The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

На соревновании Pwn2Own 2014 продемонстрированы взломы Chrome, Chrome OS, Firefox, IE, Safari и Flash

15.03.2014 19:09

Подведены итоги соревнования Pwn2Own 2014, проведённого в рамках конференции CanSecWest в Ванкувере. На соревновании были продемонстрированы рабочие техники эксплуатации ранее неизвестных уязвимостей, которые привели к успешному выполнению кода атакующего в системе. Мероприятие получилось как никогда насыщенным победами - за два дня соревнований в сумме было выплачено 850 тысяч долларов вознаграждений за демонстрацию 14 успешных атак. Наиболее ярко отличилась команда из компании Vupen, которая продемонстрировала 5 успешных атак и заработала на них 400 тысяч долларов.

  • Продемонстрирована одна успешная атака на браузер Chrome, за которую выплачена премия в размере 100 тысяч долларов. Демонстрация второй атаки не была завершена успешно, но за разработанную технику автору выплачено вознаграждение в размере 60 тысяч долларов. Примечательно, что компания Google по горячим следам уже выпустила обновление браузера Chrome 33.0.1750.154, в котором устранила четыре опасные уязвимости, сочетание которых позволило обойти многоуровневую систему защиты.

    Например, в первой атаке была использована уязвимость (Use-after-free в движке Blink), позволяющая обойти ограничения sandbox, в сочетании с уязвимостью в реализации буфера обмена Windows. Во второй атаке была задействована проблема, приводящая к выходу за пределы буфера в движке V8, в сочетании с ошибкой, позволяющей осуществить произвольные операции записи и чтения в ФС.

  • В отдельном соревновании Pwnium, спонсируемом Google, были представлены две атаки на Chrome OS. Первая атака впервые за время существования соревнования привела к возможности сохранить данные атакующего между перезагрузками, при эксплуатации уязвимости в гостевом режиме через открытие специально оформленной страницы в Web. Победителю вручена премия в 150 тысяч долларов. В процессе атаки были задействованы четыре новые уязвимости, из которых одна признана критической.

    Вторая атака была представлена на уровне концепции и была основана на применении двух новых уязвимостей, которые приводили к повреждению памяти в буфере GPU и возможности записи данных за пределы буфера в драйвере GPU. Автору техники атаки вручена премия в размере 60 тысяч долларов.

  • Продемонстрированы четыре успешные атаки на Firefox, создатели которых получили премии в размере 50 тысяч долларов.
  • Две успешные атаки были подготовлены для Apple Safari, за первую выплачена премия в 65 тысяч долларов, а за вторую 32.5 тысячи долларов.
  • Взлом Internet Explorer был продемонстрирован три раза, создатели эксплоитов получили две премии по 100 тысяч долларов и одну в 50 тысяч долларов.
  • Две успешные атаки были показаны для Adobe Flash и одна для Adobe Reader, авторы эксплоитов получили премии по 75 тысяч долларов.

Во всех случаях атаки были совершены при обработке в браузере специально оформленной web-страницы (или открытие документа в Adobe Reader), открытие которой завершилось получением полного контроля над системой. При демонстрации атаки использовались самые свежие стабильные выпуски браузеров и операционных систем со всеми доступными обновлениями в конфигурации по умолчанию. В соответствии с условиями конкурса, детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только после выпуска производителями обновлений с устранением указанных уязвимостей.

Интересно, что на соревновании не обошлось без казусов. В частности, было проведено мероприятие PWN4FUN, участниками которого выступили организаторы Pwn2Own - Google и HP. Представители Google продемонстрировали успешную атаку на Apple Safari (атака позволила не только выполнить код при открытии в браузере страницы с эксплоитом, но и поднять свои привилегии до пользователя root в OS X), а HP - на Internet Explorer. Вырученные от победы средства были направлены в фонд Красного креста. В связи с этим были высказаны претензии, что Google и HP знали о критических уязвимостях на протяжении определённого времени и вместо того, чтобы сразу после их обнаружения сообщить своим конкурентам о выявленных проблемах, они дождались конкурса, затянув исправление проблем, которые потенциально могли обнаружить злоумышленники. Представители Google и HP опровергли данные подозрения, указав, что заблаговременно уведомили компании Apple и Microsoft о проблемах.

  1. Главная ссылка к новости (http://h30499.www3.hp.com/t5/H...)
  2. OpenNews: На соревновании Mobile Pwn2Own продемонстрирован успешный взлом браузера Chrome
  3. OpenNews: Google выплатит вознаграждение создателю недоделанного эксплоита для Chrome OS
  4. OpenNews: На соревновании Pwnium не удалось взломать ChromeOS и Chrome в окружении Linux
  5. OpenNews: На состязании Pwn2Own были успешно взломаны Chrome, Firefox, IE 10 и Java
  6. OpenNews: Компания Google выделила 3 млн долларов на выплату вознаграждений за взлом Chrome и Chrome OS
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/39320-pwn2own
Ключевые слова: pwn2own
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (84) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 20:52, 15/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    С продуктами Adobe все предсказуемо
     
     
  • 2.35, Тот_Самый_Анонимус (?), 08:46, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Кк и с продуктами гугла и мозиллы, а именно: все продуткты имеют уязвимости.
     
     
  • 3.47, Карбофос (ok), 13:37, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    адобе обычно ждёт активной эксплуатации дыры, а гугель дыры эти активно ищет, легально поощряя хакеров за найденное. всё-таки есть разница
     

  • 1.2, Аноним (-), 21:01, 15/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Запускать приложения на дырявой винде и выплачивать бабло это такое хобби?
     
     
  • 2.3, Аноним (-), 21:11, 15/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну надо же как-то это решeто прикрыть. Сменить ОС - не юникс вей (работает - не трогай), значит, надо просто по-быстрому заштукатурить самые большие дыры, в частности, браузеры.
     
     
  • 3.5, Xasd (ok), 21:31, 15/03/2014 [^] [^^] [^^^] [ответить]  
  • +12 +/
    > юникс вей (работает - не трогай)

    тык вот значит что такое unix way!

    :-)

     
     
  • 4.6, Аноним (-), 21:38, 15/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Именно так. Ломать-улучшать-заменять то, что работает и так - первый признак леннарта.
     
     
  • 5.13, Фыр (?), 22:04, 15/03/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Велосипедизм без причины -- признак поттерчины?
     
     
  • 6.55, Аноним (-), 15:40, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Не только. Смена ОС, которая и так худо-бедно работает, на что-то более "крутое" и "модное" - тоже поттеринг в терминальной стадии.
     
  • 2.4, Аноним (-), 21:26, 15/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Запускать приложения на дырявой винде и выплачивать бабло это такое хобби?

    Капитан намекает: смена операционки не сильно влияет на дыры в _приложении_.

     
     
  • 3.8, VldK (ok), 21:43, 15/03/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Капитан поддельный.
    IE для других платформ не существует.
     
     
  • 4.32, Аноним (-), 01:54, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В IE найдено меньше дыр чем в фоксе )) Но мы этот факт признать не можем и даже не замечаем.
     
     
  • 5.38, Аноним (-), 11:17, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Тот факт, что IE проприетарное ПО с закрытым кодом, а исходники FF доступны всем, мы не учитываем?
     
     
  • 6.39, Аноним (-), 11:18, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Тот факт, что IE проприетарное ПО с закрытым кодом, а исходники FF
    > доступны всем, мы не учитываем?

    Разница на уровне конечного результата лично от меня ускользает.

     
     
  • 7.44, Аноним (-), 12:33, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Разница на уровне конечного результата лично от меня ускользает.

    А это просто: часть дыр могла оказаться не обнаруженной. Их искать дольше. Поэтому в рамках соревнования перспективнее налечь на лису и хром. Но это не значит что блэкхэты дыры не найдут. Потому что ботнет из 30-40% компов - это огого, как ни крути. А т.к. MS за репорты уязвимостей не платит, да еще месяц тормозит с апдейтами - для блэкхэтов выгодная мишень получается.

