Заратустра (zrtstr) писал (а) в ответ на сообщение:
> Ну это все равно небольшой процент от массового пользователя. quoted1
Небольшой, однако этих нескольких миллионов более чем достаточно, чтобы увидеть закладки в открытых исходниках. В случае с Windows выявить закладки значительно сложнее, так как исходные коды недоступны, а путём дизассемблирования уже требует значительно больших затрат времени. И ещё момент. Выявленная дыра в Linux, не преднамеренная, а просто ошибка, моментально становится достоянием общественности и быстро закрывается. Такая же дыра в Windows уходит на соответствующий рынок и может быть незакрытой очень долго.
> Заратустра (zrtstr) писал (а) в ответ на сообщение:
>> >> Track-Dbf (Trickolog) писал (а) в ответ на сообщение:
>>> Наступит ли «вендекапец» и ждут ли его линуксоиды? quoted3
>>
>> Что помешает сделать тоже самое на линухах? quoted2
>Открытость кода, отсутствие одинаковой структуры для различных версий. > На линуксы перейдут максимум 5% пользователей. Остальный линукс не пойдет. > Да и это к лучшему. Вирусни меньше будет. quoted1
pietarilaine (25915) писал (а) в ответ на сообщение:
> Выявленная дыра в Linux, не преднамеренная, а просто ошибка, моментально становится достоянием общественности и быстро закрывается. quoted1
В драйвере ядра ОС Linux выявлена уязвимость, которая позволяет локальному пользователю повысить свои привилегии и осуществлять чтение и запись в значимые области памяти ядра, то есть запустить на Linux любой код, включая вредоносный.
Уязвимость выявили эксперты компании CheckPoint при аудите безопасности ядра Linux и его драйверов. «Баг», как пишут они в отчете, появился в ядре Linux «восемь лет назад «.
И отчетов о таких долгоиграющих дырах можно еще накопать — это не единичный случай.
А если эта дыра была создана специально? Что помешает в следующих выпусках ядра вставлять такие дыры еще лет на 5−10?
И наконец, сколько там до сих пор не «пойманных» присутствует?
Заратустра (zrtstr) писал (а) в ответ на сообщение:
> И отчетов о таких долгоиграющих дырах можно еще накопать — это не единичный случай. quoted1
Ну давай посмотрим что можно сделать конкретно с этой долгоиграющей дырой. Кстати там обычный баг, заключающийся в отсутствии проверки диапазона входных данных. Во первых эксплуатировать её может только локальный пользователь. Во вторых только в том случае, если в машину вставлено подобное устройство.
Именно что вставлено, а не драйвера установлены, поскольку пока устройство не воткнёшь драйвер подгружен не будет. Это не Windows. Теперь прикинем в каких случаях подобное устройство может быть воткнуто в компьютер. 1.Установка системы, какой-нибудь сервер, на компьютер вообще без видеокарты. Только на момент установки, дальше я это девайс выну и буду рулить по сети. Да и не нужно мне в таком случае эту уязвимость эксплуатировать, поскольку все привилегии у меня и так есть. 2. Мне надо провести презентацию с моего ноутбука с DVI выходом, а у проектора только HDMI. Ну или наоборот. Опять таки поскольку ноутбук мой я всегда могу получить привилегии через su — не прибегая к лишним извращениям. 3. Жена захотела посмотреть порнуху в моём домашнем каталоге и спецом купила подобное устройство. Ну дешевле будет загрузиться с флэшки с Live-системой и зайти в мой каталог. Он у меня не зашифрован. А будь зашифрован — так и эта уязвимость не поможет. 4. Компьютер офисного работника, который пароль root'а не знает. Ну обычно таким работникам и доступ к USB запрещают. А уж компилятор, чтобы скомпилировать эксплойт у них почти гарантированно отсутствует. Так что шансы поэксплуатировать эту уязвимость кому то со стороны очень и очень малы, поэтому в этом месте особо и не искали. Но через 3 дня после того как нашли — эту уязвимость закрыли.
Заратустра (zrtstr) писал (а) в ответ на сообщение:
> А если эта дыра была создана специально? quoted1
Скорее обычный ляп, заключающийся в отсутствии проверки.
Заратустра (zrtstr) писал (а) в ответ на сообщение:
> И наконец, сколько там до сих пор не «пойманных» присутствует? quoted1
Значительно меньше чем пойманных втихаря в Windows. Заратустра (zrtstr) писал (а) в ответ на сообщение:
1. Полная безответственность программистов. Это в кино программисты через одного Нео и Тринити, в реальности же это чуваки со специфическими знаниями, которых мало кто может проверить, и которые не несут никакой ответственности за продукт.
Вдумайтесь: они за многие миллиарды! уже 33 года! пишут ОС Windows, и она до сих пор невероятно, непредсказуемо глючит. Да, глючит меньше, чем в 1995 (всего за то 10 лет делали с 1985), но всё равно глючит.
При этом:
А. Основной способ исправления ошибок — это «перегрузите», «переустановите». Они даже не могут понять, что там у них поломалось, для них самих Windows — чёрный ящик, каждый раз выкидывающий что-то новое. Вы серьёзно хотите им доверить свою жизнь? Представьте, вы приходите к механику и говорите: «моя машина выехала на встречную на скорости 120, мы чуть-чуть не остались инвалидами». А вам в ответ: «Перезагрузите».
Б. Связка программы и реального разнообразного железа как была дико нестабильна, так и осталась. Я молчу про новые видеокарты, дорогой и глючный Gsync и т. д. Принтеры, принтеры, Карл, для которых эта винда и создавались! Они как не работали в 1985 без плясок с бубном, так и не работают. Представьте теперь принтер на скорости 200 км в час! Помните бородатый анекдот: если бы программисты делали автомобили, автомобили разваливались бы без причин каждые 4 часа. Ничего не изменилось.
В. Программисты в связке с юристами обложились лицензионными соглашениями, которые всячески ограничивают их ответственность. Есть пример, когда Volkswagen нахимичила что-то в машине и попала на миллиардные штрафы. За винду денег берут очень и очень прилично, это за продукт, которому уже 33 года, и он всё ещё в бета тесте. Но где же штрафы за её ошибки? Их нет и не предвидится. А если автопилот опрокинул фуру в овраг? Сначала докажи, что виновата программа, потом посмотри в п. 122 пп. 345 и узнай, что за твои миллионы ты сам виноват?
Всё это значит, что в ближайшие десятилетия человек всегда будет контролировать машину. И никуда из фуры не денется, потому что он, в отличии от программистов, отвечает за свой результат.
2. Ну вот представим, что миллионы людей остались без работы и решили пойти не в программисты, а хакеры. Поломать те самые автопилотные фуры и отмстить за всё. Получится ли у них?
Несомненно. Ни один расчудесный программист и даже армия программистов не справится с миллионами идейно заряженных хакеров, пытающихся их взломать. Да что там миллионы автопилотфур в поле, в стерильных условиях винда-игрушка-денуво, это самое антихакерское денуво под дружное улюлюканье разлетается за считанные недели, а то и дни. За годы (а фуры ездят десятилетия) умудряются сделать реверс-инжениринг игровых приставок не только взламывают их, но и делают эмуляторы. А теперь представьте, что это не игрушка за 50 баксов и не приставка за 400 баксов, а фура за миллион. Автопилот сам привезёт злоумышленникам всё, что они попросят.
3. Дальше, пример из жизни. Хакеры увели с карточки зарплату. Гражданин с широко открытыми глазами приходит в Сбербанк, а там ему говорят: да, это наши тупоголовики написали программку, которую школьники вскрыли на коленке, вот ваши деньги.
Ха-ха, в параллельной вселенной. Герман Оскарович со всеми своими ИИ показывает, как оно будет, когда что-то пойдёт не так: виноватым будете вы и только вы.
Это значит, что с любой машиной всегда будет человек. Дешёвая посылка дроном? Ок, если и уведут, не жалко. Но фура с икрой и фуагра? Пусть лучше будет человек.
4. Статистика безаварийности, проехали столько-то километров без аварий и т. д. Я же правильно понимаю, что сравнивается статистика обычного движения с поездками автопилотов по спецтрассам? Либо с автомобилем «Тесла», где одна стоимость отсекает всех обычных маргиналов за рулём? Тогда мы сравниваем бурный океан с водой в хрустальном стакане. Какая будет статистика при массовом использовании?
5. Ещё проблема: время, необходимое «на обкатку технологии». Космические корабли делает элита человечества. Программы пишутся в НИИ максимально простыми. Итог? Ракеты до сих пор регулярно падают, и до сих пор в том числе по программным недочётам. Космических туристов пока массово не пускают к полётам на автомате, тела их слишком дороги, чтобы доверить их ассемблеру. Точно автопилот будет работать нормально? Но ведь космос почти пустой, траектории прямые, а даже там глючит. А вы видели интерфейс автопилота и как он «видит» реальность? Эти десятки тысяч полигонов в секунду, и он в реалтайме по ним едет. Какова вероятность ошибки?
Какова вероятность ошибки? Какая будет статистика при массовом использовании?
6. Система самообучения и нейросети. Это пугает. И не потому что я ретроград, апотому что в пресс-релизах через один написано, «мы сами не можем понять, как это работает, но результат примерно похож на то, что мы ожидаем». Что ж, с таким подходом хочется предложить им создать нейросеть «русская рулетка» и реальным пистолетом. С результатом 1 к 6 каждый шестой будет заявлять, что он сделал нейросеть и она работает как надо! Выбор программой того или иного сценария поведения, который никто, даже создатели, понять не может, но результат «похож на ожидаемый», это системная и непреодолимая ошибка, которая никогда не позволит доверять автопилоту.
Итак, сейчас автопилот — это дорогая игрушка, ошибка которой будет стоить вам жизни. И указанные выше проблемы, — безответственность, сложность кода, допускающая массовые и непредсказуемые ошибки, хакеры, — являются системными и не делается никаких попыток их решить. Современное ПО — это свалка, сделанная разными программистами, ни один из которых не может ни понять, что же именно происходит, ни сделать это безопасным для пользователя.
Поэтому рядом с автопилотом всегда будет сидеть, чинить, заправлять, контролировать, отвечать, жать «ресет», всё тот же водила. А дурачки, вставляющие апельсин в руль и доверяющие жизнь автопилоту, просто давно не видели синий экран, либо любят играть в русскую рулетку.
Современное ПО (включая системное) — это свалка, сделанная разными программистами, ни один из которых не может ни понять, что же именно происходит, ни сделать это безопасным для пользователя.
Заратустра (zrtstr) писал (а) в ответ на сообщение:
> > Это был просто пример, что дыра может «жить» не один год А уж какие фишки с нее можно поиметь — другой разговор. quoted1
С любой дыры всегда можно фишки поиметь, если эти дыры не скрывать под паранджой. Парламент Нидерландов принял закон, запрещающий носить паранджу и другую закрывающую лицо одежду.
Как сообщает Reuters, отныне в стране нельзя будет скрывать лицо под одеждой в школах, больницах, государственных учреждениях и других общественных местах.
В мае аналогичный закон был принят в Дании, а осенью 2017-го года — в Австрии.
Кстати, а что там парламентарии? Современное ПО (включая системное) — это свалка, сделанная разными программистами, ни один из которых не может ни понять, что же именно происходит, ни сделать это безопасным для пользователя.
>>> >>> Track-Dbf (Trickolog) писал (а) в ответ на сообщение:
>>>> Наступит ли «вендекапец» и ждут ли его линуксоиды? >>>
>>> Что помешает сделать тоже самое на линухах? quoted3
>>Открытость кода, отсутствие одинаковой структуры для различных версий. >> На линуксы перейдут максимум 5% пользователей. Остальный линукс не пойдет. >> Да и это к лучшему. Вирусни меньше будет. quoted2