Перейти к содержанию

Какое ПО следует обновлять в первую очередь | Блог Касперского

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Установка обновлений — это по определению процесс бесконечный. Настолько бесконечный, что на обновление вообще всего имеющегося в инфраструктуре софта и примкнувшего к нему железа может просто не хватать ресурсов. В среднем каждый день — и не только рабочий — находят десятки новых уязвимостей и, соответственно, каждый месяц выпускают многие сотни и даже тысячи заплаток для них.

Возникает вопрос: какие обновления должны быть в приоритете? Вообще говоря, однозначного ответа на него нет. Стратегии установки патчей могут быть очень разными, и какая из них сработает лучше в вашем случае — зависит от разных обстоятельств. В этом же посте я собираюсь порассуждать о том, что стоит обновлять в первую очередь, исходя из потенциальной опасности эксплуатации уязвимостей.

Уязвимости есть? А если найду?

Некоторые считают, что количество обнаруженных уязвимостей говорит о качестве программного продукта. Иначе говоря, если где-то постоянно обнаруживают дырки, то это плохая программа. А хорошая — это та, где багов отродясь не находили. И, соответственно, учитывают эти соображения при выборе софта для компании.

Это, разумеется, заблуждение: количество найденных уязвимостей в общем случае говорит только о популярности программы, а вовсе не о том, насколько хорошо она сделана. Баги есть во всем. Просто обычно их находят там, где больше ищут. Конечно, можно использовать какой-то всеми забытый программный продукт, потому что в нем еще не ступала нога человека не обнаруживали уязвимости. Но это плохая политика: а ну как копнут и найдут сразу пачку?

Поэтому, если уж на то пошло, обращать внимание надо не на количество багов, найденных в том или ином софте, а на время реакции разработчика и, что тоже немаловажно, качество этой реакции. Если заплатки выпускают быстро и регулярно — это хорошо. Если медленно, спорадически и каждый раз изо всех сил пытаются делать вид, что ничего страшного не случилось, — это плохо, вот такого софта стоит избегать.

Еще полезно, когда у разработчика есть программа «баг баунти». Вообще отлично, если она открыта для всех желающих. А вот информация о том, что компания-разработчик угрожала судебными исками обнаружившим дырку исследователям (да-да, такое бывает чаще, чем можно было бы подумать) или действительно потащила кого-то за найденные уязвимости в суд, — это совсем плохо.

 

Посмотреть статью полностью

Ссылка на комментарий
Поделиться на другие сайты
Umnik Корифей

Umnik

Опубликовано
Опубликовано
Quote

Некоторые считают, что количество обнаруженных уязвимостей говорит о качестве программного продукта. Иначе говоря, если где-то постоянно обнаруживают дырки, то это плохая программа. А хорошая — это та, где багов отродясь не находили. И, соответственно, учитывают эти соображения при выборе софта для компании.

Это, разумеется, заблуждение: количество найденных уязвимостей в общем случае говорит только о популярности программы, а вовсе не о том, насколько хорошо она сделана. Баги есть во всем.

Автор либо повторяет заблуждение других в статье, либо заблуждается сам, но не понимает, где именно.

Quote

если где-то постоянно обнаруживают дырки, то это плохая программа. А хорошая — это та, где багов отродясь не находили

Построено так, будто оба утверждения являются одним целым, но это заблуждение. И мало того, тут ещё недопустимые упрощения. Смотрите:

Quote

если где-то постоянно обнаруживают дырки, то это плохая программа

Кажется, что да. Однако:

  • Находят уязвимости ITW ("в дикой природе") или же находят сами разработчики или нанятые ими аудиторы? Если первое - программа действительно плохая. Если второе - разработчики делают аудит и постоянно следят за качеством
  • Уязвимости потенциальные или легко эксплуатируемые? Если первое — это вовсе не так страшно, как можно подумать. Иногда вплоть до "это не считается". Потому что стоимость атаки, напомню, должна быть ниже стоимости данных. И атаки на _потенциальные_ проблемы могут быть абсурдно дорогими, вплоть до того, что под силу только государствам. Если же проблемы легко эксплуатируемые — это однозначно плохо

Итого: если где-то постоянно находят дырки, которые не сложно эксплуатировать и это находят не разработчики/их аудиторы — это однозначно плохая программа.

