Hello! > Вопрос не в вооруженной группе. Вопрос в китайском спаммере. > То что китайский спаммер читает багтрак и узнает о дырке в openssh > на некоторое время раньше, чем большинство адаминов я уверен. > > Вопрос в том, успеет ли он проэксплойтить твою машину, прежде чем ты > прочитаешь debian-announce и поставить апдейт.
Наверняка кто-то из китайских спамеров успеет узнать о баге раньше меня. Но шансов, что случайно успеет взломать определенный сервер - ничтожно мало. А вот если кто-то охотится за конкретным сервером, вряд ли он будет ждать лет 10, пока в openssh найдут достаточно серьезный баг, который к тому же можно эксплуатировать (есть все же некая разница между вероятностью уязвимости и ее реализацией). > > Не думаю, что кто-то потратит эквивалентную сумму на взлом openssh - > > дешевле выйдет физический > > Речь идет не о сумме на взлом, а о сумме на доказательство что в > каких-то конкретных условиях openssh абсолютно безопасен. И чтобы > условия не были "сетевой кабель из компьютера выдернут". > > Взлом - дешевле. Какой смысл в этом доказательстве? Пустую машину серьезно защищать редко есть необходимость, а если на машине имеются рабочие сервисы, проще ломать их. Притом одни сервисы обращаются к другим, что делает анализ фактически неосуществимым. Одно использование клиент-серверных СУБД уже достаточный фактор для взлома практически любого сервера, причем многое можно делать "сквозь" приложение, работающее с базой. Не говоря о еще более простых способах - например, похитить пароль пользователя с соответствующим уровнем полномочий, работающего под самой популярной в мире ОС и самым дырявым... то есть я хотел сказать, распространенным браузером (а какой браузер не дырявый? например, файрфокс - решето и в обозримом будущем таковым и останется). Опять же, какой смысл делать дорогую защиту сервера, если легитимный пользователь может построить отчет по супер-секретным данным и потерять его вместе с флэшкой? Еще вопрос, что важнее - набор "сырых" данных на сервере или один-единственный отчет у аналитика (к примеру - реквизиты банковских карт 20-ти крупнейших вкладчиков банка явно интереснее, чем реквизиты всех эмитированных банком карт). Best regards, Alexey. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
