Профессиональная этика и «кулхацкеры»

    Пишу пост «на злобу дня» — ибо вчера некий народный умелец нашёл дырку в агрегаторе berspersons.ru. Нашёл — и повёл себя в высшей степени некрасиво. Мало того, что устроил бучу на хабре, так ещё и заспамил аккаунты юзеров через дыру (даже если это сделал не он, а его последователи — думать надо было, прежде чем выкладывать такое в public domain). Как юзер сервиса, я тоже попала под раздачу, да — все «вирусные» сообщения из блогов уже вычистила, пароли везде вот щас как раз меняю… и, что называется, много думаю.

    В свою бытность администратором-программистом «молодёжного портала» (читай — детского садика) http://zontik.ru с подобными персонажами приходилось сталкиваться постоянно. Ибо код у сайта на редкость дырявый (и написанный, по большей части, не мной) — ни для кого не секрет, что SQL-injection'ов и XSS'ов там было как отверстий в дуршлаге, да и сейчас, наверняка, немало осталось. И, учитывая, что основным контингентом этого сайта были тинейджеры со всем присущим им набором подростковых проблем вроде ущемлённого эго — все эти баги только так использовались ими в целях самоутверждения и сведения счетов с неприятелями. В общем, мне доводилось видеть и выложенные в сеть видеоуроки «как поломать Зонтик», и «просто так» забаненных юзеров, и сообщения от чужого имени, и даже свой собственный сбрутфорсенный пароль (так я и научилась ставить пассы из 25 и больше символов). И за каждую подобную находку, иссесьна, краснела перед начальством, а то и люлей выхватывала. И если бы я сама допустила все эти ошибки — то было бы хотя бы не так обидно. Я бы хоть знала, что я это заслужила…

    В общем, к чему я это пишу? Мне непонятна истерика, всеобщее гыгыкание-улюлюкание и стремление всеми силами «опустить» сервис, типа «ой, какие они все лохи, так им и надо, сам удалился и всем желаю, бугага». Если это и есть выражение мнения хабрапублики — то её уровень, увы, сильно упал. Как правильно написали в комментах — не ошибается только тот кодер, который ничего не пишет. Ну или пишет что-то типа хеллоуворлдов на бейсике (с) я. И все такие прям правильные, что просто звездец. Конечно, с умным видом рассуждать о перспективах транснациональных IT-корпораций (по типу «так купит ли Microsoft Yahoo») или о великом и ужасном ФРИЛАНСЕ (уж не потому ли, что на постоянную работу просто не берут?) — приятное занятие. А когда кто-то что-то реально делает, создаёт какие-то полезные сервисы (по крайней мере мне BP реально полезен) — непременно надо «опустить выскочку».

    Знаете, чем нормальный black hat отличается от кулхацкера? Black hat-ом движет что угодно — желание подзаработать, лозунг «information must be free», просто спортивный интерес — но вряд ли это будет желание выпендриться, самоутвердиться за счёт других и проорать о себе на всю Сеть. Хотя бы потому, что при хороших масштабах взлома (а не просто «заспамить чужой бложик») лишний раз светиться просто небезопасно. А кулхацкер (чаще всего малолетний) — именно что пытается показать «вы все лохи, а я крутой кодер». Возможно, я излишне эмоциональна — но меня саму всегда добивало подобное. Нашёл дыру, получил с её помощью бонус — или юзай сам, или доложи админу. А выкладывать в паблик, да ещё и с подобными комментариями — я считаю это именно что проявлением раздутого ЧСВ. Подобным людям я бы не то что руки не подала — в физиономию бы при личной встрече плюнула. Ибо предпочитаю общаться с профессионалами, а не с бандерлогами.

