Исследователи безопасности из компании Morphisec обратили внимание на серию атак против пользователей системы 3D-моделирования Blender, осуществляемую через распространение blend-файлов в популярных каталогах 3D-моделей, таких как CGTrader. Активация вредоносного кода при открытии 3D-модели производится благодаря возможности включения в blend-файлы автоматически запускаемых скриптов на языке Python, предназначенных для автоматизации действий и выполнения расширенных операций, таких как формирование каркаса модели...Подробнее: https://www.opennet.me/opennews/art.shtml?num=64325
Не должно быть никаких сторонних пакетных менеджеров, скриптов, автозагружаемых дополнений из магазинов и прочего. Ставишь из репозиториев дистрибутива и таких проблем не будет.
Очередные смузихлёбы догадались скрипты в документ запихать. История их ничему не научила.
точно жрём чем кормят корпы, купившие дистры. история с системг, вялендом и гномом ничему не научила
> точно жрём чем кормят корпыЕсли хотите - жрите. Никто не заставляет. На выбор есть и другие дистрибутивы.
И при чём здесь это вообще? Вейланд ставит без спроса какие-то пакеты из ненадёжных источников или запускает их? Нет.
- - - Если хотите - жрите.Ну я ваще не понимаю, как можно на дырявом проприетарном железе использывать типа безопасный софт, заверенный даже подписью какого-то корпораста, который десятками лет не закрывает уязвимости и писал их совсем не для твоей безопасности, и даже т.н. свободный софт. Ну как-то уж очень противоречиво всё звучит. Любители пруфов будут вопросы задавать?
Такой вид, что все эти "свободные" блендеры - просто средство доставки троянов.
Оставляешь ключ рядом с замком, а виноват завод замков что допустил это?
Берёшь замок - а там жучок с симкой и трекером...
Так напиши своё
Кому не должно-то?
Мне, анонимному эксперту опеннета.
Быть
Даже если будет один единственный дистрибутив с одним единственным репозиторием, без вирусов, ты как запретишь пользователям делиться модельками?
>Не должно быть никаких сторонних пакетных менеджеров, скриптов, автозагружаемых дополнений из магазинов и прочего. Ставишь из репозиториев дистрибутива и таких проблем не будет.За что боролись, на то и напоролись).
Магазины приложений,
Подписки,
Сервисы)
Все для домохозяйки чтбы тыкнула кнопку.
А не думала головой.
Ведь еще есть кнопка "сделать офигенно", в фотошоп - это Ai редакторы, в смартфонах ведь фильтры, и даже непонятно, это бот сгенерированный, или куча фильтров освещения, талии.
Эффективные менеджеры.
>Все для домохозяйки чтбы тыкнула кнопку.
>А не думала головой.Бытовые приборы буквально по закону обязаны быть готовы для использования, а не иметь форму DIY конструктора.
Да круто, а тоесть например мобильный телефонв в 2000, даже 1995 года, это не тыкнул кнопочку, а DIY конструктор.
Я имею ввиду что если сравнивать WinXp, 7, даже 2000, это поставил нужный софт и пользуешься.
Такие компы десятилетиями стоят в оффисе, и ничего не ломается.А тут куча каких то магазинов приложений, подписок, сервисов.
Вот недавно хотел попробовать Chrome, и оказалось что Ubuntu ставит Snap, вместе с Chrome, тоесть пишешь apt install Chrome, он ставит сначала 500Mb Sbap.
Притом мне не нужна изоляция, я как раз использую в tmpfs overlay в браузере. А в случае Snap - это изоляция.
Хахаха!
Ты бы еще сочинил "винь95 не нужно переставлять каждые пол года"))
Сколько проблем было что с ХРюшей, что с семеркой до появления сервиспаков...> А тут куча каких то магазинов приложений, подписок, сервисов.
Угу, мир немного поменялся.
Теперь ждать двагода, пока выйдет очережной сервиспак никто не хочет.
Исправили баг - отправили юзеру.И покупать на СД дисках пролижения тоже перестали.
Проще скачать. А откуда? Вот удобный магазин.
>ХРюшей, что с семеркой до появления сервиспаков...Никогда небыло с Xp, проблем.
>Теперь ждать двагода, пока выйдет очережной сервиспак никто не хочет.
Исправили баг - отправили юзеру.
Исправили баг, и накидали непонятных фич жрущщих ресурсы, это не одно и то же.
Исправили, этот как на примере с играми, игра выходит и тормозит на топовом железе, после оптимизации, летает на почти самых слабых пк.
> Бытовые приборы буквально по закону обязаны быть готовы для использования, а не
> иметь форму DIY конструктора.Ну попробуй так поюзать хотя-бы смартфон или планшет чтоли.
> Все для домохозяйки чтбы тыкнула кнопку.Ты еще тыкажешь кнопки на калькуляторе?
Думай головой! Возьми бумажку и ручку.> А не думала головой.
Выкинь все баш скрипты, мейк файлы!
Все команды набирай как в первый раз.
>Возьми бумажку и ручку.Бумажка и ручка это для тех кто не умеет считать в уме.
>Магазины приложений,По твоему свободное По должно быть бесплатным?
>ПодпискиЧем это отличается от подписки на электричество и горячую воду?
>Все для домохозяйки чтбы тыкнула кнопку.Да конечно, ты же будешь разбираться как работает лифт или светофор, делать проливку, чтобы только на твоем этаже останавливался, а зеленый свет только на твоём повороте.
