The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Итоги инициативы Google по повышению безопасности популярного свободного ПО

10.10.2014 11:19

Михал Залевский (Michal Zalewski) из Google Security Team подвёл итоги года действия программы выплаты денежных вознаграждений за выполнение работ по повышению безопасности и создание улучшений, препятствующих возникновению проблем с безопасностью в популярном сетевом и системном свободном ПО.

Из участвовавших в программе успешных разработок отмечается:

  • Внедрение проверок безопасности во фреймворк Django, позволяющих создавать более безопасные web-приложения;
  • Интеграция в DNS-сервер BIND поддержки механизма изоляции системных вызовов seccomp-bpf;
  • Добавление в OpenSSH алгоритма Curve25519 и некоторых других криптографических примитивов;
  • Разработка патчей, ограничивающих доступ к /proc/pid для предотвращения утечек информации о работе механизма ASLR (рандомизация адресного пространства) и затрудняющих эксплуатацию уязвимостей, вызванных обращением к некорректным областям памяти;
  • Разработка патча, привязывающего обработку функций в переменных окружения Bash к именам, снабжённым префиксом "BASH_FUNC_" для обхода новых Shellshock-уязвимостей в Bash;

Кроме того, можно отметить увеличение с 5 до 15 тысяч долларов максимальной суммы за выявление связанных с безопасностью ошибок в кодовой базе Chrome/Chromium. В исключительных случаях, за сверхинтересные и важные методы атаки сумма может доходить до 30 тысяч долларов. Сообщается, что всего в рамках программы выплаты вознаграждений уже выплачено более 1.25 млн долларов.

  1. Главная ссылка к новости (http://googleonlinesecurity.bl...)
  2. OpenNews: Компания Google увеличила размер вознаграждения за усиление безопасности свободного ПО
  3. OpenNews: Компания Google расширила действие инициативы по повышению безопасности свободного ПО
  4. OpenNews: Google будет выплачивать вознаграждения за повышение безопасности популярного свободного ПО
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/40792-google
Ключевые слова: google, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (20) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, YetAnotherOnanym (ok), 11:51, 10/10/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Внедрение проверок безопасности во фреймворк Django

    А что, изначально Джанго писали без проверок безопасности?

     
     
  • 2.6, MahnaMahnam (?), 12:19, 10/10/2014 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Снаяала придумали молоток и забивание гвоздей. Потом задумались о безопасности, когда промахнулись мимо гвоздя.
     
     
  • 3.23, pv47 (ok), 21:17, 10/10/2014 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Снаяала придумали молоток и забивание гвоздей. Потом задумались о безопасности, когда промахнулись мимо гвоздя.

    ... и решили производить головки молотков из пенопласта. Гугл такой гугл.

     
     
  • 4.33, Alan Cox (?), 13:34, 18/11/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ума и денег хватило на написание проверок перед ударом и перед замахом, псевдозамах, автоматизация замаха, в конченом результате решили спрятать руки в ЖЁ от греха подальше перед замахом.

    Раньше удовалось заколотить в день по 3 гвоздя в свой гроб, теперь только один))))

     

  • 1.5, Аноним (-), 12:13, 10/10/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    Забыли еще одно достижение.
    - число свободно публикуемых уязвимостей сократилось на 70%
     
     
  • 2.29, Карбофос (ok), 01:00, 11/10/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    сегодня был день психического здоровья и день яйца.
    первое - точно не ваш праздник. лучше выберите, какое поздравлять будете: правое, или левое.
     

  • 1.10, AlexYeCU_not_logged (?), 13:44, 10/10/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Начали б они со своего Андроида.
    Чтоб root из коробки, чтоб OTA на рутованные железки ставились, чтоб с правами и пользователями не такой бардак был, чтоб штатными средствами можно было права для приложений ограничивать.
     
     
  • 2.11, th3m3 (ok), 13:57, 10/10/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Какой root из коробки? Там и так вирусов полно, а с root вообще атас будет.
     
     
  • 3.13, AlexYeCu_not_logged (?), 14:59, 10/10/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вирусов там не полно. Но встречаются, да. И одна из главных причин их существования: отвратная управляемость системы со стороны пользователя: что для получения root'а, что для элементарных действий вроде монтирования флэшек требуется выполнение нетривиальных действий и использования утилит от третьей стороны.
     
     
  • 4.24, Аноним (-), 21:47, 10/10/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/

    > отвратная управляемость системы со стороны пользователя

    Это фича, инжой.

     
  • 4.27, dewfc (?), 23:57, 10/10/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >для элементарных действий вроде монтирования флэшек требуется выполнение нетривиальных действий и использования утилит от третьей стороны.

    Вы все таки подержите как нибудь андройд в руках то, ну в магазине хотя бы. А то ведь смешно получается.

     
  • 3.25, vitalif (ok), 22:42, 10/10/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет там ВИРУСОВ, разве что албанские, которые специально устанавливать надо. Т.е. неспособные самостоятельно размножаться. ВИРУС должен самостоятельно размножаться.

    И если скрыть этот рут хотя бы за тем же извращением, за которым щас скрыто включение опций разработчика - дебилы его и так не найдут)).

     
     
  • 4.28, freehck (ok), 00:43, 11/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > ВИРУС должен самостоятельно размножаться.

    Нет.

     
  • 2.15, Аноним (-), 16:09, 10/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > чтоб с правами и пользователями не такой бардак был, чтоб штатными средствами можно было права для приложений ограничивать

    Этого даже в линуксе нет (в том смысле, что вы подразумеваете) и, похоже, никому не нужно. Что там на телефоне, должно волновать в меньшей степени.
    Проблема андроида - нужно продавать железки и гвнопрограммы. Из нее следуют все остальные проблемы.

     
     
  • 3.16, AlexYeCu_not_logged (?), 16:19, 10/10/2014 [^] [^^] [^^^] [ответить]  
  • +6 +/
    В Линуксе нет той кучи фекалий, называемой в Андроиде софтом. 90% софта — опенсорс. А Skype'ы и Steam'ы можно и не ставить на тех компах, где есть что-то ценное. В Линуксе есть нормальное разделение на пользователей. Т.е. можно часть софта использовать под выделенным пользователем.
    В Андроиде вместо всего этого — контейнеры для приложений с явно выделямыми им правами, да ещё каждая софтина запускается от своего пользователя. Проблема в том, что пользователь этими правами управлять не может, а разработчики софта ограничивать права своих продуктов не хотят. В итоге оно вообще не про безопасность.
    В Винде тоже были и пользователи, и права разделяемые — толку-то?
     
  • 3.20, Аноним (-), 18:06, 10/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Есть, братюнь - apparmor и selinux.
     
     
  • 4.31, Аноним (-), 01:32, 11/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А еще контейнеры и cgroups, а для особо злобных программ и полновесные виртуалки.
     
  • 3.26, vitalif (ok), 22:43, 10/10/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > чтоб с правами и пользователями не такой бардак был, чтоб штатными средствами можно было права для приложений ограничивать

    Это в J2ME даже было)

     

  • 1.30, Аноним (-), 01:31, 11/10/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >  Добавление в OpenSSH алгоритма Curve25519 и некоторых
    > других криптографических примитивов;

    Теперь еще выпилить оттуда всякое старье типа ssh1 и прочий шит - и станет хорошо.

     
  • 1.32, Аноним (-), 04:57, 11/10/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > для обхода новых Shellshock-уязвимостей в Bash;

    Не помогло что-то, судя по https://www.opennet.ru/openforum/vsluhforumID3/99332.html

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру