Olykor egyes cikkszerzők meglepődnek és olyanokat írnak, hogy hát különös, de valaki valami legújabb technológiát használ és mégis hackerek sikeresen megtámadták. Mintha volna egy olyan tendencia, hogy az újabb programokat, technikákat nehezebb lenne megtámadni. Nos... ilyen nincs.
Nézzünk meg pár sebezhetőségi storyt a közelmúltból:
"278 milliót keresett a 19 éves hacker"
Mielőtt valaki rosszra gondolna... azt hibák találásával kereste.
A róla szóló cikk betekintést ad abból, hogy is áll a sebezhetőséggel kapcsolatos "harc":
"A vállalat most bejelentette, hogy megvan az első személy, aki egymillió dollárt, azaz 278 millió forintot keresett nála a sebezhetőségek jelentésével."
Tök jó... arra nem gondolnak, hogy ebből arra következtetünk, hogy sz@r a biztonság, ha ennyit meg lehet keresni ezzel? Oké, nézzük tovább:
"Az illetőt Santiago Lopeznek hívják, és csupán 19 éves, ráadásul a sérülékenységek keresgélésének a művészetével csak 16 éves korában kezdett el foglalkozni. Az autodidakta módon szerzett tudásával először 17 évesen keresett pénzt a HackerOne-on, akkor 50 dollár ütötte a markát. Az egymillió dollárját az elmúlt olyan két évben apránként szedte össze a szolgáltatásban, méghozzá 1676 darab sebezhetőség jelentésével."
Oké szóval megtudtuk, hogy... egy kamasz simán megtanulta hogyan hackelhet autodidakta módon, vagyis nem volt személyes oktatója, egy évvel a kezdett után már pénz ütötte a markát, két évvel később már milliója volt dollárban és 1676 sérülékenyésget talált egymaga.
Szerintem ez önmagában mutatja mennyire sz@r a helyzet sebezhetőségek terén, miközben minden fontos dolgot netre akarnak kötni. A katasztrofa elkerülhetetlen, már pl. a kémkedések miatt el is kezdődött, hisz rengeteg találmány, üzleti titok "szivárgott ki" eddig is, hála a sebezhetőségeknek.
Azért bullshittel találkozol ebben a cikkben is:
"Ugyan a rendszeresen érkező rossz hírek fényében talán nem így tűnik, azonban az elmúlt években óriási előrelépések történtek a szoftveres biztonság terén, legyen szó klasszikus programokról vagy webalkalmazásokról. Ez jókora részt a szervezett hibavadász programok elindulásának köszönhető: a fejlesztőcégek hajlandóak pénzjutalmakat adni az olyan hackereknek, akik sérülékenységeket fedeznek fel a szoftvereikben."
A sebezhetőségek bizony nem fogynak ki.
A sebezhetőségek mint probléma ott van mindenütt és vannak jó régiek is:
"Nagyon durva hiba van minden WinRAR-ban - 19 év óta"
Az ilyen ezer éve meglevő hibákat lehet, hogy idegen titkosszolgálatok már rég ismerik és mondjuk 19 éve folyamatosan ennek hála lopják az üzleti titkokat. És ez csak egy a végtelen sok közül.
"Rendkívül veszélyes biztonsági rést rejt a világ egyik legnépszerűbb tömörítőprogramja a WinRAR - leplezte le egy biztonsági cég a hét közepén. A szoftverben azonosított sebezhetőség kihasználásával hackerek tetszőleges programkódot futtathatnak a megtámadott gépeken."
A hibák érintik a nagyokat is, mint a felhők, ahol milliárdnyi felhasználói titok is lehet potenciálisan:
"Mégsem lehet javítani a processzorok veszélyes biztonsági hibáit"
"Bár az Intel és más piaci szereplők is arról győzködték az elmúlt év során a nyilvánosságot, hogy a processzorokban felfedezett Spectre sebezhetőségeket a chipek cseréje nélkül is lehet javítani, ez a jelek szerint nincs így. Legalábbis ezt állítják a Google kutatói, akik alaposan megvizsgálták a szóban forgó gyengeségek sajátosságait, és azt állapították meg: pusztán szoftveres úton nem lehet a hibák kihasználását megakadályozni."
Figyelem, a felhőkből minden kirabolható ezekkel. Okos dolog oda összegyűjteni mindenféle titkokat tömegesen, hogy egy akcióval ellopják? Nem, eddig se volt az és ezután se az.
Persze az újabb "kis dolgok" se védettek:
"Mobilról hekkelhetők meg az elektromos rollerek - mutatjuk hogyan"
"Egy biztonsági cég azt állítja, hogy sikerült veszélyes távoli sebezhetőséget azonosítania az egyik legnépszerűbb elektromos roller-márkában. A hiba kihasználásával rosszindulatú támadók teljesen megbéníthatják a főleg a fiatalok körében divatos közlekedési eszközöket - sőt, akár életveszélybe is sodorhatják azokat a forgalomban."
A "star" területek is csapnivalóak ilyen szempontból. Mint pl. az IoT:
"Teljes kontrollt adhat az eszközök felett a Windows 10 IoT Core sebezhetőség"
Ha ilyen sz@rok lesznek majd tényleg a jövőben minden gyárban, akkor akár mondjuk egy teljes kontinens ipari kapacitását le lehet majd nullázni. Vajon tényleg annyira megéri akkor mindent netre kötni az iparban is?
" a kutató szerint a sérülékenység a Windows 10 IoT Core-t érinti, segítségével pedig a potenciális támadók akár teljes kontrollt szerezhetnek a célba vett eszközökön "
"A hasonló sebezhetőségek jelentette biztonsági kockázat mindenesetre egyre nagyobb, miután a Microsoft is egyre nagyobb szerepet hasít ki magának az IoT rohamosan növekvő piacából. "
Csökkentsük nullára a kockázatot azzal, hogy elkerüljük ezt hülyeséget, amiről távolról órdít, hogy hülyeség.
"A Windows térnyerésével a szegmensben ugyanakkor a hasonló biztonsági rések a támadók számára is egyre vonzóbb célpontot jelenthetnek. A redmondi óriás egyelőre nem nyilatkozott az ügy kapcsán, így nem tudni, mikor várható javítás a sebezhetőségre."
A Microsoft próbálja megint nyomatni a legújabb Windows 10-et úgy, hogy csak a legújabb verzió kapja meg a javítást.
"Visszagyorsulhatnak az inteles PC-k"
"A Microsoft most végre eljutott odáig, hogy elkezdte lecserélni a Spectre Variant 2 eredeti javítását erre a Retpoline nevű megoldásra, azonban a KB4482887 összegző frissítésbe becsomagolt alternatív patchet csak az éppen aktuális Windows 10 October 2018 Update rendszert futtatók kapják meg.
A Windows 10 régebbi kiadásaihoz nem fog megérkezni a Retpoline, míg a jövőbeliekben gyárilag benne lesz."
Ráadásul mégcsak nem is ő készítette a javítást.
De semmi vész, hisz ez az a probléma, amiről azt állítja a másik cikk, hogy nem oldható meg szoftveresen igazából, meg amúgy is a Windows 10 nem gyorsult, hanem lassult... ez olyan Microsoftos:
"Baj van a Windows 10 legújabb frissítésével - belassíthatja a gépeket"
"A Microsoft a hét végén honlapján egy meglepő - bár nem példa nélküli - figyelmeztetést tett közzé honlapján. A cég ugyanis egy, a napokban kiadott frissítésével kapcsolatban azt tanácsolja felhasználói számára, hogy azok telepítsék le azt, amíg egy újabb változatot nem ad ki belőle."
"Legalábbis akkor mindenképpen, ha azt tapasztalják, hogy a számítógépük grafikája belassul, vagy az egerük reszponzivitása csökken - a KB4482887 frissítés ugyanis ezt a kellemetlen mellékhatást is maga után vonhatja. A problémát elsősorban a csúcsjátékok futtatása közben lehet különösen észrevenni - hiszen ezek különösen intenzíven használják a grafikus kártyát -, de az más alkalmazások esetében is jelentkezhet."
"A soron kívül kiadott frissítés ugyanakkor számos problémát is orvosol, illetve egy, a korábbiaknál hatékonyabb védelmet tartalmaz a Spectre 2-es variánsával szemben. "
És az újabb sebezhetőségek is egyre csak jönnek, amik kb. minden biztonsági megoldást kiütnek:
"Durva rést üt a Spoiler az Intel modern processzorain"
"... nagyon sokban különbözik az eddigi opcióktól. Az új sebezhetőséghez ugyanis nem kell kiemelt jogosultság, akár felhasználói módból is használható, elég szimplán egy JavaScript kódot futtatni a böngésző egyik lapján, vagyis lényegében kattintással megkezdhető az adatok kimentése az adott számítógépről."
"A Spoiler támadás alkalmazásával kritikus információk fedhetők fel a fizikai laptérképekről, méghozzá akármilyen felhasználói módban futó folyamat számára. Mindez az operációs rendszertől teljesen független, ráadásul működik virtuális gépeken, illetve még sandbox környezetekben is."
" Mást persze úgy sem tudnak mondani, a Spoiler kivédéséhez hardveresen át kell tervezni a processzor architektúráját, és nem kis módosításról van szó, ha a memóriaalrendszerbe kell belenyúlni."
Szóval ja, a helyzet nem jobb és igazából öngyilkos ötlet fontos dolgokat netrekötni.
