Jump to content
Forum Kopalni Wiedzy

Recommended Posts

Jak wynika z raportu opracowanego w 2006 r. przez firmę Symantec, naprawienie typowego błędu w oprogramowaniu zajmuje średnio aż miesiąc. Aby temu zaradzić (przynajmniej częściowo), zespół Martina Rinarda z MIT założył firmę Determina, której zadaniem jest stworzenie "nieśmiertelnego, nienaruszalnego programu", czyli porcji kodu zdolnej do wychwytywania wadliwego działania innych procesów i korygowania go. Naukowcy właśnie pochwalili się swoimi pierwszymi osiągnięciami.

Program stworzony przez zespół Rinarda, nazwany ClearView, działa na poziomie kodu binarnego, czyli zestawu instrukcji docierających bezpośrednio do poszczególnych podzespołów komputera. Pozwala to na uniknięcie konieczności ingerowania w kod źródłowy, a więc zestaw poleceń zapisanych bezpośrednio przez człowieka. Jest to ważne, gdyż kod źródłowy bardzo często jest tajny, zaś wytworzony na jego bazie kod binarny można z łatwością monitorować.

Zadaniem ClearView jest obserwowanie danych przepływających pomiędzy poszczególnymi komponentami komputera i wychwytywanie ich potencjalnie niebezpiecznych cech. Po "namierzeniu" podejrzanej porcji danych problem jest analizowany, po czym stosowana jest jedna z kilku zaprogramowanych korekt, uznana przez program za optymalną. Jeżeli wykorzystane rozwiązanie zawiedzie, aplikuje się kolejne tak długo, aż osiągnie się bezpieczne wyjście z sytuacji zagrożenia.

Program opracowany przez badaczy z MIT radzi sobie szczególnie dobrze wtedy, gdy obserwuje równocześnie wiele kopii tego samego programu uruchomionych na różnych komputerach. Kopie ClearView uruchomione na poszczególnych maszynach mogą się bowiem ze sobą komunikować, a każda z nich może dostosować własne działanie do wyników zastosowanych wcześniej rozwiązań.

Jeden z pierwszych testów nowej technologii przeprowadzono z wykorzystaniem przeglądarki Firefox. Przedstawiciele Determina zatrudnili niezależną grupę hakerów, których zadaniem było podjęcie 10 prób wstrzyknięcia szkodliwego kodu do przeglądarki. W siedmiu przypadkach ClearView wprowadził łatki zabezpieczające przeglądarkę, a we wszystkich dziesięciu udało się co najmniej odrzucić rozwiązania, które nie rokowały naprawieniem błędu. 

Co jest jednak najważniejsze, za każdym razem udało się uniknąć bardziej szkodliwych konsekwencji, takich jak wyciek poufnych informacji z komputera ofiary, zaś jedyną konsekwencją niedoszłego ataku było wyłączenie przeglądarki oraz zablokowanie jego działania na kilka minut, w czasie których ClearView próbował odnaleźć i zastosować optymalną łatkę.

Jak twierdzi Rinard, program rozwijany przez jego zespół mógłby posłużyć do nawiązania aktywnej współpracy pomiędzy użytkownikami i twórcami oprogramowania, której efektem mogłoby być szybsze korygowanie błędów w stosowanych przez nas aplikcjach. Ponieważ do działania ClearView wystarcza analiza jawnego kodu binarnego, na rozwiązanie takie mogliby przystać nawet liderzy branży IT, często bardzo sceptyczni wobec ujawniania choćby fragmentów kodu źródłowego własnych programów.

Share this post


Link to post
Share on other sites

Liderzy IT raczej wolą stosować inne "dobre" rozwiązania, które są bardziej ukryte dla użytkownika, w zasadzie działają jak wirusy np. SecuRom, ale że sony się ułożyło za kaskę z Symantec to norton oczywiście będzie go miał na liście "zaufanych" aplikacji, no i wszyscy są szczęśliwi prawda, po co zmieniać stary dobry układ.

 

naprawienie typowego błędu w oprogramowaniu zajmuje średnio aż miesiąc
- no może w symantecu.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By KopalniaWiedzy.pl
      Naukowcy z Australii i Hiszpanii pracują nad uniwersalnym testem na inteligencję. Ponieważ jego rozwiązanie nie wymaga posługiwania się językiem, mogłyby go rozwiązywać najprzeróżniejsze istoty i byty, np. zwierzęta, programy komputerowe czy przedstawiciele obcych cywilizacji. Co więcej, dałoby się porównywać ich IQ.
      Dwoma czołowymi przedstawicielami zespołu są informatycy David L. Dowe z Monash University oraz José Hernández-Orallo z Universitat Politècnica de Valencia. Biorąc pod uwagę ich specjalność, nie powinno dziwić odwołanie do algorytmicznej teorii informacji, znanej również jako teoria Kołomogorowa-Chaitina. Bazuje ona na twierdzeniu sformułowanym przez XVIII-wiecznego matematyka Thomasa Bayesa. Jednym ze stosowanych w jej obrębie pojęć jest złożoność Kołomogorowa (in. złożoność algorytmiczna). Jest ona definiowana jako najkrótszy możliwy program, definiowany za pomocą długości kodu binarnego, który może doprowadzić do konkretnego rezultatu. Obowiązującą regułą jest więc zasada minimalnej długości kodu – spośród dostępnych hipotez uczeń wybiera tę, która zapewnia najlepszą kompresję danych. Zastosowanie algorytmicznej teorii informacji do inteligencji pozwala przedstawić IQ jako złożoność Kołomogorowa najbardziej skomplikowanego zadania, jakie ktoś rozwiązał. W praktyce uzyskanie dokładnego wyliczenia złożoności algorytmicznej jest mało prawdopodobne, ale można porównywać przybliżenia.
      Podczas testu stosowane ma być warunkowanie instrumentalne, zwane również warunkowaniem sprawczym. Badany uczy się metodą prób i błędów relacji między swoim działaniem a konsekwencjami. W ten sposób zmienia się prawdopodobieństwo/częstotliwość różnych zachowań. W zależności od tego, kogo poddawano by testowi, nagrodą za właściwe działanie byłyby np. pieniądze (człowiek), banany (małpa) czy liczba punktów (program komputerowy). Gdyby chodziło o rozpracowanie gry w kółko i krzyżyk przez kogoś, kto nigdy się w to nie bawił, najpierw należałoby ustalić, że wygraną oznaczają trzy takie same znaki w rzędzie. Jeśli badany opanowałby reguły, przeszedłby na wyższy poziom. Porażka oznaczałaby spadek na niższy poziom i łatwiejsze zadanie. Szympans, który nie przeszedłby zadania z kółkiem i krzyżykiem, mógłby sobie np. poradzić z podobnym zadaniem zawierającym pojedynczą linię znaków.
      Hernández-Orallo i Dowe nie zamierzają wykorzystywać już istniejących gier. Zgodnie z ich pomysłem, nowe gry i wzorce generowałby komputer. Naukowcy uważają, że pozwoli to wyeliminować ludzkie błędy i uprzedzenia oraz uzyskać zadania o dowolnym poziomie złożoności. W tym nierozwiązywalne dla człowieka...
    • By KopalniaWiedzy.pl
      Matthew Garrett, pracownik Red Hata, zdobył sobie rozgłos sprawdzaniem, czy producenci urządzeń wykorzystujących systemy oparte na Linuksie, przestrzegają licencji GPL. Jest w tym na tyle niestrudzony, że np. złożył skargę na firmę Fusion Garage do amerykańskiego Urzędu Celnego. Tym razem Garrett wziął na celownik producentów tabletów z Androidem.
      Z badań wynika, że zdecydowana większość urządzeń tego typu łamie licencję GPL w punkcie dotyczącym obowiązku udostępniania kodu źródłowego. Na około 130 sprawdzonych przez Garretta tabletów z systemem Android jedynie 19 przestrzegało GPL.
      Lista Garretta jest ciągle aktualizowana, a w przyszłym roku, gdy najprawdopodobniej będziemy świadkami rynkowej eksplozji androidowych, powinna się ona znacząco wydłużyć.
    • By KopalniaWiedzy.pl
      Podczas premiery przeglądarki Chrome Google dziękował dwóm opensource'owym projektom, z których korzystał - Firefoksowi i WebKitowi. Okazuje się, że podziękowania należą się też... Microsoftowi.
      Scott Hanselman, jeden z programistów Microsoftu, poinformował, że w kodzie Chrome'a wykorzystano również Windows Template Library, które gigant z Redmond upublicznił na opensource'owej licencji w 2004 roku.
      Oczywiście Google tego nie ukrywa. Każdy kto wczyta się w licencję Chrome'a znajdzie w niej informacje o tym, jaki kod firm trzecich został wykorzystany w przeglądarce.
      Co ciekawe, Google wykorzystał w Chrome jeszcze inne fragmenty Microsoftu. Aby skorzystać z technologi Data Execution Prevention, która ma chronić przed wirusami, Google użył nieudokumentowanych funkcji (nota bene ostatnio zostały one też dodane do WINE), dzięki którym technologia ta działa w Windows XP SP2. Jest to o tyle ryzykowne, że to nieoficjalny i niewspierany przez Microsoft kod. Został on stworzony na wewnętrzne potrzeby firmy, więc nie ma żadnej gwarancji, że Microsoft w ogóle będzie kontynuował prace nad nim i publikował aktualizacje. Co więcej, aby wspomniany kod Microsoftu działał, konieczne było przeprowadzenie inżynierii wstecz (reverse engineering) na kodzie Windows Visty.
      Hanselman uważa, że postępowanie Google'a dobrze świadczy o potędze open source i zaznacza, że chciałby, żeby jego firma upubliczniała więcej kodu na wolnych licencjach.
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...