Перейти к содержанию

Какое ПО следует обновлять в первую очередь | Блог Касперского


Рекомендуемые сообщения

Установка обновлений — это по определению процесс бесконечный. Настолько бесконечный, что на обновление вообще всего имеющегося в инфраструктуре софта и примкнувшего к нему железа может просто не хватать ресурсов. В среднем каждый день — и не только рабочий — находят десятки новых уязвимостей и, соответственно, каждый месяц выпускают многие сотни и даже тысячи заплаток для них.

Возникает вопрос: какие обновления должны быть в приоритете? Вообще говоря, однозначного ответа на него нет. Стратегии установки патчей могут быть очень разными, и какая из них сработает лучше в вашем случае — зависит от разных обстоятельств. В этом же посте я собираюсь порассуждать о том, что стоит обновлять в первую очередь, исходя из потенциальной опасности эксплуатации уязвимостей.

Уязвимости есть? А если найду?

Некоторые считают, что количество обнаруженных уязвимостей говорит о качестве программного продукта. Иначе говоря, если где-то постоянно обнаруживают дырки, то это плохая программа. А хорошая — это та, где багов отродясь не находили. И, соответственно, учитывают эти соображения при выборе софта для компании.

Это, разумеется, заблуждение: количество найденных уязвимостей в общем случае говорит только о популярности программы, а вовсе не о том, насколько хорошо она сделана. Баги есть во всем. Просто обычно их находят там, где больше ищут. Конечно, можно использовать какой-то всеми забытый программный продукт, потому что в нем еще не ступала нога человека не обнаруживали уязвимости. Но это плохая политика: а ну как копнут и найдут сразу пачку?

Поэтому, если уж на то пошло, обращать внимание надо не на количество багов, найденных в том или ином софте, а на время реакции разработчика и, что тоже немаловажно, качество этой реакции. Если заплатки выпускают быстро и регулярно — это хорошо. Если медленно, спорадически и каждый раз изо всех сил пытаются делать вид, что ничего страшного не случилось, — это плохо, вот такого софта стоит избегать.

Еще полезно, когда у разработчика есть программа «баг баунти». Вообще отлично, если она открыта для всех желающих. А вот информация о том, что компания-разработчик угрожала судебными исками обнаружившим дырку исследователям (да-да, такое бывает чаще, чем можно было бы подумать) или действительно потащила кого-то за найденные уязвимости в суд, — это совсем плохо.

 

Посмотреть статью полностью

Ссылка на комментарий
Поделиться на другие сайты

Quote

Некоторые считают, что количество обнаруженных уязвимостей говорит о качестве программного продукта. Иначе говоря, если где-то постоянно обнаруживают дырки, то это плохая программа. А хорошая — это та, где багов отродясь не находили. И, соответственно, учитывают эти соображения при выборе софта для компании.

Это, разумеется, заблуждение: количество найденных уязвимостей в общем случае говорит только о популярности программы, а вовсе не о том, насколько хорошо она сделана. Баги есть во всем.

Автор либо повторяет заблуждение других в статье, либо заблуждается сам, но не понимает, где именно.

Quote

если где-то постоянно обнаруживают дырки, то это плохая программа. А хорошая — это та, где багов отродясь не находили

Построено так, будто оба утверждения являются одним целым, но это заблуждение. И мало того, тут ещё недопустимые упрощения. Смотрите:

Quote

если где-то постоянно обнаруживают дырки, то это плохая программа

Кажется, что да. Однако:

  • Находят уязвимости ITW ("в дикой природе") или же находят сами разработчики или нанятые ими аудиторы? Если первое - программа действительно плохая. Если второе - разработчики делают аудит и постоянно следят за качеством
  • Уязвимости потенциальные или легко эксплуатируемые? Если первое — это вовсе не так страшно, как можно подумать. Иногда вплоть до "это не считается". Потому что стоимость атаки, напомню, должна быть ниже стоимости данных. И атаки на _потенциальные_ проблемы могут быть абсурдно дорогими, вплоть до того, что под силу только государствам. Если же проблемы легко эксплуатируемые — это однозначно плохо

Итого: если где-то постоянно находят дырки, которые не сложно эксплуатировать и это находят не разработчики/их аудиторы — это однозначно плохая программа.

 

Перейдём ко второй части:

Quote

А хорошая — это та, где багов отродясь не находили

Нет! Это фундаментальное заблуждение. Нужно осознать это и тогда будете ловить такие заблуждения сходу. Это про тестирование, но применимо и здесь:

Quote

тестирование не способно сообщить, что проблем нет. Тестирование способно сообщить, что проблемы есть. То есть если тестирование не выявило проблем, это не означает, что проблем нет. Это означает, что тестирование их не выявило и только это. Но если тестирование выявило проблемы, это означает, что проблемы есть.

То есть если дыр не находили, нельзя утверждать, что всё хорошо. И, вроде, ниже об этом сказано. Но это слеплено с прошлым утверждением про нахождение дыр, что приводит к логической ошибке.

 

В целом ниже по тексту написано уже правильно. Но начало очень странное. Если Аланна (напомню, считаю её хорошим автором для массового читателя) просто показывала рассуждение обычного человека, то претензии снимаю. Очень вероятно, что я спотыкаюсь на вот этих рассуждениях просто из-за того, что имею отношение к этой области и потому рассуждаю чуть иначе.

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      Легенды гласят, что наши смартфоны нас подслушивают. Оказывается, делать им это совсем не обязательно — информации, которую передают брокерам данных практически все установленные на вашем смартфоне приложения, от игр до прогноза погоды, с лихвой достаточно, чтобы составить на вас полное досье. И если долгое время под «слежкой в Интернете» подразумевалось, что поисковые и рекламные системы — а с ними и рекламодатели — знают, на какие сайты вы ходите, то с появлением смартфонов ситуация изменилась к худшему — теперь рекламодатели знают, куда вы ходите физически и как часто. Как у них это получается?
      Каждый раз, когда любое мобильное приложение собирается показать рекламу, за ваше внимание проходит молниеносный аукцион, определяющий на основании переданных с вашего смартфона данных, какую именно рекламу вам покажут. И, хотя вы видите только рекламу победителя, данные о потенциальном зрителе, то есть о вас, получают все участники торгов. Недавно поставленный эксперимент наглядно показал, как много компаний получают эту информацию, насколько она детализирована и как мало помогают защититься встроенные в смартфоны опции «Не отслеживать меня», «Не показывать персонализированную рекламу» и аналогичные. Но мы все же посоветуем способы защиты!
      Какие данные пользователя получают рекламодатели
      Все мобильные приложения устроены по-разному, но большинство из них начинают «сливать» данные в рекламные сети еще до того, как показать какую-либо рекламу. В вышеописанном эксперименте мобильная игра сразу же после запуска отослала в рекламную сеть Unity Ads обширный набор данных:
      информацию о смартфоне, включая версию ОС, уровень заряда батареи, уровень яркости и громкости, количество свободной памяти; данные о сотовом операторе; тип подключения к Интернету; полный IP-адрес устройства; код «вендора», то есть производителя игры; уникальный код пользователя (IFV) — идентификатор для рекламной системы, привязанный к производителю игры; еще один уникальный код пользователя (IDFA/AAID) — идентификатор для рекламной системы, единый для всех приложений на смартфоне; текущую геолокацию; согласие на рекламную слежку (да/нет). Интересно то, что геолокация передается, даже если она целиком отключена на смартфоне. Правда, приблизительная, вычисленная на базе IP-адреса. Но с учетом имеющихся в общем доступе баз соответствия физических и интернет-адресов, это может быть достаточно точно — с точностью до района города или даже дома. Если же геолокация включена и разрешена приложению, передаются точные данные.
      Согласие на рекламную слежку в описанном случае было передано как «Пользователь согласен», хотя автор эксперимента такого согласия не давал.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Недавно нашему бывшему коллеге пришла подозрительная нотификация от неизвестного ему сервиса GetGhared. Будучи человеком осторожным, он не стал переходить по ссылке, а сразу переслал уведомление нам. Проанализировав письмо, мы выяснили, что это действительно работа мошенников, а судя по статистике наших почтовых защитных решений, сервис для отправки больших файлов GetShared стал использоваться ими достаточно часто. Рассказываем, как выглядит применение GetShared в атаках, зачем злоумышленникам это нужно и как оставаться в безопасности.
      Как выглядит атака при помощи GetShared
      Жертве приходит вполне обычное, совершенно настоящее уведомление от сервиса GetShared, в котором говорится, что пользователю был прислан файл. В письме указаны название и расширение этого файла — например, в случае с атакой на компанию нашего коллеги это был DESIGN LOGO.rar.
      Пример мошеннического письма, распространяемого через уведомление GetShared
      В сопровождающем тексте применяется стандартная фишинговая уловка — мошенники запрашивают цены на что-то, якобы перечисленное в приложении, а для большей убедительности просят уточнить время доставки и условия оплаты.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Исследователь обнаружил уязвимость в PyTorch, фреймворке машинного обучения с открытым исходным кодом. Уязвимость, зарегистрированная под номером CVE-2025-32434, относится к классу Remote Code Execution (RCE) и имеет рейтинг 9,3 по шкале CVSS, то есть категорируется как критическая. Эксплуатация CVE-2025-32434 при определенных условиях позволяет злоумышленнику запускать на компьютере жертвы, скачивающей ИИ-модель произвольный код. Всем, кто использует PyTorch для работы с нейросетями, рекомендуется как можно скорее обновить фреймворк до последней версии.
      Суть уязвимости CVE-2025-32434
      Фреймворк PyTorch, помимо всего прочего, позволяет сохранять уже обученные модели в файл, который хранит веса связей. И, разумеется, загружать их при помощи функции torch.load(). Обученные модели часто выкладываются в общий доступ через разнообразные публичные репозитории и теоретически в них могут быть вредоносные закладки. Поэтому официальная документация проекта в целях безопасности рекомендует использовать функцию torch.load() с параметром weights_only=True (в таком случае загружаются только примитивные типы данных: словари, тензоры, списки, и так далее).
      Уязвимость CVE-2025-32434 заключается в некорректно реализованном механизме десериализации при загрузке модели. Обнаруживший ее исследователь продемонстрировал, что атакующий может создать файл модели таким способом, что параметр weights_only=True приведет к прямо противоположному эффекту — при загрузке будет выполнен произвольный код, способный скомпрометировать среду, в котором запускается модель.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Генерация программного кода стала одной из сфер, где ИИ уже внедрен достаточно широко, — по некоторым оценкам, за минувший год около 40% нового кода было написано ИИ. CTO Microsoft считает, что через пять лет эта цифра достигнет 95%. Этот код еще предстоит научиться правильно сопровождать и защищать.
      Безопасность ИИ-кода эксперты пока оценивают как невысокую, в нем систематически встречаются все классические программные дефекты: уязвимости (SQL-инъекции, вшитые в код токены и секреты, небезопасная десериализация, XSS), логические дефекты, использование устаревших API, небезопасные алгоритмы шифрования и хеширования, отсутствие обработки ошибок и некорректного пользовательского ввода и многое другое. Но использование ИИ-ассистента в разработке ПО добавляет еще одну неожиданную проблему — галлюцинации. В новом исследовании авторы подробно изучили, как на ИИ-код влияют галлюцинации больших языковых моделей. Оказалось, что некоторых сторонних библиотек, которые ИИ пытается использовать в своем коде, просто не существует в природе.
      Вымышленные зависимости в open source и коммерческих LLM
      Для изучения фантомных библиотек исследователи сгенерировали 576 тысяч фрагментов кода на Python и JavaScript с помощью 16 популярных LLM.
      Модели выдумывали зависимости с разной частотой: реже всего галлюцинировали GPT4 и GPT4 Turbo (вымышленные библиотеки встретились менее чем в 5% образцов кода), у моделей DeepSeek этот показатель уже превышает 15%, а сильнее всего ошибается Code Llama 7B (более 25% фрагментов кода ссылаются на несуществующие библиотеки). При этом параметры генерации, которые снижают вероятность проникновения случайных токенов в выдачу модели (температура, top-p, top-k), все равно не могут снизить частоту галлюцинаций до незначительных величин.
      Код на Python содержал меньше вымышленных зависимостей (16%) по сравнению с кодом на JavaScript (21%). Результат также зависит от того, насколько стара тема разработки. Если при генерации пытаться использовать пакеты, технологии и алгоритмы, ставшие популярными за последний год, несуществующих пакетов становится на 10% больше.
      Самая опасная особенность вымышленных пакетов — их имена не случайны, а нейросети ссылаются на одни и те же библиотеки снова и снова. На втором этапе эксперимента авторы отобрали 500 запросов, которые ранее спровоцировали галлюцинации, и повторили каждый из них 10 раз. Оказалось, что 43% вымышленных пакетов снова возникают при каждой генерации кода.
      Интересна и природа имен вымышленных пакетов. 13% были типичными «опечатками», отличающимися от настоящего имени пакета всего на один символ, 9% имен пакетов были заимствованы из другого языка разработки (код на Python, пакеты из npm), еще 38% были логично названы, но отличались от настоящих пакетов более значительно.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Поучительный инцидент с атакой ransomware-группировки Akira наверняка на несколько лет станет любимым примером ИБ-специалистов. Злоумышленники зашифровали компьютеры организации, воспользовавшись ее видеокамерой. Хотя звучит это очень странно, в развитии событий есть логика, которую легко применить к другой организации и другим устройствам в ее инфраструктуре.
      Анатомия атаки
      Злоумышленники проникли в сеть, проэксплуатировав уязвимость в публично доступном приложении и получив возможность выполнять команды на зараженном хосте. Они воспользовались этим, чтобы запустить популярное приложение дистанционного доступа AnyDesk, а затем инициировали с этого компьютера RDP-сессию для доступа к файл-серверу организации. На сервере они попытались запустить свой шифровальщик, но EDR-система, установленная в компании, опознала вредоносное ПО и поместила его в карантин. Увы, это не остановило атакующих.
      Не имея возможности запустить свой шифровальщик на серверах и обычных компьютерах, которые находятся под защитой EDR, атакующие запустили сканирование внутренней сети и обнаружили в ней сетевую видеокамеру. В отчете команды по расследованию инцидента это устройство постоянно называют веб-камерой (webcam), но мы все же полагаем, что речь не о камере ноутбука или смартфона, а о независимом сетевом устройстве, применяемом для видеонаблюдения.
      Камера стала прекрасной мишенью для атакующих по нескольким причинам:
      устройство давно не обновлялось, его прошивка содержала уязвимости, позволяющие дистанционно скомпрометировать камеру и получить на ней права на запуск оболочки (remote shell); камера работает под управлением облегченной сборки Linux, на которой можно запускать обычные исполнимые файлы этой ОС, например Linux-шифровальщик, имеющийся в арсенале Akira; это специализированное устройство не имело (и, скорее всего, не могло иметь) ни агента EDR, ни других защитных средств, которые могли бы определить вредоносную активность. Злоумышленники смогли установить свое вредоносное ПО на эту камеру и зашифровать серверы организации прямо с нее.
       
      View the full article
×
×
  • Создать...