Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Rządowe oprogramowanie gorsze od prywatnego

Recommended Posts

Każde oprogramowanie zawiera błędy, ale jak mogliśmy się dowiedzieć podczas konferencji Black Hat Europe, najwięcej błędów zawiera oprogramowanie tworzone przez instytucje państwowe lub na ich potrzeby.

Chris Wysopal z firmy Veracode, która specjalizuje się w wyszukiwaniu dziur w programach, poinformował o wynikach badań przeprowadzonych pomiędzy drugą połową roku 2010 a końcem roku 2011.

W tym czasie jego firma przeanalizowała 9910 różnych aplikacji. Eksperci stwierdzili, że 80% programów nie spełnia wymagań bezpieczeństwa firmy Veracode. Oprogramowanie tworzone dla instytucji państwowych wypadło znacznie gorzej, niż programy komercyjne. Okazało się bowiem, że jedynie 16% stworzonych przez rząd i dla rządu aplikacji sieciowych można było uznać za bezpieczne z punktu widzenia standardów OWASP (Open Web Application Security Project). Dla  sektora finansowego odsetek ten wynosił 24%, a dla innego komercyjnego oprogramowania - 28%.

Z kolei do wyników badań innych programów niż programy sieciowe posłużono się kryteriami opracowanymi przez SANS Institute. Za bezpieczne uznano 18% oprogramowania rządowego, 28% oprogramowania finansowego i 34% innego oprogramowania komercyjnego.

Rząd zachowuje się tak, jakby bezpieczeństwo było problemem sektora prywatnego i próbuje go ściśle regulować. Jeśli jednak bliżej się temu przyjrzymy to okazuje się, że sektor prywatny jest zdecydowanie bardziej bezpieczny niż sektor rządowy - mówi Wysopal.

Aż 40% aplikacji sieciowych wytworzonych dla agend rządowych było podatnych na ataki SQL injection. Dla sektora finansowego odsetek ten wynosił 29%, a dla oprogramowania komercyjnego 30%. Na ataki typu XSS (cross-site scripting) narażonych było 75% rządowych aplikacji sieciowych, 67% aplikacji wytworzonych przez sektor finansowy oraz 55% aplikacji komercyjnych.

Alan Paller, dyrektor ds. badań w SANS Institute mówi, że przyczyną takiego stanu rzeczy jest to, iż sektor prywatny karze firmy za błędy, a sektor rządowy je nagradza. Jeśli przedsiębiorstwo stworzy komercyjne oprogramowanie zawierające błędy, to ryzykuje utratę klientów oraz dobrego imienia, co wpłynie na jego wyniki finansowe w przyszłości. Jeśli zaś napisze wadliwe oprogramowanie dla sektora rządowego, to zostanie nagrodzone kolejnym kontraktem na poprawienie tego oprogramowania. Nie twierdzę, że nie próbują wykonać swojej pracy właściwie. Ale w ten sposób działa system nagród i zachęt - mówi Paller. To powoduje, że błędy w oprogramowaniu rządowym istnieją nawet wówczas, gdy zanikają w oprogramowaniu komercyjnym. Specjaliści od dwóch lat obserwują spadek odsetka dziur typu SQL injection i XSS w oprogramowaniu komercyjnym. W programach rządowych  nic się w tym zakresie nie zmieniło.

Wszystkie powyższe dane dotyczą USA.

Share this post


Link to post
Share on other sites

Jak się czyta takie rzeczy, to się człowiekowi robi słabo ;p Instytucje rządowe z tak bardzo wadliwym oprogramowaniem? Przecież w takim przypadku bezpieczeństwo danych jest kluczowe, na rządowych serwerach są dane, których ochrona powinna być na najwyższym poziomie... Ech, ciekawe jak to wygląda w Polsce... Pracuję w śląskim 3Services Factory i współpracujemy przede wszystkim z klientami biznesowymi i zapewnianie im bezpiecznego przechowywania danych to priorytet, wszystko jest pod ciągłą kontrolą itd. Skoro prywatne firmy decydują się na taką współpracę, to robią to przede wszystkim ze względów bezpieczeństwa i mimo wszystko trochę nie mieści mi się w głowie, że instytucje rządowe nie potrafią tego prawidłowo zorganizować.

Share this post


Link to post
Share on other sites

Prywatnę firmę do odpowiedzialności za błędy pociągnie rynek. I ew. inne firmy, które wystąpią na drogę sądową.

A kto pociągnie do odpowiedzialności urząd?

Share this post


Link to post
Share on other sites

Prywatnę firmę do odpowiedzialności za błędy pociągnie rynek. I ew. inne firmy, które wystąpią na drogę sądową.

