Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Badlock Bug, czyli coraz więcej marketingu na rynku podatności… [aktualizacja]
Wzorem słynnych poprzedników, takich jak Stagefright, Heartbleed, czy też Ghost, Badlock Bug ma już chwytliwą nazwę oraz logo. Jakiekolwiek szczegóły na jego temat poznamy jednak dopiero 12. kwietnia…
Stefan Metzmacher, jeden z deweloperów projektu Samba, zapowiedział odkrytą przez siebie podatność na specjalnie do tego celu przygotowanej stronie internetowej Badlock Bug.
Luka ma być bardzo poważna, dotyczy implementacji protokołu SMB zarówno w Windowsach, jak i w Sambie, a jakiekolwiek szczegóły techniczne poznamy dopiero 12. kwietnia…
On April 12th, 2016 a crucial security bug in Windows and Samba will be disclosed. We call it: Badlock.
Microsoft oraz projekt Samba pracują już nad poprawkami, które właśnie tego dnia mają zostać opublikowane. Ponieważ podatność ma dotyczyć dwóch różnych implementacji tego samego protokołu, możliwe że problem leży w samym protokole. W każdym razie pojawiają się już pierwsze spekulacje na temat natury nowej podatności:
@SwiftOnSecurity Due to name „badlock”, I’m guessing controllable mem write after file handle invalidated on broken lock over CIFS.
— David Litchfield (@dlitchfield) March 22, 2016
Co myślicie o tego typu szumnych kampaniach zapowiadających kolejne podatności, które nie przynoszą ze sobą jakichkolwiek szczegółów technicznych? Niepotrzebny marketing, czy może słuszne zwracanie uwagi na kolejne problemy bezpieczeństwa?
W każdym razie zainteresowani administratorzy powinni sobie zarezerwować nieco czasu na 12. kwietnia…
[Aktualizacja — 12.04.2016]
Doczekaliśmy się publikacji szczegółów dotyczących Badlocka. Okazuje się, że CVSS Base wynosi: 7.1. Biuletyn bezpieczeństwa dla Windowsów to MS16-047, a szczegóły dla Samby znajdziecie tutaj.
— Wojciech Smol
Wydasz popularną grę top 10 na telefony – jesteś milionerem. Znajdziesz krytyczną podatność w jednym z najważniejszych protokołów – trochę zarobisz, ale poza środowiskiem Security o Tobie nie słychać. Po to jest ten marketing.
A czy nie jest tak, że znacznie trudniej jest napisać grę, która wejdzie w top 10 niż znaleźć jakąś krytyczną podatność? ;-P
Oj sprawa jest prosta od dawien dawna wiadomo że musi być popyt i podaż więc promuje się zagrożenia żeby sprzedawać bezpieczeństwo a że zagrożenia czasami są słabo groźne no to trzeba marketingu :)
W każdym razie ludzie od marketingu to zazwyczaj pełnej klasy psychole i polecam unikać jak ognia
Czytałeś art, czy komentujesz na podstawie tytułu?
Czytałem że shellskock miał być nowym armagedonem i … nie był
Tak między nami tylko nie mów nikomu to czytałem tylko zajawkę i tytuł :)
Pożyjemy zobaczymy może to faktycznie coś ciekawego chociaż SMB to chyba lan przeważnie ?
Btw zróbcie coś z captcha bo pod FF jest strasznie
shellshock jest nowym armagedonem :)
Od kiedy to taki armageddon? Nawet moja zabytkowa Fedora 12 skutecznie mu się opiera
A ja obserwuję masę urządzeń live – w necie dostępnych, które tak sobie się opierają. Tak samo z heartbleed – zakładam że większość z nas się spatchowała, ale są dość krytyczne miejsca w necie które…niekoniecznie.
