forum.opennet.ru - "Google проанализировал уязвимости, в 2023 году задействованные для совершения атак" (63)

"Google проанализировал уязвимости, в 2023 году задействованные для совершения атак"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Google проанализировал уязвимости, в 2023 году задействованные для совершения атак"	+/–
Сообщение от opennews (?), 17-Окт-24, 10:22
Компания Google опубликовала отчёт с результатами анализа 138 уязвимостей, которые были выявлены в 2023 году и применялись злоумышленниками в эксплоитах для осуществления атак. Для 70% (97 из 138) из рассмотренных уязвимостей эксплоиты появились раньше, чем были предложены исправления в уязвимом ПО (0-day). В 30% (41 из 138) случаев первый факт эксплуатации уязвимости выявлен уже после публикации исправлений (n-day). В отчёте за 2021-2022 годы доля n-day уязвимостей составляла 38%, а за 2020 год - 39%... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62065
Ответить \| Правка \| Cообщить модератору

Оглавление

Какой вывод можно сделать Что лучше вообще не добавлять уязвимости, чем пытаться, Аноним (34), 12:23 , 17-Окт-24, (34) +4

Вывод только один растисты и прочие фонатики безопасности не умеют считать пото, Ivan_83 (ok), 13:18 , 17-Окт-24, (71) +5

Именно А еще затраты на QA, перепроверки и тд Ошибка ошибке рознь Когда можно по, Аноним (-), 13:40 , 17-Окт-24, (79) –2

Я думаю у 1 - того кто её нашёл, и что дальше Вы теоретик с фобиями Я ниже расп, Ivan_83 (ok), 13:59 , 17-Окт-24, (85) +2

Тебе черным по желтому написали в сети выявлен рабочий эксплоит, который уже пр, Аноним (-), 14:23 , 17-Окт-24, (86)

Ок, пусть будет 2 Вы просто маленький и не застали реальных массовых эпидемий, Ivan_83 (ok), 16:06 , 17-Окт-24, (91) +1

К сожаления я достаточно стар, чтобы помнить вирусню которая распространялась на, Аноним (-), 16:54 , 17-Окт-24, (97)

И чих был безобидным - я не видел ни одного компа который он окирпичил А я админ, Ivan_83 (ok), 18:31 , 17-Окт-24, (103)

То что в твоем универе повезло ничего не значит Ты сейчас несешь чушь в стиле я, Аноним (-), 19:06 , 17-Окт-24, (109)

Это не так У нас был антивирус и мы раз в 3 месяца пепреустанавливали венду пот, Ivan_83 (ok), 21:02 , 17-Окт-24, (114)

Послушай, дарагой Закрытый ключ TLS - это не только про сертификаты Х509 Это е, Аноним (87), 15:00 , 17-Окт-24, (87)

Так я вам говорю - бабло то где Хоть одна саксес стори есть про то как злые хаке, Ivan_83 (ok), 16:19 , 17-Окт-24, (94)

Мой жизненный опыт говорит, что люди, реально поднимающие бабло в даркнете, не т, Аноним (87), 22:07 , 17-Окт-24, (117)

Человек не может увязать с реальность свои галюны, я просто даю направление сле, Ivan_83 (ok), 23:21 , 17-Окт-24, (119)

Никаких затрат, если есть штат Если да кабы С правами пользователя Если браузер, Аноним (92), 16:15 , 17-Окт-24, (92)
Сколько этих затрат QA дело сборочной системы менеджера пакетов stricterHave po, Аноним (125), 09:15 , 18-Окт-24, (125)

Вот это ментальная гимнастика Моё почтение, любезный Ошибка в краудстрайк путё, Аноним (101), 17:06 , 17-Окт-24, (101) +2

дыры в безопасности - исключительно в головах исследователей и менеджеров чита, Ivan_83 (ok), 18:34 , 17-Окт-24, (104)
Иванушка - он такой Сначала они везде орут кто и где использовал это ваше миф, Аноним (118), 22:10 , 17-Окт-24, (118) +1

Так тут никто не удосужился показать хотя бы примерные реальные затраты на восст, Ivan_83 (ok), 23:25 , 17-Окт-24, (120) –2

Ваня, ты пишешь кучу бестолкового текста, но я так и не понял, что ты сказать-то, Аноним (127), 10:59 , 18-Окт-24, (127)

Что относится к ним надо как к обычным ошибкам а не как поводу срочно переписать, Аноним (134), 17:51 , 19-Окт-24, (134)

Злоумышленники становятся умнее и расторопнее, не ждут когда для них обнаружат и, Аноним (93), 16:15 , 17-Окт-24, (93)

Срочно зарегулировать отрасль и ввести потолок цен на эксплойты , Оно ним (?), 14:27 , 18-Окт-24, (129)

Что вебня всё ж загнётся И останутся пишущие код ИИ Остальный найдут другие за, Аноним (113), 20:56 , 17-Окт-24, (113)
1 Проактивная защита https www opennet ru openforum vsluhforumID3 129886 htm, Аноним (125), 08:56 , 18-Окт-24, (123)

А как они считали Там суммарно больше 100 Ну или новость так непонятно предос, Аноним (-), 12:26 , 17-Окт-24, (37)

Вы как складывали Все проценты, упомянутые в новости , Аноним55 (?), 12:55 , 17-Окт-24, (57)

да а вы как предложите свой способ складывания процентов 146 , Аноним (60), 13:06 , 17-Окт-24, (60) +1

Непонятно, где Вы 146 штук насчитали У меня только 9 вышло, в тексте новости, Аноним (113), 21:04 , 17-Окт-24, (115)

Они всё округлили в верхнюю сторону Twelve percent 5 of n-days were exploited , Аноним (61), 13:07 , 17-Окт-24, (61) +2
Так же как адепты бизпасной разработки пишут обноснования вот тут на нашем чудн, Ivan_83 (ok), 13:23 , 17-Окт-24, (74)

Прикинь, они в чем-то правы Критическая 0-day уязвимость в Chrome и libwebp, экс, Аноним (-), 13:43 , 17-Окт-24, (80) –1

Как хорошо что в большой разработке про раст никто даже не слышал , Аноним (83), 13:51 , 17-Окт-24, (83) +4
Вы как раз из тех у кого ущерб от ошибки колличество инсталляций где этот код , Ivan_83 (ok), 13:54 , 17-Окт-24, (84) +2

2 чая Я про картинку Вот если бы запихали вредоноса в favicon какого-нибу, 1 (??), 15:54 , 17-Окт-24, (89)

И на microsoft com ходит нынче полтора админа и три манагера Те опять ущерб ур, Ivan_83 (ok), 16:29 , 17-Окт-24, (95)

Самое смешное - все эти БЕЗОПАСТНЫЕ языки не уберегут от простого майнера в брау, Жироватт (ok), 16:55 , 17-Окт-24, (98) +2

А майнер какой тебе ущерб нанесет Комуналка за эл-во будет больше Ты не сравнив, Аноним (-), 17:00 , 17-Окт-24, (100) –1

Вы так говорите как будто это что то плохое С удовольствием так рутовал свои м, Ivan_83 (ok), 18:38 , 17-Окт-24, (105)

Дверь на замок ты дома тоже не закрываешь Ну типа напился и потерял ключи, а так, Аноним (-), 19:13 , 17-Окт-24, (110)

Дверь на замок - это архи смешно Большая часть замком открывается специалистом з, Ivan_83 (ok), 21:20 , 17-Окт-24, (116)

Ничего В огороде бузина, а в Киеве дядька Ущерб от ошибки пропорционален количе, Аноним (-), 07:03 , 18-Окт-24, (121)

НЕТ Ущерб оценивается сильно сложнее чем банальная зависимость от числа инсталля, Ivan_83 (ok), 18:24 , 18-Окт-24, (130)

Понятно Говорим о том, о чём вообще не слышали никогда, да Мама не била тебя п, Аноним (-), 06:30 , 21-Окт-24, (135)

Метасплойт молодцы быстро помогают хакерам с эскплойтами, Аноним (59), 13:04 , 17-Окт-24, (59)

Ну, иной вариант - как с опубликованными исходниками винампа обосрались Когд, Аноним (60), 13:08 , 17-Окт-24, (62)

Та всем пофиг на жпл Ну побухтит борода и что Там основная проблема, что они вы, Аноним (-), 13:09 , 17-Окт-24, (63)

По обеим проблемам будет работать одна и та же организация - суд , Аноним (113), 09:53 , 18-Окт-24, (126)

Не то чтобы сайт им помогает Хакеры сами стали быстрее кооперироваться и меньше, Аноним (83), 13:13 , 17-Окт-24, (65) +1

Муттасплойт это программа, Аноним (59), 13:16 , 17-Окт-24, (69) +1

Ну ок, в чем проблема выложить проприетарные исходники Кто то где то запретил эт, Аноним (60), 13:16 , 17-Окт-24, (68) +1

В том что за их охрану отвечают владельцы Которые зачастую активнее, чем аморф, Аноним (-), 13:18 , 17-Окт-24, (72)

Привет из нулевых Кто то еще использует вордпресс, да еще и с плагинами эти похо, Аноним (60), 13:13 , 17-Окт-24, (66) –1

а какие ещё есть способы сделать собственноручно свой магазин, прикрутить туда п, Аноним (88), 15:17 , 17-Окт-24, (88) +2

Да и в рф этого WooCommerce дофига Не на тильде же магаз делать, где каждый това, 1 (??), 15:56 , 17-Окт-24, (90)

Странно, исходя из заголовка, подумалось что гугл опубликовали факапы своего соф, Аноним (60), 13:21 , 17-Окт-24, (73) +1
Это благодаря ИИ , Аноним (111), 19:14 , 17-Окт-24, (111)
Внедрение ВУ ЯП спасёт от уязвимостей говорили они , Главные редакторы (?), 08:32 , 18-Окт-24, (122)
Вот оно волшебное слово GPL, анализируя выходящие патчи для софта, закрывающие , Сергей (??), 09:04 , 18-Окт-24, (124) +1

