Comments 52
Почему отказали? Чтобы в следующий раз уязвимости продавали с даркнете?
Возможно это был не баг, а фича, которую стыдливо пришлось прикрывать. Особенно, учитывая кто был целью. Мол и эпл напрямую не сливает данные, но и дыра чтоб собирать нужные данные имеется.
Да, больше похоже именно на фичу для своих служб
И они решили нам об этом рассказать, отказав в выплате? Так тупо спалиться? Нет, дело в санкциях вестимо.
Любые выплаты из США российским компаниям проблематичны а компаниям находящимся под санкциями (Касперский находится) - невозможны. В условиях программы Apple Bug Bounty собственно есть пункт 9 который прямо упоминает об этих ограничениях. Что там с благотворительностью не очень понятно, но в общем довольно очевидно что платеж в адрес третьей компании по просьбе компании находящейся под санкциями в обмен на услугу тоже выглядит проблематично (как обход санкций) и под условия программы bug bounty заведомо не попадает.
Касперский не находится ни под какими санкциями. Не вводите людей в заблуждение.
Видать вот такой активности FCC оказалось достаточно https://www.reuters.com/business/media-telecom/us-fcc-adds-ao-kaspersky-lab-china-telecom-firms-national-security-threat-list-2022-03-25/
назовите это ограничениями. "Федеральная комиссия по связи США (FCC) внесла отечественного разработчика известного антивирусного ПО, «Лабораторию Касперского», в перечень фирм, продукция которых представляет угрозу безопасности США" (c)
Вы же понимаете что в эту игру можно играть в двоем? Платежи в другую сторону, когда платить не хочется, тоже станут невозможными.
А в России уже разрешили зарубежным компаниям вывозить активы?
Так вот именно, в эту игру не «можно» играть вдвоем, в нее активно играют обе стороны уже третий год.
До этого все дружно заблокировали деньги друг друга и смотрели что дальше. Видимо будет обмен явочным порядком. Суммы вроде совпадают примерно.
А тут новые платежи отказываются делать. Это новенькое. Теперь российская компания так же может отказаться платить американской по новому договору просто потому что не хочет.
А тут новые платежи отказываются делать. Это новенькое. Теперь российская компания так же может отказаться платить американской по новому договору просто потому что не хочет.
Так у Apple с Касперским нет договора. Российская компания решила в инициативном порядке провести некую работу для американской по программе, в условиях которой прямо указано, что компаниям под ограничениями FCC вознаграждение за эту работу выплачиваться не будет. А теперь - шок, сенсация, оказывается, нам не заплатят!
Типичная оферта. Как много где.
Но ведь и на благотворительность эту сумму переводить отказались. Мне кажется, этот вариант можно было бы провернуть, будь на то желание. Я, конечно, не специалист в юриспруденции, особенно, в американской, но они вполне могли бы попробовать обойти ограничение через суд, потому что там задача всего ничего: надо чтобы судья сказал, что платёж в неподсанкционный благотворительный фонд не нарушает ограничений. В общем, что-то в этом роде. Так что тут, скорее, вопрос нежелания со стороны Apple.
Тут всё же ясно. Санкции по итогу для холопов, бояре му собой нет нет да договорятся
Нет, не так. Я сам российское физлицо у которого были зарубежные счета. Их никто не стал блокировать, потребовали снять деньги в трехмесячный по-моему срок и все. В некоторых компаниях даже этого делать не стали, сохранив рабочие отношения с физлицами.
Под заморозку попали активы российских бирж. Активов физлиц там не было от слова "вообще", другое дело что биржи не могут свои обязательства перед клиентами при этом выполнять. Но проверить какие у РОССИЙСКИХ бирж обязательства перед физлицами а какие перед государством и подсанкционными персонами извне России крайне сложно. Это пытаются как-то разрулить проверяя клиентов по одному, но естественно всех так нормально не проверишь.
Дальше в случае с Россией речь не идет о ЗАМОРОЗКЕ. Речь идет о КОНФИСКАЦИИ - почуствуйте разницу. И если Вы считаете что из этих конфискованных средств государство Вам что-нибудь компенсирует из замороженных средств, то Вы крайне наивный человек. Ну или тролль который пытается придать этим конфискациям видимость приличия которого там нет и в помине.
Плохо только то, что в игру "можно вдвоем играть", можно доиграться до ядерной войны...
Не получится: обе стороны хотят жить.
И одна из сторон прекрасно понимает, что если она начнёт ядерную войну, то она, конечно, нанесёт другой стороне ощутимый ущерб, но саму эту сторону просто сотрут в ответ. А эта сторона очень хочет жить.
А другая сторона очень сильно жить не хочет?
И какая это сторона, которой лишь "ощутимый ущерб" нанесут? Если бы ощутимым ущербом можно было бы обойтись, то сторона, которая могла бы им отделаться, уже давно бы развязала ядерную войну и победила. Так как если одна сторона будет полностью уничтожена, а вторая лишь понесёт ущерб, то это будет победа для второй стороны.
Но ядерная война потому и не начинается, что гарантированно будут уничтожены все участвующие стороны и никто ущербом не отделается. Потому её и не начинают, т.к. победить тут будет невозможно. Уже сейчас у все сторон достаточно оружия, чтобы друг друга несколько раз уничтожить. А оружие можно сделать ещё мощнее, если до этого дойдёт. А если ещё и по вулкану какому-то попадёт и начнётся цепная реация, то тут даже бункеры вряд ли помогут.
По сути, даже если одна сторона применит ядерку, то апокалипсис начнёт та сторона, которая первой, будучи страной с ЯО применит ядерку против другой стороны с ЯО. Даже если представим, что одна сторона применяет ЯО против какой-то стороны без ЯО на основе своих интересов (завершить войну или напугать воинственно настроенных например), то если право силы будет на стороне этой стороны, то ничего ей не сделают. Исторические примеры безнаказанного применения ЯО против страны без ЯО уже были.
Так что прекрасно понимают, что будут уничтожены обе стороны, а не одна какая-то. Хотя сейчас выглядит так, что правительства некоторых стран планируют со своими семьями на другую планету переехать и от туда кривозубыми крестьянами управлять.
Так как если одна сторона будет полностью уничтожена, а вторая лишь понесёт ущерб, то это будет победа для второй стороны.
Эта победа почти наверняка будет пирровой.
Потому её и не начинают, т.к. победить тут будет невозможно
Ее не начинают потому что это невыгодно. Состояние страны после "победного" завершения войны будет хуже чем состояние страны до начала войны. Это не обязательно связано с полным уничтожением, серьезного ущерба вполне достаточно.
А если ещё и по вулкану какому-то попадёт и начнётся цепная реация
Это вообще сказки для малограмотных людей.
апокалипсис начнёт та сторона
... которая нанесет массированный удар по городам и объектам противника. Это единственное что неизбежно вызовет ответный массированный удар.
если право силы будет на стороне этой стороны, то ничего ей не сделают
Стране обладающей "правом силы" ядерку применять нет необходимости.
Эта победа почти наверняка будет пирровой.
Пирровая победа - тоже победа. Тем более, если бы враг благодаря такой победе был бы уничтожен, пусть даже огромной ценой - можно было бы потерпеть. Суть ядерки именно в том, что даже пирровой победы не будет. Если бы была возможна даже такая победа одной из сторон - давно бы начали ядерную войну.
Именно гарантированное взаимное уничтожение даёт гарантии того, что глобальной ядерной войны не начнётся до тех пор, пока политики ядерных держав хотят жить сами и хотят, чтобы выжили их семьи.
Ее не начинают потому что это невыгодно. Состояние страны после "победного" завершения войны будет хуже чем состояние страны до начала войны.
Совсем нет. Как я написал выше, если бы был возможет поюедитель - давно бы начали кидаться ядерками, даже если бы было невыгодно на данный момент.
Согласно твоей логике масштабных войн вообще практически никогда не должно было быть. Ведь почти всегда состояние страны после победы хуже, чем было до неё. Вся суть в перспективах. Если враг побежднён, то начинается новострой и реализация приобретённых ресурсов победившей властью.
А тут перспектив никаких у воюющих сторон не будет. Выжившего правительства и их семей ни с одной ни с другой стороны не останется (если они только не убегут в другие страны). Те, кто затеяли бы ядерную войну с ядерной державой будут уничтожены, как и ядерная держава. В итоге это получился бы взаимный суицид, после которого осталась бы куча заражённой выжженой земли и никаких перспектив к существованию ни одной из враждующих сторон.
Не стоит думать, что в ядерной войне можно победить. Т.к. речь именно о полном уничтожении враждующих сторон, а не большом ущербе. Ущерб можно пережить и на него можно пойти. Уничтожение пережить нельзя.
Это вообще сказки для малограмотных людей.
Тебе действительно хочется проверить, сказка это или нет? Или ты проводил исследования, которые подтвердили бы, что безопасно бить ядеркой по вулкану? В случае подрыва ядерки у того же Йелоунстоуна, если это спровоцирует извержение, почему ты уверен, что не произойдёт изменение климата (в лучшем случае) и уничтожение части суши. На исследования каких "немалограмотных" учёных ты ссылаешься? Я вот от учёных слышал весьма неутишительные прогнозы на этот счёт. Какие-то более мрачные, какие-то менее, но катастрафические - почти все.
массированный удар по городам и объектам противника. Это единственное что неизбежно вызовет ответный массированный удар.
Ну если удар будет неядерным, мб и не нанесёт. Хотя это тоже возможно, если удар будет наносить ядерная держава. Но гарантированно начнёт ядерную войну именно та сторона, что первая применит ядерку в отношении другой ядерной страны.
Стране обладающей "правом силы" ядерку применять нет необходимости.
Ситуации разные могут быть. У страны, обладающей правом силы, могут быть свои интересы или обезумевшие на идеологической почве политики. Или она может посчитать это приемлемым актом умтрашения. Тем более у нас есть фактический пример применения ядерки стороной, обладающей правом силы, без наличествующей на то необходимости.
Согласно твоей логике масштабных войн вообще практически никогда не должно было быть. Ведь почти всегда состояние страны после победы хуже, чем было до неё.
Это не так. Вплоть до XX века победные войны вполне себе давали неплохие профиты странам. В XX веке стало сложнее, но там в основном проблемы стали возникать с неверной оценкой сложности войны. Ну там грубо говоря когда думали что СССР удастся победить за полгода а он взял и не победился :).
Вся суть в перспективах.
Это уже входит в понятие "состояние страны после войны"
Если враг побежднён, то начинается новострой и реализация приобретённых ресурсов победившей властью.
Современные ресурсы стоят дешево. Современная война - очень дорого. Когда стоимость войны превышает профит от эдак 50 лет эксплуатации ресурсов то воевать бессмысленно, за эти 50 лет все изменится много раз и контроль над ресурсами тоже может оказаться утерян или сами ресурсы потеряют прежнее значение. И это если мы рассматриваем ситуацию где стран всего две. Если там еще есть третья сторона которая останется в стороне от войны, то легко может получиться что реальным победителем окажется именно она. Поэтому войны и не начинают. Даже в-перспективе-победные. Атомное оружие тут не причем, ибо нетрудно заметить что ровно тот же эффект наблюдается и у стран которые этим оружием не обладают или количество оного оружия заведомо недостаточно для "гарантированного уничтожения" противника.
В случае подрыва ядерки у того же Йелоунстоуна, если это спровоцирует извержение
Никакого "в случае" не будет. Ядерное оружие недостаточно мощное для того чтобы что-то всерьез там спровоцировать. В районе Йеллоустоуна в прошлом веке были зафиксированы землятресения соответствующие по мощности ядерным взрывам около 2 МТ а статистический расчет показывает что с момента последнего серьезного извержения там было не менее 100 землятресений соответствующих по мощности зарядам в ~200 МТ которые не приводили ни к каким последствиям. И это даже до того как мы начнем обсуждать как заглубить гипотетическую сверхмощную ЯБЧ достаточно для того чтобы передать большую часть энергии в землю.
Но гарантированно начнёт ядерную войну именно та сторона, что первая применит ядерку
Я уже заметил что нет - первое (ограниченное) применение ядерки не гарантирует обязательной эскалации до массированного удара возмездия (хотя это и достаточно вероятно)
Это не так. Вплоть до XX века победные войны вполне себе давали неплохие профиты странам.
