Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 След.
RSS
Хакеры и сетевые вандалы: разница в мотивации
 
Обсуждение статьи Хакеры и сетевые вандалы: разница в мотивации
 
какая-то щас больная тема... отделить "хороших" хакеров от "плохих"
 
Цитата
Гость пишет:
какая-то щас больная тема... отделить "хороших" хакеров от "плохих"
Ну вообще да нафига например такое нужно...
 
Цитата
По мнению эксперта Positive Technologies Сергея Гордейчика, «Здесь уместно вспомнить положение одной из первых политик разглашения - RFPolicy: денежная компенсация [за сообщение о найденной уязвимости] или действия, которые могут быть истолкованы как вымогательство, категорически не одобряются
Ну да... Это ж каким идиотом надо быть, что б найти уязвимость с ставить производителя бажного продукта в известность. К тому же бесплатно. Расчет на идиотов. Типа найди уязвимость, и "на ушко" сообщи производителю, который может скажет тебе "спасибо", и снисходительно похлопает по плечу.... А этот мудак будет ходить гордый...Во, типа я хакер благородный. На каких идиотов такая концепция расчитана? На малолетних недоламеров? Да и производители...так наз. "програмных продуктов" при такой постанове дела расслабляются... Как же... Хакер найдет и сообщит...Если он ХАКЕР... Как в пионерской организации... Сообщать ни в коем случае нельзя, по моему мнению, так как использование уязвимостей заставит зажравшихся так наз. "производителей" делать менее бажные продукты, а соответственно и конечный потребитель будет более защищен. Если б мелкомягких "ставили на бабки" за каждый баг в системе, приведший к потере данных, то и винда была менее глючная и не такая бажная.
Так же и у нас. Если б директора фирм подавали в суд на производителей програмного обеспечения (тот же 1С) то думаю они бы (производители) более ответственно относились к работе.
 
NC есть ещё одна группа людей, которые роются в кишках программ для своего удовольствия, и найдя баг его посылают производителю но не чтобы улучшить продукт, кому-либо помочь или выпендриться вот я хакер ... отсылка бага у них побочный продукт от своего развлечения
я знаю таких людей и не мало
 
Цитата
NC пишет:
На малолетних недоламеров?

Если для тебя RFP, Aleph1 и компания - малолетние недоламеры, то блин кто ты такой?
 
информация должнабыть доступна ...
 
Ненадо сообщать никому.НИКОГДА. Был один у меня. Когда сообщил о баге,открыл ему все шеллы которые были на серваке,рассказал как закрыть баги,пропатчить ядро...
Хоть бы спасибо сказал,но нет! За место этого были только маты мол какого хрена ты лезишь и тд и тп. После чего еще подавал заяву в соответвующие органы.
=
И кому после такого надо сообщать о багах? Никогда. Лучше повешу извращенный дефейс,чем сообщю.
ИМХО.
 
Цитата
Гость пишет:
Лучше повешу извращенный дефейс,чем сообщю.

это должно пройти с возрастом (если есть мозги)
 
Цитата
NC пишет:
Это ж каким идиотом надо быть, что б найти уязвимость с ставить производителя бажного продукта в известность. К тому же бесплатно. Расчет на идиотов. Типа найди уязвимость, и "на ушко" сообщи производителю, который может скажет тебе "спасибо", и снисходительно похлопает по плечу.... А этот мудак будет ходить гордый...Во, типа я хакер благородный. На каких идиотов такая концепция расчитана?
Секрет Полишинеля в том, что существует и третья сторона - пользователи этого продукта. О жертвах среди мирного населения Вы никогда не думали?

Уязвимость опубликована, легионы скрипткидисов кидаются валить тьмы серваков. Организации теряют деньги на простоях и восстановлениях. Кто-то теряет работу, т.к. некоторые бизнесы разоряются от компрометации своих сервисов в глазах потребителей. Кто-то лишается денег на счете, отложенных дочке на рождественский подарок. Кто-то не попадает на свадьбу подруги, потому что начальство выгоняет в выходной перевколачивать все те платежки, которые пропали с предыдущего бекапа. Кто-то теряет плоды каких-то других многочасовых (если не многолетних) трудов. Продолжать примеры не буду за недостатком времени.

В чем они виноваты - в том, что они (или их админы) использовали продукт КЛМН вместо ПРСТ? А в ПРСТ тоже рано или поздно находятся дыры. Даже если ПРСТ безгрешен, заслужили ли они именно эту цену расплаты за свою ошибку в выборе? Заслуженно ли пострадала за их грехи дочь/подруга? Долго могу спрашивать, но опять же некогда.
Вот радио есть, а счастья нет. (с) Ильф
 
Вопрос к секлабу.
а модерация сообщений тут отсутствует как класс?
 
А зачем нужна цензура? Ну выразил человек эмоции, ну мог бы и не материться, согласен, и что? Если бы я здесь модером был, то выкинул бы предыдущего "гостя" за оффтоп.

Если разработчик ПО берет деньги за своё детище, то и в полной мере должен нести ответственность за все недоработки и ошибки.
ИМХО говорить или нет дело лично каждого и категорично оцениваться не должно. Это вопрос этики.
 
