Gю Khogland , G. Mak-Grou - Взлом программного обесспечения. Анализ и использлвание кода

системах, это практически невозможно.
Однако сложные системы должны создаваться, и мы не можем просто сдаться и
сказать, что безошибочное программирование подобных систем невозможно. Мак&
Гроу и Хогланд провели огромную работу, чтобы объяснить, почему программное
обеспечение можно взламывать, рассказали, как именно работают программы атаки
и как избежать создания уязвимых программ. Вы можете удивиться: для чего демон&
стрировать, как работают программы взлома? Действительно, существует компро&
мисс, который должны учитывать профессионалы в области безопасности, между
сохранением в тайне и опубликованием программ атаки. В этой книге принята здра&
вая позиция, согласно которой единственный способ минимизировать количество
ошибок — это понять, почему появляются уязвимые места и как их используют ха&
керы. Поэтому эту книгу стоит прочесть любому человеку, который принимает уча&
стие в создании сетевого приложения или операционной системы.
Взлом программного обеспечения: руководство начинающего хакера — это лучшая
книга по теме обеспечения защиты приложений и уязвимых мест в программном
обеспечении, которую я когда&либо читал. Гари Мак&Гроу и Грег Хогланд давно изу&
чают эту науку. Первая книга Мак&Гроу, Java Security (Безопасность в Java), стала
основополагающим трудом по проблемам безопасности в среде выполнения Java&
приложений и концепции Novel по запуску непроверенного переносимого кода в
пределах надежного браузера. Следующая книга Мак&Гроу, Building Secure Software
(Создание безопасных приложений), стала классическим трудом, в котором проде&
монстрированы принципы построения приложений без уязвимых мест, многие из
которых описаны в этой книге. Хогланд имеет очень большой опыт разработки при&
ложений и практической реализации защиты от программ атаки.
После чтения этой книги вы будете удивляться не тому, как много систем было
взломано, а тому, сколько систем еще не взломано. Проведенный нами анализ про&
граммного кода электронной машины для голосования показал, что уязвимое про&
граммное обеспечение присутствует повсюду. Тот факт, что многие системы еще не
скомпрометированы, объясняется тем, что злоумышленники часто удовлетворяются
более легкими целями. Лично мне теперь будет не совсем приятно в следующий раз
идти на выборы, которые обслуживаются с помощью электронной машины голосо&
вания, работающей под управлением Windows. Возможно, я просто использую от&
крепительный талон для голосования, по крайней мере, в этом случае ошибка не бу&
дет вызвана недостатками программного обеспечения.
Авиэль Д. Рубин (Aviel D.Rubin)
Адъюнктпрофессор компьютерных наук, технический руководитель института
по информационной безопасности при университете Джона Хопкинса

16

Введение

Введение
Профессиональные программисты уже давно осознали всю важность вопроса о
безопасности программного кода. После выпуска в 2001 году книги Building Secure
Software (Создание безопасных приложений) авторов Виега и МакГроу, уже появи
лось огромное количество книг, в которых окончательно определена безопасность
как критически важный элемент программы.
Книга Building Secure Software предназначена для профессионалов в области про
граммного обеспечения от разработчиков до менеджеров и может использоваться
как пособие для создания более безопасного кода. Новая книга Взлом программного
обеспечения: руководство начинающего хакера предназначена для той же целевой ау
дитории, но имеет более конкретную специализацию по вопросам о поиске уязви
мых мест в программном обеспечении. Эта книга является особенно интересной для
специалистов в области защиты информации, которые хотят углубить свои знания,
включая группы “скорой компьютерной помощи” и высокоморальных хакеров.
Книга Взлом программного обеспечения: руководство начинающего хакера расска
зывает о том, как взламывать программный код, и о том, как преодолевать техниче
ские проблемы, с которыми сталкиваются специалисты в области безопасности. Ос
новной целью этой книги авторы видят помощь в обеспечении безопасности про
грамм, а не в защите от атак по сети.
Мы понимаем, что специалистам по обеспечению безопасности программ нужны
конкретные сведения о применении изложенного материала на практике. Проблема
в том, что такие простые и --">