The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Аудит кода показал полную беззащитность авиационного ПО перед атаками

16.05.2009 11:14

Аудит web-ориентированного программного обеспечения для контроля авиаперевозок, разработанного Федеральной администрацией по авиации США, выявил 3800 уязвимостей, из которых 763 помечены как опасные. За 2008 год разработчики данного ПО получили около 800 сообщений о проблемах безопасности, из которых до сих пор не исправлено 17%. Некоторые из ошибок позволяли атакующим получить управление над машинами ATO.

По словам представителя компании WhiteHat Security, выполнившей аудит кода, тип и число ошибок типичны для большинства других проверяемых web-приложений. Проведя эксперимент, аудиторам удалось через брешь в безопасности web-приложения получить доступ к инфраструктуре управления воздушным транспортом и системе анализа погодных условий.

  1. Главная ссылка к новости (http://it.slashdot.org/article...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/21768-security
Ключевые слова: security, web
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (33) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, ZANSWER (??), 11:51, 16/05/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Браво, вот так пишется весь софт, который пишут гост конторы, понабирают туда своих детей и кумовей, и не важно, что они тупые, зато своих пристроили, да бабки попилили.
     
     
  • 2.3, pavlinux (ok), 13:49, 16/05/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты тоже в такой работаешь? :)
     
     
  • 3.16, Hettikus (??), 13:42, 17/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ит в этом плане не отличается от любой другой области. Количество нанятых по блату придурков в среднем 15-30 процентов в любой конторе, где препятсвующие этому правила четко не прописаны.
     
     
  • 4.20, pavlinux (ok), 15:34, 17/05/2009 [^] [^^] [^^^] [ответить]  
  • +2 +/
    - Не я один, все так же осуждают А судьи кто - За древностию лет К свободн... большой текст свёрнут, показать
     
  • 2.27, Sphynkx (ok), 04:02, 19/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Браво, вот так пишется весь софт, который пишут гост конторы, понабирают туда
    >своих детей и кумовей, и не важно, что они тупые, зато
    >своих пристроили, да бабки попилили.

    ...а только ли гос??.. Эх-х-х...

     

  • 1.2, Юниксоид (??), 11:57, 16/05/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Гы ! А я думал, что такое ПО на этапе тестирования гоняют по секурити.
     
     
  • 2.5, wr2 (?), 16:23, 16/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Возможно, ввел в заблуждение заголовок: "полная беззащитность", "авиацонное ПО". Классический газетный (и не только) прием - громкий заголовок, а реально речь вовсе не о том, о чем подумает большинство людей. ;-) Будьте уверены - то ПО, которое представляется при словах "авиационное ПО" (пилотажно-навигационные системы, системы жизнеобеспечения, различное самолетное оборудование и т. п.) действительно "гоняют" по самым разным критериям на всех этапах испытаний с обязательными процедурами различных сертификаций и приемок.

    Подавляющее большинство таких систем вообще не имеет выхода "наружу" - только в кино можно несанкционированно управлять сливом бачка унитаза в туалете летящего самолета с ноутбука, находящегося в подвале дома на другом краю Земли.

     
     
  • 3.6, аноним (?), 19:52, 16/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    была, кстати, проблема с возможностью получения доступа к системам управления из сети пассажирского салона в 787 боинге
     
     
  • 4.7, yantux (??), 01:03, 17/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Феерический бред. Ссылку в студию!
     
     
  • 5.10, аноним (?), 03:46, 17/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Феерический бред. Ссылку в студию!

    пользоваться поиском уже немодно?

     
     
  • 6.11, yantux (??), 12:30, 17/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Я не собираюсь искать доказательства феерического бреда.
     
     
  • 7.17, Hettikus (??), 13:44, 17/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Я не собираюсь искать доказательства феерического бреда.

    Там была уязвимость в сети, по которою юзерам контент в самолете доставляли. От систем управления самолетом она была отделена физически.

