Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 16
Азино три топора отдыхает=))
Ну а что тот удивительного, Вася пришел домой, дверь вскрыта и там сидит Петя, который говорит, я исследовал твой замок и вот видишь, он имеет уязвимости, с тебя 10 штук зелени.
Тут возможно разнообразное развитие дальнейших событий, этих чуваков ведь никто не нанимал, для исследований, как я понял.
Тут возможно разнообразное развитие дальнейших событий, этих чуваков ведь никто не нанимал, для исследований, как я понял.
Такой подход понятен, когда твой «замок» защищает только тебя и твою собственность. Но он решительно не подходит тогда, когда от проблем с твоим «замком» могут пострадать твои клиенты и их собственность.
Это понятно, но вроде как, все тайное что попало в сеть, имеет стопроцентную возможность стать явным, независимо от того насколько оно хорошо там спрятано, думаю нашел уязвимость, молодец, а вот как ей распорядиться уже, дело совсем другое и не факт, что тут желаемое совпадет с реальным результатом, статья тому подтверждение.
и да, кстати, если у кого то плохой замок на двери и он взял чьи то вещи, то это тоже может плохо кончится, но вот что будет если кто то проверять пойдет и попадется на такой проверке, тоже интересно.
Не так. Правильно:
Вася пришёл на работу, где делает замки, а там записка: «твои замки, которые ты продаёшь за 40 лямов зелени — говно. Подпись: Петя». Вася срывает записку, комкает и выкидывает, но ему по очереди звонят покупатель замков дон Корлеоне и ФБР (которые уже видели записку) и задают вопросы. Вася звонит Пете и предлагает ему подписать NDA. У Пети из-за NDA накрывается готовящаяся публикация по говнозамкам, поэтому он просит 10 штук зелени.
Дальше я не понял что за Санта Барбара у них началась, но если бы дело было в Индии, то Вася и Петя оказались бы братьями и танцевали в конце.
Вася пришёл на работу, где делает замки, а там записка: «твои замки, которые ты продаёшь за 40 лямов зелени — говно. Подпись: Петя». Вася срывает записку, комкает и выкидывает, но ему по очереди звонят покупатель замков дон Корлеоне и ФБР (которые уже видели записку) и задают вопросы. Вася звонит Пете и предлагает ему подписать NDA. У Пети из-за NDA накрывается готовящаяся публикация по говнозамкам, поэтому он просит 10 штук зелени.
Дальше я не понял что за Санта Барбара у них началась, но если бы дело было в Индии, то Вася и Петя оказались бы братьями и танцевали в конце.
Ну вот, чуваки проникли на работу к Васе взломав его замок, пошуровали там и оставили чёрную метку, является ли то, что замок не качественный, поводом для визита в частную собственность Васи, крутого слесаря по замкам?
Если что, я там никого не там защищаю, мне просто интересно.
Казино тоже не моё, если что.
Если что, я там никого не там защищаю, мне просто интересно.
Казино тоже не моё, если что.
Замковая аналогия не очень-то натягивается на айти, ну да ладно. Возможно, к балбесу Васе очень много кто ходил, открывая его говнозамок зубочисткой и крепким словом и тихонько выносили ништяки и серили по углам. То же самое происходило с клиентами Васи. И только Петя дал себе труд Васю проинформировать. А Вася ему сразу NDA под нос сунул как будто так и надо.
Ну ладно, теперь все знают, что у Васи замок не очень и есть смысл туда заглянуть если припёрло, так как Петя об этом всем растрезвонил, есть ли смысл радоваться такому гостю как Петя?
=======
Коля нашёл уязвимость в винде, взломал ноут Сережи, полазил там, наделал скринов и пошёл требовать лимон у микрософт, предъявив сделанные им скрины, рад ли ему Сережа?
=======
Коля нашёл уязвимость в винде, взломал ноут Сережи, полазил там, наделал скринов и пошёл требовать лимон у микрософт, предъявив сделанные им скрины, рад ли ему Сережа?
Серёжи в истории нет. Майкрософт не рад Коле, который спустил с него штаны (впрочем, irl MS не привыкать), но чтобы сохранить лицо утверждает, что Серёжа был демонстрационный.
