> Стоит этому верить? Насчёт того что такие растрепаи вообще есть и им дают админить - определённо, стоит. В конце концов, http://www.inkscape.org/.svn/ А было так на яндексе и вконтакте или нет - уже не узнать, поздняк метаться. Хотя список доменов в .com получить несложно, сканилку написать тоже...
> Пропиарились на админской безалаберности Ты так говоришь, будто это что-то плохое.
> да ещё и исходников, извините, напиздили. А иначе в чём смысл всей затеи со сканированием? Торговлей они вроде не занимаются, предупреждения разослали, время на пофиксить дали, клянутся-божатся что всё удалили. Whitehat, все дела.
Мне не нравится промышленный масштаб акции и пиар не на собственном уме, а на чужом слабоумии.
Представь, человек увидел открытую дверь в дом. Громко позвал хозяев. Хозяева не откликнулись. Вошёл вовнутрь, посмотрел что дома никого нет и ушёл. Потом сообщил хозяевам, что у них дверь была открыта и надо бы закрывать, а то мало ли что - воры залезут. Потом написал в какую-нибудь газету письмо, попросил написать заметку-предупреждение, о том что надо бы закрывать двери.
А теперь представь другую ситуацию - человек обошёл все дома в населённом пункте, обнаружил окуенное количество открытых дверей. Зашёл во внутрь каждого дома и сфотал всё, что там есть. Потом отправил всем по почте письма, что двери нужно закрывать. Подождал неделю и потом тиснул в газету статью, что из 100% обойдённых мной домов в 5% из них двери были не закрыты. Я сфотал содержимое всех квартир и могу сказать, что у тов. Иванова дома есть бассейн, а у тов. Петрова - коллекция дорогих картин. Я всех заранее предупредил, а фотки содержимого квартир я никому не покажу. Честно-честно!
Whitehat занимаются другим. Берут серийный замок, пытаются его взломать и на конференции заявляют, что замок можно взломать с помощью таких-то и таких-то средств. Такой хакер на докладе кладёт на стол замок и инструменты. Встаёт к публике спиной и ковыряется. Затем поворачивается и показывает открытый замок. Предупреждает, что всем владельцам таких замков нужно их срочно поменять. А через некоторое время, достаточное для замены замков, раскрывает секреты взлома. Это пиар не на чьей-то безалаберности, а на своих интеллектуальных способностях. Так пиариться не стыдно.
Скачивание исходников в промышленных масштабах - это не детские шалости. Сделавшие это могут сколько угодно уверять меня в своей честности - я им не поверю. На месте сотрудников "Управления К" я бы взял этих деятелей как минимум на учёт и проверил бы чем они занимаются.
> Мне не нравится промышленный масштаб акции и пиар не на собственном уме, а на чужом слабоумии.
Весь смысл именно в промышленном масштабе. Обнаружение неприкрытого .svn на одном сайте - не только не новость, но даже банальность. И никаких выводов из неё не сделаешь. А вот подбить статистику по частоте встречаемости именно этой уязвимости - это уже серьёзная работа. Ну и то что в итоге дырки нашли даже у грандов - только лишнее доказательство важности этой работы.
А насчёт чужого слабоумия - в области инфобезопасности все результаты достигаются именно им. С ним, собсно, борьба и идёт.
1. Скачивать исходники было не обязательно. 2. Эти люди не заслуживают звание хакера в белой шляпе, это тупые скрипт-киди. Настоящие хакеры влезают на машины самописными 0-day эксплойтами.
Весь их пиар заслуживает такого-же внимания, как пиар пользователей SSH-авторутеров. Это внимание хорошо характеризуется картинкой facepalm.jpg
Я, когда вижу попытки подобрать имя/пароль по SSH, испытываю чувство раздражения, презрения, усталости от того, что мне приходится иметь дело с внеклеточными формами жизни, с анацефалами. Меня бесит не то, что они могут подобрать подходящую пару имя-пароль, а их надоедливое и никогда не прекращающееся засирание моих логов. Приходиться "надевать резиновые перчатки" - добавлять в фаерволле правила и ограничивать список подсетей, имеющий доступ к TCP-порту 22 или переместить SSH-сервер на другой порт, куда анацефалы залезть ещё ни разу не додумывались.
Админы, правда, тоже хороши.
Всё, закругляюсь. Больше озвучивать свою позицию по этому поводу не буду.
9 comments:
Стоит этому верить?
Лично я считаю, что эти куль-хацкеры достойны презрения. Пропиарились на админской безелаберности, да ещё и исходников, извините, напиздили.
> Стоит этому верить?
Насчёт того что такие растрепаи вообще есть и им дают админить - определённо, стоит. В конце концов, http://www.inkscape.org/.svn/
А было так на яндексе и вконтакте или нет - уже не узнать, поздняк метаться.
Хотя список доменов в .com получить несложно, сканилку написать тоже...
> Пропиарились на админской безалаберности
Ты так говоришь, будто это что-то плохое.
> да ещё и исходников, извините, напиздили.
А иначе в чём смысл всей затеи со сканированием? Торговлей они вроде не занимаются, предупреждения разослали, время на пофиксить дали, клянутся-божатся что всё удалили. Whitehat, все дела.
Мне не нравится промышленный масштаб акции и пиар не на собственном уме, а на чужом слабоумии.
Представь, человек увидел открытую дверь в дом. Громко позвал хозяев. Хозяева не откликнулись. Вошёл вовнутрь, посмотрел что дома никого нет и ушёл. Потом сообщил хозяевам, что у них дверь была открыта и надо бы закрывать, а то мало ли что - воры залезут. Потом написал в какую-нибудь газету письмо, попросил написать заметку-предупреждение, о том что надо бы закрывать двери.
А теперь представь другую ситуацию - человек обошёл все дома в населённом пункте, обнаружил окуенное количество открытых дверей. Зашёл во внутрь каждого дома и сфотал всё, что там есть. Потом отправил всем по почте письма, что двери нужно закрывать. Подождал неделю и потом тиснул в газету статью, что из 100% обойдённых мной домов в 5% из них двери были не закрыты. Я сфотал содержимое всех квартир и могу сказать, что у тов. Иванова дома есть бассейн, а у тов. Петрова - коллекция дорогих картин. Я всех заранее предупредил, а фотки содержимого квартир я никому не покажу. Честно-честно!
Whitehat занимаются другим. Берут серийный замок, пытаются его взломать и на конференции заявляют, что замок можно взломать с помощью таких-то и таких-то средств. Такой хакер на докладе кладёт на стол замок и инструменты. Встаёт к публике спиной и ковыряется. Затем поворачивается и показывает открытый замок. Предупреждает, что всем владельцам таких замков нужно их срочно поменять. А через некоторое время, достаточное для замены замков, раскрывает секреты взлома. Это пиар не на чьей-то безалаберности, а на своих интеллектуальных способностях. Так пиариться не стыдно.
Скачивание исходников в промышленных масштабах - это не детские шалости. Сделавшие это могут сколько угодно уверять меня в своей честности - я им не поверю. На месте сотрудников "Управления К" я бы взял этих деятелей как минимум на учёт и проверил бы чем они занимаются.
> Мне не нравится промышленный масштаб акции и пиар не на собственном уме, а на чужом слабоумии.
Весь смысл именно в промышленном масштабе. Обнаружение неприкрытого .svn на одном сайте - не только не новость, но даже банальность. И никаких выводов из неё не сделаешь. А вот подбить статистику по частоте встречаемости именно этой уязвимости - это уже серьёзная работа. Ну и то что в итоге дырки нашли даже у грандов - только лишнее доказательство важности этой работы.
А насчёт чужого слабоумия - в области инфобезопасности все результаты достигаются именно им. С ним, собсно, борьба и идёт.
1. Скачивать исходники было не обязательно.
2. Эти люди не заслуживают звание хакера в белой шляпе, это тупые скрипт-киди. Настоящие хакеры влезают на машины самописными 0-day эксплойтами.
Весь их пиар заслуживает такого-же внимания, как пиар пользователей SSH-авторутеров. Это внимание хорошо характеризуется картинкой facepalm.jpg
Я, когда вижу попытки подобрать имя/пароль по SSH, испытываю чувство раздражения, презрения, усталости от того, что мне приходится иметь дело с внеклеточными формами жизни, с анацефалами. Меня бесит не то, что они могут подобрать подходящую пару имя-пароль, а их надоедливое и никогда не прекращающееся засирание моих логов. Приходиться "надевать резиновые перчатки" - добавлять в фаерволле правила и ограничивать список подсетей, имеющий доступ к TCP-порту 22 или переместить SSH-сервер на другой порт, куда анацефалы залезть ещё ни разу не додумывались.
Админы, правда, тоже хороши.
Всё, закругляюсь. Больше озвучивать свою позицию по этому поводу не буду.
Всем похуй.
http://www.google.ru/search?q=inurl%3A.svn%2Ftext-base
P.S. Апач - говно.
> P.S. Апач - говно.
Apache не при деле, эту же статику можно раздавать nginx или lighttpd. "Разруха в головах".
> эту же статику можно раздавать nginx или lighttpd.
Прогрессивные пацаны давно уже закопали апач. И юзают всякие FPM
> "Разруха в головах"
Ктож спорит. Однако, количество потерпевших весьма символизирует :)
Post a Comment