот, с аудитом примерно то же самое
Мне как-то хватило денежных затрат на протектор, временных затрат на его интеграцию... Пока не сломали. А сломают — полдня возни и новая версия готова — всего делов-то; это заместо предлагаемого тестирования защищённости, выдвижения рекомендаций по улучшению и углублению защиты, внедрения всего этого дела и получения результата процентов на несколько лучшего, кои проценты выразятся в лишних паре ночей для крякера. Скепсисизьм, в-общем, такой. 
