Перейти к содержанию

Какое ПО следует обновлять в первую очередь | Блог Касперского

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Установка обновлений — это по определению процесс бесконечный. Настолько бесконечный, что на обновление вообще всего имеющегося в инфраструктуре софта и примкнувшего к нему железа может просто не хватать ресурсов. В среднем каждый день — и не только рабочий — находят десятки новых уязвимостей и, соответственно, каждый месяц выпускают многие сотни и даже тысячи заплаток для них.

Возникает вопрос: какие обновления должны быть в приоритете? Вообще говоря, однозначного ответа на него нет. Стратегии установки патчей могут быть очень разными, и какая из них сработает лучше в вашем случае — зависит от разных обстоятельств. В этом же посте я собираюсь порассуждать о том, что стоит обновлять в первую очередь, исходя из потенциальной опасности эксплуатации уязвимостей.

Уязвимости есть? А если найду?

Некоторые считают, что количество обнаруженных уязвимостей говорит о качестве программного продукта. Иначе говоря, если где-то постоянно обнаруживают дырки, то это плохая программа. А хорошая — это та, где багов отродясь не находили. И, соответственно, учитывают эти соображения при выборе софта для компании.

Это, разумеется, заблуждение: количество найденных уязвимостей в общем случае говорит только о популярности программы, а вовсе не о том, насколько хорошо она сделана. Баги есть во всем. Просто обычно их находят там, где больше ищут. Конечно, можно использовать какой-то всеми забытый программный продукт, потому что в нем еще не ступала нога человека не обнаруживали уязвимости. Но это плохая политика: а ну как копнут и найдут сразу пачку?

Поэтому, если уж на то пошло, обращать внимание надо не на количество багов, найденных в том или ином софте, а на время реакции разработчика и, что тоже немаловажно, качество этой реакции. Если заплатки выпускают быстро и регулярно — это хорошо. Если медленно, спорадически и каждый раз изо всех сил пытаются делать вид, что ничего страшного не случилось, — это плохо, вот такого софта стоит избегать.

Еще полезно, когда у разработчика есть программа «баг баунти». Вообще отлично, если она открыта для всех желающих. А вот информация о том, что компания-разработчик угрожала судебными исками обнаружившим дырку исследователям (да-да, такое бывает чаще, чем можно было бы подумать) или действительно потащила кого-то за найденные уязвимости в суд, — это совсем плохо.

 

Посмотреть статью полностью

Ссылка на комментарий
Поделиться на другие сайты
Umnik Корифей

Umnik

Опубликовано
Опубликовано
Quote

Некоторые считают, что количество обнаруженных уязвимостей говорит о качестве программного продукта. Иначе говоря, если где-то постоянно обнаруживают дырки, то это плохая программа. А хорошая — это та, где багов отродясь не находили. И, соответственно, учитывают эти соображения при выборе софта для компании.

Это, разумеется, заблуждение: количество найденных уязвимостей в общем случае говорит только о популярности программы, а вовсе не о том, насколько хорошо она сделана. Баги есть во всем.

Автор либо повторяет заблуждение других в статье, либо заблуждается сам, но не понимает, где именно.

Quote

если где-то постоянно обнаруживают дырки, то это плохая программа. А хорошая — это та, где багов отродясь не находили

Построено так, будто оба утверждения являются одним целым, но это заблуждение. И мало того, тут ещё недопустимые упрощения. Смотрите:

Quote

если где-то постоянно обнаруживают дырки, то это плохая программа

Кажется, что да. Однако:

  • Находят уязвимости ITW ("в дикой природе") или же находят сами разработчики или нанятые ими аудиторы? Если первое - программа действительно плохая. Если второе - разработчики делают аудит и постоянно следят за качеством
  • Уязвимости потенциальные или легко эксплуатируемые? Если первое — это вовсе не так страшно, как можно подумать. Иногда вплоть до "это не считается". Потому что стоимость атаки, напомню, должна быть ниже стоимости данных. И атаки на _потенциальные_ проблемы могут быть абсурдно дорогими, вплоть до того, что под силу только государствам. Если же проблемы легко эксплуатируемые — это однозначно плохо

Итого: если где-то постоянно находят дырки, которые не сложно эксплуатировать и это находят не разработчики/их аудиторы — это однозначно плохая программа.

 

Перейдём ко второй части:

Quote

А хорошая — это та, где багов отродясь не находили

Нет! Это фундаментальное заблуждение. Нужно осознать это и тогда будете ловить такие заблуждения сходу. Это про тестирование, но применимо и здесь:

Quote

тестирование не способно сообщить, что проблем нет. Тестирование способно сообщить, что проблемы есть. То есть если тестирование не выявило проблем, это не означает, что проблем нет. Это означает, что тестирование их не выявило и только это. Но если тестирование выявило проблемы, это означает, что проблемы есть.

То есть если дыр не находили, нельзя утверждать, что всё хорошо. И, вроде, ниже об этом сказано. Но это слеплено с прошлым утверждением про нахождение дыр, что приводит к логической ошибке.

 

В целом ниже по тексту написано уже правильно. Но начало очень странное. Если Аланна (напомню, считаю её хорошим автором для массового читателя) просто показывала рассуждение обычного человека, то претензии снимаю. Очень вероятно, что я спотыкаюсь на вот этих рассуждениях просто из-за того, что имею отношение к этой области и потому рассуждаю чуть иначе.

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Как следить за владельцами автомобилей Kia через Интернет | Блог Касперского
      От KL FC Bot
      Группа исследователей безопасности обнаружила серьезную уязвимость в веб-портале, принадлежащем южнокорейскому автопроизводителю Kia, которая позволяла удаленно взламывать автомобили и следить за их владельцами. При этом, по сути, для взлома достаточно было всего лишь знать автомобильный номер потенциальной жертвы. Рассказываем подробнее об этой уязвимости.
      Слишком подключенные автомобили
      Не все об этом задумываются, но автомобили за последние пару десятилетий превратили в очень большие компьютеры на колесах. Даже не самые «умные» из них под завязку напичканы всевозможной электроникой и оборудованы целой кучей датчиков — от сонаров и видеокамер до датчиков движения и GPS.
      В последние же годы автомобили — это чаще всего не просто компьютеры, но компьютеры, постоянно подключенные к Интернету, со всеми вытекающими последствиями. Не так давно мы уже писали о том, как современные автомобили собирают массу данных о своих владельцах и передают их автопроизводителям. А также о том, как автоконцерны продают собранные данные другим компаниям, в частности страховщикам.
      Но у этой проблемы есть также и другая сторона. Постоянное подключение автомобиля к Интернету означает, что при наличии уязвимостей — как в самом автомобиле, так и в облачной системе, с которой он коммуницирует — кто-нибудь может ими воспользоваться для взлома и слежки за владельцем авто без ведома автопроизводителя.
      Так называемое «головное устройство» автомобиля — это лишь верхушка айсберга, на самом деле электроники в современных авто гораздо больше
       
      View the full article
    • KL FC Bot
      Как сделать, чтобы компанию снова не взломали | Блог Касперского
      От KL FC Bot
      Серьезные ИБ-инциденты порой затрагивают многих участников, зачастую и тех, кто повседневно не занимается вопросами ИТ и ИБ. Понятно, что в первую очередь усилия сосредоточиваются на выявлении, сдерживании и восстановлении, но, когда пыль немного осядет, наступает время для еще одного важного этапа реагирования — извлечения уроков. Чему можно научиться по итогам инцидента? Как улучшить шансы на успешное отражение подобных атак в будущем? На эти вопросы очень полезно ответить, даже если инцидент не принес существенного ущерба из-за эффективного реагирования или просто удачного стечения обстоятельств.
      Немного о людях
      Разбор инцидента важен для всей организации, поэтому к нему обязательно привлекать не только команды ИТ и ИБ, но также высшее руководство, бизнес-владельцев ИТ-систем, а также подрядчиков, если они были затронуты инцидентом или привлекались к реагированию. На встречах этой рабочей группы нужно создать продуктивную атмосферу: важно донести, что это не поиск виноватых (хотя ошибки будут обсуждаться), поэтому перекладывание ответственности и манипулирование информацией исказят картину, повредят анализу и ухудшат позицию организации в долгосрочной перспективе.
      Еще один важный момент: многие компании скрывают детали инцидента в страхе за репутацию или опасаясь повторной кибератаки по тому же сценарию. И хотя это вполне объяснимо и некоторые подробности действительно конфиденциальны, нужно стремиться к максимальной прозрачности в реагировании и делиться подробностями атаки и реагирования если не с широкой публикой, то как минимум с узким кругом коллег из сферы ИБ, которые могут предотвратить похожие атаки на свои организации.
       
      View the full article
    • KL FC Bot
      «Лаборатория Касперского» обнаружила криптовалютную игру от APT Lazarus | Блог Касперского
      От KL FC Bot
      Игра Battle City, более известная как танчики, — символ давно ушедшей эпохи. Около 30 лет назад геймеры вставляли картридж в приставку, садились за пузатые телевизоры и пачками уничтожали вражеские танки до тех пор, пока кто-нибудь им не скажет про «кинескоп, который вот-вот должен сесть».
      Сегодня мир совсем другой, а танчики по-прежнему популярны. Дело в том, что современные аналоги предлагают геймерам не только поиграть, но и заработать NFT-токены. Злоумышленники тоже кое-что предлагают: сложную атаку для любителей криптовалютных игр.
      Бэкдор и эксплойт уязвимости нулевого дня в Google Chrome
      Эта история началась в феврале 2024 года, когда наше защитное решение обнаружило проникновение бэкдора Manuscrypt на компьютер пользователя из России. Такой бэкдор нам давно известен, его различные версии используют члены группировки APT Lazarus как минимум с 2013 года. Но что особенного в этой истории, если мы прекрасно знаем основной инструмент и методы работы злоумышленников?
      Дело в том, что эти хакеры обычно нацелены на крупные организации: банки, IT-компании, университеты и даже правительственные организации. Теперь руки Lazarus дотянулись до физических лиц — бэкдор на компьютере частного пользователя! Киберпреступники заманили жертву на сайт игры и получили полный доступ к ее компьютеру. Злоумышленникам удалось это сделать благодаря трем составляющим:
      невероятному желанию жертвы сыграть в любимые танчики в новой оболочке; уязвимости нулевого дня в Google Chrome; наличию эксплойта, позволявшего удаленно выполнить код в процессе Google Chrome. Для тех, кто переживает: компания Google выпустила обновление браузера, заблокировала сайт танчиков и поблагодарила исследователей безопасности «Лаборатории Касперского». Но на всякий случай: наши продукты детектируют и бэкдор Manuscrypt, и эксплойт. Подробности этой истории мы раскрыли в блоге Securelist.
       
      View the full article
    • KL FC Bot
      Kaspersky Who Calls: инструкция по настройке | Блог Касперского
      От KL FC Bot
      Kaspersky Who Calls — приложение для защиты от телефонных мошенников и спама, имеющее бесплатную и платную версии. Рассказываем, как выбрать нужную версию, установить и настроить Kaspersky Who Calls для максимального уровня защиты.
      Для чего нужен и как работает Who Calls
      Телефонные мошенники с каждым годом становятся все изобретательнее, придумывая новые и новые схемы обмана. Наиболее опасны они для доверчивых подростков и людей старшего возраста, но жертвами их убедительности порой становятся даже профессионалы вроде главного эксперта Центробанка.
      Не меньшее зло — и постоянный телефонный спам: предложения взять кредит, списать долги, бесплатно пройти медицинское обследование, вылечить зубы или записать ребенка на кастинг. И даже если спам-звонки не переходят в мошеннические разводки, они раздражают и отнимают ваше время.
      Для защиты от мошеннических и спамерских звонков уже больше шести лет мы предлагаем использовать Kaspersky Who Calls. Это определитель номера и блокировщик мошеннических и спам-звонков с гибкими возможностями настройки, которые подойдут как людям, желающим все держать под контролем, так и пенсионерам или подросткам, для которых важно автоматически блокировать все нежелательные звонки.
      У Who Calls две версии: бесплатная и премиум.
      В бесплатной версии доступны информация о звонящем — как во время звонка, так и в списке вызовов — и, по вашему желанию, автоматическая блокировка всех спам-звонков.
       
      View the full article
    • KL FC Bot
      Бэкдор в задании для разработчиков на GitHub | Блог Касперского
      От KL FC Bot
      Как правило, разработчики ПО являются как минимум продвинутыми пользователями компьютеров. Поэтому может сложиться впечатление, что они с большей вероятностью смогут выявить и отразить атаку злоумышленников. Но, как показывает практика, от социальной инженерии не защищен никто — надо лишь найти к человеку правильный подход. В случае IT-специалистов таким подходом часто может стать предложение хорошо оплачиваемой работы в престижной компании. В погоне за вакансией мечты даже опытные айтишники иногда теряют осторожность и начинают вести себя ничем не лучше школьников, скачивающих пиратские игры из Интернета. А реальной целью (а точнее жертвой) атаки может стать его текущий работодатель.
      Недавно стало известно о новой схеме, которую хакеры используют для заражения компьютеров интересующих их разработчиков: под видом тестового задания они подсовывают соискателям скрипт с бэкдором. И это не изолированный случай, а лишь самая свежая итерация хорошо отлаженного процесса. Хакеры уже несколько лет активно используют фейковые вакансии для охоты на IT-специалистов — и в ряде случаев добиваются поистине оглушительного успеха.
      Казалось бы, это должно быть личной проблемой айтишника. Но в современных условиях велика вероятность, что и основную работу, и тестовое задание на новую вакансию специалист будет делать на одной и той же машине. То есть под угрозой может оказаться не только личная, но и корпоративная информация.
      Фейковая вакансия, криптоигра и ограбление на $540 миллионов
      Один из самых громких случаев успешного применения тактики фейковой вакансии произошел в 2022 году. Тогда злоумышленникам удалось связаться (вероятно, через LinkedIn) с одним из старших инженеров компании Sky Mavis, которая разрабатывает криптоигру Axie Infinity, и предложить ему высокооплачиваемую работу.
      Получив заманчивое предложение, сотрудник прилежно прошел несколько инсценированных взломщиками этапов отбора. В итоге все, естественно, закончилось получением оффера, который был отправлен жертве в виде PDF-файла.
       
      View the full article
×
×
  • Создать...