A kto pociągnie do odpowiedzialności urząd?

 

To kwestia kosztów. Admin adminuje ale ma trochę luzu więc w ramach etatu coś tam wyrzeźbi na szybko, albo Franek z księgowości był na kursie PHP więc w dwa wieczory przygotuje formularz do zbierania danych od publiki. Bezpieczeństwo kosztuje ale pieniądze na to znajdują się dopiero po wtopie.

Dawno temu miałem okazję obcować z oprogramowaniem MEN do zbierania różnych rzeczy od gmin i byłem zaskoczony niskim poziomem rozwiązań proponowanych przez, jakby nie było, rządowych informatyków.

Share this post


Link to post
Share on other sites

Bezpieczeństwo kosztuje ale pieniądze na to znajdują się dopiero po wtopie.

 

No właśnie, po szkodzie każdy jest mądry, a po takiej wtopie trzeba zwykle znaleźć dużo więcej pieniędzy, niż trzeba by wydać wcześniej na porządne zabezpieczenia. Bo już nie mówię o innych szkodach i całym bałaganie, który mamy przez taki sposób myślenia.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      Na Politechnice Federalnej w Lozannie powstało oprogramowanie, które wykorzystuje awatar, by przewidzieć, ile energii ludzie zużywają w zależności od sposobu chodzenia.
      Szwajcarzy podkreślają, że choć nie zdajemy sobie z tego sprawy, stale zmieniamy tempo chodu, długość kroków i unoszenie stóp (instynktownie "wybieramy" chód, który w danych warunkach jest najmniej energochłonny).
      Awatar autorów publikacji ze Scientific Reports to tułów wyposażony w nogi i stopy. Można go dowolnie konfigurować. Najpierw użytkownik wprowadza swój wzrost i wagę. Później ustawia prędkość chodu, długość i szerokość kroku, uniesienie stopy, a także przechylenie tułowia i podłoża. Dodatkowo można symulować wpływ bycia pchanym bądź ciągniętym na poziomie różnych części ciała. Zużycie energii jest wyświetlane w czasie rzeczywistym za każdym razem, gdy parametry są zmieniane.
      Naukowcy dodają, że dla swojego oprogramowania widzą wiele zastosowań, zwłaszcza medycznych. Oprogramowanie może zostać wykorzystane do wybrania najlepszego projektu egzoszkieletu lub protezy (najlepszego, czyli takiego, który redukowałby wysiłek użytkownika) - tłumaczy Amy Wu.
      Zespół dodaje, że z pomocą oprogramowania można by nawet określić, jak nosić plecak, by zminimalizować wydatkowanie energii. Jeśli [jednak] twoim celem jest spalanie kalorii, oprogramowanie da się wykorzystać do znalezienia serii ruchów z dużym kosztem metabolicznym.
      Szwajcarzy ujawniają, że oprogramowanie powstało w laboratorium robotyki z myślą o robotach humanoidalnych i miało służyć do analizy mechaniki ludzkiego chodu. Sposób, w jaki ludzie chodzą, jest niezwykle skomplikowany. Poziom wymaganej kontroli jest sporym wyzwaniem dla humanoidalnych robotów - podsumowuje Salman Faraji.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Amerykańska Narodowa Agencja Bezpieczeństwa (NSA) poinformowała o zbudowaniu około 100 „ultrabezpiecznych“ smartfonów z systemem Android. Urządzenia Fishbowl powstały w oparciu o standardowe ogólnodostępne podzespoły i są na tyle bezpieczne, że pozwalają agentom na prowadzenie rozmów na tajne tematy.
      Margaret Salter z NSA, przemawiając podczas konferencji RSA powiedziała, że połączenia są prowadzone za pośrednictwem komercyjnej infrastruktury, a mimo to dane pozostają bezpieczne. Przyznała jednocześnie, że napotkano poważne kłopoty podczas budowy urządzeń, a ich główną przyczyną był brak kompatybilności pomiędzy produktami różnych firm. Z tego też powodu wykorzystano np. IPSEC a nie SSL VPN. Zdecydowano się na większą liczbę tego typu kompromisów, jednak ogólne bezpieczeństwo smartfonów nie doznało przez to uszczerbku. Potrzebowaliśmy aplikacji głosowej, która obsługiwałaby DTLS, Suite B oraz SRTP, ale nie mogliśmy takiego kupić. Przemysł bardziej skupia się na Session Description Protocol, więc zdecydowaliśmy się na to rozwiązanie - powiedziała Salter.
    • By KopalniaWiedzy.pl
