Security Week 49: Google фаззит опенсорс, Android-троян крадет учетные записи, Microsoft чинит старый баг

Автор: admin от 10-12-2016, 16:35, посмотрело: 196

Security Week 49: Google фаззит опенсорс, Android-троян крадет учетные записи, Microsoft чинит старый баг1 декабря команда специалистов по безопасности Google анонсировала новую программу OSS-Fuzz в рамках которой планирует выделить ресурсы на непрерывный фаззинг ПО с открытым исходным кодом (новость, пост в блоге Google Security). Фаззинг — это метод автоматизированного тестирования программ, идея которого была сформулирована еще в конце 80-х (PDF). С ростом производительности компьютеров достаточно прямолинейный процесс скармливания софту произвольных данных в поиске уязвимостей становится все актуальнее. Да и вообще, в мире где компьютерами все чаще управляют другие компьютеры, это годная тема, уже включенная, например, в методику Secure Development Lifecycle у Microsoft.

Объясняя успешность подхода именно по отношению к свободному ПО, в Google приводят пример уязвимости в библиотеке Freetype, обнаруженной фаззером OSS-Fuzz. Freetype установлена на миллиардах устройств, и поэтому исследовать такой софт важно. Серьезные уязвимости в опенсорсе вроде Heartbleed показали, что сама возможность независимого аудита не равняется повышенной безопасности. У людей просто не хватает рук проанализировать все, поэтому на сцену выходят роботы. Странно, что в Google ничего не рассказывают про фаззинг Android, хотя исследователи из других компаний таки этим занимаются.

На самом деле главная польза проекта заключается в том, что Google приглашает сторонних исследователей и мейнтейнеров открытого софта, по сути предоставляя им вычислительные ресурсы в рамках проекта. В своих впечатлениях исследователь и разработчик Алекс Гэйнор пишет, что меньше чем за день его тестовый код, добавленный в OSS-Fuzz, обработал 17 триллионов тестовых кейсов, на что в домашних условиях у него ушел бы месяц.

Категория: Информационная безопасность, Google, Android, Windows

 

Персона. Алан Кэй — пророк, автор концепции GUI и языка Smalltalk

Автор: admin от 10-12-2016, 13:05, посмотрело: 340

Персона. Алан Кэй — пророк, автор концепции GUI и языка Smalltalk

Алан Кэй любит ссылаться на себя, и часто начинает свою речь с фразы: «Закон Кэя номер один гласит...». Наверное, он имеет на это право. Много лет его недооценивали, загоняли в рамки и даже гнобили.

Алан Кэй – человек, который не может держать свое мнение при себе, если тема дискуссии действительно волнует его. За это ему и пришлось поплатиться пару раз. Однако ему везло, и в результате он оставался в выигрыше. В его случае справедливо изречение: «Все, что ни делается — все к лучшему».

Благодаря странному стечению обстоятельств Кэй стал заниматься разработкой ПО, а позже оказался первопроходцем в областях объектно-ориентированного программирования и графического интерфейса. На этом пути он придумал и реализовал то, что казалось невозможным ранее, о чем большинство его коллег просто не задумывалось. «Простое должно оставаться простым. Сложное должно быть возможным», — это его жизненное кредо.

Категория: Программирование

 

Интервью с разработчиком инопланетного софта: «Случись что, моя задница приняла бы основной удар»

Автор: admin от 10-12-2016, 09:45, посмотрело: 296

В день программистки, представляем вашему вниманию интервью с разработчиком, который смог отдебажить марсоход за 18 часов на расстоянии 100 миллионов миль. Тем более, что часть кода космического аппарата была написана на языка Ada.

Интервью с разработчиком инопланетного софта: «Случись что, моя задница приняла бы основной удар»


DDJ: Вы программируете компьютеры, которые работают на поверхности другой планеты. Вот это необычно!

GR: Это необычно и для меня, могу вас заверить. Это такой микромир, где все сосредоточены на том, чтобы все задачи следующего дня были выполнены в соответствии с планом.

Вы идете домой в 3 утра, все еще в напряжении от просмотра возвращающейся информации и бессонной ночи. Ваши жена и дети уже спят, вам же точно не уснуть, а в 8 утра уже надо быть на работе. Поэтому вы включаете CNN и смотрите на свое улыбающееся лицо в контрольном центре и смотрите на те же изображения, которые вы просматривали 12 часов назад. Очень странное ощущение.

Это был маленький проект маленькой кампании, однако он очень повлиял на многих из нас. Отмечу также, что с технической точки зрения, проект был своевременным.

Категория: Программирование, Веб-разработка

 

Багофича .RU или как получить проблемы там, где их не должно быть уже много лет

Автор: admin от 10-12-2016, 05:45, посмотрело: 314

«Один мой друг» (с) рассказал историю про свои приключения с DNS.

Предыстория
Представьте, что заканчивается 2016 год, на ваших DNS серверах есть несколько сотен доменов, давным давно запущено штук 5 мощных DNS серверов в разных датацентрах, вы хотите наконец-таки избавиться от старых DNS серверов, которые последнее время просто тянут деньги на аренду и занимают место в стойке. Однако, сразу после попытки их отключения, телефоны поддержки раскаляются докрасна, поэтому старые сервера приходится быстро включить и вдумчиво разбираться в ситуации.

Глава 1
Еще раз проверяем DNS зоны, убеждаемся, что нигде нет старых адресов и очень давно. Проверяем из разных регионов запросами на каждый из своих NS. Везде всё отдаётся правильно. Берем tcpdump и смотрим запросы на 53 порт на старыx DNS. Оказывается, что запросов к ним удивительно много. И это при том, что IP адреса этих серверов уже много месяцев нигде не фигурируют!

Категория: Системное администрирование, Сетевые технологии