     
     
  • 8.92, none_first (ok), 14:13, 17/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    правильнее , возможно так - выгодно не демонстрировать дыры на конкурсах, а сн... текст свёрнут, показать
     
  • 5.78, Аноним (-), 21:04, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > В IE найдено меньше дыр чем в фоксе )) Но мы этот
    > факт признать не можем и даже не замечаем.

    Как насчет признать факт "найдено" != "существует"?

     
  • 3.9, hoopoe (ok), 21:45, 15/03/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Капитан намекает: смена операционки не сильно влияет на дыры в _приложении_.

    дыры в приложении не в последнюю очередь зависят от API системы, так что смена операционки таки влияет :)

     
     
  • 4.45, Аноним (-), 12:34, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > дыры в приложении не в последнюю очередь зависят от API системы,

    Штуки типа переполнений буферов или слабой валидации данных не особо зависят от системы.

     
     
  • 5.56, Аноним (-), 15:42, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> дыры в приложении не в последнюю очередь зависят от API системы,
    > Штуки типа переполнений буферов или слабой валидации данных не особо зависят от системы.

    А вот то, что можно сделать после заливки шеллкода - очень даже зависит.

     
  • 5.91, Аноним (-), 09:47, 17/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Они скорее зависят от конфигурации системы, причём, судя по условиям конкурса, от дефолтной.
    Хотя, если, например, включить ASLR и собирать браузер с -fstack-protector, то на linux можно получить гораздо лучшую защищённость от переполнений. Не знаю, как с этим дела в Win, может, у них тоже что-то такое есть.
     
  • 3.11, хм (?), 21:52, 15/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    влияет на последствия эксплуатации дыры в приложении
     
  • 3.12, тоже Аноним (ok), 21:55, 15/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Угу, влияет только на результат их использования...
     
  • 3.16, llirik (?), 22:27, 15/03/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ну почему-же. вот к примеру в прошлом году, взломать праузер chrome удалось только благодаря дыре в винде...
     
  • 3.36, адекват (?), 09:55, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/

    > Капитан намекает: смена операционки не сильно влияет на дыры в _приложении_.

    да, но  виндах ты получишь шелл с правами админа,  в линуксе - шелл с правами того пользоватля, от имени которого запущенно приложение.

     
     
  • 4.40, Аноним (-), 11:19, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Капитан намекает: смена операционки не сильно влияет на дыры в _приложении_.
    > да, но  виндах ты получишь шелл с правами админа,  в
    > линуксе - шелл с правами того пользоватля, от имени которого запущенно
    > приложение.

    Ты неадекват. Там что, неясно написано о повышении доступа?

     
     
  • 5.43, тоже Аноним (ok), 12:11, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И что, сложность повышения привилегий уже не зависит от системы? Специалисты, блин...
     
  • 5.88, Аноним (-), 23:57, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ты неадекват. Там что, неясно написано о повышении доступа?

    Повышение доступа с полпинка - фирменная фича винды. В линуксах такое находят редко, а закрывают быстро.

     
  • 4.46, Аноним (-), 12:35, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > да, но  виндах ты получишь шелл с правами админа,  в линуксе - шелл с правами
    > того пользоватля, от имени которого запущенно приложение.

    Это как правило всех устраивает: можно умыкнуть данные пользователя + запустить проксики/спамеры/ддос-ботов и прочая. Рут для этого не требуется.

     
     
  • 5.61, Аноним (-), 17:47, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Проксики/спамеры/ддос-боты, запущенные от простого пользователя, очень легко находятся и вычищаются. В отличие от.
     
     
  • 6.65, arisu (ok), 18:47, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Проксики/спамеры/ддос-боты, запущенные от простого пользователя, очень легко находятся
    > и вычищаются. В отличие от.

    «обычный пользователь» гордится тем, что даже задницу сам вытереть не может, какое там «находятся и вычищаются»… люди, гордящиеся агрессивным нежеланием что-либо знать — очень вкусная еда.

