Ушел разработчик

Общие вопросы по защите программного обеспечения

Опасаетесь ли Вы подобной ситуации?

Да
2
40%
Не сильно
1
20%
Нет вообще
2
40%
 
Всего голосов : 5

Ушел разработчик

Сообщение Евгений » Чт, 05 июл 2007 18:09

Недавно столкнулись с довольно щекотливой ситуацией, когда у нашего клиента произошла утечка внутренних средст защиты ПО.

Прилагаю письмо, в котором описана ситуация.
--------------
Утечка произошла банально. Один из наших сотрудников осуществлял своего рода контроль над рабзработкой ПО и имел значительное влияние на руководство. По его инициативе был приглашен сторонний человек, которому было передано все необходимое для генерации дистрибутивов. Я возражал и предупреждал о потенциальной опасности такого решения.

Недавно деректора поругались и этот сотрудник ушел из компании с одним из директоров. Соответственно его человек стал нам не подконтрлен.
-----------------

Предлагаю обсудить политику информационной безопасности внутри компании, возможные решения для данного случая, и методы построения защиты, способные исключить подобные ситуации.
Seculab co-founder
Евгений
 
Сообщения: 23
Зарегистрирован: Ср, 11 апр 2007 16:51

Сообщение mig_morozov » Пт, 07 сен 2007 13:11

если ушел разработчик защиты , и есть вероятность, что унес исходники и коды защиты - то выход один - все менять. У нас просто разработкой занимается человек которому уходить не стоит.
mig_morozov
 
Сообщения: 27
Зарегистрирован: Пт, 07 сен 2007 12:54

Сообщение Lithium™ » Чт, 10 июл 2008 15:20

mig_morozov писал(а):если ушел разработчик защиты , и есть вероятность, что унес исходники и коды защиты - то выход один - все менять. У нас просто разработкой занимается человек которому уходить не стоит.


"все менять" придется по-любому и будет эффективно только для новых версий.
Более ранние версии программы разработчик защиты может снять защиту или не снимать, продавая самостоятельно.
Такую работу, как защита ПО следует поручать не только знающим свое дело, но и морально устойчивым и надежным людям, подписывают соответствующие документы о нераспространении коммерческиой тайны, т.п. Как правило этим принебрегают или не задумываются, на первом месте у всех стоит лишь надежность защиты от хакеров :). К сожалению.
Слова "не надо нервничать" хорошо помогают привести человека в нормальное состояние бешенства.
Lithium™
 
Сообщения: 22
Зарегистрирован: Чт, 10 июл 2008 09:00
Откуда: RND

Сообщение Евгений » Пт, 11 июл 2008 17:25

Мы максимально оградили наших клиентов от подобной ситуации в системе лицензирования. При ее внедрении создается мастер-ключ, без которого невозможно создавать лицензии и модули обновления. Даже если разработчик уходит, он не сможет выпускать лицензии, конечно, если не украдет мастер-ключ, но тут уже можно говорить о возбуждении уголовного дела.
Естественно, при выходе новой версии все возвращается в норму.
Seculab co-founder
Евгений
 
Сообщения: 23
Зарегистрирован: Ср, 11 апр 2007 16:51

Сообщение Lithium™ » Пн, 14 июл 2008 08:54

Евгений писал(а):При ее внедрении создается мастер-ключ, без которого невозможно создавать лицензии и модули обновления. Даже если разработчик уходит, он не сможет выпускать лицензии, конечно, если не украдет мастер-ключ


Я наверно что-то не понял что-такое мастер-ключ и кто его делает... В моем понимании уходит разработчик защиты, который сделал её всю, в том числе и мастер ключ. Зачем ему что-то красть? У разработчика защиты есть всё: исходники, копии софта, клоны железа, документация...
Слова "не надо нервничать" хорошо помогают привести человека в нормальное состояние бешенства.
Lithium™
 
Сообщения: 22
Зарегистрирован: Чт, 10 июл 2008 09:00
Откуда: RND

Сообщение Евгений » Пн, 14 июл 2008 09:28

Уважаемый Lithium,

Не совсем так. Например, мы, когда выступаем в роли разработчиков защиты, всегда оставляем возможность выбрать ключ нашему клиенту. Грубо говоря, мы знаем, что и как работает, но не можем взломать то что делаем сами, так как у нас нет ключевой информации.

Так и в случае разработки защиты в организации, ключевую информацию (файл) должен создавать управляющий компании, а затем с ее помощью создавать закрытое хранилище этой информации, в данном случае в ключе SenseLock и пердавать разработчикам.
Seculab co-founder
Евгений
 
Сообщения: 23
Зарегистрирован: Ср, 11 апр 2007 16:51

Сообщение Lithium™ » Пн, 14 июл 2008 12:35

Ещё одно мнение по топику.
Как правило, разработчики имеют доступ хотя бы на чтение ко всем незащищенным исходникам своим и других разработчиков, в общем ко "всему для генерации дистрибутивов". Это нужно для отладки, как минимум.
Вопрос 1: Чем тогда отличается разработчик защиты от другого разработчика фирмы?
Вопрос 2: Поможет ли хоть десяток мастер-ключей при этом?

Вопросы риторические.

В на нашей фирме пару лет назад был случай, когда ушел один из ведущих разработчиков, прихватив с собой все наработки свои и чужие. Самостоятельно продолжил разработку, сделал свою защиту, а на свой сайт выложил программный продукт на продажу.

Пока разработчик не подпишет документов, юридически запрещающих ему такие дела, что тут поделаешь? Тоже риторический вопрос... А если документы есть - то уголовное дело можно возбуждать, не дожидаясь кражи мастер-ключа, исходников или ещё чего-то там. В случае нарушения положений документов, разумеется.
Слова "не надо нервничать" хорошо помогают привести человека в нормальное состояние бешенства.
Lithium™
 
Сообщения: 22
Зарегистрирован: Чт, 10 июл 2008 09:00
Откуда: RND

Сообщение Евгений » Вт, 15 июл 2008 22:01

Да, тут наиболее эффективны административные меры к сожалению. Но, всеже, про технические моменты забывать тоже не стоит.
Seculab co-founder
Евгений
 
Сообщения: 23
Зарегистрирован: Ср, 11 апр 2007 16:51


Вернуться в Защита программного обеспечения

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron