[Sa] Днешния пробив

tie sa at morp.org
Wed Feb 22 00:01:21 EET 2012 

On 02/21/2012 04:37 PM, Vasil Kolev wrote:
> В 00:34 +0200 на 21.02.2012 (вт), tie написа:
>> On 02/20/2012 09:42 PM, Vasil Kolev wrote:
>>> И така, преди малко Емил (u6) освен, че показа на всички един дребен
>>> проблем със сигурността, е пипнал малко и по authorized_keys на хората и
>>> по директориите им.
>>>
>>> Интересно ми е мнението на всички това доколко е правилно и като цяло
>>> какво мислите по въпроса?
>>>
>> Дори u6 не съм стигнал още (u5 съм).
>>
> ...
>
> Една забележка към всички - нарочно ви питах, защото това е един от
> въпросите, които нямат точен отговор, има противоположни мнения и е
> хубаво да се запознаете с всичките. По принцип в една сравнително random
> група като сегашната може да се намери почти всяко от тях.
>
> Колкото до свършеното от Емил, беше леко прекалено. Знам какво е
> удоволствието от това да намериш такъв проблем и да го демонстрираш, но
> да пипнеш по нещата на хората е грубо, а да пуснеш доказателства за това
> срещу себе си вече е глупаво :)
Явно имаме различни представи за "грубост". Грубо би било да си мълча за 
намерения хак. Грубост би било някой да изтрие машините, върху които 
хората са работили. Грубост би било да ги троянизирам до неузнавамост, 
така че диска да трябва да се чисти докато не започне да излиза тънка 
стружка (според това което си писал, това би трябвало всъщност да е 
по-умно). Грубост би било някой да ги изпозва за зомбита, или за спам 
ботове, грубост би било да се източи цялата ценна информация от един 
сървър и след това да се продаде на който дава най-много пари. Грубост 
е, като откриеш, че трябва да кажеш на клиентите си или работодателя си, 
че заради пробив в сетъпа, който си направил, цялата информация която са 
ти поверили е компрометирана. Грубост би било да ти се обади ФБР, че ще 
ти конфискува live сървърите като веществено доказателство, или да дойде 
Кибер Явор заедно с качулатите и прибере машините заради качената на тях 
детска порнография (дори без да се обади предварително). А още по-грубо 
е когато някое от гореизброените ти се случи заради сетъп, който си 
видял в обучителен курс, но на който никой не се е сетил да му провери 
сигурността. Ето тогава вече бих се почувствал освен нагрубен и доста 
глупав, но ще съм си виновен само аз за това че съм делегирал критичното 
мислене на някой друг.

Та, ако някой види подобен бъг в моя сетъп - бих го почерпил ако ми 
върне грубия жест. За мен подобно знание е ценно, и би могло да ми 
"спаси кожата" някой ден (далече по-ценно от това, че ще бъда засрамен 
по време на курса) . Администрирането и сигурността не са следобедни 
чаени партита, и няма полза от това по време на обучение да се държим 
като ощипани госпожици. Моят дзен учител ми каза, че ако не човек не е 
готов за игра извън правилата е по-добре да смени системната 
администрация с шахмат.

В крайна сметка от моите действия произлизат единствено ползи за 
"потърпевшите" (пак ако не броим моралните щети) - разследването какво и 
как се е случило, едно наум винаги да се проверяват authorized_keys, 
самата дискусия която се инициира. Няма damage. Това не означава, че бих 
си добавя ключ на чужд сървър в реална среда - тук поне съм съгласен с 
идеята на това, което казваш.

Но мисля, че е грубо да се нарекат моите действия груби в текущия 
контекст. Това само исках да кажа.

-- tie

More information about the Sa mailing list