А, в этом плане. Я честно говоря не интересовался кто первый разгласил. Может и не Гугл это был.
Одно ясно, что об уязвимости было известно уже несколько месяцев (вроде с июня как минимум). И подготовка к внедрению патчей (и соответственно к разглашению) велась долго и планомерно. У кого-то нервы сдали на завершающем этапе наверно. Ну или еще какие-то причины были, оставим их деликатно за кадром.
Любопытный факт: как я понял для установки патчей на Windows, в случае если установлен какой-либо антивирус, нужно что бы этот антивирус в начале проапдейтился до совместимого и выставил флаг в реестре. Т.е. производители антивирусов тоже были заранее уведомлены и готовились. Хотя патч к Kaspersky Endpoint Security вышел только 4-го числа. Не похоже как-то на «подготовились заранее». В общем не знаю.
Если проводить аналогии с болезнью, то да — это неизлечимая болезнь. Стоит ли её скрывать или всё таки надо признать и заняться лечением тем самым продлив пациенту жизнь?
Но аналогии фальшивы. А по факту уже написали — Security through obscurity не работает. Давно признанный в ИБ факт.
Есть ли тут какая-то доля тщеславия? Возможно. В конце концов «белые шляпы» очевидно зарабатывают меньше своих не столь отягощенных моралью коллег. Компенсируется это в том числе и так.
Но дело это не меняет всё равно — сокрытие ни к чему хорошему тоже не приводит.
Во-первых, думается мне, это просто когда тебе это на блюдечке преподнесли и рассказали как работает. А поди ты сам до такого хитроумного способа додумайся. Отличный пример высказывания «всё гениальное просто».
Во-вторых кто сказал, что додумались только сейчас? Это white hat додумались сейчас. А сколько до них додумались black hat? Сие не ведомо. Может и действительно никто.
Думать так — очень большая ошибка. Всё равно что скрывать симптомы и делать вид, что всё нормально. Вместо того что бы признать болезнь и заняться лечением.
Вообще это обычная практика у white hat. Нашли уязвимость -> уведомили ответственных -> подождали патча (или какое-то время)-> обнародовали. Если не обнародовать, то у ответственных пропадает стимул что-то исправлять.
И кстати есть инфа (достоверность правда не известна), что производители процессоров были уведомлены еще в июне.
В том смысле, что благодаря им апдейты вышли раньше? Не знаю. Вообще я видел инфу, что производители процов еще в июне были поставлены в известность. А на «официальном» сайте уязвимостей написано, что найдены они были независимо аж тремя (!) командами сразу (касаемо Meltdown). Не думаю, что это прям так вот в один день случилось.
Кстати обновления от MS до сих пор еще не видны через обычный механизм обновления. По крайней мере в Win 7 и 8.1, в десятке — не знаю. Но вот WSUS выкачал первую партию (security only update) 4-го числа и вторую (кумулятивные) — 5-го. Может решили корпоративных клиентов обновить побыстрее, а с обычными подождать до вторника патчей.
На мой взгляд для обычной рабочей станции уязвимость не столь страшна, что бы прямо впадать в панику. Да, несомненно уязвимость очень серьёзная. Но для её успешной эксплуатации всё же надо еще немалую работу проделать. Так что пара-тройка дней просрочки с установкой патча не так страшно думаю. Вот для облачных систем очень опасно, это да.
Эти обновления вышли раньше времени (должны были во вторник). Это наводит на мысль, что выкатили их в срочном порядке. Других причин кроме Meltdown/Specte вроде на это не было…
Вообще-то нет. У меня в хозяйстве четыре Штрих-М-01Ф. Во всех автообновление выключено с завода (что меня видимо и спасло — похоже косяк появился в более поздних прошивках чем на моих аппаратах).
amp.meduza.io/feature/2017/12/20/po-vsey-rossii-odnovremenno-slomalis-kassy-v-magazinah-kak-eto
«В компании «Штрих-М» заявили, что сбои в работе кассовой техники, скорее всего, связаны с датой — 20.12.2017, правда, не пояснили, как именно. «Естественно, никто не мог предположить, что в этой дате кроется такая ошибка. Но люди, которые вовремя обновили программное обеспечение, у кого стояло автоматическое обновление — оно у нас в заводских настройках — не пострадали. Пострадали те, кто отключил обновление вручную», — рассказали «Медузе» в пресс-службе компании.»