     
     
  • 7.75, Аноним (-), 20:57, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    (uid > 0) != "гордиться агрессивным нежеланием что-либо знать"
     
     
  • 8.76, arisu (ok), 21:02, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    меньше тупим йод кушаем, рыбу, для мозга полезную ... текст свёрнут, показать
     
     
  • 9.79, Аноним (-), 21:05, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Приятного аппетита ... текст свёрнут, показать
     
  • 2.49, Tau (?), 13:57, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Запускать приложения на дырявой винде и выплачивать бабло это такое хобби?

    В самых сильных странах сильно развита наука. Делать фантазийную ерунду, и получать за это деньги. Да. Это оно. Это части науки. И это самое очень сильно ценится.

     
     
  • 3.67, arisu (ok), 18:52, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В самых сильных странах сильно развита наука. Делать фантазийную ерунду, и получать
    > за это деньги. Да. Это оно. Это части науки. И это
    > самое очень сильно ценится.

    правда, извращённый секс с виндой в странные отверстия ни разу не наука. но с точки зрения обывателя всё ему непонятное — это или наука, или магия (что, опять же, для обывателя одно и то же).

     
     
  • 4.71, Tau (?), 20:07, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > правда, извращённый секс с виндой в странные отверстия ни разу не наука.
    > но с точки зрения обывателя всё ему непонятное — это или
    > наука, или магия (что, опять же, для обывателя одно и то
    > же).

    Все обыватели так говорят. :)
    И обывателю и платят меньше, говорят что именно делать, где место. ;)

    Отличная книжка - Трудно быть богом, Аркадий и Борис Стругацкие. Ещё и кино есть, теперь.

     
     
  • 5.72, Tau (?), 20:10, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Не знаю, как правильно - с заглавной ли. Но, вроде, не та грань. Или та... В любом случае, там есть человек по имени Будах. Какого-то лешевого заинтересовашийся такой фигнёй как: чему ж таки равно отношение длины окружности к радису. Вот уж ерундой-то занимался. ;)
     
     
  • 6.74, arisu (ok), 20:43, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    скажи, ты таким дураком уже родился, или это приобретённое, от того, что тебя в детстве много по голове били? я зачем интересуюсь: статистику собираю.
     

  • 1.7, vi (?), 21:41, 15/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ну вот, снова все о том, что все плохо (у них) :(
    Вот вы лучше скажите как в Linux практически безопасно просматривать страницы.
    Неужели придется ставить несколько (виртуальных) машин. На одной открывать в браузере страницы, вторая читает изображение с экрана первой, с картинки OCR вибирает текст и передает по ssh третьей машине, третья проверяет орфографию и грамарнаци, далее передаем все что осталось на четвертую, которая проверяет остался ли текст в документе (если остался делает cat /dev/null >/путь/2/текстовый_документ ), и (о) на конец таки, ставим Qubies OS и вот в ней то можем спокойно открыть этот документ ;)
    Наслаждаемся чистотой документа!
     
     
  • 2.10, Аноним (-), 21:51, 15/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Столлман (примерно) так и делает :)
     
     
  • 3.73, Tau (?), 20:13, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Столлман (примерно) так и делает :)

    У него мощи процессора не хватит на столько виртуалок. Интернет использует, но Иксы он запускает от случая к случаю. Да, он ярко выделяется.

     
     
  • 4.93, Anonym2 (?), 18:14, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Столлман (примерно) так и делает :)
    > У него мощи процессора не хватит на столько виртуалок.

    :-) Мне хватает.
    (ответ на вопрос о том, не Столлман ли, возможно навсегда останется неизвестным)...


     
  • 3.89, Аноним (-), 00:03, 17/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Столлман (примерно) так и делает :)

    Неа. У Столмана есть верные ученики, которые за него читают интернет, анализируют полученные сведения, готовят доклад, зачитывают ему, выслушивают его мнение, а потом распространяют это мнение в интернете. Весьма секурный подход, надо сказать :)

     
  • 2.14, Фыр (?), 22:08, 15/03/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >На одной открывать в браузере страницы, вторая читает изображение с экрана первой, с картинки OCR вибирает текст и передает по ssh третьей машине

    У тебя в голове что-то сломалось.
    Не проще ли телнетом или wget запросить нужную страницу, а потом простеньким скриптом выкусить теги?

     
     
  • 3.18, Lain_13 (ok), 22:35, 15/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У тебя есть гарантия неуязвимости этого простого скрипта? Что он при любых входных данных правильно выкусит только тэги, а не половину страницы или, тем более, рухнет и приведёт к запуску произвольного кода? Когда имеешь дело с паранойей, то ты никогда не можешь быть уверен.
     
     
  • 4.20, Фыр (?), 22:39, 15/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >У тебя есть гарантия неуязвимости этого простого скрипта?

    Да. Скрипт может и сгрызёт часть полезной информации при специальным образом сгенерированной странице, но ни при каких обстоятельствах этот скрипт не поможет злоумышленнику получить доступ к твоей машине.
    Ты даже сможешь запускать его лишь погасив все внешние интерфейсы...
    Так что твой внутренний параноик может быть доволен.

     
     
  • 5.25, Lain_13_too_lazy_to_login (?), 23:03, 15/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Чушь несёшь. Кривая страница может оказаться некорректно обработана скриптом и вызвать уязвимость в коде одного из вызываемых скриптом приложений. Представь, что за тобой следят и искать будут уязвимость именно в твоём способе просмотра страниц. Кстати, я сказал «представь»?
     
     
  • 6.28, Фыр (?), 23:21, 15/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да вдумайся ты в суть задачи!
    Да там даже на плюсах получится 2 десятка строк кода.
    Я уверен, что смогу написать 20 строк так, чтобы никакая страница не могла ничего поломать.
     
     
  • 7.57, Аноним (-), 15:48, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, есть Lynx. Картинки не отображает, JS не исполняет, как и Flash. Даже кукизы спрашивает сохранять или нет.
     
     
  • 8.86, Аноним (-), 23:50, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Минимализм - еще не гарантия защищенности Например, выполнение произвольного ко... текст свёрнут, показать
     
  • 7.85, Аноним (-), 23:48, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Да вдумайся ты в суть задачи!
    > Да там даже на плюсах получится 2 десятка строк кода.
    > Я уверен, что смогу написать 20 строк так, чтобы никакая страница не
    > могла ничего поломать.

    Излишняя самоуверенность - путь к провалу.
    Плюсы - это такой язык, что даже гуру с 20-летним опытом может наступить на детские грабли в паре строчек.

     
  • 2.15, arisu (ok), 22:23, 15/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вот вы лучше скажите как в Linux практически безопасно просматривать страницы.

    начни с разработки своего железа. и делом займёшься, и глупости больше писать не будешь.

     
  • 2.17, Lain_13 (ok), 22:32, 15/03/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Безопаснее всего их просматривать с расстояния метров 10 от монитора и даже дальше (если монитор действительной огромный). Идеи более опасны и заразительны, чем самые опасные компьютерные вирусы.
     
     
  • 3.21, vi (?), 22:46, 15/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Безопаснее всего их просматривать с расстояния метров 10 от монитора и даже
    > дальше (если монитор действительной огромный). Идеи более опасны и заразительны, чем
    > самые опасные компьютерные вирусы.

    Согласен, мысли очень даже материальны! Так что поосторожнее с ними нашем мире! Иначе и осколочков не соберете :(

     
  • 2.19, freehck (ok), 22:37, 15/03/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Основная проблема безопасности браузеров заключается в существовании JavaScripts, Adobe Flash и плагинов.

    В принципе, есть некоторое подмножество веба, которое спокойно без этого обходится. Так что если Вы не сильно хотите развлечений и интернет-покупок, то можете смело пользоваться исключительно консольными браузерами.

     
     
  • 3.34, vn971 (ok), 03:21, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    "выкидывание js+flash" и "консоль" это таки немного разные вещи.

