Pull to refresh

Comments 81

А сколько обычно стоит демонстрация уязвимостей на отдельно взятом сайте?
не путайте починить, и продиагностировать ;)
сути не меняет. работа строго штучная, и часто цена определяется не только сложностью работы, но и исключительностью ситуации.
не спорю, ваш ответ был, корректным на 99%.
кстати, абсолютно уместная автомобильная аналогия - большинство нормальных вменяемых мастеров диагностируют машину бесплатно. Как правило, это располагает клиента к тому, чтобы у них же и чиниться. Исключение - те случаи, когда для диагностики надо разобрать полмашины.
хорошо :) возьмем для примера недавно взломанный сайт?
во сколько бы обошлась владельцам демонстрация уязвимостей если бы они попросили об это вас?
хм. я далек от сути вопроса, но внимательно читал все что писали.
полагаю, не меньше 2 тысяч долларов, а там — до сумм монетизации коммерческих и репутационных потерь в случае произошедшего взлома

сугубое имхо
а как же тогда "консультируйте бесплатно" если просто указать на ошибки стоит не меньше 2000$ ?
есть консультация и есть консультация.
показать на ошибку — это конкретная услуга, удельный вес которой в задаче аудита безопасности огромен
Меня очень волнует этот вопрос.
Поэтому мне интересно: если после того как заказчик заплатит за устранение проблем безопасности на сайте, его взломают через проблему, которую подрядчик не смог обнаружить?

Можно ли потребовать возмещения убытков?
если вы будете заключать договор, опишите там этот момент.
если договора не будет — нельзя
гыг :) то есть вы считаете, что за взлом надо наказывать аудитора, а программиста который эти ошибки допустил? Вообще если говорить о взрослом бизнесе, то там вопросы безопасности решают на этапе проектирования, сторонний аудитор естественно это дело проверяет, но нести ответственность по убыткам, думаю ой ли... какие то прописанные заранее штрафные санкции.. и то не уверен бывают ли...
Я не считаю что надо наказывать аудитора.

Мне просто интерсно как в этом виде бизнеса может осуществляться "гарантия" качества выполненных услуг.

Вот гипотетический пример:
Я, как хозяин сайта, нанимаю программиста, работаю с ним над созданием сайта.
Через какое то время моего конкурента взламывают и он несет огромные потери.
Я естественно решаю подстраховаться и заказываю аудит безопасности. На всякий случай.
Программист мой не специалист по безопасности - он исправляет то что ему говорят и работает дальше.
Через пол года сайт мой взламывают и я несу огромные потери(суды от пользователей, простой предприятия, обнародование важных наработок компании).

Как я - неспециалист, могу быть уверен в том, что подрядчик сделал свою работу качественно, а не бегло просмотрел самые явные и элементарно заметные ошибки?
сайты ломают люди. если вы заказали аудит профессионалу, и он указал на все, что мог найти, значит сломать смогут лишь люди, более профессиональные чем он. это конечно, трудно сопоставимые понятия, но все же. отсюда и пляшите

есть нечто вроде аксиомы теории криптографии: невзламываемых кодов нет, есть такие, которые невыгодно ломать, т.к. стоимость превышает ценность сообщения. тут так же
В том то и вопрос: как непрофессионал может оценить уровень профессионала?
по отзывам. по портфолио. по образованию, на худой конец
Все перечисленное - не показатель.
Что вы можете написать в портфолио?
О 3-х десятках уязвимостей найденных на 10 сайтах, которые ещё могут и принадлежать заинтерисованному лицу т.е. исполнителю.
По отзывам? тоже самое - сейчас сделаю сайт и накидаю отзывов. Ищи потом иголку в стоге сена.

Образование. Давайте рассмотрим. Допустим у меня нет в/о - я не профессионал? а может и без в/о профессионал? А может... А может... А может... Вопросов много.

Оценить НЕ профессионалу уровень исполнителя практически невозможно. Хотя бы потому что у него как правило другая специальность.

Вы готовы понести финансовую ответственность за убытки понесенные после действий Ваших профессионалов?
Если да - это один разговор. Контракт, гарантия и все вытекающие. Нет - то что даст портфолио, отзывы, образование?

Вы несете последующую материальную ответственность за взятые 2000$ в случае если работа сделана некачественно и это удается доказать?

Остальное меня как НЕ профессионала не волнует. Мне надо чтобы работало. А как это будет достигаться - вопрос не ко мне, а к консультанту, исполнителю и т.д. И я с них буду спрашивать в.ч. и материальную ответственность виновные понесут.
согласен с вами. задачу доказательства своей квалификации как хакера пусть решают хакеры. я менеджер по должности и программист-проектировщик по образованию. признаю свою некомпетентность
Вы меня не поняли. Компетентность профессионала вследствии образования здесь не причем. Диплом может быть в конце концов куплен или получен в заочном платном институте из серии "диплом в кредит".

И хакеры здесь не причем.
Вы автор вышенаписанной статьи. Это медицинский факт. Вы упомянули про оплачиваемые услуги. Это тоже факт. Вас спросили - как можно НЕ профессионалу проверить Ваш (или не Ваш, допустим чей-то) профессионализм. И на этом месте Вы начали крутиться как "уж на сковородке" - это тоже факт. Со словами "он указал на все, что мог найти, значит сломать смогут лишь люди, более профессиональные чем он" и подобными общими фразами.
Я - специалист в своей определенной области. Я НЕ специалист по безопастности, ИТ и т.д. и т.п. поэтому я обращаюсь к Вам за помощью. А вы мне про образование и больших профессионалов. Кстати, как менеджер Вы не должны были такие фразы писать. Это пугает потенциального клиента.

В конце концов я написал что неважно как будет достигаться результат. Но если у меня случается ЧП - у меня первый вопрос будет "Что делать?" (и ссылки на Чернышевского здесь не прокатят) и потом второй вопрос "Кто виноват?".

Вы оказываете услугу и не можете дать на нее гарантию? Какой толк в такой услуге для меня?

Вопрос лично к Вам или Вашей организации: Вы или Ваша организация дает гарантию и несете ли Вы в дальнейшем материальную ответственность за оказанную услугу? (Это мой вариант вопроса: Вы профессионал?)

Ответьте уж в конце концов на вопрос.
Оговорки, на не гарантийные случаи - вопрос второй.
вы не в меру агрессивны.
проверить профессионализм можно по-разному. профессионализм в создании сайтов — например по их успешности и отсутствии рекламаций и крупных скандалов

мы даем гарантию. она заключается в ответственности за объект разработки. если будет баг — он будет предельно быстро и со всеми нужными предупреждениями, бекапами и всем, чего потребует ситуация, исправлен. мы приложим максимум усилий, чтобы багов не было и все было как можно лучше

нести ли материальную ответственность за последствия это вопрос совести и закона. тут вопрос далеко не однозначный

вы не являетесь мои заказчиком в данный момент. станете — поговорим немного иначе.

в конкретной ситуации меня спросили: можете? попробуем. возьметесь? да. дальше вы читали. мы отвечаем за то, чтобы не стало хуже. бесспорно, как и всегда.
Я не агресивный. Я задаю прямой вопрос от которого Вы всячески уклоняетесь. Мне непонятны причины этого уклонения от столь важного прямого вопроса. Попробуем - не ответ.

Лично я лично несу материальную ответственность за свои прямые/кривые руки и мозги. Это мой профессиональный уровень. Я не берусь за то что немогу сделать хорошо. А попробую - это не ответ. Вы же знаете что такое двоичная система исчесления? Либо да либо нет!

Я небуду говорить об образовании, тыкать в портфолио и отзывы. Я просто подпишу договор с материальной ответственностью за свои действия и на этом все "пляски" закончатся. Знаешь как стимулирует работать и не браться за работу которую сделать не можешь?

Знаете такую поговорку: "Бери ношу по себе, чтоб не падать при ходьбе."? Ато развелось профессионалов липовых которые ни за что не отвечают, только рынок демпингуют. А еть которые не демпингуют но все равно низачто не отвечают. Даже незнают на что способны.

Я могу сделать вывод о Вашем профессионализме. Вы - о моем. Неважно в какой сфере мы работаем.
много резких слов, мало дела.

сформулируйте понятие "материальная ответственность за оказанную услугу".
Большой юридический словарь:
МАТЕРИАЛЬНАЯ ОТВЕТСТВЕННОСТЬ — обязанность работника возместить ущерб, причиненный организации-работодателю, в пределах и в порядке, установленных законодательством; может наступить наряду с дисциплинарной ответственностью. М. о. наступает лишь за ущерб, который возник в результате явно противоправного и виновного поведения работника. Существует два вида М. о.: ограниченная (как правило, в пределах 1/3 среднего месячного заработка) и полная. Последняя установлена: для работников, с которыми заключены договоры об индивидуальной или коллективной (напр., бригадной) М. о., а также если материальные ценности получены работником под отчет по разовым документам; если в действиях работника, нанесшего ущерб, содержатся признаки уголовного преступления и др.
Одно дело когда вы показыаете конкретные найденные вами уязвимости и совсем другое когда говорите, что никаких других дыр в безопасности нет.
Последнее я считаю крайне самонадеянным. Если даже в продукции таких гигантов как микрософт, где уж масса людей все перепроверила находятся дыры, то что говорить про частную разработку.
То есть если аудитор не нашел у меня в системе дыр, то он не получит денег?
получит :)
но поймите анализ кода проведенный аудитором все равно можно проверить, не найдет дыр в безопасности, все равно какие то дополнительные рекомендации просто обязан написать, ну не бывает такого... опять же отчет, сделал то то то... проверил на такие то такие то уязвимости...
Думаю, распространенную уязвимость вам покажут на форуме хакера за сотню вмз.
репутацией ... в английском бизнес языке есть понятие goodwill думаю на русский именно бизнес значение этого слова, лучше переводить как репутация, и за нее тоже платят деньги ;)
репутация = деньги ;)
репутация => деньги:)
Шумим тут, обсуждаем Romanser`ра, а что в итоге? Крупный коммерческий проект не отреагировал на острый вопрос безопасности. Даже после того, как ему разжевали и в рот положили.

Честно говоря, такие сайты нужно заносить в черный список, чтобы браузер пользователя предупреждал, что здесь можно потерять пароль и личную информацию. Сделать что-то вроде OpenDNS.
+1
Это как реклама рекламного агентства, сайт дизайн-студии, и тд. Если собираешь чужие данные — сделай так, чтобы их никто и никогда не получил. Имхо
Согласен. Может не так жёстко и бескомпромисно, но согласен. Сам лично BP занёс в блэк-лист (хотя и до этого аккаунта там не имел). Кто гарантирует, что это последняя бага сайта?
Именно жестко. Они проигнорировали утечку личных данных. Более того: предупреждение о возможной утечке. Тут уже ничего не поделать. Пусть расплачиваются.
Ну всегда были т.н. white-hat, black-hat, и скрипткидди. Вайты — которые искали уязвимости и просто так говорили разработчикам, блек — искали и ломали, кидди — искали скрипты (чужие) и просто тупо их применяли (массово). Не будем говорить о кидди — они могут быть тупо школьниками (без знаний, опыта и тд).

Одни становятся вайтхетами (даже без названий, просто идеологии схожие), другие — блекхетами. Судить одних и других — глупо, по меньшей мере. Одним нравится одно, другим — другое. Как музыка. Разные мировоззрения. Поэтому и судить их действия я, например, не вправе. Романстер поступил как блекхет, нашел—сломал. Кто-то мог написать письмо админам, кто-то — нет. Я бы написал. Но только из страха быть наказанным впоследствии. Государство у нас такое, веселое — нарушают все, а сажают избранных =)
а про grey-hat'ов не расскажите? в википедии, конечно, есть материал по ним, но у вас так коротко и доступно про остальных получилось рассказать... :)
Это грамотный подход, но...
Надо следить, чтобы не получилось как со всем известными пылесосами за 4000$: у меня куча знакомых, которые вызывают представителя компании "показать возможности пылесоса" раз в полгода...
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Мне эта тема уже давно Дом-2 напоминает.
Человек честно написал им об уязвимостях - они не пофиксили. Чья проблема? Пользователей. Потому что выбирают сервис которым управляют лошки.
господи, ;) вот — есть же люди ;) этика, мораль, философия и профессионализм. ;)
позитивная информационная система.
нет мелочного поиска копеечных выгод.
да, порядочность она и в Африке порядочность.

Вы увидели как у впереди идущего прохожего выпал из кармана бумажник, ваши дальнейшие действия будут целиком зависеть от порядочности и тараканов в голове. Нашумевший сегодня случай с бп показывает три варианта подхода:

1) не обратить внимания на бумажник позвонить и сказать о проблемах с карманом
2) обратить внимание на бумажник и сказать что готовы рассказать о проблемах с карманом за деньги
3) (эта статья) просто вернуть бумажник
статья хорошая - полностью поддерживаю автора
у нас такие случаи не редки - когда клиент говорит что у него проблемы - мы делаем 10-15 минут обзор - нам это ничего не стоит ибо примерно знаешь где что и как искать - если что-то находим - говорим что тут и тут у вас баги - надо закрыть.

Если же мы ничего не находим за 15 минут но есть подозрения что вот там если поколупаться можно что нибудь нарыть как багу - мы говорим более подробный аудит безопастности будет стоить ну допустим там 100 баксов в час (цена утрированая)

Клиенту мы даем полную информацию о подозрениях - где возможно бага - не говорим только по каким причинам. Если клиент соглашается на услуги - проводиться подробный анализ сайта или системы - и выявляются баги и дается полный отчет развернутый клиенту - что и как нужно делать с рекомендациями как этого избежать в дальнейшем.

Имхо это наилучший способ и доверие заработать и денег (как бы это ни было банально - мы тоже хотим кушать)
"Пафосное слово" "благородство" в данном контексте, п принципе, означает "честность".

Интересно, что не так давно меня искренне уверяли некоторые пользователи Хабра, что нужно быть сволочью, так как вокруг одни сволочи.
Будьте честными - это окупается (С) один коллега.
UFO just landed and posted this here
да нет. английское слово, 6 букв. они его хранили в обратимом коде
UFO just landed and posted this here
хм. у меня нет никакого отношения к БП. я анализирую ситуацию в целом. что до описываемых вами событий — то я бы не считал враждебной себе любую компанию, которая спамит в жж. прием малоэтичный, но не могущий быть основанием для мести

если я конечно вас верно понял
Топик -> результат грамотного и "прозрачного" ведения бизнеса.
Я кстати писал об этом в комментах по поводу BP
Чем "прозрачнее" видение бизнеса для клиентов, тем больше доверие (обычный и простой закон, удивительно что используют его мало)
Бесплатно бывает только сыр в мышеловке и улыбка в макдоналдсе. Не хотите чтоб ваши услуги были "сыром" - назначайте цену, пусть символическую.
Я правильно понял, если у меня на жж появилось сообщение "странное число ..." то пароль известен другим???
Может это PR. Потому BP и не реагируют.
Тогда они не понимают не только что такое безопасность, но и что такое репутация :)
А вообще в таких ситуациях всегда размытые объянения присутствуют, а внутри я думаю начинают драть розгами админов,webчиков, программеров, а уборщице потом всё это убирать. :(
Например Ultra в Москве как закрывалась?
Постоянно были какие-то заминки, многонедельные паузы молчания, а потом вежливые объяснения(что требуется от BP сейчас), но увы они абсолютно не отражали суть происходящего.
Поддерживаю мнение автора статьи. Жаль плюсовать немогу _ гадские тролли всё карму загадили )))

Кстати улыбка в макдональдсе входит в стоимость бигмака (и д.р.)
Полностью согласен с автором.

Главное быть адеватным, честным, открытым к общению профессионалом.
Тогда ты станешь авторитетным.
И деньги сами найдут тебя. И как правило не малые.

Но улыбка и радость довольного заказчика дороже тех тысяч, с которыми он только что спокойно расстался расплачиваясь с тобой ;-)
Почему-то образ человека, помогающего просто так, тратя своё драгоценное время, никак у меня не вяжется с образом специалиста :(
Пытаюсь помочь, если меня об этом просят, но навязывать свою помощь и тратить своё время не собираюсь. Признаюсь, пару раз отправлял баг-репорты владельцам сайтов, но делал я это не для того, чтобы получить от них работу и не для того, чтобы прослыть честным человеком, а только потому, что мне это нравится. Вот такой я эгоист.
>> Простой пример:
>> Одна местная компания была крупно подставлена сисадмином. Он получал зп примерно втрое превышающую
>> среднюю для его позиции, зарегил на себя домен, пользовался личным виртуальным сервером,
>> никому не давал доступа в админку. В какой-то момент после конфликта с начальством он собрал манатки
>> и отправился домой, сказав по телефону, что пароли отдаст за 2 миллиона рублей.
...
>> В результате довольно интересной работы, которая в сумме заняла около 3 часов мы получили и сайт, и взломали пароль.

Прямо русская народная сказка — «Добро побеждает зло» :) А регистратора доменов вы тоже взломали? Получили доступ к корневым DNS и и изменили администратора домена?

p.s. Надоели сказочники ей богу...
Правомерный вопрос, может они его тупо из куки достали, но тогда что это за админ такой, который оставляет после себя следы.
пароль от домена он отдал в результате применения работодателем терморектального криптоанализа. пароль от сервера вытащили с его компа. пароль от админки декодировали из БД, он был в обратимом шифре
Пароль от домена не поможет. Чтобы сменить владельца домена нужно или придти в офис регистратора домена с паспортами и написать заявление. Или написать заявление и заверить у натариуса.
естественно. пароль от домена позволяет инициировать его передачу другому лицу. этими вопросами мы не занимались. задача была поднять сайт и дать доступ в админку.

возможно, он напиет им доверенность, меня это в общем не касается.
Если так легко получили пароль от управления DNS зачем на остальные пароли было тратить время? Если получили пароль от сервера зачем что-то декодировать в ДБ? Вы, что реально изучали алгоритм шифрования пароля? А не проще в коде было вставить строчку
if($user->isAuthorized) return true; // Не воспринимайте буквально :)

Автор, лучше больше ничего не пишите. Вы реально не разбираетесь в теме!
с удовольствием выслушал бы ваши советы по конкретным действиям.

пароли от днс получали не мы, а заказчик. я даже никогда не видел сисадмина.
декодировать в БД оказалось проще, чем долго в коде искать куда что вписать. полагаю, это не есть признак непрофессионализма — найти алгоритм декриптования и повторить его на данных из БД? или вы будете навязывать методы решения задач?

полагаю, принципиальных разногласий у вас со мной нет. я хоть и имею профильное образование и раньше занимался кодингом, сейчас это делаю редко и к данному мероприятию относился с позиции менеджера.
собственно позиции менеджера мой топик и посвящен
В общем, всё понятно, взломали значит самого админа, а не систему, это неинтересно :( Вспоминается анекдот, про то как сервер взломали ... ломом, или ещё сервер упал ... со стола.
Поподробнее пожалуйста, существует несколько видов хостинга shared-хостинг, VPS\VDS хостинг, выделенный сервер и кластерный хостинг, я так понимаю был взломан VPS\VDS. Меня очень смущает фраза личный виртуальный сервер, каким образом его можно взломать за 3 часа? Начнём хотя бы с описанием установленной ОС.
см выше. личный сервер — значит на него зарегистрированный виртуальный сервер, где под оним из аккаунтов лежал упомянутый сайт
Не дождешься подробностей, потому как это обычный треп. Что касается названия сего опуса, то это ерунда полная, потому что либо вы берёте деньги за консультации, либо нет. Но никто их вам не даст, а то, что описывалось далее - это плата за предоставление других услуг, так что автор - чушь сказал.
Кто как действовать будет, найдя баг, это зависит от этики, а о ней понятия у людей разные.
Кто-то сообщит просто так, кто-то потребует денег, кто-то завершит взлом и просто продаст то, что украл. Причем в большинстве случаев это всё именно так и происходит.
Сначала занимаются альтруизмом, потом взрослеют - нужны деньги, потом предлагают, потом их отфутболивают, а следующие баги уже не сообщаются вообще никому, просто сливают всё что там есть или продают кому ни будь сам факт уязвимости.
А как вы хотели? Капитализм блин.
Четвертая производная от топика. Плачу от умиления.
- Ты чё так дешево продаёшь?
- Работаю на будущее!
- На какое такое будущее? О_О
- А вот те кому я продаю за копейки приведут других и они ....
- Тоже будут покупать у тебя за копейки :)

http://alone-on-heaven.livejournal.com/1…
Only those users with full accounts are able to leave comments. Log in, please.