Самопиар, security awareness или реальная помощь?

Долго думал, с чего начать эту заметку. Так и не придумал ;-( Решил дать рукам волю и пусть сами пишут то, о чем я сейчас думаю. Итак, наткнулся я на сайт nosecure.info. Очень интересный ресурс, ибо заметки на нем показывают неплохую квалификацию авторов. Но вот этическая сторона вопроса… Зачем писать о том, какие дыры есть на сайте Инфосистемы Джет, Вымпелком, RISSPA, Лаборатории Касперского, sec.ru, СекЛаб и т.п.? Как это влияет на повышение осведомленности или реальную защищенность? Сложно сказать. Самопиар? Но на сайте постоянно твердят, что помогают они бескорыстно и готовы консультировать любого вопрошающего бесплатно. В-общем, я так и не пришел к единому мнению, какие чувства вызывает у меня этот сайт…

ЗЫ. С другой стороны, почитав заметки на сайте, я обратил внимание, что часто грешу тему же — критикую всех без разбора ;-( Надо что-то с этим делать. Больше позитива добавить что-ли и советов с помощью?.. Надо осмыслить…

ЗЗЫ. Два часа спустя… Осмыслил. Если уж все позволяют себе ругать вендоров, то почему нельзя ругать потребителей… также с указанием их имен?

ЗЗЗЫ. И еще один постскриптум (наверное последний). После таких вот новостей о том, что на том-то сайте, специализирующемся на ИБ или на другом, найдены дыры, запускать свой сайт как-то не хочется. Сколько раз уже брался за это, но все время останавливает именно этот момент — не хочется, чтобы мой сайт был взломан. А самостоятельно обеспечивать защиту динамического сайта на каком-либо популярном движке я не готов — техническая квалификация уже не та ;-(

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. tzk

    Самопиар еще какой, хотя забавно бывает почитать. А насчет профессионализма я бы поспорил, никаких документов, отражающих квалификацию, я у них там не нашел.

    Ответить
  2. Анонимный

    Ну ведь если будет за что хвалить — ты похвалишь? Или ты не хвалишь никого?

    Ответить
  3. Sergey Gordeychik

    Все очень просто.

    1. Искать уязвимости весело и забавно
    2. Просто их искать, не показав всему миру, какой ты молоток — скучно и безсмысленно
    3. Пытаться устранить уязвимости "легальными" путями, например взаимодействую с вендором в рамках RFP — сложно
    http://www.securitylab.ru/analytics/241826.php
    http://sgordey.blogspot.com/2009/01/blog-post_26.html
    и может занять на (несколько)порядок(ов) больше времени, чем найти багу.

    Посмотрите на timeline:
    http://www.securitylab.ru/lab/

    4. "Благодарность" вендора вешь абстрактная, и зачастую отсутвующая (ибо нашедший багу есть вестник, принесшую дурную весть).
    5. Проще кинуть это в "паблик" и чувствовать себя героем.

    Ответить
  4. Sergey Gordeychik

    Этот комментарий был удален автором.

    Ответить
  5. Алексей Лукацкий

    e1am0: Хвалю, конечно. Хотя человеческая психология устроена так забавно, что воспринимает негатив и критику активнее, чем позитив 😉 Поэтому чернуха, критика и ругань всегда будет в фаворе ;-(

    Ответить
  6. Алексей Лукацкий

    Сергею Гордейчику: Я не совсем понял, ты оправдываешь их или нет? 😉

    Ответить
  7. Sergey Gordeychik

    оправдываешь их или нет?

    Отнюдь. Не оправдываю. Но нужно смотреть ширше — "объекты насмешек" также очень причем.

    Ответить
  8. tzk

    Этот комментарий был удален автором.

    Ответить
  9. tzk

    Сергею Гордейчику: на самом деле весело и забавно все это читать до тех пор пока они не поломали ваш сайт и не удосужились уведомить вас об этом заранее 🙂

    Рекомендую, кстати, почитать дискуссию по их "документам" на сайте secureblog.info

    Ответить
  10. Sergey Gordeychik

    PS.

    Более того, когда серьезная группа (компания?) ориентированная больше в white, чем в black скатывается до экстремистских вариантов full disclosure — она расписывается в том, в чем обвиняет свои цели. В недоделках. Хотели сделать хорошо, а получилось как обычно.

    PPS.

    Такой вот пост получился. Много PS-ный 🙂

    Ответить
  11. Sergey Gordeychik

    >тех пор пока они не поломали ваш

    Я успел побывать (и пребываю) со всех сторон баррикад. И как ресчерчер, и как вендор, и как посредник, и как "воспитатель", вправляющий мозг юным горячим хакерам, пока к ним не постучали…

    Тот же SecLab — в какой-то степени "мой".

    Ответить
  12. Sergey Gordeychik

    Этот комментарий был удален автором.

    Ответить
  13. Анонимный

    http://www.a_u_vas_shnurok_razvyazalsa.org

    Ответить
  14. Алексей Лукацкий

    Это ты к чему?

    Ответить
  15. Анонимный

    Сорри, это я внести каплю юмора…

    Причины появление таких сайтов — давно обсуждЁнная тема и не представляет интереса.

    На мой взгляд — агрессивный пиар , рассчитанный на людей верящих в "волшебные технологии" Хакеров (воспитываемые СМИ, кино и пиаром некоторых ИБ(в основном антивирусных) компаний) и не менее ангелоподобных "воинов света" (Антивирусников и т.т которые воспитаны теми же средствами).
    Это я все про мифологию…

    А тут двумя словами:
    "мы воины света, владеющие и черной магией, но обращающие ее в добро"

    P/S/ Мы так часто критикуем всех даже по мелочам — это напоминает союз советских писателей из Булгакова…

    Ответить
  16. Анонимный

    Александр Дорофеев на своем блоге осветил этические вопросы подобного подхода и я с ним согласен…
    Первое впечатление от посещения — обращаться в случае нападения на "кого надо", но обращаться за аудитом… Сначала нужно заслужить доверие, а какое тут доверие, если уязвимости выкладывают на обозрение. Это что получается…
    Заказали аудит, устранили дырки, а они потом дырки эти на сайте выложили… со словами
    "вот какую контору мы спасли, вот что у них было смотрите как они без нас жили то… а вот теперь…"(гипотеза чтоб никого не обидеть)

    Ответить
  17. Unknown

    Извините, что встреваю, но(!)…

    Доверие — это когда искал, нашел… и перепрятал? Чтобы никто или только за деньги? (-:

    Кажется мне, это даже не grayhat. Это уже черный-пречерный такой blackhat.

    Вообще, ситуация очень похожа на морские войны Испании и Великобритании — тогда сражались благородные пираты и бандитские разбойники. Не поймешь только, с какой стороны кто был (-:

    Простите за импульсивную ассоциацию (насчет пиратства — аллегория, чтобы никого не обидеть).

    Ответить
  18. Анонимный

    Ну развели тут. Ребята crfxfkb себе ломанный Acunetix и бесплатный Nicto (о чем сами и говорят) и тупо сканят ими популярные сайты.

    Ответить
  19. Unknown

    Да Вы только попробуйте, может у Вас тоже получится (-:

    Ответить
  20. Анонимный

    Да легко…
    http://validator.w3.org/
    и подобные…
    Вообще вопрос оценки защищенности открытых ресурсов в ближайшие года 2 — станет открытым.
    Другими словами — будет полно сервисов для анализа защищенности бесплатных в сети….

    Ответить
  21. Unknown

    Валидатор CSS имеет отношение к ИБ?

    А если посмотреть на те, что имеют — сразу вспоминается McAfee с 20 крупными сайтами, которым дали золотой знак "отличник безопасности" по результатам автоматического сканирования, а потом кто-то нашел на них на всех time-based-blind и xss.

    Ответить
  22. Анонимный

    Да уж. Как говорится в устоявшемся выражении:
    Именно мы первыми полетели в космос и первыми прилетели из него.

    Ответить
  23. Анонимный

    Да уж. Как говорится в устоявшемся выражении:
    Это мы придумали есть арбузы перед сном, чтобы встать пораньше.

    Ответить
  24. Анонимный

    Да уж. По поводу коментариев — навеяла на меня где-то услышанная фраза:
    Я на себя не трачу ни гроша… Только на вино и женщин.

    Ответить