Comments 48
Незакрытые 0-day уязвимости из-за отсутствия обновлений или шанс получить "провокационный контент". Вот это выбор конечно, разрываюсь между двумя этими вариантами честно говоря.
Были бы безобидные провокации - ничего страшного. Но ведь уже есть и такие, кто удаляет все с жёсткого диска по IP и языку системы https://habr.com/ru/news/t/656205/
Внедрение вредоносного кода в популярные пакеты случалось всегда, это не повод кричать, что всё пропало (это не конкретно про вас).
Повторюсь, это отдельные случаи, отношение к ним в сообществе вы можете пронаблюдать в тикете недавнего подобного инцидента https://github.com/RIAEvangelist/node-ipc/issues/233 (спойлер: негативное, крайне негативное).
Да, такое случается, поэтому в тексте лицензии почти всегда есть абзац про отказ от гарантий, но это никакая не глобальная практика и уж точно не причина отказываться от обновлений.
Структура рекомендует проверять загруженные из Интернета файлы антивирусами.
а с антивирусами тоже zопа
Погодите еще, сейчас кому-то придет в голову идея "симметричного ответа". И после обновления значки приложений начнут выстраиваться буквой Z.
Пирожки печёные или яблочки мочёные? :-)
Банк призывает разработчиков усилить контроль за использованием
исходного кода, а обычных пользователей — не обновлять программное
обеспечение
Интересно, в сбербанке осведомлены, что новые релизы программ, кроме теоретически возможного малваря вполне себе часто содержат реальные исправления безопасности?
Я осведомлён о ситуации вокруг node-ipc и подобных, но это лишь отдельные случаи. Инциденты с умышленным внедрением вредоносного кода встречались и раньше, но после них никто не говорил, что обновляться не надо.
Это про безопасность, я всё же могу понять "работает провёл аудит --- не трожь".
По мнению банка, в последнее время участились случаи
внедрения провокационного контента в свободно распространяемое ПО и
библиотеки, применяемые при разработке подобного софта.
Не обновляться, пардон, из-за "провокационного контента"? Но это ведь крайне деструктивный совет, ради чего делать такой подарок недоброжелателям, которые будут рады воспользоваться "нежеланием видеть провокационный контент"?
Сбербанк рекомендует отказаться сейчас от обновления программного обеспечения
У нас в немецкой фирме, далёкой от всякой политики, вчера думали как быть дальше с обновлениями пакетов. Решили, что бытовавшая раньше практика по возможности устанавливать последние версии (предполагая что они наиболее безопасны) уже не применима, и нужно ставить проверенные временем (пока решили несколько недель) и внимательно читать список обновлений и профильные интернет-ресурсы, где появляется информация о найденых косяках. Это потребует больше трудозатрат, но прежний процесс «npm update и в продакшн» признали слишком опасным. Он и раньше не всем нравился, но думали что мы-то маленькие и никому не интересные, так что можем себе позволить оптимизировать скорость разработки, а не безопасность.
Так это и есть нормальный процесс. Точнее, его часть.
Потому что потом у вас должны быть: сборка с юнит-тестированием, тестирование бизнес-логики, регрессионное тестирование, Green/Blue deploy…
предполагая что они наиболее безопасны
В последний версиях приходят не только последние исправления, но и последние баги. Вообще, LTS-версии не просто так придумали. И именно их обычно и рекомендуют использовать в продакшене.
Интересно, в сбербанке осведомлены, что новые релизы программ, кроме теоретически возможного малваря вполне себе часто содержат реальные исправления безопасности?
Если программа "часто" выпускает "реальные" исправления безопасности - стоит подумать о смене программы.
Но это ведь крайне деструктивный совет, ради чего делать такой подарок недоброжелателям, которые будут рады воспользоваться "нежеланием видеть провокационный контент"?
Помимо высококлассных IT-специалистов, осознающих реальные риски (и их отсутствие для себя), существуют и иные категории людей, для которых этот совет вполне конструктивен.
Впрочем, то, что целый банк (!) вместо того, чтобы обеспечить адекватную техподдержку и ещё раз укрепить безопасность, начинает постить YOLO-советы на весь мир, - это проблема так проблема...
ну тут ещё стоит понимать, что node-ipc и подобные, это не совсем "отдельные случаи" как минимум потому, что это часть общего тренда на отрицание всего русского. А второй момент, это то, что это обновления способны не только фиксить 0day, но и внедрять их. Node-ipc найден из-за крайней топорности реализации. Надо быть дурачком, чтобы надеяться, что внешние запросы на проверку региона ip-адреса никто не спалит. Но есть же авторы не дураки.
Как уже упоминали в соседней ветке - реальные проблемы безопасности в ПО на которые нужен срочный патч не так уж и часто возникают. И в большинстве ситуаций могут быть закрыты другими мерами, пусть и костыльными. Тем более что осторожничать имеет смысл только в период эскалации. Скоро тренд русофобии поутихнет и можно будет спокойно обновляться
Ситуация плохая, но, вообще говоря, это повод задуматься о том, что стоит вносить посильный вклад в развитие свободного ПО, которым мы так много пользуемся. И в плане разработки, и в плане поиска ошибок, ну или намеренно создаваемых проблем...
