|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Olli Artemjev 2:5020/1354 25 Nov 2001 14:20:02
To : Ilia Sprite
Subject : провокационный вопрос. ;)
--------------------------------------------------------------------------------
Hi, Ilia !
On 24 Nov 2001 at 20:56, "IS", Ilia Sprite wrote:
IS> Здравствуйте.
OA> Самый пикантный момент обнаружился совсем недавно - согласно
OA> содержимому одного из RFC можно положить всю (свитчуемую и часть
OA> роутящейся) сеть провайдера с обыкновенного диалапа. %)
IS> Любопытно. ;-)
Мне тоже любопытно это протестировать. Времени правда ни хрена нету на
все. :(( То, что можно было сделать за неделю-две тянется в разработке еще
с августа исключительно из-за того, что делается только в свободное от
работы и халтур время. Экспериментальная часть после появления текущей
халтуры вовсе встала.. :(
OA> Обращался в cisco - грантов на исследования безопасности протоколов
OA> поддерживаемых их железом они не дают.
IS> btw, если специфика уязвимости такова, что с ней может справится
IS> фиревол (но не справляется) - можно попробовать обратиться в чекпоинт
IS> - у них вроде были какие-то бонусы тем, кто найдет способ атаки на
IS> сеть, защищенную ихней разработкой 'firewall-1'.
А что - firewall-1 влез и на уровень 2 OSI (MAC+LLC)?
OA> В общем почему вопрос провокационный - я в ru.security наблюдаю
OA> довольно давно дискуссию на тему "спрос на ..." и хочу открыть
OA> дискуссию другого плана - реально ли заработать подобными
OA> исследованиями что либо, кроме репутации и строки в резюме и не
OA> занимаясь уголовщиной в духе шантажа?
IS> может быть мое мнение значит действительно немного, но я таки изложу
IS> свою позицию с колокольни потенциальной жертвы. поучавствовать в этом
IS> треде мне еще интересно и потому, что сия тема в рамках этой
IS> эхоконференции как-то не затрагивалась (скорее, по причине засилия
IS> кулхацкеров, из-за толстых пальцов которых не видно нормальных
IS> людей). Я догадываюсь, что Влад сейчас будет хихикая комментировать
IS> мое письмо, но, тем не менее, попытаюсь провести сей анализ, поскольку
;)
IS> сам недавно столкнулся с подобной формой шантажа "у вас на сайте в
IS> скрипте есть дыра, я бы хотел вознаграждение за то, что я ее покажу".
IS> итак - допустим, я провайдер с диалап-пулом в 1000 номеров (довольно
IS> таки большой, да?), один час диалапа которого стоит 14 рублей.
IS> Подумаем, почему я должен платить тебе $100-200 за то, что ты
IS> предварительно расскажешь об уязвимости мне, а не всем подряд:
IS> 1. мою сеть могут повалить до того, как об уязвимости узнают
IS> работающие у меня сисадмины. могут, но не обязательно это случится.
IS> 2. сеть может не работать от часа до шести часов (всю ночь),
IS> следовательно, упущенная прибыль составит от 14k рублей до 80k.
IS> 3. зная о способе атаки, я могу пакостить конкурентам до момента
IS> публикации уязвимости и солюшена к ней.
Логично. Правда валить конкурентов таким способом ни одна приличная контора
не станет - уж больно запашок дурной от этого..
IS> Почему я могу не платить: 1. сисадмины могут предупредить
IS> потенциальную атаку раньше, чем ей воспользуются "доброжелатели".
IS> 2. доброжелателей может не найтись. 3. в данной конкретной
IS> конфигурации сети атаку провести невозможно. 4. может оказаться, что
IS> ты - обычный шантажист-затейник. :)
Разумно и то и другое.
IS> логично?
Да.
IS> мое скромное HO - что продажа информации об уязвимости может
IS> пройти с крупными провайдерами и организациями, стоимость простоя сети
IS> которых в десятки раз больше стоимости вознаграждения.
Тоже верно. Hо пока заинтересовавшиеся стороны пропали из моего мыла.. и их
было оччень немного.
OA> иными словами, есть ли что либо, что стимулирует перспективой реальных
OA> денег (а не известности в определенных кругах и потенциального
OA> соответствующего отношения работодателя) производить исследования в
OA> области безопасности?
IS> IMHO (а другого я не имею ;) что исследования в области безопасности
IS> хорошо оплачиваемы тогда, когда проходят в рамках одной организации
IS> нанятым надолго человеком. который пасет все, что можно, всего боится
IS> и ко всему готов. только наличие таких людей в организации дает
IS> уверенность в том, что информация не уйдет налево, что не произойдет
IS> утечка каких-либо данных, которые могут скомпроментировать данную
IS> орг-ю.
разумно.
OA> Кстати насчет отношения работодателя это еще большой вопрос каким оно
OA> будеm. ;)
IS> ;-)
Мы оба похоже уже встречались с размышлениями на тему того, что стоит
указывать в резюме, а что нет. ;-)
IS> p.s. а про дырку на нашем сайте я узнал забесплатно. если кому-то
IS> интересен способ решения вопросов с такими скрипткидди-шантажистами -
IS> нетмейлом проконсультирую, афишировать не хочу.
Hу давай, эту часть твоего ответа жду мылом. ;)
--
Bye.Olli. mailto(remove "NOSPAM"): olli@digger.NOSPAMorg.ru
*: You know you've been hacking too long when...
...you think "grep keys /dev/pockets" or "grep homework /dev/backpack"
--- Gnus/5.0803 (Gnus v5.8.3) XEmacs/21.1 (Bryce Canyon)
* Origin: Sunrise. (2:5020/1354.0)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
провокационный вопрос. ;) 