Комментарии 29
Считается, что публичное разглашение информации — самый эффективный способ поторопить вендора с выпуском патча. Таким образом Google оказывает услугу всем пользователям, заставляя Microsoft пошевелиться.
А что там слышно насчет секьюрити фиксов для всех андроидов, а не только для линейки Nexus/Pixel?
А что там слышно насчет секьюрити фиксов для всех андроидовЭто тот момент который вынуждает меня отказаться от смартфонов. Нет update — как этим пользоваться можно? Так что хорошую задумку (смартфон) убила плохая реализация.
Так что хорошую задумку (смартфон) убила плохая реализация.
Не понял всю трагичность проблемы. Как же люди сегодня пользуются миллиардами смартфонов и планшетов?
Не понял всю трагичность проблемы. Как же люди сегодня пользуются миллиардами смартфонов и планшетов?они рискуют подвергнуться взлому
они рискуют подвергнуться взлому
Ну точно так же все пользователи компьютеров рискуют подвергнуться взлому. Взлому подвергаются даже самые защищенные системы. Это ведь не повод отказываться от использования техники?
Ну на компьютерах ОС более менее обновляться, в отличии от телефонов. У меня уже несколько лет на телефон не приходило обновлений.
Я о том, что с обновлениями или без — хакали всех всегда во все времена. Недавно были громкие новости о взломе российского банка (банков), даже карты перестали принимать в магазинах. Ну и что — помогли банкам обновления? Я не к тому, что обновления нафиг не нужны, а к тому, что они могут не помочь, это во-первых, во-вторых — это не повод радикально отказываться от чего-то, и в третьих: ваша безопасность — в ваших руках, т.к. зачастую факт взлома является следствием глупого или халатного поведения хакнутого человека.
Если у вас iPhone достаточно современный, то на него по-прежнему приходят обновления.
Если у вас Google Nexus достаточно современный, то на него приходят обновления.
Если у вас что-то другое, то это повод
а) перейти на CyanogenMod
б) купить телефон с долговременной поддержкой от производителя
Если у вас Google Nexus достаточно современный, то на него приходят обновления.
Если у вас что-то другое, то это повод
а) перейти на CyanogenMod
б) купить телефон с долговременной поддержкой от производителя
Реальность убила, поддержка стоит денег, но не приносит их.
Как же вы банкоматами пользуетесь. И терминалами оплаты. И читалками
НЛО прилетело и опубликовало эту надпись здесь
На гугло-сервисах свет клином не сошелся. Я, к примеру, полностью от них избавился на собственном планшете, и устройствах домашних, перейдя на аналоги с открытым кодом… У этого есть свои преимущества — заметно увеличилась субъективное ощущение отзывчивости устройств, и среднее время работы (правда, по не слишком точным замерам) от одного заряда батареи…
К тому же, поскольку, не обновляющиеся «китайфоны» составляют довольно значительную долю, от общего числа Android-устройств, Google вряд ли пойдет на подобный шаг… Ведь Google делает деньги на своих сервисах, а такой жест, отсекающий часть клиентов, будет, фактически, означать, добровольную, сознательную передачу этих клиентов, в руки конкурентов, что не слишком разумно, для коммерческой структуры…
К тому же, поскольку, не обновляющиеся «китайфоны» составляют довольно значительную долю, от общего числа Android-устройств, Google вряд ли пойдет на подобный шаг… Ведь Google делает деньги на своих сервисах, а такой жест, отсекающий часть клиентов, будет, фактически, означать, добровольную, сознательную передачу этих клиентов, в руки конкурентов, что не слишком разумно, для коммерческой структуры…
Таким образом Google оказывает услугу всем пользователям, заставляя Microsoft пошевелиться.
Серьёзно? А помоему писателям вредоносного ПО они услугу оказывают попутно макая в грязь конкурента
Google далеко не единственный, кто ищет уязвимости. И скорее всего большинство уязвимостей они находят не первые, ибо есть организации и отдельные личности для которых это основной профиль работы.
Самые опасные писатели вредоносного ПО подобные уязвимости скорее всего уже знают/скупают на черных рынках и давным давно используют.
Школоло даже после опубликования врядли сможет подобным воспользоваться.
А вот не закрыть уязвимость за 90 дней уже после того, как про нее сообщили и описали — для гиганта вроде Microsoft — это неуважение к своим пользователям.
Предложите ваш вариант, как правильно пнуть компанию, чтобы она фиксила даже не баг а уязвимость побыстрее?
Школоло даже после опубликования врядли сможет подобным воспользоваться.
А вот не закрыть уязвимость за 90 дней уже после того, как про нее сообщили и описали — для гиганта вроде Microsoft — это неуважение к своим пользователям.
Предложите ваш вариант, как правильно пнуть компанию, чтобы она фиксила даже не баг а уязвимость побыстрее?
>Таким образом Google оказывает услугу всем пользователям, заставляя Microsoft пошевелиться.
Какое предвзятое отношение к Google. А услуга, получается, медвежья.
Какое предвзятое отношение к Google. А услуга, получается, медвежья.
Услуга, для пользователей, как раз таки, не «медвежья», а вполне реальная: пользователи, зная про не закрытую уязвимость, будут действовать осторожнее, в тех ситуациях, когда могут с этой уязвимость столкнуться. И, вполне возможно, это действительно поторопит вендора с патчем, в настоящем, и мотивирует серьезнее относится к качеству выпускаемых продуктов, в будущем…
Сами-то верите в то, что написали? Как думаете, сколько процентов пользователей Windows узнают об этой уязвимости? А злоумышленники как раз следят за подобными новостями.
