Компания Checkpoint сообщила о выявлении вредоносного ПО GodLoader, написанного на языке GDScript и использующего открытый игровой движок...Подробнее: https://www.opennet.me/opennews/art.shtml?num=62323
Ох уж эти злые дядьки из Checkpoint, всю малину портят. Сидели бы молча. И вообще, как они не распустились после того как натворили дел в виндой.
А что Checkpoint натворили «дел в виндой»?
Видимо, товарищ в порыве экспресии перепутал CheckPoint и CrowdStrike...
Я щас расскажу дядям из Checkpoint про js-майнеры, так они вообще наверное, аж пеной изойдут. Или про вредоносы на lua... Тайпсквотнутые клоны пакетов со вставками для питона в pip... Или любимые виндунами однострочники на Мощщщной Раковине...
А нам не расскажешь?
Вот это да. Шок. На тьюринг-полном языке можно написать вредоносные код.
> Вот это да. Шок. На тьюринг-полном языке можно написать вредоносные код.Вообще-то это еще очень сильно зависит от того что этот код может. В нормальных реализациях скриптота обута на IO, и ничего кроме как считать - не может. И в таком виде оно достаточно беззубое, максимум что сможет - игроков троллить. Но вот урон системе нанести - ну вот нет.
Battle for wesnoth на это нарывался, пытались скрипты на питоне, они могли творить с системой пользователей скачавших аддон что угодно - и это не лечится. Выкинули питон, взяли Lua без доступа в систему и проч - так оно только AI считает и проч, но с системой делать ничего не может. Ну и вредоносная активность - какая? Юзеров анноить? Больше оно все равно ничего не может :)
> Ну и вредоносная активность - какая?Майнить? Угонять важные данные, как это делает JS через уязвимости CPU аля Spectre?
Как отсылать краденные данные и намайненое?
> Майнить?Посчитать то ты конечно сможешь, но вот как ты отошлешь без IO результат хозяину чтобы профит извлечь?! Так что - майнить будешь ходы юнитов. Ну, это то что игровое двигло тебе на вход дать согласно :)
> Угонять важные данные, как это делает JS через уязвимости CPU аля Spectre?
Даже если ты и долбанул хому мельтдонием со спектрами и нашел ключ AES или чего там - ну и что ты с этим дальше делать будешь без IO?! :D
Результат подсчета же не просто так, а куда-то передается. В тех же ходах юнитов можно закодировать результат.Другой вопрос - какова пропускная способность такого "канала".
Как насчет того, чтобы отдать через lua-шный апи в си-шную часть что-нибудь такое, от чего си-шная часть разэксплоитится и выполнит произволный код?
Так а сохранение сейвов. А игра по сети. Как это реализовывать тогда?
По сути Godot это на только на нём игры можно делать. Это почти как Delphi, только есть специальные компоненты используемые в играх. Можно накидать любые UI формочки для работы с базой данных например, никто не запрещает.
Выдавать доступ к системе встроенным скриптам - никогда такого не было и вот опять.
Ты бы хоть погуглил, кто такие Checkpoint, прежде чем в калашный ряд лезть )
О, в очередной вредоносов пользователи налили сами себе. Ждем следующим шагом слабо рецензируемый Comprehensive Godot Archive Network, в который централизованно будут лить вредоносов под видом минифорков с тайпсквоттинговыми названием. Сколько уже можно ходить по одному и тому же кругу.
А уж игры для ScummVM-то... Сам ScummVM написан на сишке (то есть по русски - вредоносные ресурсы смогут исполнить произвольный код даже если в движке такой функции не накодено), да ещё многие игры для ResidualVM (ну то есть те, которые ScummVM унаследовала от ResidualVM, плюс последние поступления) основаны на Lua (что есть явный запуск произвольного кода).
Это не говоря уже о других играх на альтернативных движках. Там зачастую то же самое, что и в Lua, только на никому не известном костыльном ЯП, который никто кроме создателей игры, злоумышленника, и мод-сообщества не знает.Что делать? Тотальное огораживание через landlock как минимум на самых ранних стадиях старта движка, с разрешённой записью только в файлы сейвов, разрешённым чтением только на файлы ресурсов и сейвов, и разрешёнными ioctlами только на устройство GPU. К сожалению - ни в одном альтернативном движке не видел такого. А в стоковых и подавно такого не будет.
Так а кто будет прописывать список разрешённых файлов. Вот этот мод условно пропишет себе что для него сейвы храняться в /usr/bin, а ресурсы хранятся в /etc/passwd и всё. Понятно это условно, но доступ к /home для всех приложений открыт, а юзер сам запустил приложение без проверки.
И вообще на Godot модули можно и на C# и на C++ писать. А там можно разгуляться.
И скиньтесь человеку на новую клавиатуру, а то у него запятая залипает.
Всё очень просто. Сейвы хранятся в ~/.local/<EngineName>/<ModName>/saves, сам мод - либо в ~/.local/<EngineName>/<ModName>/resources, либо в /usr/share/<EngineName>/<ModName>/resources, либо в директроии, указанной через командную строку, либо в директории, куда симлинки на вышеуказанные директори укажут.Старт всегда осуществляется универсальным бинарником движка. Движок получает имя мода как аргумент командной строки. Движок проверяет существование директорий и делает landlock-политику. Это весь смысл landlockа - никто не знает до запуска приложения, к каким ресурсам ему доступ ограничить надо, потому что эти ресурсы могут конфигурироваться через параметры, а это - протекающая абстракция. Если AppArmor-файл писать вручную, то ты его устанешь обновлять и просто забьёшь на это пагубное дело. Я одного не понимаю, зачем городить landlock, если уже есть apparmor, причём с поддержкой загрузки профилей в рантайме, правда от рута, но ведь в принципе ничего не мешало подправить нутро так, чтобы непривилегированные бинари могли поверх добавить политику.
Вредоносный сейв или вредоносный ресурс просто не может поломать данную схему, если она правильно реализована и всё покрывает, так как ограничения возводятся до их чтения.
На самом деле в Линуксе нет потоков как first-class citizen, все потоки - это процессы с шарингом ресурсов. И ничто не мешает применять landlock вообще для потоков, то есть напр. потоку рендеринга обрезать доступ вообще ко всему, кроме видеокарты. Да, он сможет похакать это через модификацию памяти других потоков, но даже в таком виде это закрывает кучу возможностей для атаки.
Какой смысл в новых играх, если есть сотни тысяч старых?
Зачем сто тыщ старых жён, если можно взять одну молодую?
эх, молодо-зелено!
старые то проверены, а новая завирусована может быть, устанешь потом свой стик лечить.
Вместо «игры» можно подставить книги, фильмы, музыку etc.
https://store.steampowered.com/charts/mostplayed
никогда не понимал, зачем нужен это стим,
когда просто можно скачать игру.
Где можно просто скачать игру, без подводных? Стим уже давно не только библиотека-запускатор игр, а сервис, и в некотором роде соцсеть. Конечно, можно привести аргумент "а мне это сё нинужно", но ты не один на Земле и кому-то это даже нужно.
Соцсеть, ага. И чтобы тебя нах не слали, типа откуда опыт и почему в билиотеке вашей игры нет, - столько бабла вваливать во всякие поделки.
> Обнаружено вредоносное ПО, использующее игровой движок Godot как платформу для запускаНихрена себе нынче системные требования у вирусов пошли! Может ему еще и топовый GPU надо? :)
Желательно. Тогда майнить станет в разы легче.
или как вариант, удостоверится что программа-вымогатель установлена на комп состоятельного человека
О, отличная идея, записываю в тикет!
Несколько лет назад были обнаружены вирусы, работающие на платформе 1С. Но это не значит что для их запуска требовалась оплата
>не значит что для их запуска требовалась оплатану, как минимум - пользовательская лицензия 1с все же была нужна.