Врут и не краснеют! У меня 4 кассы их (Штрих-М-01Ф). И во всех четырёх — я спецом проверил сегодня — автообновления выключены! И это заводская настройка, я туда не лазил. И даже больше скажу — что бы работало автообновление, в кассе должна быть вставлена MicroSD карта. И из 4-х касс в одной она отсутствовала вовсе, а еще в одной была неисправна прямо сразу, из-за чего касса не работала и я её возил по гарантии. Там вынули сбойную карточку и кассу вернули без неё, сказав что она не нужна.
И видимо как раз то, что у меня во всех кассах стоит древняя прошивка (от января и от марта этого года) меня и спасло — похоже проблема была в более поздних прошивках.
Одно ясно, что об уязвимости было известно уже несколько месяцев (вроде с июня как минимум). И подготовка к внедрению патчей (и соответственно к разглашению) велась долго и планомерно. У кого-то нервы сдали на завершающем этапе наверно. Ну или еще какие-то причины были, оставим их деликатно за кадром.
Любопытный факт: как я понял для установки патчей на Windows, в случае если установлен какой-либо антивирус, нужно что бы этот антивирус в начале проапдейтился до совместимого и выставил флаг в реестре. Т.е. производители антивирусов тоже были заранее уведомлены и готовились. Хотя патч к Kaspersky Endpoint Security вышел только 4-го числа. Не похоже как-то на «подготовились заранее». В общем не знаю.
Но аналогии фальшивы. А по факту уже написали — Security through obscurity не работает. Давно признанный в ИБ факт.
Есть ли тут какая-то доля тщеславия? Возможно. В конце концов «белые шляпы» очевидно зарабатывают меньше своих не столь отягощенных моралью коллег. Компенсируется это в том числе и так.
Но дело это не меняет всё равно — сокрытие ни к чему хорошему тоже не приводит.
Во-вторых кто сказал, что додумались только сейчас? Это white hat додумались сейчас. А сколько до них додумались black hat? Сие не ведомо. Может и действительно никто.
Вообще это обычная практика у white hat. Нашли уязвимость -> уведомили ответственных -> подождали патча (или какое-то время)-> обнародовали. Если не обнародовать, то у ответственных пропадает стимул что-то исправлять.
И кстати есть инфа (достоверность правда не известна), что производители процессоров были уведомлены еще в июне.
Кстати обновления от MS до сих пор еще не видны через обычный механизм обновления. По крайней мере в Win 7 и 8.1, в десятке — не знаю. Но вот WSUS выкачал первую партию (security only update) 4-го числа и вторую (кумулятивные) — 5-го. Может решили корпоративных клиентов обновить побыстрее, а с обычными подождать до вторника патчей.
На мой взгляд для обычной рабочей станции уязвимость не столь страшна, что бы прямо впадать в панику. Да, несомненно уязвимость очень серьёзная. Но для её успешной эксплуатации всё же надо еще немалую работу проделать. Так что пара-тройка дней просрочки с установкой патча не так страшно думаю. Вот для облачных систем очень опасно, это да.
«В компании «Штрих-М» заявили, что сбои в работе кассовой техники, скорее всего, связаны с датой — 20.12.2017, правда, не пояснили, как именно. «Естественно, никто не мог предположить, что в этой дате кроется такая ошибка. Но люди, которые вовремя обновили программное обеспечение, у кого стояло автоматическое обновление — оно у нас в заводских настройках — не пострадали. Пострадали те, кто отключил обновление вручную», — рассказали «Медузе» в пресс-службе компании.»
Врут и не краснеют! У меня 4 кассы их (Штрих-М-01Ф). И во всех четырёх — я спецом проверил сегодня — автообновления выключены! И это заводская настройка, я туда не лазил. И даже больше скажу — что бы работало автообновление, в кассе должна быть вставлена MicroSD карта. И из 4-х касс в одной она отсутствовала вовсе, а еще в одной была неисправна прямо сразу, из-за чего касса не работала и я её возил по гарантии. Там вынули сбойную карточку и кассу вернули без неё, сказав что она не нужна.
И видимо как раз то, что у меня во всех кассах стоит древняя прошивка (от января и от марта этого года) меня и спасло — похоже проблема была в более поздних прошивках.