    P.S. Ну, и в поддержку сервиса (нет, мне за это не платят) —

    Комментарии 53

      +1
      А тех кто кричит "Жигули отстой" вы тоже не котируете?
      я бы наоборот был бы рад, еслиб один из мной надевелопенных сайтов хоть раз серьёзно ломанули.
      полезно и для опыта (знать, откуда могут отыметь), так и для занижения самомнения и уменьшения облака пафоса.
        +2
        я не мазохист, простите - и если уж моё творение поломали, я предпочитаю конструктивный диалог, а не обливание помоями :)
        • НЛО прилетело и опубликовало эту надпись здесь
            0
            )) ссылки давать не буду ибо на этих проектах я уже не работаю))
            0
            Закажите аудит безопасности - компаний предоставляющих такую услугу достаточно.
            +1
            ИМХО: Вы слишком поверхностны, сначала разобрались бы поглубже в проблеме, а потом обвиняли народных умельцев. Видимо, ваш портал по той же причине укладывали — нежелание разбираться в корне проблемы.
              –1
              а что тут разбираться? Где проблема? Ну дырка в сервисе, и что? Залатают, не смертельно. Не вижу повода для истерики :)
              • НЛО прилетело и опубликовало эту надпись здесь
                  –6
                  опять же, в чём проблема? Ну даст начальство по шапке кодеру-лентяю, а то и уволит его, баг будет залатан, а юзеры довольны. Не вижу ничего "непростительного"...
                    0
                    Из-за таких проблем, особенно при их сокрытии, в последствии может не протсо рухнуть бизнесс этого сайта, а вообще хозяева ресурса уйти в глубикие минуса после судебных разбирательств.
                      –4
                      ну и написал бы "народный умелец" тогда админу, и не было бы проблемы... зачем на этом пытаться самоутвердиться?
                      • НЛО прилетело и опубликовало эту надпись здесь
                          –3
                          а что, уже в паблик выложили описания других дыр? Я не вижу такого. Пока это всего лишь домыслы.
                            0
                            Кароче, спор бессмысленен. У тебя эмоции, по поводу несправедливости, и жестокой глумливости "кулхацкеров", я же говорю про реальную практику разрабтки систем безопасности (работал так же ив банковской сфере, ив нескольких крупных проектах, поэтому имею опыт и понимаю насколько это важно). Считаю целесобразным спор закрыть. А топик лучше вообще скрыть. Ибо крому флуда и холиварчико тут ничего не будет.
                              0
                              да я тоже не только детскими портальчиками рулила - всё я понимаю прекрасно. Но ничего скрывать не собираюсь - ибо должен же быть хоть какой-то чистый островок среди потоков фекалий ;)
                                0
                                и конечно же им будет ваш ОБВМ!
                                  0
                                  прошу заметить, я этого не говорила - пипиьками... тьфу, внутренним миром не меряюсь :)
                            • НЛО прилетело и опубликовало эту надпись здесь
                            +3
                            Видимо ты не совсем поняла что я имел ввиду. То что "хакер" написал бы админу, уже не сильно помогает. Админ может втихоря залатать дыру, ну может не совсем втихоря. Ну а в целом, как показывает практика, безопасность ресурса не пересматривается. Как и на твоем сайте, с постоянным латанием вновь обнаруженных уязвимостей. Ну а заставить по серьезному пересмотреть свою политику в этом плане, может только глобальная акция, или почти катастрофа. Что сейчас и ыбло показано. Даже если бестперсонс это и прикончит(что не факт), то это будет серьезным уроком всем другим.
                        • НЛО прилетело и опубликовало эту надпись здесь
                        +1
                        Проблема в том, что вы написали:
                        >Нашёл - и повёл себя в высшей степени некрасиво. Мало того, что устроил бучу на
                        >хабре, так ещё и заспамил аккаунты юзеров через дыру

                        Откуда такая информация? Я бы не стал от балды обвинять невиновного человека (призумция есть такая), потому что мне обидно за любимый сервис.
                          –4
                          я и написала - даже если это не он, а кто-то левый - нужно было сознавать свою ответственность, когда выкладывал подобную информацию в паблик.
                            0
                            1. Гадить в карму было вовсе не обязательно.
                            2. Ваше высказывание похоже на: Ольга Резникова конечно убогая тупая баба (ну может не она, а те кто читает её посты, но надо себе отдавать отчет бла-бла-бла)

                            Выкладывание информации о наличии обстрактных дыр в безопасности сервиса без указания способов использования не является чем-то безответственным — наоборот, это попытка не админов, но так общественности взглянуть на проблему безопасности глубже. Да, известно, что благими намерениями путь в ад вымощен, но если бы умелец не отпостил ничего то, что сегодня затронуло всего лишь 15 тысяч человек, через годик возможно в десятки раз больше.
                              –2
                              я в карму не гадила, честно - я не настолько мелочна :) А подобные "благие намерения" - ИМХО лишь отмазка. Сообщил бы админу, раз уж хотел хорошего конторе :)
                                +1
                                Хорошо, что «злоумышленник» не продал оптом десяток–другой тысяч (или даже больше) паролей пользователей настоящим злоумышленникам.
                      +3
                      Причем тут опустить сервис. Без таких прецедентов никто толком не задумывается о настоящей безопасности стартапов и других внезапно популярных сервисов. Написаны изначально на коленке, за 2 недели как сейчас модно(по методологии любимой книги стартапера). Причем зачастую экономят на всем, и код пишут самоучки, которые может быть и сам код писать умеют, но проектировать полноценные ресурсы нет. Вот и получили по носу.
                      Причем, как было замечено они сами писали и ужасались точно такой же уязвимости у других. Сплошной цирк получается. Поэтому извини, но не соглашусь с тобой.
                      • НЛО прилетело и опубликовало эту надпись здесь
                          0
                          Ну вот снова эмоции. Я же совсем о другом. ПЕРЕЧИТАЙ МОЙ КОМЕНТ ЕЩЕ РАЗ. =)
                          • НЛО прилетело и опубликовало эту надпись здесь
                              +2
                              Теперь спроса точно не будет 8)

