ru.internet.security

 
 - RU.INTERNET.SECURITY ---------------------------------------------------------
 From : Serguei E. Leontiev                  2:5020/400     04 Oct 2001  21:24:25
 To : Dmitry S. Rzhavin
 Subject : Re: Попрощайтесь с IIS!   Hаш комментарий к событиям
 -------------------------------------------------------------------------------- 
 

 Здравствуйте,
 "Dmitry S. Rzhavin" <dima@rt.ru> wrote in message
 news:3BBC5FB0.7CFD7720@rt.ru...
 
 > > Эксперимент, эт можно. Hо условия слишком расплывчаты. Да и результат
 > > (да/нет) будет не отделим от процесса.
 > >
 > > Поэтому, если есть реальное желание провести эксперимент, предлагаю
 > > потенциальному заказчику работы:
 > давайте не будем путать утверждения типа "если захотеть, можно и для
 > apache написать червя" и комплексный анализ уровня безопасности. Червь
 
 Для начала, гнилая отмазка. Я не имею права писать червей, а имею право
 проводить анализ.
 
 > должен распространяться. Сам. По множеству серверов. Если писать червя,
 
 Это верное замечание, но не конструктивное, т.к. не проверяемое. Hикто же не
 собирается создавать реального червя, собираемся ответить на поставленный
 вопрос.
 
 > который будет заражать комп строго определенной конфигурации и с жестко
 > описанным ПО, то далеко такой червяк не уползет. ;) Так что формулировки
 
 Компьютеров в сети очень много, всё равно поползёт.
 
 > _обязаны_ быть расплывчаты, и чем более расплывчатым требованиям
 
 Hе согласен.
 
 Для эксперимента.
 Требования должны быть очень конкретны иначе дело сможет решить только
 реальный эксперимент, которого не будет. Они должны быть сформулированы
 оппонентом, т.к. в данном случае мы вместо реального Internet используем
 мнение оппонента о нём.
 
 Для реального червя.
 Требования должны быть очень конкретны иначе он никогда не появится на свет.
 И требования должны быть удачны, не обязательно поражать всех, достаточно
 некоторого процента. Конечно, они должны описывать реалии Internet,
 типичного пользователя и т.д. и т.п.
 
 Evgueni Gavrilov" <Evgueni.Gavrilov@p530.f1.n5004.z2.fidonet.org> wrote in
 message news:724262189@f1.n5004.z2.fidonet.ftn...> Wed, 03 Oct 01 21:25:32
 +0700 lse@cryptopro.ru написАл:
 
 > удовлетворяет червь, чем больше у него поражающая способность. Я как раз
 > описал наиболее распространенный apache, как раз в требуемых для червя
 > условиях. Даже слегка упростил требования в плане ОС и набора опций.
 > lcr> 2.4 Без приставки trusted;
 > а шо ж так а ? а OpenBSD пайдёть ?
 
 И OpenBSD пойдёт. Вы уж договоритесь.
 
 > lcr> 5. Записать это всё с всеми исходными кодами на CD, с тем что-бы
 
 результат
 
 > lcr> мог быть установлен на голый компьютер;
 > lcr> 6. Передать этот (эти) CD мне.
 > гыы...
 
 Евгений, это согласие со всеми остальными, кроме ОС, положениями?
 Или признак не дееспособности, даже в деле создания типичного для Internet
 узла с apache?
 
 > VAMPIRO-RIPN
 > > В случае, если WEB-сервер окажется хорош, то оплаты за труды не возьму
 
 (от
 
 > > сердца отрываю).
 > еще раз повторю:
 > 1) это - не запрос на бесплатный анализ информации, это - всего лишь
 >    попытка усомниться в изначальном утверждении о уязвимости апача
 
 Дмитрий, Вами было выдвинуто конкретное предложение. И не совсем бесплатное,
 а "на интерес".
 
 Кроме того, и в начальной статье использется понятие уязвимости веб-серверов
 и веб-приложений, и Вы сами оперируете понятием уязвимости самого Apache, а
 не наличием/отсутствием опасности для Internet со стороны Apache. Собственно
 гипотетический червь будет поражать и IIS, и Apache.
 
 > 2) не web-сервер должен оказаться хорошим, а червь. Так что даже если
 >    говорить об оплате, условия оплаты/неоплаты должны быть другими.
 
 Ваша имитация Internet, моя имитация червя.
 
 По поводу имитации Internet. Моё предложение сводилось к имитации Internet с
 помощью одного узла, как наиболее дешевому для Вас и исходило из гипотезы,
 что в случае Apache наибольших головотяпств следует ожидать от массовых
 поделок на его основе, хотя это только моя гипотеза.
 
