Хакеры благородно обошлись с NASA

    Как правило, когда становится известно о состоявшемся факте эксплуатации злоумышленниками какой-либо уязвимости на сайте, то практически всегда следует публикация «слитых» материалов. Многие помнят о серии атак анонимных хакеров на сайты целого ряда серьезных организаций и, как следствие, публикацию приватных данных сотрудников или клиентов (как это случилось со StratFor или с посетителями неонацистских сайтов, хотя в этом случае можно и поспорить). В качестве недавнего примера этого утверждения можно указать на серьёзный инцидент с безопасностью сайта Организации Объединённых Наций, когда некая группа хакеров, называющая себя Casi, опубликовала на PasteBin запись с логами Blind SQL-инъекции на www.un.org и заботливо упаковала украденные данные в архив, который все любопытствующие могли скачать в течении нескольких дней.

    Тем не менее, существуют такие хакеры, которые оправдывают название в своём первоначальном, не связанном с компьютерными преступлениями, смысле.

    Участники группы TeamHav0k r00tw0rm и inj3ct0r, проведя SQL-инъекцию на одном из доменов NASA, смогли получить более чем 6 Гб различной приватной информации (логины, пароли, адреса электронной почты), о чем и поставили в известность общественность, опубликовав на PasteBin запись с некоторой частью украденных данных. При этом любопытен мотив, описанный хактивистами в сопровождающем тексте: они утверждают, что полностью скомпрометированные данные не будут ими опубликованы, а руководство NASA должно внимательней относиться к безопасности своих серверов, а в качестве доказательства плачевности их безопасного состояния и команды их обслуживающей (совет хакеров, как с ней следует поступить, прямо говоря, не печатен), как раз и должна служить частично «слитая» база.

    Примечательно, что столь наукоёмкая организация как NASA, уже не в первый раз подвержена инцидентам с безопасностью своих данных. Совсем недавно на ряде доменов lance.nasa.gov, gaia.esa.int, earth.eo.esa.int, xmm.vilspa.esa.es and earthdata.nasa.gov были обнаружены XSS-уязвимости, но, тем не менее, руководство NASA, судя по скорости реакции, не слишком озабочена потенциальными нарушениями безопасности своих web-ресурсов.
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 125

      +7
        +1
        Вот они настоящие «робин гуды» нашего века), а не те, кем окрестила пресса всяких крэкеров и тп
          +7
          К слову о «робин гудах». Мне кажется, или когда-то было принято при нахождении уязвимости сообщать личным письмом администрации ресурса/организации, а не качать 6 гигабайт приватных данных и отправлять сообщения через PasteBin?
            –2
            согласен, что может они не очень красиво поступили выложив на всеобщее обозрение, но зато это самый действующий способ привлечь внимание к данной проблеме.
              0
              >We did contact NASA few days ago but I think they don't wanna take it serious.
              >Showing off so that they may take it serious and patch vuln soon!
            +1
            От имен TeamHav0k, r00tw0rm, inj3ct0r так и веет чем-то теплым, добрым, вечным…
              +1
              Посмотрите 188 строку в «послании» ;)
                +1
                Hack like it's 1998. <3

                И то правда.
            +1
            Радует хотя бы то что помимо паролей вида «password» и «video», там встречаются «SVS$193x», «2vote4vid@LaRC!», «nMPPOle^ed042».
              +5
              И совсем не радует, что это хранится в plain-text виде, а не в виде хешей. (В такой организации, имхо, необходимо юзать PBKDF2 с кол-вом итераций не менее 100К в связке с SHA256/512 — что делается тривиально)
                –5
                Это в России такие люди умные, а там, то ли от лени, то ли еще отчего-то не хотят заморачиваться. Странно конечно. Организация стратегического масштаба.
                  0
                  Такие глюки к стране имеют мало отношения. И в России достаточно ляпов есть, и в других странах тоже есть умные люди.
              0
              но и это им не помогло ))
                +8
                Я недавно раскрутил одну SQL-Injection и оказался в базе данных Библиотеки Конгресса США, о чём тут же им сообщил. Даже не поблагодарили. :)
                  +21
                  хорошо, ещё дело не завели)
                    0
                    А дырку-то закрыли? ;)
                  +18
                  То есть мы так и не узнаем правды про инопланетян и НЛО? Жаль…
                    +1
                    Конечно не узнаем. Никто не решится похоронить такой прибыльный миф :)
                    –4
                    Слить 6гб данных — вы называете благородством? Это не хактивизм — это киберпреступность.
                    Просто теперь дампы будут валяться на приватных форумах, продаваться, использоваться для дальнейших взломов и т.д. и в конечном счете утекут в паблик, когда из них выжмут все возможное.

                      +1
                      В отчасти правы в том смысле, что данные были получены незаконным путём.

