2009-09-23

Ох, красота!

http://habrahabr.ru/blogs/infosecurity/70330/

9 comments:

rehatep said...

Стоит этому верить?

morbo said...

Лично я считаю, что эти куль-хацкеры достойны презрения. Пропиарились на админской безелаберности, да ещё и исходников, извините, напиздили.

vnaum said...

> Стоит этому верить?
Насчёт того что такие растрепаи вообще есть и им дают админить - определённо, стоит. В конце концов, http://www.inkscape.org/.svn/
А было так на яндексе и вконтакте или нет - уже не узнать, поздняк метаться.
Хотя список доменов в .com получить несложно, сканилку написать тоже...

> Пропиарились на админской безалаберности
Ты так говоришь, будто это что-то плохое.

> да ещё и исходников, извините, напиздили.
А иначе в чём смысл всей затеи со сканированием? Торговлей они вроде не занимаются, предупреждения разослали, время на пофиксить дали, клянутся-божатся что всё удалили. Whitehat, все дела.

morbo said...

Мне не нравится промышленный масштаб акции и пиар не на собственном уме, а на чужом слабоумии.

Представь, человек увидел открытую дверь в дом. Громко позвал хозяев. Хозяева не откликнулись. Вошёл вовнутрь, посмотрел что дома никого нет и ушёл. Потом сообщил хозяевам, что у них дверь была открыта и надо бы закрывать, а то мало ли что - воры залезут. Потом написал в какую-нибудь газету письмо, попросил написать заметку-предупреждение, о том что надо бы закрывать двери.

А теперь представь другую ситуацию - человек обошёл все дома в населённом пункте, обнаружил окуенное количество открытых дверей. Зашёл во внутрь каждого дома и сфотал всё, что там есть. Потом отправил всем по почте письма, что двери нужно закрывать. Подождал неделю и потом тиснул в газету статью, что из 100% обойдённых мной домов в 5% из них двери были не закрыты. Я сфотал содержимое всех квартир и могу сказать, что у тов. Иванова дома есть бассейн, а у тов. Петрова - коллекция дорогих картин. Я всех заранее предупредил, а фотки содержимого квартир я никому не покажу. Честно-честно!

Whitehat занимаются другим. Берут серийный замок, пытаются его взломать и на конференции заявляют, что замок можно взломать с помощью таких-то и таких-то средств. Такой хакер на докладе кладёт на стол замок и инструменты. Встаёт к публике спиной и ковыряется. Затем поворачивается и показывает открытый замок. Предупреждает, что всем владельцам таких замков нужно их срочно поменять. А через некоторое время, достаточное для замены замков, раскрывает секреты взлома. Это пиар не на чьей-то безалаберности, а на своих интеллектуальных способностях. Так пиариться не стыдно.

Скачивание исходников в промышленных масштабах - это не детские шалости. Сделавшие это могут сколько угодно уверять меня в своей честности - я им не поверю. На месте сотрудников "Управления К" я бы взял этих деятелей как минимум на учёт и проверил бы чем они занимаются.

vnaum said...

> Мне не нравится промышленный масштаб акции и пиар не на собственном уме, а на чужом слабоумии.

Весь смысл именно в промышленном масштабе. Обнаружение неприкрытого .svn на одном сайте - не только не новость, но даже банальность. И никаких выводов из неё не сделаешь. А вот подбить статистику по частоте встречаемости именно этой уязвимости - это уже серьёзная работа. Ну и то что в итоге дырки нашли даже у грандов - только лишнее доказательство важности этой работы.

А насчёт чужого слабоумия - в области инфобезопасности все результаты достигаются именно им. С ним, собсно, борьба и идёт.

morbo said...

1. Скачивать исходники было не обязательно.
2. Эти люди не заслуживают звание хакера в белой шляпе, это тупые скрипт-киди. Настоящие хакеры влезают на машины самописными 0-day эксплойтами.

Весь их пиар заслуживает такого-же внимания, как пиар пользователей SSH-авторутеров. Это внимание хорошо характеризуется картинкой facepalm.jpg

Я, когда вижу попытки подобрать имя/пароль по SSH, испытываю чувство раздражения, презрения, усталости от того, что мне приходится иметь дело с внеклеточными формами жизни, с анацефалами. Меня бесит не то, что они могут подобрать подходящую пару имя-пароль, а их надоедливое и никогда не прекращающееся засирание моих логов. Приходиться "надевать резиновые перчатки" - добавлять в фаерволле правила и ограничивать список подсетей, имеющий доступ к TCP-порту 22 или переместить SSH-сервер на другой порт, куда анацефалы залезть ещё ни разу не додумывались.

Админы, правда, тоже хороши.

Всё, закругляюсь. Больше озвучивать свою позицию по этому поводу не буду.

Sergey Lilo said...

Всем похуй.
http://www.google.ru/search?q=inurl%3A.svn%2Ftext-base
P.S. Апач - говно.

vnaum said...

> P.S. Апач - говно.
Apache не при деле, эту же статику можно раздавать nginx или lighttpd. "Разруха в головах".

Sergey Lilo said...

> эту же статику можно раздавать nginx или lighttpd.
Прогрессивные пацаны давно уже закопали апач. И юзают всякие FPM

> "Разруха в головах"
Ктож спорит. Однако, количество потерпевших весьма символизирует :)

Subscribe / RSS