>Ведь еще есть кнопка "сделать офигенно", в фотошоп - это Ai редакторы, в смартфонах ведь фильтры, и даже непонятно, это бот сгенерированный, или куча фильтров освещения, талии.Раньше макияж использовали, сейчас фильтр, разница не большая, читерство.
-- -- ---- По твоему свободное По должно быть бесплатным?Если оно, это ПО, не бесплатное, оно не фри даже и открытое. Свободное - это свободное. А кто там что понимает иначе и пытается втюхивать всем остальным, не знаю. Это как подарок ..... Хочешь бери, а хочешь - нет. Написал, выложил, бери кто хочет если достанешь, не хочешь так, бери продавай за деньги, можешь бартером за слив инфы и т.д. и т.п.
Шёл 2025й год, опеннетные эксперты прлдолжали путать "свободный", "открытый", и "бесплатный".
--- Шёл 2025й год...Ты хочешь сказать что открытый и не бесплатный - свободный?
Может мне вместо фри нужно было написать фридомный?
Ты прям серьезно путаешь. Свободное - это значит без вредоносных действий и с открытыми исходниками.
Кстати, свободное ПО обречено быть халявой, в иных случаях получается просто кривая проприетарщина вроде Godot, который просит за порты на консоли мзду хуже чем Юнити. Тем временем Defold позволяет это сделать бесплатно.
Чушь не неси. Про донаты или платную поддержку свободного ПО слышал?
> Не должно быть никаких сторонних пакетных менеджеров, скриптов,Эксперт не подскажет, как быть, если скрипт не сторонний, а мой и в моем же blend файле?
> Ставишь из репозиториев дистрибутива и таких проблем не будет.
К чему ты приплел репозитории дистрибутивов, если новость о файлах Blender? Буквально "BTW, I use Arch".
> Эксперт не подскажет, как быть, если скрипт не сторонний, а мой и в моем же blend файле?Отдельный make для сборки.
> К чему ты приплел репозитории дистрибутивов, если новость о файлах Blender? Буквально "BTW, I use Arch".В комментарии написано к чему.
>> Эксперт не подскажет, как быть, если скрипт не сторонний, а мой и в моем же blend файле?
> Отдельный make для сборки.Что за бред? При чем здесь make, чего сборка?
>> К чему ты приплел репозитории дистрибутивов, если новость о файлах Blender? Буквально "BTW, I use Arch".
> В комментарии написано к чему.Нет, не написано.
> Что за бред? При чем здесь make, чего сборка?Научитесь читать:
> скриптов на языке Python, предназначенных для автоматизации действий и выполнения расширенных операций, таких как формирование каркаса модели.Каркас можно и нужно собирать отдельно.
>> Что за бред? При чем здесь make, чего сборка?
> скриптов на языке Python, предназначенных для автоматизации действий и выполнения расширенных операций, таких как формирование каркаса модели.
> Каркас можно и нужно собирать отдельноТ.е. ты предлагаешь собирать какркас модели отдельно при помощи make-файлов? Я все правильно понял?
Да, всё верно поняли. Так и должно быть в нормальных проектах - явная сборка.
Все понятно, вопросов больше не имею.Персонаж увидел знакомые слова "Python" и "автоматизация", но смысла их в контексте не понял - и рванул в линуксячем угаре наваливать про дистрибутивы, репозитории и make-файлы. 🤣 Опеннет держит марку!
>> Т.е. ты предлагаешь собирать какркас модели отдельно при помощи make-файлов?
> Да, всё верно поняли. Так и должно быть в нормальных проектах - явная сборка.Чел, или проспись. Речь идет о каркасах 3Д моделей внутри 3Д редактора. Какой к лешему мэйкфайл. XD
И? Каркас генерируется ОДИН раз. То, что эту операцию запихали в документ - костыль. Но вы это не понимаете в силу ограниченности у вас и отсутствия архитектурного мышления.
> Каркас генерируется ОДИН раз.Сразу же с моими правками, которые я ещё даже не придумал? Вот это технологии! Вот это сила опенсорса!
> И? Каркас генерируется ОДИН раз. То, что эту операцию запихали в документ - костыль.Он генерируется внутри Блендера при помощи его встроенных 3Д инструментов.
> Но вы это не понимаете в силу ограниченности
Это как раз ты не понимаешь, что несешь. Хотя давай, расскажи мне, куда ты там свой make собрался втулить - будем веселиться до конца. 😂
> И? Каркас генерируется ОДИН разЕсли бы он генерировался один раз, люди бы вообще не сношались ради этого со скриптами.
> Но вы это не понимаете в силу ограниченности у вас и отсутствия архитектурного мышления.Но ты-то много понимаешь - вог, уже приплел Make к 3Д редактору. Сразу чувствуется гибкое арзитектурное мышление, ага.
Понравилось?
Скрипты в 3Д модели... за каким якодзуном??? ЧТО там делать скрипту, если это просто сетка модели???
> Ставишь из репозиториев дистрибутива и таких проблем не будет.Например либу ХЗ или переводчик.
Которые или бекдорные или сразу отправляют данные на китайские сервера.
Зато самый официальный репозиторий!!
Точнее не должно быть ничего кроме сурса, взятого напрямую от автора кода. Всё остальное - бэкдоры разной степени вероятности.