Интересно, а если даже узнают что делать? Выключить компьютер и ждать апдейта?
Злоумышленники, те кто занят разработкой эксплойтов, а не школота, вероятнее всего знали об этой уязвимости раньше, возможно, даже до того, как о ней узнал Google. В конце концов — это их бизнес, узнавать и использовать информацию об уязвимостях в ПО, раньше всех остальных. Школота же, больше чем на мелкое хулиганство не способна, и вряд ли будет заморачиваться разработкой эксплойтов по опубликованной информации.
Тем пользователям Windows кто не следит за новостями в области ИБ, по большому счёту, наплевать на ИБ. Такие, как правило, с удовольствием запускают зловредов, на своем ПК, если их просто вежливо попросить об этом…
Тем же пользователям, кому ИБ не «до лампочки», обнародование информации об уязвимости действительно полезно, поскольку позволяет использовать обходные пути, для защиты, до выпуска патча вендором.
Замалчивание информации, об уязвимости, вредит всем: разработчики эксплойтов спокойно используют эту уязвимость при оказании своих услуг всем желающим, в том числе и школоте, вендор не слишком торопится с патчем, а пользователи, даже те, кому это важно, не могут защититься, в силу своего незнания.
Фундаментальный принцип ИБ: необходимо предполагать, что злоумышленник владеет полной информацией обо всех слабостях Вашей системы безопасности, даже о тех что Вам неизвестны. И незнание о какой-либо уязвимости ставит Вас в гораздо менее выгодное положение, чем злоумышленника, который об этой уязвимости знает.
Этот принцип не «высосан из пальца», и отражает реальную ситуацию: как только кому-либо становится известно о очередной уязвимости, эта информация очень быстро распространяется среди злоумышленников. Если человек, нашедший уязвимость, не слишком добропорядочный, и продает информацию об этой уязвимости разработчику эксплойтов, то конкуренты этого разработчика, пытаются всеми силами, также заполучить информацию о найденной уязвимости (как правило, просто покупают её у конкурента, или изначального источника, но также может использоваться шпионаж, обратная разработка эксплойт-пака и т.д.). Даже если человек, нашедший уязвимость, передает информация о ней, только вендору, и больше никому, то эта информация также достаточно быстро попадает в руки злоумышленников, так как векторов её утечки, становится достаточно много: её можно просто украсть, у вендора или изначального источника, или перехватить в процессе передачи, кроме того, работники вендора не ангелы, а простые люди — среди них тоже может оказаться злоумышленник, их можно подкупить, запугать, завербовать другими способами, к вендору можно внедрить собственного человека для целей шпионажа, в конце-концов, работники вендора, могут банально «сболтнуть лишнего»…
Тем пользователям Windows кто не следит за новостями в области ИБ, по большому счёту, наплевать на ИБ. Такие, как правило, с удовольствием запускают зловредов, на своем ПК, если их просто вежливо попросить об этом…
Тем же пользователям, кому ИБ не «до лампочки», обнародование информации об уязвимости действительно полезно, поскольку позволяет использовать обходные пути, для защиты, до выпуска патча вендором.
Замалчивание информации, об уязвимости, вредит всем: разработчики эксплойтов спокойно используют эту уязвимость при оказании своих услуг всем желающим, в том числе и школоте, вендор не слишком торопится с патчем, а пользователи, даже те, кому это важно, не могут защититься, в силу своего незнания.
Фундаментальный принцип ИБ: необходимо предполагать, что злоумышленник владеет полной информацией обо всех слабостях Вашей системы безопасности, даже о тех что Вам неизвестны. И незнание о какой-либо уязвимости ставит Вас в гораздо менее выгодное положение, чем злоумышленника, который об этой уязвимости знает.
Этот принцип не «высосан из пальца», и отражает реальную ситуацию: как только кому-либо становится известно о очередной уязвимости, эта информация очень быстро распространяется среди злоумышленников. Если человек, нашедший уязвимость, не слишком добропорядочный, и продает информацию об этой уязвимости разработчику эксплойтов, то конкуренты этого разработчика, пытаются всеми силами, также заполучить информацию о найденной уязвимости (как правило, просто покупают её у конкурента, или изначального источника, но также может использоваться шпионаж, обратная разработка эксплойт-пака и т.д.). Даже если человек, нашедший уязвимость, передает информация о ней, только вендору, и больше никому, то эта информация также достаточно быстро попадает в руки злоумышленников, так как векторов её утечки, становится достаточно много: её можно просто украсть, у вендора или изначального источника, или перехватить в процессе передачи, кроме того, работники вендора не ангелы, а простые люди — среди них тоже может оказаться злоумышленник, их можно подкупить, запугать, завербовать другими способами, к вендору можно внедрить собственного человека для целей шпионажа, в конце-концов, работники вендора, могут банально «сболтнуть лишнего»…
ахаха, инфоповод чтоб тиснуть про «русскоязычных хакеров», пропаганда на марше.
Ну 14 февраля вообще никакие патчи не вышли, из-за проблемы обанаруженной в последний момент ежемесячное обновление отложили до марта.
Моё мнение, что есть какой то срок договорённостей 7 или 90 дней, после которого если компания производитель не закрыла баг\уязвимость она подвергает опасности своих пользователей, а не гугл или другой публикатор информации. Тебе по тихому сказали где проблема? Ты болт забил? Ты и виноват.
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Google опять раскрыла незакрытую уязвимость в Windows