И я совсем слабо себе представляю, каким разумом нужно обладать, что бы суметь применить патч бармина для 1с.
А зачем тогда Линукс? SteamDeck работает нормально, и ещё даёт миру стабильный Arch.
> А зачем тогда Линукс? SteamDeck работает нормально,В смысле, вы запустили на нем сабжа - и проверили что там и правда все отлично, работает как надо и вообще?
> и ещё даёт миру стабильный Arch.
А NYSE дает миру стабильную генту. Жаль что у остальных таких же тим для поддержки нет, так что дял них "стабильный Arch" это взаимоисключающие параграфы.
Godot? Это же те, которые перебанили всех за отказ поддерживать повестку?
Кого? Когда? Можно подробнее?
https://dtf.ru/u/1157049-megumin-blade-of-chunchunmaru/30548...
> https://dtf.ru/u/1157049-megumin-blade-of-chunchunmaru/30548...Wow! (0_0) Сразу на почётную полку эпичных срывов крыш. Кто эту неуравновешенную крысу вообще на позицию pr утвердил, интересно?
Да относительно недавно. Эта контора вместо того чтобы работать над движком, активно продвигает повестку и банит всех кто не согласен. Причём бан с твитера распространяется на все их соц сети.
это вирус чьято мстя :)
Жирные комбайны "всё в одном" не нужны. Посмотрите до чего докатилась игровая индустрия с этим вашим Unreal Engine. Мне даже с торрентов лень качать этот шлак по 200гб, не то что его покупать.
Да в целом во всей индустрии все печально, банальный софт уровня "калькулятор" разжирел как и его кодовая база, как и системные требования к нему
В том же годоте можно все неиспользуемые функции и тп отключить перед сборкой.На анриле - немало оптимизаций, просто они сложные и никто ими не пользуется.
Там 99% игровые данные, а не код.
А картинка у Unreal Engine очень даже красивая. В качестве приятного бонуса к годному геймплею - она вполне оправдывает скачивание лишних 200гб.
А урыл-то тут причем? картинку каую нарисуешь, такая и будет. Хоть в урыле, хоть в гуанодот, прости г-ди.Ну а если ты способен нарисовать только кошка-вид-сзаду - то увы, и урыл не поможет.
> картинку каую нарисуешь, такая и будет. Хоть в урыле, хоть в гуанодотЧтобы нарисовать, и с нарисованным на выходе получить хорошую картинку, нужны хорошие инструменты. Такие, как UE. А с godot попытки рисователей больше напоминают подметание плаца ломом. И это хорошо видно по результату - по играм, которые сделаны на одном и на втором движке.
> Ну а если ты способен нарисовать только кошка-вид-сзаду - то увы, и урыл не поможет.
Разумеется.
Шок! Высокополигональные модельки и hires текстурки требуют много гигабайтов на себя. И движок тут ни при чём, его код занимает мизерную часть от всего дистрибутива игры.
Главное - чтобы Игорь не тонул, а всякие побочные явления - это ерунда, можно и потерпеть.
да вашего игоря рыбы уже не то что доели, а выcpaли и повторно доели раки. И тоже уже выcpaли.Пусть себе повесточку продвигают, хоть чем-то займутся эти "i am muslim", глядишь аллахбабах не сделают, уже польза.
Да как бы с их повесочкой туда им и дорога...
https://lunduke.locals.com/post/6171627/godot-game-engine-en...
Уже вышел форк Godot Engine под названием Redot, который позиционирует себя полностью вне любой политики и продолжит уже самостоятельно развивать движок без этих скандалов.
Говорят, пока там всё тухло. Хотя искренне болею за него.
Лучше выздоравливай. Помимо сва6одки от политики там еще кодить уметь надо, а с этим и у прежних-то разработчиков было сложно все.
Для тех, кому лень читать оригинальную статью: если вы скачете из интернета зловредный софт и запустите его, то он будет делать у вас на компе зловредные вещи.Других исследователей зловредностей у меня для вас нет.
А то, что «антивирусы не могут это обнаружить» - пугалки для домохозяек. Образованные люди понимают, что антивирусы - туфта.
Недавно ставил моды для игры Warhammer 40k: Darktide. Там внутри мода луа скрипт, который тупо запускает cmd.exe и выполняет всякое. Чем это отличается-то? Ничем. Просто очередная контора сидит на распиле чьих-то денег и надувает щёки проводя "расследование". Это реально расчитано на домохозяек.
> Чем это отличается-то?тем что антивирусы прекрасненько умеют перехватить запуск cmd.exe и даже - подсмотреть в то, что он там собирается сделать. И вовремя вмешаться, если делать собрался что-то не то.
А за всякими гo8нодотоами - не набегаешься. Пихать в антивирус разборщик васянской игровой поделки с утонувшим игорем - ну так себе идея.
Но ты узкий, тебе не понять. Иди вон, лучше, контракт на год подпиши, миллионером сделают.
Вообще, по моим наблюдениям в сфете компьютерной безопасности 90% - это распил и мошенничество. То они, запугивая, втюхивают неграмотным людям антивирусы, то, снова запугивая и обещая разлочить регионы втюхивают ВПН-ы из всех щелей. Или, имитируя деятельность на работе, наводят "безопасность" внутри конторы.Вот отличный пример кстати, прям из жизни. Есть команда, разрабатывающая некую самодостаточную систему. Пять человек пилят. Они же обслуживают CI/CD, они же деплоят на продакшен, они же следят за продом и чинят его. Что бы ни понадобилось сделать - всё делается мгновенно, если только внешние бюрократические барьеры не начинают мешать.
Приходит новый начальник и говорит: о, тут у вас небезопасно, у вас же нету separation of duties. Про separation of duties он узнал из ежегодного корпоративного курса где на нескольких сладайх раскрываются все тайны вселенной и оказывается, что если у одних и тех же людей есть доступ и к разработке и к продакшену - это несекурно. Непонятно правда из чего это следует, но так ведь было в слайдах, а значит правда. Ну и говорит: давайте мы ваш проект распылим на три команды:
1. вы, разработчики
2. те, кто будут деплоить на прод
3. те, кто будут следить за продом и ченить егоПонятно, что в результате все три процесса станут значительно затруднены и эффективность разработки и поддержки проекта значительно снизится. Зато взамен предлагается усиленная безопасность. Ну и спрашиваешь их: из чего безопаность-то следует? У вас раньше было 5 человек которых, если хакнут, получат возможность менять исходный код и чё-то делать на проде. А теперь у вас будет 15 человек которых, если хакнут, всё равно получат возможность менять код или что-то делать на проде. Причём вероятность, что хакнут возрастает - потому что теперь их 15, а не 5 и у них между собой естественным образом коммуникация хуже, чем внутри одной команды, что увеличивает вероятность совершения ошибок ввиду недопонимания. Но ведь на слайдах было. А самому подумать головой - это опасно, коллеги не поймут. Типа ты чё, выскочка что ли?
Или вот ещё мне нравится: компания постулирует, что нужно использовать Cisco Anyconnect, потому что он совершает жёсткое насилие над таблицей маршрутизации и не даёт её поменять (точнее даёт, но тут же меняет обратно). Типа, так ведь секурно. В результате пол компании использует OpenConnect VPN который подключается к той же точке, но тоталитаризм в маршрутах не наводит. Потому что людям, к примеру, нужно иметь связь с запущенной на компе виртуалкой. В результате безопасники живут в выдуманном мире где у них всё безопасно, а реальный мир живёт отдельно от них. Потому что им нужно для галочки, а людям которые реальное дело делают - работать.
Не, стопудов безопасность - это важно, но такую тьму дармоедов я видел только среди марксистов и психологов.