А где, в тексте новости было сказано про GPL , Аноним (-), 17:26 , 19-Окт-24, (133)

Гугл спонтанно решил посмотреть что там в ИБ неясна мотивация, Big Robert TheTables (?), 14:14 , 18-Окт-24, (128)
Молодцы, проанализировали чтобы знать куда вставлять , bOOster (ok), 06:31 , 21-Окт-24, (136)

Сообщения [Сортировка по ответам | RSS]

34. Сообщение от Аноним (34), 17-Окт-24, 12:23 +4 +/–

> Для 70% (97 из 138) из рассмотренных уязвимостей эксплоиты
> появились раньше, чем были предложены исправления в уязвимом ПО
Какой вывод можно сделать?
Что лучше вообще не добавлять уязвимости, чем пытаться быстренько все пофиксить на проде. Не получится.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #71, #93, #113, #123

37. Сообщение от Аноним (-), 17-Окт-24, 12:26 +/–

А как они считали? Там суммарно больше 100%. Ну или новость так непонятно предоставили.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #57, #61, #74

57. Сообщение от Аноним55 (?), 17-Окт-24, 12:55 +/–

Вы как складывали? Все проценты, упомянутые в новости?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #60

59. Сообщение от Аноним (59), 17-Окт-24, 13:04 +/–

Метасплойт молодцы быстро помогают хакерам с эскплойтами

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #62, #65, #68

60. Сообщение от Аноним (60), 17-Окт-24, 13:06 +1 +/–

да.
а вы как?
предложите свой способ складывания процентов! (146%)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #115

61. Сообщение от Аноним (61), 17-Окт-24, 13:07 +2 +/–

> А как они считали? Там суммарно больше 100%. Ну или новость так
> непонятно предоставили.
Они всё округлили в верхнюю сторону:
Twelve percent (5) of n-days were exploited within one day, 29% (12) were exploited within one week, and over half (56%) were exploited within one month. all but two (5%) n-days were exploited within six months.
12+29+56+5=102

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

62. Сообщение от Аноним (60), 17-Окт-24, 13:08 +/–

Ну, иной вариант - как с опубликованными исходниками винампа ("обосрались").
Когда в их проприетарном софте ВНЕЗАПНО нашли куски кода лицензированного под GPL.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #63

63. Сообщение от Аноним (-), 17-Окт-24, 13:09 +/–

> Ну, иной вариант - как с опубликованными исходниками винампа ("обосрались").
> Когда в их проприетарном софте ВНЕЗАПНО нашли куски кода лицензированного под GPL.
Та всем пофиг на жпл. Ну побухтит борода и что?
Там основная проблема, что они выложили проприетарные кода.
Именно за это репу и снесли.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #126

65. Сообщение от Аноним (83), 17-Окт-24, 13:13 +1 +/–

Не то чтобы сайт им помогает. Хакеры сами стали быстрее кооперироваться и меньше шкеритья. Поэтому исследователи тоже раньше рабочие эксплоиты находят и заносят в базу.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #69

66. Сообщение от Аноним (60), 17-Окт-24, 13:13 –1 +/–

>затрагивающие плагин WooCommerce Payments к WordPress
Привет из нулевых?
Кто то еще использует вордпресс, да еще и с плагинами?
>и Fortinet FortiOS.
эти походу вообще обосрались, ибо:
FortiOS — специализированная операционная система, разработанная компанией Fortinet и являющаяся основным средством управления для всех разрабатываемых компанией систем сетевой безопасности и защитных комплексов корпоративного уровня. Она обеспечивает комплексную безопасность на уровне сети, приложений и данных.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #88

68. Сообщение от Аноним (60), 17-Окт-24, 13:16 +1 +/–

Ну ок, в чем проблема выложить проприетарные исходники?
Кто то где то запретил это делать?
Вряд ли.
Снесли их, из-за потока троллинга творящегося в иссуе, потому что посоны опоздали с этим лет эдак на 20.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #72

69. Сообщение от Аноним (59), 17-Окт-24, 13:16 +1 +/–

Муттасплойт это программа

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

71. Сообщение от Ivan_83 (ok), 17-Окт-24, 13:18 +5 +/–

Вывод только один: растисты и прочие фонатики безопасности не умеют считать потому что не манагеры.
Уязвимость - разновидность деффекта ПО, читай бага.
Каждая такая бага имеет свою цену ущерба потенциального и реального, и цену исправления.
Как правило потенциальный ущерб оценивается в +бесконечность: миллиарды систем содержат ошибку. И фонатики с этим носятся как с концом света.
Реальный как правило весьма незначителен из за большой фрагментации экосистемы и прочих факторов которые митигируют возможность проявления/использования ошибки и её реальный ущерб.
Реальная ошибка принёсшая большой ущерб и неудобства - обнова краудстрайка.
Всякие там дырки когда можно было скачать закрытый ключ из за ошибки в опенссл - это фигня: серт перевыпустили, админы поработали лишних 5 минут за месяц.
А уж всякие там переполнения с рутом - да там реальный ущерб сремится в нулю.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #79, #101

72. Сообщение от Аноним (-), 17-Окт-24, 13:18 +/–

> Ну ок, в чем проблема выложить проприетарные исходники?
В том что за их "охрану" отвечают владельцы.
Которые зачастую активнее, чем аморфное сообщество и даже чем всякие НКО.
И которые готовы нанять юристов и напинать нарушителю.
Попробуй на гитахб выложить какие-то утекшие исходники и посмотрим как быстро тебя забанят.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

73. Сообщение от Аноним (60), 17-Окт-24, 13:21 +1 +/–

Странно, исходя из заголовка, подумалось что гугл опубликовали факапы своего софта.
Однако нет - больше похоже на "гасить конкурентов в зародыше"

Ответить | Правка | Наверх | Cообщить модератору

74. Сообщение от Ivan_83 (ok), 17-Окт-24, 13:23 +/–

Так же как адепты бизпасной разработки пишут обноснования: вот тут на нашем чудном языке вероятность ошибки будет на 10% ниже потому что язык компилит часами и проверяет кучу всего сам.
10% - это экономия 10005000 миллиардом долларов потому что наш софт установлен на милиардах девайсов и на каждом девайсе может быть очень ценная инфа которую потеряют/украдут, инфа сотка!
И того перемножаем 10005000 миллиардов на пару миллиардов девайсов и хотя бы по 100 баксов ущерба с девайса - вот мы вам тут своим чудным языком предотвратили ущербу на 10 годовых бюджетов сша, давайте нам премию и мы пошли дальше закорючки писать, результата не ждите, оно там проверят ошибки долго.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #80

79. Сообщение от Аноним (-), 17-Окт-24, 13:40 –2 +/–

> Каждая такая бага имеет свою цену ущерба потенциального и реального, и цену исправления.
Именно.
А еще затраты на QA, перепроверки и тд.
> Как правило потенциальный ущерб оценивается в +бесконечность: миллиарды систем содержат ошибку.
Ошибка ошибке рознь.
Когда можно получить удаленно рут и этим уже пользуются злые дядьки, то ущерб можно посчитать.
> Реальный как правило весьма незначителен из за большой фрагментации экосистемы и прочих факторов
Вообще ничем не подтвержденное утверждение.
Больше похоже на маняфантазии из когорты "мне хочется так думать".
Подумай у скольких людей могла быть такая уязвимость
"Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранением критической уязвимости"
приводящая к выполнению кода на уровне процесса обработки контента при открытии специально оформленных страниц
opennet.ru/opennews/art.shtml?num=62023
Открыл страничку, браузер тебя и сломал. Здорово, правда! (с)
Особенно если это был ТОР и кого-то в итоге набутылили.
Ну ладно, у фуррифокса сейчас не лучшие времена и каких-то 200 лямов потенциальных пострадавших.
Тогда что скажешь о такой?
- Критическая 0-day уязвимость в Chrome и libwebp, эксплуатируемая через изображения WebP
"позволяет выполнить свой код при обработке специально оформленных WebP-изображений. Опасность уязвимости усугубляет то, что в сети выявлен рабочий эксплоит, который уже применяется злоумышленниками для совершения атак (0-day)" - т.е злые дядьки уже ею пользовались
opennet.ru/opennews/art.shtml?num=59746
Проблемы затронули Chrome, Safari, Firefox, Thunderbird и многочисленные продукты, использующие libwebp, движок Chromium или платформу Electron.
Но ты можешь дальше убеждать себя большой фрагментации и незначительности импакта.
> Всякие там дырки когда можно было скачать закрытый ключ из за ошибки в опенссл - это фигня: серт перевыпустили, админы поработали лишних 5 минут за месяц.
И заодно украли твои данные или подписали твоим ключем какой-то троян.
Но для тебя это не фигня. Дело то житейское.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #85, #92, #125

80. Сообщение от Аноним (-), 17-Окт-24, 13:43 –1 +/–

Прикинь, они в чем-то правы.
Критическая 0-day уязвимость в Chrome и libwebp, эксплуатируемая через изображения WebP
"позволяет выполнить свой код при обработке специально оформленных WebP-изображений. Опасность уязвимости усугубляет то, что в сети выявлен рабочий эксплоит, который уже применяется злоумышленниками для совершения атак (0-day)"
opennet.ru/opennews/art.shtml?num=59746
Проблемы затронули Chrome, Safari, Firefox, Thunderbird и многочисленные продукты, использующие libwebp, движок Chromium или платформу Electron.
И как вишенка на торте - оно уже использовалось.
А теперь прикинь сколько пользователей только у Хрома?
Но конечно проще писать дырявый внокод и рассказывать "авось пронесет".
Как хорошо, что такие как ты ни на что в большой разработке не влияют))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #83, #84

83. Сообщение от Аноним (83), 17-Окт-24, 13:51 +4 +/–

Как хорошо что в большой разработке про раст никто даже не слышал.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

84. Сообщение от Ivan_83 (ok), 17-Окт-24, 13:54 +2 +/–

Вы как раз из тех у кого ущерб от ошибки = колличество инсталляций где этот код есть * ххх.
А ничего что:
- в венде есть DEP, есть другие платформы где расположение в памяти будет совсем не такое как на машине где писали эксплоит, а какомнить OpenBSD вообще W^X и куча ещё всего.
- картинку ещё надо откуда то скачать, она сама себя не покажет

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #89, #121

85. Сообщение от Ivan_83 (ok), 17-Окт-24, 13:59 +2 +/–

> Подумай у скольких людей могла быть такая уязвимость
Я думаю у 1 - того кто её нашёл, и что дальше?)