 По поводу имитация червя. Что там должно оказаться хорошим, это дело, на мой
 взгляд, не принципиальное. Т.к. если уж есть канал воздействия на типичного
 представителя, то сороконожка к нему сама появится. Или и это тоже требуется
 доказывать экспериментально?
 
 --
 LSE, Сергей Леонтьев, Крипто-Про, http://www.cryptopro.ru
 --- ifmail v.2.15dev5
  * Origin: MTU-Intel ISP (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    Re: Попрощайтесь с IIS! Hаш комментарий к событиям   Serguei E. Leontiev   29 Sep 2001 00:42:38   Re: Попрощайтесь с IIS! Hаш комментарий к событиям   Evgueni Gavrilov   30 Sep 2001 11:17:21   Re: Попрощайтесь с IIS! Hаш комментарий к событиям   Serguei E. Leontiev   01 Oct 2001 21:05:38   Попpощайтесь с IIS! Hаш комментаpий к событиям   Alexandr V. Shutko   02 Oct 2001 10:33:19   Re: Попpощайтесь с IIS! Hаш комментаpий к событиям   Serguei E. Leontiev   02 Oct 2001 13:10:00   Попpощайтесь с IIS! Hаш комментаpий к событиям   Serguei Trouchelle   02 Oct 2001 17:44:37   Попpощайтесь с IIS! Hаш комментаpий к событиям   Sergey Ternovykh   02 Oct 2001 23:22:25   Re: Попpощайтесь с IIS! Hаш комментаpий к событиям   Alexei Takaseev   03 Oct 2001 22:12:04   Попpощайтесь с IIS! Hаш комментаpий к событиям   Sergey Ternovykh   03 Oct 2001 21:40:13   Re: Попpощайтесь с IIS! Hаш комментаpий к событиям   Eugene Grosbein   04 Oct 2001 16:44:56   Попpощайтесь с IIS! Hаш комментаpий к событиям   Alexandr V. Shutko   03 Oct 2001 16:11:54   Re: Попрощайтесь с IIS! Hаш комментарий к событиям   Dmitry S. Rzhavin   02 Oct 2001 13:18:12   Re: Попрощайтесь с IIS! Hаш комментарий к событиям   Evgueni Gavrilov   02 Oct 2001 18:18:59   Re: Попрощайтесь с IIS! Hаш комментарий к событиям   Serguei E. Leontiev   02 Oct 2001 23:20:34   Re: Попрощайтесь с IIS! Hаш комментарий к событиям   Alexei Takaseev   03 Oct 2001 22:14:20   Re: Попрощайтесь с IIS! Hаш комментарий к событиям   Dmitry S. Rzhavin   03 Oct 2001 18:37:37   Re: Попрощайтесь с IIS! Hаш комментарий к событиям   Serguei E. Leontiev   03 Oct 2001 22:25:32   Re: Попрощайтесь с IIS! Hаш комментарий к событиям   Dmitry S. Rzhavin   04 Oct 2001 17:14:00   Re: Попрощайтесь с IIS! Hаш комментарий к событиям   Serguei E. Leontiev   04 Oct 2001 21:24:25   Re: Попрощайтесь с IIS! Hаш комментарий к событиям   Andrey Sverdlichenko   05 Oct 2001 13:13:25   Re: Попрощайтесь с IIS! Hаш комментарий к событиям   Serguei E. Leontiev   05 Oct 2001 20:45:03   Re: Попрощайтесь с IIS! Hаш комментарий к событиям   Serguei E. Leontiev   05 Oct 2001 20:49:06   Re: Попрощайтесь с IIS! Hаш комментарий к событиям   Andrey Sverdlichenko   08 Oct 2001 13:49:11   Попpощайтесь с IIS! Hаш комментаpий к событиям   Oleg Glushkoff   09 Oct 2001 10:06:32   Re: Попрощайтесь с IIS! Hаш комментарий к событиям   Evgueni Gavrilov   07 Oct 2001 17:02:15   Re: Попрощайтесь с IIS! Hаш комментарий к событиям   Andrey Sverdlichenko   08 Oct 2001 13:45:04   Попpощайтесь с IIS! Hаш комментаpий к событиям   Slava Glushenkov   05 Oct 2001 12:39:03   Re: Попрощайтесь с IIS! Hаш комментарий к событиям   Evgueni Gavrilov   04 Oct 2001 09:10:49   Re: Попрощайтесь с IIS! Hаш комментарий к событиям   Andrey Sverdlichenko   02 Oct 2001 16:32:57   Попрощайтесь с IIS! Hаш комментарий к событиям   Dmitry Ban   03 Oct 2001 10:24:12   Re: Попрощайтесь с IIS! Hаш комментарий к событиям   sad   05 Oct 2001 15:53:33