URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 131278
[ Назад ]
Исходное сообщение
"Pwnie Awards 2023: наиболее существенные уязвимости и провалы в безопасности"
Отправлено opennews , 16-Авг-23 23:46 
На конференции Black Hat USA 2023 объявлены победители ежегодной премии Pwnie Awards 2023, выделяющей наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара и Золотой малины в области компьютерной безопасности...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=59577

Содержание
Сообщения в этом обсуждении
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Аноним , 16-Авг-23 23:46 
Посмотрел награды за 2021-ый год, а там почему-то нет Log4Shell'а. Почему?
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Абра , 17-Авг-23 02:57 
Потому что он был в 2022?
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Аноним , 17-Авг-23 00:46 
>Most Epic FAIL
>Лучшая криптографическая атака

Кажется NIST и Katholieke Universiteit Leuven заслужили за взлом того же SIKE на классическом компьютере без всяких сторонних каналов.

"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Аноним , 17-Авг-23 01:40 
Посоветуйте ресурсов по безу. С меня тонна нефти!
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено 1 , 17-Авг-23 09:50 
https://spb.postupi.online/vuz/universitet-itmo/specialnost/.../

Там сразу нефть и скачают.

"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Аноним , 17-Авг-23 06:32 
>  восстановить значения ключей шифрования на базе алгоритмов ECDSA и SIKE через анализ видео с камеры, снимающей светодиодный индикатор ридера смарт-карт или устройства, подключённого к одному USB-хабу со смартфоном, производящим операции с ключом

такое ощущение, что сегодня первое апреля

"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Аноним , 17-Авг-23 07:40 
Такое ощущение что ты считаешь что все эти штуки про безопасность не больше чем паранойя и выдумки Рен-тв.
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Sw00p aka Jerom , 17-Авг-23 09:30 
ток непонятно зачем на ридере светодиод? смотри вот я читаю ключик, еще и диплей прикрутили бы и было бы, вот он и ключик :)

пс: ждем на блекхет 1500, чмтаем ключик с дисплея ридера с помощью нокии лежащей в кармане:)

"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Аноньимъ , 19-Авг-23 03:37 
Что вы несёте?
Вопрос в том насколько запись на камеру сведиода усб хаба который неизвестно зачем вставили между смартфоном и ключом как-то не очень соответствует

>наиболее значимых брешей в реальных системах, протоколах и алгоритмах шифрования

"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Анонит , 17-Авг-23 08:13 
Зато вирусов нет.%
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Анонимик , 18-Авг-23 00:12 
Всегда такое было и вот опять
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Аноним , 17-Авг-23 08:56 
Скажите, это, стало быть, любую стенку можно так убрать? Вашему USB-контроллеру цены нет, гражданин интеллигент!
— Никогда ещё свидетелем не приходилось быть!
— Скажите, и в магазине можно так же стенку приподнять? Ах, какой увлекательный опыт!
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Аноним , 17-Авг-23 09:33 
>метод атак по сторонним каналам, позволяющий удалённо восстановить значения ключей шифрования на базе алгоритмов ECDSA и SIKE через анализ видео с камеры, снимающей светодиодный индикатор ридера смарт-карт или устройства, подключённого к одному USB-хабу со смартфоном, производящим операции с ключом

Всегда было интересно, что в головах этих людей: это ж надо придумать такую последовательность всего этого... Уму не постижимо! Ну, то есть, я восхищаюсь такими ребятами на самом деле, без сарказма и прочего.

"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Аноним , 17-Авг-23 10:54 
Оно везде примерно одинаково работает. Что в безопасности, что в кодгольфе... Да даже скоростные прохождения игор можно посмотреть и станет понятно, что если что-то долго шатать - оно скорей всего упадёт.
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Пряник , 17-Авг-23 11:20 
Антивирус, который запускает вирусы, ммм...
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Аноним , 17-Авг-23 11:39 
Его делает та же Cisco, у которой сетевые железки запускают на исполнение содержимое ICMP-пакетов.
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Минона , 17-Авг-23 12:41 
А это не баг, а фича =)
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Минона , 17-Авг-23 12:43 
Софта на расте среди номинантов нет?
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Аноним , 17-Авг-23 13:41 
Неа. И гошка, и растишка - позор для индустрии удалённого исполнения кода.
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Аноним , 17-Авг-23 14:07 
Но, наверное, и они могут блеснуть на этом поприще, в том месте, где им приходится часто и густо взаимодействовать с сишными/плюсовыми библиотеками. И каждый такой случай будет праздничком, да что там, Карнавалом для некоторых местных "икспертов".
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Аноним , 17-Авг-23 18:03 
Ещё не стоит забывать, что понемногу ряды разрабов на безопасных языках пополняются бывшими сишниками, которые тащат свои сишные паттерны, и далеко не ото всех встроенная защита поможет (отсутствие валидации входящих данных, условия гонки, наколеночные небезопасные реализации криптоалгоритмов и т.д.)
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Аноним , 17-Авг-23 18:58 
Слушай, если кто-то пишет свою реализацию алгоритма, это обязательно "наколеночные небезопасные реализации"?
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Аноним , 17-Авг-23 20:09 
> Слушай, если кто-то пишет свою реализацию алгоритма, это обязательно "наколеночные небезопасные  реализации"?

Если алгоритм криптографический - с вероятностью 99% да, потому что максимум 1% разработчиков имеют достаточные профильные скилы в математике и криптографии, чтобы получить действительно криптостойкий алгоритм.

"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Минона , 17-Авг-23 21:40 
>> Слушай, если кто-то пишет свою реализацию алгоритма, это обязательно "наколеночные небезопасные  реализации"?
> Если алгоритм криптографический - с вероятностью 99% да, потому что максимум 1%
> разработчиков имеют достаточные профильные скилы в математике и криптографии, чтобы получить
> действительно криптостойкий алгоритм.

Ты путаешь разработку алгоритма математиком и реализацию алгоритма программистом.

"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Аноним , 18-Авг-23 18:29 
> Ты путаешь разработку алгоритма математиком и реализацию алгоритма программистом.

Много вы знаете алгоритмов, в которых штатно предусмотрено переполнение буфера?
А вот в сишных реализациях этих алгоритмов, как мы знаем из новостей, оно встречается регулярно.

То есть, алгоритм, реализованный в конкретной программе Ъ сишником, далеко не всегда соответствует эталонному алгоритму, разработанному более умными дядьками.

"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Минона , 19-Авг-23 07:28 
>> Ты путаешь разработку алгоритма математиком и реализацию алгоритма программистом.
> Много вы знаете алгоритмов, в которых штатно предусмотрено переполнение буфера?

В любой реализации алгоритма не предусматривающей проверку выхода за границы буфера.

> То есть, алгоритм, реализованный в конкретной программе Ъ сишником, далеко не всегда
> соответствует эталонному алгоритму, разработанному более умными дядьками.

Нет эталонного алгоритма, есть эталонная реализация алгоритма на конкретном ЯП.
И её обычно пишут математически корректной с точки зрения алгоритма, а не побочных эффектов реализации на конкретном ЯП.

"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Аноним , 18-Авг-23 22:07 
> Ты путаешь разработку алгоритма математиком и реализацию алгоритма программистом.

Если среднего пошиба апликушник напишет реализацию общеизвестного алгоритма, в нем будет чуть менее 9000 вулнов, утечек данных и прочих приколов.

"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Минона , 19-Авг-23 07:09 
>> Ты путаешь разработку алгоритма математиком и реализацию алгоритма программистом.
> Если среднего пошиба апликушник напишет реализацию общеизвестного алгоритма, в нем будет
> чуть менее 9000 вулнов, утечек данных и прочих приколов.

С этим ничего не поделать, в стране деградация образования.

ЗЫ:
Напиши реализацию алгоритма Решето Эратосфена так чтобы получилось "чуть менее 9000 вулнов, утечек данных и прочих приколов" =)

"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Tron is Whistling , 17-Авг-23 14:00 
> возможность использования разъёма Apple Lightning для доступа к отладочному JTAG-интерфейсу iPhone

Вот это да, вот это уровень инжиниринга. Победа заслуженная.

"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Аноним , 17-Авг-23 16:59 
Ничего плохого в этом нет. Наоборот, Apple задала стандарт открытости, до которого Гуглагу топать и топать.
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Tron is Whistling , 18-Авг-23 07:45 
Apple. Открытость. Открытость. Apple.
Ну не читаются эти два слова рядом. Никак. От слова "совсем".
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Аноним , 18-Авг-23 09:53 
https://opensource.apple.com/

Kubernetes, Swift, WebKit, etc.

"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Tron is Whistling , 18-Авг-23 10:55 
Ненужно, ненужно, ненужно, etc.
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Аноним , 18-Авг-23 18:31 
А вы случайно этот комментарий отправили не из браузера на основе webkit?
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Tron is Whistling , 18-Авг-23 23:12 
Внезапно нет.
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Tron is Whistling , 18-Авг-23 23:17 
На вёбките сегодня реально только сафари. У хромого блинк, который, кхм, хоть и был форком куска вебкита, но таки уже давно не вёбкит, и даже не около. У мазилы ящерка к вебкиту вообще отношения не имеет.
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Tron is Whistling , 18-Авг-23 23:18 
s/блинк/блин/
s/форком/комом/
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено soarin , 20-Авг-23 05:28 
> и даже не около

Ну ты ври, но не завирайся.

"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Tron is Whistling , 20-Авг-23 10:58 
Чего не нравится?
Там от вебкита только рендер, да и тот перепаханный уже напрочь.
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Аноним , 26-Авг-23 08:14 
Всё это вендор лок
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Neon , 18-Авг-23 09:13 
Это из области анекдота
"Pwnie Awards 2023: наиболее существенные уязвимости и провал..."
Отправлено Аноним , 18-Авг-23 18:35 
Вообще, про открытую Apple дыру как эталон открытости - звучало как очень едкий сарказм.