Forum Gry Hobby Sprzęt Rozmawiamy Archiwum Regulamin

Technologie Microsoft usunął groźną lukę w Windows 10. Exploit wykryli eksperci NSA

15.01.2020 14:17
Cziczaki
1
Cziczaki
190
Renifer

A ta aktualizacja została już przetestowana, że ją sugerujecie?

15.01.2020 14:56
kaitso
2
odpowiedz
kaitso
37
Generał

U nas działa :)

15.01.2020 15:25
3
4
odpowiedz
Jerry_D
64
Senator

Czyli wiedza o tym exploicie stała się powszechna, więc stracił przydatność dla NSA. A ujawniając go w takim momencie odnieśli sporą korzyść. Po pierwsze zarobią trochę punktów PRowo, że niby nie tylko szpiegują wszystkich jak leci, a po drugie część podatnych systemów zostanie połatana, więc "wróg" (czyli cała reszta świata) nie będzie mógł łatwo wykorzystać tej podatności. W sumie nic ich to nie kosztwoało, bo po prostu skreślili ze swojej listy podatność nr 1858693 i przestawili się na użycie podatności nr 1858694, a w kolejce mają ich jeszcze pewnie ze 30.

"Warto odnotować, że w przeszłości NSA kilkukrotnie wykorzystywało podobne exploity dla własnych celów, informując o nich dopiero kiedy zaczęły być wykorzystywane przez hakerów (mowa oczywiście o tych, którzy nie pracują dla agencji). Tak było w przypadku groźnych luk WannCry i EternalBlue."
No akurat w przypadku WannaCry, który korzystał m. in. z luki EternalBlue to nie było tak i NSA popisało się wtedy wyjątkową nieodpowiedzialnością. Należy pamiętać, że pomiędzy samym wyciekiem narzędzi hakerskich z NSA, a ich ujawnieniem i przygotowaniem WannaCry minęło sporo czasu. Agencja powinna poinformować Microsoft o luce i najlepiej jak najdokładniej opisać jak ją wykorzystali, gdy tylko wypłynęły ich narzędzia, korzystające z luk 0-day. Wtedy MS zdążyłby na spokojnie wydać poprawki. A NSA siedziało cicho i MS zaczął gorączkowo łatać luki jak pół świata zostało już dotknięte ransomwarem. I nie wiem czy nawet wtedy NSA pomogło w przygotowaniu łatki, czy Microsoft musiał wszystko rozgryźć sam.

15.01.2020 17:36
WolfDale
😐
4
odpowiedz
WolfDale
79
~sv_cheats 1

Jakoś już mnie nie ruszają takie wiadomości. Jedna dziura mniej czy więcej, co za różnica. Teraz już wiem, czemu wczoraj od razu komputer mi się zaktualizował i tak samo w pracy.

16.01.2020 06:27
5
odpowiedz
2 odpowiedzi
Masa_san
42
Pretorianin

Cziczaki jeśli NSA to za słaby autorytet, by coś polecać, to chyba nikomu nie można ufać

16.01.2020 07:07
Widzący
😁
5.1
1
Widzący
242
Legend

Taki sam autorytet jak KGB.

16.01.2020 12:50
😱
5.2
1
Jerry_D
64
Senator

Masa_san
A jak chcesz ufać NSA, które podsłuchuje cały świat, łącznie z Amerykanami (do czego nie ma prawa i jego dyrektor kłamał przed kongresem w żywe oczy, że tego nie robią). Agencji, która po aferze Snowdena miała ograniczyć inwigilację, ale jedyne, co nowy dyrektor polecił pracownikom, to "róbcie dalej swoje". Autorytetowi, który zapłacił za wprowadzenie do RSA modułu (to była podwójna krzywa eliptyczna, jeśli dobrze pamiętam) mającego zwiększyć entropię (losowość) kluczy kryptograficznych, co miało się przełożyć na większe bezpieczeństwo, a w rzeczywistości sprawiał, że klucze stały się łatwe do przewidzenia.

NSA, jako największy na świecie pracodawca dla matematyków mogłoby mieć autorytet w kwestii kryptografii i zabezpieczeń, bo na pewno mają do tego dość uzdolnionych specjalistów i wiedzy. Przykładem ich wiedzy niech będzie to, że gdy tworzono algorytm szyfrowania DES, poproszone o analizę NSA wprowadziło pewne zmiany do tzw. S-boxów (część mechanizmu szyfrowania), których nikt wtedy nie rozumiał (co wielu uważało za backdoora). Dopiero kilka lat później wymyślono kryptoanalizę różnicową i okazało się, że rozwiązanie NSA jest na nią bardziej odporne. A GCHQ twierdzi, że ich kryptografowie opracowali podstawy kryptografii asymetrycznej około 10 lat przed stworzeniem algorytmu wymiany kluczy Diffiego-Hellmana-Merkle'a, więc zapewne wiedziało o tym i NSA.

To nie poziom wiedzy czy umiejętności NSA nie pozwala uznać tej agencji za autorytet, tylko to, jak ją wykorzystuje. I tak, nikomu nie można ufać. W dziedzinie bezpieczeństwa chorobliwa nieufność i paranoja jest nie tylko mile widziana, ale wręcz wymagana.

Technologie Microsoft usunął groźną lukę w Windows 10. Exploit wykryli eksperci NSA