Из ваших слов сделаю вывод, что в результате любое телодвижение должно упираться в квартиру в Москве?
Корпорации косячат — значит должны страдать.
Да не будут они особо страдать. Страдать будет баба Люба, уборщица, которую принудительно перевели на обслуживание (зарплатный проект) в ПБ и которая в какой-то момент просто не сможет получить те 800 грн…
А корпорации — ну да, минус по репутации. Ничего, найдут крайнего, перевернут все в пиар да и только.
Резюмируя: если смотреть на все это с выгодой для себя (а вы, почему-то, только эту сторону рассматриваете) — да, наиболее оптимальным будет слить инфу втихую. Но я все же надеюсь наберется немало людей, которые готовы проинформировать банк\фирму\корпорацию об уязвимости не ради собственной наживы.
Вы считаете, что тех. подробности взлома стоит выкладывать анонимно в сеть, не уведомив при этом компанию?
В наших реалиях, да, возможно. Но в общем случае публикация уязвимостей крайне желательна только после того, как ее закрыли.
Исключение, по моему мнению, может быть только в случае длительного игнорирования сообщений.
Ну в этом случае нужна будет хотя бы помощь в составлении иска.
Я, например, как человек не особо знаком с этим делом — долго буду разбираться как правильно его составить, куда подавать и т.д.
До того, как он демонстрировал эти действия в присутствии СБ банка, он протестил работоспособность дырки.
Чтобы доказать, что уязвимость есть, нужно убедиться в работоспособности методов. Для этого случайным образом из базы данных ПриватБанка был выбран человек (фамилия у него как то на «У» начинается, не помню уже). Ну я доказал и пошел все показывать. Опять-таки все описал в объяснительной записке.
субъективно: пользовался ПБ, дельта и пумб.
В последнем у меня их клиент-банк под линуксом не запустился, саппорт заявил, что они не поддерживают ничего, кроме виндовс (при том, что это java-апплет и, по хорошему, должен одинаково работать во всех ОС). После переписки с саппортом выяснили ошибку и протестили на их дев. сервере, еще через месяц они залили обновление на прод. В это время я уже не был их клиентом.
Клиент-банк от дельты запустился без проблем, но, по сравению с тем же приват24, он куда более сложный и непонятный
Недавно на хабре статья была про челвоека, который пытался продать свое «решение» по телефонным карточкам.
Чем все закончилось — почитаете.
Если в 2х словах — то нет гарантии, что «покупатель» не будет подставной.
Оказалось, что банк позволял еще и переводить средства с карты на карту хоть в другой банк, хоть в другую страну (через Visa/Mastercard). Это помимо доступа к конфиденциальным данным человека (баланс, счета, кредиты, депозиты в банке)
Судя по всему, если и не было доступа к общему списку клиентов, то перебором информацию получить таки можно
На моей прошлой работы после визита «друзей» все машины перевели на линукс =)
Люди упорно твердили, что им без винды никак, сейчас привыкли, не жалуются…
Я в свое время ставил линукс с такими мыслями: «Новый ноут — попробую и новую ОС».
И я очень доволен, что решился и попробовал.
С другой стороны знаю человека, который, по его словам, ставил линукс раз 10. И каждый раз сносил (по разным причинам). С последней попыткой он продержался ровно два дня (пт еще был линукс, пн уже виндовс). Вернулся на винду потому, что «я тут могу себе мышкой веб сервер переключить, без необходимости лазить в консоль».
Так что да, все субъективно. И прав тов. jDima, если руки прямые — любая ОС будет удобной.
Что касается софта — я, как веб разработчик, не ощущаю дискомфорта в софте =)
Люди, которые не платили за фильмы ранее (по тем или иным причинам) — и не будут платить.
Те же, кто любит и ценит хорошее кино и готов за него отдать кровные — просто не качают фильмы в плохом качестве, экранки и т.д.
Я, например, ловил себя на мысли, что я лучше подожду несколько месяцев, но посмотрю хороший фильм в хорошем качестве и с проф. озвучкой без чавканий и сухариков.
Да и в кино я хожу больше не чтоб фильм посмотреть, а приятно вермя с друзьями провести.
Конечная цель закона, по их словам, получение прибыли правообладателями. ИМХО — в этом плане ничего особо не поменяется, скорее наоборот.
вскоре можно будет купить все, что требуется для создания собственной шпионской сети.
У меня знакомую по прокурорам водили за то, что она, работавши курьером, передала покупателю товар — некое устройство, умеющее подавлять сигналы мобильного.
Ей писали «Распространение шпионского оборудования». Такие же санкции применялись за ввоз\сбыт всяких брелков\ручек-видеокамер.
А тут в заявляют, что устройства для «шпионской сети» будут октрыто продаваться.
Тут и анекдот сам родился:
Подходит воронежец к юристу и говорит
— Хочешь поржать? Смотри какаой договор у меня на руках и по нему банк подал иск…
— о_О.
— А хочешь в суде меня представлять?
Я проблему вижу больше не в самих просчетах (хотя и это огромный минус), а в отношении к проблеме после того, как им все по полочкам разложили…
К сожалению наше беспокойство не нашло отклик в сердцах сотрудников пресс-службы ОАО МГТС, на которых мы пытались выйти, используя все имеющиеся каналы.
Я и не говорил, что это не выгодно, ибо дорого. Но тут будет намного выгодней подождать и купить готовое решение, чем вкладывать в исследования в этой области. Тем более, что после обнаружения уязвимости автопроизводители (хочется верить) все же будут принимать меры. В этом случае все деньги, потраченные на поиск уязвимости, улетят в трубу.
Кроме того, 50к фунтов — не цена за результат, а лишь за «один проход».
Да не будут они особо страдать. Страдать будет баба Люба, уборщица, которую принудительно перевели на обслуживание (зарплатный проект) в ПБ и которая в какой-то момент просто не сможет получить те 800 грн…
А корпорации — ну да, минус по репутации. Ничего, найдут крайнего, перевернут все в пиар да и только.
Резюмируя: если смотреть на все это с выгодой для себя (а вы, почему-то, только эту сторону рассматриваете) — да, наиболее оптимальным будет слить инфу втихую. Но я все же надеюсь наберется немало людей, которые готовы проинформировать банк\фирму\корпорацию об уязвимости не ради собственной наживы.
В наших реалиях, да, возможно. Но в общем случае публикация уязвимостей крайне желательна только после того, как ее закрыли.
Исключение, по моему мнению, может быть только в случае длительного игнорирования сообщений.
Я, например, как человек не особо знаком с этим делом — долго буду разбираться как правильно его составить, куда подавать и т.д.
В последнем у меня их клиент-банк под линуксом не запустился, саппорт заявил, что они не поддерживают ничего, кроме виндовс (при том, что это java-апплет и, по хорошему, должен одинаково работать во всех ОС). После переписки с саппортом выяснили ошибку и протестили на их дев. сервере, еще через месяц они залили обновление на прод. В это время я уже не был их клиентом.
Клиент-банк от дельты запустился без проблем, но, по сравению с тем же приват24, он куда более сложный и непонятный
С удовольствием почитал бы!
Чем все закончилось — почитаете.
Если в 2х словах — то нет гарантии, что «покупатель» не будет подставной.
По одиночке мало кто захочет судится с ПБ
Судя по всему, если и не было доступа к общему списку клиентов, то перебором информацию получить таки можно
Люди упорно твердили, что им без винды никак, сейчас привыкли, не жалуются…
И я очень доволен, что решился и попробовал.
С другой стороны знаю человека, который, по его словам, ставил линукс раз 10. И каждый раз сносил (по разным причинам). С последней попыткой он продержался ровно два дня (пт еще был линукс, пн уже виндовс). Вернулся на винду потому, что «я тут могу себе мышкой веб сервер переключить, без необходимости лазить в консоль».
Так что да, все субъективно. И прав тов. jDima, если руки прямые — любая ОС будет удобной.
Что касается софта — я, как веб разработчик, не ощущаю дискомфорта в софте =)
Те же, кто любит и ценит хорошее кино и готов за него отдать кровные — просто не качают фильмы в плохом качестве, экранки и т.д.
Я, например, ловил себя на мысли, что я лучше подожду несколько месяцев, но посмотрю хороший фильм в хорошем качестве и с проф. озвучкой без чавканий и сухариков.
Да и в кино я хожу больше не чтоб фильм посмотреть, а приятно вермя с друзьями провести.
Конечная цель закона, по их словам, получение прибыли правообладателями. ИМХО — в этом плане ничего особо не поменяется, скорее наоборот.
У меня знакомую по прокурорам водили за то, что она, работавши курьером, передала покупателю товар — некое устройство, умеющее подавлять сигналы мобильного.
Ей писали «Распространение шпионского оборудования». Такие же санкции применялись за ввоз\сбыт всяких брелков\ручек-видеокамер.
А тут в заявляют, что устройства для «шпионской сети» будут октрыто продаваться.
Подходит воронежец к юристу и говорит
— Хочешь поржать? Смотри какаой договор у меня на руках и по нему банк подал иск…
— о_О.
— А хочешь в суде меня представлять?
Кроме того, 50к фунтов — не цена за результат, а лишь за «один проход».