Gю Khogland , G. Mak-Grou - Взлом программного обесспечения. Анализ и использлвание кода

Со держание

13

Посвящается светлой памяти
Нэнси Симоне МакГроу
(1939–2003)

14

Предисловие

Предисловие
В начале июля 2003 года мне позвонил Дэвид Дилл (David Dill) — профессор в
области информационных технологий Стэнфордского университета. Дилл рассказал
мне, что в сети Internet был опубликован исходный код для электронной машины
голосования, которая была выпущена одним из крупнейших поставщиков подобного
оборудования, компанией Diebold Electron Systems. Он сказал, что стоит проверить
этот исходный код на наличие уязвимых мест. Такая возможность выпадает нечасто,
поскольку производители систем голосования обычно тщательно охраняют разрабо&
танное ими программное обеспечение. Нас потрясло то, что мы обнаружили: ошибок
в программном коде, включая и те, которые имели отношение к безопасности, было
настолько много, что хакер мог бы просто растеряться, какую атаку из всего доступ&
ного диапазона средств для взлома использовать первой (мы не рекомендуем ис&
пользовать такой метод, чтобы приводить хакеров в замешательство). Мы исследо&
вали большие, сложные фрагменты кода, к которому не давалось никаких поясне&
ний. В этом коде использовался только один статический ключ для шифрования
результатов голосования. Использовались небезопасные генераторы псевдослучай&
ных цифр и контрольные суммы без шифрования. Исследование журналов CVS
(Concurrent Versions System — система управления параллельными версиями) пока&
зало, что применялся собственный, “нестандартный” метод управления разработкой
программного кода.
Является ли пример с машиной голосования компании Diebold единственным
примером плохого контроля за качеством программного обеспечения? Мне так не
кажется. Многие компании наподобие Diebold стремятся выбросить на рынок свои
продукты раньше конкурентов. Побеждает компания с лучшей и наиболее богатой с
точки зрения функциональных возможностей системой. Согласно модели стимули&
рования, шансы на победу выше у той компании, которая первой представит на рын&
ке свой продукт, в котором будет максимум возможностей, а не той, программа ко&
торой будет более безопасна в использовании. Создать грамотную систему безопас&
ности довольно сложно, а результат не всегда оправдывается в материальном
смысле. Компании Diebold просто не повезло: программный код ее продукта был об&
сужден в открытом форуме, что показало возможность его полного взлома. Боль&
шинство компаний чувствуют себя в относительной безопасности при условии, что
независимые аналитики получают возможность просмотра их кода при жестких ог&
раничениях неразглашения. Только когда они попадают под огонь критики, такие
компании уделяют внимание разрекламированными ими ранее средствам обеспече&
ния безопасности. Программный код для машины голосования компании Diebold
был не первой исследованной мной сложной системой с массой ошибок, “затраги&
вающих” безопасность программы. Почему же так трудно создать безопасное про&
граммное обеспечение?
Ответ прост. Все дело в сложности. Любой программист знает, что для решения
одной и той же задачи с помощью средств программирования существует множество
приемлемых вариантов. Важным вариантом выбора является язык программирова&
ния. Нужно ли вам удобство арифметических указателей и предоставляемых ими
возможностей для оптимизации производительности программ, или требуется “эко&
номный” язык, который не допускает переполнения буферов, но лишает программи&
ста некоторых возможностей? Для решения каждой задачи существует множество

Предисловие

15

доступных алгоритмов, параметров и структур данных. Для каждого блока кода
можно выбирать разные имена переменных, способ комментария и даже метод его
добавления к основному тексту программы. Каждый программист — уникальная
личность, и каждый делает свой уникальный выбор. Большие проекты создаются
командами программистов, и различные программисты должны понимать и изме&
нять код других программистов. Достаточно трудно отредактировать свой собствен&
ный код, не говоря уж о программном обеспечении другого программиста. Очень
трудно избежать ошибок в средствах безопасности в программах, состоящих из со&
тен строк кода, а для программ с миллионами строк кода, например, в современных
операционных --">