    Первое, увы, не безопасно. А второе многого не отображает, увы.

    И вообще, тема с безопасным запуском прог в Xorg не раскрыта.

     
     
  • 4.90, Аноним (-), 00:04, 17/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Первое, увы, не безопасно. А второе многого не отображает, увы.

    И тоже не безопасно, кстати.

     
  • 3.94, Anonym2 (?), 19:28, 19/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Основная проблема безопасности браузеров заключается в существовании JavaScripts, Adobe
    > Flash и плагинов.
    > В принципе, есть некоторое подмножество веба, которое спокойно без этого обходится. Так
    > что если Вы не сильно хотите развлечений и интернет-покупок, то можете
    > смело пользоваться исключительно консольными браузерами.

    Любопытно, почему интернет-покупки столь основаны на именно дырявых и опасных баузерах?
    >:-)

     
  • 2.37, адекват (?), 10:01, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/

    > Вот вы лучше скажите как в Linux практически безопасно просматривать страницы,

    корень в ro монтировать ?
    глянуть ps -A какие приложения с какими привелегиями запущенны ?
    noexec на домашний каталог ? >/путь/2/текстовый_документ ), и
    > (о) на конец таки, ставим Qubies OS и вот в ней
    > то можем спокойно открыть этот документ ;)
    > Наслаждаемся чистотой документа!

     
     
  • 3.48, vi (?), 13:46, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Вот вы лучше скажите как в Linux практически безопасно просматривать страницы,
    > корень в ro монтировать ?
    > глянуть ps -A какие приложения с какими привелегиями запущенны ?
    > noexec на домашний каталог ? >/путь/2/текстовый_документ ), и
    >> (о) на конец таки, ставим Qubies OS и вот в ней
    >> то можем спокойно открыть этот документ ;)
    >> Наслаждаемся чистотой документа!

    Спасибо. А где можно глянуть (почти) полный список? Или каким запросом google-ить?
    Лучше начинать с простеньких примеров (они и реализуются проще).

     
     
  • 4.50, Аноним (-), 14:32, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зачем гугл То, что он написал - элементарные задачки Это знает почти любой лин... большой текст свёрнут, показать
     
     
  • 5.52, vi (?), 15:12, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/

    > получить права рута. Единственное спасение в таком случае - записать основные
    > каталоги типа /usr на флеш-накопитель с аппаратным запретом записи. И изредка
    > включать режим записи для загрузки обновлений безопасности.

    Где то валяется flash-ка с переключателем на ro. Всего 128MB. Но можно какой нибудь простенький Linux туда поставить (все руки не дойдут :(
    А сейчас видимо такие флехи не модны, и найти их проблематично (хотя кто ищет, ...)


     
     
  • 6.53, Аноним (-), 15:32, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А какой смысл? Если ты задаёшь такие вопросы, значит по части безопасности не разбираешься. Как бы ты ни настраивал, всё равно не учтёшь многих вещей просто потому, что чего-то не знаешь. Ставь Винду, антивирус, настраивай файервол и радуйся жизни. Или работай с LiveDVD, записанным на R-ку. Тормозит, неудобно, бессмысленно, но почти безопасно.

    Кстати, такая флешка больше подходит для использования на чужих компах с виндой, если кому-то что-то скопировать нужно, т.к. они потенциально могут быть заражены вирусами.

     
     
  • 7.59, vi (?), 16:31, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А какой смысл? Если ты задаёшь такие вопросы, значит по части безопасности
    > не разбираешься. Как бы ты ни настраивал, всё равно не учтёшь
    > многих вещей просто потому, что чего-то не знаешь. Ставь Винду, антивирус,
    > настраивай файервол и радуйся жизни. Или работай с LiveDVD, записанным на
    > R-ку. Тормозит, неудобно, бессмысленно, но почти безопасно.
    > Кстати, такая флешка больше подходит для использования на чужих компах с виндой,
    > если кому-то что-то скопировать нужно, т.к. они потенциально могут быть заражены
    > вирусами.

