Tehát egyszerre waterhole _és_ social engineering támadás?

Elhúzzák az orruk előtt a hamis mézesmadzagot.

QNX is cool!

"Később egy Microsoft Visual Studio Projectet küldenek, amely kártevőt tartalmaz, és egyből hozzáférést szereznek a szakemberek rendszereihez"

És ezt a szakértők csont nélkül benyalják? Már elnézést a kifejezésért....

tehát az óriáscég azt állítja, hogy az óriáscég által gyártott böngésző legfrissebb verzióját is megtörték?

tanulságos.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Nem törték meg. Ha a user önszántából megy a vágóhídra, az nem szoftver error.

https://www.coreinfinity.tech

"De kártékony hivatkozásokat is elrejtenek néha a blogjaikon.
A célpontok gépeit a legfrissebb Windows 10 rendszer és legfrissebb Chrome böngésző mellett is meg tudják fertőzni, majd átveszik annak irányítását"

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Lásd #4

https://www.coreinfinity.tech

a böngésző nem engedheti meg, hogy kiszabaduljanak belőle kódok. tehát ha tetszőleges webhelyre rámész és onnan meg tudják fertőzni a gépedet, az böngésző hiba is.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Nem, ha tetszőleges webhelyre felmegyek és letöltöm a kódot, majd futtatom, az nem a böngésző hibája.

https://www.coreinfinity.tech

ha letöltöd a kódot és elindítod, az nem a böngésző hibája.
ha felmész egy html oldalra és megjeleníti a böngésző, és közben elindít rosszindulatú kódokat, az a böngésző hibája.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Hát... Nagyjából oké, de mondjuk az xss nem böngésző hiba, hanem webalkalmazás.

[ Szerkesztve ]

https://www.coreinfinity.tech

A feltörés és a hiba nem ugyan az! És még a hiba sem jó. Igazából ezek sérülékenységek,
ami lehet mundjuk hiba vagy technológiai sajátosság is. Hogy értehető legyen:
Ha az autó irányhatatlanná válik az az autó hibája.
Ha durrdefektet kapok, mert 20 éve nem cseréltem gumit a kocsin, az az én hibám.
Ha szándékosan belerohanok a kocsival a tömegbe, az meg technológia sajátossága, korlátja, tehát sérülékenysége, hogy nem rendeltetésszerűen használva erre is alkalmas.
A böngésző nem egy biztonsági szoftver, hanem egy megjelenítő felület, amibe a támadások miatt egyre több biztonsági funkció is belekerül, miközben a felhasználói igények miatt egyre több mindent kell futtatnia (video, játék, webalkalmazás). Ezért kell használni teljesértékű végpontvédelmet (tűzfal, mezei vírusírtó kevés) és az sem árt, ha böngésződ egy sandbox-ban fut, amit böngészés után törölsz.

Éld az életet, ne túléld!

Chrome az nem sandbox-ban futtatja a lapokat? Én abban a hitben voltam idáig, hogy böngészőből semmi nem kerül a gépre, hacsak nem konkrét fájlletöltéssel. Persze oké, cookie meg mi nem a háttérben, de azok nem kerülnek OS szinten futtatásra. Vagy igen?

[ Szerkesztve ]

teljesen helytelen nézőpont.
azt, hogy a böngészőből kódot lehet futtatni, az az esetek zömében programozási hiba teszi lehetővé.
ebben az esetben nem az a megoldás, hogy plusz védelmi eszközökkel pakolom körbe a böngészőt, hanem kijavítom a böngészőben levő hibát.