                      С другой стороны, этим же путём мог воспользоваться и кто-нибудь другой, который сразу же бы выложил весь дамп в открытый доступ и тогда этим точно воспользовались бы. Так что в идеале директор НАСА должен бы обратить на это внимание на этот «слив» и попытаться предотвратить следующий, потому как кто знает, что хранится на серверах НАСА?
                        0
                        Я больше про количество данных, которые были похищены.
                        Для описаных вами целей достаточно и того, что слили в паблик, т.е. с десяток строк.
                      0
                      Если Поповкину хватило ума договориться с хакерами, то слитые данные можно и не публиковать.
                        –3
                        Странно это, не похоже на благородство.
                        Вот подойдет вор (или полицейский) к прохожему, залезет в карман, вынет кошелек, а потом вернет кошелек и скажет: — внимательнее следите за своими карманами.
                        Разве это нормально?
                        Понятно, что так или иначе украсть можно все что угодно, но зачем целенаправленно этим заниматься относительно других?
                          +1
                          Конечно, лучше пусть кто-то упрёт всё молча, и жертва об этом даже знать не знает.

                          А здесь, де-факто, и ущерб минимален, если вообще наличествует, и жертва поставлена в известность об уязвимости. Если проводить аналогию, можно сравнить с фехтовальным матчем на рапирах — ты не протыкаешь соперника насквозь, а лишь обозначаешь место удавшейся атаки тычком.
                            –2
                            Так может уже и уперли 10 раз до того как эти хакеры нашли дыру?
                            Аналогия с фехтованием не нравится, т.к. иметь сайт в интернете — это не вид борьбы.
                            Другой пример, вы оставляете телефон на столе и уходите, скажем, в туалет. Прийдя, вы обнаруживаете некоего человека в маске, который ковыряется в вашем телефоне и увидев вас говорит:
                            — У вас тут уязвимость в установленном почтовом приложении обнаружил, кто-нибудь может посмотреть ваши личные письма, как например письмо, где вы пишите своей любовнице. Кстати, я никому ничего не буду рассказывать, просто хочу, чтобы Вы знали.
                            Кроме таких людей никто ничего брать и не будет, а если кто и возмет — ничего не поделать, своровать можно все что угодно, если захотеть.
                              +1
                              Ну так по вашему выходит, лучше было упереть в 11-й раз молча?
                                –2
                                Нет, по-моему, не стоило 11 раз ковырять, если НАСА не давали на это своего согласия.
                                  +4
                                  Яндекс тоже не дает согласия на нахождение XSS-дыр в интерфейсе, но это не мешает мне их регулярно находить и сообщать. Или этого тоже не стоило делать?
                                    –3
                                    Если они не против, то почему нет. Но мне кажется, что нужно спрашивать разрешение на поиск уязвимостей прежде чем их искать. Тем более, что это не сложно.
                                    Вообще, если не спрашивать разрешения, то это может быть довольно рискованным занятием.
                                    Думаю, никто не удивиться, если вдруг после взлома очередной крупной организации останки «благородного» хакера будут найдены в лесу и сочтуться за самоубийство.
                                      +7
                                      Лол. То есть, я такой подкатываю к владельцу ресурса — эй, чувак, слушай, тут я немного хакер, можно я у тебя дыры поищу в софте, не? Вы не думали, куда меня пошлют?
                                        –3
                                        Лол. То есть, вы такой подкатываете к владельцу ресурса — эй чувак, слушай, тут я немного хакер, нашел у тебя дыру через которую видно содержимое базы, личную переписку и пароли админа. Вы не думали, куда Вас могут послать?
                                          +3
                                          Мне скажут «спасибо» за то, что я её нашёл, и сообщил ему, то есть владельцу, а не запостил где-нибудь на ирце среди скрипткидди.
                                            0
                                            Не сравнивайте себя с преступниками, сравнивайте лучше с добропорядочными людьми.
                                              0
                                              Найти дыру, не использовав её хотя бы единожды, невозможно, а следовательно, я точно так же нарушаю УК.
                                                –2
                                                Что и требовалось доказать )
                                                Спасибо за честный разговор, давно эта тема интересовала, так как сам 10 лет назад хотел стать «хакером».
                                                  +4
                                                  Лучше бы Вы голову проверили, честно. У Вас все настолько шьётся белыми нитками, а мои доводы настолько гиперболизируются, что я задаюсь вопросом о том, способны ли Вы критически мыслить.
                                          –1
                                          Можно нормально сформулировать вопрос и тогда все будет ок, например, не «эй, чувак», а «я являюсь представителем организации по сетевой безопасности, могу бесплатно провести анализ вашего ресурса на наличие уязвимостей».
                                            +1
                                            А почему я должен прикидываться представителем или специалистом? Я быдлокодер на паскале и пыхе, который учится на юриста, но да — я таки-случайно нашёл у вас на ресурсе дыру. Ничего, обычно благодарят.
                                              –1
                                              Случайно находите, а благодарят обычно? ;)
                                              И что, часто дыры заделывают, Вы проверяете это?
                                                0
                                                Проверяю. Яндекс почти всегда затыкает, Мейлру — с задержкой в пару недель.
                                                  –1
                                                  Ладно, Вы, наверное, порядочный человек и если Вас попросят залезть к кому-нибудь на сервер за круглую сумму, то Вы откажете )
                                                  У Вас ведь нет «цены», как у большинства и благородство из Вас так и лезет )
                                                  Жму руку.
                                                    0
                                                    Лучше быть Д'артаньяном, чем до истерики подозрительным.
                                                      –1
                                                      Лучше быть добропорядочным и не совать свой нос куда не следует.
                                                      Д'артаньяны, они ведь только в фильмах неуязвимы, а в жизни их легко могут «наказать».
                                                        +1
                                                        Все с Вами ясно. Сидите дальше на диванчике и жрите жвачку.
                                                          –1
                                                          1. Ответ как аргумент не засчитан в связи с персонализированной окраской )
                                                          2. Дивана в квартире не имею, жевачек никогда не жую )

