The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Pwnie Awards 2023: наиболее существенные уязвимости и провалы в безопасности"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Pwnie Awards 2023: наиболее существенные уязвимости и провалы в безопасности"  +/
Сообщение от opennews (??), 16-Авг-23, 23:46 
На конференции Black Hat USA 2023 объявлены победители ежегодной премии Pwnie Awards 2023, выделяющей наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара и Золотой малины в области компьютерной безопасности...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59577

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  –4 +/
Сообщение от Аноним (1), 16-Авг-23, 23:46 
Посмотрел награды за 2021-ый год, а там почему-то нет Log4Shell'а. Почему?
Ответить | Правка | Наверх | Cообщить модератору

6. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +5 +/
Сообщение от Абра (?), 17-Авг-23, 02:57 
Потому что он был в 2022?
Ответить | Правка | Наверх | Cообщить модератору

3. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +1 +/
Сообщение от Аноним (3), 17-Авг-23, 00:46 
>Most Epic FAIL
>Лучшая криптографическая атака

Кажется NIST и Katholieke Universiteit Leuven заслужили за взлом того же SIKE на классическом компьютере без всяких сторонних каналов.

Ответить | Правка | Наверх | Cообщить модератору

4. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  –1 +/
Сообщение от Аноним (4), 17-Авг-23, 01:40 
Посоветуйте ресурсов по безу. С меня тонна нефти!
Ответить | Правка | Наверх | Cообщить модератору

17. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +/
Сообщение от 1 (??), 17-Авг-23, 09:50 
https://spb.postupi.online/vuz/universitet-itmo/specialnost/.../

Там сразу нефть и скачают.

Ответить | Правка | Наверх | Cообщить модератору

10. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +3 +/
Сообщение от Аноним (10), 17-Авг-23, 06:32 
>  восстановить значения ключей шифрования на базе алгоритмов ECDSA и SIKE через анализ видео с камеры, снимающей светодиодный индикатор ридера смарт-карт или устройства, подключённого к одному USB-хабу со смартфоном, производящим операции с ключом

такое ощущение, что сегодня первое апреля

Ответить | Правка | Наверх | Cообщить модератору

11. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +1 +/
Сообщение от Аноним (11), 17-Авг-23, 07:40 
Такое ощущение что ты считаешь что все эти штуки про безопасность не больше чем паранойя и выдумки Рен-тв.
Ответить | Правка | Наверх | Cообщить модератору

15. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +/
Сообщение от Sw00p aka Jerom (?), 17-Авг-23, 09:30 
ток непонятно зачем на ридере светодиод? смотри вот я читаю ключик, еще и диплей прикрутили бы и было бы, вот он и ключик :)

пс: ждем на блекхет 1500, чмтаем ключик с дисплея ридера с помощью нокии лежащей в кармане:)

Ответить | Правка | Наверх | Cообщить модератору

43. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноньимъ (ok), 19-Авг-23, 03:37 
Что вы несёте?
Вопрос в том насколько запись на камеру сведиода усб хаба который неизвестно зачем вставили между смартфоном и ключом как-то не очень соответствует

>наиболее значимых брешей в реальных системах, протоколах и алгоритмах шифрования

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

13. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +/
Сообщение от Анонит (?), 17-Авг-23, 08:13 
Зато вирусов нет.%
Ответить | Правка | Наверх | Cообщить модератору

31. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +/
Сообщение от Анонимик (?), 18-Авг-23, 00:12 
Всегда такое было и вот опять
Ответить | Правка | Наверх | Cообщить модератору

14. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (14), 17-Авг-23, 08:56 
Скажите, это, стало быть, любую стенку можно так убрать? Вашему USB-контроллеру цены нет, гражданин интеллигент!
— Никогда ещё свидетелем не приходилось быть!
— Скажите, и в магазине можно так же стенку приподнять? Ах, какой увлекательный опыт!
Ответить | Правка | Наверх | Cообщить модератору

16. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +1 +/
Сообщение от Аноним (16), 17-Авг-23, 09:33 
>метод атак по сторонним каналам, позволяющий удалённо восстановить значения ключей шифрования на базе алгоритмов ECDSA и SIKE через анализ видео с камеры, снимающей светодиодный индикатор ридера смарт-карт или устройства, подключённого к одному USB-хабу со смартфоном, производящим операции с ключом

Всегда было интересно, что в головах этих людей: это ж надо придумать такую последовательность всего этого... Уму не постижимо! Ну, то есть, я восхищаюсь такими ребятами на самом деле, без сарказма и прочего.

Ответить | Правка | Наверх | Cообщить модератору

18. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (14), 17-Авг-23, 10:54 
Оно везде примерно одинаково работает. Что в безопасности, что в кодгольфе... Да даже скоростные прохождения игор можно посмотреть и станет понятно, что если что-то долго шатать - оно скорей всего упадёт.
Ответить | Правка | Наверх | Cообщить модератору

19. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +1 +/
Сообщение от Пряник (?), 17-Авг-23, 11:20 
Антивирус, который запускает вирусы, ммм...
Ответить | Правка | Наверх | Cообщить модератору

20. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +1 +/
Сообщение от Аноним (20), 17-Авг-23, 11:39 
Его делает та же Cisco, у которой сетевые железки запускают на исполнение содержимое ICMP-пакетов.
Ответить | Правка | Наверх | Cообщить модератору

21. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +4 +/
Сообщение от Минона (ok), 17-Авг-23, 12:41 
А это не баг, а фича =)
Ответить | Правка | Наверх | Cообщить модератору

22. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  –1 +/
Сообщение от Минона (ok), 17-Авг-23, 12:43 
Софта на расте среди номинантов нет?
Ответить | Правка | Наверх | Cообщить модератору

23. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (20), 17-Авг-23, 13:41 
Неа. И гошка, и растишка - позор для индустрии удалённого исполнения кода.
Ответить | Правка | Наверх | Cообщить модератору

25. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +1 +/
Сообщение от Аноним (25), 17-Авг-23, 14:07 
Но, наверное, и они могут блеснуть на этом поприще, в том месте, где им приходится часто и густо взаимодействовать с сишными/плюсовыми библиотеками. И каждый такой случай будет праздничком, да что там, Карнавалом для некоторых местных "икспертов".
Ответить | Правка | Наверх | Cообщить модератору

27. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (20), 17-Авг-23, 18:03 
Ещё не стоит забывать, что понемногу ряды разрабов на безопасных языках пополняются бывшими сишниками, которые тащат свои сишные паттерны, и далеко не ото всех встроенная защита поможет (отсутствие валидации входящих данных, условия гонки, наколеночные небезопасные реализации криптоалгоритмов и т.д.)
Ответить | Правка | Наверх | Cообщить модератору

28. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (-), 17-Авг-23, 18:58 
Слушай, если кто-то пишет свою реализацию алгоритма, это обязательно "наколеночные небезопасные реализации"?
Ответить | Правка | Наверх | Cообщить модератору

29. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (20), 17-Авг-23, 20:09 
> Слушай, если кто-то пишет свою реализацию алгоритма, это обязательно "наколеночные небезопасные  реализации"?

Если алгоритм криптографический - с вероятностью 99% да, потому что максимум 1% разработчиков имеют достаточные профильные скилы в математике и криптографии, чтобы получить действительно криптостойкий алгоритм.

Ответить | Правка | Наверх | Cообщить модератору

30. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +/
Сообщение от Минона (ok), 17-Авг-23, 21:40 
>> Слушай, если кто-то пишет свою реализацию алгоритма, это обязательно "наколеночные небезопасные  реализации"?
> Если алгоритм криптографический - с вероятностью 99% да, потому что максимум 1%
> разработчиков имеют достаточные профильные скилы в математике и криптографии, чтобы получить
> действительно криптостойкий алгоритм.

Ты путаешь разработку алгоритма математиком и реализацию алгоритма программистом.

Ответить | Правка | Наверх | Cообщить модератору

36. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (20), 18-Авг-23, 18:29 
> Ты путаешь разработку алгоритма математиком и реализацию алгоритма программистом.

Много вы знаете алгоритмов, в которых штатно предусмотрено переполнение буфера?
А вот в сишных реализациях этих алгоритмов, как мы знаем из новостей, оно встречается регулярно.

То есть, алгоритм, реализованный в конкретной программе Ъ сишником, далеко не всегда соответствует эталонному алгоритму, разработанному более умными дядьками.

Ответить | Правка | Наверх | Cообщить модератору

45. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +/
Сообщение от Минона (ok), 19-Авг-23, 07:28 
>> Ты путаешь разработку алгоритма математиком и реализацию алгоритма программистом.
> Много вы знаете алгоритмов, в которых штатно предусмотрено переполнение буфера?

В любой реализации алгоритма не предусматривающей проверку выхода за границы буфера.

> То есть, алгоритм, реализованный в конкретной программе Ъ сишником, далеко не всегда
> соответствует эталонному алгоритму, разработанному более умными дядьками.

Нет эталонного алгоритма, есть эталонная реализация алгоритма на конкретном ЯП.
И её обычно пишут математически корректной с точки зрения алгоритма, а не побочных эффектов реализации на конкретном ЯП.

Ответить | Правка | Наверх | Cообщить модератору

39. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (-), 18-Авг-23, 22:07 
> Ты путаешь разработку алгоритма математиком и реализацию алгоритма программистом.

Если среднего пошиба апликушник напишет реализацию общеизвестного алгоритма, в нем будет чуть менее 9000 вулнов, утечек данных и прочих приколов.

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

44. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +/
Сообщение от Минона (ok), 19-Авг-23, 07:09 
>> Ты путаешь разработку алгоритма математиком и реализацию алгоритма программистом.
> Если среднего пошиба апликушник напишет реализацию общеизвестного алгоритма, в нем будет
> чуть менее 9000 вулнов, утечек данных и прочих приколов.

С этим ничего не поделать, в стране деградация образования.

ЗЫ:
Напиши реализацию алгоритма Решето Эратосфена так чтобы получилось "чуть менее 9000 вулнов, утечек данных и прочих приколов" =)

Ответить | Правка | Наверх | Cообщить модератору

24. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +/
Сообщение от Tron is Whistling (?), 17-Авг-23, 14:00 
> возможность использования разъёма Apple Lightning для доступа к отладочному JTAG-интерфейсу iPhone

Вот это да, вот это уровень инжиниринга. Победа заслуженная.

Ответить | Правка | Наверх | Cообщить модератору

26. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  –1 +/
Сообщение от Аноним (26), 17-Авг-23, 16:59 
Ничего плохого в этом нет. Наоборот, Apple задала стандарт открытости, до которого Гуглагу топать и топать.
Ответить | Правка | Наверх | Cообщить модератору

32. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  –1 +/
Сообщение от Tron is Whistling (?), 18-Авг-23, 07:45 
Apple. Открытость. Открытость. Apple.
Ну не читаются эти два слова рядом. Никак. От слова "совсем".
Ответить | Правка | Наверх | Cообщить модератору

34. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  –1 +/
Сообщение от Аноним (34), 18-Авг-23, 09:53 
https://opensource.apple.com/

Kubernetes, Swift, WebKit, etc.

Ответить | Правка | Наверх | Cообщить модератору

35. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  –1 +/
Сообщение от Tron is Whistling (?), 18-Авг-23, 10:55 
Ненужно, ненужно, ненужно, etc.
Ответить | Правка | Наверх | Cообщить модератору

37. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (20), 18-Авг-23, 18:31 
А вы случайно этот комментарий отправили не из браузера на основе webkit?
Ответить | Правка | Наверх | Cообщить модератору

40. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +/
Сообщение от Tron is Whistling (?), 18-Авг-23, 23:12 
Внезапно нет.
Ответить | Правка | Наверх | Cообщить модератору

41. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +/
Сообщение от Tron is Whistling (?), 18-Авг-23, 23:17 
На вёбките сегодня реально только сафари. У хромого блинк, который, кхм, хоть и был форком куска вебкита, но таки уже давно не вёбкит, и даже не около. У мазилы ящерка к вебкиту вообще отношения не имеет.
Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

42. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +/
Сообщение от Tron is Whistling (?), 18-Авг-23, 23:18 
s/блинк/блин/
s/форком/комом/
Ответить | Правка | Наверх | Cообщить модератору

46. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +1 +/
Сообщение от soarin (ok), 20-Авг-23, 05:28 
> и даже не около

Ну ты ври, но не завирайся.

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

47. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +/
Сообщение от Tron is Whistling (?), 20-Авг-23, 10:58 
Чего не нравится?
Там от вебкита только рендер, да и тот перепаханный уже напрочь.
Ответить | Правка | Наверх | Cообщить модератору

48. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +/
Сообщение от Аноним (48), 26-Авг-23, 08:14 
Всё это вендор лок
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

33. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +1 +/
Сообщение от Neon (??), 18-Авг-23, 09:13 
Это из области анекдота
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

38. "Pwnie Awards 2023: наиболее существенные уязвимости и провал..."  +1 +/
Сообщение от Аноним (20), 18-Авг-23, 18:35 
Вообще, про открытую Apple дыру как эталон открытости - звучало как очень едкий сарказм.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру