Názor k článku Postřehy z bezpečnosti: je tu říjen – měsíc kybernetické bezpečnosti od Filip Jirsák - Realita je takova, ze zranitelnosti muzou byt a...

Realita je takova, ze zranitelnosti muzou byt a byvaji zneuzivany i s velkym casovym odstupem.
Tvrdil tu snad někdo opak? A není divné hlavně hlášení bezpečnostní chyby s velkým časovým odstupem?

Prave temi kecy stylem "to je nesmysl, to prakticky zneuzit nejde... nemusime to resit".
On tu někdo něco takového psal? Aha, nepsal, to si jen Danny vymýšlí, jak je jeho zvykem.

A bagatelizatori Vaseho formatu tomu akorat napomahaji.
Ne, nezáplatování chyb napomáhají bagatelizátoři jako vy. Pokud má každý prd závažnost 9,8, tak někdo systémy pracně zazáplatuje třikrát, pětkrát, desetkrát, a když zjistí, že devět z těch deseti případů nebylo v jeho případě vůbec zneužitelné a desátý by znamenal DoS, ale ne žádný únik dat nebo manipulaci s daty, tak se na jedenáctou 9,8 vykašle. A možná to zrovna bude ta opravdová.

Pokud má systém pro hodnocení závažnosti bezpečnostních chyb fungovat, pak musí dávat alespoň trochu relevantní informace. A ne že se tváří, že umí rozlišit 100 stupňů závažnosti, a přitom naprosto stejným stupněm závažnosti aktivně zneužívané RCE, které může provést kdokoli, a na druhé straně chybu, kterou může zneužít jen administrátor systému a nemá dopad mimo ten systém (nebo-li administrátor může toho samého výsledku docílit i bez zneužití té chyby).

A ze neco neni aktivne zneuzivane hned fakt neimplikuje, ze to nekdo nevystracha treba za rok ci dva.
Tím jste narazil na zajímavou věc, která vám bohužel nedošla – že aktuální riziko zneužití nemůže být vyjádřeno jako jedno číslo konstantní v čase. Protože k aktivně zneužívané zranitelnosti se bude přistupovat jinak, než ke zranitelnosti, u které není znám ani PoC. To první budete záplatovat hned i za cenu nějakých škod, u toho druhého můžete naplánovat řádnou odstávku tak, aby se to obešlo beze škod.

Bezpecnost place v koute predevsim proto, ze vy - programatori - moc nepremyslite nad bezpecnosti a hlavne chrlite kod na kvantitu a nikoliv kvalitu, a obcas i obhajujete naprosto nesmyslne pseudooptimalizace. A hlavne, cim vic commitu, tim lip... :P A kdyz je neco odladene a funguje to, tak to s chuti rozvrtate a samozrejme chvili trva, nez ten nove vyprodukovany bordel nekdo poradne zaudituje...
Když jste psal minule, jak jsou sysdmini bezchybní a chyby dělají jen programátoři, bral jsem to, že to byla dočasná ztráta soudnosti v zápalu trolení. Ale vy to evidentně myslíte vážně. Až tak vážně, že při tom vůbec nepoužíváte tu kouli, co máte an krku.

Takže zlatíčko, mám tu pro vás jednu obrovskou novinku. Víte, kdo konfiguruje parametry jádra při startu? A kdo konfiguruje spouštění systému a služeb (bývalé init skripty)? Jsou to administrátoři. To je ale překvapení, že? Takže kdo by musel udělat chybu v konfiguraci, která by znamenala, že se do jádra natáhne nějaký nepodepsaný modul? Ano, tu chybu by musel udělat neomylný admin.

Dal jsem vám několikrát šanci ukázat, že umíte diskutovat rozumně. Ale vy vždycky nakonec skončíte u trolení, kdy už vám je úplně jedno, že plácáte jeden nesmysl za druhým a při snaze okopávat ostatní kopete akorát sám sebe. Takže je čas udělat pá pá.