В 0.6.3 нити Graet задает хороший вопрос: что мы подразумеваем под "критический" против "серьезный" уязвимость?
Вот что эти термины означают для меня. Все примеры являются гипотетическими:
Критическая уязвимость одна, которая будет иметь катастрофические последствия, если она эксплуатируется. Примеры могут быть удаленным код эксплуатирует, ошибка, что кто-то могли бы использовать, чтобы снять всю сеть Bitcoin, или ошибка, которая может быть использована, чтобы украсть весь свой кошелек.
Серьезная уязвимость одна, которая будет иметь серьезные последствия, если она эксплуатируется. Примеры могут быть ошибкой, которая может быть вызвана сетевым трафиком и приведет к тому, программному обеспечению, чтобы перестать работать или ошибка, которая может быть использована для ваших следующих неправильно направлять сделки Bitcoin так далее атакующий вместо предполагаемого получателя.
0.6.3 отказа в обслуживании проблемы, я считаю "серьезный" - злоумышленник, который выясняет, что именно уязвимость (мы не раскрыли, что еще) может сделать bitcoind или Bitcoin-Qt обработки транзакций остановки.
Тогда там заурядные уязвимости; такие вещи, как Сибил атак, которые требуют атакующему округлить сотни или тысячи машин, или отказ в обслуживании атак, которые требуют, чтобы злоумышленник сможет отправить гигабайты жертвой сетевого трафика. Работа с ними часто даже не заслуживает упоминания в примечаниях к выпуску, так как они влияют так мало людей и требуют атакующему готовы потратить изрядное немного денег и / или усилий просто раздражать.
|
|
||||||
21 июня 2012, 1:49:58 PM
|
# 1 |
Сообщения: 1652
цитировать ответ |
Re: «Критическая» против «Серьезная» уязвимость
Взлом Биткоин адресов.
500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru |
|
|
|
Как заработать Биткоины?
Без вложений. Не майнинг.
|
21 июня 2012, 2:10:02 PM
|
# 2 |
|
Сообщения: 1102
цитировать ответ |
Re: «Критическая» против «Серьезная» уязвимость
Получил 1806 Биткоинов
Реальная история. Хорошо знать, спасибо еще раз за превосходную работу!
(Небольшое пожертвование отправлено) |
|
|
|
|
21 июня 2012, 2:33:52 PM
|
# 3 |
Сообщения: 2366
цитировать ответ |
Re: «Критическая» против «Серьезная» уязвимость
Я считаю, что критическое / серьезное определение, данное здесь звучит хорошо, но мне интересно, если я буду помнить это- особенно, если люди приходят с целым рядом подобных фамилий. Проблемы, связанные с именами, что всегда запутаться, люди проводят время, споря над ними, и люди получают травмы, когда они не понимают их, это одна из причин того, что CVSS был created- хотя я запустить несколько примеров Bitcoin случаев по стандартным критериям подсчета очков, и я думаю, что это дает сломанные результаты. (Например, давая более разъединить рейтинги технически простые злоумышленник усилия, пропорциональные атаки DOS, чем для более жестких атак кражи монет). Я предпочитаю, чтобы на самом деле заявить, что риски есть "Злоумышленник может привести к сбою Bitcoin, если он подключается к нему" против непрозрачный "Код желтый" вид этикетки, по крайней мере там, где быть описательным не подвергать опасности людей. Это позволяет избежать застревания в словесных играх над "серьезный" против "серьезный" и другие подобные вопросы ангелов танцуют на пальцы, и позволяют людям оценить свои собственные риски, таким образом, что никакой классификации шаблонной не может сделать. Я подозреваю, что любой вопрос, где вы не можете даже сказать столько, сколько то, что злоумышленник может обойтись без неприемлемого риска по определению является самым суровым видом, критический, или все, что вы хотите назвать это. |
|
|
|
|
21 июня 2012, 8:37:20 PM
|
# 4 |
|
Сообщения: 676
цитировать ответ |
Re: «Критическая» против «Серьезная» уязвимость
Почему бы не ввести что-то вроде риска или даже лучше, уровни серьезности / рейтинга, однако они могут быть названы.
Например. Уровень 1 (высокий) Уровень 2 (средний) Уровень 3 (низкий) Теперь мы должны определить, какие условия или характеристики подразумевают, рейтинг которых. Например. (Только примеры, не потрудились думать подробно на данный момент) 1-й уровень: - удаленное выполнение кода - взять всю Bitcoin сети в автономном режиме - украсть все монеты Уровень 2: - замедлить сети Bitcoin - украсть монеты Уровень 3: - врезаться узел без дополнительного кода - DoS одиночные узлы Таким образом, у нас есть таблица, которая определяет тяжесть. Теперь рассмотрит уязвимость, которая может привести к краже монетам и происходит сбой клиента без кода Exec, это будет уровень 2 vunlerability (высокое состояние отсчетов). Я думаю, что это может быть выработанными дэвами с входом от пользователей, чтобы создать прозрачный каталог. В качестве примера рассмотрим, что делает MS: http://technet.microsoft.com/en-us/security/gg309177.aspx диаметр |
|
|
|
|
22 июня 2012, 1:42:03 PM
|
# 5 |
|
Сообщения: 539
цитировать ответ |
Re: «Критическая» против «Серьезная» уязвимость
Хорошая отправная точка.
Мы должны добавить к уровням необходимых ресурсов, необходимых для атаки. Иногда это требует очень мало, несколько раз он требует огромного количества. Кроме снятия всей сети Bitcoin сразу намного хуже, чем удаленное выполнение кода. Мой список был бы: 1-й уровень: - Возьмите всю Bitcoin сети в автономном режиме (DoS) - Кража монеты из всех или подмножества пользователей сразу Уровень 2: - Удаленное выполнение кода (отдельных узлов) - Кража монеты из отдельных пользователей Уровень 3: - Замедление или временно нарушить сети Bitcoin - Разбейте узел без дополнительного кода - DoS одиночные узлы Уровень 4: - Потеря конфиденциальности / псевдо-анонимности отдельных узлов. DoS одиночные узлы, кажется, что эквивалентно нарушению сети Bitcoin, так как вы можете запретить пользователям подключаться по снесли каждый узел, принимающий соединения. Как вы думаете? |
|
|
|
|
22 июня 2012, 1:58:31 PM
|
# 6 |
|
Сообщения: 826
цитировать ответ |
Re: «Критическая» против «Серьезная» уязвимость
Есть действительно только два случая:
1. Люди могут потерять биткойны 2. Сеть может быть нарушена. оригинальный пост Гэвины включил эти два примера: (А) ошибка, которая может быть использована, чтобы украсть весь свой кошелек ("критический") (Б) ошибка, которая может быть использована для ваших следующих неправильно направлять сделки Bitcoin так далее атакующему ("серьезный") Насколько я понимаю, эти ошибки имеют одинаковый уровень серьезности: "люди могут потерять биткойны", |
|
|
|
|
22 июня 2012, 2:00:09 PM
|
# 7 |
|
Сообщения: 1652
цитировать ответ |
Re: «Критическая» против «Серьезная» уязвимость
я думаю "1 2 3 4" плохо. 4 больше, чем 1, поэтому уязвимость уровень 4 хуже, верно?
Я до сих пор люблю критический / серьезный / другой. Больше градаций, чем это, и я думаю, что мы будем просто тратить время спорят "это уровень 3 уязвимости? Уровень 4? Хорошо, давайте сделаем это пи уязвимость (3,1415 ...)" |
|
|
|
|
22 июня 2012, 2:03:10 PM
|
# 8 |
Сообщения: 1050
цитировать ответ |
Re: «Критическая» против «Серьезная» уязвимость
Хорошо, давайте сделаем это пи уязвимость (3,1415 ...)" Давайте использовать комплексные числа. Мнимая часть предполагаемой массы histeria ошибка будет вызывать. "Мы считаем эту ошибку, чтобы иметь тяжести журнал (-1)." |
|
|
|
|
22 июня 2012, 2:07:53 PM
|
# 9 |
|
Сообщения: 539
цитировать ответ |
Re: «Критическая» против «Серьезная» уязвимость
Давайте использовать звуки (визг, крик, шепотом) или, может быть, запах ....
|
|
|
|
|
22 июня 2012, 5:43:06 PM
|
# 10 |
|
Сообщения: 253
цитировать ответ |
Re: «Критическая» против «Серьезная» уязвимость
Я согласен с чувством, что описание того, что может произойти, является более полезным, чем общие уровни серьезности. Не могли бы мы сделать ведра для вероятных сценариев? Классифицировать в: Кошелек Вор, удаленное выполнение кода, следующей транзакции Вор, Incorrect монет Creation, Low-DOS усилию, раскрытие информации, другие, или неизвестность?
Хотя даже при этом, я не уверен, где "Зашифрованные бумажники еще незашифрованные ключи в них" уязвимость пошла бы, или "блоки не были проверены во время загрузки" Проблема (если предположить, что он имел отношение к безопасности, которые я до сих пор не уверен). |
|
|
|
|
24 июня 2012, 12:52:12 PM
|
# 11 |
|
Сообщения: 1190
цитировать ответ |
Re: «Критическая» против «Серьезная» уязвимость
Описание на основе уровня уязвимости, как то, что МС используется ниже предлагает лучшую четкость любого другого числа на основе (1,2,3,4) уровнях.
Код: Рейтинг Определение критический Уязвимость эксплуатация которых может разрешить выполнение кода без взаимодействия с пользователем. Эти сценарии включают самораспространяющиеся вредоносные программы (например, сетевые червь), или неизбежные сценарии общего пользования, где происходит выполнение кода без предупреждений или запросов. Это может означать, перейдя по ссылке на веб-страницу или открытия электронной почты. Microsoft рекомендует пользователям немедленно установить критические обновления. Важный Уязвимость эксплуатация которых может привести к компрометации конфиденциальности, целостности или доступности пользовательских данных или целостности или доступности ресурсов обработки. Эти сценарии включают в себя общие сценарии использования, когда клиент скомпрометирована с предупреждениями или подсказками независимо от Запрашивать, в провенансе, качества и удобства использования. Последовательности пользовательских действий, которые не генерируют подсказки и предупреждения, также охватываются. Microsoft рекомендует пользователям применять важные обновления при первой же возможности. умеренный Воздействие уязвимости смягчается в значительной степени от таких факторов, как требования к аутентификации или применимости только к конфигурации не по умолчанию. Microsoft рекомендует пользователям рассмотреть возможность применения обновления безопасности. Низкий Воздействие уязвимости всесторонне смягчаются характеристиками затронутого компонента. Microsoft рекомендует пользователям оценить, следует ли применить обновление безопасности для пострадавших систем. |
|
|
|
Как заработать Биткоины?
Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包
bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru
3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW
Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包
bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru
3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW
Регистрация для новых участников, на данный момент не доступна. Просим извинения за временные неудобства.