                              Представьте ситуацию: открывается новый медицинский центр (стартап), в котором делают операции на жизненно-важных органах (пароли), но т.к. не известно, будут ли клиенты или нет (трафик, монетизация), нанимают на должность хирургов, анестезиологов и т.п. таджиков с ближайшей стройки (одаренные кодеры). А когда понимают, что клиенты есть, желание менять "в принципе как бы практически рабочих" врачей пропадает, т.к. есть вариант, что они все правильно режут.
                                0
                                Домысливаете.
                                • НЛО прилетело и опубликовало эту надпись здесь
                                    +1
                                    1. Смайл штатный, 8 писать гораздо удобнее, чем : Это не более чем ирония над вашими словами. Лично мне вообще побарабану, что там с бестперсонами происходит — не юзал и юзать не собираюсь, т.к. занимаюсь вопросами сетевой безопасности больше 10 лет и прекрасно понимаю истину _всё, посланное в интернет, рано или поздно становится общественным достоянием_. Да и к тому же функционал этого сервиса для меня не представляет никакой ценности.

                                    Насчет "нестандартной ситуации" — парни были в курсе дырки сразу после опубликования "кулхацкером" поста, участвовали в дискуссии и даже объявили о том, что все починили. И уже после этого произошло то, что произошло — это ли не распиздяйство.

                                    Моя аналогия с таджикскими строителями относится не к сервису, а к ВАШЕМУ посту (ща запустим, все заработает, получим бабла и наймем нормальных работников, а то хрен его знает, может это никому не надо). Мастеркард тут как-то не причем вообще.

                                    Насчет лучший стартап и права: людей помнят по плохим поступкам. Вы хоть сто тысяч деревьев посадите для того, чтобы спасти миллионы людей — стоит вам после этого убить хотя бы одного, люди вас не простят. Так уж устроен человеческий мозг.
                                  0
                                  По слухам вложены были относительно немалые деньги. К тому же я не понимаю закручивание всей ситуации только на хабре. Прецедент в том что сервис изначально потенциально опасен, поэтому средства гарнатирования безопасности на нем необходимо было продумать зарание. А там, как писали выше, было просто вопиющее пренебрежение всему и вся. Вообщем снова и я мои опоненты повторяемся. Мы не слышим друга друга?
                            –1
                            Очень сожалею, что не удалилась, ибо хотела услышать от автора топика на Хабре, именно ли он уничтожил мой пост со ссылкой на свой топик на BP...
                            Все-таки ответ админа (или модератора) в личке - доказательство если что, хотела разобраться, с каких пор так цензурят.
                            А надо было просто скрин сделать, как впрочем и на написанное, как впрочем и на все, что теперь я пишу в инете, агамс?
                            И где я оставляла свои личные данные и ссылки на мои профили (не обязательно пароли, ники не везде одинаковые, а почта - одна).
                            У меня в прошлом году "украли" почту Gmail из-за того, что поставила почту с Rambler.ru доставкой "забытого" пароля. Как выяснилось, на Mail.ru работают отличные ребята, и не меняя пароля (что невозможно даже угадав ответ на секретный вопрос) - дают доступ к почте всем желающим, а когда выясняется, что нужное на Rambler.ru - не проблема и там, однако, поменяв пароль...
                            К чему это я? Меня волновала только почта))))))))))))))
                            Пароли к стороним сервисам не вводила...
                            Ах, да, не удалялась бы, если бы не ЦЕНЗУРА! Это - жесть полная))) Так что удалюсь, как только исчезнет вывеска:
                            Сайт временно закрыт в связи с хакерской атакой.
                            Мы прилагаем все усилия, чтобы BestPersons.ru возобновил свою работу в ближайшее время.
                            P.S. Пароли пользователей bestpersons к сторонним ресурсам защищены и украдены не были.
                            Мы приносим свои извинения пользователям, которых затронул данный инцидент.

                            Кстати, да, у меня - шпиономания, и в профиле об этом недвусмысленно было изложено, на весь инет, ибо ссылки на BP сувала всюду :-D
                              +2
                              Да что вы спор устроили ниочем, это же естественные отбор !
                              А все эти дырявые "зонтики" и "бестперсонсы" рано или поздно или вымрут или вырастут до взрослого состояния.
                                0
                                а что до "этики"...
                                в том самом возрасте кулхацкер индивидум не имеет этики в понимании ставящего вопрос.
                                  0
                                  Полностью поддерживаю негодование. Ибо не аккуратненько сработано.
                                  Впрочем, "баг-репортер" сам признался о тщеславной стороне вопроса, так что это его несколько извиняет.
                                  А вот аудитория - да, непонятно почему так отреагировала...
                                    0
                                    Если честно, я тоже недолюбливаю "хакеров", как класс :) Ибо разработчик. Но…

                                    Но зато я понимаю ОЧЕНЬ важную вещь. Представьте, ЧТО ДУМАЕТ ЗАЯЦ О ВОЛКЕ? Ведь вам было обидно удалять "топики" написанные якобы от вашего имени? А что чувствует заяц, которого проткнули острыми зубами, и медленно пережевывают. Причем волк не собирается его убивать. Ему без разницы, что заяц корчиться в ужасных муках.

                                    Открою маленькую "истину" - мы с вами ЗАЙЦЫ. Мы не имеем права судить ВОЛКОВ, ибо они живут "пожирая\взламывая" нас, а мы благодаря ВОЛКАМ быстро бегаем :)

                                    Таков закон природы - "Естественный отбор" называется. Пока что НИЧЕГО эффективнее этого метода не придумано. Совершил ошибку - умер. Выживут в результате только те, кто не совершал ошибок или совершал не летальные ошибки. Что может быть проще? :)

                                    PS: "Если бы не было волков, зайцы умерли бы от ожирения" (С) непомню
                                      0
                                      По этому поводу хорошо высказались в моём ЖЖ, цитирую:
                                      sontar
                                      У Ольги возмущение по поводу "волк съел козлёнка". Она говорит что-то вроде "вот, если волк случайно обнаружил отбившегося от стада козлёнка, он должен отнести его пастуху и получить свой обед". Нет, даже так: "если волк обнаружил дыру в заборе, пусть пойдёт и доложит охране колхоза".

                                      darkhon
                                      Что-то я такого у нее не вижу.
                                      Про "волков" там сказано "либо юзать козлят самому, либо, если захочется, доложить охране колхоза, а самому искать что-нибудь повкуснее".
                                      А сказано у нее про шакалят.
                                        0
                                        Жесть :) Но я все-таки, на их месте, не стал бы проводить аналогию "козлы - волки" ибо я сам, да и они тоже - пользователи! О_О

                                        PS: Мне приятнее думать что я - "заяц", а не "козел" :)
                                          0
                                          а мне приятнее думать, что я мудрая сова :) И никто меня не "съел" - ну нагадил какой-то урод под моим деревом. Убрала (и, нет, мне было не обидно - разве что неприятно) - и попутно высказала всё, что я думаю, о любителях гадить где-либо вне своего туалета :)))
                                            0
                                            Похоже, вы стоите выше по "эволюционной лестнице". Такого же развития желаю и автору топика :)
                                              0
                                              я и есть автор, привет :)
                                                0
                                                Все все! Пошел спать, пока еще чего-нибудь не наговорил :)
                                      0
                                      Вот читаю и интересно мне, а что бы вы все рассказывали, если бы человек нашедший уязвимость, вместо безобидных пары сообщений, написал бы скрипт который бы удалял блоги с сервисов.

                                      Или редактировал существующие сообщения и впихивал бы в них вирусный код или какие нибудь невидимые ссылки, для веб-спама.

                                      ИМХО человек поступил очень даже верно и людям наиболее безобидно показал, что сервис не стоит использовать, и для самого сервиса появился ультиматум, либо пересмотреть политику и начать работать, либо закрыть все и забыть.
                                        0
                                        Общественность возмутило, то что владельцы (разработчики - не суть важно) про такие (подобные) уязвимости других ресурсов знали. Можно предположить либо умышленное пренебрежение безопасностью, либо злой умысел. Уязвимость серьезная, если делать все по тихому, то в ваших блогах могли появится записи порочащие гос. строй и призывающие к розни. На мой взгляд широкая огласка была обязательна.
                                        • НЛО прилетело и опубликовало эту надпись здесь
                                            0
                                            если сервис начал заниматься таким ответственным занятием как хранений паролей, то в первую очередь он должен заботиться о безопасности этой информации. они получили урок
                                              0
                                              думаю, лишь только за фразу
                                              Нашёл дыру, получил с её помощью бонус - или юзай сам, или доложи админу.
                                              пост стоит поднимать.

                                              Действительно, если пользователь пришел на портал - он заинтересован в его надежности, так кто в его же интересах сообщать об уязвимостях в первую очередь администрации портала.
                                                0
                                                Никому не известно, кроме самого пользователя, что в его интересах, а что нет, и с какой целью он «пришел на портал».
                                                0
                                                ктулхацкеры
                                                  0
                                                  >"Нашёл - и повёл себя в высшей степени некрасиво."

                                                  ути-пути

                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                  Самое читаемое