                                                          Если по делу, то: я ж не спорю, просто интересно было узнать мнение по ту сторону баррикад, не стоит принимать близко к серцу мое мнение — я ж один из миллиона- быдло, каких большинство.
                                                            +1
                                                            Ну, наконец-то, признали. А то я уж думал, что до Вас так и не дойдёт.
                                                0
                                                И да, можете написать, что вы юрист и ваше хобби — IT, вы случайно нашли уязвимость. Нет проблем. Особенно, если случайно. Другое дело зачем такие люди как в топике регулярно это делают?
                                                  0
                                                  По фану, а фан нужен регулярно.
                                                    0
                                                    А я по фану люблю других героином колоть ) Подходишь к человеку и рраз его шприцом и говоришь ему — ваша одежда недостаточно защищена от шприца с героином ) А фан мне нужен регулярно )
                                                    зы Я, конечно, такими вещами не занимаюсь, просто еще одна аналогия )
                                                      0
                                                      Конечно, взлом и распространение наркоты — это две вещи одного порядка, правда?
                                                        –1
                                                        Смотря что за взлом. Если он способен сломать ядерные реакторы страны, то это похуже будет, чем распространение наркоты. Не надо утрировать.
                                                          +1
                                                          Если «ядерные реакторы» подключены к Сети, а не находятся в замкнутом интранете, то это в первую очередь не заслуга хакеров, а идиотизм тех, кто эту инфраструктуру создавал.
                                      • UFO just landed and posted this here
                                          –1
                                          Позиция не страусиная. Позиция нормальная. Я вот ношу телефон в кормане и любой ловкий жулик может вытащить его у меня в метро. Что же мне его носить в сумке? И спасет ли это?
                                          Может во внутреннем кармане куртки? А может мне это не удобно? А летом как?
                                          Короче, украсть можно всегда, вопрос в том, на сколько имеет смысл тренироваться в воровстве на других.
                                          И не факт, что найденную уязвимость устранят:
                                          но, тем не менее, руководство NASA, судя по скорости реакции, не слишком озабочена потенциальными нарушениями безопасности

                                          Зато теперь все знают что уязвимости есть и их можно поискать. Какое же это благородство?
                                          • UFO just landed and posted this here
                                              0
                                              Аналогии мои вполне уместны и письку свою я не собираюсь никому показывать не смотря на то — собирается ее кто-то оторвать или нет )
                                              Позволю себе еще одну аналогию:
                                              Приходте вы домой и видите, что рядом с дверью вашей квартиры стоит человек в маске, который говорит «у вас дверь плохо защищена, я замок открыл за 5 минут». Ясное дело все скачут ему спаси и постараются поскорее сменить замок. Вопрос в том, на сколько такое поведение этично. Понятно, что Вы будучи «блэкхэтом» моглибы драгоценности украсть, но не надо себя сравнивать с уголовными преступниками, сравните себя лучше с нормальными в меру порядочными гражданами.

                                              А это и не ваша забота

                                              Асолютно верно. Уязвимости других — это не ваша забота, а хобби ваше подозрительно.

                                              Вообще, я ничего против хакеров не имею, сам пару раз ломал учебные крякми в IDA, просто хочется аргументированно обсудить то, как я это вижу.
                                              • UFO just landed and posted this here
                                                  0
                                                  Пример с квартирой некорректен

                                                  Хорошо, тогда другой пример — вуаэризм. Некто подсматривает, как кто-то занимается сексом, снимает это на видео, приходит, отдает касету и говорит, что «у вас жалюзи были не закрыты, смотрите поаккуратней с этим, а чтобы вы точно научились закрывать жалюзи я прелюдии выши выложил в паблик».
                                                  Пойдет пример? )

                                                  Ну да, те, кто собирают спички могут заточить одну из них и проткнуть сонную артерию человека, такие хобби тоже надо пресекать.

                                                  Аргумент засчитан, хобби Ваше больше не считаю подозрительным.

                                                  Ваша позиция — оставить все как есть и без разрешния не трогать, но потом махать руками если придет злой блэкхет, дефейснит сайт, повешает на него пакет со сплоитами и будут рубить бабки на пользователях.

                                                  Я никак не пойму — Вам то что? Мало что-ли ботнетов и червей? И ничего, живут люди. Никто же на сайте наса дефейс не устраивал? Зачем было его трогать, да еще часть информации выкладывать?
                                                  Вот если бы в случае дефейса вы быстренько его обнаружили и устранили — вот это другое дело, но этим, почему-то, никто из хакеров не занимается, хотя, на мой взгляд, автоматизировать проверку популярных сайтов можно легко, особенно если есть какой-никакой ботнет.
                                            • UFO just landed and posted this here
                                                –3
                                                Благородство — не лезть в проблемы других, если не просили,
                                                все остальное от лукавого.
                                                  0
                                                  Окей, я просто в следующий раз, когда найду XSS в интерфейсе ЯД, буду втихаря юзать его в собственных мерзких целях. Меня же не просили лезть, правда?
                                                    –4
                                                    Нет, Вы НЕ должны искать уязвимость в принципе, а если даже случайно найдете, то лучше, на мой взгляд, забыть об этом, не эксплуатировать эту дыру и даже никому о ней не говорить. Это по-моему честно, хотя за бутылкой пива можно и попонтоваться перед друзьями, хотя последствия могут быть плачевные.
                                                      +1
                                                      Утрированно:
                                                      Сижу, работаю. Бац! Вываливается еррор.
                                                      Читаю — а там полный путь к фтп базе в открытом виде, т.е. с логином и паролем. Админский доступ.

                                                      Что мне делать?
                                                      Никому не говорить об этом? НО я же работаю с этим сервисом. Я себя там нашел в базе. ТАм мои данные, причем в открытом виде. ЧТО МНЕ ДЕЛАТЬ?
                                                      Сидеть втихаря и молчать? Чтобы кто-то другой поймает этот еррор и сольет все МОИ данные?
                                                      Или все же написать в суппорт?
                                                      Или поднять чсв и разослать всем контактам багу?
                                                      Или выложить в паблик базу?

                                                      НЕеееее. Зачем. Лучше забью и буду тихонько сидеть. И никому не говорить. А че — это же не мое дело.
                                                        –3
                                                        Не подменйте две вещи:
                                                        1. Яндекс.Деньги на какой-то там сервис, с которым Вы работаете.
                                                        2. Случайное обнаружение ошибки и целеноправленный их поиск.

                                                        Если компания небольшая и уязвимость найдена действительно случайно, то можно и описать проблему, хотя я бы все равно не вдавался бы в детали, чтобы не заподозрили — просто бы описал ошибку.

                                                        Люди из топика, про которых я говорил, ищут уязвимости целенаправленно и у крупных компаний. При этом их называют благородными.
                                                          0
                                                          То есть, если я найду дыру в, скажем, Хроме, я должен промолчать и забыть о том, что она там была? Так получается, по Вашей логике?
                                                            –2
                                                            Опять Вы путаете.
                                                            Гугл открыто говорит, что платит за найденные уязвимости.
                                                            Разве НАСА платит за найденные уязвимости?
                                                              0
                                                              А какая мне разница, платят или нет? Я нашёл, я сообщил, какая разница, дадут мне за это денег или нет?

                                                              Или же можно дыры находить и сообщать только тогда, когда об этом просят и деньги дают? Тогда бы в Винде до сих пор был жив DLL Hell.
                                                                –2
                                                                Разница в том — нужно ли компании, чтобы у нее искали уязвимости или нет.
                                                                Вас искать ведь не просили, зачем тогда искать?
                                                                А DLL hell только условно можно назвать дырой и нашли его не хакеры, а миллионы обычных пользователей.
                                                                  0
                                                                  Действительно, счастье в неведении, правда?
                                                                  Подход security-through-obscurity до добра не доводит, знаете ли.
                                                                    –2
                                                                    Нет, я этого не говорил.
                                                                    Если компания не имеет ничего против своих дыр, то и не нужно их искать.
                                                                    Если их кто-то найдет и будет эксплуатировать — это проблема компании.
                                                                    Не нужно лезть к компании со своими самоварами — она сама должна за себя отвечать.
                                                                    Сони вот, сколько не пыталась защищаться, а ее все равно ломали.
                                                                    Думаю что в вечной борьбе «пули и брони» пуля всегда на один шаг впереди и с этим ничего не поделать. Как ни защищайся — все равно могут убить/вломать и пр. Доказано Sony и Кеннеди.
                                                                      0
                                                                      Сони насрала всему опенсорс-сообществу, за что и поплатилась простоем PSN. Поделом.
                                                                        –2
                                                                        Я не спорю, может и поделом.
                                                                        Я говорю о том, что взломать можно всегда, если захотеть, ни смотря на любую защиту. Так зачем это делать целенаправленно и регулярно в отношении других? Еще и претендуя на благородство.
                                                                          +3
                                                                          Если я нашел ошибку и не сказал о ней — я, бесспорно мудак. Если я нашёл ошибку, и растрезвонил о ней прежде, чем сообщил жертве — я снова мудак.

                                                                          Однако, если я обнаружил косяк, и сообщил о нём, дождался фикса, и уже потом сообщил о том, как это было — я няша.

                                                                          Моя риторика доступна для понимания?
                                                                            0
                                                                            Вы передергиваете. Я ни разу не употреблял слово мудак.
                                                                            Я говорил лишь о том, что не нужно искать целенаправленно слабые места других и указывать на них (если они не просили). И уж тем более не стоит в таком случае рассчитывать на звание благородного.

                                                                            Если вы случайно нашли косяк, то можете сообщить, хотя если речь идет о ЯД, то я бы не стал, чтобы не искушать судьбу )

                                                                            Честно говоря, риторика не совсем доступна, не пойму что Вы хотели этим сказать. Да, я согласен, что Вы «няша», если случайно нашли баг и сообщили о нем разработчикам. Если выйдет фикс, то да, можно и статью накатать.
                                                                            Дело в другом — люди которые целенаправленно ищут недостатки других и им на них указывают без разрешения не могут называться благородными. Вот и все. Только об этом мой первый пост, который вытек в эту ужасно длинную беседу.
                                                                              +1
                                                                              Я не могу понять что нелегального или неправильного в поиске ошибки в программе вместо разработчика. Я экономлю его время и деньги, позволяя найти косяки, пропущенные за время бета-теста.

                                                                              ЯД, между прочим, всегда адекватно относится к баг-репортам, особенно касательно дыр в интерфейсе.
                                                                                0
                                                                                С ЯД просто повезло, что руководство лояльное.
                                                                                А НАСА? Как она относиться к поиску у нее уязвимостей?
                                                                                  0
                                                                                  Вполне нормально, как показывает практика. Слоупочат со штопаньем.
                                                                                    –1
                                                                                    Как показывает практика:
                                                                                    тем не менее, руководство NASA, судя по скорости реакции, не слишком озабочена потенциальными нарушениями безопасности своих web-ресурсов
                                                                                      0
                                                                                      Ну я же говорю — слоупочат. Заткнуть заткнут, куда денутся.
                                                                                        0
                                                                                        Да понятно, если мне укажут на слабость замка путем вскрытия двери я тоже его сменю, но вот благородно ли такое поведение?
                                                                                        Судя потому, что Вы уклоняетесь от этого ответа — навряд ли )
                                                                                        Вообще, я уже более менее составил представление о мотивах хакеров, за что вам благодарен. Спасибо, что приняли участие в этой длительной дискуссии.
                                                            0
                                                            Я собираюсь работать с каким-то сервисом, доверить ему свои личные данные (хотя бы мою историю просмотра его страниц) и хочу проверить насколько хорошо он их охраняет от посторонних. Имею моральное право?
                                                              0
                                                              Конечно. Но я бы не копировал с него информацию и не выкладывал ее часть паблик. Можно же просто спросить «у вас есть уязвимость такая-то, будете чинить?». Если нет, ищите другой сервис. Так же можно поступить?
                                                                0
                                                                А предупредить остальных, что этой компании наплевать на безопасность пользовательских данных? Вряд ли же они пишут это на главной крупным шрифтом.

                                                                А как предупредить так, чтобы тебе поверили однозначно?
                                                                  0
                                                                  Хороший аргумент. Однако, хакер мог бы сам написать на главной и это было бы гораздо более действенно, чем публиковать закрытые данные.
                                                                    0
                                                                    Уязвимость может не предоставлять возможность дефэйса, только возможность получить или изменить чужие данные.
                                                                      0
                                                                      Соглесен.
                                                                      Я слитые из НАСА данные не видел, может там нет ничего серьезного.
                                                              0
                                                              Да, они и есть благородные. Они бесплатно сообщают этим компаниям об ИХ же, ***ть, критических ошибках, потому что такие ошибки — абсолютно критические. И если в компании работают такие дебилы, что игнорирует в течении нескольких дней сообщение о критической уязвимости, которое лежит в их почтовом ящике — их проблемы.

                                                              Написать приватное письмо с описанием ошибки — это именно что, верх благородства.

                                                              Не написать такое письмо и просто написать о -day уязвимости на Хабре или где там — это не очень красиво, да.

                                                              Слить всю инфу и выложить в паблик — совсем неблагородно, да. Но действенно как правило.
                                                              0
                                                              Что вам делать? Очень просто, делайте то, что вы делали. Напишите тут же письмо в Яндекс (или какую угодно компанию) с описанием проблемы. Если они не ответят в течении пару недель, и вы проверили, ошибку не пофиксили — напишите об этом на хабре.

                                                              Любителей порассуждать на тему благородства посылайте на. Подумайте — вам лично хочется пользоваться для серьезных задач серсисом, которые не только сам превентивно не ищет у себя ошибки, но и игнорирует ошибки, присланные юзерами???

                                                              А что там после этого будет с тем, кто такую ошибку допустил, или с репутацией Яндекса или какой угодно компании? Уволят их, или засмеют, их проблема. Если у вас стремная цветовая схема, неидеально эргономичный интерфейс, перегруженный UI и прочее — это не проблема. Я все еще могу вами пользоваться. Но вот если вам насрать на безопасность настолько, что «быдлокодер на php, учащийся на юриста» — вот это куда серьезнее уже.