    Вопросы задаю для поддержания дискуссии.
    Да, всего не учесть, особенно когда многого не знаешь. Но простые методы могут быть достаточно эффективны.
    На винду вернутся, это вряд ли, подташнивает (и чем дальше, тем больше ;) (хотя для того что бы получить порцию острых ощущений, можно разик в пол года - год пощекотать себе нервы).
    LiveDVD, да в гостях, наверное лучше RW и CD-RW (обновленную версию с чистого листа лучше и быстрее накатить и трафика меньше). Дома лучше клонировать чистую виртуалку и работать каждый раз с чистого листа.

     
     
  • 8.60, Аноним (-), 17:11, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Виртуалка - потеря производительности Она больше подходит для разработки и для ... текст свёрнут, показать
     
     
  • 9.62, Аноним (-), 17:49, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Как показывает практика, антивирусы на которые вы намекаете мышей не особо лов... текст свёрнут, показать
     
     
  • 10.63, Аноним (-), 18:12, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Собираюсь, почему же Так или иначе придётся по работе примерно через год А до ... текст свёрнут, показать
     
     
  • 11.66, arisu (ok), 18:49, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    внизапна 8230 впрочем, не буду портить сюрпризы ... текст свёрнут, показать
     
     
  • 12.69, Аноним (-), 18:59, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Подразумевались интерактивные средства Понятно, что по сути я описал SELinux и ... текст свёрнут, показать
     
     
  • 13.70, arisu (ok), 19:03, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    у меня есть подозрение, что тут как обычно всё пока сам себе хорошо не сделаешь... текст свёрнут, показать
     
  • 13.77, Аноним (-), 21:03, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Написать гуй для ausearch aureport autrace - задача несложная Видимо, никому, к... текст свёрнут, показать
     
     
  • 14.80, Аноним (-), 21:26, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Смеётесь Запускать все процессы через autrace Но за информацию об утилитах спа... текст свёрнут, показать
     
     
  • 15.82, vi (?), 22:33, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо всем за инфу Для начала думаю достаточно Надеюсь надеюсь никогда не ... текст свёрнут, показать
     
  • 15.87, Аноним (-), 23:54, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Я вам еще более страшную тайну открою погуглите про setroubleshootd А в федоре... текст свёрнут, показать
     
  • 9.81, vi (?), 22:28, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не, не, не, постоянно всплывающих окон с надписями Программа выполнила невыполн... текст свёрнут, показать
     
     
  • 10.83, Аноним (-), 23:37, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Нет Тоже самое, что по крону запускать rkhunter вместе с tripwire Совсем не то... текст свёрнут, показать
     
     
  • 11.84, Аноним (-), 23:45, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это сигнатурный анализ Который, если верить дяде Жене К , важен не менее эврист... текст свёрнут, показать
     

  • 1.23, vitalif (ok), 22:49, 15/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Строго говоря, взлом Chrome OS - это не взлом, а освобождение =)
     
     
  • 2.58, Аноним (-), 15:58, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Jailbreak?
     

  • 1.33, Perain (?), 02:36, 16/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >>  Примечательно, что компания Google по горячим следам уже выпустила обновление браузера Chrome 33.0.1750.154, в котором устранила четыре опасные уязвимости

    Есть соммнение в патчах

     
  • 1.51, Аноним (-), 15:00, 16/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > ....проблема, приводящая к выходу за пределы буфера в движке V8

    Боже, что за придурки пишут на сях в 21 веке!!

     
     
  • 2.54, Аноним (-), 15:34, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> ....проблема, приводящая к выходу за пределы буфера в движке V8
    > Боже, что за придурки пишут на сях в 21 веке!!

    Те, благодаря которым ты написал это сообщение с той операционки, на которой сидишь.

     
  • 2.68, arisu (ok), 18:53, 16/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> ....проблема, приводящая к выходу за пределы буфера в движке V8
    > Боже, что за придурки пишут на сях в 21 веке!!

    к счастью, не ты.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру