30 Мая, 2012

Пресс-релиз в ИБ индустрии как красная тряпка для script-kiddies.

Alexey Sintsov
Пресс-релизы в сфере ИБ тема тонкая. Так пример:

http://securitylab.ru/news/425086.php
Цели такого дела ясны:
ВГТРК - "мы защищаем своих пользователей и печемся об их безопасности".
Другие - "мы крутые услуги поставляем и спасаем пользователей ВГТРК".
Но с другой стороны, я взял и зашел на сайт vgtrk.com и ради фана потратил ровно 2 секунды, чтобы поиграться с параметрами данного ресурса, как любой порядочный скрипт-кидди. Тут же всплыла SQL инъекция. Дальше я даже ничего смотреть не стал (и естественно я ничего не ломал и не похищал, я законопослушный гражданин). Мне, как пользователю, не интересно кто там и что делает, что за какие деньги продает и внедряет. Реально безопасность основного внешнего ресурса ВГТРК - отсутствует. Просто и грязно. И мое внимание привлек именно пресс-релиз, так то я бы туда и не зашел. Другие, кстати, подхватили инициативу:
"@/*__CENSORED__*/:
там что-то страшное %) 40 БД под оракалом, 412 пользователей этих БД..."
Нет, я понимаю, что всякие ИБ процессы, это вам не кавычку в запрос в ставить - это сложные, дорогостоящие работы, проекты и контракты 8) Я не фанат теорий заговоров и распилов, но это же просто забавно, а главное подсознательно снижает доверие ко всем лицам данного проекта.
Дополнительный факт: та штука, что была внедрена в ВГТРК, прекрасно находит такие проблемы как SQLi. И это лишь дополнительно вызывает вопросы 8))
P.S. Пост нужно расценивать не как призыв к хактивизму, а именно как призыв оценить одну из проблем отечественной сферы ИБ...
или введите имя

CAPTCHA