Надо просто подавать инфу об уязвимости сразу в два места
производителю и специальной организации
нашедшему уязвимость компания дожна платить по-любому
и сроки исправления уязвимости законом оговорить...
а та специальная организация собссно
занята следующим:
1 если компания зажала денег нашедшему
2 если по истечении законного срока не вышло исправление
в обоих случаях подаём в суд коллективный иск от имени хакера и всех пользователей программного продукта...
плюс учет уязвимостей и датирование их обнаружения плюс оповещение компаний на эту тему... ну и публикация баги после входа патча...
 
Если разработчик ПО берет деньги за своё детище, то и в полной мере должен нести ответственность за все недоработки и ошибки
---------------------
Динамика! и реальность!
 
что выше это в смысле ответ на цитату - "Гость"...
 
Цитата
Организации теряют деньги на простоях и восстановлениях. Кто-то теряет работу, т.к. некоторые бизнесы разоряются от компрометации своих сервисов в глазах потребителей. Кто-то лишается денег на счете, отложенных дочке на рождественский подарок. Кто-то не попадает на свадьбу подруги, потому что начальство выгоняет в выходной перевколачивать все те платежки, которые пропали с предыдущего бекапа. Кто-то теряет плоды каких-то других многочасовых (если не многолетних) трудов. Продолжать примеры не буду за недостатком времени.
Да! И пусть теряют! Нечего их жалеть! Почему они в суд не подают на производителя глючного продукта? Почему не создают прицидент? Писатели этих прог не задумываются об ответственности, и что использование бажного продукта может привести к финансовым потерям. Зато они четко любят защищать свои "авторские права". Вот и надо бить их их же оружием. Что то не так я говорю?Это ЗДРАВЫЙ СМЫСЛ.Так что пример некрректный.
А если кто-то лишится денег на счете "отложенных дочке на рождественский подарок"-это его траблы. Пусть головой думает, а не тупо использует глючные проги, которые могут привести к потере денег. Не умеет? Значит туда ему и дорога, если не может (не хочет) вызвать раз в полгода специалиста, и заплатить пару копеек, что б проверить систему. Жалко оплачивать услуги специалиста? Ну тогда пусть смиряется с тем, что бабки со счета уведут.  И нечего сопли распускать по поводу дебилковатых и жадных юзверюг. Скупой платит дважды, дурак трижды... Лох-постоянно.
 
Ничего сообщать никому не надо. Нашёл - используй на все 100%. Хвастанул где - лох как минимум. Нужно бабло - продай и копай дальше и глубже. Работа! Всем привет!
 
"...Если разработчик ПО берет деньги за своё детище, то и в полной мере должен нести ответственность за все недоработки и ошибки..."

Глупо: если я оформляю все необходимое для торговли тем или иным, я могу торговать этим, а какое это будет - зависит от меня, а устроит вас оно или нет, зависит только от вас. И если вами небыла замечена дырявость так это ваши проблемы, а то что я эту дырявость сделал... может быть, всемы грешны, но я никаво не заставлял использовать именно мое барахло, а темболее платить...
 
Цитата
И если вами небыла замечена дырявость так это ваши проблемы, а то что я эту дырявость сделал... может быть, всемы грешны, но я никаво не заставлял использовать именно мое барахло, а темболее платить...
Но ты глючную прогу рекламировал? Получил за нее бабло? А я использовал твою прогу, и потерял данные, которые тоже стоят денег? Ну так плати через суд компенсацию. Что б в будущем, сто раз проверил, а не выкидывал "сырую" прогу на рынок. Как такой расклад? И свое объяснение "все мы грешны" оставь для судьи... :) Почему, если рабочий на заводе допустил брак, (не "дотянул" гайку) - и машина разбилась, и люди погибли, и тех экспертиза определила, что вина производителя (и вычислили тебя, что это по твоей вине - из-за недокрученной гайки погибли люди) - ты тоже будешь говорить, что "все мы грешны"?
Диспечер аэропорта, который совершил ошибку (когда самолет над озером потерпел аварию) тоже видать придерживался такой же логики..."А кто вас заставлял покупать билет на самолет"? Вот и зарезали козла. И правильно сделали. Так что говорить, что типа "никто никого не заставлял"- по меньшей мере глупо. Получил бабки за свою продукцию-неси ответственность, не важно, связано это с самолетами или с продажей глючных программ. И погибли люди, или ущерб нанесен другой - без разницы. Есть вина производителя-будь любезен нести ответственность. А то наплодилось последователей Билли Гейца...
 
Не стоит сваливать всё на киддисов. Любой уважающий себя багоискатель, опубликовавший код, который реализует уязвимость, всегда встраивает в этот код защиту от вышеназванных личностей. Да и подробная техническая информация об уязвимости опять же не по зубам тем же скрипткиддисам.
Цитата
Вопрос к секлабу.
а модерация сообщений тут отсутствует как класс?
Информация должна быть доступной...
Страницы: 1 2 След.
Читают тему