Nie było worm-ów to się nie liczy ;P
Jest jeszcze trzecia strona. Człowiek wcale nie musi być zakompleksiony, żeby skusiło go takie combo – popularność/uwaga, wyższość i władza. Uwaga – piszą o nim specjaliści z całego świata, oczy są zwrócone na niego, ludzie próbują odgadnąć coś, co on już od dawna wie. Generuje to też wyższość – bo on wie, a inni, nawet bardziej zasłużeni dla informatyki, nie mogą do tego dojść. Natomiast władza – to teraz on dyktuje warunki. Może się wkurzyć i sprzedać buga, może powiedzieć „o, to teraz”, żeby tysiące ludzi zaczęło pracować na jego polecenie. Przygotujcie się ludzie, bo nie wiecie kiedy powiem słowo – a kiedy powiem, będziecie musieli ruszyć do ataku.
Nie mówię o świadomym działaniu, ale podświadome – czemu nie. Pewne subtelności (a właściwie to wręcz przeciwnie) w ogłoszeniu sprawiają, że taka teoria jest dla mnie prawdopodobna. A nazwa i logo? Bez tego nie uzyska się tak dobrych efektów, bo nie będzie wyróżniało się wśród innych bugów. Dziennikarze często nie mają pojęcia o IT i prędzej opiszą coś, co samemu im wydaje się bardziej przystępne.
Nikt nie mówi że chwała i sława jest zła – to nie średniowiecze
tylko moim zdaniem problem z marketingiem polega na tym że on jest zazwyczaj tak wiarygodny jak reklamy w tv, zwłaszcza jeśli chodzi o it-sec jest to dość niszczące bo jeszcze kilka przypadków i nikt nie będzie niczego traktował poważnie, a można odnieść wrażenie że owy marketing zastępuje szacowanie ryzyka i modelowanie zagrożeń. Jeżeli jesteś znaną marką to zaryzykowałbym stwierdzenie że możesz sprzedać wszystko i każdego (w sensie nadać rozgłos).
Ogólnie uważam że do pewnego momentu ludzie/błedy/research zyskujący rozgłos w środowisku (przynajmniej w skali globalnej) zawdzięczali to temu że robili wartościowe rzeczy, inne, innowacyjne albo zwracali uwagę na coś istotnego. Dzisiaj zaczyna być tak że wystarczy że zrobisz sobie logo zatrudnisz PR/Marketing – to nie jest dobre i to się źle skończy :D
Inna sprawa że dzisiaj nawet bugtraqi stały się miejscem publikacji nagłówków maili chronionych prawami autorskimi (świat schodzi na psy)
No tak, ogólnie się zgadzam. To ogólny problem nauki. Bada się popularne rzeczy i słodkie zwierzątka. Nawet ostatnio jest sporo badań nt. badań, bo jest na to moda – nietoperze Australii są pomijane, bo są „brzydkie”, z narkotyków to teraz głównie badają kannabinoidy. A potem mnie szlag trafia, że ksiądz dostaje w Polsce 50k, żeby pokryć koszty badań, które trwały kilka lat i były robione samemu – interpretacja jakiejś książki, a wynik to skromna praca. Polecam sobie poczytać listę grantów państwowych w Polsce. Najlepiej być humanistą (granty największe przy małych kosztach), a najlepiej mieć jeszcze „ks.” przed nazwiskiem – dajmy kolejne 10k na badanie tekstów Biblii, bo to pewnie słabo zbadany temat. [nie jestem wojującym ateistą, ale za taką kasę mogliby zapłacić np. ludziom z IT na badanie softu]
Komercjalizacja nauki to chyba fakt, nie którzy mówią że to dobrze
Ja nie wiem, jeśli to co zobaczyłem w życiu swym ma odniesienie do całego sektora prywatnego to powiedziałbym że chyba wcale nie jest tak pięknie.
Ogólnie myślę że w przypadku isec ważniejsza jest rzetelność niż przedmiot badań choć ten drugi jest równie istotny w ujęciu – cholera szacowania ryzyka (zaczynam myśleć że to jakaś elementarna część bezpieczeństwa :D)
Kwestia priorytetów i niestety braku jakichkolwiek wartości to strasznie kiepska mieszanka