27.7.09

Самопиар, security awareness или реальная помощь?

Долго думал, с чего начать эту заметку. Так и не придумал ;-( Решил дать рукам волю и пусть сами пишут то, о чем я сейчас думаю. Итак, наткнулся я на сайт nosecure.info. Очень интересный ресурс, ибо заметки на нем показывают неплохую квалификацию авторов. Но вот этическая сторона вопроса... Зачем писать о том, какие дыры есть на сайте Инфосистемы Джет, Вымпелком, RISSPA, Лаборатории Касперского, sec.ru, СекЛаб и т.п.? Как это влияет на повышение осведомленности или реальную защищенность? Сложно сказать. Самопиар? Но на сайте постоянно твердят, что помогают они бескорыстно и готовы консультировать любого вопрошающего бесплатно. В-общем, я так и не пришел к единому мнению, какие чувства вызывает у меня этот сайт...

ЗЫ. С другой стороны, почитав заметки на сайте, я обратил внимание, что часто грешу тему же - критикую всех без разбора ;-( Надо что-то с этим делать. Больше позитива добавить что-ли и советов с помощью?.. Надо осмыслить...

ЗЗЫ. Два часа спустя... Осмыслил. Если уж все позволяют себе ругать вендоров, то почему нельзя ругать потребителей... также с указанием их имен?

ЗЗЗЫ. И еще один постскриптум (наверное последний). После таких вот новостей о том, что на том-то сайте, специализирующемся на ИБ или на другом, найдены дыры, запускать свой сайт как-то не хочется. Сколько раз уже брался за это, но все время останавливает именно этот момент - не хочется, чтобы мой сайт был взломан. А самостоятельно обеспечивать защиту динамического сайта на каком-либо популярном движке я не готов - техническая квалификация уже не та ;-(

24 коммент.:

tzk комментирует...

Самопиар еще какой, хотя забавно бывает почитать. А насчет профессионализма я бы поспорил, никаких документов, отражающих квалификацию, я у них там не нашел.

Анонимный комментирует...

Ну ведь если будет за что хвалить - ты похвалишь? Или ты не хвалишь никого?

Sergey Gordeychik комментирует...

Все очень просто.

1. Искать уязвимости весело и забавно
2. Просто их искать, не показав всему миру, какой ты молоток - скучно и безсмысленно
3. Пытаться устранить уязвимости "легальными" путями, например взаимодействую с вендором в рамках RFP - сложно
http://www.securitylab.ru/analytics/241826.php
http://sgordey.blogspot.com/2009/01/blog-post_26.html
и может занять на (несколько)порядок(ов) больше времени, чем найти багу.

Посмотрите на timeline:
http://www.securitylab.ru/lab/

4. "Благодарность" вендора вешь абстрактная, и зачастую отсутвующая (ибо нашедший багу есть вестник, принесшую дурную весть).
5. Проще кинуть это в "паблик" и чувствовать себя героем.

Sergey Gordeychik комментирует...
Этот комментарий был удален автором.
Алексей Лукацкий комментирует...

e1am0: Хвалю, конечно. Хотя человеческая психология устроена так забавно, что воспринимает негатив и критику активнее, чем позитив ;-) Поэтому чернуха, критика и ругань всегда будет в фаворе ;-(

Алексей Лукацкий комментирует...

Сергею Гордейчику: Я не совсем понял, ты оправдываешь их или нет? ;-)

Sergey Gordeychik комментирует...

оправдываешь их или нет?

Отнюдь. Не оправдываю. Но нужно смотреть ширше - "объекты насмешек" также очень причем.

tzk комментирует...
Этот комментарий был удален автором.
tzk комментирует...

Сергею Гордейчику: на самом деле весело и забавно все это читать до тех пор пока они не поломали ваш сайт и не удосужились уведомить вас об этом заранее :)

Рекомендую, кстати, почитать дискуссию по их "документам" на сайте secureblog.info

Sergey Gordeychik комментирует...

PS.

Более того, когда серьезная группа (компания?) ориентированная больше в white, чем в black скатывается до экстремистских вариантов full disclosure - она расписывается в том, в чем обвиняет свои цели. В недоделках. Хотели сделать хорошо, а получилось как обычно.

PPS.

Такой вот пост получился. Много PS-ный :)

Sergey Gordeychik комментирует...

>тех пор пока они не поломали ваш

Я успел побывать (и пребываю) со всех сторон баррикад. И как ресчерчер, и как вендор, и как посредник, и как "воспитатель", вправляющий мозг юным горячим хакерам, пока к ним не постучали...

Тот же SecLab - в какой-то степени "мой".

Sergey Gordeychik комментирует...
Этот комментарий был удален автором.
Анонимный комментирует...

www.a_u_vas_shnurok_razvyazalsa.org

Алексей Лукацкий комментирует...

Это ты к чему?

Анонимный комментирует...

Сорри, это я внести каплю юмора...

Причины появление таких сайтов - давно обсуждЁнная тема и не представляет интереса.

На мой взгляд - агрессивный пиар , рассчитанный на людей верящих в "волшебные технологии" Хакеров (воспитываемые СМИ, кино и пиаром некоторых ИБ(в основном антивирусных) компаний) и не менее ангелоподобных "воинов света" (Антивирусников и т.т которые воспитаны теми же средствами).
Это я все про мифологию...

А тут двумя словами:
"мы воины света, владеющие и черной магией, но обращающие ее в добро"

P/S/ Мы так часто критикуем всех даже по мелочам - это напоминает союз советских писателей из Булгакова...

Анонимный комментирует...

Александр Дорофеев на своем блоге осветил этические вопросы подобного подхода и я с ним согласен...
Первое впечатление от посещения - обращаться в случае нападения на "кого надо", но обращаться за аудитом... Сначала нужно заслужить доверие, а какое тут доверие, если уязвимости выкладывают на обозрение. Это что получается...
Заказали аудит, устранили дырки, а они потом дырки эти на сайте выложили... со словами
"вот какую контору мы спасли, вот что у них было смотрите как они без нас жили то... а вот теперь..."(гипотеза чтоб никого не обидеть)

Unknown комментирует...

Извините, что встреваю, но(!)...

Доверие - это когда искал, нашел... и перепрятал? Чтобы никто или только за деньги? (-:

Кажется мне, это даже не grayhat. Это уже черный-пречерный такой blackhat.

Вообще, ситуация очень похожа на морские войны Испании и Великобритании - тогда сражались благородные пираты и бандитские разбойники. Не поймешь только, с какой стороны кто был (-:

Простите за импульсивную ассоциацию (насчет пиратства - аллегория, чтобы никого не обидеть).

Анонимный комментирует...

Ну развели тут. Ребята crfxfkb себе ломанный Acunetix и бесплатный Nicto (о чем сами и говорят) и тупо сканят ими популярные сайты.

Unknown комментирует...

Да Вы только попробуйте, может у Вас тоже получится (-:

Анонимный комментирует...

Да легко...
http://validator.w3.org/
и подобные...
Вообще вопрос оценки защищенности открытых ресурсов в ближайшие года 2 - станет открытым.
Другими словами - будет полно сервисов для анализа защищенности бесплатных в сети....

Unknown комментирует...

Валидатор CSS имеет отношение к ИБ?

А если посмотреть на те, что имеют - сразу вспоминается McAfee с 20 крупными сайтами, которым дали золотой знак "отличник безопасности" по результатам автоматического сканирования, а потом кто-то нашел на них на всех time-based-blind и xss.

Анонимный комментирует...

Да уж. Как говорится в устоявшемся выражении:
Именно мы первыми полетели в космос и первыми прилетели из него.

Анонимный комментирует...

Да уж. Как говорится в устоявшемся выражении:
Это мы придумали есть арбузы перед сном, чтобы встать пораньше.

Анонимный комментирует...

Да уж. По поводу коментариев - навеяла на меня где-то услышанная фраза:
Я на себя не трачу ни гроша… Только на вино и женщин.