[Sa] Днешния пробив

Wed Feb 22 00:18:57 EET 2012

On ср, 2012-02-22 at 00:01 +0200, tie wrote:

> Явно имаме различни представи за "грубост". Грубо би било да си мълча за 
> намерения хак. Грубост би било някой да изтрие машините, върху които 
> хората са работили. Грубост би било да ги троянизирам до неузнавамост, 
> така че диска да трябва да се чисти докато не започне да излиза тънка 
> стружка (според това което си писал, това би трябвало всъщност да е 
> по-умно). Грубост би било някой да ги изпозва за зомбита, или за спам 
> ботове, грубост би било да се източи цялата ценна информация от един 
> сървър и след това да се продаде на който дава най-много пари. Грубост 
> е, като откриеш, че трябва да кажеш на клиентите си или работодателя си, 
> че заради пробив в сетъпа, който си направил, цялата информация която са 
> ти поверили е компрометирана. Грубост би било да ти се обади ФБР, че ще 
> ти конфискува live сървърите като веществено доказателство, или да дойде 
> Кибер Явор заедно с качулатите и прибере машините заради качената на тях 
> детска порнография (дори без да се обади предварително). А още по-грубо 
> е когато някое от гореизброените ти се случи заради сетъп, който си 
> видял в обучителен курс, но на който никой не се е сетил да му провери 
> сигурността. Ето тогава вече бих се почувствал освен нагрубен и доста 
> глупав, но ще съм си виновен само аз за това че съм делегирал критичното 
> мислене на някой друг.
> 
> Та, ако някой види подобен бъг в моя сетъп - бих го почерпил ако ми 
> върне грубия жест. За мен подобно знание е ценно, и би могло да ми 
> "спаси кожата" някой ден (далече по-ценно от това, че ще бъда засрамен 
> по време на курса) . Администрирането и сигурността не са следобедни 
> чаени партита, и няма полза от това по време на обучение да се държим 
> като ощипани госпожици. Моят дзен учител ми каза, че ако не човек не е 
> готов за игра извън правилата е по-добре да смени системната 
> администрация с шахмат.
> 
> В крайна сметка от моите действия произлизат единствено ползи за 
> "потърпевшите" (пак ако не броим моралните щети) - разследването какво и 
> как се е случило, едно наум винаги да се проверяват authorized_keys, 
> самата дискусия която се инициира. Няма damage. Това не означава, че бих 
> си добавя ключ на чужд сървър в реална среда - тук поне съм съгласен с 
> идеята на това, което казваш.
> 
> Но мисля, че е грубо да се нарекат моите действия груби в текущия 
> контекст. Това само исках да кажа.
> 
> -- tie

Всъщност си много прав за това което си написал , просто вчера влезе
като трети гол с тия скрийншоти , найстина много сложен въпрос е този -
кое е правилно като намериш уязвимост в дадена система. Честно казано аз
се раздвойх , и все още незнам за себе си , т.е. как аз бих постъпил -
може би като теб , може би и по-гадно , може би бих им казал просто така
и така , как седят нещата , може би бих накарал учасниците сами да се
замислят с някои жокери , може би бих си затраял , честно ви казвам
замислих се и още незнам кое е правилното за себе си... може би
най-логично е да се действа според ситуацията. Не забраяй обаче че не
всички сме security experts и не на всички ежедневието ни е penetration
testing и т.н.т , правим каквото можем разбира се , но дупки за
покриване винаги ще има за съжаление...

Поздрави.
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.ludost.net/pipermail/sa/attachments/20120222/103804a3/attachment.html>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 490 bytes
Desc: This is a digitally signed message part
URL: <http://lists.ludost.net/pipermail/sa/attachments/20120222/103804a3/attachment.pgp>