Сережа это нагрузочный, инжектированный для исследования ситуации. Но по любому выходит, что этичный взлом штука тонкая, но конечно рубануть на ней можно, а это главное.
"рубануть" — в смысле "аналитику заработать денег"? Тогда пожалуй нет. Если у производителя ПО нет программы вознаграждения за найденные уязвимости (или она фиктивная), то заработать ни по-хорошему ни как в статье исследователю не удается. Чуваки из статьи поначалу и не пытались, если вы читали внимательно.
В этичном взломе важный аспект — это публичная порка недобросовестных и некомпетентных вендоров. Я считаю, что это хорошо, а вы, похоже, придерживаетесь противоположного мнения.
Все профессии нужны, все профессии важны и врачи и палачи.
Я не осуждаю, но и не приветствую, просто при должном старании и умении, любой вендор может быть скомпрометирован изнутри или снаружи.
Но пожалуй Вы правы, для ИТ это увеличение затрат на безопасность и выгодные контракты.
Я имел ввиду, что возможно не круто, когда твои замки все подряд, могут проверять и пытаться открыть, но уж в таком мире живем, ничего страшного в принципе, есть и свои плюсы.
«рубануть» — это монетизировать результат своей работы, тем или иным способом.
Я не осуждаю, но и не приветствую, просто при должном старании и умении, любой вендор может быть скомпрометирован изнутри или снаружи.
Но пожалуй Вы правы, для ИТ это увеличение затрат на безопасность и выгодные контракты.
Я имел ввиду, что возможно не круто, когда твои замки все подряд, могут проверять и пытаться открыть, но уж в таком мире живем, ничего страшного в принципе, есть и свои плюсы.
«рубануть» — это монетизировать результат своей работы, тем или иным способом.
Реакция на уязвимости вообще забавна.
Сталкивался с двух позиций:
Я как админ помогал хостить веб-сайт. Он был основана очень старом движке, обновить который уже невозможно. А переход на новую версию того же движка — это уже работа разработчика, а не админа. Я время от времени напоминал руководству фирмы, что неплохо было бы обновить движок сайта.
И вот однажды их вскрыли. Быстро пофиксил, накатав из резервной копии. Опять напомнил, что нужно обновиться.
Потом еще раз вскрыли. Так же пофиксил и еще раз напомнил.
Когда в конце концов хулиганы разместили там порнуху — компания взялась переделывать сайт.
В другой ситуации был веб-разработчикам, которому владелец фирмы передал письмо «мне тут что про взлом прислали».
Под эту лавочку я просто протолкнул новый сайт, сделанный с нуля.
Однако, руководство фирмы даже в такой крайней ситуации не готово было на неожиданные траты. И новый сайт был сделан максимально дешёво. Но уже без того дырявого движка.
Я к тому, что в типичной ситуации тому, кто ищет уязвимости — не светит вообще ничего, никаких денег.
Сталкивался с двух позиций:
Я как админ помогал хостить веб-сайт. Он был основана очень старом движке, обновить который уже невозможно. А переход на новую версию того же движка — это уже работа разработчика, а не админа. Я время от времени напоминал руководству фирмы, что неплохо было бы обновить движок сайта.
И вот однажды их вскрыли. Быстро пофиксил, накатав из резервной копии. Опять напомнил, что нужно обновиться.
Потом еще раз вскрыли. Так же пофиксил и еще раз напомнил.
Когда в конце концов хулиганы разместили там порнуху — компания взялась переделывать сайт.
В другой ситуации был веб-разработчикам, которому владелец фирмы передал письмо «мне тут что про взлом прислали».
Под эту лавочку я просто протолкнул новый сайт, сделанный с нуля.
Однако, руководство фирмы даже в такой крайней ситуации не готово было на неожиданные траты. И новый сайт был сделан максимально дешёво. Но уже без того дырявого движка.
Я к тому, что в типичной ситуации тому, кто ищет уязвимости — не светит вообще ничего, никаких денег.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как «этичный взлом» производителя ПО для азартных игр обернулся полным кошмаром