April 21st, 2017

Ай-да новости: о патчах, громе и мужиках.

"Тятя, тятя, наши сети притащили..." Да, уж, действительно, регулярно наши сети "притаскивают" на берег какие-нибудь непростые новости, от которых леденеет, седеет и даже иногда вызывает нервный смех и фейспалмы. Ну, что, готовы поулыбаться и пофейспалмить над уловом этой недели? Сегодня блюдо дня - уязвимости и разгильдяйство.

5s4kkZ1

1. Пока гром не грянет, мужик не.

На днях мы опубликовали любопытное исследование, которое наглядно подтверждает, что каждый сам кузнец своего счастья и несчастья тоже. Вот например, такая больная тема, как уязвимости в программном обеспечении. Есть софт, в котором баги найдены, софт, в котором баги найдены и пропатчены и софт, в котором баги ещё не найдены. Т.е. уязвимости есть в каждом софте и никуда от этого не деться, поскольку не существует технологии создания абсолютно идеального программного кода. Errare humanum est (с). Ты видишь суслика? Нет? А он есть... (c)

Но! Как бы быстро и эффективно разработчики не патчили свой софт, в конечном счёте температуру по больнице определяют именно пользователи. Точнее - насколько быстро они устанавливают патчи. И вот здесь, увы, ситуация оказывается очень унылая. Выпускай, не выпускай патчи - пользователю, как показало исследование, это фиолетово :( Да, трудно себе представить, чтобы кому-то собственная безопасность была фиолетова, но это так и, причём, в гигантских масштабах.

Вот, например, уязвимость CVE-2010-2568, которую использовал червь Stuxnet. Эту дыру пропатчили семь лет назад, но, несмотря на это, она до сих пор в топе самых "популярных" векторов кибератак у серьёзных киберкриминальных/шпионских групп:

exploits_eng_2

Collapse )