Sta avendo Steam installato un rischio per la sicurezza?

Da quello che posso dire, ci sono state solo due gravi vulnerabilità pubbliche in Steam.

• Iniezione markup (XSS) da steam:// link
• attacco man-in-the-middle HTTPS

Né sono attuali. Non vedo alcun rischio reale. Tuttavia, poiché Steam è completamente inutile sul lavoro, è un rischio potenziale minore che potrebbe essere evitato.

Molto probabilmente, è pignolo perché non pensa che avere installato Steam sia appropriato al lavoro, ma non vuole essere il cattivo.

Steam dovrebbe essere trattato proprio come qualsiasi altra applicazione installata su un computer aziendale. Chiediti se è necessario per eseguire correttamente il tuo lavoro.

Quando il tuo computer ha più software installato, potrebbe avere più aree dove può essere attaccato.

• Steam potrebbe non avere una vulnerabilità ora, ma potrebbe accidentalmente rilasciare un aggiornamento che presenta una vulnerabilità in esso.

• Potrebbero esserci vulnerabilità 0-day nel vapore che non sono ancora state rese pubbliche.

• Un hacker potrebbe essere in grado di entrare nel codice di Steam e apportare modifiche che consentano una backdoor a tutti i aggiornati client Steam.

Con questo in mente, non avere installato Steam può prevenire tali vulnerabilità.

Inoltre, i buoni amministratori di sistema rimuoveranno qualsiasi programma o servizio non necessario da server o workstation.

Segui un processo di pensiero:

• Il mio computer ha bisogno di questa applicazione?
• È abilitato o disabilitato per impostazione predefinita?
• Se il mio sistema è compromesso, i miei dati saranno comunque al sicuro?

Naturalmente, se sviluppi il software o sviluppi software che usa Steam, probabilmente dovresti averlo.

Lo stream stesso può o non può essere un rischio, ma non dimentichiamo che installa altri programmi (giochi), e quelli molto probabilmente avranno vulnerabilità di sicurezza.

Steam registra l'utilizzo del gioco, il tempo e le altre caratteristiche del gioco. Inoltre, Steam riporta i dettagli di configurazione e tutte le applicazioni installate. Quindi, Steam può essere considerato uno spyware stesso quando la configurazione o le applicazioni installate sono un'importante chiave strategica dell'azienda.

Ogni volta che si installa un'applicazione, si aumenta la superficie di attacco per quella casella. Questo è vero anche nel caso di antivirus. Ovviamente ci sono momenti in cui ciò è assolutamente necessario e deve essere completata un'analisi del rischio adeguata per determinare se un'applicazione debba diventare o meno uno standard per l'ambiente.

D'altra parte, noi professionisti della sicurezza abbiamo la brutta abitudine di diffondere FUD (paura, incertezza e dubbio). Ciò significa che adottiamo criteri, regole o decisioni senza applicare alcuna convalida alla causa principale.

Certo che lo è.

Non ho dubbi che ci siano vulnerabilità in Steam. Perché dovresti pensare che gli sviluppatori di giochi siano magicamente in grado di scrivere codice C / C ++ sicuro, quando nessun sviluppatore del sistema operativo mainstream è stato in grado di farlo, nonostante siano in gran parte focalizzati sulla sicurezza?

Ero abituato a creare cheat per Crysis, e per caso mi sono imbattuto in una vulnerabilità della stringa di formato . Questo è stato un gioco molto acclamato, eppure ho trovato una vulnerabilità senza nemmeno provarci. Intorno allo stesso tempo, Luigi Auriemma stava trovando vulnerabilità nei titoli più importanti come Call of Duty 4, Halo, Quake 3 e vari strumenti di gioco come Ventrilio. Ha trovato tonnellate di vulnerabilità in tutti questi prodotti come se fosse niente. Ci devono essere tonnellate di più.

Quindi è sicuro dire che ci sono tonnellate di vulnerabilità nei giochi e prodotti correlati come Steam, e le persone probabilmente hanno 0days per loro, per non parlare degli sviluppatori di Steam o chiunque venda un prodotto a vapore potrebbe scegliere di distribuire malware a te.

È ancora raro che tu veda gli 0days pubblicati per Steam e i videogiochi in generale, quindi a meno che tu non sia un obiettivo utile, probabilmente non sarai sfruttato in questo modo.

Il vapore è un problema di sicurezza sul lavoro. Come qualsiasi altro programma, avrà vulnerabilità. E consente di installare altri programmi che avranno anche vulnerabilità. Quindi sì, proprio come Windows, IE e Office ha problemi di sicurezza. E nelle impostazioni è possibile che invii le informazioni ai server del vapore sul computer (potrebbe essere attivato per impostazione predefinita), proprio come Windows e molti altri. (Firefox può farlo come può Chrome e molti altri.)

Quindi la tua azienda ha affermato che non vogliamo correre il rischio.

Per quanto riguarda i giochi di lavoro, ci sono aziende con console per videogiochi in ufficio, tavoli da biliardo, campi da tennis e permettono ai propri utenti di giocare ai videogiochi. Perché? perché i loro impiegati sono più produttivi quando sono felici e il contenuto e il morale è alto, quindi danno loro queste cose chiamate benefici. Alcuni di loro sono cose come cibo gratis, assistenza sanitaria, parcheggio gratuito, un'atmosfera divertente e giochi.