באתר The Register מפורסמות היום שתי ידיעות שלכאורה לא קשורות, אבל למי שמחבר בין השתיים צפויה הפתעה קטנה ;)
בידיעה הראשונה מיידעים אותנו על
פרצה חמורה
ב-Outlook שמאפשרת משלוח וירוסים וסוסים טרויאניים תוך מעקף מנגנוני אנטי וירוס. הפרצה מבוססת על משלוח קובץ עם 3 סיומות, למשל info.doc.exe.doc - המשתמש ב-Outlook "רואה" את הסיומת הראשונה וחושב שהקובץ בטוח. הסיומת האחרונה משמשת להצגת הצלמית של הקובץ - שוב זיהוי של Word. ואז המשתמש התמים שמריץ את הקובץ נחשף לסכנה - כי Outlook מריץ את הקובץ דוקא לפי הסיומת האמצעית! יש לציין כי מנגנוני הגנה רבים ובהם אנטי-וירוסים משתמשים גם כן בסיומת האחרונה ועלולים להתעלם מהקובץ.
בידיעה השניה, נכתב על
מודעת פרסום יקרה למדי שנרכשה ע"י מייקרוסופט בעיתון הנחשב New York Times. המודעה נרכשה בודאי לפני זמן רב ופרסומה המקרי השבוע משעשע למדי. כותרת המודעה היא "שואפים לאבטחה בעולם מקושר" ובהמשך נכתב כי "מהנדסים השקיעו שבועות עבודה בבדיקת מיליוני שורות של קוד חלונות. מאמץ חסר תקדים זה כבר נתן פירות באיתור פרצות אבטחה שעבורן כבר שוחררו תיקונים". כמוכן בולטת לעין הסיסמה "Secure by design" או בתרגם חופשי - התוכנות שלנו מאובטחות בגלל ההשקעה התיכנונית שלנו.
אז בואו נעשה 1+1: מייקרוסופט מאמינה שאבטחה ניתן להשיג רק על ידי תכנון נכון. בגלל שהקוד של חלונות ושאר מוצריה סגור ותכנונו עלוב, אזי יש וימשיכו להיות פרצות אבטחה כמו הנ"ל, וגם אלף מהנדסים לא יצליחו לסגור אותן.