      Jak donosi Businessweek w systemie Windows 8 znajdzie się mechanizm, pozwalający Microsoftowi na zdalne usuwanie i zmianę oprogramowania. Ma być to mechanizm podobny do tego, jaki jest obecny w systemie Android, iOS czy w urządzeniach Kindle.
      Koncern z Redmond nie chce zdradzać szczegółów na temat wspomnianego mechanizmu. Zapewnia jedynie, że pozwoli on tylko i wyłącznie na manipulowanie aplikacjami pobranymi z firmowego sklepu. Programy pochodzące z innych źródeł będą dla Microsoftu niedostępne. Niewykluczone jednak, że mechanizm ten umożliwi również oczyszczanie komputerów użytkowników ze szkodliwego kodu.
      Podobne mechanizmy, chociaż w pewnych przypadkach mogą być korzystne dla użytkowników, budzą liczne kontrowersje. Firmy je wykorzystujące dotychczas nie określiły ścisłych i jednoznacznych zasad ich użycia. Ponadto zawsze istnieje obawa, że przedsiębiorstwa ulegną naciskom polityków i np. będą usuwały z komputerów treści, które nie podobają się rządzącym. Jest ktoś, kto ma absolutną kontrolę nad moim dyskiem twardym. Jeśli używa jej w sposób mądry, może uczynić moje życie lepszym. Jednak nie wiemy, czy używają tego mądrze. Tak naprawdę nie wiemy, czy w ogóle tego używają - mówi Eric Goldman, dyrektor High Tech Law Institute.
      Jeśli jednak przyjrzymy się temu, co mówią przedstawiciele firm, które w swoje produkty wbudowały takie mechanizmy, zauważymy, że pozostawiają sobie duża swobodę. Hiroshi Lockheimer, wiceprezes Google ds. inżynieryjnych systemu Android mówi, że mechanizm jest używany w naprawdę wyjątkowych, oczywistych sytuacjach. Todd Biggs, jeden dyrektorów z Windows Phone Marketplace zapewnia, że w smartfonach z systemem Microsoftu używano tech mechanizmu w celach radzenia sobie z problemami technicznymi, a Apple i Amazon nie chciały sprawy komentować.
    • By KopalniaWiedzy.pl
      Po skandalu Carrier IQ w Izbie Reprezentantów złożono projekt ustawy, która ma zapewniać lepszą ochronę klientom sieci telefonii komórkowych. Mobile Device Privacy Act został złożony przez Edwarda Markeya’a z Partii Demokratycznej.
      Ustawa przewiduje, że „konsumenci mają prawo wiedzieć jakie oprogramowanie, które zbiera i przesyła ich dane osobiste, jest obecne na urządzeniu przenośnym i mają prawo nie zgodzić się na jego obecność“. Przewidziano też, że w przyszłości zbieranie i przesyłanie danych nie będzie możliwe bez wyraźnej zgody użytkownika. Ponadto firmy, które chciałyby przekazać takie dane firmom trzecim, będą musiały uzyskać zgodę Federalnej Komisji Handlu i Federalnej Komisji Komunikacji.
      Ustawa nakłada też na sprzedawców urządzeń mobilnych informowanie użytkownika o tym, czy na urządzeniu zainstalowano oprogramowanie zbierające dane, jakie dane są zbierane, do kogo zostają wysłane i w jakim celu są używane. Firmy zbierające dane będą zaś musiały odpowiednio je zabezpieczyć.
      Teraz Markey musi znaleźć odpowiednie poparcie dla swojej ustawy, co pozwoli prowadzić nad nią dalsze prace.
    • By KopalniaWiedzy.pl
      Microsoft poinformował, że w bieżącym roku załatał rekordowo małą liczbę krytycznych dziur. Ostatnio tak mało luk znaleziono w produktach koncernu w 2005 roku.
      W całym bieżącym roku Microsoft wydał 99 biuletynów bezpieczeństwa, z czego 32% stanowiły biuletyny oznaczone jako „krytyczne". W drugiej połowie roku ich odsetek wynosił 20%.
      Zdaniem przedstawicieli Microsoftu, mniejsza liczba wykrywanych krytycznych błędów to efekt dobrej pracy poszczególnych grup produktowych.
      Przed dwoma dniami, we wtorek, koncern wydał ostatni w bieżącym roku zestaw łat. W jego skład weszło 13 biuletynów, poprawiających 19 dziur. Trzy biuletyny zyskały ocenę „krytyczne". Początkowo planowano publikację 14 biuletynów dla 20 dziur, jednak okazało się, że jedna z łat jest niekompatybilna z oprogramowaniem firmy trzeciej, zostanie więc udostępniona po rozwiązaniu problemu.
×
×
  • Create New...