> Точнее не должно быть ничего кроме сурса, взятого напрямую от автора кода.
> Всё остальное - бэкдоры разной степени вероятности.А если автора кода скомпрометировали?
Или он сам добавил бекдор?Выходит доверять нельзя никому!
Ну в теории должны быть штатные спецы которые будут анализировать исходные код н наличие бекдооров и уязвимостей перед использованием.
--- должны быть штатные спецы...Где и у кого должны?
Не лезьте с глупыми вопросами.
Тебе умному выложили ПО без гарантий, как есть и бесплатно. Кто кому там что должен, хозяин серверов где этот софт выкладывают или добровольцы взявшиеся за т.н. проверку этого софта? Про уязвимости без их использывания в софте не узнают пока это не откроется кем-нибудь, а кто будет закладывать уязвимости в софт и всем о них рассказывать?
астично эту работу как раз выполняют ментейнеры дистрибутивов. Плюс хранят все исходники для сборки, для повторяемости.
>Очередные смузихлёбы
>скрипты в документ запихатьWord, Excel... История повторяется, ага.
PDF туда же, как ни странно.
Напиши PDF, который бы показывал /etc/passwd
> Напиши PDF, который бы показывал /etc/passwdДля Mozilla Firefox разок, таки, написали. Правда это на самом деле JS был, интегряющийся в морду браузера и его просмотрщика PDF на JS :). Но формально предлагалось - как PDF, чтобы вызвать дырявый просмотрщик на JS.
> для Mozilla Firefox ... на самом деле JS ... дырявый просмотрщик"Не выиграл, а проиграл, и не в лотерею, а в покер" (с)
Вывод: Не запускаем чужие .blend файлы ; не включаем автоматическое исполение .py файлов ; живём в песочнице. xD
> Не запускаем чужие .blend файлыЭто первое, что делается в мультитрэш-редакторе :) Всякие туториалы, библиотеки, шаблоны...
Думаю при желании и в Maya можно выполнить скрипт, который начнёт отправлять конфиденциальные данные, если этим кто-то озаботится. Другое дело, что maya не так распространена среди фрилансеров, а на рабочих студийных компах никаких ценных данных как правило нет (ну будет украден пароль от входа на какой-то левый сайт с моделями или форум художников, не трагедия).
>"живём в песочнице"В MacOS все приложения всегда запускаются в песочнице. В Linux ещё не так?
В Windows продвинутые пользователи и сисадмины выкручивают UAC (англ. User Account Control) на максимум, чтобы на каждый чих просил подтверждение, а тут вольница.
>UAC (англ. User Account Control)Ну кстати нормальная штука,
Если firewallm, и UAC, настроенны правильно, то никакой антивирус ненужен.
> чтобы на каждый чих просил подтверждениеИ тут импортирует блендер 100500 файлов текстур из разных мест... А среди этой кучи - ещё и твой кошелёк.
> UACБайпассится буквально миллиардом способов, лол.
>> UAC
> Байпассится буквально миллиардом способов, лол.Не знал, даже слова такого.
Особенно продвинутые не ограничиваются одним лишь UAC:
https://github.com/HotCakeX/Harden-Windows-Security
+ работать под стандартным пользователем, или использовать Administrator Protection хотя бы.https://learn.microsoft.com/en-us/windows/security/applicati.../
И что? они тырят файлы самого юзера. при чем тут Administrator Protection?
Ну так настройка UAC тут тоже не особо поможет.Речь ишла о настройке системы в целом, а не для защиты от конкретно этой "уязвимости".
А так Sandboxie поможет.
С помощью интерпретаторов можно обходить Smart App Control, который требует наличие действительных подписей у исполняемых файлов и скриптов (PowerShell), наработанную хорошую репутацию среди всех пользователей SAC (может меняться раз в сутки).
Поведение SAC можно изменять через политики (HotCakeX разрабатывает удобный FOSS менеджер и редактор), в том числе одобрять/запрещать файлы по типу подписи, хэшу и т.п.
Поэтому Microsoft рекомендует блокировать интерпретаторы в системе через политики SAC, если они не необходимы.
SAC работает и для модулей ядра, к слову.
С помощью Sandboxie можно запретить запуск исполняемого файла вне любой или конкретной песочницы.
Это все очень интересно, но не жизнеспособно у домохозяйки
Извечная проблема с безопасностью в десктопных ОС.
https://xkcd.com/1200
Поэтому приходится костылять, в отсутствие продуманной архитектуры.
> + работать под стандартным пользователем, или использовать Administrator Protection хотя
> бы.
> https://learn.microsoft.com/en-us/windows/security/applicati.../Сколько манов на винду не читай а безопасно в ос с онлайн акаунтами, телеметрией, перезагрузками без спроса и AI в блокноте будет - уж точно не майкрософту.
Чувак. ты читать новость пробовал? В против такой атаки UAC не работает...
Конечно не так, потому что ставится доверенное ПО, а не проприетарная малварь. Ну если ты конечно не дурачок ставить снапы и флатпаки, но там как раз песочницы.
> "Конечно не так, потому что ставится доверенное ПО"А потом уделяются, почему у Linux так мало пользователей! Вот как в таких условиях работать брокерам, трейдарам, фотографам, музыкантам и т.д.?