> Открыл страничку, браузер тебя и сломал. Здорово, правда! (с)
Вы теоретик с фобиями.
Я ниже расписал что нужно не хило постаратся чтобы просто на монолитной венде это проэксплуатировать, а вы размахнулись сразу на всю галлактику.

> И заодно украли твои данные или подписали твоим ключем какой-то троян.
Вы вообще понимаете что пишите?
Та ошибка приводила к утечке закрытого ключа для TLS, максимум что можно было с ним сделать - поднять у себя такой же сайт/прокси и снифать трафик, только для этого нужно было взять под контроль DNS жертвы или встать на пути её траффика.
Если вам кажется что это легко - вам определённо кажется.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #86, #87

86. Сообщение от Аноним (-), 17-Окт-24, 14:23 +/–

>> Подумай у скольких людей могла быть такая уязвимость
> Я думаю у 1 - того кто её нашёл, и что дальше?)
Тебе черным по желтому написали "в сети выявлен рабочий эксплоит, который уже применяется злоумышленниками для совершения атак"
Т.е как минимум не один. Не надо свои фантазии рассказывать
Для того чтобы загрузилась картинка, достаточно чтобы она была на сайте.
Давай поговорим об ущербе от шифровальщиков.
Например от ESXiArgs - уязвимость CVE-2021-21974 heap-based overflow.
Кроссплатформенный Luna (кстати написан на Rust, бггг)) возможно им понадобился надежный код, а не очередная дырень)
Или заточенные под линукс RansomEXX и QNAPcrypt.
Тот же Lilocked заразил больше 6к серваков.
Ты же понимаешь, что даже востановление из бекапов, это тоже затраты, так еще и пользовательские данные могут потеряться или утечь.
Плюс приостановка работы сервиса может стать для компании фатальным.
Естественно все вышеописанное не касается бракоделов или админов локалхостов.
> Вы теоретик с фобиями.
Угу, угу...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #91

87. Сообщение от Аноним (87), 17-Окт-24, 15:00 +/–

>к утечке закрытого ключа для TLS, максимум что можно было с ним сделать - поднять у себя такой же сайт/прокси
Послушай, дарагой! Закрытый ключ TLS - это не только про сертификаты Х509. Это еще про шифрование сессий HTTPS и VPN (SSL). Смена закрытого ключа, в случае его компроментации, защищает от расшифровки будущих сессий. А вот в случае отсутствия настройки Perfect forward secrecy (в реальности мало кто заботится), при утечке закрытого ключа *все* прошлые сессии подлежат расшифровке.
Вот где главная угроза! А ты про сертификаты...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #94

88. Сообщение от Аноним (88), 17-Окт-24, 15:17 +2 +/–

а какие ещё есть способы сделать собственноручно свой магазин, прикрутить туда платёжный сервис и что-то продавать? (не в рф)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #90

89. Сообщение от 1 (??), 17-Окт-24, 15:54 +/–

2 чая ... Я про картинку ...
Вот если бы запихали вредоноса в favicon какого-нибудь microsoft.com - вот тогда бы и повеселились ...
Что ещё ? В спам рассылке картинку прислать и надеяться на то, что юзверь письмо лисой посмотрит ?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #95

90. Сообщение от 1 (??), 17-Окт-24, 15:56 +/–

Да и в рф этого WooCommerce дофига.
Не на тильде же магаз делать, где каждый товар отдельная страничка не из БД.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

91. Сообщение от Ivan_83 (ok), 17-Окт-24, 16:06 +1 +/–

> Т.е как минимум не один. Не надо свои фантазии рассказывать
Ок, пусть будет 2. :)
Вы просто маленький и не застали реальных массовых эпидемий, только вот они кончились очень давно, за долго до появления даже мысли сочинять чудные языки.
iloveyou, codered - это вам погуглить и узнать как оно было.
Был ещё velchna или тому подобные, которые через smb на XP пролезали, тогда в ОС не было фаера и хватало 5 секунд после диалап подключения чтобы поймать его.

> Для того чтобы загрузилась картинка, достаточно чтобы она была на сайте.
На каком сайте?
Кто и зачем на такой сайт полезет?
Я вот за день, если не занимаюсь поисковым исследованием, то захожу на менее чем 10 сайтов, одни и те же.
Большинство дальше социалок не выходит, для них это и есть интернет.

> Например от ESXiArgs - уязвимость CVE-2021-21974 heap-based overflow.
И?
Сколько там реальный ущерб то?
Поди даже до ляма зелени не дотянул, если не слушать мартышек про "упущенны милларды прибыли, репутационные потери в триллионы долларов", а по факту там админу на час работы, те 50 баксов максимум. Ну может ещё 50 баксов счета за дополнительно потраченное электричество.

> Тот же Lilocked заразил больше 6к серваков.
6к серваков - это ваш ущерб галлактического масштаба?
Там хоть на 100 баксов чего ценного было?)

> Плюс приостановка работы сервиса может стать для компании фатальным.
Ещё раз для тех кто отбитый танком: у тех кому реально критично - всё отработано ещё 20 лет назад, а на самом деле все практики и методики ещё сильно старше даже чем ИТ.
Если компания хостед свою "критичную" инфраструктуру на мамкином сервере под кроватью - им никакой бизапасный язык не поможет никогда вообще никак.
Для всех остальных есть риск манагемент, процедуры восстановления и тп.
Да, это не бесплатно, но и не космос по деньгам, и помогают они не только против программных деффектов но и много в каких ещё случаях.
Вы зачем то всё пытаетесь свести только к одной супернадёжной защите, в реальности ни одна суперзащиа ни одно супер оружие (в едином количестве) ни один супер удар не работают, всегда делается пачка всякого разного, чтобы погасить-минимизировать-локализовать-откатить-подсраховать и тп.

Это у вас уровень: "миня ломанут через дырявую прогу, надо бизапасный язык чтобы прога была ниуязвима иначе жисть кончена".
В реальности у адекватных людей куча мер.
И прогу они могут завернуть в виртуалку или порезать права так что оно будет со скрипом делать только то что нужно, растащить по разным ЛОКАЦИЯМ разные сервисы так чтобы компроментация/разрушение одного не приводила к эскалации ущерба, и риски ущерба свести к нулю и бэкапами и дополнительным контролем транакций и откатить транзакции тоже часто можно, дополнительно сверху риски у страховщиков застраховать на реальное бабло.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86 Ответы: #97

92. Сообщение от Аноним (92), 17-Окт-24, 16:15 +/–

> затраты на QA
Никаких затрат, если есть штат.
> Когда можно получить удаленно рут
Если да кабы..
> приводящая к выполнению кода на уровне процесса обработки контента
С правами пользователя.
> Открыл страничку, браузер тебя и сломал.
Если браузер в песочнице (типа Flatpak), то до пользовательских файлов не добраться.
> при открытии специально оформленных страниц
Серваки - сразу мимо.
> позволяет выполнить свой код при обработке специально оформленных WebP-изображений
С правами пользователя. А если браузер в..., ну ты понял.
> незначительности импакта.
Есть пострадавашие? Нету? Я так и думал.
> украли твои данные
Которые и так отправлялись на чужой сервер.
И то, если успели сдампать до раскрытия/исправления.
> подписали твоим ключем какой-то троян
Отозвал-поменял ключ шелл-скриптом и спишь спокойно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

93. Сообщение от Аноним (93), 17-Окт-24, 16:15 +/–

>Какой вывод можно сделать?
Злоумышленники становятся умнее и расторопнее, не ждут когда для них обнаружат и опубликуют уязвимость, а сами находят. Значит большой спрос.
Кто виноват? Рыночная экономика

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #129

94. Сообщение от Ivan_83 (ok), 17-Окт-24, 16:19 +/–

Так я вам говорю - бабло то где?
Хоть одна саксес стори есть про то как злые хакеры стащили таким образом TLS сертификат, а потом с его помощью кого то грабанули расшифровав до этого записанный траффик или вклинившись посредине и посмотрев/поменяв там что то?
Всё это как новости "к 2999 году мы будем вперде всех и импортозаместим производство туалетной бумаги!".
Только у бизапасников: "вот эта фигня используется на 100500 хостах - теперь они все жертвы, ущерб может достигать триллиарды миллионов долларов". А на практике очкарик в лабе кое как написал PoC который только у него и только там работает и зарегал CVE.
А чтобы это монетизировать в криминальном аспекте надо ещё проделать кучу работы, притом часто оказывается что на практике это использовать не получится потому что есть 100500 реальных препядствий как до запуска этого PoC так и после того как он успешно отработает до момента когда реальное бабло придёт тебе на счёт/в руки.
Сходите почитайте как даркнет работает и какой там workflow длинный от момента когда PoC продали до момента когда с его помощью + 100500 других штук вытащили реальное бабло.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87 Ответы: #117

95. Сообщение от Ivan_83 (ok), 17-Окт-24, 16:29 +/–

И на microsoft.com ходит нынче полтора админа и три манагера :)
Те опять ущерб уровня 3 калеки.
Картинка в письме:
- пройди спам фильтр
- пройди антивирус на сервере
-* антивирус у юзера на венде
- заинтересуй пользователя это открыть
- попробуй проберись с ОДНОЙ попытки сковозь DEP если на венде или неведомый зоопарк непонятно чего если он на маке/линухе или упаси боже какой БСД, там же везде разные смещения, разные сисколы и тп

Я помню реальные почтовые эпидемии с iloveyou и было ещё очень лулзово когда Outlook Express (и может другой тоже) считали что если в письме приатачен музон то его надо воспроизводить, и даже если музон с x-exe миме типом - то тоже надо, запускать. И хватало письмо в превью открыть как оно запускалось.
И тогда же это лечилось банальным запретом выполнения из Tempory Internet Files, на NT это в груповой политике легко делалось, и эта банальщина отсекала 99,9% того что могло из браузера само запустится - те практически до самой смерти флеш плеера, лет 15 реботало :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89 Ответы: #98

97. Сообщение от Аноним (-), 17-Окт-24, 16:54 +/–

> Вы просто маленький и не застали реальных массовых эпидемий, только вот они кончились очень давно, за долго до появления даже мысли сочинять чудные языки.
К сожаления я достаточно стар, чтобы помнить вирусню которая распространялась на дискетках. Пятидюймовых((
> iloveyou, codered - это вам погуглить и узнать как оно было.
> Был ещё velchna или тому подобные, которые через smb на XP пролезали, тогда в ОС не было фаера и хватало 5 секунд после диалап подключения чтобы поймать его.
Это были относительно простые и безобидные штуки, в отличии от чернобыля.
> На каком сайте? Кто и зачем на такой сайт полезет?
На любом) От зашел ты на опеннет, а там сервак сломали и на глагну картинку добавили.
И всё приехали.
> Большинство дальше социалок не выходит, для них это и есть интернет.
Которые они запускают.. дай угадаю, в браузере?
> если не слушать мартышек про "упущенны милларды прибыли, репутационные потери в триллионы долларов", а по факту  там админу на час работы, те 50 баксов максимум. Ну может ещё 50 баксов счета за дополнительно потраченное электричество.
Ну, для тебя репутационные потери пустой звук, это понятно и логично.
Тот же WannaCry - это 300к компов и остановка нескольких фабрик TSMC.
Ты хоть представляешь сколько стоит простой фабрики печатающей чипы хотя бы на час?
Или когда останавливается работа больницы?
> Ещё раз для тех кто отбитый танком: у тех кому реально критично - всё отработано ещё 20 лет назад, а на самом деле все практики и методики ещё сильно старше даже чем ИТ.
Ну так поделись своей мудростью!
Пока даже крупнейшие фирмы типа TSMC не могут закрыть все вектора.
> Для всех остальных есть риск манагемент, процедуры восстановления и тп.
> Да, это не бесплатно, но и не космос по деньгам, и помогают они не только против программных деффектов но и много в каких ещё случаях.
А еще есть превентивная борьба с угрозами.
И ИБ начинается как раз с нее.
Ну типа "не ставьте пароль 123456" и тд.
> Вы зачем то всё пытаетесь свести только к одной супернадёжной защите, в реальности ни одна суперзащиа ни одно супер оружие (в едином количестве) ни один супер удар не работают, всегда делается пачка всякого разного, чтобы погасить-минимизировать-локализовать-откатить-подсраховать и тп.
Чего? Ты написал какой-то бред. Какая одна супернадежная защита?
У нас закрывается один класс атак. Да большой но один.
Не покрываются логические ошибки или намеренный вред.
Если бы можно было бракоделов бить по рукам, чтобы они не писали овнокод - может этого было достаточно. Но так не получается уже десятки лет.
> Это у вас уровень: "миня ломанут через дырявую прогу, надо бизапасный язык чтобы прога была ниуязвима иначе жисть кончена".
Ну... ты отлично показываешь свой уровень, так сказать, интеллекта)
Может надо "если нажать 28 раз бекспейс, то заходим на комп без пароля"? Ну как в самых надежных программах на лучшем ЯП в мире)
> В реальности у адекватных людей куча мер.
Ну, посмотрим-посмотрим, что это за адекватные люди)
> И прогу они могут завернуть в виртуалку или порезать права так что оно будет со скрипом делать только то что нужно,
А потом бац!
- "Уязвимости во FreeBSD, позволяющие повысить свои привилегии или обойти изоляцию гостевой системы" - обращения к уже освобождённой области памяти (Use-After-Free)
opennet.ru/opennews/art.shtml?num=61838
- "10 уязвимостей в гипервизоре Xen" - пять из которых "позволяют выйти за пределы текущего гостевого окружения и повысить свои привилеги"
opennet.ru/opennews/art.shtml?num=51764
И что помогли тебе твои виртуалки?
> растащить по разным ЛОКАЦИЯМ разные сервисы так чтобы компроментация/разрушение одного не приводила к эскалации ущерба,
Т.е вместо того чтобы писать хорошо, будем обмазываться костылями?
Ты думаешь это дешевле, чем заставить разработчиков не писать овнокод?
> и риски ущерба свести к нулю и бэкапами и дополнительным контролем транакций и откатить транзакции тоже часто можно, дополнительно сверху риски у страховщиков застраховать на реальное бабло.
Хахаха, а давай я, покупая телефон на андроиде или устанавливая линукс на ноут, не буду думать про страховку, растаскивание по разным локациям и тд?
Пусть оно просто работает. А не представляет из себя дырявость?
Но тренд кажется уже наметился.
Вон мелкомягкие делают OpenVMM на расте, гугл, амазон...
Надо просто чтобы люди понимали "если код на СИ, то это дыряшка в 99% случаев".
А там уже пусть разрабы доказывают сколько у них санитайзеров и тестов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #103

98. Сообщение от Жироватт (ok), 17-Окт-24, 16:55 +2 +/–

Самое смешное - все эти БЕЗОПАСТНЫЕ языки не уберегут от простого майнера в браузере, замаскированного под небрежно написанные "снежинки на новый год". Или от отравления зависимостей вполне себе белого ПО

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95 Ответы: #100

100. Сообщение от Аноним (-), 17-Окт-24, 17:00 –1 +/–

> Самое смешное - все эти БЕЗОПАСТНЫЕ языки не уберегут от простого майнера в браузере,
А майнер какой тебе ущерб нанесет? Комуналка за эл-во будет больше?
Ты не сравнивай это с дырами типа "выполнил код на уровне ядра"
> Или от отравления зависимостей вполне себе белого ПО
Ну раз у нас может быть атака на цепочки поставок.. то зачем вообще что-то делать.
Горит сарай, гори и хата?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #105

101. Сообщение от Аноним (101), 17-Окт-24, 17:06 +2 +/–

Вот это ментальная гимнастика! Моё почтение, любезный. Ошибка в краудстрайк путём нехитрых манипуляций превращается в индульгенцию для любых дыр в безопасности. Как говорится, сгорел сарай — гори и хата!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #104, #118

103. Сообщение от Ivan_83 (ok), 17-Окт-24, 18:31 +/–

> Это были относительно простые и безобидные штуки, в отличии от чернобыля.
И чих был безобидным - я не видел ни одного компа который он окирпичил.
А я админил/вытирал грязь в начале 200х штук под сотню компов на 98 в одном универе.
> На любом) От зашел ты на опеннет, а там сервак сломали и на глагну картинку добавили.
Давай, добавляй.
> Тот же WannaCry - это 300к компов и остановка нескольких фабрик TSMC.
> Ты хоть представляешь сколько стоит простой фабрики печатающей чипы хотя бы на час?
Мне на это глубоко пофиг, мне за это не платят.
Если бы платили - такой проблемы не случилось бы конкретно у моего работодателя.
Когда я админил - они жили и про вирусы только по телеку слышали.

> А еще есть превентивная борьба с угрозами.
> И ИБ начинается как раз с нее.
> Ну типа "не ставьте пароль 123456" и тд.
ИБ начинается с построения модели угроз, рисков и прочего.
У меня пароли дома ещё проще и всех домашние, кроме самого мелкого (он ещё читать-считать не умеет) их знают, потому что угрозы в этом нет.

> У нас закрывается один класс атак. Да большой но один.
Как будто это что то меняет.
Для меня это означает только что софт упадёт на один раз меньше, и то может быть, потому что у меня нынче редко что падает.

> "Уязвимости во FreeBSD, позволяющие повысить свои привилегии или обойти изоляцию гостевой системы" - обращения к уже освобождённой области памяти (Use-After-Free)
Ииии????
Ну дальше то что?
Я должен испугатся или как?
На моём хосте штук 5 виртуалок, они все потушены и туда хожу только я. Я без уязвимости изоляцию обойду.
У жены одна виртуалка, там опенврт, и к нему особо доступа то и нет с наружи.
Нам уже можно вызывать скорую и полицию или ещё рано?

"10 уязвимостей в гипервизоре Xen" - пять из которых "позволяют выйти за пределы текущего гостевого окружения и повысить свои привилеги"
А дальше что?
Ну вышел ты куда то там, а дальше что?
Грохнешь виртуалки - так админ их из бэкапа развернёт.
А упереть чего ценного - не факт что там есть, да это ещё и суметь надо.

> Т.е вместо того чтобы писать хорошо, будем обмазываться костылями?
Всех кого заботит результат - делают много разных защит от фейла.
Не будет никто писать хорошо, а если будет - не факт что фейл не случится по какой то ещё причине.

> Хахаха, а давай я, покупая телефон на андроиде или устанавливая линукс на ноут, не буду думать про страховку, растаскивание по разным локациям и тд?
> Пусть оно просто работает. А не представляет из себя дырявость?
Да на здоровье, я разрешаю.
Но телефон вы потеряете/его украдут/он утонет/экран разобъётся а плата умрёт от статики.
Помог вам ваш безопасный кодинг или лучше было застраховатся?

> Вон мелкомягкие делают OpenVMM на расте, гугл, амазон...
Мелкомягкие - это те у которых всё кроме венды и офиса не получилось?)
Ну ладно, там х бох ещё какой то вроде пока есть.
А гугл - это тот поисковик где можно зареть почту? И там ютубчик кпленный сбоку на изоленте и сверху куча рекламы, и на этом всё - это я на них должен смотреть?
Амазон - я вообще помолчу, вечно убыточный экплуататор сладских рабочих.

Даже можно сказать по другому.
Если они так делают - то мне так делать точно не стоит, потому что они вбухали туда столько бабла что там не протолкнутся для чего то нового/полезного.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97 Ответы: #109

104. Сообщение от Ivan_83 (ok), 17-Окт-24, 18:34 +/–

"дыры в безопасности" - исключительно в головах исследователей и менеджеров читающих новости.
Я вам говорю про деньги а не то что вы там себе нафантазировали.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

105. Сообщение от Ivan_83 (ok), 17-Окт-24, 18:38 +/–

> Ты не сравнивай это с дырами типа "выполнил код на уровне ядра"
Вы так говорите как будто это что то плохое :)
С удовольствием так рутовал свои мобили каким то китейским хламом, который заодно протроянил мне мобилу :)))))
Пришлось потом отдельно вычищать их мусор )))

> Ну раз у нас может быть атака на цепочки поставок.. то зачем вообще что-то делать.
При адекватно построенном процессе это не будет иметь никаких последствий.
Вы же постоянно путаете программный деффект с возможностью его применения и с возможностью безвозвратно потерять деньги/данные.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100 Ответы: #110

109. Сообщение от Аноним (-), 17-Окт-24, 19:06 +/–

> И чих был безобидным - я не видел ни одного компа который он окирпичил.
> А я админил/вытирал грязь в начале 200х штук под сотню компов на 98 в одном универе.
То что в твоем универе повезло ничего не значит.
Ты сейчас несешь чушь в стиле "я в ДТП не попадал -> пристегиваться не нужно и подушки тоже"
>> Ты хоть представляешь сколько стоит простой фабрики печатающей чипы хотя бы на час?
> Мне на это глубоко пофиг, мне за это не платят.
Да тебе вообще пофиг. Тебя случайно не Дмитрий зовут)
Но думаю даже ты должен понимать, что там были денежные потери.
> Если бы платили - такой проблемы не случилось бы конкретно у моего работодателя.
Лол, твоя самоуверненность просто зашкаливает.
Думаю тебя к нормальным сервакам даже на пушечный выстрел не подпустили.
> Когда я админил - они жили и про вирусы только по телеку слышали.
Те самые компы в универе? Впечатляет!
> Для меня это означает только что софт упадёт на один раз меньше, и то может быть, потому что у меня нынче редко что падает.
У миллионов пользователей. Упадет на один раз меньше.

>> "Уязвимости во FreeBSD, позволяющие повысить свои привилегии или обойти изоляцию гостевой системы" - обращения к уже освобождённой области памяти (Use-After-Free)
> Ииии??? Ну дальше то что?
> Я должен испугатся или как?
Нет конечно, тебе же пофиг.
> На моём хосте штук 5 виртуалок, они все потушены и туда хожу только я. Я без уязвимости изоляцию обойду.
> Нам уже можно вызывать скорую и полицию или ещё рано?
Не, пока рано. И вообще на админа подкроватного локалкохоста тратить скорую..
> А дальше что? Ну вышел ты куда то там, а дальше что?
> Грохнешь виртуалки - так админ их из бэкапа развернёт.
> А упереть чего ценного - не факт что там есть, да это ещё и суметь надо.
Если у тебя там ценного нет, то не суди всех по себе.
У людей там могут быть например пользовательские данные.
> Всех кого заботит результат - делают много разных защит от фейла.
И качественный код будет всего лишь +1 к списку защит.
> Не будет никто писать хорошо, а если будет - не факт что фейл не случится по какой то ещё причине.
Значит будет как в пословице "не умеешь научим, не хочешь заставим")
Первые ласточки уже есть. Понятно что копротивление будет сильным, но думаю лет через 5 уже что-то будут принимать.
opennet.ru/opennews/art.shtml?num=60273
ЧСХ бракоделы сразу выступили против ответственности
opennet.ru/opennews/art.shtml?num=60358
> Но телефон вы потеряете/его украдут/он утонет/экран разобъётся а плата умрёт от статики.
Это будет очень печально. Но экран можно поменять.
Попрошу производителя делать телефоны прочнее.

> Помог вам ваш безопасный кодинг или лучше было застраховатся?
Ты писал про страховку от взломов и уязвиостей.
> Мелкомягкие - это те у которых всё кроме венды и офиса не получилось?)
Азур? Хбокс? Onedrive?
Я уже молчу что "офис" это почти десяток приложений и сервисов. Ну и всего лишь винда это 70% ОС, конечно не сравнится с гордыми 4%, но все равно впечатляет.
> А гугл - это тот поисковик где можно зареть почту? И там ютубчик кпленный сбоку на изоленте и сверху куча рекламы, и на этом всё - это я на них должен смотреть?
Про андроид ты наверное не слышал)
Но можешь смотреть рутуб, если тебе ютуб не нравится.
> Если они так делают - то мне так делать точно не стоит, потому что они вбухали туда столько бабла что там не протолкнутся для чего то нового/полезного.
Ха, что-то сомневаюсь, что ты вообще что-то полезное делал.
Дело же не в бабле, а в подходах.
Вон в команде ТОР пара человек, но они думают о своих пользователя поэтому Арти пишут не на дыряшке.
Тем кому на пользователей плевать - да, будут писать абыкак

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #114

110. Сообщение от Аноним (-), 17-Окт-24, 19:13 +/–

>> Ты не сравнивай это с дырами типа "выполнил код на уровне ядра"
> Вы так говорите как будто это что то плохое :)
> С удовольствием так рутовал свои мобили каким то китейским хламом, который заодно протроянил мне мобилу :)))))
> Пришлось потом отдельно вычищать их мусор )))
Дверь на замок ты дома тоже не закрываешь?
Ну типа напился и потерял ключи, а так раз и домой попал
> При адекватно построенном процессе это не будет иметь никаких последствий.
Бла-бла, без каких то примеров.
Тебе выше приводили примеры когда фабрики останавливаются, но я вижу что фанатику что в лоб, что по лбу.
> Вы же постоянно путаете программный деффект с возможностью его применения и с возможностью безвозвратно потерять деньги/данные.
А разве в программе должны быть дефекты? Некоторые даже людей убивают (Therac-25 или тойота) или приводят к другому ущербу.
Как пользователь я хочу чтобы в моем софте не было дефектов.
Поэтому буду руками и ногами поддерживать всякие законы заставляющие бракоделов нести ответсвенность.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #116

111. Сообщение от Аноним (111), 17-Окт-24, 19:14 +/–

>Из тенденций также отмечается значительное ускорение разработки эксплоитов - среднее время появления эксплоитов для новых уязвимостей в 2023 году
Это благодаря ИИ?

Ответить | Правка | Наверх | Cообщить модератору

113. Сообщение от Аноним (113), 17-Окт-24, 20:56 +/–

> Какой вывод можно сделать?
Что вебня всё ж загнётся. И останутся пишущие код ИИ. Остальный найдут другие занятия.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

114. Сообщение от Ivan_83 (ok), 17-Окт-24, 21:02 +/–

> То что в твоем универе повезло ничего не значит.
Это не так.
У нас был антивирус и мы раз в 3 месяца пепреустанавливали венду (потому что 98).
А потом была XP без прав админа и было уже пофиг.

> Но думаю даже ты должен понимать, что там были денежные потери.
Ещё раз: мне глубоко наплевать какие у кого были потери, это не имеет ко мне никакого отношения вообще никак.

> Те самые компы в универе? Впечатляет!
Уже потом.
Небольшие офисы, где все сидели на ХР под обычными юзверями и подкрученными политиками.
Был некий стандарт по установленному софту, было обновление всего заранее и тп.

> У людей там могут быть например пользовательские данные.
Я вам ещё раз говорю: между уязвимостью (любой) и профитом от её эксплуатации - огромная пропасть, а вы их приравниваете.
Даже если у меня упрут все пароли и пр - это не сказать чтобы будет сильно критично, но неприятно.
Что касается денег - там почти всё на СМС в мобиле завязано, да и утащить их без следа - ну у меня смешные суммы (до 10к евро) чтобы тратить на такое время и дропов всяких.
Домашнее порно - оно никому не интересно.
И тп.

> И качественный код будет всего лишь +1 к списку защит.
Или не будет, в нормальной системе +1 на фоне 10005000 ничего не меняет, в не нормальной уже ничего не поможет.

> Первые ласточки уже есть. Понятно что копротивление будет сильным, но думаю лет через 5 уже что-то будут принимать.
Пилите шура, она золотая.

> ЧСХ бракоделы сразу выступили против ответственности
Вы в начале бабло сопроводителям пакетов занесите, а раз не занесли - то идите в лес (другие 3 буквы только) со своими штрафами.

> Попрошу производителя делать телефоны прочнее.
А как же защита и безопасность от раста?!
Да ты предатель!
Канцеляцию тебе два раза!

> Ты писал про страховку от взломов и уязвиостей.
Страховка на бабло бывает для всего подряд.
Вот застрахуешься ты с формулировкой: "потеря доступа к данным" и будет пофиг сгорит у тебя мобила или шифровальщик пошифрует всё.

> Азур? Хбокс? Onedrive?
Оно там ещё живо вообще? :)
Если бы не винда с рекламными баннерами на весь экран никто бы и не юзал это.

> Но можешь смотреть рутуб, если тебе ютуб не нравится.
Он у меня заблокирован, вроде как, вместе с яндексом и прочим трешем :))))

> Вон в команде ТОР пара человек, но они думают о своих пользователя поэтому Арти пишут не на дыряшке.
Сидящие на грантах, вместо новых фич переписывают готовое с одного языка на другой.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109

115. Сообщение от Аноним (113), 17-Окт-24, 21:04 +/–

Непонятно, где Вы 146 штук % насчитали. У меня только 9% вышло, в тексте новости. И ещё 10 штук символов % в комментах.
Т.е. не больше 19 штук %.
:)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

116. Сообщение от Ivan_83 (ok), 17-Окт-24, 21:20 +/–

Дверь на замок - это архи смешно.
Большая часть замком открывается специалистом за 1-2 минуты без шума и повреждений.
Так же и вы видимо думаете что достаточно закрытся на ключик и вы в домике со своим чудным язком :)

> А разве в программе должны быть дефекты?
Деффекты есть везде.
И в предметах физических тоже.

> Некоторые даже людей убивают (Therac-25 или тойота) или приводят к другому ущербу.
В ДТП всё равно больше мрёт, но это никого не останавливает.

> Как пользователь я хочу чтобы в моем софте не было дефектов.
Хотите дальше.
Деньги то у вас на это есть, ну чтобы оплатить ваши хотелки?

> Поэтому буду руками и ногами поддерживать всякие законы заставляющие бракоделов нести ответсвенность.
И останитесь с вендой и маком, и потом фиг вы у них чего отсудите.
Удачи в общем.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110

117. Сообщение от Аноним (87), 17-Окт-24, 22:07 +/–

>Так я вам говорю - бабло то где?
>Сходите почитайте как даркнет работает
Мой жизненный опыт говорит, что люди, реально поднимающие бабло в даркнете, не тусуются на опеннете. Так что вопли "а бабло то где" - это дешевые понты.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94 Ответы: #119

118. Сообщение от Аноним (118), 17-Окт-24, 22:10 +1 +/–

Иванушка - он такой. Сначала они везде орут: "кто и где использовал это ваше мифическое переполнение буфера?", а когда его вот как сейчас тыкают моськой в реальные эксплуатации - вот тут гимнастика и начинается. Он потрясающе гуттаперчевый акробат у нас, ему всё божья роса.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #120

119. Сообщение от Ivan_83 (ok), 17-Окт-24, 23:21 +/–

Человек не может увязать с реальность свои галюны, я просто даю направление: следуй за баблом.
У него как в том анегдоте про ковбоев гавноедов: в теории мы уже должны 100 раз умереть от деффектов в ПО а на практике всё прекрасно и оно не сильно мешает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117

120. Сообщение от Ivan_83 (ok), 17-Окт-24, 23:25 –2 +/–

Так тут никто не удосужился показать хотя бы примерные реальные затраты на восстановление работы/восполнение ущерба от эксплутации этих деффектов ПО.
С краудом - было всё видно и понятно.
А вы что можете показать? У хомяка грохнулся браузер? - вот тебе ваучер на чупачупс на 5 центов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118 Ответы: #127

121. Сообщение от Аноним (-), 18-Окт-24, 07:03 +/–

> Вы как раз из тех у кого ущерб от ошибки = колличество инсталляций где этот код есть * ххх.
> А ничего что:
> ...
Ничего. В огороде бузина, а в Киеве дядька.
Ущерб от ошибки пропорционален количеству инсталляций. Даже если не каждая инсталляция фактически уязвима, он всё равно пропорционален. Ты можешь взять и посчитать как-нибудь. Я предлагаю, попробовать через задание вероятности того, что случайно выбранная инсталляция фактически столкнётся с эксплуатацией, которая будет стоить $n, и потом прикинуть сколько же в сумме получится.
> - в венде...
> - картинку скачать надо...
И? Во-первых, какое это имеет отношение к твоим сомнениям в пропорциональности ущерба количеству инсталляций? Во-вторых, современные эксплоиты редко полагаются на один баг, как правило они хитросплетают несколько багов, и иногда даже багов на разных системах. В начале нулевых, помнится, основным развлечением школоло-хакеров было дефейсить сайты, но можно же дефейсить не надписью на главной "здесь был васян", а добавлением туда картинки. Ты такой пришёл на опеннет, который отдал тебе специально созданный webp. Все эти DEP'ы, W^X и рандомизация адресов лишь осложняют эксплуатацию, часто требуют больше багов для создания эксплоита, но не делают эксплуатацию невозможной.
Именно поэтому количество багов должно быть ограничено. Более того, из ПО необходимо исключать все баги, которые возможно искать автоматически. Есть всякие методы, статические анализаторы, valgrind, guided fuzzing, ... Такие баги искать можно массово, чуть ли не сканом github'а.
И все эти требования со временем становятся лишь жёстче. Сейчас целые государства занимаются взломом и эксплуатацией дыр, для того чтобы создавать ботнеты. То есть деятельность поставлена на поток, денег туда вливается немало, и современный хакер -- это не антисистемный борцун за свободу от правил лет пятнадцати, а среднего возраста лузер, не нашедший себя в деле создания нового, который с утра встаёт по будильнику, одевает пиджак и галстук и едет на ненавистную работу заниматься взломом, потому что ему своих спиногрызов надо кормить. Ему не надо бояться того, что к нему в квартиру вломятся люди в масках, ему не надо каждый раз выискивать способы монетизации своих находок, он не преступник, он унылый обыватель, который будет впахивать по 40 часов в неделю десятилетиями, потому что у него есть другой страх, гораздо сильнее: он боится начальника.
И это значит, что ежели в твоей системе найдут дыру, для того чтобы всадить тебе бекдор, то это будет не какой-нибудь irc командного центра, это будет сложнейший кусок софта, который прощупает твою систему на все известные методы повышения привилегий, который пролезет в систему так глубоко, насколько сможет, который будет задействовать хитрейшие методы избегания детекта, и который может быть даже делать не будет, кроме поддержания твоей системы в скомпрометированном состоянии до тех пор, пока твоей системе не найдётся применения.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #130

122. Сообщение от Главные редакторы (?), 18-Окт-24, 08:32 +/–

> отмечается значительное ускорение разработки эксплоитов
Внедрение ВУ ЯП спасёт от уязвимостей говорили они ...

Ответить | Правка | Наверх | Cообщить модератору

123. Сообщение от Аноним (125), 18-Окт-24, 08:56 +/–

> Какой вывод можно сделать?
1. Проактивная защита: https://www.opennet.dev/openforum/vsluhforumID3/129886.html#309
2. MAC для минимизации ущерба.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

124. Сообщение от Сергей (??), 18-Окт-24, 09:04 +1 +/–

Вот оно волшебное слово GPL, анализируя выходящие патчи для софта, закрывающие разнообразные баги, проще и быстрее сделать эксплоит, чем долго и нудно анализировать весь код или сам работающий софт...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #133

125. Сообщение от Аноним (125), 18-Окт-24, 09:15 +/–

> А еще затраты на QA, перепроверки и тд.
Сколько этих затрат? QA дело сборочной системы менеджера пакетов:
stricter
Have portage react strongly to conditions that may conflict with system security provisions (for example textrels, executable stack). Read about the QA_STRICT_* variables in make.conf(5).
QA_STRICT_EXECSTACK = "set"
Set this to cause portage to ignore any QA_EXECSTACK override settings from ebuilds. See also ebuild(5).
QA_STRICT_FLAGS_IGNORED = "set"
Set this to cause portage to ignore any QA_FLAGS_IGNORED override settings from ebuilds. See also ebuild(5).
QA_STRICT_MULTILIB_PATHS = "set"
Set this to cause portage to ignore any QA_MULTILIB_PATHS override settings from ebuilds. See also ebuild(5).
QA_STRICT_PRESTRIPPED = "set"
Set this to cause portage to ignore any QA_PRESTRIPPED override settings from ebuilds. See also ebuild(5).
QA_STRICT_TEXTRELS = "set"
Set this to cause portage to ignore any QA_TEXTREL override settings from ebuilds. See also ebuild(5).
QA_STRICT_WX_LOAD = "set"
Set this to cause portage to ignore any QA_WX_LOAD override settings from ebuilds. See also ebuild(5).
Все "перепроверки" должны быть автоматизированы и запускается после каждой установки, настройки, обновления:
https://www.linux.org.ru/forum/security/17104486?cid=17717042

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

126. Сообщение от Аноним (113), 18-Окт-24, 09:53 +/–

> Та всем пофиг на жпл. Ну побухтит борода и что?
> Там основная проблема, что они выложили проприетарные кода.
По обеим проблемам будет работать одна и та же организация - суд.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

127. Сообщение от Аноним (127), 18-Окт-24, 10:59 +/–

Ваня, ты пишешь кучу бестолкового текста, но я так и не понял, что ты сказать-то хотел? Что с уязвимостями не нужно бороться? Или что не беда спустя рукава плодить их дальше? Лишь бы не Раст - ведь от него урона бальше?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120 Ответы: #134

128. Сообщение от Big Robert TheTables (?), 18-Окт-24, 14:14 +/–

Гугл спонтанно решил посмотреть "что там в ИБ"?
неясна мотивация

Ответить | Правка | Наверх | Cообщить модератору

129. Сообщение от Оно ним (?), 18-Окт-24, 14:27 +/–

Срочно зарегулировать отрасль и ввести потолок цен на эксплойты.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93

130. Сообщение от Ivan_83 (ok), 18-Окт-24, 18:24 +/–

> Ущерб от ошибки пропорционален количеству инсталляций.
НЕТ.
Ущерб оценивается сильно сложнее чем банальная зависимость от числа инсталляций.
Даже потенциальный=теоритический.
А реальный и подавно.
Вероятностью можете подтерется.

> Все эти DEP'ы, W^X и рандомизация адресов лишь осложняют эксплуатацию, часто требуют больше багов для создания эксплоита, но не делают эксплуатацию невозможной.
Достаточно сделать эксплуатацию нерентабельной.

> а среднего возраста лузер, не нашедший себя в деле создания нового, который с утра встаёт по будильнику, одевает пиджак и галстук и едет на ненавистную работу заниматься взломом
Такое возможно для отдельных узких специалистов работающих по готовым скриптам с готовым софтом.
Как с обзвонами слубы безопасности банка примерно: бакланить по скрипту может любой, а вот написать скрипт нет.

> И это значит, что ежели в твоей системе найдут дыру, для того чтобы всадить тебе бекдор, то это будет не какой-нибудь irc командного центра, это будет сложнейший кусок софта, который прощупает твою систему на все известные методы повышения привилегий, который пролезет в систему так глубоко, насколько сможет, который будет задействовать хитрейшие методы
Вы главное из дома не выходите, там цыгане прощюпывают вас телепатически взглядом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121 Ответы: #135

133. Сообщение от Аноним (-), 19-Окт-24, 17:26 +/–

А где, в тексте новости было сказано про GPL?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124

134. Сообщение от Аноним (134), 19-Окт-24, 17:51 +/–

Что относится к ним надо как к обычным ошибкам а не как поводу срочно переписать на раст

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127

135. Сообщение от Аноним (-), 21-Окт-24, 06:30 +/–

> Ущерб оценивается сильно сложнее чем банальная зависимость от числа инсталляций.
> ...
> Вероятностью можете подтерется.
Понятно. Говорим о том, о чём вообще не слышали никогда, да? Мама не била тебя по губам в детстве за такое, не прививала идею, что это плохо? Позвони ей сегодня, выскажи ей всё, и потребуй чтобы она провела бы этот курс воспитания, отрабатывая свою лень десять лет назад.
> Достаточно сделать эксплуатацию нерентабельной.
Недостаточно, потому что этим сейчас занимаются государства, у которых довольно сложные отношения с рентабельностью, они легко могут годами вливать миллионы и миллиарды в убыточные мероприятия.
> Такое возможно для отдельных узких специалистов работающих по готовым скриптам с готовым софтом.
Как с обзвонами слубы безопасности банка примерно: бакланить по скрипту может любой, а вот написать скрипт нет.
Ты преувеличиваешь компетенции необходимые для написания эксплойтов. Ломать не строить, особенно при наличии инструментов, созданных не лузерами, а теми кто умеет создавать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130

136. Сообщение от bOOster (ok), 21-Окт-24, 06:31 +/–

Молодцы, проанализировали чтобы знать куда "вставлять"

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

34. Сообщение от Аноним (34), 17-Окт-24, 12:23	+4 +/–
> Для 70% (97 из 138) из рассмотренных уязвимостей эксплоиты > появились раньше, чем были предложены исправления в уязвимом ПО Какой вывод можно сделать? Что лучше вообще не добавлять уязвимости, чем пытаться быстренько все пофиксить на проде. Не получится.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #71, #93, #113, #123

37. Сообщение от Аноним (-), 17-Окт-24, 12:26	+/–
А как они считали? Там суммарно больше 100%. Ну или новость так непонятно предоставили.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #57, #61, #74

57. Сообщение от Аноним55 (?), 17-Окт-24, 12:55	+/–
Вы как складывали? Все проценты, упомянутые в новости?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #37 Ответы: #60

59. Сообщение от Аноним (59), 17-Окт-24, 13:04	+/–
Метасплойт молодцы быстро помогают хакерам с эскплойтами
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #62, #65, #68

60. Сообщение от Аноним (60), 17-Окт-24, 13:06	+1 +/–
да. а вы как? предложите свой способ складывания процентов! (146%)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #57 Ответы: #115

61. Сообщение от Аноним (61), 17-Окт-24, 13:07	+2 +/–
> А как они считали? Там суммарно больше 100%. Ну или новость так > непонятно предоставили. Они всё округлили в верхнюю сторону: Twelve percent (5) of n-days were exploited within one day, 29% (12) were exploited within one week, and over half (56%) were exploited within one month. all but two (5%) n-days were exploited within six months. 12+29+56+5=102
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #37

62. Сообщение от Аноним (60), 17-Окт-24, 13:08	+/–
Ну, иной вариант - как с опубликованными исходниками винампа ("обосрались"). Когда в их проприетарном софте ВНЕЗАПНО нашли куски кода лицензированного под GPL.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #59 Ответы: #63

63. Сообщение от Аноним (-), 17-Окт-24, 13:09	+/–
> Ну, иной вариант - как с опубликованными исходниками винампа ("обосрались"). > Когда в их проприетарном софте ВНЕЗАПНО нашли куски кода лицензированного под GPL. Та всем пофиг на жпл. Ну побухтит борода и что? Там основная проблема, что они выложили проприетарные кода. Именно за это репу и снесли.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #62 Ответы: #126

65. Сообщение от Аноним (83), 17-Окт-24, 13:13	+1 +/–
Не то чтобы сайт им помогает. Хакеры сами стали быстрее кооперироваться и меньше шкеритья. Поэтому исследователи тоже раньше рабочие эксплоиты находят и заносят в базу.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #59 Ответы: #69

66. Сообщение от Аноним (60), 17-Окт-24, 13:13	–1 +/–
>затрагивающие плагин WooCommerce Payments к WordPress Привет из нулевых? Кто то еще использует вордпресс, да еще и с плагинами? >и Fortinet FortiOS. эти походу вообще обосрались, ибо: FortiOS — специализированная операционная система, разработанная компанией Fortinet и являющаяся основным средством управления для всех разрабатываемых компанией систем сетевой безопасности и защитных комплексов корпоративного уровня. Она обеспечивает комплексную безопасность на уровне сети, приложений и данных.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #88

68. Сообщение от Аноним (60), 17-Окт-24, 13:16	+1 +/–
Ну ок, в чем проблема выложить проприетарные исходники? Кто то где то запретил это делать? Вряд ли. Снесли их, из-за потока троллинга творящегося в иссуе, потому что посоны опоздали с этим лет эдак на 20.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #59 Ответы: #72

69. Сообщение от Аноним (59), 17-Окт-24, 13:16	+1 +/–
Муттасплойт это программа
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #65

71. Сообщение от Ivan_83 (ok), 17-Окт-24, 13:18	+5 +/–
Вывод только один: растисты и прочие фонатики безопасности не умеют считать потому что не манагеры. Уязвимость - разновидность деффекта ПО, читай бага. Каждая такая бага имеет свою цену ущерба потенциального и реального, и цену исправления. Как правило потенциальный ущерб оценивается в +бесконечность: миллиарды систем содержат ошибку. И фонатики с этим носятся как с концом света. Реальный как правило весьма незначителен из за большой фрагментации экосистемы и прочих факторов которые митигируют возможность проявления/использования ошибки и её реальный ущерб. Реальная ошибка принёсшая большой ущерб и неудобства - обнова краудстрайка. Всякие там дырки когда можно было скачать закрытый ключ из за ошибки в опенссл - это фигня: серт перевыпустили, админы поработали лишних 5 минут за месяц. А уж всякие там переполнения с рутом - да там реальный ущерб сремится в нулю.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #34 Ответы: #79, #101

72. Сообщение от Аноним (-), 17-Окт-24, 13:18	+/–
> Ну ок, в чем проблема выложить проприетарные исходники? В том что за их "охрану" отвечают владельцы. Которые зачастую активнее, чем аморфное сообщество и даже чем всякие НКО. И которые готовы нанять юристов и напинать нарушителю. Попробуй на гитахб выложить какие-то утекшие исходники и посмотрим как быстро тебя забанят.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #68

73. Сообщение от Аноним (60), 17-Окт-24, 13:21	+1 +/–
Странно, исходя из заголовка, подумалось что гугл опубликовали факапы своего софта. Однако нет - больше похоже на "гасить конкурентов в зародыше"
Ответить \| Правка \| Наверх \| Cообщить модератору

74. Сообщение от Ivan_83 (ok), 17-Окт-24, 13:23	+/–
Так же как адепты бизпасной разработки пишут обноснования: вот тут на нашем чудном языке вероятность ошибки будет на 10% ниже потому что язык компилит часами и проверяет кучу всего сам. 10% - это экономия 10005000 миллиардом долларов потому что наш софт установлен на милиардах девайсов и на каждом девайсе может быть очень ценная инфа которую потеряют/украдут, инфа сотка! И того перемножаем 10005000 миллиардов на пару миллиардов девайсов и хотя бы по 100 баксов ущерба с девайса - вот мы вам тут своим чудным языком предотвратили ущербу на 10 годовых бюджетов сша, давайте нам премию и мы пошли дальше закорючки писать, результата не ждите, оно там проверят ошибки долго.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #37 Ответы: #80

79. Сообщение от Аноним (-), 17-Окт-24, 13:40	–2 +/–
> Каждая такая бага имеет свою цену ущерба потенциального и реального, и цену исправления. Именно. А еще затраты на QA, перепроверки и тд. > Как правило потенциальный ущерб оценивается в +бесконечность: миллиарды систем содержат ошибку. Ошибка ошибке рознь. Когда можно получить удаленно рут и этим уже пользуются злые дядьки, то ущерб можно посчитать. > Реальный как правило весьма незначителен из за большой фрагментации экосистемы и прочих факторов Вообще ничем не подтвержденное утверждение. Больше похоже на маняфантазии из когорты "мне хочется так думать". Подумай у скольких людей могла быть такая уязвимость "Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранением критической уязвимости" приводящая к выполнению кода на уровне процесса обработки контента при открытии специально оформленных страниц opennet.ru/opennews/art.shtml?num=62023 Открыл страничку, браузер тебя и сломал. Здорово, правда! (с) Особенно если это был ТОР и кого-то в итоге набутылили. Ну ладно, у фуррифокса сейчас не лучшие времена и каких-то 200 лямов потенциальных пострадавших. Тогда что скажешь о такой? - Критическая 0-day уязвимость в Chrome и libwebp, эксплуатируемая через изображения WebP "позволяет выполнить свой код при обработке специально оформленных WebP-изображений. Опасность уязвимости усугубляет то, что в сети выявлен рабочий эксплоит, который уже применяется злоумышленниками для совершения атак (0-day)" - т.е злые дядьки уже ею пользовались opennet.ru/opennews/art.shtml?num=59746 Проблемы затронули Chrome, Safari, Firefox, Thunderbird и многочисленные продукты, использующие libwebp, движок Chromium или платформу Electron. Но ты можешь дальше убеждать себя большой фрагментации и незначительности импакта. > Всякие там дырки когда можно было скачать закрытый ключ из за ошибки в опенссл - это фигня: серт перевыпустили, админы поработали лишних 5 минут за месяц. И заодно украли твои данные или подписали твоим ключем какой-то троян. Но для тебя это не фигня. Дело то житейское.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #71 Ответы: #85, #92, #125

80. Сообщение от Аноним (-), 17-Окт-24, 13:43	–1 +/–
Прикинь, они в чем-то правы. Критическая 0-day уязвимость в Chrome и libwebp, эксплуатируемая через изображения WebP "позволяет выполнить свой код при обработке специально оформленных WebP-изображений. Опасность уязвимости усугубляет то, что в сети выявлен рабочий эксплоит, который уже применяется злоумышленниками для совершения атак (0-day)" opennet.ru/opennews/art.shtml?num=59746 Проблемы затронули Chrome, Safari, Firefox, Thunderbird и многочисленные продукты, использующие libwebp, движок Chromium или платформу Electron. И как вишенка на торте - оно уже использовалось. А теперь прикинь сколько пользователей только у Хрома? Но конечно проще писать дырявый внокод и рассказывать "авось пронесет". Как хорошо, что такие как ты ни на что в большой разработке не влияют))
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #74 Ответы: #83, #84

83. Сообщение от Аноним (83), 17-Окт-24, 13:51	+4 +/–
Как хорошо что в большой разработке про раст никто даже не слышал.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #80

84. Сообщение от Ivan_83 (ok), 17-Окт-24, 13:54	+2 +/–
Вы как раз из тех у кого ущерб от ошибки = колличество инсталляций где этот код есть * ххх. А ничего что: - в венде есть DEP, есть другие платформы где расположение в памяти будет совсем не такое как на машине где писали эксплоит, а какомнить OpenBSD вообще W^X и куча ещё всего. - картинку ещё надо откуда то скачать, она сама себя не покажет
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #80 Ответы: #89, #121

85. Сообщение от Ivan_83 (ok), 17-Окт-24, 13:59	+2 +/–
> Подумай у скольких людей могла быть такая уязвимость Я думаю у 1 - того кто её нашёл, и что дальше?) > Открыл страничку, браузер тебя и сломал. Здорово, правда! (с) Вы теоретик с фобиями. Я ниже расписал что нужно не хило постаратся чтобы просто на монолитной венде это проэксплуатировать, а вы размахнулись сразу на всю галлактику. > И заодно украли твои данные или подписали твоим ключем какой-то троян. Вы вообще понимаете что пишите? Та ошибка приводила к утечке закрытого ключа для TLS, максимум что можно было с ним сделать - поднять у себя такой же сайт/прокси и снифать трафик, только для этого нужно было взять под контроль DNS жертвы или встать на пути её траффика. Если вам кажется что это легко - вам определённо кажется.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #79 Ответы: #86, #87

86. Сообщение от Аноним (-), 17-Окт-24, 14:23	+/–
>> Подумай у скольких людей могла быть такая уязвимость > Я думаю у 1 - того кто её нашёл, и что дальше?) Тебе черным по желтому написали "в сети выявлен рабочий эксплоит, который уже применяется злоумышленниками для совершения атак" Т.е как минимум не один. Не надо свои фантазии рассказывать Для того чтобы загрузилась картинка, достаточно чтобы она была на сайте. Давай поговорим об ущербе от шифровальщиков. Например от ESXiArgs - уязвимость CVE-2021-21974 heap-based overflow. Кроссплатформенный Luna (кстати написан на Rust, бггг)) возможно им понадобился надежный код, а не очередная дырень) Или заточенные под линукс RansomEXX и QNAPcrypt. Тот же Lilocked заразил больше 6к серваков. Ты же понимаешь, что даже востановление из бекапов, это тоже затраты, так еще и пользовательские данные могут потеряться или утечь. Плюс приостановка работы сервиса может стать для компании фатальным. Естественно все вышеописанное не касается бракоделов или админов локалхостов. > Вы теоретик с фобиями. Угу, угу...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #85 Ответы: #91

87. Сообщение от Аноним (87), 17-Окт-24, 15:00	+/–
>к утечке закрытого ключа для TLS, максимум что можно было с ним сделать - поднять у себя такой же сайт/прокси Послушай, дарагой! Закрытый ключ TLS - это не только про сертификаты Х509. Это еще про шифрование сессий HTTPS и VPN (SSL). Смена закрытого ключа, в случае его компроментации, защищает от расшифровки будущих сессий. А вот в случае отсутствия настройки Perfect forward secrecy (в реальности мало кто заботится), при утечке закрытого ключа все прошлые сессии подлежат расшифровке. Вот где главная угроза! А ты про сертификаты...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #85 Ответы: #94

88. Сообщение от Аноним (88), 17-Окт-24, 15:17	+2 +/–
а какие ещё есть способы сделать собственноручно свой магазин, прикрутить туда платёжный сервис и что-то продавать? (не в рф)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #66 Ответы: #90

89. Сообщение от 1 (??), 17-Окт-24, 15:54	+/–
2 чая ... Я про картинку ... Вот если бы запихали вредоноса в favicon какого-нибудь microsoft.com - вот тогда бы и повеселились ... Что ещё ? В спам рассылке картинку прислать и надеяться на то, что юзверь письмо лисой посмотрит ?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #84 Ответы: #95

90. Сообщение от 1 (??), 17-Окт-24, 15:56	+/–
Да и в рф этого WooCommerce дофига. Не на тильде же магаз делать, где каждый товар отдельная страничка не из БД.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #88

91. Сообщение от Ivan_83 (ok), 17-Окт-24, 16:06	+1 +/–
> Т.е как минимум не один. Не надо свои фантазии рассказывать Ок, пусть будет 2. :) Вы просто маленький и не застали реальных массовых эпидемий, только вот они кончились очень давно, за долго до появления даже мысли сочинять чудные языки. iloveyou, codered - это вам погуглить и узнать как оно было. Был ещё velchna или тому подобные, которые через smb на XP пролезали, тогда в ОС не было фаера и хватало 5 секунд после диалап подключения чтобы поймать его. > Для того чтобы загрузилась картинка, достаточно чтобы она была на сайте. На каком сайте? Кто и зачем на такой сайт полезет? Я вот за день, если не занимаюсь поисковым исследованием, то захожу на менее чем 10 сайтов, одни и те же. Большинство дальше социалок не выходит, для них это и есть интернет. > Например от ESXiArgs - уязвимость CVE-2021-21974 heap-based overflow. И? Сколько там реальный ущерб то? Поди даже до ляма зелени не дотянул, если не слушать мартышек про "упущенны милларды прибыли, репутационные потери в триллионы долларов", а по факту там админу на час работы, те 50 баксов максимум. Ну может ещё 50 баксов счета за дополнительно потраченное электричество. > Тот же Lilocked заразил больше 6к серваков. 6к серваков - это ваш ущерб галлактического масштаба? Там хоть на 100 баксов чего ценного было?) > Плюс приостановка работы сервиса может стать для компании фатальным. Ещё раз для тех кто отбитый танком: у тех кому реально критично - всё отработано ещё 20 лет назад, а на самом деле все практики и методики ещё сильно старше даже чем ИТ. Если компания хостед свою "критичную" инфраструктуру на мамкином сервере под кроватью - им никакой бизапасный язык не поможет никогда вообще никак. Для всех остальных есть риск манагемент, процедуры восстановления и тп. Да, это не бесплатно, но и не космос по деньгам, и помогают они не только против программных деффектов но и много в каких ещё случаях. Вы зачем то всё пытаетесь свести только к одной супернадёжной защите, в реальности ни одна суперзащиа ни одно супер оружие (в едином количестве) ни один супер удар не работают, всегда делается пачка всякого разного, чтобы погасить-минимизировать-локализовать-откатить-подсраховать и тп. Это у вас уровень: "миня ломанут через дырявую прогу, надо бизапасный язык чтобы прога была ниуязвима иначе жисть кончена". В реальности у адекватных людей куча мер. И прогу они могут завернуть в виртуалку или порезать права так что оно будет со скрипом делать только то что нужно, растащить по разным ЛОКАЦИЯМ разные сервисы так чтобы компроментация/разрушение одного не приводила к эскалации ущерба, и риски ущерба свести к нулю и бэкапами и дополнительным контролем транакций и откатить транзакции тоже часто можно, дополнительно сверху риски у страховщиков застраховать на реальное бабло.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #86 Ответы: #97

92. Сообщение от Аноним (92), 17-Окт-24, 16:15	+/–
> затраты на QA Никаких затрат, если есть штат. > Когда можно получить удаленно рут Если да кабы.. > приводящая к выполнению кода на уровне процесса обработки контента С правами пользователя. > Открыл страничку, браузер тебя и сломал. Если браузер в песочнице (типа Flatpak), то до пользовательских файлов не добраться. > при открытии специально оформленных страниц Серваки - сразу мимо. > позволяет выполнить свой код при обработке специально оформленных WebP-изображений С правами пользователя. А если браузер в..., ну ты понял. > незначительности импакта. Есть пострадавашие? Нету? Я так и думал. > украли твои данные Которые и так отправлялись на чужой сервер. И то, если успели сдампать до раскрытия/исправления. > подписали твоим ключем какой-то троян Отозвал-поменял ключ шелл-скриптом и спишь спокойно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #79

93. Сообщение от Аноним (93), 17-Окт-24, 16:15	+/–
>Какой вывод можно сделать? Злоумышленники становятся умнее и расторопнее, не ждут когда для них обнаружат и опубликуют уязвимость, а сами находят. Значит большой спрос. Кто виноват? Рыночная экономика
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #34 Ответы: #129

94. Сообщение от Ivan_83 (ok), 17-Окт-24, 16:19	+/–
Так я вам говорю - бабло то где? Хоть одна саксес стори есть про то как злые хакеры стащили таким образом TLS сертификат, а потом с его помощью кого то грабанули расшифровав до этого записанный траффик или вклинившись посредине и посмотрев/поменяв там что то? Всё это как новости "к 2999 году мы будем вперде всех и импортозаместим производство туалетной бумаги!". Только у бизапасников: "вот эта фигня используется на 100500 хостах - теперь они все жертвы, ущерб может достигать триллиарды миллионов долларов". А на практике очкарик в лабе кое как написал PoC который только у него и только там работает и зарегал CVE. А чтобы это монетизировать в криминальном аспекте надо ещё проделать кучу работы, притом часто оказывается что на практике это использовать не получится потому что есть 100500 реальных препядствий как до запуска этого PoC так и после того как он успешно отработает до момента когда реальное бабло придёт тебе на счёт/в руки. Сходите почитайте как даркнет работает и какой там workflow длинный от момента когда PoC продали до момента когда с его помощью + 100500 других штук вытащили реальное бабло.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #87 Ответы: #117