про это есть целый цикл "немоглики" у антропогенез.ру, где люди практически берут и воспроизводят примитивными инструментами все, что предки "принципиально не могли сделать такими инструментами"
лишняя сущность в виде потопа уже была придумана для объяснения местоположения, почему бы не придумать нападение инопланетных термитов, поедающих сверхпрочное волокно без остатка
На Линукс переходить нужно, но считать его панацеей на проблему прокладки между клавиатурой и креслом слишком опрометчиво. Проблемы будут такие же, CVE-2023-43641 тому пример, да и на типичный фишинг пароля аля evilginx выбор оси никак не повлияет.
Очередная маркетинговая сказка про кибериммунитет, подмена понятий в виде "устранив те фундаментальные архитектурные проблемы, про которые писали выше", которые сами и придумали - в москито есть ssl (ах да, в openssl нашли фатальный недостаток), и поддержка аутентификации и разделения доступа по топикам(ACL) (правильно, про это не пишем, ведь надо вывести пункт "3. доступ к брокеру стал возможен только авторизированным абонентам.", и bind_address в конфигурации на локальном интерфейсе снимает поставленную проблему с атакой из внешней сети в виде выводов пунктами 1 и 2.
И опять-таки каким-то чудесным решением представлен ssl терминатор c функционалом, давно поддерживаемым десятком отполированных до блеска решений вроде nginx и haproxy, все реализуется понятными и доверенными опенсорс инструментами в условные 2 минуты.
"Мы не просто устранили проблемы с безопасностью, которые были у исходного контроллера, а кардинально поменяли подход к его безопасности, «встроив» ее на уровень дизайна" кардинально поменяв один софт на другой с тем же набором функционала, но меньшей степенью доверия и практически нулевым ревью комьюнити?
С одним можно согласиться - добавляя в слои логики новую, непроверенной временем и ревью кодовую базу KOS, вы добавляете поверхность атаки, сводя весь кибериммунитет до того самого неуловимого Джо, который никому не нужен. Неужели ваши "высокодоверенные компоненты" должны стать у нас высокодоверенными на основании красивых, но слабых технически, маркетинговых статей?
Предлагаю переименовать статью в "Первые шаги работы с GPIO в Kaspersky OS". Про прикладную безопасность в статье нет ничего, есть только медийный посев слова "кибериммунитет" в контексте робота и RPi, привить аудитории мысль "KOS по умолчанию безопасно, нет времени объяснять". Хотелось бы увидеть практические примеры эффективности KOS в сценариях типовых уязвимостей типичного устройства iot - проблемы логики на стороне робота, недокументированные сценарии, заложенные производителем, проблемы безопасности сторонних компонентов(библиотек, пакетов), отсутствие шифрования и контроля целостности при обновлении, сравнение решения с текущими многоуровневыми инструментами безопасности в Linux.
Ничего там не запускается, в твите крэш от повреждения кучи. Типичный "ученый изнасиловал журналиста".
Это не "код RCE эксплоита в одном твите", это PoC уязвимости в виде крэша, успешная эксплуатация которой потенциально может привести к RCE, но никакого эксплоита тут и близко нет.
Смотрите в новых сериях: ШОК: Маньяк из Сан-Бернардо учился и подбирал одиноких жертв по советам GPT-3! Оформители детских праздников в Мадриде брали рисунки у нейросети, натренированной на фото из морга!
Прикручивал WBIO-DI-WD-14 к малинке zero по официальной распиновке к i2c, модуль надежный и недорогой, в моем случае это было отличным способом получить гальванически изолированные сухие контакты без "дребезга". Софтово все работает и под питоном через пакет adafruit-circuitpython-mcp230xx
"Это отличный способ быстрого запуска и разворачивания новых проектов." - только последняя строчка имеет отношение к теме, все остальное - попытка натянуть актуалочку на маркетинговый глобус.
Во-первых, лог может содержать чувствительную информацию вроде токенов и паролей, и отправка её в мессенджер ну мягко сказать не самый умный поступок.
Во-вторых добавляется еще один слой неконтролируемой логики - например телеграмм может не принять сообщение к отправке, может не пропустить какой-либо участок кода(да, там есть входной фильтр), и это усложнит процесс понимания проблемы.
Ддос атаки на сеть Биткоина являются достаточно обыденным явлением и рассматриваются с десятилетие в рамках модели угроз децентрализованной экосистемы. Мотивацией подобных атак может являтся влияние на рыночную стоимость, ведь сутки пролежавшая сеть определенно приведет к падению рыночной стоимости, и, как следствие, организовавший такую атаку заработает миллиарды при правильном подходе. Не думаю, что утверждение "цели такой не ставилось" является достаточно объективным.
про это есть целый цикл "немоглики" у антропогенез.ру, где люди практически берут и воспроизводят примитивными инструментами все, что предки "принципиально не могли сделать такими инструментами"
лишняя сущность в виде потопа уже была придумана для объяснения местоположения, почему бы не придумать нападение инопланетных термитов, поедающих сверхпрочное волокно без остатка
Похоже на типичную ситуацию в разработке нового продукта - берется нишевый комбайн аля CRM, и в интерфейсе вырезается все лишнее.
Их продать надо было еще в 2013, когда вышли первые асики, и майнинг биткоина на видеокартах умер.
На Линукс переходить нужно, но считать его панацеей на проблему прокладки между клавиатурой и креслом слишком опрометчиво. Проблемы будут такие же, CVE-2023-43641 тому пример, да и на типичный фишинг пароля аля evilginx выбор оси никак не повлияет.
Есть, No man's sky
в python такое делается декораторами
Очередная маркетинговая сказка про кибериммунитет, подмена понятий в виде "
устранив те фундаментальные архитектурные проблемы, про которые писали выше", которые сами и придумали - в москито есть ssl (ах да, в openssl нашли фатальный недостаток), и поддержка аутентификации и разделения доступа по топикам(ACL) (правильно, про это не пишем, ведь надо вывести пункт "3. доступ к брокеру стал возможен только авторизированным абонентам.", и bind_address в конфигурации на локальном интерфейсе снимает поставленную проблему с атакой из внешней сети в виде выводов пунктами1 и 2.И опять-таки каким-то чудесным решением представлен ssl терминатор c функционалом, давно поддерживаемым десятком отполированных до блеска решений вроде nginx и haproxy, все реализуется понятными и доверенными опенсорс инструментами в условные 2 минуты.
"
Мы не просто устранили проблемы с безопасностью, которые были у исходного контроллера, а кардинально поменяли подход к его безопасности, «встроив» ее на уровень дизайна" кардинально поменяв один софт на другой с тем же набором функционала, но меньшей степенью доверия и практически нулевым ревью комьюнити?С одним можно согласиться - добавляя в слои логики новую, непроверенной временем и ревью кодовую базу KOS, вы добавляете поверхность атаки, сводя весь кибериммунитет до того самого неуловимого Джо, который никому не нужен. Неужели ваши "высокодоверенные компоненты" должны стать у нас высокодоверенными на основании красивых, но слабых технически, маркетинговых статей?
Странно, что "сингапурская" компания Group-IB очень старается писать проплаченные новости в русскоязычное комьюнити
Предлагаю переименовать статью в "Первые шаги работы с GPIO в Kaspersky OS".
Про прикладную безопасность в статье нет ничего, есть только медийный посев слова "кибериммунитет" в контексте робота и RPi, привить аудитории мысль "KOS по умолчанию безопасно, нет времени объяснять".
Хотелось бы увидеть практические примеры эффективности KOS в сценариях типовых уязвимостей типичного устройства iot - проблемы логики на стороне робота, недокументированные сценарии, заложенные производителем, проблемы безопасности сторонних компонентов(библиотек, пакетов), отсутствие шифрования и контроля целостности при обновлении, сравнение решения с текущими многоуровневыми инструментами безопасности в Linux.
Правильное решение
Ничего там не запускается, в твите крэш от повреждения кучи. Типичный "ученый изнасиловал журналиста".
Это не "код RCE эксплоита в одном твите", это PoC уязвимости в виде крэша, успешная эксплуатация которой потенциально может привести к RCE, но никакого эксплоита тут и близко нет.
ИИ скандалы, ИИ интриги, ИИ расследования.
Смотрите в новых сериях: ШОК: Маньяк из Сан-Бернардо учился и подбирал одиноких жертв по советам GPT-3! Оформители детских праздников в Мадриде брали рисунки у нейросети, натренированной на фото из морга!
Прикручивал WBIO-DI-WD-14 к малинке zero по официальной распиновке к i2c, модуль надежный и недорогой, в моем случае это было отличным способом получить гальванически изолированные сухие контакты без "дребезга". Софтово все работает и под питоном через пакет adafruit-circuitpython-mcp230xx
"Это отличный способ быстрого запуска и разворачивания новых проектов." - только последняя строчка имеет отношение к теме, все остальное - попытка натянуть актуалочку на маркетинговый глобус.
Это не "самый уязвимый", это "самый тестируемый"
Недавно оплачивал ihc через kz процессинг, и в итоге к платежу добавилось где-то 40% от первоначальной суммы.
Есть пара нюансов.
Во-первых, лог может содержать чувствительную информацию вроде токенов и паролей, и отправка её в мессенджер ну мягко сказать не самый умный поступок.
Во-вторых добавляется еще один слой неконтролируемой логики - например телеграмм может не принять сообщение к отправке, может не пропустить какой-либо участок кода(да, там есть входной фильтр), и это усложнит процесс понимания проблемы.
хешированию sha-256, говорит, не угрожает, поэтому надо переходить на sha-512
Ддос атаки на сеть Биткоина являются достаточно обыденным явлением и рассматриваются с десятилетие в рамках модели угроз децентрализованной экосистемы. Мотивацией подобных атак может являтся влияние на рыночную стоимость, ведь сутки пролежавшая сеть определенно приведет к падению рыночной стоимости, и, как следствие, организовавший такую атаку заработает миллиарды при правильном подходе.
Не думаю, что утверждение "цели такой не ставилось" является достаточно объективным.