Давали профиты после войны. Но по итогу победители после побелы были в худшем состоянии, чем до неё. А дальше уже использовали ресурсы, влияние и прочее чтобы отстроиться и реализовать полученные ресурсы.
Тот же Союз после войны, не смотря на победу, был в худшем состоянии, чем до неё.
Это уже входит в понятие "состояние страны после войны"
Ну об этом и речь. Состояния страны после ядерной войны не будет. От страны, в том её виде, что была в начале ядерной войны, уже ничего не останется, и даде пирровую победу праздновать будет некому.
Современные ресурсы стоят дешево. Современная война - очень дорого. Когда стоимость войны превышает профит от эдак 50 лет эксплуатации ресурсов то воевать бессмысленно
Если враг будет уничтожен, а ты выиграешь, то в перспективе на ближайшее столетие это выгодно. Но благодаря ядерке не выживет никто из враждующих сторон.
Если там еще есть третья сторона которая останется в стороне от войны, то легко может получиться что реальным победителем окажется именно она.
Скорее всего так и будет. Но победившая в ядерной войне сможет силой навязать свою гегемонию. Даже если победа будет пирровой.
Поэтому войны и не начинают. Даже в-перспективе-победные.
Да нет. Ещё как начинают. Но не начинают глобальную ядерную, т.к. она приведёт к взаимному уничтожению и победителей не будет, даже пирровых. Так что атомное опужие ещё как причём.
Никакого "в случае" не будет. Ядерное оружие недостаточно мощное для того чтобы что-то всерьез там спровоцировать.
На какие рассчёты и источники ты опираешься, чтобы так смело это утверждать?
Землятресения в данном случае ни о чём не говорят. Так как для того, чтобы спровоцировать извержение, нужно не землю трясти, а приложить усилие в одной точке, чтобы дать возможность магме пробиться к поверхности. И ядерный взрыв, приложенный в соответствующей точке, вполне способен это сделать. И это не говоря уже о том, что район сам по себе стабильностью не отличается и всегда остаётся вероятность, что он рано или поздно бомбанёт.
Я уже заметил что нет - первое (ограниченное) применение ядерки не гарантирует обязательной эскалации до массированного удара возмездия (хотя это и достаточно вероятно)
Если речь об ударе по ядерной стране - то ответный удар будет почти наверняка.
Ну спорить о том будет ли кто-то адекватный воевать при расчетном времени послевоенного восстановления аж в 100 лет я не буду. Кмк 100 лет хватит даже для восстановления после массированного ядерного удара, но это уже вопрос кто во что верит. Напишу только про Йеллоустоун
На какие рассчёты и источники ты опираешься, чтобы так смело это утверждать?
На данные сейсмической службы США
район сам по себе стабильностью не отличается и всегда остаётся вероятность, что он рано или поздно бомбанёт
Он стабилен последние 170 тысяч лет, на минутку. В геологических масштабах (миллионы лет) он нестабилен, да. В масштабах человеческой цивилизации мы в следующие 100 лет с вероятностью 99.94% с проблемами не столкнемся
И ядерный взрыв, приложенный в соответствующей точке, вполне способен это сделать.
Там примерно 5 километров камня над магмой. Взрыв мощностью 100 кт способен прокопать дырку глубиною примерно в 100 метров (данные американских исследований атомного оружия). Заряд в 100 МТ - дырку в 1 км. Приходим к примерно той же самой оценке - чтобы серьезно Йеллоустоун тряхнуть нужен заряд где-то в 1 гигатонну, а чтобы с гарантией - 10 гигатонн. Это не то что бы невозможно в принципе, но изделие мощностью в 1 ГТ будет весить от 200 тонн.
Ну исходя из данных сейсмической службы нельзя утверждать о безопасности ядерного воздействия на Йеллоустоун.
Он стабилен последние 170 тысяч лет, на минутку.
Отсутствие извержений не делает район стабильным. Плюс, отсутствие крупных извержений на протяжении значительного периода времени скорее не плюс, а минус. Ведь чем больше времени пройдёт без извержений, тем больше скопится энергии для извержения. И мы говорим об отстутствии извержений при условии отсутствия внешнего воздействия.
В масштабах человеческой цивилизации мы в следующие 100 лет с вероятностью 99.94% с проблемами не столкнемся
Опять же, если мы его не будем трогать, то скорее всего да. Но в данной дискуссии речь шла о тыкании палкой в осиное гнездо.
Заряд в 100 МТ - дырку в 1 км. Приходим к примерно той же самой оценке - чтобы серьезно Йеллоустоун тряхнуть нужен заряд где-то в 1 гигатонну, а чтобы с гарантией - 10 гигатонн. Это не то что бы невозможно в принципе, но изделие мощностью в 1 ГТ будет весить от 200 тонн.
В таком заряде может не быть необходимости.
Можно привести аналогию с дамбой. Чтобы разрушить дамбу не обязательно разрушать всю её площадь, иногда достаточно нарушить структурную целостность.
Вот и с вулканом может быть то же самое. И лично мне проверять не хочется, ошибаюсь я или нет. И хочется надеяться, что не только мне.
А ЕС и США уже разрешили деньги российским инвесторам вернуть?
А давайте я напомню причину блокировки для тех, у кого память как у рыбки.
После начала войны США и ЕС ввели санкции против конкретных людей, Euroclear и Clearsteam попросили НРД предоставить записи о конкретно этих вот людях и их акциях, что бы выборочно заблокировать (поскольку сами они имеют только информацию о владельце как о брокере, но не конкретное физлицо).
НРД отказался предоставить любую информацию о владельцах под санкциями. Ведь так важно защитить акции Роттенбергов и Сечиных, а не nine13.
Итог известен. Заблокировали вообще всех.
Какие интересные комментарии. Зашел почитать, чтобы подтвердит свою мысль, что сие был не баг, а фича, которую вытащили наружу
Неуязвимость устранили - теперь нужно отправить другое сообщение в iMessage?
Открыл эту новость по большей части чтобы узнать причину отказа, но увы🤷♂️
Думаю при такой политике Bag bounty следующий backdoor будет сразу опубликован на каком-нибудь дарксторе, вместе с примерами по эксплуатации эксплоинта. Или ФСБ продадут по свойски.
Думаю при такой политике Bag bounty следующий backdoor будет сразу опубликован на каком-нибудь дарксторе
Не будет. За ББ-программой Apple уже не первый раз числится подобное поведение, когда то отказ в выплате со ссылками на «внутреннюю политику», то оценка баги по минимальной планке идёт. Не совсем понятна эта мазохистская игра в «этику» с теми, кто тебя разве что в открытую на йух не посылает, но тут уже каждый сам для себя решение принимает.
Думаете в этот раз гэбешник Касперский скрысил от своих бывших коллег уязвимость? Если честно, сильно сомневаюсь
В следующий раз просто продадут тем, кто платит
Главное, не устанавливать сертификат Минцифры - и ты в безопасности. Так же вроде бы тут принято говорить?
>> Для заражения устройства злоумышленникам достаточно было отправить жертве специальное сообщение в iMessage.
Очень интересно было бы посмотреть, что за сообщение, которое активирует что-то в iPhone даже без потребности открывать iMessage. Раз уже не выплатили, Касперский могли бы развернутую статью об этой уязвимости написать для будущих ИБ исследователей.
В декабре еще все описали - https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/ , а тут живое выступление на конференции со всем подробностями https://twitter.com/oct0xor/status/1740138938621407610
Тут скорее проблема не в том, что не баг, а фича, а в том, что iMessage работает вне песочницы, и соответственно более уязвим, это уже не первая дыра именно через iMessage. И в iOS 14/15 вроде пытались внедрить песочницу и для сообщений, но, видимо что-то пошло не так. Так что рекомендуется его просто отключить, благо в нашем регионе он практически не используется.
А что тут неожиданного, если решение о том, удовлетворяет ли кандидат условиям премии, принимает владелец премии? Это как если бы футбольный матч судил тренер или владелец одной из команд. Премиальный фонд — извольте положить на аккредитив, а решение о выполнении условий — принимает комиссия из независимых от Apple экспертов. Тогда в эту игру можно поиграть с ненулевой надеждой, что тебя не кинут, если захотят.
Apple отказалась выплатить «Лаборатории Касперского» вознаграждение за обнаруженные в 2023 году уязвимости в iOS