forum.opennet.ru - "Pwnie Awards 2023: наиболее существенные уязвимости и провалы в безопасности" (42)

"Pwnie Awards 2023: наиболее существенные уязвимости и провалы в безопасности"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Pwnie Awards 2023: наиболее существенные уязвимости и провалы в безопасности"	+/–
Сообщение от opennews (??), 16-Авг-23, 23:46
На конференции Black Hat USA 2023 объявлены победители ежегодной премии Pwnie Awards 2023, выделяющей наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара и Золотой малины в области компьютерной безопасности... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59577
Ответить \| Правка \| Cообщить модератору

Оглавление

Посмотрел награды за 2021-ый год, а там почему-то нет Log4Shell а Почему , Аноним (1), 23:46 , 16-Авг-23, (1) –4

Потому что он был в 2022 , Абра (?), 02:57 , 17-Авг-23, (6) +5

Кажется NIST и Katholieke Universiteit Leuven заслужили за взлом того же SIKE на, Аноним (3), 00:46 , 17-Авг-23, (3) +1
Посоветуйте ресурсов по безу С меня тонна нефти , Аноним (4), 01:40 , 17-Авг-23, (4) –1

https spb postupi online vuz universitet-itmo specialnost 10 03 01 Там сразу н, 1 (??), 09:50 , 17-Авг-23, (17)

такое ощущение, что сегодня первое апреля, Аноним (10), 06:32 , 17-Авг-23, (10) +3

Такое ощущение что ты считаешь что все эти штуки про безопасность не больше чем , Аноним (11), 07:40 , 17-Авг-23, (11) +1

ток непонятно зачем на ридере светодиод смотри вот я читаю ключик, еще и диплей, Sw00p aka Jerom (?), 09:30 , 17-Авг-23, (15)
Что вы несёте Вопрос в том насколько запись на камеру сведиода усб хаба который , Аноньимъ (ok), 03:37 , 19-Авг-23, (43)

Зато вирусов нет , Анонит (?), 08:13 , 17-Авг-23, (13)

Всегда такое было и вот опять, Анонимик (?), 00:12 , 18-Авг-23, (31)

Скажите, это, стало быть, любую стенку можно так убрать Вашему USB-контроллеру, Аноним (14), 08:56 , 17-Авг-23, (14)
Всегда было интересно, что в головах этих людей это ж надо придумать такую посл, Аноним (16), 09:33 , 17-Авг-23, (16) +1

Оно везде примерно одинаково работает Что в безопасности, что в кодгольфе Да, Аноним (14), 10:54 , 17-Авг-23, (18)

Антивирус, который запускает вирусы, ммм , Пряник (?), 11:20 , 17-Авг-23, (19) +1

Его делает та же Cisco, у которой сетевые железки запускают на исполнение содерж, Аноним (20), 11:39 , 17-Авг-23, (20) +1

А это не баг, а фича , Минона (ok), 12:41 , 17-Авг-23, (21) +4

Софта на расте среди номинантов нет , Минона (ok), 12:43 , 17-Авг-23, (22) –1

Неа И гошка, и растишка - позор для индустрии удалённого исполнения кода , Аноним (20), 13:41 , 17-Авг-23, (23)

Но, наверное, и они могут блеснуть на этом поприще, в том месте, где им приходит, Аноним (25), 14:07 , 17-Авг-23, (25) +1

Ещё не стоит забывать, что понемногу ряды разрабов на безопасных языках пополняю, Аноним (20), 18:03 , 17-Авг-23, (27)

Слушай, если кто-то пишет свою реализацию алгоритма, это обязательно наколеночн, Аноним (-), 18:58 , 17-Авг-23, (28)

Если алгоритм криптографический - с вероятностью 99 да, потому что максимум 1 , Аноним (20), 20:09 , 17-Авг-23, (29)

Ты путаешь разработку алгоритма математиком и реализацию алгоритма программистом, Минона (ok), 21:40 , 17-Авг-23, (30)

Много вы знаете алгоритмов, в которых штатно предусмотрено переполнение буфера А, Аноним (20), 18:29 , 18-Авг-23, (36)

В любой реализации алгоритма не предусматривающей проверку выхода за границы буф, Минона (ok), 07:28 , 19-Авг-23, (45)

Если среднего пошиба апликушник напишет реализацию общеизвестного алгоритма, в н, Аноним (-), 22:07 , 18-Авг-23, (39)

С этим ничего не поделать, в стране деградация образования ЗЫ Напиши реализацию , Минона (ok), 07:09 , 19-Авг-23, (44)

Вот это да, вот это уровень инжиниринга Победа заслуженная , Tron is Whistling (?), 14:00 , 17-Авг-23, (24)

Ничего плохого в этом нет Наоборот, Apple задала стандарт открытости, до которо, Аноним (26), 16:59 , 17-Авг-23, (26) –1

Apple Открытость Открытость Apple Ну не читаются эти два слова рядом Никак , Tron is Whistling (?), 07:45 , 18-Авг-23, (32) –1

https opensource apple com Kubernetes, Swift, WebKit, etc , Аноним (34), 09:53 , 18-Авг-23, (34) –1

Ненужно, ненужно, ненужно, etc , Tron is Whistling (?), 10:55 , 18-Авг-23, (35) –1

А вы случайно этот комментарий отправили не из браузера на основе webkit , Аноним (20), 18:31 , 18-Авг-23, (37)

Внезапно нет , Tron is Whistling (?), 23:12 , 18-Авг-23, (40)
На вёбките сегодня реально только сафари У хромого блинк, который, кхм, хоть и , Tron is Whistling (?), 23:17 , 18-Авг-23, (41)

s блинк блин s форком комом , Tron is Whistling (?), 23:18 , 18-Авг-23, (42)
Ну ты ври, но не завирайся , soarin (ok), 05:28 , 20-Авг-23, (46) +1

Чего не нравится Там от вебкита только рендер, да и тот перепаханный уже напрочь, Tron is Whistling (?), 10:58 , 20-Авг-23, (47)

Всё это вендор лок, Аноним (48), 08:14 , 26-Авг-23, (48)

Это из области анекдота, Neon (??), 09:13 , 18-Авг-23, (33) +1

Вообще, про открытую Apple дыру как эталон открытости - звучало как очень едкий , Аноним (20), 18:35 , 18-Авг-23, (38) +1

Сообщения [Сортировка по времени | RSS]

1. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." –4 +/–

Сообщение от Аноним (1), 16-Авг-23, 23:46

Посмотрел награды за 2021-ый год, а там почему-то нет Log4Shell'а. Почему?

Ответить | Правка | Наверх | Cообщить модератору

6. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +5 +/–

Сообщение от Абра (?), 17-Авг-23, 02:57

Потому что он был в 2022?

Ответить | Правка | Наверх | Cообщить модератору

3. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +1 +/–

Сообщение от Аноним (3), 17-Авг-23, 00:46

>Most Epic FAIL
>Лучшая криптографическая атака
Кажется NIST и Katholieke Universiteit Leuven заслужили за взлом того же SIKE на классическом компьютере без всяких сторонних каналов.

Ответить | Правка | Наверх | Cообщить модератору

4. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." –1 +/–

Сообщение от Аноним (4), 17-Авг-23, 01:40

Посоветуйте ресурсов по безу. С меня тонна нефти!

Ответить | Правка | Наверх | Cообщить модератору

17. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +/–

Сообщение от 1 (??), 17-Авг-23, 09:50

https://spb.postupi.online/vuz/universitet-itmo/specialnost/.../
Там сразу нефть и скачают.

Ответить | Правка | Наверх | Cообщить модератору

10. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +3 +/–

Сообщение от Аноним (10), 17-Авг-23, 06:32

>  восстановить значения ключей шифрования на базе алгоритмов ECDSA и SIKE через анализ видео с камеры, снимающей светодиодный индикатор ридера смарт-карт или устройства, подключённого к одному USB-хабу со смартфоном, производящим операции с ключом
такое ощущение, что сегодня первое апреля

Ответить | Правка | Наверх | Cообщить модератору

11. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +1 +/–

Сообщение от Аноним (11), 17-Авг-23, 07:40

Такое ощущение что ты считаешь что все эти штуки про безопасность не больше чем паранойя и выдумки Рен-тв.

Ответить | Правка | Наверх | Cообщить модератору

15. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +/–

Сообщение от Sw00p aka Jerom (?), 17-Авг-23, 09:30

ток непонятно зачем на ридере светодиод? смотри вот я читаю ключик, еще и диплей прикрутили бы и было бы, вот он и ключик :)
пс: ждем на блекхет 1500, чмтаем ключик с дисплея ридера с помощью нокии лежащей в кармане:)

Ответить | Правка | Наверх | Cообщить модератору

43. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +/–

Сообщение от Аноньимъ (ok), 19-Авг-23, 03:37

Что вы несёте?
Вопрос в том насколько запись на камеру сведиода усб хаба который неизвестно зачем вставили между смартфоном и ключом как-то не очень соответствует
>наиболее значимых брешей в реальных системах, протоколах и алгоритмах шифрования

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

13. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +/–

Сообщение от Анонит (?), 17-Авг-23, 08:13

Зато вирусов нет.%

Ответить | Правка | Наверх | Cообщить модератору

31. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +/–

Сообщение от Анонимик (?), 18-Авг-23, 00:12

Всегда такое было и вот опять

Ответить | Правка | Наверх | Cообщить модератору

14. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +/–

Сообщение от Аноним (14), 17-Авг-23, 08:56

Скажите, это, стало быть, любую стенку можно так убрать? Вашему USB-контроллеру цены нет, гражданин интеллигент!
— Никогда ещё свидетелем не приходилось быть!
— Скажите, и в магазине можно так же стенку приподнять? Ах, какой увлекательный опыт!

Ответить | Правка | Наверх | Cообщить модератору

16. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +1 +/–

Сообщение от Аноним (16), 17-Авг-23, 09:33

>метод атак по сторонним каналам, позволяющий удалённо восстановить значения ключей шифрования на базе алгоритмов ECDSA и SIKE через анализ видео с камеры, снимающей светодиодный индикатор ридера смарт-карт или устройства, подключённого к одному USB-хабу со смартфоном, производящим операции с ключом
Всегда было интересно, что в головах этих людей: это ж надо придумать такую последовательность всего этого... Уму не постижимо! Ну, то есть, я восхищаюсь такими ребятами на самом деле, без сарказма и прочего.

Ответить | Правка | Наверх | Cообщить модератору

18. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +/–

Сообщение от Аноним (14), 17-Авг-23, 10:54

Оно везде примерно одинаково работает. Что в безопасности, что в кодгольфе... Да даже скоростные прохождения игор можно посмотреть и станет понятно, что если что-то долго шатать - оно скорей всего упадёт.

Ответить | Правка | Наверх | Cообщить модератору

19. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +1 +/–

Сообщение от Пряник (?), 17-Авг-23, 11:20

Антивирус, который запускает вирусы, ммм...

Ответить | Правка | Наверх | Cообщить модератору

20. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +1 +/–

Сообщение от Аноним (20), 17-Авг-23, 11:39

Его делает та же Cisco, у которой сетевые железки запускают на исполнение содержимое ICMP-пакетов.

Ответить | Правка | Наверх | Cообщить модератору

21. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +4 +/–

Сообщение от Минона (ok), 17-Авг-23, 12:41

А это не баг, а фича =)

Ответить | Правка | Наверх | Cообщить модератору

22. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." –1 +/–

Сообщение от Минона (ok), 17-Авг-23, 12:43

Софта на расте среди номинантов нет?

Ответить | Правка | Наверх | Cообщить модератору

23. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +/–

Сообщение от Аноним (20), 17-Авг-23, 13:41

Неа. И гошка, и растишка - позор для индустрии удалённого исполнения кода.

Ответить | Правка | Наверх | Cообщить модератору

25. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +1 +/–

Сообщение от Аноним (25), 17-Авг-23, 14:07

Но, наверное, и они могут блеснуть на этом поприще, в том месте, где им приходится часто и густо взаимодействовать с сишными/плюсовыми библиотеками. И каждый такой случай будет праздничком, да что там, Карнавалом для некоторых местных "икспертов".

Ответить | Правка | Наверх | Cообщить модератору

27. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +/–

Сообщение от Аноним (20), 17-Авг-23, 18:03

Ещё не стоит забывать, что понемногу ряды разрабов на безопасных языках пополняются бывшими сишниками, которые тащат свои сишные паттерны, и далеко не ото всех встроенная защита поможет (отсутствие валидации входящих данных, условия гонки, наколеночные небезопасные реализации криптоалгоритмов и т.д.)

Ответить | Правка | Наверх | Cообщить модератору

28. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +/–

Сообщение от Аноним (-), 17-Авг-23, 18:58

Слушай, если кто-то пишет свою реализацию алгоритма, это обязательно "наколеночные небезопасные реализации"?

Ответить | Правка | Наверх | Cообщить модератору

29. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +/–

Сообщение от Аноним (20), 17-Авг-23, 20:09

> Слушай, если кто-то пишет свою реализацию алгоритма, это обязательно "наколеночные небезопасные  реализации"?
Если алгоритм криптографический - с вероятностью 99% да, потому что максимум 1% разработчиков имеют достаточные профильные скилы в математике и криптографии, чтобы получить действительно криптостойкий алгоритм.

Ответить | Правка | Наверх | Cообщить модератору

30. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +/–

Сообщение от Минона (ok), 17-Авг-23, 21:40

>> Слушай, если кто-то пишет свою реализацию алгоритма, это обязательно "наколеночные небезопасные  реализации"?
> Если алгоритм криптографический - с вероятностью 99% да, потому что максимум 1%
> разработчиков имеют достаточные профильные скилы в математике и криптографии, чтобы получить
> действительно криптостойкий алгоритм.
Ты путаешь разработку алгоритма математиком и реализацию алгоритма программистом.

Ответить | Правка | Наверх | Cообщить модератору

36. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +/–

Сообщение от Аноним (20), 18-Авг-23, 18:29

> Ты путаешь разработку алгоритма математиком и реализацию алгоритма программистом.
Много вы знаете алгоритмов, в которых штатно предусмотрено переполнение буфера?
А вот в сишных реализациях этих алгоритмов, как мы знаем из новостей, оно встречается регулярно.
То есть, алгоритм, реализованный в конкретной программе Ъ сишником, далеко не всегда соответствует эталонному алгоритму, разработанному более умными дядьками.

Ответить | Правка | Наверх | Cообщить модератору

45. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +/–

Сообщение от Минона (ok), 19-Авг-23, 07:28

>> Ты путаешь разработку алгоритма математиком и реализацию алгоритма программистом.
> Много вы знаете алгоритмов, в которых штатно предусмотрено переполнение буфера?
В любой реализации алгоритма не предусматривающей проверку выхода за границы буфера.
> То есть, алгоритм, реализованный в конкретной программе Ъ сишником, далеко не всегда
> соответствует эталонному алгоритму, разработанному более умными дядьками.
Нет эталонного алгоритма, есть эталонная реализация алгоритма на конкретном ЯП.
И её обычно пишут математически корректной с точки зрения алгоритма, а не побочных эффектов реализации на конкретном ЯП.

Ответить | Правка | Наверх | Cообщить модератору

39. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +/–

Сообщение от Аноним (-), 18-Авг-23, 22:07

> Ты путаешь разработку алгоритма математиком и реализацию алгоритма программистом.
Если среднего пошиба апликушник напишет реализацию общеизвестного алгоритма, в нем будет чуть менее 9000 вулнов, утечек данных и прочих приколов.

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

44. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +/–

Сообщение от Минона (ok), 19-Авг-23, 07:09

>> Ты путаешь разработку алгоритма математиком и реализацию алгоритма программистом.
> Если среднего пошиба апликушник напишет реализацию общеизвестного алгоритма, в нем будет
> чуть менее 9000 вулнов, утечек данных и прочих приколов.
С этим ничего не поделать, в стране деградация образования.
ЗЫ:
Напиши реализацию алгоритма Решето Эратосфена так чтобы получилось "чуть менее 9000 вулнов, утечек данных и прочих приколов" =)

Ответить | Правка | Наверх | Cообщить модератору

24. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +/–

Сообщение от Tron is Whistling (?), 17-Авг-23, 14:00

> возможность использования разъёма Apple Lightning для доступа к отладочному JTAG-интерфейсу iPhone
Вот это да, вот это уровень инжиниринга. Победа заслуженная.

Ответить | Правка | Наверх | Cообщить модератору

26. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." –1 +/–

Сообщение от Аноним (26), 17-Авг-23, 16:59

Ничего плохого в этом нет. Наоборот, Apple задала стандарт открытости, до которого Гуглагу топать и топать.

Ответить | Правка | Наверх | Cообщить модератору

32. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." –1 +/–

Сообщение от Tron is Whistling (?), 18-Авг-23, 07:45

Apple. Открытость. Открытость. Apple.
Ну не читаются эти два слова рядом. Никак. От слова "совсем".

Ответить | Правка | Наверх | Cообщить модератору

34. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." –1 +/–

Сообщение от Аноним (34), 18-Авг-23, 09:53

https://opensource.apple.com/
Kubernetes, Swift, WebKit, etc.

Ответить | Правка | Наверх | Cообщить модератору

35. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." –1 +/–

Сообщение от Tron is Whistling (?), 18-Авг-23, 10:55

Ненужно, ненужно, ненужно, etc.

Ответить | Правка | Наверх | Cообщить модератору

37. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +/–

Сообщение от Аноним (20), 18-Авг-23, 18:31

А вы случайно этот комментарий отправили не из браузера на основе webkit?

Ответить | Правка | Наверх | Cообщить модератору

40. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +/–

Сообщение от Tron is Whistling (?), 18-Авг-23, 23:12

Внезапно нет.

Ответить | Правка | Наверх | Cообщить модератору

41. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +/–

Сообщение от Tron is Whistling (?), 18-Авг-23, 23:17

На вёбките сегодня реально только сафари. У хромого блинк, который, кхм, хоть и был форком куска вебкита, но таки уже давно не вёбкит, и даже не около. У мазилы ящерка к вебкиту вообще отношения не имеет.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

42. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +/–

Сообщение от Tron is Whistling (?), 18-Авг-23, 23:18

s/блинк/блин/
s/форком/комом/

Ответить | Правка | Наверх | Cообщить модератору

46. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +1 +/–

Сообщение от soarin (ok), 20-Авг-23, 05:28

> и даже не около
Ну ты ври, но не завирайся.

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

47. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +/–

Сообщение от Tron is Whistling (?), 20-Авг-23, 10:58

Чего не нравится?
Там от вебкита только рендер, да и тот перепаханный уже напрочь.

Ответить | Правка | Наверх | Cообщить модератору

48. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +/–

Сообщение от Аноним (48), 26-Авг-23, 08:14

Всё это вендор лок

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

33. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +1 +/–

Сообщение от Neon (??), 18-Авг-23, 09:13

Это из области анекдота

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

38. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..." +1 +/–

Сообщение от Аноним (20), 18-Авг-23, 18:35

Вообще, про открытую Apple дыру как эталон открытости - звучало как очень едкий сарказм.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	–4 +/–
Сообщение от Аноним (1), 16-Авг-23, 23:46
Посмотрел награды за 2021-ый год, а там почему-то нет Log4Shell'а. Почему?
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+5 +/–
	Сообщение от Абра (?), 17-Авг-23, 02:57
	Потому что он был в 2022?
	Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+1 +/–
Сообщение от Аноним (3), 17-Авг-23, 00:46
>Most Epic FAIL >Лучшая криптографическая атака Кажется NIST и Katholieke Universiteit Leuven заслужили за взлом того же SIKE на классическом компьютере без всяких сторонних каналов.
Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	–1 +/–
Сообщение от Аноним (4), 17-Авг-23, 01:40
Посоветуйте ресурсов по безу. С меня тонна нефти!
Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+/–
	Сообщение от 1 (??), 17-Авг-23, 09:50
	https://spb.postupi.online/vuz/universitet-itmo/specialnost/.../ Там сразу нефть и скачают.
	Ответить \| Правка \| Наверх \| Cообщить модератору

10. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+3 +/–
Сообщение от Аноним (10), 17-Авг-23, 06:32
> восстановить значения ключей шифрования на базе алгоритмов ECDSA и SIKE через анализ видео с камеры, снимающей светодиодный индикатор ридера смарт-карт или устройства, подключённого к одному USB-хабу со смартфоном, производящим операции с ключом такое ощущение, что сегодня первое апреля
Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+1 +/–
	Сообщение от Аноним (11), 17-Авг-23, 07:40
	Такое ощущение что ты считаешь что все эти штуки про безопасность не больше чем паранойя и выдумки Рен-тв.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+/–
	Сообщение от Sw00p aka Jerom (?), 17-Авг-23, 09:30
	ток непонятно зачем на ридере светодиод? смотри вот я читаю ключик, еще и диплей прикрутили бы и было бы, вот он и ключик :) пс: ждем на блекхет 1500, чмтаем ключик с дисплея ридера с помощью нокии лежащей в кармане:)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+/–
	Сообщение от Аноньимъ (ok), 19-Авг-23, 03:37
	Что вы несёте? Вопрос в том насколько запись на камеру сведиода усб хаба который неизвестно зачем вставили между смартфоном и ключом как-то не очень соответствует >наиболее значимых брешей в реальных системах, протоколах и алгоритмах шифрования
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору

13. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+/–
Сообщение от Анонит (?), 17-Авг-23, 08:13
Зато вирусов нет.%
Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+/–
	Сообщение от Анонимик (?), 18-Авг-23, 00:12
	Всегда такое было и вот опять
	Ответить \| Правка \| Наверх \| Cообщить модератору

14. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+/–
Сообщение от Аноним (14), 17-Авг-23, 08:56
Скажите, это, стало быть, любую стенку можно так убрать? Вашему USB-контроллеру цены нет, гражданин интеллигент! — Никогда ещё свидетелем не приходилось быть! — Скажите, и в магазине можно так же стенку приподнять? Ах, какой увлекательный опыт!
Ответить \| Правка \| Наверх \| Cообщить модератору

16. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+1 +/–
Сообщение от Аноним (16), 17-Авг-23, 09:33
>метод атак по сторонним каналам, позволяющий удалённо восстановить значения ключей шифрования на базе алгоритмов ECDSA и SIKE через анализ видео с камеры, снимающей светодиодный индикатор ридера смарт-карт или устройства, подключённого к одному USB-хабу со смартфоном, производящим операции с ключом Всегда было интересно, что в головах этих людей: это ж надо придумать такую последовательность всего этого... Уму не постижимо! Ну, то есть, я восхищаюсь такими ребятами на самом деле, без сарказма и прочего.
Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+/–
	Сообщение от Аноним (14), 17-Авг-23, 10:54
	Оно везде примерно одинаково работает. Что в безопасности, что в кодгольфе... Да даже скоростные прохождения игор можно посмотреть и станет понятно, что если что-то долго шатать - оно скорей всего упадёт.
	Ответить \| Правка \| Наверх \| Cообщить модератору

19. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+1 +/–
Сообщение от Пряник (?), 17-Авг-23, 11:20
Антивирус, который запускает вирусы, ммм...
Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+1 +/–
	Сообщение от Аноним (20), 17-Авг-23, 11:39
	Его делает та же Cisco, у которой сетевые железки запускают на исполнение содержимое ICMP-пакетов.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+4 +/–
	Сообщение от Минона (ok), 17-Авг-23, 12:41
	А это не баг, а фича =)
	Ответить \| Правка \| Наверх \| Cообщить модератору

22. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	–1 +/–
Сообщение от Минона (ok), 17-Авг-23, 12:43
Софта на расте среди номинантов нет?
Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+/–
	Сообщение от Аноним (20), 17-Авг-23, 13:41
	Неа. И гошка, и растишка - позор для индустрии удалённого исполнения кода.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+1 +/–
	Сообщение от Аноним (25), 17-Авг-23, 14:07
	Но, наверное, и они могут блеснуть на этом поприще, в том месте, где им приходится часто и густо взаимодействовать с сишными/плюсовыми библиотеками. И каждый такой случай будет праздничком, да что там, Карнавалом для некоторых местных "икспертов".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+/–
	Сообщение от Аноним (20), 17-Авг-23, 18:03
	Ещё не стоит забывать, что понемногу ряды разрабов на безопасных языках пополняются бывшими сишниками, которые тащат свои сишные паттерны, и далеко не ото всех встроенная защита поможет (отсутствие валидации входящих данных, условия гонки, наколеночные небезопасные реализации криптоалгоритмов и т.д.)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+/–
	Сообщение от Аноним (-), 17-Авг-23, 18:58
	Слушай, если кто-то пишет свою реализацию алгоритма, это обязательно "наколеночные небезопасные реализации"?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+/–
	Сообщение от Аноним (20), 17-Авг-23, 20:09
	> Слушай, если кто-то пишет свою реализацию алгоритма, это обязательно "наколеночные небезопасные реализации"? Если алгоритм криптографический - с вероятностью 99% да, потому что максимум 1% разработчиков имеют достаточные профильные скилы в математике и криптографии, чтобы получить действительно криптостойкий алгоритм.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+/–
	Сообщение от Минона (ok), 17-Авг-23, 21:40
	>> Слушай, если кто-то пишет свою реализацию алгоритма, это обязательно "наколеночные небезопасные реализации"? > Если алгоритм криптографический - с вероятностью 99% да, потому что максимум 1% > разработчиков имеют достаточные профильные скилы в математике и криптографии, чтобы получить > действительно криптостойкий алгоритм. Ты путаешь разработку алгоритма математиком и реализацию алгоритма программистом.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+/–
	Сообщение от Аноним (20), 18-Авг-23, 18:29
	> Ты путаешь разработку алгоритма математиком и реализацию алгоритма программистом. Много вы знаете алгоритмов, в которых штатно предусмотрено переполнение буфера? А вот в сишных реализациях этих алгоритмов, как мы знаем из новостей, оно встречается регулярно. То есть, алгоритм, реализованный в конкретной программе Ъ сишником, далеко не всегда соответствует эталонному алгоритму, разработанному более умными дядьками.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+/–
	Сообщение от Минона (ok), 19-Авг-23, 07:28
	>> Ты путаешь разработку алгоритма математиком и реализацию алгоритма программистом. > Много вы знаете алгоритмов, в которых штатно предусмотрено переполнение буфера? В любой реализации алгоритма не предусматривающей проверку выхода за границы буфера. > То есть, алгоритм, реализованный в конкретной программе Ъ сишником, далеко не всегда > соответствует эталонному алгоритму, разработанному более умными дядьками. Нет эталонного алгоритма, есть эталонная реализация алгоритма на конкретном ЯП. И её обычно пишут математически корректной с точки зрения алгоритма, а не побочных эффектов реализации на конкретном ЯП.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+/–
	Сообщение от Аноним (-), 18-Авг-23, 22:07
	> Ты путаешь разработку алгоритма математиком и реализацию алгоритма программистом. Если среднего пошиба апликушник напишет реализацию общеизвестного алгоритма, в нем будет чуть менее 9000 вулнов, утечек данных и прочих приколов.
	Ответить \| Правка \| К родителю #30 \| Наверх \| Cообщить модератору


	44. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+/–
	Сообщение от Минона (ok), 19-Авг-23, 07:09
	>> Ты путаешь разработку алгоритма математиком и реализацию алгоритма программистом. > Если среднего пошиба апликушник напишет реализацию общеизвестного алгоритма, в нем будет > чуть менее 9000 вулнов, утечек данных и прочих приколов. С этим ничего не поделать, в стране деградация образования. ЗЫ: Напиши реализацию алгоритма Решето Эратосфена так чтобы получилось "чуть менее 9000 вулнов, утечек данных и прочих приколов" =)
	Ответить \| Правка \| Наверх \| Cообщить модератору

24. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	+/–
Сообщение от Tron is Whistling (?), 17-Авг-23, 14:00
> возможность использования разъёма Apple Lightning для доступа к отладочному JTAG-интерфейсу iPhone Вот это да, вот это уровень инжиниринга. Победа заслуженная.
Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."	–1 +/–
	Сообщение от Аноним (26), 17-Авг-23, 16:59
	Ничего плохого в этом нет. Наоборот, Apple задала стандарт открытости, до которого Гуглагу топать и топать.
	Ответить \| Правка \| Наверх \| Cообщить модератору