 

Перейдём ко второй части:

Quote

А хорошая — это та, где багов отродясь не находили

Нет! Это фундаментальное заблуждение. Нужно осознать это и тогда будете ловить такие заблуждения сходу. Это про тестирование, но применимо и здесь:

Quote

тестирование не способно сообщить, что проблем нет. Тестирование способно сообщить, что проблемы есть. То есть если тестирование не выявило проблем, это не означает, что проблем нет. Это означает, что тестирование их не выявило и только это. Но если тестирование выявило проблемы, это означает, что проблемы есть.

То есть если дыр не находили, нельзя утверждать, что всё хорошо. И, вроде, ниже об этом сказано. Но это слеплено с прошлым утверждением про нахождение дыр, что приводит к логической ошибке.

 

В целом ниже по тексту написано уже правильно. Но начало очень странное. Если Аланна (напомню, считаю её хорошим автором для массового читателя) просто показывала рассуждение обычного человека, то претензии снимаю. Очень вероятно, что я спотыкаюсь на вот этих рассуждениях просто из-за того, что имею отношение к этой области и потому рассуждаю чуть иначе.

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Какое защищенное хранилище файлов выбрать | Блог Касперского
      От KL FC Bot
      Удобство облачных хранилищ файлов наподобие Dropbox и OneDrive омрачается лишь тем, что злоумышленники, спецслужбы или просто сотрудники хостинг-провайдера могут несанкционированно просматривать файлы в облаке. Но решение для конфиденциального хранения есть: целый ряд сервисов предлагает хранить файлы в зашифрованном виде. Некоторые называют это End-to-End Encryption, сквозным шифрованием, по аналогии с Signal и WhatsApp. Реклама гласит, что файлы шифруются еще на устройстве хозяина и отправляются в облако уже зашифрованными, а ключ шифрования есть только у владельца файлов. И никто, даже сотрудники сервиса, не может получить доступ к информации. Но так ли это на самом деле?
      Наташа, мы сломали все шифрование. Честно
      Исследователи с факультета прикладной криптографии ETH Zurich детально разобрали алгоритмы пяти популярных зашифрованных хранилищ: Sync.com, pCloud, Icedrive, Seafile и Tresorit. Оказалось, что разработчики каждого из этих сервисов допустили ошибки в реализации шифрования, позволяющие в той или иной степени манипулировать файлами и даже получать доступ к фрагментам незашифрованных данных. В двух других популярных хостингах, MEGA и Nextcloud, исследователи обнаружили дефекты раньше.
       
      View the full article
    • KL FC Bot
      Как следить за владельцами автомобилей Kia через Интернет | Блог Касперского
      От KL FC Bot
      Группа исследователей безопасности обнаружила серьезную уязвимость в веб-портале, принадлежащем южнокорейскому автопроизводителю Kia, которая позволяла удаленно взламывать автомобили и следить за их владельцами. При этом, по сути, для взлома достаточно было всего лишь знать автомобильный номер потенциальной жертвы. Рассказываем подробнее об этой уязвимости.
      Слишком подключенные автомобили
      Не все об этом задумываются, но автомобили за последние пару десятилетий превратили в очень большие компьютеры на колесах. Даже не самые «умные» из них под завязку напичканы всевозможной электроникой и оборудованы целой кучей датчиков — от сонаров и видеокамер до датчиков движения и GPS.
      В последние же годы автомобили — это чаще всего не просто компьютеры, но компьютеры, постоянно подключенные к Интернету, со всеми вытекающими последствиями. Не так давно мы уже писали о том, как современные автомобили собирают массу данных о своих владельцах и передают их автопроизводителям. А также о том, как автоконцерны продают собранные данные другим компаниям, в частности страховщикам.
      Но у этой проблемы есть также и другая сторона. Постоянное подключение автомобиля к Интернету означает, что при наличии уязвимостей — как в самом автомобиле, так и в облачной системе, с которой он коммуницирует — кто-нибудь может ими воспользоваться для взлома и слежки за владельцем авто без ведома автопроизводителя.
      Так называемое «головное устройство» автомобиля — это лишь верхушка айсберга, на самом деле электроники в современных авто гораздо больше
       
      View the full article
    • KL FC Bot
      Железо для SIEM-системы | Блог Касперского
      От KL FC Bot
      В какой-то момент ИБ-департамент крупной компании неизбежно задумывается о внедрении или замене SIEM-системы и сталкивается с задачей оценки бюджета, необходимого для ее внедрения. Но SIEM — это не легковесный продукт, который можно развернуть в имеющейся инфраструктуре. Практически все решения этого класса требуют дополнительного оборудования, так что для их работы придется приобретать аппаратное обеспечение (или арендовать его).
      Поэтому для расчетов бюджета необходимо представлять себе предполагаемую конфигурацию оборудования. В этом посте мы попробуем рассказать о том, как архитектура SIEM влияет на требования к аппаратной составляющей, а также предоставим примерные параметры, на которые стоит ориентироваться, чтобы определить предварительную стоимость необходимого оборудования.
      Оценка потока информации
      По своей сути SIEM-система собирает данные о событиях с источников и на основании корреляции этих данных выявляет угрозы для безопасности. Поэтому, прежде чем прикидывать, какое железо необходимо для работы системы, стоит оценить, а какой, собственно, объем информации эта система будет обрабатывать и хранить. Для того чтобы понять, какие источники потребуются, следует выделить наиболее критичные риски и определить источники данных, анализ которых поможет в выявлении и анализе угроз, связанных с этими рисками. Такая оценка нужна не только для расчета необходимого аппаратного обеспечения, но и для оценки стоимости лицензии. Например, стоимость лицензии на нашу систему KUMA (Kaspersky Unified Monitoring and Analysis Platform) напрямую зависит от количества событий в секунду (Events Per Second, EPS). И еще один важный аспект — при выборе SIEM-системы важно проверить, как именно вендор считает количество событий для лицензирования. Мы, например, учитываем количество EPS после фильтрации и агрегации, причем мы считаем среднее количество событий за последние 24 часа, а не их пиковые значения, но так поступают далеко не все.
       
      View the full article
    • KL FC Bot
      Лучшие конфиденциальные сервисы в подарок | Блог Касперского
      От KL FC Bot
      До Нового года и Рождества остаются считаные дни, а перегруженные службы доставки могут опоздать и не привезти нужные подарки вовремя. Конечно, тем, кому вы еще не купили подарок, можно преподнести цифровой подарочный сертификат или подписку. Но придумать интересный и полезный вариант подписки тоже нелегко, ведь уже почти все желающие обзавелись «Яндекс.Плюсом», «VK Музыкой» и аналогами, а дарить Telegram Premium уже даже как-то неудобно.
      Выход есть! Мы предлагаем подарить один из сервисов, который день за днем будет повышать уровень конфиденциальности получателя подарка. Ведь позаботиться о приватности хотят многие, но мало у кого хватает времени и сил сделать для этого необходимые шаги, и такой подарок станет одновременно необычным — и полезным.
      За редким исключением, сервисы, акцентирующие приватность, — платные. Ведь за серверы, хранящие данные, и разработку устойчивого к взлому софта нужно платить. А если не брать с подписчиков денег, то придется продавать информацию о них рекламодателям, как это делают Google и Meta*. Поэтому годовая подписка на сервис, повышающий приватность, может стать ценным подарком и в денежном выражении.
      С нашими рекомендациями получатель подарка сможет избавиться от небезопасных офисных приложений, сервисов заметок и мессенджеров, которые пользуются хранящейся информацией не по назначению, заменив их на приватные альтернативы.
      Но перед покупкой обдумайте два неоднозначных момента.
      Во-первых, сервисы, где важна коммуникация с людьми или совместная работа, бессмысленно дарить одному человеку — так, от зашифрованного мессенджера нет толку, если в нем нет хотя бы нескольких друзей. Возможно, такой подарок нужно сделать целой команде?
      Во-вторых, удобство и функциональность приватных инструментов иногда уступают «общепринятым» аналогам, не столь уважающим конфиденциальность. Насколько это критично — зависит от нужд и привычек одариваемого.
      Сделав эти оговорки, давайте посмотрим, какие качественные приватные альтернативы популярным сервисам достойны стать рождественским или новогодним подарком.
      Офисные приложения
      Личные дневники, черновики научных работ и финансовые расчеты все сложней уберечь от посторонних глаз. Сервисы типа Google Docs всегда были полностью онлайновыми, что порождало как проблемы утечек, так и споры о том, как Google обрабатывает хранящиеся там данные. Microsoft в последние годы стремится наверстать упущенное, включая даже в офлайновый Office целый набор спорных функций: автосохранение в OneDrive, «необязательные сетевые функции«, «функции LinkedIn». Само по себе хранение данных в облаке, возможно, не вызывало бы особой тревоги, если бы не опасения, что документы будут использовать для таргетинга рекламы, тренировки ИИ или еще каких-то посторонних целей.
       
      View the full article
    • KL FC Bot
      Взломали аккаунт в Telegram: что делать | Блог Касперского
      От KL FC Bot
      Угон аккаунтов в Telegram сегодня превратился в настоящий бизнес. Мошенники не только самыми изощренными методами крадут доступы к учетным записям, но и используют их для атаки на других пользователей с помощью дипфейков, социального инжиниринга и других методов. Обычно это работает так. Украв один аккаунт, злоумышленники начинают рассылать с него по всем контактам фишинговые сообщения с текстами вроде: «Привет, мне тут срочно деньги нужны, поможешь?», «Проголосуй за меня, пожалуйста, если не сложно» или «Вам отправили подарок – подписка Телеграм Премиум сроком на 1 год», чтобы угнать еще больше аккаунтов. Есть и более изощренные схемы, манипулирующие эмоциями людей – например, предложение о бесплатной фотосессии от якобы «начинающего фотографа, которому нужно наработать портфолио».
      В подобных сообщениях всегда есть фишинговые ссылки, зачастую выглядящие совершенно легитимно — например, как https://t.me/premium — но выводящие на сайты мошенников. Перейдя по ним и выполнив предложенные злоумышленниками действия, вы с большой долей вероятности лишитесь своего аккаунта в Telegram, а все ваши контакты окажутся под угрозой мошеннических рассылок уже от вашего имени.
      Помимо этого, угнанные или поддельные аккаунты могут использоваться не только для массовых фишинговых рассылок, но и для сложных таргетированных атак, порой с использованием дипфейков, направленных на сотрудников разнообразных компаний. Возможно, вы уже сталкивались с сообщениями от якобы «руководства компании» с обращением по имени-отчеству, рассказами о неких проверках компании со стороны государственных органов и требованиями в обстановке полнейшей секретности немедленно предоставить какие-либо данные или просьбой помочь компании деньгами с последующей компенсацией. Все это — фейки.
      При этом настоящий владелец аккаунта в Telegram может поначалу даже не подозревать, что он взломан, продолжать переписываться с друзьями, читать любимые каналы и думать, что по-прежнему не интересен мошенникам. Как такое вообще возможно? Telegram позволяет использовать один и тот же аккаунт с разных устройств, и, выманив у вас доступ к вашему аккаунту, мошенники открывают еще один сеанс на своем устройстве, не закрывая ваши активные сеансы. Затем они начинают переписку с вашими контактами, тут же удаляя отправленные от вашего лица сообщения в режиме «Удалить только у меня». При этом получатели эти сообщения видят, а вы — нет.
      Как показывает практика, мошенникам интересны все — даже самые обычные пользователи Telegram. Поэтому в этом материале мы ответим на два главных вопроса: как понять, что аккаунт в Telegram взломали, и что делать, если ваш аккаунт в Telegram взломан?
      Как понять, что ваш аккаунт в Telegram взломали
      Если хотя бы один пункт из списка ниже относится к вам – скорее всего, ваш аккаунт взломан.
      У вас внезапно поменялись никнейм или аватарка, а вы этого не делали. Вы участвовали в подозрительных конкурсах, розыгрышах или голосованиях. Вы переходили по ссылкам из сообщений в Telegram и вводили данные своей учетки – номер телефона, код подтверждения и пароль. Вы случайно заметили в любой переписке появившееся от вашего имени сообщение, которое тут же было удалено. Ваши друзья пишут, что с вашего аккаунта приходят странные сообщения, а вы их не видите. Вам пришел код подтверждения для входа на новом устройстве. Теперь обо всем по порядку.
       
      View the full article
×
×
  • Создать...