hogy én is példát hozzak: ha egy idióta bankvezér kitalálja, hogy kirak a Hősök tere közepére egy asztalt és azon fogja tárolni a készpénzt, akkor nem az a megoldás, hogy körbetekered a teret szögesdróttal és raksz mellé 32 fegyveres őrt, mert úgyis ellopják a pénzt. az a megoldás, ha visszarakatod a pénzt a páncélba.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Van itt félreértés rendesen.
1.) Ma már alapfunkciója a böngészőnek, hogy kódot futtat!!! Ez nem hiba, egyszerűen ezt a feladata. Valahol az ActiveX és a java script környékén kezdődött, mostanra meg összeszámolni se tudom a különböző megoldásokat (alkalomadtán nézd meg az Internet Explorer beállításiban a Biztonság fülön az Egyedi szint beállításait, ott találsz egy listát).
Ezért kerek perec kijelenteni, hogy egy weboldalon lévő rosszindulatú kód futtatásáért csak és kizárólag a böngésző a hibás, elég nagy hiba.
2.) Megpróbálom megmutatni, hogy hol a hiba a nézőpontodban:
Van egy halom pénzem. Eldönthetem, hogy a párnám alatt tartom ( párna=böngésző) vagy berakom a bankba a páncél szekrénybe (bank=IT biztonsági szoftverek). A kispárnától nem várhatom el, hogy megóvja a pénzem a betörőtől (legfeljebb hogy ne legyen szemelőtt). Ellenben egy banktól elvárom, hogy betörő ide vagy oda, de megvédje a pénzem.
Vagyis a pénzem védelme nem a kispárnám, hanem a bank feladata.
3.) Annyiban viszont igazad van, hogy az alkalmazásokban sok a programozói hiba, illetve nem biztonságos programozói megoldás, amit kutya kötelességük javítani. És az is igaz, hogy a rosszindulatú kódok egy jó része az ilyen hibák kihasználására épül. De nem minden sérülékenység programozói hiba, és nem lehet mindent a böngészőre fogni. Erre mondtam azt, hogy nem elvárható és nem megoldható, hogy az autó ne hajtson bele a tömegbe.
4.) Rossz hírem van: nem létezik abszolút biztonság! Neked kell tudatosan odafigyelni az IT biztonságra: pl. telepíted a biztonsági szoftvereket, érdemben kezeled a riasztásait, telepíted a különböző frissítéseket, elkerülöd a gázos oldalakat, és a legfontosabb, biztonságtudatosan használod a netet.

Éld az életet, ne túléld!

valóban alapfunkciója a böngészőnek a kódfuttatás, de az is alapfunkciója, hogy a kódot nem hagyja korlátlanul terjeszkedni. ugyanúgy, ahogy elvileg a java vm sem engedi össze-vissza piszkolni a menedzselt kódot (nem állítom, hogy 100%-ban sikeres ezügyben), a böngészőnek sem kellene engednie kitörni a letöltött kódokat.

"Ezért kerek perec kijelenteni, hogy egy weboldalon lévő rosszindulatú kód futtatásáért csak és kizárólag a böngésző a hibás, elég nagy hiba.": azt állítom, hogy a rosszindulatú kód kiengedéséért csakis a böngésző felel.

meg azt is állítom a konkrét esetre specializálva, hogy az tahóság, hogy a google a saját böngészőjének hibái miatt kesereg. javítsa meg. ki más, ha nem ők?

"nem létezik abszolút biztonság": egyrészt létezzen! másrészt azért azt elfogadhatja mindenki, hogy az abszolút biztonság és a mostani trágyadomb helyzet között még létezhetne ennél jobb arany középút. csak amíg egyes nagy cégek szimbiózisban élhetnek a kártékony kódokkal, addig ez sose fog javulni.

a 21. század kb. arról szól az informatika terén, hogy minél több emberhez eljusson, minél több emberből csináljanak vevőt. ennek egyenes következménye, hogy már nem csak guru szinten felkészült mérnökök ülhetnek gép elé, hanem egyre felkészületlenebbek is. tehát az, hogy ezzel párhuzamosan a szoftver egyre ócskább minőségű, mert cégeknek ez az érdeke, az gáz.

szerintem meg minden kihasznált sérülékenység mögött van programozói hiba is. az adathalászat is feltört gépről kiküldött emaillel szokott indulni.

én azt gondolom, régen nem volt ennyi szemét program. régen elő nem fordulhatott volna, hogy egy boeing 737-es felszállhat, és csak akkor hajlandó a gyártó kijavítani a hibáját, mikor a politikusok ingerküszöbét is megüti a koporsók látványa. és a hibát az alapoknál kell kijavítani, nem kerülő megoldásokkal.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis