Как стать автором
Обновить

Комментарии 48

Незакрытые 0-day уязвимости из-за отсутствия обновлений или шанс получить "провокационный контент". Вот это выбор конечно, разрываюсь между двумя этими вариантами честно говоря.

Были бы безобидные провокации - ничего страшного. Но ведь уже есть и такие, кто удаляет все с жёсткого диска по IP и языку системы https://habr.com/ru/news/t/656205/

Внедрение вредоносного кода в популярные пакеты случалось всегда, это не повод кричать, что всё пропало (это не конкретно про вас).

Повторюсь, это отдельные случаи, отношение к ним в сообществе вы можете пронаблюдать в тикете недавнего подобного инцидента https://github.com/RIAEvangelist/node-ipc/issues/233 (спойлер: негативное, крайне негативное).

Да, такое случается, поэтому в тексте лицензии почти всегда есть абзац про отказ от гарантий, но это никакая не глобальная практика и уж точно не причина отказываться от обновлений.

отказ от гарантии это одно, а злой умысел совсем другое

Структура рекомендует проверять загруженные из Интернета файлы антивирусами.

а с антивирусами тоже zопа

Погодите еще, сейчас кому-то придет в голову идея "симметричного ответа". И после обновления значки приложений начнут выстраиваться буквой Z.

А представьте, каково сейчас заббиксу.

Пирожки печёные или яблочки мочёные? :-)

Банк призывает разработчиков усилить контроль за использованием
исходного кода, а обычных пользователей — не обновлять программное
обеспечение

Интересно, в сбербанке осведомлены, что новые релизы программ, кроме теоретически возможного малваря вполне себе часто содержат реальные исправления безопасности?

Я осведомлён о ситуации вокруг node-ipc и подобных, но это лишь отдельные случаи. Инциденты с умышленным внедрением вредоносного кода встречались и раньше, но после них никто не говорил, что обновляться не надо.

Это про безопасность, я всё же могу понять "работает провёл аудит --- не трожь".

По мнению банка, в последнее время участились случаи
внедрения провокационного контента в свободно распространяемое ПО и
библиотеки, применяемые при разработке подобного софта.

Не обновляться, пардон, из-за "провокационного контента"? Но это ведь крайне деструктивный совет, ради чего делать такой подарок недоброжелателям, которые будут рады воспользоваться "нежеланием видеть провокационный контент"?

Если сходить по ссылке в оригинальной статье, то там присутсвует ключевое слово:
Сбербанк рекомендует отказаться сейчас от обновления программного обеспечения

У нас в немецкой фирме, далёкой от всякой политики, вчера думали как быть дальше с обновлениями пакетов. Решили, что бытовавшая раньше практика по возможности устанавливать последние версии (предполагая что они наиболее безопасны) уже не применима, и нужно ставить проверенные временем (пока решили несколько недель) и внимательно читать список обновлений и профильные интернет-ресурсы, где появляется информация о найденых косяках. Это потребует больше трудозатрат, но прежний процесс «npm update и в продакшн» признали слишком опасным. Он и раньше не всем нравился, но думали что мы-то маленькие и никому не интересные, так что можем себе позволить оптимизировать скорость разработки, а не безопасность.

Так это и есть нормальный процесс. Точнее, его часть.
Потому что потом у вас должны быть: сборка с юнит-тестированием, тестирование бизнес-логики, регрессионное тестирование, Green/Blue deploy…

НЛО прилетело и опубликовало эту надпись здесь

То, что случаются хитрые баги, в том числе и внесенные намеренно, никак не коррелирует с тем, что код нужно тестировать, тем более чужой.
И, тем более, не означает, что тесты не нужны.

предполагая что они наиболее безопасны

В последний версиях приходят не только последние исправления, но и последние баги. Вообще, LTS-версии не просто так придумали. И именно их обычно и рекомендуют использовать в продакшене.

Интересно, в сбербанке осведомлены, что новые релизы программ, кроме теоретически возможного малваря вполне себе часто содержат реальные исправления безопасности?

Если программа "часто" выпускает "реальные" исправления безопасности - стоит подумать о смене программы.

Но это ведь крайне деструктивный совет, ради чего делать такой подарок недоброжелателям, которые будут рады воспользоваться "нежеланием видеть провокационный контент"?

Помимо высококлассных IT-специалистов, осознающих реальные риски (и их отсутствие для себя), существуют и иные категории людей, для которых этот совет вполне конструктивен.

Впрочем, то, что целый банк (!) вместо того, чтобы обеспечить адекватную техподдержку и ещё раз укрепить безопасность, начинает постить YOLO-советы на весь мир, - это проблема так проблема...

ну тут ещё стоит понимать, что node-ipc и подобные, это не совсем "отдельные случаи" как минимум потому, что это часть общего тренда на отрицание всего русского. А второй момент, это то, что это обновления способны не только фиксить 0day, но и внедрять их. Node-ipc найден из-за крайней топорности реализации. Надо быть дурачком, чтобы надеяться, что внешние запросы на проверку региона ip-адреса никто не спалит. Но есть же авторы не дураки.

Как уже упоминали в соседней ветке - реальные проблемы безопасности в ПО на которые нужен срочный патч не так уж и часто возникают. И в большинстве ситуаций могут быть закрыты другими мерами, пусть и костыльными. Тем более что осторожничать имеет смысл только в период эскалации. Скоро тренд русофобии поутихнет и можно будет спокойно обновляться

Ситуация плохая, но, вообще говоря, это повод задуматься о том, что стоит вносить посильный вклад в развитие свободного ПО, которым мы так много пользуемся. И в плане разработки, и в плане поиска ошибок, ну или намеренно создаваемых проблем...

Где моя свободная винда и ворда?:)

(ну т.е. я знаю где)

Срочно форкнуть весь GiHub и больше никогда не обновляться!

Срочно форкнуть весь GiHub

уже.

НЛО прилетело и опубликовало эту надпись здесь

И, что характерно, никаких пруфов. Только болтовня

Странно, что ещё есть люди, которые не знакомы с мемом про доллар за 35 рублей)

Юлия Цепляева, 

директор Центра макроэкономических исследований Сбербанка

Я считаю, что в феврале – марте рубль должен вернуться к равновесному курсу 33 рубля за доллар. Я серьезно так считаю! Лично я свои деньги не побежала никуда перекладывать по 35 рублей – это безумие! И мне очень жалко людей, которые покупают доллар за 35 рублей, потому что вероятность, что они потеряют свои деньги, – большая.

//рукалицо.жпг...

Я все еще не привыкну, что они могут так нагло и откровенно врать

Стоит ли напоминать что во время этого высказывания ещё не случился Крым, ЛДНР, Боинг и санкции? Она, конечно, аналитик, но, думаю что предсказать такое было не в её силах.

Вот вам высказывание тех же «аналитиков Сбера» в середине этого февраля, про доллар по 68 уже вот-вот. https://www.rbc.ru/economics/15/02/2022/620a1df09a794769e6d338be

Обратите внимание на аргументацию в материале, там просто ни одного вменяемого аргумента, вместо аргументов наукообразные сопли.

Они пишут что ФНБ хорошо наполняется и значит его будут инвестировать - продавать валюту. Вполне вменяемый аргумент, был.

пишут что ФНБ хорошо наполняется

Это преувеличение, если не просто ложь, несложно проверяется на минфине.

значит его будут инвестировать

Не значит, см выше. И даже если бы «хорошо наполнялся», тоже не значило бы. И даже если б значило – это само по себе не тот фактор, которого хватило бы для снижения курса на 10%.

расскажу про себя. был период, когда я каждый декабрь собирал мнения разных аналитиков из инвест компаний относительно курса доллара и фондового рынка. года три-четыре наблюдал и плюнул, потому что ни один не угадывал.

ни один не угадывал.

Это же еще лучше :)

Собираете все мнения и делаете ставку на то значение, которое никто не указал

Но ведь это явная дезинформация.

Ещё раз подчеркну, в первую очередь следует бояться не СПО, где одни, добавляя малварь, выпячивают её, выставляя напоказ, а другие - тут же удаляют. В первую очередь следует бояться проприетарщины, где возможно то же самое, но не человекочитаемое. И оно даже может без обновлений проявиться, так как заранее добавлено. Сказанное касается не только Windows, как знать, чего ждать от Nucleus RTOS, она тоже проприетарная. Сторонние бэкдоры в кнопочных телефонах на этой ОС уже обнаруживали, но вдруг это вершина айсберга, а чуть глубже - бэкдоры от самой компании Mentor Graphics?

В случае проприетарщины (которая в основном коммерческая) мне кажется это как раз менее актуально. Потому что капиталист понимает что делая такую одноразовую акцию он навсегда теряет клиента а то и целый рынок, а значит он должен получить что-то взамен.

Позиция позицией, а новую яхту всё-таки хочется.

В проприетарщине капиталист может обставить всё так, как будто он ни при чём, а проникла сторонняя малварь, или произошёл аппаратный сбой, вариантов много, не исключено, что это уже происходило.

"Осадочек останется" вне зависимости от обстоятельств.

Хотя с тезисом, что закрытое ПО безопаснее открытого я не согласен.

Ну тут как бы двояко. Именно такая акция - маловероятно. А вот просто бэкдоры в закрытом ПО вполне находят. Это не говоря о том, что бэкдор можно просто замаскировать под баг.

Банк призывает разработчиков усилить контроль за использованием исходного кода

И начать можно с себя, удалив из кода ЛК бесконтрольно загружаемый код Я.Аналитики и Rutarget. В клиентском ЛК, Карл, где логины, пароли и бабло!

Прочитал, и тут же приложение Сбера попросило обновиться.

Совпадение?

-- Не думаю!

Вспоминается антивирус Касперского, удалявший без спроса кряки (или то, что считал ими) даже в режиме "поиск без удаления". Что характерно, с вирусами именно так та версия и поступала - просто оповещала. Закрытые продукты в совершенно мирное время тоже выкидывали всякие фортели. Даже те, что должны следить за безопасностью.

я вообще давно отказался от антивирусов (даже встроенного в виндоус) после того, как они начали мне молча без объявления войны «чистить» мои инструменты, а всё остальное время имитировать бурную деятельность. только ручная проверка, только хардкор.

А где официальное заявление сбера? Везде этот вброс, больше похожий на фейк.

Сотрудникам Сбера этот текст пришел на корпоративную почту.
Но мне кажется, что ИБ банка прочитала статейку здесь же, на Хабре )
А вы не видите никакой разницы между рекомендацией компании своим сотрудникам (на удаленке — потому что в сети всех нормальных компаний обновления приходят только централизованно), и желтым заголовком этого текста? В первом случае рекомендация конкретным людям (и ограниченная во времени — пока специальные люди не проверят обновления в песочнице, и они не будут установлены в сети банка, тогда и на удаленке их можно поставить), во-втором — банк якобы рекомендует всем, чего на самом деле не было.

Аналогичный совет (с отключением автоматических обновлений ОС) дает своим пользователям Ростелеком, рассылая письма с заголовком "Как обезопасить себя от хакерских атак?".

Всё просто. Сбербанк тайно санкции поддерживает и хочет, чтобы ИТ-индустрии был нанесён наибольший вред. Рекомендовать не-ставить обновления безопасности, это самый простой способ вывести наибольшее число IT-систем из строя.

Мне особенно понравилось - "При использовании стороннего программного кода необходимо исследовать его текст вручную или автоматически, отмечают в Сбере", много народа что-то в кодах поймёт? Или они описание советуют изучить? ))

А вообще по факту нужно абсолютно всю систему которая у каждого человека установлена проверять + все программы и т.д. на уровне кода, но это НЕРЕАЛЬНО!!!

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.