12 января 2001 г.
Специалисты по безопасности нашли слабое место в защите ПО Borland InterBase, позволяющее посторонним проникнуть в эту базу данных.
По словам специалистов Computer Emergency Response Team, злоумышленники могут проникнуть в базу данных Borland при помощи специального недокументированного пароля, позволяющего одной части БД обмениваться данными с другой ее частью, защищенной паролем. Имя пользователя и пароль включены в тело программы, и удалить их, изменив настройки, невозможно. Квалифицированный хакер без труда может их обнаружить и использовать с целью похищения из базы данных информации или занесения в компьютер вируса. Представители Borland признали наличие ошибки в защите и начали распространение среди пользователей баз данных InterBase 4, 5 и 6 программ-заплаток.
В июле прошлого года Borland открыли исходные коды своей БД InterBase для всеобщего использования, т. е. разработчики и компании могут вносить в нее изменения и свободно распространять измененные версии. Факт наличия бреши в защите InterBase является еще одним подтверждением того, что вопросы безопасности ПО с открытым исходным кодом нельзя рассматривать однозначно. С одной стороны, открытый исходный код позволяет любому из разработчиков внимательно изучить программу и найти в ней ошибки защиты, как это и случилось с InterBase. Кроме того, имея достаточную квалификацию, программист, нашедший ошибку, может устранить ее самостоятельно, не дожидаясь выхода официальной программы-заплатки. Многие из приверженцев ПО с открытым исходным кодом приводят этот факт в качестве основного преимущества таких продуктов перед программами, защищенными авторским правом.
С другой стороны, открытый исходный код облегчает задачу хакерам по поиску уязвимых мест в программных продуктах. Недокументированный пароль был включен в базу данных InterBase еще в 1994 г., и в течение полугода с момента публикации исходного кода им мог воспользоваться любой злоумышленник.
|