他们在几英里来到身边,进行一个神圣的,长达十年之久的使命:吃你的午餐。
在装配的安全研究人员Pwn2Own 2017黑客大赛由趋势科技赞助,偶尔组合在一起,然后(按规则,至今未知至少)你最喜欢的东西,比如Windows,MacOS和Linux的基本执行零日漏洞。在屏幕闷烧坑被留下,作为一个团队收集奖金和creds。
对于傻笑和露齿而笑的情况,VMWare工作站也是第一次被虚拟机以这种方式渗透到虚拟机监控程序中。这不是瀑布效应,而是一声枪响。我怀疑还有更多方法可以穿透基本的虚拟机监控程序,但据我所知,这些方法还没有被发现。
是的,Ubuntu的根源,但它是因为在Linux内核中,而不是一个错误的东西规范的(一定)保持打开状态。
该方法是已知的,大量的编译器是周末跑过来推新补丁和修复到找到的项目。我们希望。
那么,如何组织防止这样的事情,这样显然简单零日吗?
首先,它是不是很简单。
其次,研究人员可以访问机器并控制它的网络。最有趣的裂纹使用的浏览器,的确微软的边缘浏览器和苹果Safari浏览器来实现。
第三,这些都是伟大的团队,他们赢得了价值数万美元的奖金。
而到目前为止,还有更多。一些零天出已知的有,但没有打补丁或固定的,已经等了几年了理论攻击成为现实。该的CVE都充满了这样的事情,远射制造用了好爆炸的坚韧和爱的诀窍进取的个人短。
每个高兴地去喜欢的Defcon,黑帽,混沌计算机俱乐部(CCC)和RSA事件。这是对运动做,当然,也有收入。一个体面的生活可以用错误的发现和可悲的提出,也为错误销售。
关于错误查找和错误查找器的本质,提出了一个道德问题。毫无疑问,Pwn2Own竞赛从表面上看是一个巨大的尴尬——这是应该的——对软件供应商来说。冒着烟的陨石坑意味着许多工作都白费了。这也意味着没有什么是万无一失的,因为傻瓜是如此的聪明,操作系统功能和不断修订实践的解耦本身可能就是一个问题。
软件公司的增长和随之而来的问题
上市公司必须季度增长了slavemaster,华尔街之后方式爽季度报告。增长来自于新的购买者,质量改善,服务计划,尤其是新版本。该软件的组织希望你相信传说是,新的东西比旧的东西,看到我们的预览更好,我们的测试列表或我们的演示/试用。
增长是非常重要的,因为每个季度都有财务数据,除非是这个季度大家正在洗财务澡。所以,买些新东西吧。买我们的东西这是我们最近收购的结果,如果我们真的思考和设计了它,可能会在几个季度内起作用。
软件增长的引人注目的特性也使得它非常脆弱。代码已经成为令人难以置信的精细和复杂。它必须与许多其它软件的成功交互。它有其它软件之间的分界线,主机操作系统,管理程序或其他基础层,硬件,本地联网的智慧,以及输入数据的质量或敌意。
黑客们想要你的东西,太
星期天晚上,因为我是通过WordFence在我的网站之一挖,我注意到有几次试图从长了,那种网页页面加载你需要在互联网档案馆找到,例如网页早已不复存在。该尝试来自大大地理位置分散的IP地址。他们无疑是机器人。
但他们要我。为了什么?谁知道。但是他们想要的,你也一样。除了看网络行为,你不会已经能够停止大部分攻击引述在今年的Pwn2Own。如果您的网络智慧已经确定无国籍交易或怪异的IP地址,你必须止血的攻击的可能性很小。
显然,如果他们有权限,你就完了。控制网络接入——如果可以的话——是遏制恶意流量的最佳选择。否则,添加另一层访问壁垒,如加密或受自治(或大规模联合)安全保护的微服务,是您最大的希望。