Comments 52
Тема - супер!
Мне только интересно - каким образом будет осуществлятся гарантийная поддержка, будет ли Cashback, а так же стоит ли в ближайшем времени ожидать Rebate'ов :)
На самом деле, потребителями подобной продукции скорее всего будут компании, занимающиеся Security, а так же, может быть, крупные корпорации, у которых инфраструктура (или её часть) построена на платформе, для которой есть exploit.
Так что для start-up'а идея грамотная.
Мне только интересно - каким образом будет осуществлятся гарантийная поддержка, будет ли Cashback, а так же стоит ли в ближайшем времени ожидать Rebate'ов :)
На самом деле, потребителями подобной продукции скорее всего будут компании, занимающиеся Security, а так же, может быть, крупные корпорации, у которых инфраструктура (или её часть) построена на платформе, для которой есть exploit.
Так что для start-up'а идея грамотная.
Еще можно биржу для реализации краденных автомобилей, наркотиков и оружия сделать.
дыры в системе - это не краденное барахло, а ошибка компании-производителя.
Да ну? А если к Вам боком подойдет некто и неожиданно так сунет поддых, что Вы дышать минуту не сможете. Улыбнется и скажет, сам виноват - раскрылся, ошибочку допустил. Вы, разумеется, скажете, никаких проблем, действительно сам виноват. И тут же получите в репу, потому что "опять раскрылся", ошибочка...
Производитель даёт софт, а уж какие ему данные посылать это решает тот кто с софтом работает, и то что софт делает что-то левое при особых запросах это всё таки вина производителя.
Производитель выпускает столовые ножи, а доверчивый бедняга случайно использовал такой нож в пьяной драке и немного убил своего собутыльника. Производителя ножей к ответу, потому что они допустили такое использование своей продукции! Все еще смешно?
Мне Ваши аналогии напоминают софизмы.. Я попробую переделать Вашу аналогию, чтобы она соответствовала тому, что человек Выше написал.
Производитель выпускает противоугонные устройства для машин. Устройство периодически опрашивает (по радио) брелок хозяина, если ответ неверный или не получен, то вырубает двигатель. Доверчивый бедняга совершенно случайно ехал мимо фуры, в которой водила решил воспользоваться рацией для связи со своими. Противоугонное устройство опрашивает в этот момент брелок хозяина и на фоне рации водилы фуры ничего не услышало в ответ, двигатель встаёт колом. Последствия легко предсказуемы.
Возможно технически я изложил не правильно, но это реальный пример из жизни.
Следуя Вашей аналогии виноват конечно же доверчивый бедняга, купивший противоугонное устройство, потому что.. э-эээ.. например, не экранировал свою машину от всех внешних электромагнитных, гравитационных и прочих воздействий. :)) Труба. Занавес.
Производитель выпускает противоугонные устройства для машин. Устройство периодически опрашивает (по радио) брелок хозяина, если ответ неверный или не получен, то вырубает двигатель. Доверчивый бедняга совершенно случайно ехал мимо фуры, в которой водила решил воспользоваться рацией для связи со своими. Противоугонное устройство опрашивает в этот момент брелок хозяина и на фоне рации водилы фуры ничего не услышало в ответ, двигатель встаёт колом. Последствия легко предсказуемы.
Возможно технически я изложил не правильно, но это реальный пример из жизни.
Следуя Вашей аналогии виноват конечно же доверчивый бедняга, купивший противоугонное устройство, потому что.. э-эээ.. например, не экранировал свою машину от всех внешних электромагнитных, гравитационных и прочих воздействий. :)) Труба. Занавес.
Можно приводить сколь угодно сложные случаи. Но в данном конкретном случае, если будет доказан злой умысел водилы (то есть, если водила знал, что использование рации приведет к нарушению работы сигнализации), то он будет признан виновным. Если в инструкции использования сигнализации написано, что она не может быть использована рядом с работающими источниками электромагнитных волн (рациями и пр.), то виновником будет признан владелец машины с сигнализацией. Если сигнализация прошла гос.контроль, получила сертификат ростеста, то в этом случае иск можно вменить государству или фирме-производителю, не предоставившей исчерпывающую информацию по работе устройства органам, выдающим сертификат. Если сигнализация не имеет сертификата РСТ, то можно обвинить продавца сигнализаций. Если сигнализация установлена не сертифицированным специалистом, то можно заставить отвечеть его или тому, кто согласился устанавливать сигнализацию с помощью такого специалиста.
Короче, виновного можно найти, но это никак не связано с данной проблемой. В нашем случае с информацией виден явный умысел в действиях как писателя эксплойта, так и продавца, и тем более покупателя.
Короче, виновного можно найти, но это никак не связано с данной проблемой. В нашем случае с информацией виден явный умысел в действиях как писателя эксплойта, так и продавца, и тем более покупателя.
"злой умысел водилы" - повеселило, впрочем как и про "инструкции использования". :)
Раз это "никак не связано с данной проблемой", то и не приводили бы аналогию, не я начал.
>> В нашем случае с информацией виден явный умысел..
По поводу покупателя: может это спецслужбы хотят купить инфу, а може быть сайт по уязвимостям хотят опубликоваться в журнале у себя, а может разработчики ПО? Вам откуда всё ясно? Да, это могут быть и script-kiddies, но говорить, что мол всё ясно я бы не стал.
О продавце - никакого явного умысла, кроме получить денег за работу, которая не является противозаконной, я не вижу.
Про автора экплойта, если Вам всё ясно, то Вы просто не программист, не хакер в том смысле, какой он был первоначально в анналах. Поэтому вам "ясно".
Раз это "никак не связано с данной проблемой", то и не приводили бы аналогию, не я начал.
>> В нашем случае с информацией виден явный умысел..
По поводу покупателя: может это спецслужбы хотят купить инфу, а може быть сайт по уязвимостям хотят опубликоваться в журнале у себя, а может разработчики ПО? Вам откуда всё ясно? Да, это могут быть и script-kiddies, но говорить, что мол всё ясно я бы не стал.
О продавце - никакого явного умысла, кроме получить денег за работу, которая не является противозаконной, я не вижу.
Про автора экплойта, если Вам всё ясно, то Вы просто не программист, не хакер в том смысле, какой он был первоначально в анналах. Поэтому вам "ясно".
Ваше веселье - неоспоримый аргумент. Снимаю шляпу.
Разработка средств взлома и средств причинения ущерба даже для собственного совершенствования может быть признано умыслом. А уж продажа таких "инструментов" однозначно посадит изготовителя на одну скамью с исполнителем.
Вопрос пока только в одном, кто будет истцом :) Поэтому, пока нет потерпевшего, нет и дела.
Разработка средств взлома и средств причинения ущерба даже для собственного совершенствования может быть признано умыслом. А уж продажа таких "инструментов" однозначно посадит изготовителя на одну скамью с исполнителем.
Вопрос пока только в одном, кто будет истцом :) Поэтому, пока нет потерпевшего, нет и дела.
На счёт аргументов.. Может это и не аргумент, но я сам являюсь автором одной дыры в Novell Netware 3.12. Хоть это сейчас и не актуально, но тем не менее позвольте мне самому судить о своих намерениях. Т.е. не стоит всех под одну гребёнку..
Кстати, по поводу разработки средств взлома.
Ребята из http://www.elcomsoft.com/ этим и занимаются. Они не скрывают, что среди клиентов у них есть ребята из спецслужб. Что Вы скажете об этих ребятах? Ведь у них могут купить и не только спецслужбы..
Или XSpider от http://www.ptsecurity.ru/xs7.asp?
Кстати, по поводу разработки средств взлома.
Ребята из http://www.elcomsoft.com/ этим и занимаются. Они не скрывают, что среди клиентов у них есть ребята из спецслужб. Что Вы скажете об этих ребятах? Ведь у них могут купить и не только спецслужбы..
Или XSpider от http://www.ptsecurity.ru/xs7.asp?
Автор дыры в Novell - разработчики Novell, полагаю, Вы просто нашли эту дыру. Намерения могут быть совершенно разные. Но в случае, если от ваших действий кто-нибудь пострадал, Вы можете нести ответственность за пусть даже и непреднамеренное причинение вреда.
Что касается спецслужб, то они ничем не отличаются от обычных фирм. Против них можно возбудить иск и можно выиграть дело. Elcomsoft мне хорошо знаком и они занимаются в этом направлении в основном защитой для сертификации отдельных частей ОС в ФАПСИ, а не разработкой эксплойтов.
Что касается xspider, то пока не слышал о процессах с их участием, но полагаю, такое возможно, если будет доказано, что с помощью их продуктов нанесен ущерб. Есть даже внешне более безобидный пример неумышленного вреда - Napster, который позволял размещать любые файлы и тем самым способствовал совершению преступления - распространению нелегальных копий MP3-музыки. И где он теперь? Аналогичный процесс возможен и с авторами xspider, которых могут обязать контролировать использование их ПО в законных целях или прекратить распространение своего ПО.
Что касается спецслужб, то они ничем не отличаются от обычных фирм. Против них можно возбудить иск и можно выиграть дело. Elcomsoft мне хорошо знаком и они занимаются в этом направлении в основном защитой для сертификации отдельных частей ОС в ФАПСИ, а не разработкой эксплойтов.
Что касается xspider, то пока не слышал о процессах с их участием, но полагаю, такое возможно, если будет доказано, что с помощью их продуктов нанесен ущерб. Есть даже внешне более безобидный пример неумышленного вреда - Napster, который позволял размещать любые файлы и тем самым способствовал совершению преступления - распространению нелегальных копий MP3-музыки. И где он теперь? Аналогичный процесс возможен и с авторами xspider, которых могут обязать контролировать использование их ПО в законных целях или прекратить распространение своего ПО.
На счёт дыры - Вы меня поняли.
Elcomsoft может экплойты и не пишет, но средства для взлома продаёт, которые называются "средствами для восстановления.."
Про спецслужбы - хватит меня веселить, мне спать пора уже.
И чё Napster? Полным полно других средств, тока с другим названием. Ничего не изменилось. Но дело не в этом, дело в том, что сейчас просто пытаются обязывать контролировать контент (тех же BitTorrent). Т.е. разумно не давать распространять то, что защищено законом об авторском праве, не закрывая самого сервиса.
В случае с эксплойтами - нелегального контента просто нет! Дыры - это халтура разработчиков, там поспешили, здесь сэкономили.
С XSpider ничего не будет, они не распростарняют ничего нелегального.
Elcomsoft может экплойты и не пишет, но средства для взлома продаёт, которые называются "средствами для восстановления.."
Про спецслужбы - хватит меня веселить, мне спать пора уже.
И чё Napster? Полным полно других средств, тока с другим названием. Ничего не изменилось. Но дело не в этом, дело в том, что сейчас просто пытаются обязывать контролировать контент (тех же BitTorrent). Т.е. разумно не давать распространять то, что защищено законом об авторском праве, не закрывая самого сервиса.
В случае с эксплойтами - нелегального контента просто нет! Дыры - это халтура разработчиков, там поспешили, здесь сэкономили.
С XSpider ничего не будет, они не распростарняют ничего нелегального.
Теперь, надеюсь, Вы поняли, за что можно осудить Wabi-sabi и в каком случае.
За то же, что и продавца ножей, если тот рекламировал клиентам, как можно быстро убить кого-то его ножом.
Сии вещи очевидны и так всем. Речь шла не об этом.
Вы во всех своих аналогиях сравнивали эксплойты, найденные дыры исключительно в одном направлении либо с наркотиками, либо с чем-то краденным, т.е. для Вас это изначально было нелегальным контентом. Аналогии Вами приводились тоже в одном русле: Вам был "виден явный умысел в действиях" и продавцов и покупателей. На что я Вам возразил, что это не совсем так.
Закончу в Вашем стиле: надеюсь теперь Вы поняли, что информация о найденной дыре не является нелегальным контентом, а осудить можно за то, что человек либо использовал её в деструктивных целях, либо намеревался - например, сказал сам об этом продавцу (но для этого нужны свидетельские показания, улики, а не голословно заявлять, что и так всё ясно).
Сии вещи очевидны и так всем. Речь шла не об этом.
Вы во всех своих аналогиях сравнивали эксплойты, найденные дыры исключительно в одном направлении либо с наркотиками, либо с чем-то краденным, т.е. для Вас это изначально было нелегальным контентом. Аналогии Вами приводились тоже в одном русле: Вам был "виден явный умысел в действиях" и продавцов и покупателей. На что я Вам возразил, что это не совсем так.
Закончу в Вашем стиле: надеюсь теперь Вы поняли, что информация о найденной дыре не является нелегальным контентом, а осудить можно за то, что человек либо использовал её в деструктивных целях, либо намеревался - например, сказал сам об этом продавцу (но для этого нужны свидетельские показания, улики, а не голословно заявлять, что и так всё ясно).
То, о чём Вы пишете, это использование информации об уязвимости в деструктивных целях, а не сама информация об уязвимости.
Недоработки в программных продуктах - это личная проблема производителя ПО, а не тех, кто её обнаружил. Я не вижу ни одной законной причины, почему я не могу владеть этой информацией и делиться ею за деньги. Человек изучал продукт на ошибки, потратил кучу сил, времени и ресурсов и хочет за свою работу денег.
То, что бизнес вышел из андеграунда - положительный момент. Т.к. теперь производитель ПО может сам купить свои ошибки, если цена вопроса соответствует серьёзности уязвимости. Это лучше, чем если бы производитель ничего не знал.
Недоработки в программных продуктах - это личная проблема производителя ПО, а не тех, кто её обнаружил. Я не вижу ни одной законной причины, почему я не могу владеть этой информацией и делиться ею за деньги. Человек изучал продукт на ошибки, потратил кучу сил, времени и ресурсов и хочет за свою работу денег.
То, что бизнес вышел из андеграунда - положительный момент. Т.к. теперь производитель ПО может сам купить свои ошибки, если цена вопроса соответствует серьёзности уязвимости. Это лучше, чем если бы производитель ничего не знал.
Безусловно, наличие самой по себе информации не является в данном случае нарушением, но ее сбор, а так же дальнейшее использование (сбыт, распространение и пр.) - является.
Владеть Вы ей можете, а вот делиться - нет.
И порой даже владение такой информацией может принести вред владельцу, если он в суде неправильно объяснит мотивы своего поведения. А уверить суд в том, что мотив хранения был в параноидальном стремлении к накоплению подобной информации и никак не с целью собственного использования, сбыта, распространения и пр. стоит намного больше запрашиваемой цены за эту информацию на этой бирже.
А насчет затрат... так крестьянин тоже растил-растил маковое поле, чтобы бережно собрать урожай самизнаетечего, никого не трогал, потом и кровью взлелеял... и хочет за свою работу денег. А получит срок.
Владеть Вы ей можете, а вот делиться - нет.
И порой даже владение такой информацией может принести вред владельцу, если он в суде неправильно объяснит мотивы своего поведения. А уверить суд в том, что мотив хранения был в параноидальном стремлении к накоплению подобной информации и никак не с целью собственного использования, сбыта, распространения и пр. стоит намного больше запрашиваемой цены за эту информацию на этой бирже.
А насчет затрат... так крестьянин тоже растил-растил маковое поле, чтобы бережно собрать урожай самизнаетечего, никого не трогал, потом и кровью взлелеял... и хочет за свою работу денег. А получит срок.
>> ее сбор, а так же дальнейшее использование (сбыт, распространение и пр.) - является.
Обоснуйте. На каких это основаниях?
>> А насчет затрат... так крестьянин тоже растил-растил маковое поле...
Крестьянин выращивал наркотик. Т.е. уже выращивая он нарушал закон.
Когда кто-то изучает чьё-то ПО и находит в нём ошибки, нарушением закона не является.
Обоснуйте. На каких это основаниях?
>> А насчет затрат... так крестьянин тоже растил-растил маковое поле...
Крестьянин выращивал наркотик. Т.е. уже выращивая он нарушал закон.
Когда кто-то изучает чьё-то ПО и находит в нём ошибки, нарушением закона не является.
На основании попытки причинения умышленного ущерба.
Если пользоваться Вашими аналогиями, то можно вспомнить Ваш пример с ножами: продавец ножами конечно же пытался причинить умышленный ущерб продавая наиболее острые партии ножей, которыми покупатель конечно же хотел убить соседа по даче, например. :)
Поступим по другому и скажем просто: совсем не очевидно и весьма спорно. Потенциальным покупателем может являться и человек с благими намерениями: разработчик антивируса, разработчик ПО, редация журнала по информационной безопасности, ребята из Пентагона, которые хотят сделать себе патч на основе инфы о дыре и т.д.
Это конечно не исключает возможности того, что инфу хочет купить и просто какой-то вандал, как и в примере со столовыми ножами..
Поступим по другому и скажем просто: совсем не очевидно и весьма спорно. Потенциальным покупателем может являться и человек с благими намерениями: разработчик антивируса, разработчик ПО, редация журнала по информационной безопасности, ребята из Пентагона, которые хотят сделать себе патч на основе инфы о дыре и т.д.
Это конечно не исключает возможности того, что инфу хочет купить и просто какой-то вандал, как и в примере со столовыми ножами..
Если доказать, что продавец знал о намерении покупателя и способствовал претворению этого намерения в жизнь, то он, конечно, соучастник. А если он подстрекал покупателя к совершению преступления, то он может быть признан инициатором и главным обвиняемым.
Знать о намерении покупателя очень сложно. Покупатель може и наврать с три короба.
По поводу подстрекательства - так это нонсенс. Тогда должны быть закрыты все сайты типа
http://securityvulns.ru/
http://www.bugtrack.ru/
http://xakep.ru/
http://void.ru/ и т.д..
вместе с магазинами, которые торгуют столовыми ножами..
По поводу подстрекательства - так это нонсенс. Тогда должны быть закрыты все сайты типа
http://securityvulns.ru/
http://www.bugtrack.ru/
http://xakep.ru/
http://void.ru/ и т.д..
вместе с магазинами, которые торгуют столовыми ножами..
"они просто хотят вытащить на свет подпольный хакерский бизнес" - их коллегам даже обычный, не то что хакерский, вытащить не удалось
неужто кто-то поведётся?
выложишь там что-нибудь, а тебя за это компетентные органы - цап!
выложишь там что-нибудь, а тебя за это компетентные органы - цап!
У кого там еще есть "Affected Linux kernel versions: 2.6.0 to 2.6.20.1"? :) Или я чего-то не понимаю..
Какая разница между блогом и форумом?
я сделал свой форум, www.billigates.info на форумах
люди тоже общаються, только разница в оформлении или в другом?
я сделал свой форум, www.billigates.info на форумах
люди тоже общаються, только разница в оформлении или в другом?
какое отношение имеет ваш эээ... "сайт" к этой новости?
Гыы) Сайт "СДЕЛАТЬ СВОЙ САЙТ, СВОИМИ РУКАМИ" сделан так, как не надо его делать)))
Да а как посоветуеш сделать сайт для начинающих? Кто вообще не дает дупля в HTML не говоря про скрипты или PHP.А там www.billigates.info (кроме главной)
все что описываеться на страничках в виде промера можно посмотреть открыв код страницы. Правда форум на PHP но на HTML его сделать просто невозможно.Лучще обьяснил бы людям чем форум от блога отличаеться.
все что описываеться на страничках в виде промера можно посмотреть открыв код страницы. Правда форум на PHP но на HTML его сделать просто невозможно.Лучще обьяснил бы людям чем форум от блога отличаеться.
только что с вашего сайта - кто вас учил ТАК верстать ??? Блевать тянет...
Никто не учил, купил книжку по HTML и сам все набрал,согласен сайт далеко не очень, но как говориться первый блин комом,все таки лучше
что-то делать самому чем пользоваться шаблонами,(как на народе,ру)или CMS-ми, тыкнуть в кнопку install особого ума ненадо.Ну а будет несварение желудка то посмотрите на сайт поблюете легче станет.
что-то делать самому чем пользоваться шаблонами,(как на народе,ру)или CMS-ми, тыкнуть в кнопку install особого ума ненадо.Ну а будет несварение желудка то посмотрите на сайт поблюете легче станет.
Кстати совсем непонятно, почему лоты продаются уникальными экземплярами, а не тиражируются в нужном количестве? Или стоимость эксплоита включает в себя молодого кулхацкера, который "знает как"?
Потому что это рынок *приватных* эксплоитов. Ценность в том, что о них знает только тот, кто их купил (при условии, что продавец ведёт себя честно).
вот вот. получается что покупать заинтересованому всё равно придётся, даже чтобы узнать что эксплойт пофикшен.
Ну наконец-то додумались легализовать!
еще в 2000 я ворчал на тему "лучше бы деньги зарабатывали, а не компы крушили". В мире спецслужб уже давно, лет 150-200 наверное, есть такая практика (без открытого форума, конечно), когда информация продается тому, кто больше заплатит или быстрее отреагирует.
То, что это появилось, значит лишь то, что разработчики теперь могут спокойно открыть свой бюджет для таких вот расходов. Это как наемный тестер, который нашел уязвимость - по сути все легально, что тому платить, что этому.
еще в 2000 я ворчал на тему "лучше бы деньги зарабатывали, а не компы крушили". В мире спецслужб уже давно, лет 150-200 наверное, есть такая практика (без открытого форума, конечно), когда информация продается тому, кто больше заплатит или быстрее отреагирует.
То, что это появилось, значит лишь то, что разработчики теперь могут спокойно открыть свой бюджет для таких вот расходов. Это как наемный тестер, который нашел уязвимость - по сути все легально, что тому платить, что этому.
Пентагон уже потирает руки. Теперь террористов стало искать проще.
Террористов? А какая связь?
Обана, добрый хабрачеловек даже не поленился карму понизить. А теперь по сути... Вы в курсе зачем вообще нужен эксплойт ? Зачем нужно 10000 зараженых вирусом машин, над которыми у некоторой группы людей есть контроль. Вы в курсе что организованная преступность ломится в киберпространство ? Вместо понижения кармы, попробуйте помедитировать над этими вопросами.
Есть онлайн казино. Оно приностит бешенную прибыль ежедневно. Простой - потеря прибыли. Владельцу данного бизнеса звонят ребята и говорят - "Мужик у нас есть 10000 ботов. Мы можем положить твоё казино на несколько дней, дай много денег и мы тебя трогать не будем." Он отвечает - "В гороскопе у меня такого не написано". Казино ложится. Потом владельцу звонят ещё раз, и он таки платит деньги.
Есть онлайн казино. Оно приностит бешенную прибыль ежедневно. Простой - потеря прибыли. Владельцу данного бизнеса звонят ребята и говорят - "Мужик у нас есть 10000 ботов. Мы можем положить твоё казино на несколько дней, дай много денег и мы тебя трогать не будем." Он отвечает - "В гороскопе у меня такого не написано". Казино ложится. Потом владельцу звонят ещё раз, и он таки платит деньги.
Ну только не говорите, что и минусы я Вам поставил :)
Я прекрасно знаю, зачем нужен эксплойт, а также прекрасно знаю, как можно использовать зараженные машины.
У кого-то есть автомобиль, а террористы ломятся на автодороги. Это что, доказывает прямую связь терроризма и автопрома?
Пример с казино как-то отражает связь ddos и терроризма?
Мне всё-таки кажется, что Вы неверно терминами оперируете: ребята, имеющие сетку ботов для ддоса не являются террорисатми. Да и если честно, Пентагону до таких ребят дела нет :)
Я прекрасно знаю, зачем нужен эксплойт, а также прекрасно знаю, как можно использовать зараженные машины.
У кого-то есть автомобиль, а террористы ломятся на автодороги. Это что, доказывает прямую связь терроризма и автопрома?
Пример с казино как-то отражает связь ddos и терроризма?
Мне всё-таки кажется, что Вы неверно терминами оперируете: ребята, имеющие сетку ботов для ддоса не являются террорисатми. Да и если честно, Пентагону до таких ребят дела нет :)
UFO just landed and posted this here
Блин, господа, 21-й век на дворе, а до сих пор переполнения буфера и скрипт-инжекшн. Пора выкидывать на помойку старые технологии, позволяющие данное раздолбайство. Интересно, а существуют эксплоиты для Tomcat/JSP?
всегда существовали закрытые площадки подобного рода для купли/продажи эксплоитов. Ваби-саби первый блин (пока неизвестно, комом или usb правда), с помощью которого будет проверена возможность работы этого механизма в полуофициальном стиле. А засудить можно кого угодно за что угодно, каким бы этот проект не был.
Когда уже всех этих мразей закроют?!
Sign up to leave a comment.
Открылась площадка для торговли эксплоитами