|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Ilia Sprite 2:5080/112.7 24 Nov 2001 21:56:37
To : Olli Artemjev
Subject : провокационный вопрос. ;)
--------------------------------------------------------------------------------
OA> Самый пикантный момент обнаружился совсем недавно - согласно
OA> содержимому одного из RFC можно положить всю (свитчуемую и часть
OA> роутящейся) сеть провайдера с обыкновенного диалапа. %)
Любопытно. ;-)
OA> Обращался в cisco - грантов на исследования безопасности протоколов
OA> поддерживаемых их железом они не дают.
btw, если специфика уязвимости такова, что с ней может справится фиревол (но не
справляется) - можно попробовать обратиться в чекпоинт - у них вроде были
какие-то бонусы тем, кто найдет способ атаки на сеть, защищенную ихней
разработкой 'firewall-1'.
OA> В общем почему вопрос провокационный - я в ru.security наблюдаю довольно
OA> давно дискуссию на тему "спрос на ..." и хочу открыть дискуссию другого
OA> плана - реально ли заработать подобными исследованиями что либо, кроме
OA> репутации и строки в резюме и не занимаясь уголовщиной в духе шантажа?
может быть мое мнение значит действительно немного, но я таки изложу свою
позицию с колокольни потенциальной жертвы. поучавствовать в этом треде мне еще
интересно и потому, что сия тема в рамках этой эхоконференции как-то не
затрагивалась (скорее, по причине засилия кулхацкеров, из-за толстых пальцов
которых не видно нормальных людей). Я догадываюсь, что Влад сейчас будет хихикая
комментировать мое письмо, но, тем не менее, попытаюсь провести сей анализ,
поскольку сам недавно столкнулся с подобной формой шантажа "у вас на сайте в
скрипте есть дыра, я бы хотел вознаграждение за то, что я ее покажу".
итак - допустим, я провайдер с диалап-пулом в 1000 номеров (довольно таки
большой, да?), один час диалапа которого стоит 14 рублей.
Подумаем, почему я должен платить тебе $100-200 за то, что ты предварительно
расскажешь об уязвимости мне, а не всем подряд:
1. мою сеть могут повалить до того, как об уязвимости узнают работающие у меня
сисадмины. могут, но не обязательно это случится.
2. сеть может не работать от часа до шести часов (всю ночь), следовательно,
упущенная прибыль составит от 14k рублей до 80k.
3. зная о способе атаки, я могу пакостить конкурентам до момента публикации
уязвимости и солюшена к ней.
Почему я могу не платить:
1. сисадмины могут предупредить потенциальную атаку раньше, чем ей воспользуются
"доброжелатели".
2. доброжелателей может не найтись.
3. в данной конкретной конфигурации сети атаку провести невозможно.
4. может оказаться, что ты - обычный шантажист-затейник. :)
логично?
мое скромное HO - что продажа информации об уязвимости может пройти с крупными
провайдерами и организациями, стоимость простоя сети которых в десятки раз
больше стоимости вознаграждения.
OA> иными словами, есть ли что либо, что стимулирует перспективой реальных
OA> денег (а не известности в определенных кругах и потенциального
OA> соответствующего отношения работодателя) производить исследования в
OA> области безопасности?
IMHO (а другого я не имею ;) что исследования в области безопасности хорошо
оплачиваемы тогда, когда проходят в рамках одной организации нанятым надолго
человеком. который пасет все, что можно, всего боится и ко всему готов. только
наличие таких людей в организации дает уверенность в том, что информация не
уйдет налево, что не произойдет утечка каких-либо данных, которые могут
скомпроментировать данную орг-ю.
OA> Кстати насчет отношения работодателя это еще большой вопрос каким оно
OA> будеm. ;)
;-)
p.s. а про дырку на нашем сайте я узнал забесплатно. если кому-то интересен
способ решения вопросов с такими скрипткидди-шантажистами - нетмейлом
проконсультирую, афишировать не хочу.
Tidelly pom...
--- http://www.securityelf.net
* Origin: VGA Planets BBS (2:5080/112.7)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
провокационный вопрос. ;) 
