<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">
<META NAME="GENERATOR" CONTENT="GtkHTML/3.28.3">
</HEAD>
<BODY>
On ср, 2012-02-22 at 00:01 +0200, tie wrote:
<BLOCKQUOTE TYPE=CITE>
<PRE>
Явно имаме различни представи за "грубост". Грубо би било да си мълча за
намерения хак. Грубост би било някой да изтрие машините, върху които
хората са работили. Грубост би било да ги троянизирам до неузнавамост,
така че диска да трябва да се чисти докато не започне да излиза тънка
стружка (според това което си писал, това би трябвало всъщност да е
по-умно). Грубост би било някой да ги изпозва за зомбита, или за спам
ботове, грубост би било да се източи цялата ценна информация от един
сървър и след това да се продаде на който дава най-много пари. Грубост
е, като откриеш, че трябва да кажеш на клиентите си или работодателя си,
че заради пробив в сетъпа, който си направил, цялата информация която са
ти поверили е компрометирана. Грубост би било да ти се обади ФБР, че ще
ти конфискува live сървърите като веществено доказателство, или да дойде
Кибер Явор заедно с качулатите и прибере машините заради качената на тях
детска порнография (дори без да се обади предварително). А още по-грубо
е когато някое от гореизброените ти се случи заради сетъп, който си
видял в обучителен курс, но на който никой не се е сетил да му провери
сигурността. Ето тогава вече бих се почувствал освен нагрубен и доста
глупав, но ще съм си виновен само аз за това че съм делегирал критичното
мислене на някой друг.
Та, ако някой види подобен бъг в моя сетъп - бих го почерпил ако ми
върне грубия жест. За мен подобно знание е ценно, и би могло да ми
"спаси кожата" някой ден (далече по-ценно от това, че ще бъда засрамен
по време на курса) . Администрирането и сигурността не са следобедни
чаени партита, и няма полза от това по време на обучение да се държим
като ощипани госпожици. Моят дзен учител ми каза, че ако не човек не е
готов за игра извън правилата е по-добре да смени системната
администрация с шахмат.
В крайна сметка от моите действия произлизат единствено ползи за
"потърпевшите" (пак ако не броим моралните щети) - разследването какво и
как се е случило, едно наум винаги да се проверяват authorized_keys,
самата дискусия която се инициира. Няма damage. Това не означава, че бих
си добавя ключ на чужд сървър в реална среда - тук поне съм съгласен с
идеята на това, което казваш.
Но мисля, че е грубо да се нарекат моите действия груби в текущия
контекст. Това само исках да кажа.
-- tie
</PRE>
</BLOCKQUOTE>
<BR>
<BR>
Всъщност си много прав за това което си написал , просто вчера влезе като трети гол с тия скрийншоти , найстина много сложен въпрос е този - кое е правилно като намериш уязвимост в дадена система. Честно казано аз се раздвойх , и все още незнам за себе си , т.е. как аз бих постъпил - може би като теб , може би и по-гадно , може би бих им казал просто така и така , как седят нещата , може би бих накарал учасниците сами да се замислят с някои жокери , може би бих си затраял , честно ви казвам замислих се и още незнам кое е правилното за себе си... може би най-логично е да се действа според ситуацията. Не забраяй обаче че не всички сме security experts и не на всички ежедневието ни е penetration testing и т.н.т , правим каквото можем разбира се , но дупки за покриване винаги ще има за съжаление...<BR>
<BR>
Поздрави.
</BODY>
</HTML>