Данная история произошла со мной несколько месяцев назад.
По историческим причинам один человек использовал для биллинга http://www.joomla-host.co.za/ (плагин биллинговый для joomla) с закрытым (правда достаточно просто зашифрованным ) кодом, доставшаяся от прежнего иностранного владельца.
На сервере начались периодические подборы паролей к админскому с первой попытки.
Администраторы обыскали все. Остался только закрытый биллинг. Меня попросили выполнить работы по его дешифровке.
Что оказалось: при очень хитро сформированном (с учетом номера лицензии и времени) запроса отдавались все управляющие логины и пароли.
Отсюда вопрос: доверяйте ли вы ПО с закрытым кодом?
Что заставило вернуться к вопросу: один не очень популярный биллинг при включении жесткого фаервола, стал писать в еррорлоги очень интересные вещи, проверили, оказалось, что ничего серьезного, просто проверка лицензии, но осадок есть.
Заранее спасибо.

Вечер добрый, ну раз уж вы приняли закрытый код. То Вам уж и ясно что продукт не свободен. И разработчик продукта отвечает за него головой, т.к Вы его заказали и используете. Я думаю, что стоит спросить у разработчика о действительном положении вещей.

Бумажный договор с правообладателем, с учетом всех возможных ситуаций спасет.

Если вы про биллменеджер - ISP легко высылает.

Информация может отсылаться в _сильно_ зашифрованном виде, тогда не будет понятно, что это за информация.
Правообладатель скажет - информация о лицензии, и не оспоришь, не вскрывая код, что лишает этой самой лицензии в большинстве случаев.
// нет, не продукты ISPsys

Как к существующим реалиям. Желающих работать за еду не много, а значит и качественных свободных продкутов в _специализированной_ среде ждать еще долго. Нужно просто использовать проверенные временем и отзывами продукты, и только после внутреннего тестирования.


p.s. По статистике - куда больше шансов, что пароль админа утащат трояном через пераццкий виндовс на локальной машине, чем через дырку в закрытом биллинге
p.p.s. А вот отсылать что-то куда-то без явного на то согласия пользователя, имхо, свинство.

не дырку, а дверь
Оно так и называется

Ну, я таки надеюсь, что бэкдор в биллинге - скорее исключение, чем правило.

[offtop]Именно по этой причине я не могу понять, почему windows так распространен в гос. учреждениях - там, где нужна полнейшая безопасность, используется закрытое американское ПО - ПО страны, с которой мы практически воюем.[/offtop]

А откуда был плагин? Разработчику-фрилансеру я бы не позволил шифровать код, в то время таким гигантам ПО, как jmbc, cpanel, ispsysrem, parallels я бы мог доверять практически безоговорочно.

Как правило, лицензионное соглашение практически любого ПО, как открытого, так и закрытого, как платного, так и бесплатного, содержит пункт о том, что разработчик поставляет это ПО "как есть" и не возмещает никакие возможные убытки, которые пользователь может понести в результате пользования ПО. Это во-первых.

Во-вторых, открытость ПО, на самом деле, ведь не дает оснований не бояться за него. Конечно, если это скрипт в 10 строк. Любая система - это огромное кол-во кода, и найти в нем ошибку может быть достаточно сложно. Да и должен ли этим вообще заниматься пользователь? Для этого есть разработчик, который и занимается исправлением ошибок. А самостоятельное вмешательство в код обычно является нарушением лицензии, и лишает например тех. поддержки, потому как неизвестно что и как вы там можете наисправлять.

В закрытом ПО - код закрыт для всех, а значит если ошибки и есть, то найти их труднее. В открытом - код открыт для всех, значит ошибки находятся оперативно и также оперативно устраняются. Таким образом, оба варианта обладают одинаковым уровнем "безопасности" (главное - это скорость реагирования разработчика на сообщения об ошибках), и страшно должно быть одинаково за любое ПО

Возвращаясь же конкретно к данной ситуации, первое, это конечно нужно постоянно следить за обновлениями, второе - запрос к разработчику, и если проект "живой", то такого уровня ошибки исправляются в кратчайшие сроки, в противном случае, видимо к сожалению, не повезло в выборе ПО и стоит серьезно задуматься о его смене.

хз откуда, но в то время на сайте был достаточно внушительный список их клиентов (штук 100) - ткнул случайные 10, оно стояло.
Просто дверь может быть не в самом биллинге, а в сторонних плагинах к нему.

про cpanel, ispsys - у них другая специфика, им не резон.
А вот разработчикам биллингов - резон есть.
Мне вот спам пришел, предлагали купить уведенные пароли. Причем, достаточно дорого около 1$/5сайтов.
Мин. заказ дост. большой. не помню точно, но >500$
Самый дешевый cpanel, дорогой plesk
Помножим на кол-во сайтов под каким-либо биллингом, имеем некоторую цифру.
Учитывая, что сайты можно не по по одному разу продать(да еще после смены паролей), вполне неплохая прибавка к прибылям от лицензий.

В лицензионном соглашении должно быть написана Privacy Policy.

Майкрософт без проблем делится исходниками той же винды с гос учреждениями. У них, собственно, даже программа на эту тему есть. И Россия, если не ошибаюсь, по этой программе одной из первых прошла. Гос учреждения условно делятся на обладающие ценной информацией и не обладающие. В первых, уверяю по личному опыту, и софт и железо на закладки проверяется весьма серьезно.

Учитывая то, что процессоры содержат в себе закладки которые в принципе отечественные технологии проверить не смогут, разговоры о сорцах винды выглядят детским лепетом...

Это есть в любой лицензии, однако описанный здесь случай относится не к области гражданского права, а к области уголовного ( неправомерный доступ к информации ), где на договор собственно чихать - вместо него есть УК и отвечать за ошибки/закладки придется. Ну разве что в лицензии, которую Вы подписали, есть пункт, что Вы оставляете за разработчиком право на беспрепятсвенный доступ ко всей информации, до которой его продукт может дотянуться. в ином случае н а территории России оставление такой закладки есть преступление точно.
P.S. совсем не юрист, максимум что приходилось делать - экспертные заключения.

Это начинает смахивать на рассуждения обывателей о всемогуществе спецслужб. В таких дискуссиях любят употреблять магическое слово СОРМ (а еще его зачастую латиницей пишут ) совершенно не понимая, что это и как работает а потому обожествляя.
Давайте сразу договоримся, я вообще ничего не понимаю в разработке микропроцессоров. Принципы их работы я знаю, но на уровне того самого обывателя. Именно из таких поверхностных познаний мне не очевидно, куда в процессор можно встроить закладку. Ошибку - без проблем. Но вот закладку (т.е. заставить совершить что-то при получении внешней команды) - не понимаю, особенно не понимаю, как закладка в процессоре может минуя софт уничтожить данные или слить информацию "наружу". Если расскажете, буду благодарен (кроме шуток).
В софте закладки понятны - от них частично спасает предоставление исходников + разделение компьютеров на содержащие секрентую информацию и на имеющие выход во внешний мир.
В железе тоже понятно - приходилось видеть и блоки питания и даже хитрые винтики (не в смысле винчестеры), крепящие не менее хитрые материнки к обычным корпусам. Но это технологии не всязанные с вычислительной техникой - это физика, а в ней у нас все нормально.

минуя софт никак. но зачем утрировать. не о том же человек говорил. была в свое время обнаружена уязвимость в процах интел позволяющая в режиме hyperthreading перехватывать содержание памяти и еще что то там. только кто знает уязвимость это была или заранее задуманная дверка ? конечно чтобы использовать ее нужен софт и этот софт дожен быть запущен на том сервере однако обнаружить его не так уж и просто особенно если он зашит куда нибудь в 10к строк кода. достаточно много существует областей применения серверов где "паранойя" ей богу нисколько не мешает.

Ага. Вот этого я не знал Спасибо за информацию.

А я понимаю. Достаточно выполнить определенный набор команд, которые ничего незначат по-отдельности и можно выйти в ring0, потом обновить микрокод и получить полный контроль над системой
Про такую элементарщину как подвешиване процессора вне ring0 или доступ через trust exec я вообще молчу

esupport dep на что?
кстати возможно взломать и через память, пароли в основном в памяти и хранятся, память порядка 15 минут сохраняет "тень" информации.

А я знаю на что? Я пишу за факты которые были продемонстрированы достаточно давно в широком кругу одной неоднозначной личность.

Про взлом за память - так это старый трюк, когда старались выбить в корку какой-то бинарник, в надежде что там будут заветные хеши. Нейтрализуется нормальным ядром ОС (который нулит освободившуюся память).