|
Korporacije VS. security researcheri
Ne znam da li sam pogodio topik, ako nisam neka ga moderatori premeste... :)
U poslednje vreme, koliko sam ja mogao da primetim, sve vise se u svetu pokrecu tuzbe protiv security researchera. S'obzirom da i kod nas postoji ovaj zakon to dovodi u pitanje samu sigurnost naseg ali i svetskog web auditorijuma. Neka misljenja kao sto su: Citat:
Citat:
Sto se tice mene, i ako primetim neki propust, nakon par procitanih tekstova, ne verujem da cu to prijaviti bilo kome, jer ipak rizikujem, iako sam "dobar momak", a ne "maliciozni kreten". S' obzirom da to ne radim u komercijalne svrhe, zasto bih uopste rizikovao da zaglavim zatvor ili ko zna sta... posto su kazne kod nas za neovlasceni pristup racunaru ili racunarskoj mrezi bruka velike... Da li bi ste vi tuzili nekog, ukoliko pronadje propust na vasem servisu i prijavi vam to (on ipak nije imao prava da to radi)? Ili mozda ne bi, vec bi ste mu se zahvalili? I koji je po vama najbolji nacin da kada neko primeti gresku, da prijavi to, a da ne reskira da ce ga sam vlasnik tuziti?!? |
Svakako bih mu se zahvalio, jer je pokazao dobru nameru.
To sto je on uradio (pronasao gresku) moze da uradi svaki klinac iz Pakistana, koji ti nece prijaviti, a kome ne mozes nista... |
Ja mislim da je cela frka nastala zato što zakon jednostavno ne može da se zamajava time da li je neko delo učinjeno iz dobre ili loše namere. Čim ti otkucaš sql injection string u search box nekog sajta, uradio si nešto što izlazi van njegove namene i niko zaista ne želi da se pogađa sa tobom da li si to uradio iz dobre ili loše namere.
Vlasnici veb sajtova treba da se pobrinu da su njihovi sajtovi sigurni, sami ili uz pomoć specijalizovanih konsultantskih firmi. A svi oni koji bi da se bave security ispitivanjem, čačkanjem i bušenjem, treba to da rade kroz te firme, isključivo na insistiranje klijenta. Ja lično ne bih tužio nikog za koga smatram da ima dobru nameru i zahvalio bih mu se na pronađenim propustima, ali to je zato što bih imao vremena, volje i znanja da prosuđujem. Ne mora da znači da bi svako reagovao na isti način, ali nisam siguran da je pametno isprobavati bilo čiju etiku na taj način. |
Off Topic: Citat:
Citat:
... ;) |
Ma da, čitate misli...
Imaš stranicu na kojoj su samo text box i submit dugme. Kako ćeš, majke ti, gledanjem da vidiš da li postoji neki sigurnosni propust ili ne? |
Citat:
sto se teme tiche, mislim da se ovi security experti previse femkaju... sumnjam da je bilo ko optuzen zato sto je slucajno otkrio bug i prijavio ga vlasniku sajta/sofwara bez dizanja medijske prasine, nego se radi o tome da ta ekipa koja zivi od security researcha, u svrhu samo-reklamiranja, ima obicaj da pravi buzz oko pronadjenih propusta, a time kvare posao firmama koje taj software prave, i naravno onda ih oni tuze... |
Kao i u svakom drugom poslu: ako te neko ne angazuje - ne radis. :)
U svakom slucaju kada mi neko prijavibilo kakav problem 9n e samo sigurnosni) ja mu se zahvalim i iskorsitim informaciju. Ali ako bi neko objavio neki sigurnosni propust n amom sajtu (bez obzira dali me je o propustu pre toga obavestio ili ne), to vec ne bih shvaao kao dobronamerno. E sad, imamo situacije kao sto je ova skorasnja sa pogodak.co.yu, gde je otkriven problem koji nije sigurnosni propust za sajt, nego sigurnosni propust na sajtu koji pogadja posetioce sajta. Tu je vec pitanje koga obavestiti o problemu. |
Citat:
|
Citat:
Zamislite da vam neko obija vrata, otvara prozore na autu ili kući.. i onda kaže da je to iz dobre namere? |
Bila je tu neka zavrzlama, cak je pravljen dokumentarac o tome krajem 90ih.
Ako pocnem da detaljisem nesto cu da slazem jer se nesecam tacno kako je to islo. Uglavnom svojevremeno bio je veliki problem u sigurnosti mobilnih telefona neke poznate svetske marke, covek koji je dosao to tog otkrica je postovao na internetu sve detalje. Naravno usledila je tuzba, ali je glatko pala, nesto kao informacija te vrste nije poverljiva itd Sto se tice komentara da je to kao kada ti neko obija vrata, nije. Kada ti neko obija vrata cini ti direktnu materijalnu stetu. Kada neko trazi rupe u tvom softveru, sajtu etc on samo dolazi do informacija koje su mu javno dostupne (ako zna gde i kako da pogleda) kao servis, time ne cini nikome materijalnu stetu, marketinsku, mozda ali direktnu materijalnu ne. Neko ko zna gde i kako da gleda je uocio i scenu kada avion prolece u filmu Troja, zar neko treba da tuzi njega zato sto je ovo video? budite sigurni da je nekome iz ekipe filma zboj ovoga ucinjena kolika tolika marketinska steta. Cak sta vise veoma je pozitivno sto se svojevremeno pojavila informacija o pojavi Trojanaca na win sistemima jer MS iako je znao za pomenuti problem korisnike nije ni obavestio niti je bilo sta preduzeo mesecima, za to vreme su korisnici makar mogli da dodju do informacije i koliko toliko se zastite. Slican je slucaj i sa web sajtovima, zamisli recimo tebi Blues neko otkrije sigurnosni problem u Romance Cafe koji bi dopustio ljudima da gledaju tudje privatne podatke. Potpuno je legalno da ljudi budu obavesteni o tome kako bi mogli sebe da zastite, opet, koliko toliko. Takodje je realno da ti snosis "marketinsku" odgovornost za ovaj propust. Cena ove odgovornosti je proporcijonalna vremenu za saniranje/kolicini podataka koji su kompromitovani. PS. bez namere da prozivam bluesmana, samo mi je to privi servis koji mi je pao napamet u vlasnistvu nekoga od clanova :P |
| Vreme je GMT +2. Trenutno vreme je 18:43. |
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.