Опять про атаку на Supply chain

Feb. 10th, 2021 05:45 pm
beldmit: (Манул)
[personal profile] beldmit
Если кто не видел.

Проекты тянут внешние (по отношению к проекту) зависимости. Из внешних репозиториев и из внутренних. Сначала - из внешних. И если злоумышленник сможет подсунуть во внешний репозиторий что-то с именем, перекрывающим имя внутреннего, то именно его код и приедет на сервера.

Выявившие проблему исследователи смогли выполнить свой код на внутренних серверах 35 компаний, среди которых PayPal, Micrоsoft, Apple, Netflix, Uber, Tesla и Shopify.
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2021-02-10 05:18 pm (UTC)
livelight: (hot)
From: [personal profile] livelight
Это им за left-pad! :)

Date: 2021-02-10 06:58 pm (UTC)
juan_gandhi: (Default)
From: [personal profile] juan_gandhi

В Гугле был у меня экспириенс с такой херней. Кушать не хотел. За что, в частности, и выперли.

Date: 2021-02-10 07:03 pm (UTC)
livelight: (Default)
From: [personal profile] livelight
В смысле, вы пытались бороться с практикой качать какой попало код откуда ни попадя и запускать у себя?

Date: 2021-02-10 08:19 pm (UTC)
juan_gandhi: (Default)
From: [personal profile] juan_gandhi

Там было так. За каким-то хреном надо было в продакшен, в джаваскрипт, вставить дебагер (тогда в браузерах ни хрена не было вроде бы). Мне сказали - вон на таком-то сайте есть, вставь линк. На чужой скрипт. В продакшен. Я такой - чо. Скачал тот скрипт к нам в репо, получил апрувал, закоммитил, стал билдить. То да се, это ж гугл, сутки прошли, если не двое. А мне эти такие - ты чо, ты ж мог просто линк вставить. <script language="javascript"...> А я такой - чо? Написал в секьюрити, мол, нельзя ли провести ликбез. Секьюрити меня послало (не по чину обращаюсь), начальство мне пеняло до самого выгоняния, что я не час потратил, а больше суток на такую мелочь. Я так понимаю сейчас, что все эти люди были очень тупые, но со связями. Секьюрити, за полгода до того, рассказывало, какой антивирус самый хороший, и всем надо его ставить. Понятно какой, да.

Короче... вот такая фигня.

Date: 2021-02-10 10:38 pm (UTC)
livelight: (Default)
From: [personal profile] livelight
А какой? Мне непонятно :)

Date: 2021-02-10 10:39 pm (UTC)
juan_gandhi: (Default)
From: [personal profile] juan_gandhi

Касперский. Я им говорю, мол, "это же разработка КГБ" - не понимают.

Date: 2021-02-10 10:58 pm (UTC)
livelight: (starlight)
From: [personal profile] livelight
Однако, как-то они захватили весь интернет (ну ладно, пол интернета: вторую половину поделили CloudFlare и иже с ними)... Я так понимаю - умело паразитируя на паразитах: продавая хреновую (с т.з. рекламодателя) рекламу тем, кто хочет заваливать всех рекламой.

Date: 2021-02-10 11:17 pm (UTC)
juan_gandhi: (Default)
From: [personal profile] juan_gandhi

Как-то захватили. Фокусировались на важных вещах.

Date: 2021-02-11 05:17 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner

Помнится какие-то конгрессмены уже пытались задать руководству Гугла вопрос "А почему это Гугл сотрудничает с Коммунистической Партией Китая с большим энтузиазмом, чем с Министерством обороны США?".

Ну КГБ, ну и что? Зачем компании бизнес которой построен на воровстве персональных данных, хранить чужие секреты от КГБ? Разве что из соображений слупить с КГБ денег за них. Но тут американское законодателсьтво немного мешает.

Date: 2021-02-11 06:13 am (UTC)
juan_gandhi: (Default)
From: [personal profile] juan_gandhi

Резонно. Прятаться надо от конкурентов, а не от партнеров.

Date: 2021-02-11 05:47 pm (UTC)
From: [identity profile] dimez.livejournal.com
Какой-то ужас ужасный...
Эдак любой дятел может разрушить цивилизацию.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

beldmit: (Default)
Dmitry Belyavskiy

December 2025

S M T W T F S
 123456
78910111213
14151617181920
2122 2324252627
28 29 3031   

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jan. 7th, 2026 04:10 pm
Powered by Dreamwidth Studios