![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
don_katalanШон Таунсенд
Техническая журналистика по-прежнему продолжает расстраивать. Если вы пишите новость о том что идёт дождь не нужно спрашивать мнение специалистов, достаточно посмотреть в окно. Так же и с последним "багом" в Телеграме. Есть две модели безопасности: в Unix и Windows права выдаются пользователю, а в Android, iOS и MacOS - отдельным приложениям. Приложение говорит: "Хочу камеру!", система ему в ответ: попизди мне тут, сейчас у хозяина спросим.
Apple требует, чтобы приложения в AppStore вели себя прилично. CVE-2023-26818, который по мнению местного Форбс, якобы позволяет "удаленно включать камеру", позволяет запустить левую библиотеку (она уже должна присутствовать в системе) от имени Телеграма, у которого права на камеру есть. Просто потому что Телеграму все равно. Но сперва нужно зайти в систему. Если хакер туда зашел, то Телеграм станет последней вашей проблемой.
Еще раз для особо непонятливых. DYLD_INSERT_LIBRARIES - тоже самое, что и LD_PRELOAD в Линуксе. И в винде, и в юниксах, если пользователь может запустить Телеграм с камерой, то он может включить камеру самостоятельно, ни у кого ничего не спрашивая. Как говорит Алан Кокс - normal Unix model. На маках это не так, и то что AppStore пропустил приложение, которое говорит "не хочу пользоваться вашей системой безопасности" как бы намекает нам на то, что проблема совсем не в Телеграме.
У любой компании помимо желания заработать денег, и необходимости выполнять законы разных стран (иногда взаимоисключающие) бывает собственная политика. И они её иногда продвигают открыто, как Фейсбук с его человеконенавистническим "сообществом" рака и щуки. А Телеграм пытается проскочить между капелек, и кому и что он покажет и отдаст большой вопрос. Их политика - скрывать от посторонних цели и методы. Вот это проблема, а не загрузка сторонней библиотеки.
=====
Наконец-то появился текст многострадального "порядка поиска уязвимостей". Суть в чем. Вы заходите в какую-нибудь гос. систему, и видите, что у неё из ушей вываливается собственное говно, что отнюдь не редкость.
Вы как добрый самаритянин пишете администратору, что вот тут дыра, а вот тут, например, крокодилы ебались. Как правило, всем похуй и никто вам не ответит. Вы рассказываете об этом публично, и тут внутри чиновника что-то щелкает и приходит озарение, вот этот вот дрыщ компьютерный он же хочет лично его подсидеть, нагадить, а то и занять тепленькое местечко заместителя залуподрищенского управления, департамента не ваших собачьих дел, и пишет заявление в полицию. А вобще полиции даже заявление не нужно, могут возбуждаться по факту.
Со временем возникла идея, а давайте не будем пиздить безопасников? Российские хакеры никуда не делись, дыры тоже. Давайте сделаем так, чтобы сообщать о дырах в безопасности стало безопасно? Для этого статья 361 ККУ не должна быть фактовой, и нужен хоть какой-нибудь ущерб, чтобы взлом не был victimless crime. Что мы получили в итоге? Срока по статье увеличили до 15 лет, а в порядке прописали, что поиск уязвимостей в системе проводит её владелец. Как будто бы раньше ему что-то мешало.
Так что, если вы занимаетесь поиском уязвимостей, советую держаться как можно дальше от украинских систем. А дыры найдут российские хакеры. Если люди необучаемые, то их обучением займётся враг.
Техническая журналистика по-прежнему продолжает расстраивать. Если вы пишите новость о том что идёт дождь не нужно спрашивать мнение специалистов, достаточно посмотреть в окно. Так же и с последним "багом" в Телеграме. Есть две модели безопасности: в Unix и Windows права выдаются пользователю, а в Android, iOS и MacOS - отдельным приложениям. Приложение говорит: "Хочу камеру!", система ему в ответ: попизди мне тут, сейчас у хозяина спросим.
Apple требует, чтобы приложения в AppStore вели себя прилично. CVE-2023-26818, который по мнению местного Форбс, якобы позволяет "удаленно включать камеру", позволяет запустить левую библиотеку (она уже должна присутствовать в системе) от имени Телеграма, у которого права на камеру есть. Просто потому что Телеграму все равно. Но сперва нужно зайти в систему. Если хакер туда зашел, то Телеграм станет последней вашей проблемой.
Еще раз для особо непонятливых. DYLD_INSERT_LIBRARIES - тоже самое, что и LD_PRELOAD в Линуксе. И в винде, и в юниксах, если пользователь может запустить Телеграм с камерой, то он может включить камеру самостоятельно, ни у кого ничего не спрашивая. Как говорит Алан Кокс - normal Unix model. На маках это не так, и то что AppStore пропустил приложение, которое говорит "не хочу пользоваться вашей системой безопасности" как бы намекает нам на то, что проблема совсем не в Телеграме.
У любой компании помимо желания заработать денег, и необходимости выполнять законы разных стран (иногда взаимоисключающие) бывает собственная политика. И они её иногда продвигают открыто, как Фейсбук с его человеконенавистническим "сообществом" рака и щуки. А Телеграм пытается проскочить между капелек, и кому и что он покажет и отдаст большой вопрос. Их политика - скрывать от посторонних цели и методы. Вот это проблема, а не загрузка сторонней библиотеки.
=====
Наконец-то появился текст многострадального "порядка поиска уязвимостей". Суть в чем. Вы заходите в какую-нибудь гос. систему, и видите, что у неё из ушей вываливается собственное говно, что отнюдь не редкость.
Вы как добрый самаритянин пишете администратору, что вот тут дыра, а вот тут, например, крокодилы ебались. Как правило, всем похуй и никто вам не ответит. Вы рассказываете об этом публично, и тут внутри чиновника что-то щелкает и приходит озарение, вот этот вот дрыщ компьютерный он же хочет лично его подсидеть, нагадить, а то и занять тепленькое местечко заместителя залуподрищенского управления, департамента не ваших собачьих дел, и пишет заявление в полицию. А вобще полиции даже заявление не нужно, могут возбуждаться по факту.
Со временем возникла идея, а давайте не будем пиздить безопасников? Российские хакеры никуда не делись, дыры тоже. Давайте сделаем так, чтобы сообщать о дырах в безопасности стало безопасно? Для этого статья 361 ККУ не должна быть фактовой, и нужен хоть какой-нибудь ущерб, чтобы взлом не был victimless crime. Что мы получили в итоге? Срока по статье увеличили до 15 лет, а в порядке прописали, что поиск уязвимостей в системе проводит её владелец. Как будто бы раньше ему что-то мешало.
Так что, если вы занимаетесь поиском уязвимостей, советую держаться как можно дальше от украинских систем. А дыры найдут российские хакеры. Если люди необучаемые, то их обучением займётся враг.