Срочно форкнуть весь GiHub и больше никогда не обновляться!
И, что характерно, никаких пруфов. Только болтовня
Странно, что ещё есть люди, которые не знакомы с мемом про доллар за 35 рублей)
Юлия Цепляева,
директор Центра макроэкономических исследований Сбербанка
Я считаю, что в феврале – марте рубль должен вернуться к равновесному курсу 33 рубля за доллар. Я серьезно так считаю! Лично я свои деньги не побежала никуда перекладывать по 35 рублей – это безумие! И мне очень жалко людей, которые покупают доллар за 35 рублей, потому что вероятность, что они потеряют свои деньги, – большая.
//рукалицо.жпг...
Я все еще не привыкну, что они могут так нагло и откровенно врать
Стоит ли напоминать что во время этого высказывания ещё не случился Крым, ЛДНР, Боинг и санкции? Она, конечно, аналитик, но, думаю что предсказать такое было не в её силах.
Вот вам высказывание тех же «аналитиков Сбера» в середине этого февраля, про доллар по 68 уже вот-вот. https://www.rbc.ru/economics/15/02/2022/620a1df09a794769e6d338be
Обратите внимание на аргументацию в материале, там просто ни одного вменяемого аргумента, вместо аргументов наукообразные сопли.
Они пишут что ФНБ хорошо наполняется и значит его будут инвестировать - продавать валюту. Вполне вменяемый аргумент, был.
пишут что ФНБ хорошо наполняется
Это преувеличение, если не просто ложь, несложно проверяется на минфине.
значит его будут инвестировать
Не значит, см выше. И даже если бы «хорошо наполнялся», тоже не значило бы. И даже если б значило – это само по себе не тот фактор, которого хватило бы для снижения курса на 10%.
расскажу про себя. был период, когда я каждый декабрь собирал мнения разных аналитиков из инвест компаний относительно курса доллара и фондового рынка. года три-четыре наблюдал и плюнул, потому что ни один не угадывал.
Но ведь это явная дезинформация.
Ещё раз подчеркну, в первую очередь следует бояться не СПО, где одни, добавляя малварь, выпячивают её, выставляя напоказ, а другие - тут же удаляют. В первую очередь следует бояться проприетарщины, где возможно то же самое, но не человекочитаемое. И оно даже может без обновлений проявиться, так как заранее добавлено. Сказанное касается не только Windows, как знать, чего ждать от Nucleus RTOS, она тоже проприетарная. Сторонние бэкдоры в кнопочных телефонах на этой ОС уже обнаруживали, но вдруг это вершина айсберга, а чуть глубже - бэкдоры от самой компании Mentor Graphics?
В случае проприетарщины (которая в основном коммерческая) мне кажется это как раз менее актуально. Потому что капиталист понимает что делая такую одноразовую акцию он навсегда теряет клиента а то и целый рынок, а значит он должен получить что-то взамен.
Позиция позицией, а новую яхту всё-таки хочется.
Ну тут как бы двояко. Именно такая акция - маловероятно. А вот просто бэкдоры в закрытом ПО вполне находят. Это не говоря о том, что бэкдор можно просто замаскировать под баг.
Банк призывает разработчиков усилить контроль за использованием исходного кода
И начать можно с себя, удалив из кода ЛК бесконтрольно загружаемый код Я.Аналитики и Rutarget. В клиентском ЛК, Карл, где логины, пароли и бабло!
Прочитал, и тут же приложение Сбера попросило обновиться.
Совпадение?
Вспоминается антивирус Касперского, удалявший без спроса кряки (или то, что считал ими) даже в режиме "поиск без удаления". Что характерно, с вирусами именно так та версия и поступала - просто оповещала. Закрытые продукты в совершенно мирное время тоже выкидывали всякие фортели. Даже те, что должны следить за безопасностью.
А где официальное заявление сбера? Везде этот вброс, больше похожий на фейк.
Но мне кажется, что ИБ банка прочитала статейку здесь же, на Хабре )
Аналогичный совет (с отключением автоматических обновлений ОС) дает своим пользователям Ростелеком, рассылая письма с заголовком "Как обезопасить себя от хакерских атак?".
Всё просто. Сбербанк тайно санкции поддерживает и хочет, чтобы ИТ-индустрии был нанесён наибольший вред. Рекомендовать не-ставить обновления безопасности, это самый простой способ вывести наибольшее число IT-систем из строя.
Мне особенно понравилось - "При использовании стороннего программного кода необходимо исследовать его текст вручную или автоматически, отмечают в Сбере", много народа что-то в кодах поймёт? Или они описание советуют изучить? ))
А вообще по факту нужно абсолютно всю систему которая у каждого человека установлена проверять + все программы и т.д. на уровне кода, но это НЕРЕАЛЬНО!!!
Сбербанк советует не обновлять ПО