Так как разработчик создаёт только для Win и Mac, он не будет выкладывать для 100500 дистрибутивов Linux (которые все вместе взятые занимают малую долю рынка десктопов).
А за место него выкладывают в репозиторий всякие непонятные Васи, с блекдорами, майнерами и т.д.
>> "Конечно не так, потому что ставится доверенное ПО"
> Вот как в таких условиях работать брокерам, трейдарам, фотографам, музыкантам и т.д.?Как, как ? Платить вымогателям за расшифрование, терять кошельки и конфиденциальные данные...
> А потом уделяются, почему у Linux так мало пользователей!Нам на линуксе так-то и не нужны такие пользователи... пусть со своими строянами на винде сидят...
В Linux просто и надёжно программы изолируются отдельными юзерами.
Просто и ненажёжно. Защищает только от тривиальных атак и случайных операций типа `rm -rf ~`. Ядро и сетевой стек общие. IPC, shared. Есть ещё X11. SUID. DE leaks.Нужны хотя бы хорошо настроенные песочницы или контейнеры.
> Нужны хотя бы хорошо настроенные песочницы или контейнеры.Все инструменты у тебя для этого есть. И песочницы и контейнеры. Пользуйся...
Ни одна кухарка не сможет это настроить в линуксе. А вот в симбиане это было "из коробки".
Причем тут линукс если строян поражал именно виндузятников?Может кухарки уже побросали свой ужасный виндовс и побежали на более защищенные системы?
И да...
Если кухарка последует совету Ильича, то сможет.
А так пусть она этим симбианом пользуется или страдает...
В линуксе перестал работать питон?!
т.е. ты новость не читал...> Вредоносное ПО ограничено атакой на пользователей Windows.
ну хоть погугли про StealC V2 - может поймешь, что линукс здесь никаким боком...
в корпы вкатываешь атомарный дистр, источники приложений только доверенные, дальше уже по ситуации хардитьгеморройно для всех сторон, но это тот самый проклятый мир, который мы сами себе и создали
здесь проблема не в источники приложений только доверенные, здесь проблема что виндузятники сами тянут из интернета всякую каку и запускают ее, несмотря на предупреждения программы...
Только ограниченный ментально линукс-durачок будет думать, что венду придумали только запускать нотепад. Нормальные люди держат ДЕСЯТКИ приложений + ещё тысячи перделок ждут своей загрузки. Это нормально - решать на компьютере тысячи жизненных задач.
> перделок ждут своей загрузкиДа, да... бесплатно и без СМС...
> жизненных задач.например, вызвать компьютерного докторишку систему почистить :)
Не. Этого мало.
Во-первых, каждое приложение - на отдельные ядра и отдельные модули памяти. Мало ли там, шпектр какой-нибудь или там рохляммер.
Во-вторых, каждое приложение под гипервизор. Который тоже на отдельных ядрах сидит.
Каждому приложению - по отдельному набору железа. А вдруг через клавиатуру что утечёт.
И да, сеть у каждого приложения тоже своя, изолированная, со своим отдельным аппаратным файрволом - на той же системе нельзя.
И даже в одной коробке нельзя. И блоки питания разные должны быть.
Файлы - каждый на отдельной флешке в отдельный для каждого приложения USB-порт.
Ну короче покупай, не стесняйся, производители железа тебя заждались.
>В MacOS все приложения всегда запускаются в песочнице.Таще-то нет. Наличие sandbox не означает, что ВСЕ! приложения в нем запускаются.
Сейчас наверное в любой большой программе можно запустить мини-Linux с OpenSSH сервером на борту прокинутым через туннель
Программа не может работать изолировано, ты в блендер будешь постоянно подкидывать файлы, модели, картинки, текстуры... экспортировать всякое, рендерить, заливать куда-то результаты. Т.е. из песочницы будет дыра наружу.
Это называеться shellcode и существует давно.
Спойлер: любая Тьюринг-полная система со скриптами подвержена вирусам.
Скелетор вернётся позже с ещё одним неприятным фактом...
>любая Тьюринг-полная система со скриптами подвержена вирусам.Неверно. Например, JavaScript вон Тьюринг-полный и в браузере исполняет скрипты прямо с Интернета, но ограничен так чтобы не иметь доступ к произвольным файлам на диске.
> Например, JavaScriptНо разрабы блендера - не Брендан Эйх.
Надо Блендер переносить в брайзур - срочно!
Скажи это зависимостям и сишным дыреням, на которых написан движок Джаваскрипта)))Виртуальная машина/песочница/контейнер - не панацея, мы это уже проходили на примере с Log4j. Ну что, банкиры и майнкрафтеры прочувствовали на себе Тьюринг-полноту по полной.
Понимаешь, ты либо можешь делать всё, либо ничего, третьего не дано. Это не значит, что всё должно быть отложено скриптами, но будь готов к опасностям всегда.
https://github.blog/security/vulnerability-research/attack-o.../
а ничо, что лог4ж - это про жаву ?
Я в курсе разницы между Java & JavaScript. Просто вот прикол, оказывается, сколько не обкладывайся виртуализации, контейнеризацией, изоляцией, они не помогут защитить...
> Неверно. Например, JavaScript вон Тьюринг-полный и в браузере исполняет скрипты прямо с Интернета, но ограничен так чтобы не иметь доступ к произвольным файлам на диске.Неверно. Вирус - не означает доступ к произвольным файлам на диске.
