Discutie cu Michael Howard despre Vista, SDL si securitate

Publicat pe de

Sunt inca in Seattle si tocmai am iesit de la cea mai tare discutie la care am participat la TechReady (asa se numeste conferinta tehnica interna la care sunt acum). De obicei nu ratez sesiunile lui Mike, oriunde ar fi, intern sau public. Autorul lui „Writing Secure Code” si „19 Deadly Sins of software Security” si creatorul procesului SDL (Security Development Lifecycle) este un tip carismatic, foarte direct. Am vrut sa vad cum se simte dupa 5 ani de „lupta” in Microsoft pentru impunerea de training-uri, threat modeling, unelte specializate dar mai ales lupta cu mentalitatile. A fost revigorant! Omul este satisfacut: acum cinci ani avea o viziune: sa obtinem avantaj competitiv din securitate, si lucrul asta se intampla. Ca o paranteza, nu cred ca avea nici o sansa daca nu avea sprijinul complet al lui Bill.

Vista este sclipitor dpdv securitate si va spun sincer: daca e sa recomand cuiva Vista cand se va lansa (ianuarie, sper…), atunci nu va fi pentru ca are o interfata cool, sau ca poti cauta lucruri mai usor, sau ca are un stack TCP/IP nou-nout. Nu, ci pentru ca e un produs care contine facilitati de securitate nemaiintalnite intr-un produs de larg consum. Pentru fanii de secu, recomand studierea combinatiei ASLR cu NX… Detalii in blogul lui Mike.

PS: wow, ce bine e pe CS 2.0!

Filed under: Securitate

# re: Discutie cu Michael Howard despre Vista, SDL si securitate

Thursday, July 27, 2006 2:03 PM by MrSmersh

Symantec arunca un ochi la Vista, dpv securitate: http://www.theinquirer.net/default.aspx?article=33213
Cam biased, dar ar fi interesant vazut mai in detaliu ce zic.

# re: Discutie cu Michael Howard despre Vista, SDL si securitate

Thursday, July 27, 2006 5:30 PM by vbocan

Asa cum am scris si direct in blog-ul lui Michael Howard, cei de la Symantec mi-au lasat un oarecare gust amar, desi inainte de a incepe sa citesc articolul imi frecam mainile de bucurie sa vad ce au mai descoperit. Ce-au descoperit ei de fapt? Ca protocolul ARP este vulnerabil, ca stiva TCP/IP este nou-nouta si probabil are bug-uri, etc. dar nimic concret. Ba din contra, tot ei au observat ca desi unele versiuni beta prezentau regresii, cea mai nou versiune beta testata nu mai suferea de acele probleme.
Eu cred ca Trusted Computing Initiative este un lucru benefic nu doar pentru Microsoft ci pentru toti ceilalti care suntem consumatori. Aici este in mare masura meritul lui Michael.
PS. ASLR este un exemplu de cum se aplica „security in depth”. Din pacate Microsoft vine din nou mai tarziu decat ceilalti, adica Unix et co. pentru ca acolo aceasta tehnica exista de vreo cativa ani.

# re: Discutie cu Michael Howard despre Vista, SDL si securitate

Thursday, July 27, 2006 8:39 PM by zoltanhe

Partial ai dreptate, vbocan, cand spui ca nu suntem primii cu solutii de randomizare (ASLR), dar ceilalti, chiar daca livreaza tehnologia (PaX sau altceva), NU O ACTIVEAZA by default! De ce? Ca sa nu crape aplicatiile existente. Bitii de ASLR din Vista au fost bagati cu cateva zile inainte de beta2 si sunt activati by default. In testele noastre au crapat doar o duzina de aplicatii, toate fiind jocuri. Wow, asta da!
Exista totusi o exceptie printre „ceilalti” care sunt ON by default si cine sa fie altcineva daca nu OpenBSD. Respect. Pacat ca nu poti sa-l folosesti asa cum am spus in „larg consum” 🙂
Nu as vrea sa retineti numai ASLR si NX cand vine vorba de secu in Vista, dar astea sunt super cool pentru fanaticii de secu. Sper sa avem in roadshow-ul din toamna o sesiune dedicata pentru secu in Vista.