Security Issues, Models and Analysis Голосов: 2 Адрес блога: http://blogs.technet.com/nightstalker/default.aspx Добавлен: 2007-10-26 01:10:20 блограйдером Lurk

About me & about us/ О себе и о нас

Занимаясь профессионально разработкой программных средств обнаружения, классификации и анализа уязвимостей, нахожу данное занятие интересным, полезным и весьма нескучным. Наш департамент является особым случаем в компании - мы не разрабатываем продукты, мы их ломаем до того как они выйдут в свет. Поскольку продуктов много, а в SWI всего 100 человек, наши знания и навыки оформляются в виде программных продуктов для внутрикорпоративного использования и передаются для использования в группы разработки и поддержки программных продуктов. Проблема собственного анализа программных продуктов переросла из идеи в реализацию в виде SWI лет 6 назад и оправдала себя целиком.

Основным документом, регламентирующий процесс прохождения программным продуктом проверки на уязвимости, является Software Development Lifecycle (SDL). В нём указаны параметры без которых программному продукту будет указано на невозможность поступить в реализацию.

Моя роль в указанном процессе - разработка методов обнаружения уязвимостей при работе приложений с файловой системой. Вкратце суть задачи сводится к целенаправленной порче файлов которые могут быть переданы приложению злоумышленником с ��елью получения доступа к системе.

Детали о процессах и методах - в будущих статьях.