Комментарии 48
Ну как бы он не только уязвимость нашел, а ещё подделал удостоверение и прослушивал разговоры.
IT-сообщество просто полагает, что после уведомления и отсутствия ответа в определенный срок — можно публиковать уязвимость в открытую. «Силовое» сообщество имеет другой взгляд на эту проблему, тут надо уведомлять по всем возможным каналам и ведомствам много раз, но не сообщать публично.
Надо было ему её тихо продать, но только в том случае, если об этой уязвимости знал он один!
НЛО прилетело и опубликовало эту надпись здесь
Про публикацию никто конкретно в этой ветке и не говорит, тут дело в злоупотреблении ею в лице прослушки и, дополнительно, подделке документов
ошибся он с «сообщать публично». раскрыл он себя, думаю что нужно было всё тоже самое но приватно, без раскрытия своей личности.
хотя и добился своего, протокол сменили, уязвимость устранили, обществу польза(наверно), а вот свой собственный ущерб от этого он не продумал, или думал что похвалят за это и поэтому раскрыл себя специально.
делал доброе дело, и БЕГИ!!!
а есть какой нибудь сервис чтобы можно было организовывать сомнительные и опасные сделки? чтобы обе стороны подтвердили сделку и был не предвзятый арбитр для спорных вопросов. что-то типа системы споров на ебей и алиэкспрессе, только анонимно.
просто опыт показывает что сделка с государством даже если оно заинтересовано в сделке ничем хорошим не заканчивается, государство захочет поиметь еще больше или вообще всё, и нужна анонимность.
или тупо анонимно: «переводите мне битки и я вам расскажу про уязвимость или продам налево.»
хотя и добился своего, протокол сменили, уязвимость устранили, обществу польза(наверно), а вот свой собственный ущерб от этого он не продумал, или думал что похвалят за это и поэтому раскрыл себя специально.
делал доброе дело, и БЕГИ!!!
а есть какой нибудь сервис чтобы можно было организовывать сомнительные и опасные сделки? чтобы обе стороны подтвердили сделку и был не предвзятый арбитр для спорных вопросов. что-то типа системы споров на ебей и алиэкспрессе, только анонимно.
просто опыт показывает что сделка с государством даже если оно заинтересовано в сделке ничем хорошим не заканчивается, государство захочет поиметь еще больше или вообще всё, и нужна анонимность.
или тупо анонимно: «переводите мне битки и я вам расскажу про уязвимость или продам налево.»
Продают разную информацию за биткоины, сайт судя по описанию выступает посредником и арбитром: joker.buzz
А зачем ему нужна была поддельная корочка, если он только слушал? Может ему эту тулзу просто подбросили?
$(".post_show:has(.author-info__specialization:contains('Редактор'))").css('background-color', '#FFFFAA')
А сколько дали (денег) тому кто проигнорил сообщение об уязвимости?
http://www.tunnel.ru/i/post/55/557038/2063653675/at362762540.jpg
Посмотрев на фото, я всматривался и искал «самодельное оборудование стоимостью $25», но увидел что то, что больше похоже на SDR и ноутбук.
> Slovenian Intelligence and Security Agency (SOVA)
Сдал СОВу IRL.
Сдал СОВу IRL.
Делай добро и беги.
обнаружил и публично сообщил об уязвимости
Не такое уж он и добро совершил
Публично спустя год, а за год до этого, сообщил в полицию. Вы хотя бы читайте целиком материал, а не первый пару предложений.
«Как выяснило следствие, будущий преступник начал поиск уязвимостей в TETRA ещё в 2012 году, выполняя студенческий проект с 25 однокурсниками. К сентябрю 2013 года он обнаружил, что словенские правительственные службы установили неправильную конфигурацию протокола.
Из-за неправильной конфигурации зашифрованные сообщения TETRA поддавались расшифровке в 70% случаев.
Увидев такую халатность, студент немедленно проинформировал полицию. Власти никак не отреагировали. Больше года спустя, в марте 2015-го, Деян Орниг решил выложить информацию в интернете»
«Как выяснило следствие, будущий преступник начал поиск уязвимостей в TETRA ещё в 2012 году, выполняя студенческий проект с 25 однокурсниками. К сентябрю 2013 года он обнаружил, что словенские правительственные службы установили неправильную конфигурацию протокола.
Из-за неправильной конфигурации зашифрованные сообщения TETRA поддавались расшифровке в 70% случаев.
Увидев такую халатность, студент немедленно проинформировал полицию. Власти никак не отреагировали. Больше года спустя, в марте 2015-го, Деян Орниг решил выложить информацию в интернете»
Вообще-то первое ничуть не уменьшает вину за второе. Грубо говоря, вы увидели, что у вашего соседа дверь легко открывается. Вы ему сказали, он не отреагировал. А вы взяли, и развесили по району объявление: у Васи из 7 квартиры дверь открывается отвёрткой, чтобы любой гопник мог пойти ограбить того Васю, дабы ему было неповадно не реагировать на предупреждения о безопасности. Это правильный поступок?
Понятное дело, что если он отправил письмо до этого в полицию, оно там попало к какому-то клерку, вполне вероятно, вообще понятия не имеющему о шифрованиях/протоколах. Там оно и померло. А когда он заявил об этом в открытых источниках, то прочитали уже специалисты по ИТ-безопасности. Потому и дыру закрыли, и парня прижучили.
Понятное дело, что если он отправил письмо до этого в полицию, оно там попало к какому-то клерку, вполне вероятно, вообще понятия не имеющему о шифрованиях/протоколах. Там оно и померло. А когда он заявил об этом в открытых источниках, то прочитали уже специалисты по ИТ-безопасности. Потому и дыру закрыли, и парня прижучили.
Пример не корректен, и более того не нужен. Хотите окунуться в фантазии и что-то там представлять, это без меня.
Пример некорректен лишь в том плане, что поступок из примера — он нехороший только с моральной стороны. А поступок этого парня, он не только нехороший с моральной стороны, он еще и является преступлением с точки зрения закона.
Ваш пример не корректен, так как вы судите о информационной безопасности с точки зрения обывателя. С точки зрения же модели безопасности необходимо предполагать, что ВСЯ информация обо ВСЕХ уязвимостях системы безопасности, даже не известных вам, УЖЕ известна ВСЕМ злоумышленникам. Таким образом, ваши действия приводящие к улучшению этой системы безопасности, должны расцениваться как помощь, а не как вред.
С точки зрения ИБ более корректен следующий пример:
1) ВСЕ гопники района знают, что у вашего соседа Васи легко открывается дверь и регулярно этим пользуются.
2) Вы также случайно узнали об этом. С целью помочь Васе, вы сообщили ему об этом. Вася не отреагировал, так как не знаком с вами, и не доверяет вашему мнению.
3) По истечении года, гопники все так же регулярно ходят к Васе. Не в силах наблюдать больше подобное, вы развесели объявления по району о том, что у Васи легко открывается дверь. Так как все гопники об этом знали уже давно, то число грабежей Васи это не увеличело.
4) Знакомые Васи, прочитав ваше объявление, убедили Васю сменить замок.
5) Гопники и перестали ходить к Васе.
Таким образом если рассматривать данную ситуацию с точки зрения ИБ, ваши действия, побудившие Васю сменить замок, привели не к ухудшению ситуации, а к ее улучшению.
Вообще, на практике, сообщение об уязвимости проектировщику СБ, до её публичного оглашения, не является строго необходимым, но дает возможность проектировщику «сохранить лицо» и избежать множества мелких взломов от не заинтересованных лиц (т.е. Мелких хулиганов). Сколько же было произведено крупных взломов, ещё до того как об уязвимости стало известно, остается неизвестным…
Не следует предполагать что какой-либо злоумышленник не узнал об этой уязвимости ранее, и не продал эту информацию другим заинтересованным злоумышленникам.
С точки зрения ИБ более корректен следующий пример:
1) ВСЕ гопники района знают, что у вашего соседа Васи легко открывается дверь и регулярно этим пользуются.
2) Вы также случайно узнали об этом. С целью помочь Васе, вы сообщили ему об этом. Вася не отреагировал, так как не знаком с вами, и не доверяет вашему мнению.
3) По истечении года, гопники все так же регулярно ходят к Васе. Не в силах наблюдать больше подобное, вы развесели объявления по району о том, что у Васи легко открывается дверь. Так как все гопники об этом знали уже давно, то число грабежей Васи это не увеличело.
4) Знакомые Васи, прочитав ваше объявление, убедили Васю сменить замок.
5) Гопники и перестали ходить к Васе.
Таким образом если рассматривать данную ситуацию с точки зрения ИБ, ваши действия, побудившие Васю сменить замок, привели не к ухудшению ситуации, а к ее улучшению.
Вообще, на практике, сообщение об уязвимости проектировщику СБ, до её публичного оглашения, не является строго необходимым, но дает возможность проектировщику «сохранить лицо» и избежать множества мелких взломов от не заинтересованных лиц (т.е. Мелких хулиганов). Сколько же было произведено крупных взломов, ещё до того как об уязвимости стало известно, остается неизвестным…
Не следует предполагать что какой-либо злоумышленник не узнал об этой уязвимости ранее, и не продал эту информацию другим заинтересованным злоумышленникам.
> С точки зрения же модели безопасности необходимо предполагать, что
> ВСЯ информация обо ВСЕХ уязвимостях системы безопасности, даже не известных вам,
> УЖЕ известна ВСЕМ злоумышленникам
Да, только эта модель применяется при оценке надежности системы безопасности во время её аудита, а не при оценке реального вреда, который принесли действия злоумышленника. Здесь же другой случай — человек вмешался в работу системы и открыто опубликовал инструкции по взлому. Поскольку до его действий не было зафиксировано/доказано прецедентов взлома этой системы через указанную уязвимость, он в обвинении будет первым и единственным злоумышленником, который про неё знал и эксплуатировал.
> Вообще, на практике, сообщение об уязвимости проектировщику СБ, до её публичного оглашения, не является строго необходимым,
Ни одно законодательство в развитых странах ни в теории, ни на практике не допускает публичного оглашения. Это просто некий «кодекс чести», который бытует в кругу хакеров, придуманный ими самими для себя.
> ВСЯ информация обо ВСЕХ уязвимостях системы безопасности, даже не известных вам,
> УЖЕ известна ВСЕМ злоумышленникам
Да, только эта модель применяется при оценке надежности системы безопасности во время её аудита, а не при оценке реального вреда, который принесли действия злоумышленника. Здесь же другой случай — человек вмешался в работу системы и открыто опубликовал инструкции по взлому. Поскольку до его действий не было зафиксировано/доказано прецедентов взлома этой системы через указанную уязвимость, он в обвинении будет первым и единственным злоумышленником, который про неё знал и эксплуатировал.
> Вообще, на практике, сообщение об уязвимости проектировщику СБ, до её публичного оглашения, не является строго необходимым,
Ни одно законодательство в развитых странах ни в теории, ни на практике не допускает публичного оглашения. Это просто некий «кодекс чести», который бытует в кругу хакеров, придуманный ими самими для себя.
>> Поскольку до его действий не было зафиксировано/доказано прецедентов взлома этой системы через указанную уязвимость, он в обвинении будет первым и единственным злоумышленником, который про неё знал и эксплуатировал.
>> Ни одно законодательство в развитых странах ни в теории, ни на практике не допускает публичного оглашения. Это просто некий «кодекс чести», который бытует в кругу хакеров, придуманный ими самими для себя.
В том-то и дело, что, к сожалению, законодательство многих стран настолько несовершенно, и не соответствует текущим реалиям, что фактически предполагает наказание за благое деяние…
>> Ни одно законодательство в развитых странах ни в теории, ни на практике не допускает публичного оглашения. Это просто некий «кодекс чести», который бытует в кругу хакеров, придуманный ими самими для себя.
В том-то и дело, что, к сожалению, законодательство многих стран настолько несовершенно, и не соответствует текущим реалиям, что фактически предполагает наказание за благое деяние…
> Поскольку до его действий не было зафиксировано/доказано прецедентов взлома этой системы
А вот интересно, есть ли публикации, где правительственные учреждения сообщают о фактах взлома их систем?
Насчёт коммерческих компаний полно, а вот с государственными не могу вспомнить сходу.
А вот интересно, есть ли публикации, где правительственные учреждения сообщают о фактах взлома их систем?
Насчёт коммерческих компаний полно, а вот с государственными не могу вспомнить сходу.
Ваш пример не корректен в том плане, что легко открывающая я дверь соседа — это проблема касающаяся только соседа, а то, о чем речь в статье касается общества в целом. Это как если бы сосед хранил и вещи жильцов, но забывал закрывать двери, а вы бы повесили об этом объявление на дверях подъезда.
Прочитайте статью внимательно, за год до публикации информации, он сообщил об этой уязвимости силовым структурам:
>> Увидев такую халатность, студент немедленно проинформировал полицию. Власти никак не отреагировали. Больше года спустя, в марте 2015-го, Деян Орниг решил выложить информацию в интернете, и она быстро распространилась.
Таким образом, у них было больше года на ее устранение перед опубликованием информации.
>> Увидев такую халатность, студент немедленно проинформировал полицию. Власти никак не отреагировали. Больше года спустя, в марте 2015-го, Деян Орниг решил выложить информацию в интернете, и она быстро распространилась.
Таким образом, у них было больше года на ее устранение перед опубликованием информации.
Лишнее подтверждение, что чиновничий аппарат в правоохранительной системе (и не только в ней) — туп, глуп, и только вредит делу.
Нужно было анонимно опубликовать.
Скорее всего они год официально не патчили, а не официально поставили капканы на все лазейки, и следили где какой-нить придурок залезть попробует. Ну и за этим лохом присматривали, если кому продавать пойдёт, тогда условно бы не отделался.
Возможно так и было, тока могли бы спасибо сказать и дать подписать какие-либо бумаги о неразглашении.
А раз не сделали этого — сами виноваты. Ну а достанется за это парню, да…
А раз не сделали этого — сами виноваты. Ну а достанется за это парню, да…
Там понятия у спецслуж другие, спасибо не говорят, не бывает хороших или плохих а есть представляющие угрозу или нет. Протокол взломал, значит опасен, в разработку его — сам не сам, кто надоумил, пресовать по полной — глядишь к кому за помощью обратится. Можно с работы уволить, финансовых проблем насоздавать пока не запоёт. Наверное за год то много чего перепробовали. Вот и не будет лезть куда не надо.
Попутно изобрели способ узнать кто ловит радиоволны?
Ализар такой ализар.
Заголовок: «Студент сообщил об уязвимости в полицейском протоколе связи. Получил 15 месяцев условно».
Содержимое статьи: «Студент проник в государственную сеть, опубликовал уязвимость в протоколе связи государственных служб, в том числе полиции, армии и разведки, подделал удостоверение сотрудника полиции, незаконно записывал телефонные разговоры. Получил 15 месяцев условно.»
Автору можно уже на Первый канал идти работать, ящетаю.
Заголовок: «Студент сообщил об уязвимости в полицейском протоколе связи. Получил 15 месяцев условно».
Содержимое статьи: «Студент проник в государственную сеть, опубликовал уязвимость в протоколе связи государственных служб, в том числе полиции, армии и разведки, подделал удостоверение сотрудника полиции, незаконно записывал телефонные разговоры. Получил 15 месяцев условно.»
Автору можно уже на Первый канал идти работать, ящетаю.
А что, если власти не отреагировали на уязвимость, то ее можно публиковать?! )))
Тупое следование букве закона приводит к печальным последствиям на длинных дистанциях. Следующий сообщать не будет, а продаст или продаст уже продукт, завязанный на дыру.
Не совсем понял пассаж про самодельное оборудование. Обычный rtl-sdr свисток, коих на том же али пруд пруди долларов за 6. За 25 уже можно искать двух диапазонник с приемом sw.
Прочитал оригинал. Очень далек от перевода. (Словенский знаю, да). Ни слова про 15 месяцев условно, только про обыск. И в интернет он уязвимости не выкладывал, а на конференции местной выступил. И про поддельное удостоверение в оригинальной статье ничего нет. И технические детали немного не такие — сначала на девайсах шифрование вообще не было включено, потом, когда его включили после первого оповещения полиции, оказалось, что оно не стойкое… Но все равно грустно от зашоренности и неповоротливости бюрократов…
Типичная реакция правительства страны бывшего соцлагеря, у нас было бы то же самое. А подделка удостоверения — это, конечно, «залет».
Расскажите, как грамотно «белошапить», если без официального аудита и bounty-программы, а то я опять не понял по традиционной дискуссии
Вспомнилось что-то из Тёмного Рыцаря: «Либо ты умираешь героем, либо живёшь до тех пор, пока не становишься негодяем.»
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Студент сообщил об уязвимости в полицейском протоколе связи. Получил 15 месяцев условно