больше подходит, правильно писать код.

Ну, "ввод экранируй, формы проверяй" , это все и так вроде понятно и очевидно

Кроме того, целью разработчика в SDL являются недостатки (которые weakness), а не конкретные способы эксплуатации тех уязвимостей, к которым они приводят.

> @vkochetkov ...и называется hack yourself first, я в курсе. Только это не даёт ничего, кроме чувства ложной уверенности. Чтобы результаты пентеста разработчиком были показательны, он должен обладать навыками поиска и эксплуатации уязвимостей на уровне, сравнимом с уровнем среднестатистического атакующего. знаю как минимум одного такого в области разработки фирмвари, трудится в apple сейчас

...и называется hack yourself first, я в курсе. Только это не даёт ничего, кроме чувства ложной уверенности. Чтобы результаты пентеста разработчиком были показательны, он должен обладать навыками поиска и эксплуатации уязвимостей на уровне, сравнимом с уровнем среднестатистического атакующего. Не встречал ни одного разраба, который хоть сколько-нибудь приблизился к такому уровню.

разработчик не должен ничего пентестить

> @vkochetkov ...и называется hack yourself first, я в курсе. Только это не даёт ничего, кроме чувства ложной уверенности. Чтобы результаты пентеста разработчиком были показательны, он должен обладать навыками поиска и эксплуатации уязвимостей на уровне, сравнимом с уровнем среднестатистического атакующего. знаю как минимум одного такого в области разработки фирмвари, трудится в apple сейчас

не, я-то допускаю, что такие существуют, но они явно не представители среднестатистической массы разработчиков.

да, это так, крайне редкие и очень дорогие специалисты

разработчик не должен ничего пентестить

тогда зачем ему навыки пентеста?

тогда зачем ему навыки пентеста?

наверное не соввсем правильно выразился, скорее знания в области ИБ(векторы атак, практическая криптография, ACL, сетевая безопасность), чем навыки пентеста.

Ок, значит я неправильно понял. С этим спорить, разумеется, не буду)

поддерживать эти навыки в актуальном состоянии это прям недешевое удовольствие

для того что бы быть в курсе тех же векторов атак нужно тратить кучу времени на чтение вайтпейперов, научных работ и просмотр докладов с конференций

согласен, но сейчас в даже в крупных компаниях, часто встречаются разрабы, которые не слышали про SQLi, ханящие пароли в открытом виде на устройстве, передающие их же по сети. Некоторые полагаются на автогенеренные ид, в плане контента, который изи можно подменить на клиенте.

таких случаев на моем пути было тьма

не трогая, даже, неправильное использование криптографии

это проблема компании а не разрабов тащемта, если не инвестировать в безопаность бабло — то сама по себе она не появится

это проблема компании а не разрабов тащемта, если не инвестировать в безопаность бабло — то сама по себе она не появится

+1

если разраб не знает про sqli — это печально, но не смертельно, но если над ним нет никого кто мог бы заревьювить его код и надавать по рукам — то это уже плохо

Как можно не знать?

Как можно не знать?

ты не поверишь, какие люди приходят на собеседования

Ну одно дело придти, а другое работать c таким уровнем знаний.

> @m3sha Как можно не знать? кадровый дефицит, хороших разработчиков на всех не хватает, поэтому те кто не супер богатые — готовы брать хоть любых

ну это если смотреть со стороны найма и работодателя а если смотреть со стороны разраба? Это как так надо учить тот же пхп, что бы не слышать про иньекции

очень просто: освоил хеллоу ворлды по туториалам — устраиваешься на работу джуниором что бы набрать опыт

ну пхп там сложно не узнать, да...но вот другие языки:-/

а там неодупляющий тимлид дает тебе комитить в продакшн

у разрабов цель - чтобы продукт работал

сейчас начать писать софт достаточно просто, поэтому "разработчиков" стало очень много

не думаю, что их устроит продукт работающий через раз

или падающий от одного запроса

одно с другим бывает очень мало связанно

синкпады вон хорошо работают, но в плане уязвимостей из фирмварь это ояебу решето

там десятки callout уязвимостей в SMM драйверах (я их репортить даже не стал в виду безсмысленности сего действа) что говорит о том, что их разработчики вообще туманно себе представляют UEFI спецификацию и то как работают платформы от Intel

но если их специально не эксплойтить — то в нормальных условиях все работает хорошо, да

реализация PRx flash write protection там тоже концептуально сломана, потому что тот кто писал ее поддержку даже не понял зачем вообще интел придумала эти PRx регистры и в чем их профиты перед BIOS_CNTL flash write protection

если говорить про аналогию с вебом — то это примерно тот же уровень что “разработчик на php который не знает про sqli”

а зачем защищать фирмарь/<подставьте_свое> бизнесу?

а зачем защищать фирмарь/<подставьте_свое> бизнесу?

PROFIT/репутация

А репутация -> профит.

затем что доступ к фирмваре дает атакующему возможность залить на тачку фактически недетектируемый руткит, потому что секьюрити продуктов которые бы умели бороться с такими угрозами не существует в природе вообще-вообще

ну давайте конкретнее. Зачем это ленове, если синкпады крутые и их и так покупают?

это уже философский вопрос а не технический

нет, это вопрос денег

ну вот apple так не считает например

ну давайте конкретнее. Зачем это ленове, если синкпады крутые и их и так покупают?

хотя бы, что в гос структурах сказать какие они защищенные

пока покупатели не голосуют деньгой, так оно и будет. Тех, кто голосует - меньшенство

за последние два года они схантили троих ОЧЕНЬ крутых специалистов в области firmware security и очень хорошо вложились в безопасность своих фирмварей и вычищение оттуда всевозможных багов

при этом apple покупают еще лучше чем леново, бгг

есть компании, которые занимаются безопасностью. Эппл, МС в их числе

и покупали бы точно так же, даже если бы они не озаботились безопасностью своих фирмварей

не уверен

тоесть, с леново ты уверен, а с apple внезапно нет?

да. Я слышал доводы в пользу безопасности iOS, например. Что синкпады покупают из-за их безопасности я не слышал.

ты не в теме

я не про ресерчи и реальное положение дел )))

если говорить именно про настольные продукты — то синкпады концептуально лучше макбуков хотя бы за счет наличия boot guard и secure boot (у макбуков пока нет ни того, ни другого)

а уязвимости о которых я говорю — позволяют сломать тот же boot guard и secure boot (и делать много других злых штук)

а что за g-50 мне скажите?

и если леново не интересна безопаность — то зачем они тогда вообще заморачивались с этими secure boot и прочим?

Сбербанк онлайн запищал когда я в баузере словил вирус, я был удивлён)

Это группиб вроде работают, сорри за некропостинг

и если леново не интересна безопаность — то зачем они тогда вообще заморачивались с этими secure boot и прочим?

тут надо посмотреть, можно ли без этого получить право клепать лейбл совместимости с виндами.

нельзя

secure boot is mandatory если ты хочешь наклейку windows 10

ну тогда вот и ответ. Может быть они реально пекутся о безопасности, а может быть просто для лейбла и маркетинга

это тонкая грань, есть как минимум один очень крупный корпоративный клиент леново который отказался от них из-за объективно плохой в плане безопасности фирмвари

нельзя ни с того ни с сего начать писать безопасный код. И с нуля редко кто делает супер правильный в плане безопасности код (если это не самоцель). Все идут постепенно

это внезапно DoD

основная цель бизнеса - деньги. Если безопасность не помогает, ее не будет.

ERROR: S client not available

или не DoD, но такого же плана и масштаба американская гос контора, не помню уже за давностью лет

думаю, если бы не требование мс, на секьюр бут и бут гуард многие вендоры болт положили бы

года три назад была новость что они отказываются от продуктов леново из-за дыр в фирмваре

а вот и нет

boot guard никто не требует, его вендоры пилят сами по себе

ну может быть он реально востребован, я могу ошибаться

и это прям песец какая не простая штука в плане реализации ее поддержки

в теории он востребован большим бизнесом которому объяснили зачем он нужен и от чего он защищает

может она как-то интелом форсируется? :)

нет

продукты с поддержкой boot guard это вообще редкость на рынке, и это как правило только ноуты для корп сегмента

даже у самого интела нету материнских плат с поддержкой boot guard

значит таки на бут гуард и положили болт?

и делают только там, где это принесет деньги

не положили, просто это штука не для массового рынка скорее всего

из прям реально массовых продуктов — я его встречал в surface pro 4

но за адекватность реализации не скажу, потому что 4-й серфейс мне пока никто не подрарил, а покупать его самому что бы расхакать там все за пару вечеров и забросить на полку — как-то жаба душит

ну я про то и говорю. Если безопасность не востребована, то повсеместно ее не будет. Она будет там, где нужна. Иначе это лишние затраты вникуда.

это вопрос инженерной культуры

в случае с конкретно surface — boot guard там реально не особо нужен, но сделали же зачем-то

не только. Ты имеешь в виду только мелкие вещи, которые в руках разрабов. Есть вещи, которые зависят от менеджмента, а не разрабов.

в случае с конкретно surface — boot guard там реально не особо нужен, но сделали же зачем-то

ибо это МС. Они заботятся о безопасности и им это нужно для имиджа.

ну вот менеджменту тоже бывает не наплевать

да, это зависит от рисков :)

в основном люди умеют считать деньги

когда я опубликовал ThinkPwn и вскрылся тот факт что интел поставил своим партнерам из AMI бажный референсный код — мененджмент этих самых партнеров ебал руководство интела за милую душу

хотя с точки зрения денег — смысла вообще никакого

зато сколько удовольствия они получили :)))

второй вопрос))) имеет ли devops какое-то отношение к информационной безопасности？

ну ты и провокатор ))

Скорее к её отсутствию (летс срач бегинс)

Скорее к её отсутствию (летс срач бегинс)

+ )