Солдатов в Телеграм

Безумный Max

Тут проскакивала новость, что в Github появился репозиторий безопасного мессенджера Maх, на момент этой публикации – удален. А в Интернете не утихают публикации о небезопасности Max и его чрезмерных способностях по контролю нарушению приватности пользователей, поэтому появление, как будто, свободно доступного и безопасного Max пришло очень во время. Вероятно, все еще сильна логика "если opensouce, то безопасно", ибо великое множество независимых экспертов может спокойно провести исследование кода на предмет отсутствия закладок ошибок. Особое умиление вызывает наличие в статье скриншота с VT, мол, вот и куча антивирусных движков проверили, ВПО нет. Давайте разбираться.

Я из тех, кто верит в эффективность подхода прозрачности, когда заинтересованная сторона может самостоятельно убедиться в отсутствии НДВ. Упрощенным вариантом подтверждения прозрачности является доступность исходного кода и, следовательно, возможность его независимого анализа, т.е. с этой точки зрения opensource, действительно, выглядит безопаснее (сценарий, когда исходный код используется и злоумышленниками для поиска векторов эксплуатации не будем сейчас рассматривать). Однако, известно немало историй, когда открытость кода не гарантирует безопасность и спустя много лет находились серьезные уязвимости: Heartbleed не замечали в коде около двух лет, Shellshock – около 25 лет, Log4Shell – обнаружили спустя 8 лет, Dirty cow – существовала в ядре Linux с 2007 и была обнаружена только в 2016,… и этот список можно продолжать.

Но в нашем случае ситуация еще хуже: в каком-то Git-репозитории выложили код, и здесь же утверждается, что он супер-безопасен. Лично для меня утверждение о безопасности в соцсети не является весомым, тем более, что я никогда не видел троянов, доступных для скачивания, где тут же утверждалось, что это ВПО со всеми вытекающими 😂. Скорее всего, в данном случае, не этот сценарий, однако я на считаю разумным скачивать что-то малоизвестное с Github и устанавливать (даже если сам собрал из исходников). Вопрос доверия в ИБ принципиален – нельзя обеспечить безопасность без доверия, а любое ПО из недоверенного источника нельзя считать безопасным. Вопрос доверия также является базой для ответственности: если я качаю ПО и ставлю его себе на телефон, я хочу, чтобы оно работало, и чтобы за его работу кто-то нес ответственность. Поэтому важно ставить ПО не только из доверенных источников, но и от надежных производителей, которые способны нести ответственность за свой продукт.

С учетом всего написанного, я не вижу аргументов в пользу использования "появившегося вчера безопасного WhiteMax с Github" вместо "Max от VK из официального магазина приложений".

#РФ

Telegram

1337

MAX сделали безопасным — на GitHub выложили репозиторий без опасных разрешений.

Авторы вычистили элементы слежки и собрали версию для тех, кому всё-таки приходится пользоваться MAX.

Помните: всё это — на свой страх и риск.

🌒 1337

👍10🔥4❤1😁1

www.tgoop.com/soldatov_in_telegram/718

8.17K viewsSep 12 at 04:07

Безумный Max

Тут проскакивала новость, что в Github появился репозиторий безопасного мессенджера Maх, на момент этой публикации – удален. А в Интернете не утихают публикации о небезопасности Max и его чрезмерных способностях по контролю нарушению приватности пользователей, поэтому появление, как будто, свободно доступного и безопасного Max пришло очень во время. Вероятно, все еще сильна логика "если opensouce, то безопасно", ибо великое множество независимых экспертов может спокойно провести исследование кода на предмет отсутствия закладок ошибок. Особое умиление вызывает наличие в статье скриншота с VT, мол, вот и куча антивирусных движков проверили, ВПО нет. Давайте разбираться.

Я из тех, кто верит в эффективность подхода прозрачности, когда заинтересованная сторона может самостоятельно убедиться в отсутствии НДВ. Упрощенным вариантом подтверждения прозрачности является доступность исходного кода и, следовательно, возможность его независимого анализа, т.е. с этой точки зрения opensource, действительно, выглядит безопаснее (сценарий, когда исходный код используется и злоумышленниками для поиска векторов эксплуатации не будем сейчас рассматривать). Однако, известно немало историй, когда открытость кода не гарантирует безопасность и спустя много лет находились серьезные уязвимости: Heartbleed не замечали в коде около двух лет, Shellshock – около 25 лет, Log4Shell – обнаружили спустя 8 лет, Dirty cow – существовала в ядре Linux с 2007 и была обнаружена только в 2016,… и этот список можно продолжать.

Но в нашем случае ситуация еще хуже: в каком-то Git-репозитории выложили код, и здесь же утверждается, что он супер-безопасен. Лично для меня утверждение о безопасности в соцсети не является весомым, тем более, что я никогда не видел троянов, доступных для скачивания, где тут же утверждалось, что это ВПО со всеми вытекающими 😂. Скорее всего, в данном случае, не этот сценарий, однако я на считаю разумным скачивать что-то малоизвестное с Github и устанавливать (даже если сам собрал из исходников). Вопрос доверия в ИБ принципиален – нельзя обеспечить безопасность без доверия, а любое ПО из недоверенного источника нельзя считать безопасным. Вопрос доверия также является базой для ответственности: если я качаю ПО и ставлю его себе на телефон, я хочу, чтобы оно работало, и чтобы за его работу кто-то нес ответственность. Поэтому важно ставить ПО не только из доверенных источников, но и от надежных производителей, которые способны нести ответственность за свой продукт.

С учетом всего написанного, я не вижу аргументов в пользу использования "появившегося вчера безопасного WhiteMax с Github" вместо "Max от VK из официального магазина приложений".

#РФ

BY Солдатов в Телеграм