Блин. Вот имею сертификат MSF (Microsoft Solution Framework"). Что это такое? Это технология разработки программного обеспечения, когда она замыкается в "кольцо" - "Продакт менеджер" - "Програм менеджер" - "кодер" - "тестировщик".
При этом, кольцо "Програм менеджер" - "кодер" - "тестировщик" формирует билд.
В этой технологии версионность - это от продакт-менеджера - "версия", программ-менеджер - кодер - тестер - субверсия, кодер - тестер под контролем програм-менеджера - билд. Типа 1.1.12.
Было изначально среднее звено, но его убрали, за ненадобностью. Кстати, билд в Майкрософт - это нечто. Долго рассказывать.
Суть не в этом.
Главное, что такую систему переняли почти все ведущие корпорации.
А теперь подумайте. Если на этапе "программ менеджер" - "кодер" - "тестер" "неожиданно" всплывает "дыра"?
Это дыра, которую не заметили (а я, как работавший в этой системе, могу точно сказать, такую "дыру" не пропустят просто так), либо сознательно оставили для будущих доработок?
Так вот, согласно MSF - все эти дыры, просто не могли быть до конца излечены на уровне текущего билда и были перенесены СОЗНАТЕЛЬНО на последующие билды.
Но это было в далёком 2002-м году.
Сейчас такие дыры однозначно известны разработчикам. И оставляют их только по причине невозможности завершить билд без выхода за "Deadline".
Они всегда строго задокументированы, оставлены для внесения исправлений.
Поэтому, надо понимать, что "дыры" будут всегда в системах, построенных на трёхэтапном варианте разработок.
А, зачастую, оставляют разработчикам класса программ-менеджера, если в систему включили ещё и "архитектора", специально оставить дыры, чтобы, поскольку известно, как их "залатать", сделать это обновлениями или новыми билдами.
Нет. Такие "дыры" случайно не возникают.
Они - нужны разработчику. При разработке систем с открытым исходным кодом - это одно. Но при проприетарном - это уже сознательное.
Так что, данный бэкдор от самого Микрософта был внедрён в 10-ку и 11-ю - ИЗНАЧАЛЬНО и ПЛАНОМЕРНО.
Этот бэкдор - именно для самой Микрософт. Чтобы "ловить" тех, кто использует "левую" версию.
Так что, лично для меня - ничего нового. Это мной предполагалось изначально - в системе есть уязвимости, но, поскольку они были выявлены не внешним тестированием, а внутренним (без анализа со стороны "помогающих хакеров"), значит, сам производитель ПО изначально знал об этом.
ЗЫ. Не подытожил. Смысл в том, что оставляется дыра, а вот для её излечения нужно обновление. А вот в этом обновлении - всё, что дополнительно нужно производителю ПО. Изначально инжектировать он это не мог, а вот в обновлении - может. А без обновления - останешься с "дырой".
Это сообщение отредактировал IR145 - 15.08.2023 - 00:11
yaplakal.com