Тема про уязвимости вообще

Статус русского языка в ИТ и в обществе. Аргументы за программирование на русском языке: история, культура, производительность труда, цивилизационная идентичность. Информационная безопасность.
Аватара пользователя
Лис [Вежливый]
Сообщения: 259
Зарегистрирован: 08.10.18 13:32

Тема про уязвимости вообще

Сообщение Лис [Вежливый] » 09.03.19 23:28

Раньше была тема про RedHat и туда неудобно постить разные новости.

Аватара пользователя
Лис [Вежливый]
Сообщения: 259
Зарегистрирован: 08.10.18 13:32

Дыра в Chrome

Сообщение Лис [Вежливый] » 09.03.19 23:42

https://chromereleases.googleblog.com/2 ... sktop.html

https://www.zdnet.com/article/google-ch ... pdf-files/
PDF documents would contact a remote domain with information on the users' device --such as IP address,

https://www.tenable.com/blog/use-after- ... -2019-5786
a Use-After-Free (UAF) vulnerability in FileReader, an application programming interface (API) included in browsers
to allow web applications to read the contents of files stored on a user’s computer.

High CVE-2019-5786
According to Lecigne, CVE-2019-5786 was
used together with a local privilege escalation zero day vulnerability in Windows win32k.sys kernel driver,
which “can be used as a security sandbox escape.”

an exploit for CVE-2019-5786 exists in the wild
can allow attackers to escape the Chrome sandbox and carry out remote code execution attacks on vulnerable systems.

atz
Сообщения: 139
Зарегистрирован: 21.12.18 22:45

Re: Тема про уязвимости вообще

Сообщение atz » 09.03.19 23:54

Что даёт тема обсуждения уязвимостей? Американские технологии - это решето, потому что сделано тяп ляп и "нужно было ещё вчера". Как и многие другие ИТ, потому что область сравнительно молодая, и от уязвимостей люди не гибнут (если центрифуги не крутить). Этого в интернете навалом, есть агрегаторы уязвимостей. Недавно на ЛОРе в новостях пробегала очередная ошибка в ЦПУ интел. Смысл обсуждать?

БудДен
Сообщения: 854
Зарегистрирован: 07.10.18 14:01

Re: Тема про уязвимости вообще

Сообщение БудДен » 10.03.19 10:45

Основная беда от уязвимостей такова, что мы полностью находимся под контролем АНБ. Вот вчера краем глаза увидел заголовок новости о том, что МТС заплатит США почти миллиард долларов за какое-то мошенничество. Как это происходит?

Я доподлинно не знаю, но я бы организовал это так: США, пользуясь своим монопольным положением в ИТ, прослушивает переписку топ-менеджеров. Процесс прослушивания и извлечения смысла из переписки сегодня хорошо налажен, судя по тому, как легко мы сами добываем инфу из гугла. В качестве аналогии, все знают, что Хаббл - это космический телескоп, но не столь хорошо известно, что это лишь один из восьми спутников разведывательной группировки, который был передан астрономам. Таким образом, умножаем возможности гугла на восемь и получаем систему тотальной слежки за всеми людьми, в т.ч. и за менеджерами МТС. Дальше нетрудно найти, как происходит мошенничество, взятки и т.п. Нашим же людям скрывать нечего, душа перед богом чиста. Поэтому они свободно обсуждают криминальную информацию по мобильникам, в электронной почте, голосом в присутствии мобильника. Максимум, деньги "колбаской" назовут. Но в целом уровень шифрования минимален. Учитывая, что вся инфа, включая ключи, передаётся по скомпрометированным каналом, никакой секретности в этих делах фактически нет. А АНБ не так страшен, как ФСБ, потому что он "далеко". Поэтому можно заводить почту на gmail и обсуждать дела в вотсапе и телеграме. Так АНБ получает информацию, позволяющую уличить человека, взять с поличным.

Как, например, вскрылась ситуация с занижением выбросов CO немецкими грузовиками? Наверняка АНБ долго паслись на немецких компьютерах, дальше нашли переписку менеджмента с инженерами, из которой можно было понять, где они обманывают.

Таким образом уязвим абсолютно любой бизнес. Не обманешь - не продашь. Взятка - один из инструментов бизнеса. Т.е. можно собирать инфу по широкому полю, и обязательно найдётся много. Т.е. не собирать грибы, заглядывая под листики, а ехать на комбайне по чистому полю. Дальше остаётся только уличать, подавать иски, получать бабло.

Вы заметили, сколько за последнее время миллиардных исков? США занялись прямым грабежом. И компьютеры тут очень помогают, поскольку они дают возможность уличить любой бизнес и любого чиновника в реальных преступлениях с низкими трудозатратами.

Закладки с технической точки зрения являются уязвимостью. Раскрывая населению глаза на объём уязвимостей, можно создать предпосылки для изменений технологического стека.

atz
Сообщения: 139
Зарегистрирован: 21.12.18 22:45

Re: Тема про уязвимости вообще

Сообщение atz » 10.03.19 11:06

БудДен, а насколько целесообразно это писать/обсуждать в американском интернете? Тоже потому что душа перед богом чиста? Может быть есть более подходящее место?
Населению этот вопрос должен быть уже относительно разъяснён, есть даже фильмы соответствующие. И всяко фильмы нагляднее чем строчка "в ПО xxx найдена уязвимость yyy, которая позволяет zzz"

MihalNik
Сообщения: 87
Зарегистрирован: 05.11.18 11:02

Re: Тема про уязвимости вообще

Сообщение MihalNik » 10.03.19 13:22

БудДен писал(а):
10.03.19 10:45
Дальше нетрудно найти, как происходит мошенничество, взятки и т.п. Нашим же людям скрывать нечего, душа перед богом чиста. Поэтому они свободно обсуждают криминальную информацию по мобильникам, в электронной почте, голосом в присутствии мобильника. Максимум, деньги "колбаской" назовут. Но в целом уровень шифрования минимален.
Ну и хорошо, что разных ублюдков хоть кто-то ловит и наказывает, а то привыкли нагадить и свалить. Грамотные люди свое общение без труда наладят.
МТС заплатит США почти миллиард долларов
Сколько они население затерроризировали своими платными подписками - там всех их партнеров "по Кипрам" можно под санкции и аресты.
БудДен писал(а):
10.03.19 10:45
Как, например, вскрылась ситуация с занижением выбросов CO немецкими грузовиками?
Конкуренты могут запросто измерить, не?
И всяко фильмы нагляднее чем строчка "в ПО xxx найдена уязвимость yyy, которая позволяет zzz"
Ну конечно, 1,5 часа фильма нагляднее одной строчки.

atz
Сообщения: 139
Зарегистрирован: 21.12.18 22:45

Re: Тема про уязвимости вообще

Сообщение atz » 10.03.19 13:59

А кто решает кто ублюдок а кто нет?

БудДен
Сообщения: 854
Зарегистрирован: 07.10.18 14:01

Re: Тема про уязвимости вообще

Сообщение БудДен » 10.03.19 14:22

atz писал(а):
10.03.19 11:06
БудДен, а насколько целесообразно это писать/обсуждать в американском интернете? Тоже потому что душа перед богом чиста? Может быть есть более подходящее место?
Населению этот вопрос должен быть уже относительно разъяснён, есть даже фильмы соответствующие. И всяко фильмы нагляднее чем строчка "в ПО xxx найдена уязвимость yyy, которая позволяет zzz"
Судя по поведению населения - вопрос не разъяснён. Знать уязвимости очень полезно, это - серьёзные аргументы за замену стека технологий. Например, башдор - ну всем прекрасен. Зная о нём, можно аргументировано обсуждать, была ли та или иная система уязвима в таком-то году. Далее сравниваем это
с заявлениями поставщиков и можем навести тень и на их нынешнюю деятельность.

Гибнут ли люди - мы этого на самом деле не знаем. Вообще-то Россия ведёт не менее двух войн в настоящее время. Например, почему был сбит Ил-20? Мы не знаем, какова в этом роль уязвимости компьютеров и мобильников. Далее, современные автомобили высоко автоматизированы, и в них есть каналы связи с внешним миром. И электронное управление тормозной системой, разные там системы управления колёсами, может быть, вплоть до торможения отдельно каждым колесом. А теперь представьте: едет важный человек по дороге, и вдруг где-то в 3 ночи на глухой дороге улетел с дороги и разбился. Водитель заснул за рулём или была заложена мина в тормозную систему?

БудДен
Сообщения: 854
Зарегистрирован: 07.10.18 14:01

Re: Тема про уязвимости вообще

Сообщение БудДен » 10.03.19 14:26

>> МТС заплатит США почти миллиард долларов
> Сколько они население затерроризировали своими платными подписками - там всех их партнеров "по Кипрам" можно под санкции и аресты.
Здорово, но почему эти деньги должны отдать США? Пусть в России отдадут. И вообще, я не знаю, Вы, может быть, живёте в идеальном мире, но в реальном бизнеса без обмана почти что не бывает. Доступ к конфиденциальной информации в офисе любой компании может нанести реальный ущерб. Даже без обмана, есть коммерческая тайна.

> Конкуренты могут запросто измерить, не?
Я не знаю деталей этой ситуации. Но понятно, что при доступе к компьютерам сотрудников любой мухлёж обнаружить на порядок проще. Ведь нужно было ещё догадаться, что мухлёж имеет место.

atz
Сообщения: 139
Зарегистрирован: 21.12.18 22:45

Re: Тема про уязвимости вообще

Сообщение atz » 10.03.19 15:25

Важные люди должны знать или у них должны быть помощники которые знают и подскажут. Президент например у нас на отечественных самолётах летает. И эти вопросы регулярно поднимаются на разных уровнях, импортозамещение вот это всё. Для простого Васяна эта инфа много ли пользы принесёт?
Проблема в том, что многие ИТ специалисты всё это знают но с наглой рожой двигают американские интересы, типа так и должно быть. Или сливают корпоративные документы на сервера конкурентов, типа я у мамки риволюционер, насмотревшись роликов в интернете.

Ответить