Barbara, Borbála
-6 °C
3 °C

Szoftverlektorálással a biztonsági rések ellen

2002.09.17. 17:10
Bizonyára mindenki találkozott már saját szelektív vakságával. Arra gondolok, hogy míg mondjuk más írásában azonnal megtalálja a legapróbb vesszőhibát is, a sajátjában a legdurvább helyesírási hibákra sem akad rá. Ennek az az oka, hogy sokszor nem azt olvassuk vissza, amit papírra vetettünk, hanem azt, amit oda szerettünk volna írni.
Sajnos ez a szelektív vakság nem csak a mi sajátunk, még a legnagyobb szoftvergyártóknak is meggyűlik vele a bajuk.

Jim Allchin a Microsoft alelnöke
Jim Allchin a Microsoft alelnöke a Windows forráskódjának nyilvánossá tétele ellen éppen ezt az érvet hozta fel (ti.: az operációs rendszer forráskódjában vélhetően olyan biztonsági hibák találhatók, amelyek nyilvánosságra kerülésével általános biztonsági válság alakulhatna ki világszerte).

Az ő helyzetükön persze sokat ront még az erős rózsaszínre festett marketing-napszemüveg használata is.

Egy biztonsági szakértő például olyan hiányosságra hívta fel a szoftveróriás figyelmét, mely 1993 óta mindegyik Windowsban, a Win32 API-ban (fejlesztőknek programozási felületet nyújtó protokoll és rutingyűjtemény) megtalálható.

A probléma igen súlyos, hiszen az nem egy külső programban, hanem közvetlenül az operációs rendszer alapjaiban található, méghozzá az alkalmazások kezelésére, és biztonságos ellenőrzésére szolgáló algoritmusban. A biztonsági rés abból fakad, hogy az üzenetek forrását nem hitelesíti a rendszer, és így - bár ezt többen vitatják - elvileg akár egy, jogosultságokkal alig rendelkező felhasználó is képes lehet rendszeradminisztrátori szintű parancsokat végrehajtani.

A hiba felfedezője szerint, a világcég, figyelmeztetése ellenére presztízs okokból nem sorolta ezt a támadási lehetőséget a biztonsági rések közé.

Ha a különböző szoftverek forráskódját a korábban már említett - egyébiránt vitatható - okok miatt nem is volna szükséges feltétlenül nyilvánossá tenni, célszerű volna olyan bevizsgáló központokat létrehozni, melyek a bevezető példa alapján úgymond "lektorálhatnák" a szoftvereket, hiszen az információs társadalom különösen sebezhető az ilyen irányú támadásokkal szemben. Egy jól szervezett számítástechnikai csapássorozat akár romba is döntheti az egész nyugati társadalmat (lásd kínai informatikai politika védelmi stratégiája).

Megjegyzem, hogy ennek a bevizsgálási-központ elvnek az egyes nagy egyetemeken megvan a maga hagyománya. Különböző megoldásokat, programokat, algoritmusokat tökéletesítettek általuk. Közismert, hogy a Linux mennyit köszönhet ezen intézményeknek.

De, hogy egy mostani példával hozakodjak elő, az Indiai Technológiai Intézetben dolgozó Manindra Agrawal és két diákja megoldást talált az RSA (titkosító eljárás, többek között az internetes kereskedelemben alapvető a használata) prímszámképzési eljárásának hibájára.

A jelenleg használt primality test algoritmus, sajnos néhány esetben adhat nem prímszámot is eredményül.

Az új eljárás, bár lényegesen lassabb elődjénél, teljesen pontos, jó alapot adva a további fejlesztésekre.

A "több szem többet lát" módszer tehát létezik, csak ki kellene terjeszteni az alapvető fontosságú szoftverekre is, ha kell, speciális biztonsági garanciák közbeiktatásával is.

Nászút ajándékba!

Esküvőt tervez? Tervezzen velünk, nyerjen wellness nászutat!

Utazás aggodalom nélkül?

Utazása előtt sose feledkezzen el utasbiztosításáról!