Долго думал, с чего начать эту заметку. Так и не придумал ;-( Решил дать рукам волю и пусть сами пишут то, о чем я сейчас думаю. Итак, наткнулся я на сайт nosecure.info. Очень интересный ресурс, ибо заметки на нем показывают неплохую квалификацию авторов. Но вот этическая сторона вопроса... Зачем писать о том, какие дыры есть на сайте Инфосистемы Джет, Вымпелком, RISSPA, Лаборатории Касперского, sec.ru, СекЛаб и т.п.? Как это влияет на повышение осведомленности или реальную защищенность? Сложно сказать. Самопиар? Но на сайте постоянно твердят, что помогают они бескорыстно и готовы консультировать любого вопрошающего бесплатно. В-общем, я так и не пришел к единому мнению, какие чувства вызывает у меня этот сайт...
ЗЫ. С другой стороны, почитав заметки на сайте, я обратил внимание, что часто грешу тему же - критикую всех без разбора ;-( Надо что-то с этим делать. Больше позитива добавить что-ли и советов с помощью?.. Надо осмыслить...
ЗЗЫ. Два часа спустя... Осмыслил. Если уж все позволяют себе ругать вендоров, то почему нельзя ругать потребителей... также с указанием их имен?
ЗЗЗЫ. И еще один постскриптум (наверное последний). После таких вот новостей о том, что на том-то сайте, специализирующемся на ИБ или на другом, найдены дыры, запускать свой сайт как-то не хочется. Сколько раз уже брался за это, но все время останавливает именно этот момент - не хочется, чтобы мой сайт был взломан. А самостоятельно обеспечивать защиту динамического сайта на каком-либо популярном движке я не готов - техническая квалификация уже не та ;-(
Самопиар еще какой, хотя забавно бывает почитать. А насчет профессионализма я бы поспорил, никаких документов, отражающих квалификацию, я у них там не нашел.
ОтветитьУдалитьНу ведь если будет за что хвалить - ты похвалишь? Или ты не хвалишь никого?
ОтветитьУдалитьВсе очень просто.
ОтветитьУдалить1. Искать уязвимости весело и забавно
2. Просто их искать, не показав всему миру, какой ты молоток - скучно и безсмысленно
3. Пытаться устранить уязвимости "легальными" путями, например взаимодействую с вендором в рамках RFP - сложно
http://www.securitylab.ru/analytics/241826.php
http://sgordey.blogspot.com/2009/01/blog-post_26.html
и может занять на (несколько)порядок(ов) больше времени, чем найти багу.
Посмотрите на timeline:
http://www.securitylab.ru/lab/
4. "Благодарность" вендора вешь абстрактная, и зачастую отсутвующая (ибо нашедший багу есть вестник, принесшую дурную весть).
5. Проще кинуть это в "паблик" и чувствовать себя героем.
Этот комментарий был удален автором.
ОтветитьУдалитьe1am0: Хвалю, конечно. Хотя человеческая психология устроена так забавно, что воспринимает негатив и критику активнее, чем позитив ;-) Поэтому чернуха, критика и ругань всегда будет в фаворе ;-(
ОтветитьУдалитьСергею Гордейчику: Я не совсем понял, ты оправдываешь их или нет? ;-)
ОтветитьУдалитьоправдываешь их или нет?
ОтветитьУдалитьОтнюдь. Не оправдываю. Но нужно смотреть ширше - "объекты насмешек" также очень причем.
Этот комментарий был удален автором.
ОтветитьУдалитьСергею Гордейчику: на самом деле весело и забавно все это читать до тех пор пока они не поломали ваш сайт и не удосужились уведомить вас об этом заранее :)
ОтветитьУдалитьРекомендую, кстати, почитать дискуссию по их "документам" на сайте secureblog.info
PS.
ОтветитьУдалитьБолее того, когда серьезная группа (компания?) ориентированная больше в white, чем в black скатывается до экстремистских вариантов full disclosure - она расписывается в том, в чем обвиняет свои цели. В недоделках. Хотели сделать хорошо, а получилось как обычно.
