Долго думал, с чего начать эту заметку. Так и не придумал ;-( Решил дать рукам волю и пусть сами пишут то, о чем я сейчас думаю. Итак, наткнулся я на сайт nosecure.info. Очень интересный ресурс, ибо заметки на нем показывают неплохую квалификацию авторов. Но вот этическая сторона вопроса… Зачем писать о том, какие дыры есть на сайте Инфосистемы Джет, Вымпелком, RISSPA, Лаборатории Касперского, sec.ru, СекЛаб и т.п.? Как это влияет на повышение осведомленности или реальную защищенность? Сложно сказать. Самопиар? Но на сайте постоянно твердят, что помогают они бескорыстно и готовы консультировать любого вопрошающего бесплатно. В-общем, я так и не пришел к единому мнению, какие чувства вызывает у меня этот сайт…
ЗЫ. С другой стороны, почитав заметки на сайте, я обратил внимание, что часто грешу тему же — критикую всех без разбора ;-( Надо что-то с этим делать. Больше позитива добавить что-ли и советов с помощью?.. Надо осмыслить…
ЗЗЫ. Два часа спустя… Осмыслил. Если уж все позволяют себе ругать вендоров, то почему нельзя ругать потребителей… также с указанием их имен?
ЗЗЗЫ. И еще один постскриптум (наверное последний). После таких вот новостей о том, что на том-то сайте, специализирующемся на ИБ или на другом, найдены дыры, запускать свой сайт как-то не хочется. Сколько раз уже брался за это, но все время останавливает именно этот момент — не хочется, чтобы мой сайт был взломан. А самостоятельно обеспечивать защиту динамического сайта на каком-либо популярном движке я не готов — техническая квалификация уже не та ;-(
Самопиар еще какой, хотя забавно бывает почитать. А насчет профессионализма я бы поспорил, никаких документов, отражающих квалификацию, я у них там не нашел.
Ну ведь если будет за что хвалить — ты похвалишь? Или ты не хвалишь никого?
Все очень просто.
1. Искать уязвимости весело и забавно
2. Просто их искать, не показав всему миру, какой ты молоток — скучно и безсмысленно
3. Пытаться устранить уязвимости "легальными" путями, например взаимодействую с вендором в рамках RFP — сложно
http://www.securitylab.ru/analytics/241826.php
http://sgordey.blogspot.com/2009/01/blog-post_26.html
и может занять на (несколько)порядок(ов) больше времени, чем найти багу.
Посмотрите на timeline:
http://www.securitylab.ru/lab/
4. "Благодарность" вендора вешь абстрактная, и зачастую отсутвующая (ибо нашедший багу есть вестник, принесшую дурную весть).
5. Проще кинуть это в "паблик" и чувствовать себя героем.
Этот комментарий был удален автором.
e1am0: Хвалю, конечно. Хотя человеческая психология устроена так забавно, что воспринимает негатив и критику активнее, чем позитив 😉 Поэтому чернуха, критика и ругань всегда будет в фаворе ;-(
Сергею Гордейчику: Я не совсем понял, ты оправдываешь их или нет? 😉
оправдываешь их или нет?
Отнюдь. Не оправдываю. Но нужно смотреть ширше — "объекты насмешек" также очень причем.
Этот комментарий был удален автором.
Сергею Гордейчику: на самом деле весело и забавно все это читать до тех пор пока они не поломали ваш сайт и не удосужились уведомить вас об этом заранее 🙂
Рекомендую, кстати, почитать дискуссию по их "документам" на сайте secureblog.info
PS.
Более того, когда серьезная группа (компания?) ориентированная больше в white, чем в black скатывается до экстремистских вариантов full disclosure — она расписывается в том, в чем обвиняет свои цели. В недоделках. Хотели сделать хорошо, а получилось как обычно.
PPS.
Такой вот пост получился. Много PS-ный 🙂
>тех пор пока они не поломали ваш
Я успел побывать (и пребываю) со всех сторон баррикад. И как ресчерчер, и как вендор, и как посредник, и как "воспитатель", вправляющий мозг юным горячим хакерам, пока к ним не постучали…
Тот же SecLab — в какой-то степени "мой".
Этот комментарий был удален автором.
http://www.a_u_vas_shnurok_razvyazalsa.org
Это ты к чему?
Сорри, это я внести каплю юмора…
Причины появление таких сайтов — давно обсуждЁнная тема и не представляет интереса.
На мой взгляд — агрессивный пиар , рассчитанный на людей верящих в "волшебные технологии" Хакеров (воспитываемые СМИ, кино и пиаром некоторых ИБ(в основном антивирусных) компаний) и не менее ангелоподобных "воинов света" (Антивирусников и т.т которые воспитаны теми же средствами).
Это я все про мифологию…
А тут двумя словами:
"мы воины света, владеющие и черной магией, но обращающие ее в добро"
P/S/ Мы так часто критикуем всех даже по мелочам — это напоминает союз советских писателей из Булгакова…
Александр Дорофеев на своем блоге осветил этические вопросы подобного подхода и я с ним согласен…
Первое впечатление от посещения — обращаться в случае нападения на "кого надо", но обращаться за аудитом… Сначала нужно заслужить доверие, а какое тут доверие, если уязвимости выкладывают на обозрение. Это что получается…
Заказали аудит, устранили дырки, а они потом дырки эти на сайте выложили… со словами
"вот какую контору мы спасли, вот что у них было смотрите как они без нас жили то… а вот теперь…"(гипотеза чтоб никого не обидеть)
Извините, что встреваю, но(!)…
Доверие — это когда искал, нашел… и перепрятал? Чтобы никто или только за деньги? (-:
Кажется мне, это даже не grayhat. Это уже черный-пречерный такой blackhat.
Вообще, ситуация очень похожа на морские войны Испании и Великобритании — тогда сражались благородные пираты и бандитские разбойники. Не поймешь только, с какой стороны кто был (-:
Простите за импульсивную ассоциацию (насчет пиратства — аллегория, чтобы никого не обидеть).
Ну развели тут. Ребята crfxfkb себе ломанный Acunetix и бесплатный Nicto (о чем сами и говорят) и тупо сканят ими популярные сайты.
Да Вы только попробуйте, может у Вас тоже получится (-:
Да легко…
http://validator.w3.org/
и подобные…
Вообще вопрос оценки защищенности открытых ресурсов в ближайшие года 2 — станет открытым.
Другими словами — будет полно сервисов для анализа защищенности бесплатных в сети….
Валидатор CSS имеет отношение к ИБ?
А если посмотреть на те, что имеют — сразу вспоминается McAfee с 20 крупными сайтами, которым дали золотой знак "отличник безопасности" по результатам автоматического сканирования, а потом кто-то нашел на них на всех time-based-blind и xss.
Да уж. Как говорится в устоявшемся выражении:
Именно мы первыми полетели в космос и первыми прилетели из него.
Да уж. Как говорится в устоявшемся выражении:
Это мы придумали есть арбузы перед сном, чтобы встать пораньше.
Да уж. По поводу коментариев — навеяла на меня где-то услышанная фраза:
Я на себя не трачу ни гроша… Только на вино и женщин.