Коллектив Авторов - Цифровой журнал «Компьютерра» № 164
- Название:Цифровой журнал «Компьютерра» № 164
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Коллектив Авторов - Цифровой журнал «Компьютерра» № 164 краткое содержание
Принуждение к альтруизму, или 451 градус политкорректности Автор: Василий Щепетнёв
Математика как ресурс: На каком наследии работает отрасль информационных технологий Автор: Михаил Ваннах
Голубятня: Праздник на нашей улице, или Фактура, столь редкая для софтверных обзоров Автор: Сергей Голубицкий
Тень Рикардо: Чему биржевик и мыслитель былых времён может научить нас в информационную эру? Автор: Михаил Ваннах
Заказная мифология IT-прессы Автор: Сергей Голубицкий
Ложь навсегда: почему нас обманывают снова и снова Автор: Василий Щепетнёв
Игра в беспилотники: Как технологии боевых роботов соотносятся с классическим римским правом Автор: Михаил Ваннах
Сотая колонка: попытка перевести дух, осмотреться и понять, что и зачем я делаю Автор: Дмитрий Шабанов
Вот и пришел Песочный Человек: о презентации Samsung своего нового флагмана и харакири Филла Шиллера Автор: Сергей Голубицкий
Что общего между отключением Google Reader, заявлением Элиссы Финк и жалобой Дина Гарфилда? Автор: Сергей Голубицкий
Органика в старом веществе Солнечной системы Автор: Дмитрий Вибе
IT-рынокКак компьютеры, стоящие доллар, изменят привычные вещи и перевернут всё с ног на голову Автор: Андрей Письменный
Александр Чачава: «Россия появилась на мировой технологической карте как полноценный инновационный рынок» Автор: Елена Краузова
Growth Hackers: кто это и почему они нужны стартапам Автор: Игорь Тишкин
Как смартфоны смогут демократизировать такси Автор: Андрей Письменный
ПромзонаПосмотрите на серию плакатов, посвящённых выдающимся учёным и их открытиям Автор: Николай Маслухин
Дополненная реальность как способ обучения игре в бильярд Автор: Николай Маслухин
Посмотрите на составные часы, складывающие время из сотен других часов Автор: Николай Маслухин
MobileТестирование приложений для Android как инструмент выхода в ТОП на Google Play Автор: Дмитрий Куриленко, компания Promwad
Восемь угроз вашему мобильному банку. Советы, как не потерять деньги Автор: Максим Букин
Microsoft «сдал» Skype спецслужбам всего мира Автор: Максим Букин
ТерралабВсё, что вы должны знать о телефоне Samsung Galaxy S4 Автор: Андрей Письменный
ТехнологииПрощание с мистером X: почему Canonical отказывается от X Window и как это повлияет на Linux? Автор: Евгений Золотов
Пути развития телевидения в цифровую эпоху: как, что и зачем Автор: Антон Никитин, интернет-предприниматель
Мрачные итоги Pwn2Own: почему браузеры так легко взломать и почему линуксоидам можно волноваться меньше? Автор: Евгений Золотов
Почему Google уничтожает свой Reader — и почему это хорошо? Автор: Евгений Золотов
Без Google Reader: чем заменить незаменимый сервис Google, что теперь делать и кто в этом виноват Автор: Олег Парамонов
Как гибнут социальные сети: цепная реакция, которая однажды убьёт Facebook Автор: Олег Парамонов
Развитие телевидения в цифровую эпоху: модели потребления и дистрибуции (продолжение) Автор: Антон Никитин, интернет-предприниматель
ИнновацииПочему Иннополис будет лучше Сколково Автор: Виктор Осетров, основатель RealSpeakerLab
Почему за менторство нужно платить? Автор: Артур Баганов, генеральный директор GTI Labs, сооснователь Alliance of Angels
Бизнес-ангелам противопоказаны биотех-стартапы? Автор: Елена Краузова
Почему машиностроители не хотят «заказывать» инновации? Автор: Денис Андреюк, руководитель службы маркетинга компании «Нанотехнология МДТ»
ГидДесять способов избавиться от троянов-вымогателей и разблокировать Windows Автор: Андрей Васильков
Это приложение заменит ваше лицо на любое другое Автор: Михаил Карпов
Игра Little Things Forever для iOS и Android поможет развить внимательность Автор: Андрей Письменный
Двенадцатилетний мальчик сделал приложение для общения с женщинами Автор: Михаил Карпов
Цифровой журнал «Компьютерра» № 164 - читать онлайн бесплатно полную версию (весь текст целиком)
Интервал:
Закладка:
Что касается подписной модели, то у неё есть определённые ограничители (мы здесь не говорим даже о России, где традиции подписаться на что-то уже, считайте, нет вовсе).
Продолжение
К оглавлению
Мрачные итоги Pwn2Own: почему браузеры так легко взломать и почему линуксоидам можно волноваться меньше?
Евгений Золотов
Опубликовано11 марта 2013
В английском айтишном жаргоне есть словечко «pwned», перевести которое на русский можно таким же коротким «поимели». Грубо, согласен, некорректно, непечатно, да вот только именно этот короткий вариант точнее всего передаёт суть. Когда программу, над которой тысячи разработчиков корпят годами, уделяя особое внимание защищённости, так вот когда такую программу за полчаса превращают в «парадный вход», на ум не приходит ничего другого. И именно так всё произошло на конкурсе Pwn2Own — традиционно сопровождающем конференцию по «прикладной безопасности» CanSecWest, состоявшуюся на прошлой неделе в канадском Ванкувере.
Конкурсантам предлагалось взломать один или несколько популярных веб-браузеров, получив через них полный доступ к компьютерам под управлением MS Windows и Mac OS X. И задача была решена на все сто процентов: ни один из атакованных браузеров не устоял. Результат не просто удручающий: страшный! Ведь никакие самые распоследние защитные механизмы не смогли обеспечить неприступность.
Внимание, проявляемое к Pwn2Own, как и далеко идущие выводы, делаемые на основе его результатов, объясняются тремя причинами. Во-первых, у конкурса очень щедрые спонсоры: призовой фонд, наполняемый HP и Google, нынче превышал полмиллиона долларов. При этом самый мелкий приз составлял 20 тысяч, а за один только взлом Internet Explorer 10 на Windows 8 давали сразу сто. Отсюда и причина номер два: участники — профессионалы высшего класса, живущие консультациями по вопросам компьютерной безопасности, а то и продажей собственноручно найденных уязвимостей «нулевого дня» (ZDV). Вроде французской Vupen Security, завсегдатая конкурса, продающей ZDV корпорациям и спецслужбам, и в этот раз опять унёсшей призовых денег больше всех. Или германской MWR Labs, имя которой то и дело всплывает в связи с очередной интересной, нестандартной брешью в защитах самых разных цифровых устройств.
А всё вместе это приводит к третьей причине: уязвимости, найденные участниками Pwn2Own, могли бы превратиться в смертоносное оружие, если бы просочились наружу до того, как их успеют «залатать» разработчики собственно взломанных программ. Никому неизвестная «дыра» в браузере, дающая полный доступ к операционной системе, способна породить как минимум глобальную эпидемию.
По сравнению с прошлым годом (см. « Как ломали Google Chrome»), нынче список атакуемых приложений был расширен — к браузерам, в роли которых выступали Internet Explorer 10, Firefox 19, Chrome 25, добавили плагины Adobe Flash, Adobe Reader, Java. Все они поочерёдно «легли» под атаками белых хакеров. Не помогли ни модные нынче «песочницы» (когда потенциально опасный код исполняют в изолированном от других приложений и данных пространстве), ни рандомизация адресов при загрузке кода, ни разделение кода исполняемого и данных.
Свежие, пропатченные по последним требованиям безопасности программы одна за другой сдались на милость победителей. Повезло только Safari — который в этот раз не взломали, потому что не пытались. Никто из конкурсантов не пожелал тратить на него время: призы за браузер Apple мелковаты, а продемонстрированная уязвимость должна быть использована в первый и единственный раз, так что, видимо, памятуя, что в прошлые годы Safari сдавался одним из первых, нынче его обошли вниманием.
Взлом внешне прост: пытаясь открыть нужную веб-страничку, браузер совершает ошибку, спрятанный на странице машинный код преодолевает защитные механизмы браузера и операционной системы — и без дополнительной помощи пользователя берёт компьютер под свой контроль. На самом деле, конечно, механика нетривиальна: атакующим приходится каждый раз изыскивать новые способы проникновения и подъёма привилегий, оставаясь на шаг впереди разработчиков атакуемого софта (так Vupen нынче нашла и воспользовалась новым обходным путём от загрузки кода в случайную область памяти). «Хорошая» новость в том, что фантазия хакеров вряд ли истощится в обозримом будущем — уж очень серьёзные её питают деньги. И речь отнюдь не только о конкурсных призовых. Которые хоть за последние годы и сильно выросли, по-прежнему остаются сравнимы разве что с нижней границей того, что могут выручить авторы оригинальных эксплоитов так сказать в частном порядке — продавая свои решения корпорациям и государствам.
Существование чёрного рынка уязвимостей нулевого дня — печальный факт, с которым ничего не поделаешь (см. « Знание — сила»). Не все согласны ждать, пока уязвимость будет обнаружена злоумышленниками, использована против кого-нибудь, о ней узнает разработчик программы и выпустит заплатку. Есть немало покупателей с толстым кошельком, готовых заплатить за очередную ZDV, чтобы получить её раньше других. Получить не с целью усиления только лишь «защитной безопасности» (defensive security), но и чтобы — как политкорректно формулирует это та же Vupen — усилить безопасность наступательную (offensive security). Знаете, насолить конкурентам, влезть на компьютеры к террористам, а то и самому устроить теракт на вражеской территории, что случилось не так давно в Натанзе.
Теоретически, если бы бизнес мог предложить хакерам хорошую — сравнимую с чёрнорыночной — цену, то и проблема уязвимостей нулевого дня в значительной степени осталась бы в прошлом. Однако предлагаемые легально суммы постоянно растут, а потолка не видно. Параллельно с Pwn2Own, там же на CanSecWest, Google проводит собственный конкурс Pwnium, целью для участников которого нынче была операционная система Chrome OS (фактически браузер Chrome, играющий роль GUI-надстройки над ядром Linux). Так вот призовой фонд здесь достигал уже 3.14 млн. долларов. И мало кто сомневается, что в следующем году мы увидим ещё б о льшие суммы, а паритет с чёрным рынком всё равно останется мечтой: всегда найдётся тот, кто будет готов заплатить больше, только бы быть на шаг впереди.
Единственное светлое пятно в этой мрачной картине — результаты Pwnium, дающие некоторую надежду небольшой (даже — незначительной) части компьютерных пользователей. Так вот Chrome OS нынче «сломать» не удалось. Отчасти это заслуга Google, которая активно латает свою платформу. Но просматривается и более интересная причина. Один из важных пунктов в правилах Pwn2Own и Pwnium — стандартная комплектация машины-мишени. Так организаторы упрощают задачу и вместе с тем стараются сделать конкурс больше похожим на реальную жизнь. Браузеры ведь у большинства пользователей работают в одинаковых конфигурациях, с одним набором плагинов и т.д. Тонкость в том, что, взломав браузер, атакующий сталкивается ещё и с операционной системой. А здесь платформы MS Windows и Mac OS X принципиально отличаются от Linux.
Читать дальшеИнтервал:
Закладка: