Программные уязвимости | Энциклопедия «Касперского»
Термин «уязвимость» часто упоминается в связи с компьютерной безопасностью, во множестве самых различных контекстов.
В общем случае, уязвимость ассоциируется с нарушением политики безопасности, вызванным неправильно заданным набором правил или ошибкой в обеспечивающей безопасность компьютера программе. Стоит отметить, что теоретически все компьютерные системы имеют уязвимости. Но то, насколько велик потенциальный ущерб от вирусной атаки, использующей уязвимость, позволяет подразделять уязвимости на активно используемые и не используемые вовсе.
Предпринималось много попыток четко определить термин «уязвимость» и разделить два его значения. MITRE, исследовательская группа, финансируемая федеральным правительством США, занимающаяся анализом и разрешением критических проблем с безопасностью, разработала следующие определения:
Согласно терминологии MITRE CVE:
[…] Уязвимость — это состояние вычислительной системы (или нескольких систем), которое позволяет:
- исполнять команды от имени другого пользователя;
- получать доступ к информации, закрытой от доступа для данного пользователя;
- показывать себя как иного пользователя или ресурс;
- производить атаку типа «отказ в обслуживании».
Предпринималось много попыток четко определить термин «уязвимость» и разделить два его значения.
В MITRE считают, что атака, производимая вследствие слабой или неверно настроенной политики безопасности, лучше описывается термином «открытость» (exposure).
Открытость — это состояние вычислительной системы (или нескольких систем), которое не является уязвимостью, но:
- позволяет атакующему производить сбор защищенной информации;
- позволяет атакующему скрывать свою деятельность;
- содержит возможности, которые работают корректно, но могут быть легко использованы в неблаговидных целях;
- является первичной точкой входа в систему, которую атакующий может использовать для получения доступа или информации.
Когда хакер пытается получить неавторизованный доступ к системе, он производит сбор информации (расследование) о своем объекте, собирает любые доступные данные и затем использует слабость политики безопасности («открытость») или какую-либо уязвимость. Существующие уязвимости и открытости являются точками, требующими особенно внимательной проверки при настройке системы безопасности против неавторизованного вторжения.
Выявление уязвимостей в ИТ-инфраструктуре организации
Незакрытые уязвимости для киберпреступников – настоящая находка. Воспользовавшись брешами в защите (например, из-за неустановленного вовремя патча), злоумышленник может проникнуть в ИТ инфраструктуру компании. Дальнейшие шаги могут быть самыми разными: иногда преступники атакуют сразу и, например, молниеносно похищают и выводят деньги со счета компании, а иногда – наоборот, предпочитают затаиться и потратить время на сбор конфиденциальных данных или подготовку к целевой атаке.
Примечательная особенность атак, направленных на эксплуатацию уязвимостей, — то, что зачастую они принимают по-настоящему глобальный характер. Такое происходит, например, когда злоумышленники используют уязвимости, затрагивающие миллионы пользователей — как в случае с уязвимостью SMB-протокола Microsoft, эксплуатация которой привела к печально известным атакам WannaCry и NotPetya 2017 года. И, хотя с тех пор прошло уже два года, по данным Solar JSOC, в одной только России эта уязвимость остается незакрытой на более чем 266 тысячах серверов (а в мире — на 1 665 050 серверах).
Для устранения уязвимостей их сначала нужно выявить – и тут есть несколько способов:
- Комплексный анализ защищенности
- Однократное инструментальное сканирование
- Выявление уязвимостей как сервис
У каждого из методов есть свои особенности и достоинства. Комплексный анализ защищенности дает наиболее полную информацию об актуальном состоянии безопасности инфраструктуры и помогает выявить максимум уязвимостей — но проводится однократно и не позволяет видеть ситуацию в динамике. Инструментальное сканирование — наиболее быстрый и недорогой способ обнаружения самых распространенных уязвимостей, который, впрочем, не дает полного охвата всей системы и как правило не включает верификацию вручную.
Выявление уязвимостей как сервис (оно же Vulnerability Management, Vulnerability Assessment и т. д.) — разумный компромисс между двумя другими способами. Такие решения предоставляются на платформах разных вендоров, самые крупные из которых — Qualys, Nessus и Nexpose (по данным Gartner). Сервисная модель позволяет сэкономить на оборудовании и персонале, одновременно обеспечивая высокую точность обнаружения уязвимостей и ошибок конфигураций и постоянный мониторинг защищенности компании.
Уязвимость® для согласования ключей Bluetooth
Исследователи безопасности идентифицировали уязвимость при согласовании ключей bluetooth® для центра CERT Coordination Center и отрасли поставщиков® Bluetooth.
Результаты новых исследований об уязвимости, которую по всей отрасли провели компьютерные специалисты в Университете Уиста, будут общедоступны на Symposium USENIX Security, который состоится с 14 по 16 августа 2019 года. Это исследование называется уязвимостью Bluetooth® Key Negotiation Vulnerability (Уязвимость для переговоров ключа Bluetooth® ИЛИ KNOB), и в этом исследовании приводится информация о отраслевой уязвимости, влияющих на согласование ключа шифрования bluetooth® Basic Rate/Enhanced Data Rate (BR/EDR). Эта уязвимость не влияет на bluetooth® Low Energy (BLE). Продукция Intel для поддержки Bluetooth BR/EDR входит в число тех, которые подвержены этой уязвимости во всей отрасли. Мы ожидаете, что меры по устранению этой уязвимости уже доступны (поставщиками ОС).
Будучи участником Bluetooth Special Interest Group, мы тесно сотрудничаем с SIG и другими ключевыми участниками SIG над разработкой таких проблем. Защита наших клиентов и помощь в обеспечении безопасности наших продуктов — это важнейший приоритет для Intel.
Затрагиваемая продукция:
- Intel® Wireless-AC (серия 3000, 7000, серия 8000, серия 9000)
- Продукция Intel® Wi-Fi 6 (AX200, AX201)
- Intel® Wireless Gigabit (серия 17000, 18000)
- Процессор Intel® Atom серии x3-C3200
Корпорация Intel рекомендует конечным пользователям и системным администраторам применять обновления по мере их работы и соблюдать в целом должные методы безопасности.
Q&a
Q1. В чем уязвимость?
Новая уязвимость была обнаружена во время процедуры согласования ключей® BLUETOOTH BR/EDR (Базовая скорость/повышенная скорость передачи данных). Злоумышленник, напавший на человека, расположенного поблизости (обычно в пределах 30 метров) или прямой видимости, может получить несанкционированный доступ через ближнюю сеть и перехватывать трафик для отправки поддельных сообщений о согласовании двух уязвимых устройств Bluetooth.
Во 2-м квартале. Каковы последствия взлома устройства с поддержкой Bluetooth из-за этой уязвимости?
Это может привести к раскрытию информации, повышению привилегий и/или отказу от обслуживания. Например, гарнитуры Или клавиатуры Bluetooth могут иметь данные, полученные или измененные.