PPS.
Такой вот пост получился. Много PS-ный :)
>тех пор пока они не поломали ваш
ОтветитьУдалитьЯ успел побывать (и пребываю) со всех сторон баррикад. И как ресчерчер, и как вендор, и как посредник, и как "воспитатель", вправляющий мозг юным горячим хакерам, пока к ним не постучали...
Тот же SecLab - в какой-то степени "мой".
Этот комментарий был удален автором.
ОтветитьУдалитьwww.a_u_vas_shnurok_razvyazalsa.org
ОтветитьУдалитьЭто ты к чему?
ОтветитьУдалитьСорри, это я внести каплю юмора...
ОтветитьУдалитьПричины появление таких сайтов - давно обсуждЁнная тема и не представляет интереса.
На мой взгляд - агрессивный пиар , рассчитанный на людей верящих в "волшебные технологии" Хакеров (воспитываемые СМИ, кино и пиаром некоторых ИБ(в основном антивирусных) компаний) и не менее ангелоподобных "воинов света" (Антивирусников и т.т которые воспитаны теми же средствами).
Это я все про мифологию...
А тут двумя словами:
"мы воины света, владеющие и черной магией, но обращающие ее в добро"
P/S/ Мы так часто критикуем всех даже по мелочам - это напоминает союз советских писателей из Булгакова...
Александр Дорофеев на своем блоге осветил этические вопросы подобного подхода и я с ним согласен...
ОтветитьУдалитьПервое впечатление от посещения - обращаться в случае нападения на "кого надо", но обращаться за аудитом... Сначала нужно заслужить доверие, а какое тут доверие, если уязвимости выкладывают на обозрение. Это что получается...
Заказали аудит, устранили дырки, а они потом дырки эти на сайте выложили... со словами
"вот какую контору мы спасли, вот что у них было смотрите как они без нас жили то... а вот теперь..."(гипотеза чтоб никого не обидеть)
Извините, что встреваю, но(!)...
ОтветитьУдалитьДоверие - это когда искал, нашел... и перепрятал? Чтобы никто или только за деньги? (-:
Кажется мне, это даже не grayhat. Это уже черный-пречерный такой blackhat.
Вообще, ситуация очень похожа на морские войны Испании и Великобритании - тогда сражались благородные пираты и бандитские разбойники. Не поймешь только, с какой стороны кто был (-:
Простите за импульсивную ассоциацию (насчет пиратства - аллегория, чтобы никого не обидеть).
Ну развели тут. Ребята crfxfkb себе ломанный Acunetix и бесплатный Nicto (о чем сами и говорят) и тупо сканят ими популярные сайты.
ОтветитьУдалитьДа Вы только попробуйте, может у Вас тоже получится (-:
ОтветитьУдалитьДа легко...
ОтветитьУдалитьhttp://validator.w3.org/
и подобные...
Вообще вопрос оценки защищенности открытых ресурсов в ближайшие года 2 - станет открытым.
Другими словами - будет полно сервисов для анализа защищенности бесплатных в сети....
Валидатор CSS имеет отношение к ИБ?
ОтветитьУдалитьА если посмотреть на те, что имеют - сразу вспоминается McAfee с 20 крупными сайтами, которым дали золотой знак "отличник безопасности" по результатам автоматического сканирования, а потом кто-то нашел на них на всех time-based-blind и xss.
Да уж. Как говорится в устоявшемся выражении:
ОтветитьУдалитьИменно мы первыми полетели в космос и первыми прилетели из него.
Да уж. Как говорится в устоявшемся выражении:
ОтветитьУдалитьЭто мы придумали есть арбузы перед сном, чтобы встать пораньше.
Да уж. По поводу коментариев - навеяла на меня где-то услышанная фраза:
ОтветитьУдалитьЯ на себя не трачу ни гроша… Только на вино и женщин.