                                                              Яндекс привожу тут только как пример, конечно.
                                                                0
                                                                *что даже «быдлокодер на php, учащийся на юриста» может вытащить приватную инфу с вашего сайта
                                                            • UFO just landed and posted this here
                                                                0
                                                                Да ну что Вы ) Конечно, я в это не верю и не для этого общаюсь.
                                                                Я лишь хочу сказать что не гоже хакеров называть благородными и заодно пытаюсь понять их мотивы.
                                                                • UFO just landed and posted this here
                                            0
                                            Прибежали хакеры и давай минусовать ))
                                            Мне не жалко, могу и в ro посидеть, если другим я неугоден ;)
                                            Только прошу — не надо искать у меня уязвимости :D Серьезно.
                                              0
                                              Я спорю с тремя хакерами, при этом у меня по три минуса, а у них по три плюса на каждом посте.
                                              К чему бы это? :D
                                                –1
                                                Вообще, это можно счесть за благородство.
                                                Могли бы и насовсем выпилить с хабра )
                                                  +2
                                                  Вас минусуют не потому, что мы хакеры или не хакеры, а потому что Вы — идиот.
                                                    –2
                                                    Как аргеумент не засчитано )
                                                    Пиши не переходя на личности, а аргументируя свои слова, как это стараюсь делать я.
                                                    Я общаюсь для «поиска истины», а не для того, чтобы доказать себе, что прав и не для того, чтобы поругаться.
                                                      0
                                                      Вы используете риторику, которая была популярна в штатах в 90-е годы: хакеры — это преступники, точка.
                                                      Неважно, приносят ли они пользу, но владеть подобными знаниями — преступление. Это же смешно.

                                                      >> Я общаюсь для «поиска истины», а не для того, чтобы доказать себе, что прав
                                                      Поиск истины = поиск верного, попытка доказать, что что-то есть правда, а что-то — ложь. Вы сами себе противоречите.
                                                        –1
                                                        Опять не верно. Риторика у меня отсутствует, по крайней мере в том виде, как ее определяет википедия. Я стараюсь писать лишь аргументы. То, что хакеры — это приступники я ни в коем случае не считаю, есть много хакеров, которые работают на такой должности и это их работа. Все честно. В первом посте я сказал, что не понимаю, почему люди, ищущие слабые места других и указывающие на них в таком виде как это сделали с NASA называются благородными?

                                                        Поиск истине не обязательно поиск верного, это может быть и поиск неверного ) Например я ищу вашу точку зрения, которая является истиной, но может быть неверной. Про правду и ложь речи вообоще не идет. Я же написал, что хочу узнать мнение с «другой стороны баррикад», хотя это не совсем точно, потому что я в этой войне вообще не учавствую.
                                                          0
                                                          >> приступники
                                                          И этот человек разговаривает со мной на «ты», отлично.

                                                          >> Риторика у меня отсутствует, по крайней мере в том виде, как ее определяет википедия.
                                                          Риторика в данном контексте, если угодно, это манера ведения спора, в частности — употребление определённых доводов за или против. Говоря, что у Вас отсутствует риторика, вы, фактически признаёте за собой полное профанство вообще в чём-либо.
                                                            0
                                                            И этот человек разговаривает со мной на «ты», отлично.

                                                            Пишу быстро, допускаю описки и грамматические и пунктуационные ошибки. Прошу простить. На «ты» ни разу не обращался, вместо «пиши», должно было быть «пишите», так же как и в другом посте вместо «спаси» должно было быть «спасибо». Мой недостаток. Постараюсь быть внимательнее.

                                                            С каким смыслом Вы употребили слово риторика, я не знаю, я же написал, что если Вы используете определение, как в википедии, то я к этому отношения не имею.
                                                      • UFO just landed and posted this here
                                                          0
                                                          Спасибо, это уже конструктивнее.
                                                          С вашим примером согласен, но в статье ресь идет не о финансовой организации и хакеры таки выложили часть информации. Разве это благородно?
                                                          Или еще бывает, «благородные» хакеры пишут в компанию, она долго не закрывает дыру и они на зло, видимо, публикуют данные о дыре.
                                                            0
                                                            Или еще бывает, «благородные» хакеры пишут в компанию, она долго не закрывает дыру и они на зло, видимо, публикуют данные о дыре.

                                                            Это значит, что компании наплевать на дыру и её наличие компания не считает угрозой своему бизнесу. А раз не считает, значит можно с чистой совестью выложить.
                                                              0
                                                              У комании может быть множество проблем, начиная с финансовых, заканчивая организационными. Почему бы не предложить свою помощь и не объяснить тех. специалистам в тем проблема? Почему бы не промолчать до тех пор пока появится кто-то кто реально начнет использовать уязвимость? Может к тому времени компания уже все починит.
                                                                0
                                                                Так обычно им и сообщают что-то вроде «при вводе в такое-то поле такого-то значения я вижу такие-то данные, которые обычно в паблик не выкладывают и, более того, подозреваю, что введя такое-то значение я могу и изменить данные, которые по идее не имею права менять».

                                                                Потому что это не внутреннее дело компании, но и дело её клиентов, как бывших, как нынешних так и будущих. Если вы видите, что человек собирается сделать что-то опасное, явно не догадываясь, что это опасно, то вы считаете что самое благородное это промолчать и не предупредить его об опасности?
                                                                  0
                                                                  Согласен, действительно дело клиентов, и да — я считаю, что можно написать личное письмо админу. Однако в статье речь идет не о письме в приват, а о публикации закрытых данных в паблик. И называется это — благородство. Я против этого. И не сравнивайте случайное обнаружение проблемы со специальным, иногда «профессионально изощренным» поиском. На любую хитрую задницу можно найти подходящий болт с резьбой.
                                                                    0
                                                                    Обычная, афаик, ситуация:
                                                                    — находим уязвимость
                                                                    — сообщаем админу лично

                                                                    Далее два варианта:
                                                                    1) админ быстро фиксит, благодарит и мы забываем. Или выкладываем инфу в паблик, если уязвимость не «детская» не ссылаясь на конкретные сайты, чтобы остальные админы (и их клиенты) могли проверить свои сайты на наличие этой уязвимости и исправить её.
                                                                    2) админ игнорит предупреждение.

                                                                    Как во втором случае поступить благородно: забыть и оставить риск, что кто-то не со столь альтруистическим подходом найдёт эту уязвимость и похитит данные для использования в корыстных целях. Или всё же предупредить максимально возможное количество людей, что пользуясь этим сайтом они подвергают свои данные риску утраты или компроментации?

                                                                    А про специальный поиск. Передачи по ТВ, где сравнивают, например, йогурты разных производителей, чтобы предоставить потребителям объективную (заявлено) информацию — тоже не благородным делом занимаются и их нужно осуждать?
                                                                      0
                                                                      Во втором случае, мне кажется, наносить ущерб компании (публикацией личных данных или информации об уязвимости) не стоит. У них может быть и так проблемы — может они админа сейчас ищут или тим лида? Может финансовый период сложный и они не могут нанять достаточно квалифицированного специалиста? Может такой специалист есть, но с ним сложные отношения? Причин может быть миллион, но это не повод усугублять состояние компании еще больше.
                                                                      Можно предложить помощь в консультации или в помощи квалифицированного специалиста, но уж точно не стоит публиковать закрытые данные, как мне кажется.
                                                                        0
                                                                        На счет передачи по ТВ — я с трудом представляю о чем Вы, я не смотрел телек лет 10, но если о передачах, где приводят реальные торговые марки и независимых экспертов, то разве так делают? Я что-то не видел и вроде это даже запрещено, почему и фигурирует все время «обычный порошок», а не реальной марки. Если озвучите зазвание передачи, то буду Вам благодарен, прекращу этот разговор и признаю свою неправоту.
                                                                          0
                                                                          Я тоже случайно увидел, когда в командировке был :)

                                                                          Да, делают, причём привлекают не только «анонимных» экспертов, но и специалистов Роспотребнадзора, СЭС и т. п. Не путайте рекламу одного продукта, и аналитический обзор по нескольким, причём не по одному критерию.

                                                                          Много таких передач. Например, ru.wikipedia.org/wiki/%D0%92%D0%BF%D1%80%D0%BE%D0%BA и ru.wikipedia.org/wiki/%D0%9A%D0%BE%D0%BD%D1%82%D1%80%D0%BE%D0%BB%D1%8C%D0%BD%D0%B0%D1%8F_%D0%B7%D0%B0%D0%BA%D1%83%D0%BF%D0%BA%D0%B0_(%D1%82%D0%B5%D0%BB%D0%B5%D0%BF%D0%B5%D1%80%D0%B5%D0%B4%D0%B0%D1%87%D0%B0)
                                                                            0
                                                                            Спасибо, передачи правда сомнительные, но тем не менее урон компаниям принести могут. Я признаю свою неправоту и потрачу некоторое ближайшее время, чтобы пересмотреть свои убеждения.
                                                                              +2
                                                                              не торопитесь. я внимательно читал доводы обеих сторон. Они обе жизненны, просто воды развели много.
                                                                              Невозможно пройти мимо такого довода как
                                                                              не нужно искать целенаправленно слабые места других и указывать на них (если они не просили).

                                                                              Даже на интуитивном уровне понятно почему: этих «слабых мест» может быть бесконечно много. Тогда поиск по факту становится травлей. О чем даже самые «благородные» иногда забывают.
                                                                              (Теперь в этом месте должно быть «однако» или «тем не менее»).
                                                                              ОднакоТем не менее, вы применяете абсолютный принцип к релятивным феноменам.
                                                                              Построение системы_без_уязвимостей, поиск уязвимостей, закрытие уязвимостей — общий процесс, в котором совершенствуются технологии и приобретаются новые знания. Знание сокращает время развития и является его продуктом. Чем больше админ знает о безопасности, чем глубже разработчик закладывает в систему всевозможные проверки тем дольше система останется неуязвимой. Дольше, но не вечно.
                                                                              Найдется кто-то, кто знает больше админа, ищет быстрее, пользуется преимуществами коллективного разума. Найденная этим человеком уязвимость — вопрос времени. Закрытие этой уязвимости — вопрос времени и необходимых знаний. Становится очевидным, что принесет человек, ее нашедший.
                                                                              Люди, которые с вами спорят, рассуждают не только с точки зрения этики, но с точки зрения необходимости соответствия знаний — действительности. Пока развиваются технологии — будут находится уязвимости. Но чем компетентнее будет админ и разработчик — тем больше будет временной промежуток между использованием первых и появлением вторых. Это и есть релятивные феномены. Безопасность в данном случае — возможности компетенции админа и разработчика, в итоге — возможности компетенции любого из нас на хабре. Это не квартира, не замок, — это замер температуры. Профилактика. Прививка (inject). Именно поэтому, в некоторых случаях public.
                                                                              Тем не менееОднако, если вдуматься в бесконечный цикл становится понятно, что в основе своей он бессмыслен, как бессмысленна гонка вооружений, если не отвлекаться на побочные эффекты в виде проникновения технологий в мирную жизнь. Человеческие и земные (в т.ч. конечные) ресурсы уходят в технологии и продукты, которые морально стареют, ржавеют и, к сожалению, падают и губят людей.
                                                                              Увы, есть люди, которые ищут уязвимости и пользуются ими из корысти. Как невозможно уничтожить все неблагоприятные для человеческого вида вирусы, так невозможно «очистить мораль», чтобы эти люди не возникали. Значит, нужен иммунитет.
                                                                              Уф, надеюсь мысль понятна хотя бы отчасти )
                                                                                0
                                                                                Большое спасибо за развернутый комментарий, Вы вскрыли фундамент противоречия. Мысль понятна, вопросов больше не имею.
                                                      –1
                                                      я вас ещё минусанул несколько раз. считаю, что у вас позиция неправильна.
                                                        +2
                                                        Зачем минусовать? Нельзя что ли аргументы приводить? Хотя бы кратко.
                                                          0
                                                          В интернете всегда кто-то не прав. Субъективно или объективно. Не нужно тратить свои и чужие нервы на то, чтобы переубедить кого-то. В подобных спорах тратится уйма энергии, которую можно было бы пустить в мирное русло.
                                                            0
                                                            Согласен и я очень редко что-то пишу. Это первое мое столь длительное общение в он-лайне за несколько лет, потому что именна эта тема мне интересна.
                                                              0
                                                              Еще раз прошу прощения за описки, конечно должно быть «именно».
                                                            0
                                                            вам выше всё достаточно доступно объясняют, зачем мне что-то дублировать?
                                                            Ещё мне не нравится ваша тактика ведения спора и акцент на «благородство» в тех случаях, когда простой прагматичный подход убережёт нервы и время всех участников процесса. Например, вы пишете «если мне укажут на слабость замка путем вскрытия двери я тоже его сменю, но вот благородно ли такое поведение?», неявно упирая на моральную сторону, игнорируя «прагматическую» (не нашел лучшего слова, думаю, вы поняли). Потому что подобный тест может «аморальным», но реально полезен всем — владелец замка получит представление о уровне безопасности, пользователи закрытой территории получат улучшенную защищённость, а взломщик получит удовлетворение и опыт.

                                                            Переубеждать вас я не намерен, мне это не интересно, а комментарии ваши считаю не слишком полезными, отсюда и минусы. Вроде они именно для этого предназначены.
                                                              0
                                                              Владелец замка запросто может получить психологическую травму или даже фобию.
                                                              И это при том, что он никого ни о чем не просил.
                                                              А в случае с компанией — финансовые потери в случае падений акции, как было с Sony, хотя я вовсе не на их стороне, просто привел как пример.
                                                              Однако, продолжнать общение, действительно, смысла не вижу — разница в восприятии поступков нащупана, материал для размышления собран.
                                                              Спасибо.
                                                              • UFO just landed and posted this here
                                                                  0
                                                                  Согласен. Дело в том, что у меня как раз стоят не очень надежные замки, но квартира съемная и менять их не очень хорошая затея (с т.з. хозяина квартиры в том числе), хотя шансы что кто-то залезет _крайне_ малы, да и брать у меня нечего, кроме компа трехлетней давности ) К тому же я работаю дома и ухожу я куда-то не часто и не на долго.
                                                                  Прямо как НАСА )
                                                                  Вот теперь сижу и думаю — настоять на смене замков или нет… :D
                                                                  В любом случае, спасибо за общение. Для меня это было не зря — много полезных мыслей.
                                                        +1
                                                        Судя по книге Фейнмана, аварию шатла они тоже не совсем чтобы стремились расследовать. Типа, не взлетело сейчас, взлетит потом, мало ли случается.

                                                        Only users with full accounts can post comments. Log in, please.