В 3-м квартале. Может ли уязвимость быть использована, если только одно из подключенных устройств уязвимо?
Нет. Оба устройства должны быть уязвимы. Если одно (или оба) устройства (являются) не уязвимы, это не сойтет сбой атаки во время согласования ключа.
В 4-м квартале. Что корпорация Intel делает для устранения этой уязвимости® Bluetooth?
Это является проблемой отраслевых спецификаций. Intel сотрудничает с другими участниками Bluetooth Special Interest Group (SIG) для усиления спецификации Bluetooth Core.
В 5-м квартале. Каково ожидаемое решение этой уязвимости?
Технология Bluetooth SIG работает над обновлением спецификации BT для решения этой проблемы, и поставщики устройств с поддержкой ОС и Bluetooth уже работают над устранением проблем.
В 6-м квартале. Когда эти меры будут готовы?
Корпорация Intel не комментариев от имени третьих лиц. Обратитесь к вашей ОС или поставщику устройств. Корпорация Intel уже сделало решение для стека BlueZ общедоступным. BlueZ — это официальный стек протоколов Linux Bluetooth, который поддерживает основные уровни Bluetooth и протоколы. Поддержка BlueZ есть во многих дистрибутивах Linux, и она обычно совместима с любой системой Linux на рынке. Принятие меры по внедрению BlueZ в отдельных дистрибутивах Linux может отличаться.
Подробная информация:
Технология Intel® Bluetooth® security – рекомендация по размеру ключа шифрования
Анализ информации о® Intel® Developer’s Zone
Если вам требуется дополнительная помощь, обратитесь в службу поддержки Intel, нажав на ссылку ниже.
В Secret Net 7 исправлена критическая уязвимость
Компания «Код безопасности» объявляет о выпуске новой версии средства защиты информации Secret Net 7, где исправлена критическая уязвимость.
Ранее в продукте была обнаружена уязвимость, позволяющая пользователю повысить свои привилегии до административных путем запуска вредоносного программного обеспечения. Уязвимость зарегистрирована в банке данных угроз безопасности ФСТЭК под номером 2016-00436.
В связи с этим компания «Код Безопасности» выпустила обновление СЗИ Secret Net 7 (пакет обновления 6). В нем исправлены ошибки, позволяющие злоумышленникам эксплуатировать уязвимость, а также сделан ряд доработок, повысивших общий уровень защищенности продукта. Дистрибутив и порядок обновления доступны по ссылке.
Обновление обязательно к установке для всех пользователей СЗИ Secret Net 7. Его нужно устанавливать сразу после выпуска без ожидания окончания процедуры инспекционного контроля. В случае проведения обновления в аттестованной системе заказчику требуется направить письмо-уведомление в орган по аттестации. При этом переаттестации системы не требуется. Подробно порядок обновления СЗИ Secret Net 7 зафиксирован в обновленном разделе 6 Формуляра RU.88338853.501410.015 30.
При невозможности оперативного выполнения обновлений должны быть приняты технические меры, направленные на ограничение списка разрешенных к запуску приложений. Это необходимо для обеспечения запрета запуска вредоносного программного обеспечения. Ограничения на запуск реализуются с помощью механизма замкнутой программной среды, подробная инструкция по его настройке приведена по ссылке.
Специалистами «Кода безопасности» проведен анализ предыдущих редакций СЗИ Secret Net и обнаружено наличие аналогичной уязвимости в версиях Secret Net 6, Secret Net 6 (вариант К), Secret Net 5 и Secret Net 5.1.
В настоящее время «Код Безопасности» готовит обновления для продуктов Secret Net 6 и Secret Net 6 (вариант К). Выпуск исправленной версии запланирован на 15 апреля. До публикации обновления при эксплуатации Secret Net 6 должны быть приняты технические меры, направленные на ограничение списка разрешенных к запуску приложений для обеспечения запрета запуска вредоносного программного обеспечения.
СЗИ Secret Net 5 и Secret Net 5.1 были сняты с поддержки в соответствии с жизненным циклом продуктов и в связи с окончанием срока действия сертификатов соответствия. Обновление для данных версий Secret Net не выпускается. Заказчикам, эксплуатирующим Secret Net 5 и Secret Net 5.1, необходимо принять технические меры, направленные на ограничение списка разрешенных к запуску приложений, и запланировать обновление средства защиты до версии Secret Net 7 (пакет обновлений 6) в кратчайшие сроки.
В случае возникновения вопросов по настройке замкнутой программной среды и обновлению продуктов, а также для заказа новых ключей активации просьба обращаться в службу технической поддержки компании «Код безопасности».
УЯЗВИМОСТЬ — это… Что такое УЯЗВИМОСТЬ?
Уязвимость — параметр, характеризующий возможность нанесения описываемой системе повреждений любой природы теми или иными внешними средствами или факторами. Уязвимость неразрывно связанна с характеристикой «живучесть». См. также: Уязвимость (компьютерная… … Википедия
Уязвимость — слабое место в информационной системе, которое может привести к нарушению безопасности. Различают: человеческую уязвимость; и техническую уязвимость, возникающая в результате неисправности технологического компонента информационной системы. По… … Финансовый словарь
уязвимость — небезукоризненность, ранимость, небезупречность, чувствительность, слабость, незащищенность Словарь русских синонимов. уязвимость см. ранимость Словарь синонимов русского языка. Практический справочник. М.: Русский язык. З … Словарь синонимов
уязвимость — Внутренние свойства объекта, создающие восприимчивость к воздействию источника риска, которое может привести к какому либо последствию. [ГОСТ Р 53114 2008] уязвимость Слабое место, которое может быть использовано Угрозой. Например, открытый порт… … Справочник технического переводчика
уязвимость — УЯЗВИМЫЙ, ая, ое; им. Толковый словарь Ожегова. С.И. Ожегов, Н.Ю. Шведова. 1949 1992 … Толковый словарь Ожегова
УЯЗВИМОСТЬ — в терминологии ликвидации последствий различных бедствий степень потерь (от 0% до 100%) в результате потенциально разрушительного явления … Юридическая энциклопедия
уязвимость — 2.26 уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами. Источник … Словарь-справочник терминов нормативно-технической документации
Уязвимость — (англ. vulnerability уязвимость) – 1. ранимость, повышенная чувствительность даже к повседневным психотравмирующим ситуациям; 2. внутренние факторы, которые усиливают эффекты влияния рисков. Ф … Энциклопедический словарь по психологии и педагогике
Уязвимость — ж. отвлеч. сущ. по прил. уязвимый Толковый словарь Ефремовой. Т. Ф. Ефремова. 2000 … Современный толковый словарь русского языка Ефремовой
уязвимость — уязвимость, уязвимости, уязвимости, уязвимостей, уязвимости, уязвимостям, уязвимость, уязвимости, уязвимостью, уязвимостями, уязвимости, уязвимостях (Источник: «Полная акцентуированная парадигма по А. А. Зализняку») … Формы слов
Гигантские «дыры» в Linux вызывают крах системы и позволяют запускать любой код. Под угрозой Debian, Ubuntu, Red Hat
| ПоделитьсяВ ядре и системном менеджере (systemd) Linux найдены опасные уязвимости. Они позволяют вызвать крах системы и выполнить произвольный код. Одной из них скоро исполнится семь лет, а вторая отметила свое шестилетие.
«Дырявый» Linux
В Linux обнаружились две уязвимости, одна из которых затрагивает его ядро, а вторая – системный менеджер systemd. Их выявили специалисты по информационной безопасности компании Qualys.
Уязвимость, затрагивающая ядро Linux, получила идентификатор CVE-2021-33909. Если проэксплуатировать ее, то у пользователя появится возможность выполнить любой код с root-правами. Эксперты подчеркнули, проблема связана с неправильно обработкой длины имени файла.
Обнаружившие эту «дыру» специалисты Qualys смогли проэксплуатировать ее сразу в нескольких популярных дистрибутивах. Их затея увенчалась успехом в Debian 11, Fedora 34, Red Hat Enterprise Linux (RHEL) 6, 7 и 8. а также в Ubuntu версий 20.04, 20.10 и 21.04, то есть самых современных на момент публикации материала.
Linux еще очень далек от идеала по части безопасности
Эксперты отметили, что не проверяли работоспособность своих эксплойтов в других Linux-дистрибутивах. С их слов, они вполне могут заработать в любых других сборках Linux, так что группа риска не ограничивается лишь пользователями перечисленных ОС.
Уязвимость с историей
Специалисты Qualys приняли решение не публиковать полный код своих эксплойтов до тех пор, пока разработчики ядра и дистрибутивов не решат проблему с ней.
Пока что они выложили в свободный доступ прототип одного из своих эксплойтов. Запустить любой код с root-правами из-под учетки обычного пользователя при помощи него нельзя, а вот вызвать крах системы, наоборот, можно.
По утверждению представителей Qualys, данная проблема скоро отметит свое семилетие. Она присутствует в ядре Linux с 2014 г. Проэксплуатировать брешь можно даже в ядре версии 3.16, увидевшей свет в первых числах августа 2014 г.
Пример работы уязвимости
Эксперты Qualys подготовили патч, устраняющий данную брешь в ядре Linux. 19 июля 2021 г. они скоординировали его с сообществом разработчиков, после чего он был принят в состав ядра.
На момент публикации материалов устраняющий «дыру» апдейт выпустили лишь разработчики дистрибутивов Arch, Debian, Fedora, RHEL, SUSE и Ubuntu. Когда то же сделают авторы других сборок, неизвестно.
Искать новые уязвимости при помощи старых
В процессе создания и тестирования эксплойтов для CVE-2021-33909 экплойтов специалисты Qualys неожиданно обнаружили в Linux еще одну «дыру». Но на этот раз не в ядре. Уязвимость нашлась в системном менеджере systemd. Ее эксплуатация может вызвать переполнение памяти стека, что вызывает крах всей системы.
Грузовые дроны и воздушные такси: какой будет Москва будущего
Инновации и стартапыДанная брешь имеет идентификатор CVE-2021-33910, как и в случае CVE-2021-33909, существует далеко не первый год. Со слов специалистов, впервые она проявилась еще в systemd версии 220, вышедшей в апреле 2015 г. Примечательно, что в systemd версии 248 (март 2021 г.) проэксплуатировать эту уязвимость нельзя, но лишь по причине кривого кода менеджера. Другими словами, эксклойт не заработает из-за ошибки в коде, которую исправили в systemd 249 (июль 2021 г.).
В настоящее время systemd избавлен от CVE-2021-33910 в Arch, Debian, Fedora, RHEL, SUSE и Ubuntu.
Большой опыт в поиске многолетних уязвимостей
Компания Qualys была основана в 1999 г. За 22 года своего существования она многократно находила в Linux и других системах уязвимости, существовавшие годами.
Например, в начале 2013 г. ее эксперты выловили брешь, позволявшую исполнять любой нужный хакерам код на веб-серверах, почтовых серверах и других серверных системах. Они обнаружили ее в библиотеке GNU C (glibc), в которой содержатся стандартные функции, используемые программами, написанными на языках C и C++.
Рассказать миру об уязвимости, промаркированной как CVE-2015-0235, Qualys решила лишь в конце января 2015 г., то есть спустя два года с момента ее обнаружения. Разработчикам Qualys поведала о ней без промедления, однако далее через два года большинство версий Linux, используемых в сервером оборудовании, так и не были обновлены.
По утверждению специалистов Qualys, CVE-2015-0235 появилась в Linux еще в 2000 г., когда вышла библиотека glibc версии 2.2. В список «дырявых» дистрибутивов Linux вошли Debian 7, CentOS 6 и 7? RHEL 6 и 7, а также Ubuntu 12.04.
Уязвимости программ
Уязвимости программ — ошибки, допущенные программистами на этапе разработки программного обеспечения. Они позволяют злоумышленникам получить незаконный доступ к функциям программы или хранящимся в ней данным. Изъяны могут появиться на любом этапе жизненного цикла, от проектирования до выпуска готового продукта. В ряде случаев программисты нарочно оставляют лазейки для проведения отладки и настройки, которые также могут рассматриваться в качестве бекдоров или недекларированных возможностей.
В некоторых случаях возникновение уязвимостей обусловлено применением средств разработки различного происхождения, которые увеличивают риск появления в программном коде дефектов диверсионного типа.
Уязвимости появляются вследствие добавления в состав ПО сторонних компонентов или свободно распространяемого кода (open source). Чужой код часто используется «как есть» без тщательного анализа и тестирования на безопасность.
Не стоит исключать и наличие в команде программистов-инсайдеров, которые преднамеренно вносят в создаваемый продукт дополнительные недокументированные функции или элементы.
Классификация уязвимостей программ
Уязвимости возникают в результате ошибок, возникших на этапе проектирования или написания программного кода.
В зависимости от стадии появления этот вид угроз делится на уязвимости проектирования, реализации и конфигурации.
- Ошибки, допущенные при проектировании, сложнее всего обнаружить и устранить. Это — неточности алгоритмов, закладки, несогласованности в интерфейсе между разными модулями или в протоколах взаимодействия с аппаратной частью, внедрение неоптимальных технологий. Их устранение является весьма трудоемким процессом, в том числе потому, что они могут проявиться в неочевидных случаях — например, при превышении предусмотренного объема трафика или при подключении большого количества дополнительного оборудования, что усложняет обеспечение требуемого уровня безопасности и ведет к возникновению путей обхода межсетевого экрана.
- Уязвимости реализации появляются на этапе написания программы или внедрения в нее алгоритмов безопасности. Это — некорректная организация вычислительного процесса, синтаксические и логические дефекты. При этом имеется риск, что изъян приведет к переполнению буфера или появлению неполадок иного рода. Их обнаружение занимает много времени, а ликвидация подразумевает исправление определенных участков машинного кода.
- Ошибки конфигурации аппаратной части и ПО встречаются весьма часто. Распространенными их причинами являются недостаточно качественная разработка и отсутствие тестов на корректную работу дополнительных функций. К этой категории также можно относить слишком простые пароли и оставленные без изменений учетные записи по умолчанию.
Согласно статистике, особенно часто уязвимости обнаруживают в популярных и распространенных продуктах — настольных и мобильных операционных системах, браузерах.
Риски использования уязвимых программ
Программы, в которых находят наибольшее число уязвимостей, установлены практически на всех компьютерах. Со стороны киберпреступников имеется прямая заинтересованность в поиске подобных изъянов и написании эксплойтов для них.
Поскольку с момента обнаружения уязвимости до публикации исправления (патча) проходит довольно много времени, существует изрядное количество возможностей заразить компьютерные системы через бреши в безопасности программного кода. При этом пользователю достаточно только один раз открыть, например, вредоносный PDF-файл с эксплойтом, после чего злоумышленники получат доступ к данным.
Заражение в последнем случае происходит по следующему алгоритму:
Исследования, проводимые различными компаниями («Лаборатория Касперского», Positive Technologies), показывают, что уязвимости есть практически в любом приложении, включая антивирусы. Поэтому вероятность установить программный продукт, содержащий изъяны разной степени критичности, весьма высока.
Чтобы минимизировать количество брешей в ПО, необходимо использовать SDL (Security Development Lifecycle, безопасный жизненный цикл разработки). Технология SDL используется для снижения числа багов в приложениях на всех этапах их создания и поддержки. Так, при проектировании программного обеспечения специалисты по ИБ и программисты моделируют киберугрозы с целью поиска уязвимых мест. В ходе программирования в процесс включаются автоматические средства, сразу же сообщающие о потенциальных изъянах. Разработчики стремятся значительно ограничить функции, доступные непроверенным пользователям, что способствует уменьшению поверхности атаки.
Чтобы минимизировать влияние уязвимостей и ущерб от них, необходимо выполнять некоторые правила:
- Оперативно устанавливать выпускаемые разработчиками исправления (патчи) для приложений или (предпочтительно) включить автоматический режим обновления.
- По возможности не устанавливать сомнительные программы, чье качество и техническая поддержка вызывают вопросы.
- Использовать специальные сканеры уязвимостей или специализированные функции антивирусных продуктов, позволяющие выполнять поиск ошибок безопасности и при необходимости обновлять ПО.
Как уязвимость может улучшить нашу жизнь
Д-р Брене Браун — профессор-исследователь в Высшем колледже социальной работы Хьюстонского университета, а также автор бестселлера №1 по версии New York Times Дерзкая великая: как мужество быть уязвимым меняет наш образ жизни , Любовь, Родитель и Свинец . Журнал Fast Company включил Daring Greatly в десятку лучших бизнес-книг 2012 года.Последние двенадцать лет она посвятила изучению уязвимости, храбрости, достоинства и стыда. Ее новаторское исследование было показано на каналах PBS, NPR, CNN, The Katie Show и Super Soul Sunday Опры Уинфри.
Выступление Брене на TEDx в Хьюстоне в 2010 г. «Сила уязвимости» входит в десятку самых просматриваемых выступлений TED в мире. Она также является автором Дары несовершенства , Я думал, что это был только я и Связи . В этом интервью она рассказывает о том, как она смогла принять свою уязвимость, делится историей предпринимателя, который очень осмелился добиться успеха, и объясняет, как уязвимость действительно работает в нашем обществе, и многое другое.
Исходя из вашего опыта, что мешало осознать свою уязвимость? Когда вы поняли, что вам это нужно?
Уязвимость — это в основном неуверенность, риск и эмоциональное воздействие. Я вырос в семье и культуре (очень техасской, немецко-американской), в которой «делали» и «впитывали». Упорство и стойкость этого воспитания сослужили мне службу, но меня не учили, как справляться с неуверенностью или управлять эмоциональным риском. Я потратил много лет, пытаясь обогнать или перехитрить уязвимость, делая вещи определенными и определенными, черным и белым, хорошим и плохим.Моя неспособность опереться на дискомфорт уязвимости ограничивала полноту тех важных переживаний, которые связаны с неопределенностью: любовь, принадлежность, доверие, радость и творчество, и это лишь некоторые из них. Научиться быть уязвимым было для меня уличной борьбой, но оно того стоило.
Примеров успешных предпринимателей очень много. Можете ли вы привести пример человека, который очень смел и в результате добился большого успеха?
Конечно, одна из моих любимых историй — о Мышкине Ингавале, который, узнав о невероятном и ненужном уровне материнской детской смертности в сельских районах Индии, решил что-то с этим сделать.Он хотел разработать технологию, которая была бы эффективной и действенной при тестировании на анемию у беременных женщин.
Он был стипендиатом TED, и когда я услышал его выступление в 2012 году, он сказал: «Я хотел решить эту проблему, поэтому я изобрел что-то, что могло бы это сделать». Зрители взорвались аплодисментами. Затем он сказал: «Но это не сработало». Вы могли почувствовать разочарование в комнате. Затем он улыбнулся и сказал: «Итак, я сделал это еще 32 раза, и все они потерпели неудачу».
Но, наконец, улыбка скользнула по его лицу, и он сказал: «33-й раз сработал, и теперь смертность снизилась на 50%.”
In Daring Greatly Я также рассказываю историю Гэя Гэддиса, владельца и основателя T3 (Think Tank) в Остине, штат Техас. Гей заработал в IRA в шестнадцать тысяч долларов с мечтой о создании рекламного агентства. Спустя двадцать три года после открытия с несколькими региональными аккаунтами, Гей превратил T3 в крупнейшее рекламное агентство страны, полностью принадлежащее женщине. Когда я спросил ее об уязвимости, она ответила: «Когда вы закрываете уязвимость, вы закрываете возможность». В конце нашего интервью она сказала мне, что главное в предпринимательстве — уязвимость.Каждый день.
Как вы думаете, поддерживает ли общество людей, которых считают более уязвимыми? Можем ли мы показаться слабыми, если покажем недостатки?
Трудность в том, что уязвимость — это первое, что я ищу в вас, и последнее, что я хочу вам показать. В тебе мужество и отвага. Во мне это слабость.
Вот где в игру вступает стыд. Уязвимость заключается в том, чтобы проявить себя и быть замеченным. Трудно делать это, когда мы боимся того, что люди могут увидеть или подумать.Когда мы питаемся страхом перед тем, что думают другие люди, или тем гремлином, который постоянно шепчет нам на ухо «Ты недостаточно хорош», нам трудно появиться. В конечном итоге мы стремимся к нашему достоинству, а не стоим в нем.
Когда мы привязываем нашу самооценку к тому, что мы производим или зарабатываем, быть настоящими становится рискованно.
Хорошая новость в том, что я думаю, что люди устали от суеты — они устали от этого и устали смотреть. Мы жаждем людей, у которых хватит смелости сказать: «Мне нужна помощь», «Я виновен в этой ошибке» или «Я больше не хочу определять успех просто по титулу или доходу.”
Люди больше общаются с теми, у кого есть слабые стороны. У каждого супергероя есть слабые места (например, у Супермена есть криптонит). Что делает этих людей более привлекательными? Если бы они были идеальными, разве мы бы так сильно о них заботились?
Большинство из нас не верят в совершенство, и это хороший инстинкт.
Согласно исследованию, существует значительная разница между перфекционизмом и здоровым стремлением или стремлением к совершенству. Перфекционизм — это вера в то, что если мы делаем что-то безупречно и выглядим безупречно, мы можем минимизировать или избежать боли вины, осуждения и стыда.Перфекционизм — это двадцатитонный щит, который мы таскаем с собой, думая, что он защитит нас, хотя на самом деле это то, что действительно мешает нам быть замеченными.
Перфекционизм очень отличается от самосовершенствования. По своей сути перфекционизм — это попытка заслужить одобрение. Большинство перфекционистов росли, когда их хвалили за достижения и успеваемость (оценки, манеры, следование правилам, приятность людей, внешний вид, спорт). Где-то по пути они приняли эту опасную и изнурительную систему убеждений: «Я — это то, чего я добиваюсь, и насколько хорошо я это делаю.Пожалуйста. Выполнять. Идеальный.» Здоровое стремление сосредоточено на себе: как я могу стать лучше? Перфекционизм ориентирован на других: что они подумают? Перфекционизм — это суета.
Наконец, перфекционизм — не ключ к успеху. Фактически, исследования показывают, что перфекционизм мешает достижению. Перфекционизм связан с депрессией, тревогой, зависимостью и жизненным параличом или упущенными возможностями. Страх потерпеть неудачу, совершить ошибку, не оправдать ожиданий людей и подвергнуться критике удерживает нас за пределами арены, где разворачиваются здоровая конкуренция и стремление.
Наконец, перфекционизм — это не способ избежать стыда. Перфекционизм — это форма стыда. Там, где мы боремся с перфекционизмом, мы боремся со стыдом.
Каковы первые три шага к большой смелости?
Я не большой поклонник шагов и подсказок, потому что они никогда не бывают линейными (и редко бывают такими простыми, как предполагают шаги). Я думаю, что большая смелость — это появиться и быть увиденным. Речь идет об осознании нашей уязвимости и понимании ее как колыбели мужества и других смысловых переживаний в нашей жизни.
Фраза «Великое дерзновение» взята из речи Теодора Рузвельта «Гражданство в республике». Речь, которую иногда называют «Человек на арене», была произнесена в Сорбонне в Париже, Франция, 23 апреля 1910 года. Это отрывок, который прославил речь:
Важен не критик; не тот, кто указывает, как сильный человек спотыкается или где делатель мог бы сделать это лучше.
Заслуга принадлежит человеку, который действительно находится на арене, чье лицо испачкано пылью, потом и кровью; кто доблестно стремится.. . кто в лучшем случае знает торжество высоких достижений и кто в худшем случае, если он потерпит неудачу, по крайней мере, потерпит неудачу, сильно отважившись.
Когда я впервые прочитал эту цитату, я подумал: «Это уязвимость. Все, что я узнал из более чем десятилетних исследований уязвимости, преподало мне этот точный урок. Уязвимость — это незнание победы или поражения, это понимание необходимости того и другого; это увлекательно. Все идет.
Думаю, первое, что нам нужно сделать, это выяснить, что удерживает нас подальше от арены.Что за страх? Где и почему мы хотим быть смелее? Затем нам нужно выяснить, как мы в настоящее время защищаем себя от уязвимости. Какая у нас броня? Перфекционизм? Интеллектуализация? Цинизм? Онемение? Контроль? Вот с чего я начал. Идти на эту арену непросто, но именно здесь мы оживаем.
Дэн Шавель — автор будущей книги «Продвигай себя: новые правила карьерного успеха» (St. Martin’s Press, 3 сентября).
Ключ к лучшим отношениям
Итак, опять же, многие люди прочитают это, но все равно не поймут, что на самом деле представляет собой уязвимость.Как правило, замешательство проявляется в одной из двух форм: 1) использование уязвимости в качестве еще одной «тактики», чтобы заставить людей нравиться вам / находить вас привлекательным / спать с вами / давать вам деньги / и т. Д., Или 2) использовать эмоциональную рвоту в качестве способ быть уязвимым.
Давайте разберемся с каждым из них.
Уязвимость не является «тактикой»
Очень распространенная проблема, с которой сталкиваются люди, заключается в том, что они рассматривают уязвимость как еще одну тактику, которую они могут «использовать» в отношении других людей, чтобы заставить их взглянуть на них определенным образом.
Они думают: «О, хорошо, Марк говорит, что мне просто нужно рассказать кому-нибудь то, что я обычно не говорю людям, и тогда я им понравлюсь / поднимите мне зарплату / захотите переспать со мной / у меня будут дети / так далее.»
Неправильно.
Если вы рассказываете кому-то о том, что вы чувствовали, когда умерла ваша собака, или о своих натянутых отношениях с отцом, или о том, как вы действительно сблизились со своим другом, когда вместе путешествовали по горам Перу… но вы делаете все это просто чтобы заставить их полюбить вас больше — ну, это не уязвимость.Это манипуляция.
Проблема в том, что это не подлинный , и поэтому он не уязвим. Вы не только продолжаете вести себя фальшиво и недостоверно, но и тратите свои самые заветные жизненные воспоминания, чтобы попытаться понравиться кому-то или даже переспать с вами.
Поздравления. Вы официально в отчаянии.
Подлинная уязвимость — это не , что вы делаете , это все о , почему вы это делаете. Это намерение, стоящее за вашим поведением, делает его по-настоящему уязвимым (или нет).
Вы шутите, потому что думаете, что это смешно (это уязвимость), или потому, что вы хотите, чтобы другие люди смеялись и думали, что вы смешной (это что-то напрасное)?
Вы рассказываете кому-то, что вас привлекает, о своих ботанических увлечениях, чтобы просто поделиться с ними собой (это уязвимо), или вы делаете это, чтобы показать им свою «чувствительную сторону» (это манипуляция)?
Вы начинаете свой бизнес, потому что вам надоела повседневная работа и вы нашли то, что действительно хотите попробовать (это уязвимо), или потому что вы читаете книгу, в которой говорится, что единственный способ добиться успеха — это владеть бизнес, и ты хочешь произвести впечатление на людей (это чертовски грустно, чувак)?
Цель реальной уязвимости не в том, чтобы выглядеть на более уязвимыми, а в том, чтобы выразить себя как можно более искренне.
Эмоциональная рвота и уязвимость
Другая проблема, с которой сталкиваются люди, — это использование эмоциональной рвоты как способ быть уязвимым.
Эмоциональная рвота — это когда вы внезапно выгружаете неуместное количество эмоций и личную историю в разговор, обычно к полному ужасу слушающего.
Эмоциональная рвота сложна, потому что, с одной стороны, она действительно уязвима, но с другой стороны, она отвратительна и непривлекательна. По сути, вы открыто и искренне говорите о том, насколько вы нуждаетесь и жалки.И скрытая или очевидная нужда никогда не бывает привлекательной.
Так что я получаю много писем, в которых говорится: «Я был уязвим, я все время говорил о том, как сильно я люблю своего бывшего, и это их отключало. Что дает?»
Трудность с эмоциональной рвотой заключается в том, что если вы испытываете сильную потребность, она должна каким-то образом выйти наружу, чтобы вы когда-либо с ней справились. Это то, что я называю периодом боли.
Меня несколько раз вырвало из-за бывшего, которого у меня было несколько раз, нескольким разным людям, и в большинстве случаев это было встречено с жалостью, а в случае с женщинами — полностью их оттолкнуло.
Ошибка, которую люди совершают с эмоциональной рвотой, заключается в том, что они ожидают, что простой акт извержения ее внезапно решит их проблемы. Но суть эмоциональной рвоты заключается в том, чтобы вы знали о своих проблемах, , чтобы вы могли их исправить .
Когда я продолжал говорить о том, какой лживой глупой шлюхой была моя бывшая, весь этот гнев не избавил меня от нужды. То, что он сделал, заставило меня увидеть, насколько я сердитым и отвратительным я стал, даже не подозревая об этом.
Когда мы изолированы в мягких стенах нашего разума, легко поверить, что мы оправданы во всем, что мы думаем или чувствуем.Когда мы выявляем эти мысли и чувства на свет, мы понимаем, насколько далеко отошли от правильного пути, и это позволяет нам адаптироваться в будущем.
И вот что я заметил. Я заметил, что, несмотря на то, насколько я зол, я определенно не был так «из-за нее», как думал. Примерно в это же время я попал на терапию, которая помогла мне понять, что мой гнев на бывшего стал еще глубже и также был связан с проблемами в моей семье.
В конце концов, после дополнительных размышлений и немного успокоившись, я смогла понять, что на самом деле я возлагала на своего бывшего слишком много ожиданий, и я тоже не был таким хорошим парнем.Это эффективно решило для меня большую часть проблемы, большую часть гнева на нее и на женщин в целом. Но попасть туда было тяжело и болезненно.
Эмоциональная рвота дала мне осознание необходимости исцеления, но это не было исцелением само по себе. В конце концов, вы должны нести ответственность за свои мысли и чувства и проработать их. Если нет, то вы просто продолжите злиться и расстраиваться, отталкивая всех, с кем встречаетесь.
Почему уязвимость — это сильная сторона
Заблуждения об уязвимости
Что вы думаете об уязвимости вначале? Многие из нас могут ассоциировать уязвимость с чувством страха, неуверенности или стыда.Возможно, нас учили не позволять себе казаться уязвимыми (особенно мужчин в нашем обществе). С уязвимостью приходит вероятность отказа или неудачи, что может быть пугающим. Из-за этого мы можем стараться максимально избегать уязвимости. Хотя уязвимость часто считается признаком слабости, на самом деле это очень важная часть человеческого опыта.
«Уязвимость — это ядро, сердце, центр значимого человеческого опыта».
Браун Брене
Преимущества уязвимости
Несмотря на то, что это может быть неудобно, Брене объясняет, что уязвимость также является местом рождения радости, творчества, искренности и любви.Обладая уязвимостью, мы можем ослабить охрану и увидеть, кто мы есть на самом деле. Правда об уязвимости заключается в том, что это не слабость; это сила. Вот лишь некоторые из многих преимуществ использования уязвимости:
- Уязвимость позволяет нам быть самими собой, вместо того, чтобы пытаться угодить другим.
- Уязвимость порождает сочувствие. Мы можем разрушить наши стены, легче понимать и разделять чувства и поощрять других делать то же самое. В свою очередь, мы становимся более понимающими, готовыми прощать других и дарить любовь другим.
- Уязвимость помогает нам легче справляться со своими эмоциями (а не отталкивать их). Уязвимость способствует хорошему эмоциональному и психическому здоровью.
- Уязвимость также является признаком мужества. Мы становимся более стойкими и храбрыми, когда принимаем то, кем мы являемся на самом деле и что чувствуем.
- Наконец, уязвимость может помочь нам укрепить связи и отношения с другими. Это помогает нам найти людей, которые примут нас такими, какие мы есть на самом деле.
Уязвимость — неизбежная часть жизни.Вместо того, чтобы бороться с ним, мы можем принять его, зная, что в конечном итоге это сделает нашу жизнь более насыщенной. Подумай об этом. Сказать, что я люблю тебя кому-то, уязвимо. Пробовать что-то новое уязвимо и нервно. Рассказывать о трудном опыте или борьбе, которые у вас были с кем-то, также уязвимо и страшно. Хотя изначально мы можем захотеть избежать всех этих вещей, на самом деле они могут быть чрезвычайно полезными. В конце концов, приветствуя уязвимость, мы сможем жить по-настоящему полноценной жизнью.
Другие полезные статьи
Синонимов уязвимостей, Антонимы уязвимостей | Тезаурус Мерриам-Вебстера
1 качество или состояние слабого сопротивления какому-либо внешнему агенту- уязвимость к заражению
- Уязвимость автомобиля к вандализму, когда он припаркован на улице
уязвимость — Глоссарий | CSRC
Слабость в информационной системе, процедурах безопасности системы, внутреннем контроле или реализации, которая может быть использована или инициирована источником угрозы.
Источник (и):
FIPS 200
под УЯЗВИМОСТЬЮ
из
CNSSI 4009 — Адаптированный
NIST SP 800-128
под уязвимостью
из
CNSSI 4009 — Адаптированный
NIST SP 800-137
под уязвимостью
из
CNSSI 4009
NIST SP 800-161
под уязвимостью
из
NIST SP 800-53 Ред.4, NIST SP 800-53A Ред. 4, FIPS 200
NIST SP 800-18 Ред. 1
под уязвимостью
из
CNSSI 4009 — Адаптировано
NIST SP 800-37 Rev.1
под уязвимостью
из
CNSSI 4009
NIST SP 800-53 Ред. 4
под уязвимостью
из
CNSSI 4009
NIST SP 800-53A Rev.4
под уязвимостью
из
CNSSI 4009
NIST SP 800-60 Vol. 1 Ред. 1
под уязвимостью
из
CNSSI 4009 — Адаптированный
NIST SP 800-60 Vol.2 Ред. 1
под уязвимостью
из
CNSSI 4009 — Адаптированный
NIST SP 800-82 Ред. 2
под уязвимостью
из
NIST SP 800-53
NIST SP 1800-25B
под уязвимостью
из
FIPS 200, CNSSI 4009-2015 — Адаптировано
NIST SP 1800-26B
под уязвимостью
из
FIPS 200, CNSSI 4009-2015 — Адаптировано
NIST SP 1800-27B
под уязвимостью
из
FIPS 200
NIST SP 1800-15B
под уязвимостью
из
NIST SP 800-37 Ред.2
NIST SP 1800-15C
под уязвимостью
из
NIST SP 800-37 Ред. 2
NIST SP 800-53 Ред. 5
из
NIST SP 800-30 Rev.1
NISTIR 7621 Ред. 1
под уязвимостью
из
NIST SP 800-53 Ред. 4
NISTIR 7622
под уязвимостью
из
FIPS 200, NIST SP 800-115, NIST SP 800-37, NIST SP 800-53, NIST SP 800-53A, NIST SP 800-60
Слабость в системе, процедурах безопасности системы, внутреннем контроле или реализации, которая может быть использована или вызвана угрозой.
Источник (и):
NIST SP 1800-17b
под уязвимостью
NIST SP 800-160 Vol. 1
из
CNSSI 4009 — Адаптировано
Слабость в информационной системе, процедурах безопасности системы, внутреннем контроле или реализации, которая может быть использована источником угрозы.
Источник (и):
CNSSI 4009-2015
из
NIST SP 800-30 Ред. 1
NIST SP 800-12 Ред. 1
под уязвимостью
из
NIST SP 800-30 Rev.1
NIST SP 800-30 Ред. 1
под уязвимостью
из
CNSSI 4009
NIST SP 800-39
под уязвимостью
из
CNSSI 4009
NIST SP 1800-21B
под уязвимостью
из
NIST SP 800-30 Rev.1
NISTIR 8011 Vol. 4
из
CNSSI 4009-2015
Слабость в информационной системе, процедурах безопасности системы, внутреннем контроле или реализации, которая может быть использована или инициирована источником угрозы.Примечание. Термин «слабость» является синонимом недостатка. Слабость может привести к рискам безопасности и / или конфиденциальности.
Источник (и):
НИСТ СП 800-128
из
CNSSI 4009-2015 — Адаптировано
Слабость в информационной системе или процедурах безопасности системы, внутреннем контроле или реализации, которая может быть использована или инициирована источником угрозы.
Источник (и):
НИСТ СП 800-115
под уязвимостью
: недостаток или слабое место, которое может привести к нанесению вреда ИТ-системе или деятельности.
Источник (и):
NIST SP 800-16
под уязвимостью
Недостаток или слабое место в компьютерной системе, ее процедурах безопасности, внутреннего контроля или конструкции и реализации, которые могут быть использованы для нарушения политики безопасности системы.
Источник (и):
NIST SP 800-28 Версия 2
под уязвимостью
Слабость в процедурах безопасности системы, разработке, внедрении, внутреннем контроле и т. Д., Которая может быть случайно запущена или намеренно использована и привести к нарушению политики безопасности системы.
Источник (и):
НИСТ СП 800-33
[Снято]
Нарушение безопасности в операционной системе или другом системном программном обеспечении или компоненте прикладного программного обеспечения. Различные организации поддерживают общедоступные базы данных уязвимостей на основе номеров версий программного обеспечения.Каждая уязвимость может потенциально поставить под угрозу систему или сеть в случае использования.
Источник (и):
NIST SP 800-44 Версия 2
под уязвимостью
NIST SP 800-45 Версия 2
под уязвимостью
Недостаток или слабость в процедурах безопасности системы, разработке, реализации или внутреннем контроле, которые могут быть применены (случайно запущены или намеренно использованы) и привести к нарушению безопасности или политике безопасности системы.
Источник (и):
НИСТ СП 800-47
под уязвимостью
Уязвимость в системе, приложении или сети, которая может быть использована или неправильно использована.
Источник (и):
NIST SP 800-61 Ред.2
под уязвимостью
Слабое место в системе безопасности компьютера.
Источник (и):
НИСТ СП 800-69
[Снято]
под уязвимостью
Слабость в информационной системе, процедурах безопасности системы, внутреннем контроле или реализации, которая может быть использована или инициирована источником угрозы.Примечание: термин «слабость» является синонимом неполноты. Слабость может привести к рискам безопасности и / или конфиденциальности.
Источник (и):
NIST SP 800-37 Ред. 2
Слабость в процедурах безопасности системы, разработке, внедрении системы, внутреннем контроле и т. Д., которые могут быть использованы для нарушения политики безопасности системы.
Источник (и):
НИСТИР 4734
под уязвимостью
ошибка, недостаток, слабое место или раскрытие приложения, системы, устройства или службы, которые могут привести к нарушению конфиденциальности, целостности или доступности
Источник (и):
NISTIR 7435
под уязвимостью
Ошибка, недостаток или ошибка в компьютерном программном обеспечении, которая допускает или вызывает непредвиденное поведение.CVE — это распространенное средство для подсчета уязвимостей.
Источник (и):
NISTIR 7511 Ред. 4
под уязвимостью
Слабость в процедурах безопасности системы, аппаратном обеспечении, дизайне, реализации, внутреннем контроле, техническом контроле, физическом контроле или другом контроле, который может быть случайно запущен или намеренно использован и привести к нарушению политики безопасности системы.
Источник (и):
НИСТИР 7316
под уязвимостью
Состояние, при котором может произойти событие угрозы.
Источник (и):
NISTIR 8286
под уязвимостью
Слабость в информационной системе, процедурах безопасности системы, внутреннем контроле или реализации, которая может быть использована или инициирована источником угрозы.
Источник (и):
НИСТИР 8323
под уязвимостью
из
NIST SP 800-30 Ред. 1
Уязвимость в системе безопасности компьютера.
Источник (и):
НИСТ СП 800-114
[Заменено]
под уязвимостью
Слабость в требованиях к безопасности системы, конструкции, реализации или эксплуатации, которая может быть случайно вызвана или намеренно использована и привести к нарушению политики безопасности системы.
Источник (и):
NIST SP 800-27 Ред. A
[Снято]
Спорный инструмент вызывает тысячи веб-сайтов, которые можно взломать.
Касерес открыто признает, что злоумышленники могут использовать PunkSpider для идентификации веб-сайтов для взлома.Но он утверждает, что сканеры, обнаруживающие уязвимости в Интернете, существовали всегда. Этот просто делает результаты общедоступными. «Вы знаете, что ваши клиенты видят это, ваши инвесторы видят это, поэтому вы собираетесь исправить это дерьмо быстро», — говорит Касерес.
Take Two
Выступление Касереса и Хоппера в Defcon знаменует собой второе воплощение PunkSpider. Идея этого инструмента родилась десять лет назад, летом 2011 года, когда хакерский коллектив Anonymous и его отколовшаяся группа LulzSec были в разгаре кражи данных и неистовства, большая часть которых стала возможной из-за простых веб-уязвимостей.(«Почему SQL-инъекции повсюду?» — гласил припев одной хип-хоп-песни LulzSec.)
Касерес в то время заметил, что даже относительно неискушенные хакеры, казалось, не испытывали проблем с обнаружением преобладающего количества веб-ошибок. Он начал задаваться вопросом, может ли единственным решением было выявить каждую веб-уязвимость с помощью массовой чистки. Поэтому в 2012 году он начал создавать PunkSpider именно для этого; он представил его на хакерской конференции Shmoocon в начале 2013 года. Его небольшая научно-исследовательская фирма в области безопасности Hyperion Gray также получила финансирование от Darpa.
Однако с самого начала проект столкнулся с трудностями. Аудитория Shmoocon задалась вопросом, разрешал ли Касерес хакерские атаки в виде черной шляпы — и при этом нарушал Закон о компьютерном мошенничестве и злоупотреблениях. Вскоре Amazon неоднократно загружал его из учетных записей Amazon Web Services, которые он использовал для работы поисковой системы, после получения сообщений о злоупотреблениях от разгневанных веб-администраторов. Он был вынужден постоянно создавать новые учетные записи горелки, чтобы поддерживать ее работоспособность.
К 2015 году Касерес сканировал Интернет на наличие новых уязвимостей только примерно раз в год.Он изо всех сил пытался сохранить PunkSpider в сети и покрыть его расходы. Вскоре после этого он отказался от проекта.
Однако в начале этого года Hyperion Gray был приобретен QOMPLX, и более крупный стартап согласился возродить новую и улучшенную версию его поисковой системы для взлома Интернета. Теперь Касерес и Хоппер говорят, что сканирование их обновленного инструмента обеспечивается облачным кластером из сотен машин, способным сканировать сотни миллионов сайтов в день, обновляя свои результаты для всей сети на непрерывной основе или сканируя целевые URL-адреса на запрос пользователя.Ежегодное сканирование всей сети старым PunkSpider занимало около недели.
Касерес отказался назвать своего нынешнего хостинг-провайдера, но говорит, что достиг договоренности с компанией относительно мотивов PunkSpider, которые, как он надеется, предотвратят повторную блокировку его учетных записей. Он также, хотя и неохотно, добавил функцию, которая позволяет веб-администраторам обнаруживать зондирование PunkSpider на основе пользовательского агента, который помогает идентифицировать посетителей веб-сайта, и включил адрес электронной почты и функцию отказа, которая позволяет веб-сайтам удалять себя из инструмента. поиски.«Честно говоря, мне это не нравится, — говорит Касерес. «Мне не нравится идея, что люди могут отказаться от мер безопасности и зарыться в песок. Но это вопрос устойчивости и баланса».
PunkSpider’s Web
Реинкарнированная версия PunkSpider уже выявила реальные недостатки на основных веб-сайтах. Касерес показал WIRED-скриншоты, демонстрирующие уязвимости межсайтового скриптинга как на Kickstarter.com, так и на LendingTree.com. В случае LendingTree Касерес говорит, что уязвимость может быть использована для создания ссылок, которые, если пользователи могут быть обмануты, нажимая на них, размещают вредоносное ПО на сайте или отображают фишинговые подсказки на собственном сайте LendingTree.По словам Касереса, ошибка Kickstarter позволит хакерам создать ссылку, которая, если жертва нажмет на нее, может аналогичным образом отображать фишинговые подсказки или автоматически производить платеж со своей кредитной карты на проект Kickstarter.
«LendingTree использует несколько уровней контроля для защиты нашего сайта, а также конфиденциальности и целостности данных потребителей», — говорится в заявлении компании. «Сюда входят брандмауэры веб-приложений, тестирование на проникновение извне и статическая / динамическая проверка кода для выявления и устранения уязвимостей.Кроме того, мы серьезно относимся к любым обнаруженным уязвимостям безопасности и оперативно расследуем и устраняем любые обнаруженные проблемы ». KickStarter написал в электронном письме WIRED, что «активно устраняет» свои недостатки в Интернете.
Исследователи выделяют уязвимости TPM ноутбука с Windows
Источник: Даниэль Рубино / Windows Central
Если вас смущают требования доверенного платформенного модуля (TPM) Windows 11 и их значение, вы не одиноки. Многие люди не понимали и до сих пор не понимают, что такое технология TPM.
Прежде чем мы углубимся в новости о том, что исследователи достигли с помощью эксплойтов TPM в ноутбуках с Windows, вот официальное определение TPM от Microsoft:
«Технология доверенного платформенного модуля (TPM) предназначена для обеспечения аппаратных функций, связанных с безопасностью. Микросхема TPM — это защищенный криптопроцессор, предназначенный для выполнения криптографических операций. Чип включает в себя несколько механизмов физической безопасности, чтобы сделать это защищен от несанкционированного доступа, а вредоносное программное обеспечение не может вмешиваться в функции безопасности TPM.»
VPN-предложения: пожизненная лицензия за 16 долларов, ежемесячные планы за 1 доллар и более
Звучит интенсивно, правда? Что ж, вот проблема, о которой Dolos Group сообщила в своей попытке использовать уязвимости, обнаруженные в ноутбуке с Windows: «На момент написания этой статьи BitLocker не использует никаких зашифрованных коммуникационных функций стандарта TPM 2.0, что означает выход любых данных. TPM выходит в виде открытого текста, включая ключ дешифрования для Windows. Если мы сможем получить этот ключ, мы сможем расшифровать диск, получить доступ к конфигурации клиента VPN и, возможно, получить доступ к внутренней сети.«
Dolos Group сравнивает это с нацеливанием на машину, выезжающую из Форт-Нокса, а не на сам форт. Используя этот эксплойт в сочетании с другими эксплойтами, исследователи смогли взять «украденный» корпоративный ноутбук и эффективно проникнуть в связанную с ним корпоративную сеть, оставив данные незащищенными и уязвимыми.
Это исследование представляет собой исключительно техническое прочтение, подходящее для тех, кто хочет напрячь свои умственные способности и немного узнать об уязвимостях Windows. Имея это в виду, повышенные требования Windows к TPM могут спрогнозировать более безопасное будущее для BitLocker, когда методы компрометации, такие как применяемые Dolos Group, больше невозможны.
Мы можем получать комиссию за покупки, используя наши ссылки. Выучить больше.
Помогите оживить игруHalo Infinite beta: все, что мы знаем
Halo Infinite — тестовый полет в ближайшем будущем. Вот как зарегистрироваться в программе Halo Insider и получить доступ к бета-версии, чтобы помочь 343 Industries протестировать игру.
Конец линииСрок службы Forza Motorsport 7 официально истекает 15 сентября.
Forza Motorsport 7 — одна из лучших гоночных игр, но ее время на цифровых витринах подходит к концу.Если вы хотите сыграть в Forza Motorsport 7, не забудьте приобрести игру в распродаже до 15 сентября 2021 года, когда закончится ее жизненный цикл.
.