Если после захода на сайт, у тебя в браузере, в неудаляемом (ну вот так хацкер постарался) расширении прописался майнер, то не все ли тебе равно откуда твой проц нагружается на 100%, из песочницы или из нативного бинарника?
Ты не понимаешь! Из песочницы вирус безопасно ворует твои пароли и данные банковской карточки, и также безопасно переходит по ссылкам для безопасного скачивания специально оформленных файлов.
> Ты не понимаешь! Из песочницы вирус безопасно ворует твои пароли и данные
> банковской карточки, и также безопасно переходит по ссылкам для безопасного скачивания
> специально оформленных файлов.Такой песочницы не существует, в том числе и в MacOS.
Когда ты скачиваешь софтину - ты даешь ей разрешение на установку. Дальше либо запускается бинарь, либо запускается примонтированный раздел с бинарем и либами, и запускается бинарь.
>>любая Тьюринг-полная система со скриптами подвержена вирусам.
>Неверно. Например, JavaScript вон Тьюринг-полный и в браузере исполняет скрипты прямо с Интернета, но ограничен так чтобы не иметь доступ к произвольным файлам на диске.Неверно. Т.к. браузер не написан на js и имеет доступ не только к своим файлам.
>ZalypaGulliveraV1.pyОтлично! 10/10 шутеек про бипки!
Autorun/Windows... я в безопасности.
Надо просто скрипты все в песочнице запускать, в том же bwrap.
Тут вопрос: а почему программы хранят чувствительные данные так, что их может прочитать левая васянпрога?! Обвешались системдами, песочницами, докерами, покерами, и тут приходит блендер с питоном и вычитывает данные аддонов из браузера, которые кроме браузера ничем читаться не должны.Почему-то во времена симбиана у каждой программы был "из коробки" приватный каталог.
Так вы же сами отказываетесь использовать всякие flatpak и snap.А конкретно этот вредонос вообще под винду. Но и под линукс по идеи тоже можно такое же сделать, если там питон неизолирован.
Потому что надо отдельными юзерами всё изолировать.
> надоПочему браузеры это не могут сделать? Почему разработчики браузеров это не могут сделать? Почему мейтенеры пакетов это не могут сделать? Никто не может, а кухарка - должна мочь?
>Почему-то во времена симбиана у каждой программы был "из коробки" приватный каталог.От не надо про симбу и "приватный каталог", оно только для пользака могло так выглядеть, но не для другой приложухи.
Вот это кстати отдельный маразм. Скажем даже если в обычном режиме один браузер прочитал данные другого браузера перенеся оттуда ВСЕ ПАРОЛИ. А как он это сделал? Кто ему дал на это прямое разрешение? В сущности все, что вы храните в браузере - это уже достояние узкой, но общественности, а не ваше.
Теперь понели, зачем в андройде ограничили доступ к папке Data?
Андроид и ios вообще лучший пример в плане защиты от дурака. Разве что лучше бы каждый раз запрос пароля с предупреждением был, когда ставишь софт из apk. Изоляция приложений в целом хорошая относительно винды и дефолтного линукса. Насчет мака хз, там вроде тоже норм защита от дурака.Пользователям никогда нельзя доверять их безопасность. Если хочешь больше свободы, то ты должен в процессе её получения доказать, что ты не совсем дурак. Пока что в андроиде слишком легко получить право запускать вредоносный код.
Господи, эти новости про "атаки" в последнее время - как парад неудачных шуток к первому апреля.> Атака прежде всего нацелена на пользователей, включающих в настройках опцию автоматического запуска скриптов из blend-файлов. Автоматический запуск по умолчанию запрещён, но пользователь может не задумываясь подтвердить запуск в диалоге с предупреждением
Что дальше откроют "исследователи"? Что левый бинарь, скачанный из инета, может делать с твоей системой что угодно, если ты "не задумываясь, пдтвердил запуск в диалоге с предупреждением"? Фейспалм. 🤦
Они откроют, что оффисный скриптинг в табличках экселя может содержать вирусы!
-- -- скриптинг в табличках экселя может содержать вирусы!Да ну? Любой скриптинг придумали из благих намерений для всякого удобства во благо человечества. Какие вирусы? Это не гуманно и противоречит всяким лицензиям корпорастов...
> Что дальше откроют "исследователи"? Что левый бинарь, скачанный из инета, может делать
> с твоей системой что угодно, если ты "не задумываясь, пдтвердил запуск
> в диалоге с предупреждением"?Раскрыли вполне конкретную _атаку_. Проинформировали общественность. В том числе описали сценарий. Что не так?
СПО, Blender, Python это модё любимое комбо.
Вообще это удобно поставлять данные сразу с функциями над ними.
Таже lua в этом плане удобнее json, для luajit можно создавать файлы под 64гб.
Очевидно что подобное будет использовано для злого умысла и ничего с этим не поделать.
Расширенный вывод в блендере с разрешением запустить код, в котором
будет указано что используются функции, которые обычно не встречаются
в моделях не помешал бы. А не просто да/нет
Вот на такой безалаберной логике нынешний вирус и построен. Удивительно, как можно прочитать новость и продолжать думать, сто "скрипты в модели" - это хорошо? Вам ПЕРВЫЕ грабли вообще что ли не оставили пищи для размышлений???
> Расширенный вывод в блендере с разрешением запустить код, в котором
> будет указано что используются функции, которые обычно не встречаются
> в моделях не помешал бы. А не просто да/нетПроблема в том, чтобы понимать какие функции и как могут быть использованы по неназначению, нужно самому быть злоумышленником. А последние в разработке полезных программ не участвуют. Они вирусы распространяют.
Компромиссный и самый простой способ защититься от слива: настроить фаервол на запрет исходящих соединений от произвольного софта. В винде по-умолчанию кто угодно может выйти в интернет, а так фаервол покажет окошко когда зловред попытается скачать вирус или отправить собранные данные. Наличие такого окна достаточный повод физически отрубить интернет и запустить антивирус.
Как собираешься гасить, например, запросы на резолвинг хост-неймов?
Меня эта защита от dns тунелей тоже волнует, нет инета, зато unbound шпарит.
Я бы запускал на отдельной машине с прокидыванием графики, waypipe тот же, хз насколько он быстрый.
Как? Просто, landlock даже запросы на 127.0.0.1 прибивает.
> Компромиссный и самый простой способ защититься от слива: настроить фаервол
> на запрет исходящих соединений от произвольного софта.Поэтому скриптец просто пошифруете тебе файлы на диске и попросит заплатить.
А ты уже сам выйдешь в инет))
Только есть буквально полезные скрипты, которые подхватывают данные из Интернета, например, огромные онлайн библиотеки ассетов. Просто не нужно хранить чувствительные данные на рабочем компе, это может быть грустно, т.к. у художников это довольно мощный комп, но ради безопасности нужно завести себе другую чистую железягу. Если же в Blender начнут сокращать возможности скриптов - это будет шаг назад и многие инструменты отвалятся. +Многие blend файлы вообще не содержат скриптов и не требуют их, если на простой модели, особенно без анимаций, что-то вдруг захотело выполниться - это уже редфлаг.
Вообще плевать. В серьёзных конторах есть DLP, а у геймеров, вытянувших модельку из игры путём перехвата вызова OpenGL через специальную проприетарную программу, и красть нечего.
у виндузятников истерика, а новость они, как обычно, прочитать не шмогли> Вредоносное ПО ограничено атакой на пользователей Windows.
Ж)))
Вчера только все восхваляли блендер как самый лучший опен соурс а сегодня уже вон оно как оказалось
Виндузятники должны страдать... На линукесе эти ваши вирусы-шмнирусы не работают...
И в чем проблема? То что исполняемый код потенциально опасен - и так ясно. Рабочий комп в принципе не должен содержать никаких чувствительных данных, для них в идеале нужно отдельное устройство, где вообще не установлено ничего личного. И о боже, можно скачать левую либу или нейронку, где будет вредоносный код и что? Откажемся от программирования теперь?
Что-то не сказали ничего, разрабы Blender как-то будут что-то делать? Ну там наверняка же есть питон-песочница.
> Что-то не сказали ничего, разрабы Blender как-то будут что-то делать? Ну там
> наверняка же есть питон-песочница.Я нашел на дорожке в парке чей-то старый пирожок и съел его... Теперь у меня болит живот... Пекарни планируют что-то с этим делать?
Если заранее известно, что в печку будут сувать всё подряд, в т числе радиоактивные железки и неразорвавшиеся мины 40-ых годов, сделаете ли вы стены печи потолще или будете жарить на мангале?
Еще раз для танкистов.По дефолту запуск скриптов ЗАПРЕЩЕН.
Почему? Потому как разрабы предупреждают юзверя - это опасно.Виндузятник качает с левого сайта левую модельку.
При открытии этой левой модельки программа виндузятника предупреждает.
Виндузятник игнорирует предупреждение и запускает скриптоту...
Виндузятник получает любимый строян StealC.
А виноваты разрабы блендера...
Л - логика!
Здесь проблема в том, что есть возможность совершать действия с имуществом индивида без его добровольного информированного согласия. Такие действия должны интерпретироваться, как вредоносные.
Если есть исходный текст python-сценариев, разработчики сценариев информируют об одних действиях, а сценарий выполняет другие, то насилие с имуществом индивида совершили разработчики сценариев.
В любом случае разработчик Blender не имеет к этому никакого отношения.
и ты решил создателей трояна призвать к ответу за то, что не информировали тебя, что запускают на твоем компьютере троян? :)
Нет, у тебя научно-фантастическое воображение.
>> Что-то не сказали ничего, разрабы Blender как-то будут что-то делать? Ну там
>> наверняка же есть питон-песочница.
> Я нашел на дорожке в парке чей-то старый пирожок и съел его...
> Теперь у меня болит живот... Пекарни планируют что-то с этим делать?Ты в здравом уме и твердой памяти сравниваешь пирожок на улице, который воздействует на тело, и выполнением действий с имуществом индивида?
Погуглил. Ничего кроме рекомендаций запускать питон в докере не нашёл.
Если это так, то питон не самый подходящий для таких целей язык. Тот же JS и понятен всем и имеет изоляцию.
Какая разница на каком языке написан скрипт который качает и запускает строян с интернета?
> Какая разница на каком языке написан скрипт который качает и запускает строян
> с интернета?У некоторых встраиваемых языков (например, Lua) можно ограничить функции. Например, доступ к ФС. Что не позволит ни читать, ни писать, ни запускать сторонние файлы.
> можно ограничить функциино, блин, им нужен доступ к ФС им нужно писать и запускать - для этого там пайтон и используют... а то что используют какеры не совсем по назначению...
теперь будет как в как в мелкоофисе - 30 лет бородьбы со скриптами - вроде и хочется и колется и мама не велит :)
Некоторые и полезные скрипты для Blender должны подхватывать данные с дополнительных файлов, вводить ограничение на это означает сделать жизнь многих технических художников менее удобной ради того чтобы дуракам жилось лучше? Никто в здравом уме не будет хранить данные от крипты на рабочем компе. Разве допустим программистов это не касается? Разработчик может в любой либе притянуть вредоносный код и такое в мире случается каждый день.
> Погуглил. Ничего кроме рекомендаций запускать питон в докере не нашёл.
> Если это так, то питон не самый подходящий для таких целей язык.
> Тот же JS и понятен всем и имеет изоляцию."Если на сайте имеется Java, JS, MM flash или ещё что-нибудь подобное, для пользователя это означает, что в момент просмотра сайта на компьютер пользователя незаметно для него самого будет загружена программа для алгоритмически полного исполнителя, и не только загружена, но и исполнена. Создатели всего этого мракобесия предполагали, что виртуальные машины, исполняющие соответствующий код, будут ограничены в возможностях настолько, что исполняющийся код ничего страшного с компьютером пользователя сделать не сможет. Практика, разумеется, показала прямо противоположное. Года не проходит, чтобы в интерпретаторах JS и/или MM flash не нашли очередую уязвимость, причём как правило это сразу remote code execution. Если взглянуть на проблему реально, получится, что создание полностью защищённого тьюринг-полного интерпретатора - это задача, превышающая возможности человека. Есть алгоритмическая полнота - будут и эксплойты. Таким образом, используя на своём сайте client side, в особенности если сайт без них работать не может, разработчик сайта принуждает своих пользователей к включению в браузере интерпретаторов JS и прочего, то есть к компрометации безопасности их компьютеров.
На основании вышесказанного я заявляю, что все веб-разработчики, создающие такие сайты, которые невозможно просматривать с отключённым в браузере интерпретатором JS и/или MM flash и других подобных примочек - безответственные убл*дки, ни в грош не ставящие интересы своих пользователей, и это моё окончательное слово по данному вопросу".
> все веб-разработчики, создающие такие сайты, которые невозможно просматривать с отключённым в браузере интерпретатором JS и/или MM flash и других подобных примочек - безответственные убл*дкиЗолотые слова... Но сейчас без JS даже данный сайт не полностью работает.
>Ну там наверняка же есть питон-песочница.У бидона нет песочницы, это вам не lua и не любой другой встраиваемый язык.
Разработчики блендера могли бы сразу баш-портянки в бленды затолкать :)
Надеюсь в Blender НИЧЕГО не будут с этим делать, максимум введут предостережение. Жизнь художников и технических дизайнеров не должна становиться менее удобной из-за мошенников и дураков. Цена свободы - вечная бдительность.
А загружаемый тоннами со стороны веб-сервера и тут же исполняемый в браузере код JavaScript - это не атака на компьютеры пользователя? По сравнению с Хромом Блендер идеал безопасности.
> JavaScriptну напиши пример чтения произвольного файла...
Почитай любой CVE на Хром.
Почитал любой. Примера чтения файла - нету.
> CVE на ХромНаличие питона в блендере, который может исполнить всё, что угодно - это CVE? Это начали исправлять?
> ну напиши пример чтения произвольного файла...В свое время был такой сплойт, фигачил лису через внедрение через PDF-просмотрщик на JS в контекст браузера. И дальше оно лихо шарахалось по всей ос с правами браузера.
Фактические боевые экспонаты собирали все - от ключей ssh до логинов-паролей, списков прокси, номеров кредиток, кошелей крипто и какие там еще ассеты с вас можно поиметь (довольно длинный список интересных файлов). Так что - можно и уже было.
> PDF-просмотрщикУ меня нету такого просмотрщика... Дак будут примеры на JS?
> У меня нету такого просмотрщика... Дак будут примеры на JS?YOLO, он в каждой версии Firefox по дефолту встроен - и активирован. По дефолту, Карл! Это был жесточайший CVE. Вот прям на JS, да! Поскольку морда браузера тоже JS - оно внедрялось в нее и далее могло все что угодно - с правами морды файрфокса. А поскольку в песочницы эти бакланы тоже не умели.. ну.. норм такая CVEха вышла то. Кроссплатформенная, на JS! :D
А софт который обход дир делал и тыринг файла - относительно кроссплатформенный получился. Там все равно были некоторые специфики вроде, типа того у кого какие диры с ништяками. Но в целом отличный кроссплатформенный эксплойт на именно JS, как вы и просили.
Я повстречал этот баг в районе что-то типа наг.ру - где сетевиков-затейников гасили ЭТИМ прямо в диком виде! Кто-то налил ЭТО прямсюда, я в меру талантов небольшой анализ того что я вижу и провел. На вид напоминало творчество незабвенного Equation - те тоже UUID'ы любили, да и в целом такое - было бы весьма в их духе. Ну то-есть это была полноценная боевая малварина. Вот прям на JS! :D
Тебя про сырцы на JS спрашивают, которые такие script в html, а ты всё на PDF зациклился...
> Тебя про сырцы на JS спрашивают, которые такие script в html, а
> ты всё на PDF зациклился...Так весь эксплойт по факту был - куском JS. И только. То что он изначально как PDF сватался чтобы дырявый просмотрщик вызвать и внедриться в его морду - это уже другой вопрос.
А чисто технически именно JS начинал шарахаться по всей системы с правами браузерной морды. И да, он вполне себе в виде "исходника" был. Даже не сильно то обфусцированого, по нему более менее понятно было что оно обходит кучу дир и ищет там кучу ништяков которые стырить у этого немамонта можно было бы. И все это великолепие вот прям - на чистом JS и более по сути нифига.
> дырявый просмотрщикНаличие питона в блендере - это дыра и CVE? Это начали исправлять?
Это однозначно вредоносные действия ПО, но какого-то ч*рта государство не интерпретирует это как вредоносные действия.
https://www.opennet.me/openforum/vsluhforumID3/138488.html#178
Уверен, это именно целенаправленная атака. На кого? На разработчиков тех самых игр. У них на форумах Итча совсем недавно активировался анон, с разных аккаунтов со сгенерированными именами постящий "самые свежие обновления" с вредоносом (короткие ссылки типа lilurl.run или psee.io, ведущие на hardware-gui.su). Ждите прилётов и на F95, там вообще заливают все, кому не лень. Домен с вредоносом как бы намекает на юрисдикцию уполномоченного злоумышленника, в которой изготовление такого контента запрещено, а значит, подвергает изготовителя, имевшего счастье оказаться в той же юрисдикции, риску преследования, шантажа или вымогательства.
> благодаря возможности включения в blend-файлы автоматически запускаемых скриптов на языке Python,Уроки макровирусов некоторых так ничему и научили. А, хотя это ж питонисты, им надо все грабли на СВОЕМ лбу собрать.
> предназначенных для автоматизации действий и выполнения расширенных операций, таких как формирование каркаса модели.
Или тыринг ключей ssh, паролей, инсталляция бэкдоров и прочих червяков для pip^W nodejs а впрочем найдите 10 отличий между ними.
Столько комментов, а ничего по делу. Не скачивать! Не запускать! Выдавать предупреждение! Вы понимаете, что это все припарки или вы реально думаете, что бумажками можно запретить человеку нажимать кнопки? Действенный практический (без пространных философтствований) способ тут один - дать по башке разрабам блендера, чтобы скрипты на ЯВУ в их софтине были ВСЕГДА И ВЕЗДЕ ограничены их пемочницей. Никакого доступа к системе. Никакого резидентного запуска. Область видимости ТОЛЬКО внутри объектов блендера. То есть реально виноваты тут только разрабы.
> дать по башке разрабам блендераПервое, что самое стрёмное в блендере, он юзает внешний системный питон. Со всеми вытекающими последствиями. И определяет его весьма изощрённым методом: через пакетный манагер.
> Первое, что самое стрёмное в блендере, он юзает внешний системный питон.Можно подумать несистемный сильно поможет. На этом battle for wesnoth в свое время налетел, заметив что питон сандбоксингу не поддается хоть ты что - поэтому "ai script" может вылезти в основную систему более 9000 способов и конкретно поразвлечься. И таки поскольку это loadable content, питон был задропан нафиг - и заменен на Lua. Вот так да, AI скрипты более не могут ничего в системе ломать. А чем думали в сабже - хз. Синдромом утенка и хайпом видимо.
> питон был задропан нафиг - и заменен на LuaКажется, ты начинаешь понимать... Что мешает сделать встроенный питон, работающий как Lua?
> Кажется, ты начинаешь понимать... Что мешает сделать встроенный питон, работающий как Lua?То что это было нифига не предусмотрено в питоне изначально, ага! В отличие от. Но конечно вы можете потом переписать весь код и переучить всех программистов на какой-то ограниченный subset который здесь и сейчас - никто не знает. Насколько это хорошо показали всякие pypy, и какие там еще типа-компилируемые диалекты питона и проч. Где они все? И это будет - там же. По тем же причинам.
Всегда найдут сбособ выйти из песочницы. Нужно другое решение.
Уже такой дыры, как JS в браузере, хватает. Это все из одной оперы.
Что могло пойти не так, если в питоне есть всё, включая качать с инета?
> Никакого доступа к системе.Чтбы даже свои blend-файлы не открывались!
> То есть реально виноваты тут только разрабы.
Виноваты только злоумышленники.
> скрипт Rig_Ui.py включал известную реализацию
> системы автоматического риггинга.It definitely rigged. Its some setup! :D
О, опять макровирусы пошли. А зачем макросам по умолчанию давать доступ к файловой системе? Почему нельзя как в браузере на доступ к файловой системе постоянно запрашивать разрешение или как в андроиде?Или же пробелема из-за того, что вместо нормального языка взят гвидобейсик?
У меня бы такое не сработало, т.к. запускаю все программы, которым не нужен доступ в интернет, через пользовательскую группу, которой запрещен доступ в интернет.
Да и сценарии запрещены, разумеется.
Ну это не страшно. Только Windows касается. Впрочем, конечно, лучше не использовать ПО, где используется Python.
> лучше не использовать ПО, где используется PythonЕсть такое, сейчас через эту дыру повалят.
Так а зачем даже блендер, если штатный pip при download (sic!) пакета уже автоматически исполняет часть кода из него? и блендер не нужен.