Поэтому мне подход винды больше нравится - один и тот же девайс всегда будет на тот же порт подключаться, один раз записал его в конфиге и работай. Но для универсальных утилит может и линуксовый удобнее - если девайс всегда один то никакого конфига не потребуется.
Это да, когда смотрю на чужие компы обычная реакция "тут только переустановка поможет, и то на пару дней максимум", правда то были ли там включены обновления особой роли не играет.
Я тоже нет. И поэтому к советам вида "вы все уже часть ботнета, роутер (у которого производитель в рамках борьбы с OpenWRT так урезал память что туда не поставить ничего кроме собственно маршрутизации пакетов) это плацдарм атаки, немедленно ставьте линукс и шесть файрволов" от неспециалиста отношусь со смехом. У меня и антивируса нет, за десятилетия работы за компом убедился что смысла в нем нет, достаточно обычной гигиены.
В противном случае я бы не был уверен, что роутер не станет плацдармом атаки внутри сети.
Вы бы да, но как вы выше сказали - вы не специалист по безопасности.
Воткнул флэшку... А там - не троян. Просто портативна программка на базе устаревшей версии вебвью2.
И конечно в эту самую минуту на его аккаунт скинули ссылку которая использовали давно пофикшенную уязвимость. По-моему сценарий когда на флешке с самого начала был троян более вероятен.
Всё бывает впервые, когда-то будет и реальный инцедент с использованием аппаратной уязвимости спекулятивного исполнения.
Будет конечно. А может квантовый компьютер раньше сломает используемую криптографию и украдет сразу всё и у всех. Или уже украл, но об этом никто не знает. В общем теорий заговора можно много придумать.
Т.е. у условного линуксоида\человека всегда обновляющего винду сидеть в ботнете и воровать пароли будет смартфон, а у человека забивающего на обновления - еще и комп? Как вариант атаки признаю, но аргумент для обязательных обновлений на мой взгляд недостаточный - я бы предпочел закрыть все порты, если уж нельзя гарантировать что смартфоны не заражены.
Если на компе уже есть приложение от производителя лампочки через которое можно залезть, то никакие уязвимости уже не нужны. В целом я бы в таких условиях скорее думал о том как изолировать недоверенное устройство чтоб у него не было доступа ни к чему лишнему, а не надеялся на обновления ос.
ок, неактуально для моего случая. Да и в целом - если умная колонка\телевизор\лампочка уже узел ботнета, то кто мешает залезть на комп через приложение этой колонки\лампочки\телевизора без всяких уязвимостей.
CVE-2020-0796 Условия эксплуатации: атакующий должен находиться в той же сети, что и цель, с доступом к порту 445/TCP (SMB). Внешние атаки возможны только при открытом порте в периметре CVE-2024-38063 Атакующему достаточно отправить специально сформированный пакет на ваш IP
Неактуально для компьютера за роутером
CVE-2021-34527 CVE-2023-36802 CVE-2024-38106
экзешник и без повышения привилегий сможет зашифровать все документы
CVE-2024-30078 злоумышленники могли запускать вредоносные пакеты на устройствах, подключённых к одной сети в местах общественного пользования
ну это самое близкое но тоже не актуально для домашнего компа.
Поскольку современные приложения (включая Telegram, Discord, Teams) используют WebView2, дыра в системном браузере становится дырой во всем софте.
но для их эксплуатации нужен необновленный Telegram\Discord\Teams, иначе я не вижу сценария 0-click эксплуатации.
аппаратные уязвимости типа Spectre/Meltdown/
а это вообще отдельная тема. ставить обновление чтобы отрубить кеш и снизить производительность на 20-50% из-за призрачной угрозы которую ни разу не эксплуатировали злоумышленники (только исследователи в рамках PoC) - нет уж спасибо.
Я даже не очень представляю как это сделать. Нужно обновить ну скажем clang. Он будет зависеть от libLLVM и тыщи других библиотек и пакетов. В транзитивных зависимостях там и перл и питон и что угодно затесается. Когда мы обновим все эти библиотеки перестанут работать программы привязанные к старым версиях этих библиотек и пакетов, так что их тоже надо будет обновить.
Пример кода на языке я бы из конца в самое начало перенес, потому что это первое что интересует когда узнаешь о языке, да и читать проще когда понимаешь что мы пытаемся получить в итоге.
А что мешает придерживаться такого же подхода на арче? Пжлста - не обновляйся. Либо обновляй лишь отдельный пакет.
Тем что если обновить один пакет он ломается т.к. зависит от кучи других пакетов?
Я не безопасник, но звучит, как удача для любого мамкиного кулхацкера.
Было бы интересно узнать что он сможет сделать с домашним компом выходящим в интернет через вайфай роутер. Всякими outlook и IE я не пользуюсь, а если запущу подозрительный экзешник он и без уязвимостей сможет зашифровать все документы.
В чем проблема через cron запускать авто-апдейт раз в неделю? или запускать скрипт апдейта через юнит + таймер systemd?
Я думаю речь не о винде а о софте. Как в той истории где лицензионный честно купленный фотошоп отказывается открывать файл если обнаружит там изображение банкноты.
В смысле, вы намекаете, будто что-то ломается на линуксе, если обновиться после пары лет оффлайна?
Скорее пары месяцев. Я достаточно много сидел на арче и manjaro, и каждый раз всё заканчивалось одним - если пропустить месяца четыре, т.е. обновлять не с версии n на n+1, а условно с n на n+10, то при попытке обновления всё рушится - в одной библиотеке поменяли конфиги, другая перестала поддерживаться, один раз на планшете перестала работать тщательно настроенная экранная клавиатура (и что обидно починить так и не удалось, т.к. автор свалил в закат и новых версий не было), другой раз на ноуте регулятор вентилятора перестал работать, графическая среда переставала грузиться почти гарантированно, ну и так далее. Проще поставить с нуля чем пытаться разрулить все проблемы.
rolling-дистры на wsl и arch нативно
Вот WSL для меня оказалась почти идеальным "дистром". Никаких драйверов\кед\полезных виджетов\прочих хрупких и норовящих сломаться при обновлении штук не ставим, только компилятор\библиотеки\что нужно для разработки, в итоге вероятность поломки минимальна. А если уж сломалось то ставишь с нуля не беспокоясь о нажитых непосильным трудом конфигах иде или рабочего стола.
В винде, если это старая версия, будет многоступенчатая установка.
Я про прикладной софт - скачал установщик и пофиг какая у тебя версия винды (кроме случаев совсем большой разницы в возрасте винды и софта).
А насчет обновлений самой винды мой подход такой - отключить обновления и сидеть на одной версии пока поддержка софта не заставит наконец обновиться. Я же не сервер чтоб ко мне из внешней сети зловреды пролезли. Многие годы на 1809 (если не путаю) сидел, недавно заставили таки обновиться на win11 (я на тебя смотрю, Frostpunk 2) - скачал 25H2, поставил, кстати был удивлен что сохранились все настройки вплоть до того самого отключения обновлений. Следующий раз надеюсь обновлять разве что вместе с компом.
нене, там всегда дополнительные линии появляются. Иногда могут драйвера отвалиться, иногда софт какой-нибудь. И чем больше прошло времени с последнего обновления тем больше шансов напороться на что-то что первой ссылкой из гугла не решиться.
Поэтому мне подход винды больше нравится - один и тот же девайс всегда будет на тот же порт подключаться, один раз записал его в конфиге и работай. Но для универсальных утилит может и линуксовый удобнее - если девайс всегда один то никакого конфига не потребуется.
а в линуксе - известно на какой порт или кто первым подключился тот и первый?
Это да, когда смотрю на чужие компы обычная реакция "тут только переустановка поможет, и то на пару дней максимум", правда то были ли там включены обновления особой роли не играет.
Ботнет легко увидеть по мониторингу исходящего трафика. Спящий зловред может смело спать дальше.
Ну а на первый вопрос - учитывая сколько атак было за прошедшие 20+ лет не вижу причин по которым их число должно вырасти.
Я тоже нет. И поэтому к советам вида "вы все уже часть ботнета, роутер (у которого производитель в рамках борьбы с OpenWRT так урезал память что туда не поставить ничего кроме собственно маршрутизации пакетов) это плацдарм атаки, немедленно ставьте линукс и шесть файрволов" от неспециалиста отношусь со смехом.
У меня и антивируса нет, за десятилетия работы за компом убедился что смысла в нем нет, достаточно обычной гигиены.
Вы бы да, но как вы выше сказали - вы не специалист по безопасности.
И конечно в эту самую минуту на его аккаунт скинули ссылку которая использовали давно пофикшенную уязвимость. По-моему сценарий когда на флешке с самого начала был троян более вероятен.
Будет конечно. А может квантовый компьютер раньше сломает используемую криптографию и украдет сразу всё и у всех. Или уже украл, но об этом никто не знает. В общем теорий
заговораможно много придумать.Т.е. у условного линуксоида\человека всегда обновляющего винду сидеть в ботнете и воровать пароли будет смартфон, а у человека забивающего на обновления - еще и комп? Как вариант атаки признаю, но аргумент для обязательных обновлений на мой взгляд недостаточный - я бы предпочел закрыть все порты, если уж нельзя гарантировать что смартфоны не заражены.
Если на компе уже есть приложение от производителя лампочки через которое можно залезть, то никакие уязвимости уже не нужны. В целом я бы в таких условиях скорее думал о том как изолировать недоверенное устройство чтоб у него не было доступа ни к чему лишнему, а не надеялся на обновления ос.
ок, неактуально для моего случая. Да и в целом - если умная колонка\телевизор\лампочка уже узел ботнета, то кто мешает залезть на комп через приложение этой колонки\лампочки\телевизора без всяких уязвимостей.
Неактуально для компьютера за роутером
экзешник и без повышения привилегий сможет зашифровать все документы
ну это самое близкое но тоже не актуально для домашнего компа.
но для их эксплуатации нужен необновленный Telegram\Discord\Teams, иначе я не вижу сценария 0-click эксплуатации.
а это вообще отдельная тема. ставить обновление чтобы отрубить кеш и снизить производительность на 20-50% из-за призрачной угрозы которую ни разу не эксплуатировали злоумышленники (только исследователи в рамках PoC) - нет уж спасибо.
Примеры CVE будут?
Я даже не очень представляю как это сделать. Нужно обновить ну скажем clang. Он будет зависеть от libLLVM и тыщи других библиотек и пакетов. В транзитивных зависимостях там и перл и питон и что угодно затесается. Когда мы обновим все эти библиотеки перестанут работать программы привязанные к старым версиях этих библиотек и пакетов, так что их тоже надо будет обновить.
Бывают, поэтому файрфокс я как раз обновляю.
немного критики:
Название для языка не слишком оригинальное: https://yandex.ru/search/?text=onyx+lang
Идея статьи интересная но читать ее я не смог из-за огромных полотен кода. В конце концов есть же гитхаб, почему бы не вставить вместо них ссылки на строки оттуда: https://github.com/SamirShef/onyxlang/blob/main/Src/Basic/ASTVal.cpp#L3-L27
Пример кода на языке я бы из конца в самое начало перенес, потому что это первое что интересует когда узнаешь о языке, да и читать проще когда понимаешь что мы пытаемся получить в итоге.
Тем что если обновить один пакет он ломается т.к. зависит от кучи других пакетов?
Было бы интересно узнать что он сможет сделать с домашним компом выходящим в интернет через вайфай роутер. Всякими outlook и IE я не пользуюсь, а если запущу подозрительный экзешник он и без уязвимостей сможет зашифровать все документы.
На дачу уехал.
Я думаю речь не о винде а о софте. Как в той истории где лицензионный честно купленный фотошоп отказывается открывать файл если обнаружит там изображение банкноты.
Скорее пары месяцев. Я достаточно много сидел на арче и manjaro, и каждый раз всё заканчивалось одним - если пропустить месяца четыре, т.е. обновлять не с версии n на n+1, а условно с n на n+10, то при попытке обновления всё рушится - в одной библиотеке поменяли конфиги, другая перестала поддерживаться, один раз на планшете перестала работать тщательно настроенная экранная клавиатура (и что обидно починить так и не удалось, т.к. автор свалил в закат и новых версий не было), другой раз на ноуте регулятор вентилятора перестал работать, графическая среда переставала грузиться почти гарантированно, ну и так далее. Проще поставить с нуля чем пытаться разрулить все проблемы.
Вот WSL для меня оказалась почти идеальным "дистром". Никаких драйверов\кед\полезных виджетов\прочих хрупких и норовящих сломаться при обновлении штук не ставим, только компилятор\библиотеки\что нужно для разработки, в итоге вероятность поломки минимальна. А если уж сломалось то ставишь с нуля не беспокоясь о нажитых непосильным трудом конфигах иде или рабочего стола.
Я про прикладной софт - скачал установщик и пофиг какая у тебя версия винды (кроме случаев совсем большой разницы в возрасте винды и софта).
А насчет обновлений самой винды мой подход такой - отключить обновления и сидеть на одной версии пока поддержка софта не заставит наконец обновиться. Я же не сервер чтоб ко мне из внешней сети зловреды пролезли. Многие годы на 1809 (если не путаю) сидел, недавно заставили таки обновиться на win11 (я на тебя смотрю, Frostpunk 2) - скачал 25H2, поставил, кстати был удивлен что сохранились все настройки вплоть до того самого отключения обновлений. Следующий раз надеюсь обновлять разве что вместе с компом.
нене, там всегда дополнительные линии появляются. Иногда могут драйвера отвалиться, иногда софт какой-нибудь. И чем больше прошло времени с последнего обновления тем больше шансов напороться на что-то что первой ссылкой из гугла не решиться.
VS Code это переделанный Atom. Что у него общего с Visual Studio кроме названия?
Вот только если перед этим я не обновлялся несколько месяцев, то вместо установки софта sudo pacman-Syu откроет дверь в увлекательный квест.
А в винде наоборот - скачал, поставил и запустится почти всё, ну кроме совсем старых версий софта\винды.