     
  • 4.14, gordev (ok), 13:05, 17/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    сети физически отделены. т.ч. бред
     
     
  • 5.15, аноним (?), 13:18, 17/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    обоим неверующим: мне очень нравится ваша позиция "этого не может быть потому что этого не может быть", особенно в сфере безопасности, такая страусиная позиция.
    вам, как великим экспертам по безопасности и боингам я ничего доказывать не собираюсь. я только сказал что такая проблема была и боинг ее признал, так что феерический и прочий бред это к ним. если нужны детали -- вы их легко найдете в сети, мальчики, судя по понтам, уже большие...
     
  • 5.23, Alexander Motin (?), 03:18, 18/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Буквально на днях летал на B767 через океан. Так вот его развлекательная система весьма красиво в реальном времени показывает пасажирам кое-какую простейшую телеметрию вроде высоты, скорости и текущих координат. При взлете система отключена, но посадку через нее приятно наблюдать. Я не сомневаюсь что эта система максимально изолирована от систем управления самолетом, но если данные в нее как-то поступают, то можно допустить теоретическую возможность наличия уязвимости. Хотя они конечно могли и отдельный GPS поставить для этого. Может как раз после того случая и поставили.
     
     
  • 6.28, cryptoanonymouns (?), 09:31, 19/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    там был сразу отдельный GPS и не из-за проблем с безопасностью....
     
  • 6.35, yarodin (??), 20:37, 27/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Буквально на днях летал на B767 через океан. Так вот его развлекательная
    >система весьма красиво в реальном времени показывает пасажирам кое-какую простейшую телеметрию
    >вроде высоты, скорости и текущих координат. При взлете система отключена, но
    >посадку через нее приятно наблюдать. Я не сомневаюсь что эта система
    >максимально изолирована от систем управления самолетом, но если данные в нее
    >как-то поступают, то можно допустить теоретическую возможность наличия уязвимости. Хотя они
    >конечно могли и отдельный GPS поставить для этого. Может как раз
    >после того случая и поставили.

    Я вот тоже на таком же агрегате недавно летал. И систему эту видел, по моему именно "gps" составляющая ее настолько условна и корява, что как бы она не сугубо вычислительные данные использовала. Т.е. вполне возможно, что там вообще нет никакого gps в ней :)

    Кстати акцент у вас брутальный совершенно, но говорите бодренько :)

     
  • 4.32, Ivan (??), 20:42, 23/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >была, кстати, проблема с возможностью получения доступа к системам управления из сети
    >пассажирского салона в 787 боинге

    Ну да, всё верно, всегда было проблемматично получить доступ к системам управления из сети пассажирского салона в 787 боинге.

     
  • 3.8, yantux (??), 01:04, 17/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Хрен с этими сертификациями и приёмками. Имеет значение ВЕРИФИКАЦИЯ и качество её организации.
     
     
  • 4.9, wr2 (?), 02:35, 17/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Хрен с этими сертификациями и приёмками. Имеет значение ВЕРИФИКАЦИЯ и качество её
    >организации.

    Без надлежащей верификации (и многого другого, кстати) НЕВОЗМОЖНО получить сертификат (по крайней мере, это касается ПО для авиационного оборудования). Тоже самое можно сказать про испытания и приемки.

    Почти стихи:

    Именно сертификация
    закрывает путь в авиацию
    тем, кто "кладет" на верификацию.

     
     
  • 5.12, yantux (??), 12:33, 17/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > Без надлежащей верификации (и многого другого, кстати) НЕВОЗМОЖНО получить сертификат (по крайней мере, это касается ПО для авиационного оборудования). Тоже самое можно сказать про испытания и приемки.

    Смотря в какой стране и на какой уровень безопасности.


    Вы по ходу дела не очень то понимаете этот процесс в реальной жизненной практике.

     
     
  • 6.19, wr2 (?), 15:32, 17/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >> Без надлежащей верификации (и многого другого, кстати) НЕВОЗМОЖНО получить сертификат
    >> (по крайней мере, это касается ПО для авиационного оборудования).
    >> Тоже самое можно сказать про испытания и приемки.
    > Смотря в какой стране и на какой уровень безопасности.
    > Вы по ходу дела не очень то понимаете этот процесс в реальной
    > жизненной практике.

    Эта фраза предполагает, что можно получить сертификаты разработчика, годности и прочие (http://www.mak.ru/russian/certificates_all.html) не имея и не подтверждая качества верификации ПО? Или что можно официально оснащать борт несертифицированным оборудованием?

    По ссылке, есть сертификаты двух систем, в разработке и сертификации которых я принимал непосредственное участие (не считая сертификации самого предприятия). Как происходит этот процесс в реальной жизненной практике, к примеру, в Конго, я действительно понятия не имею, и соответственно не очень-то его понимаю.

     
     
  • 7.21, yantux (??), 19:07, 17/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > Эта фраза предполагает, что можно получить сертификаты разработчика, годности и прочие (http://www.mak.ru/russian/certificates_all.html) не имея и не подтверждая качества верификации ПО? Или что можно официально оснащать борт несертифицированным оборудованием?

    Нет, это фраза предполагает, что у нас это делается чисто формально, для бумажки. Это реальный факт и реальная жизнь наших почтовых ящиков.

    По вашей ссылке нет ни чего про сертификацию софта.


    > По ссылке, есть сертификаты двух систем, в разработке и сертификации которых я принимал непосредственное участие (не считая сертификации самого предприятия). Как происходит этот процесс в реальной жизненной практике, к примеру, в Конго, я действительно понятия не имею, и соответственно не очень-то его понимаю.

    Ясненько :) стало быть откаты стрижёте? В не поверю, что есть польза от вашей сертификации предприятия.

    Кроме Конго, есть ещё другие страны, которые добились существенных успехов по части верификации. На собственном опыте знаю (верификация софта для прибора 787), что организация сертификации в США это серьёзно. У нас на таком уровне это сделать не реально - нужна нормальная организация процесса и деньги. У нас же деньги просто распилят. А за копеечную зарплату провести нормальный процесс верификации в принцепе не возможно.

     
     
  • 8.22, wr2 (?), 21:18, 17/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Странная ремарка от человека, который, как мне показалось, в теме Сертификаци... текст свёрнут, показать
     
  • 3.13, Zulu (?), 13:04, 17/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ох уж мне эти сказочники...
     

  • 1.4, Андрей К. (?), 15:59, 16/05/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Прикол в том, что теперь на многие сайты авиакомпаний пойдут массированные атаки.
     
     
  • 2.18, DrNo (??), 14:20, 17/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, особенно после того как прочитают Opennet :)))
     

  • 1.24, rst07 (?), 12:57, 18/05/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    http://www.driverforum.com/printer5/31259.html к вопросу о тщательно проверенном ПО для самолетов
     
     
  • 2.26, wr2 (?), 23:54, 18/05/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Реально, набор  о-о-очень старых баек. Причем, некоторые из них реально произошли в жизни, только не совсем так, как описано по ссылке. Не спиз***ь, как говорится, - не расскажешь. Вот это особенно понравилось: "Лишь одному пилоту удалось связаться с экспертами разработчика (компании Lockheed Martin). Несколько пилотов попытались перезагрузить ПО истребителя в полете."
    Может быть кто-то думает, что у пилота истребителя (!) есть так много свободного времени в полете, что он может связаться с кем хочет? Или все-таки это шел обычный процесс летных испытаний и выявилась обычная недоработка (правда, в этом случае эпизод существенно теряет "зрелищность")? По остальным эпизодам вопросов не меньше.
     
     
  • 3.29, yantux (??), 17:53, 19/05/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Начать с того, что если пилот и может перезагрузить комп, то только тот, который на влияет напрямую на безопсность полёта.
     
  • 3.33, koffu (??), 11:23, 24/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Несколько
    >пилотов попытались перезагрузить ПО истребителя в полете."

    Несколько... в истребителе? Пятеро? Интересно как это? Один жал кнопку, остальные кричали...
    Да и что за софт такой? Снова Windows? Завис проводник, пелоты не могли открыть через Paint карту... пытались слать багрепорт, еле отправили... после перезагрузки...

     
  • 2.30, yantux (??), 17:55, 19/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее всего перегрузили комп, который обеспечивает сервис пилота, но не влияет напрямую на безопасность полёта. Видимо пилоты соблюли инструкции и полетили обратно.
     

  • 1.31, Agressor (ok), 18:37, 20/05/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Гы-гы... Вспомните историю про Фантомы и ошибку при делении на 0 в бортовом компе при полете над Мертвым морем :)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру