-
Data: 2007-04-11 00:22:17
Temat: Re: home.pl - szantażowane
Od: Tomasz Piłat <p...@i...pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Robert Święcki <r...@s...net> wrote:
> Można też tak...
>
> Znalazłeś zajebiście (najzajebiściej zejbiście) poważnego buga
> (powiedzmy, powiązanego z możliwością naprawdę dużego finansowego fraudu
> lub uzyskanie poważnej liczby danych osobowych, haseł, niejawnej
> dokumentacji etc..) w usłudze (paypala, abw, sony, mbanku, nsa, nasa,
> gadu-gadu etc.).
Zestawianie NSA z GG jest bezsensem w najczystszej formie.
Ale ja nie o tym chciałem...
> Teraz możesz, co jest na pewno etycznie i być może (tego nie wiem)
> prawnie naganne, zarządać od firmy powiedzmy "200.000 zł ;)" za
> milczenie, lub też zachować się zgodnie z prawem i w imię wolnego
> dostępu do informacji, bez wyciągania kasy z firmy, wypuścić informację
> na czymś poczytnym (full-dislosure i inne ciakerskie fora) o 4:30 w
> nocy (coby admini gdy się obudzą zastali już sajgon), co może oznaczać
> straty dla firmy liczone powiedzmy w mln/mld złotych/dolarów/ojro/pesos.
Odkąd pamietam jestem fanem filozofii "full disclosure" - myślę, że nie
ma lepszej metody uświadomienia "czynnikom decyzyjnym" i "czynnikom
wytwórczym", że tworzenie dobrego oprogramowania naprawdę się opłaca
i że warto poświęcić czasami doraźne "oszczędnostki", a za to dostać/stworzyć
porządny produkt, który w dalszej perspektywie zabezpieczy przed koniecznością
płacenia szantażystom, wypłacania odszkodowań i becelowania za poprawianie czegoś,
za co już raz zapłacono i miało być dobre...
Co do home.pl - wiem z "pierwszej ręki" (ze źródeł naprawdę
pierwszoligowych, którym chłopcy z hack.pl mogliby najwyżej sznurówki
ssać), że ta podatność była już dawno zgłaszana, tylko personel
homenetu jakoś nie znalazł wyobraźni, żeby się tym przejąć i zrzucał
odpowiedzialność na klientów. Nie sądzę, aby home.pl ponióśł w związku
z tym specjalne straty, ale mam nadzieję, że chociaż jakieś wnioski
wyciągneli - co się opłaci i tej firmie i jej klientom.
Daleki jestem od alarmistycznego tonu wypowiedzi - skompromitowanej skądinąd
- ekipy dyletantów i cwaniaczków z hack.pl, jednak z drugiej strony wiem,
że dane pozyskane z logów (i ich długotrwałej obserwacji) mogą czasami
ułatwić różnego rodzaju ataki socjotechniczne (i nie tylko zresztą).
I nawet jeśli home.pl (czy inny operator/dostawca) uważa tego typu
zagrożenia za mało realne, to jednak powinni mieć świadomość ich istnienia.
W końcu jednak nikt z nas nie wygrał 6 w totka, a jednak wygrane wciąż
padają... ;-)
> Gdybyś był szefem paypala/abw/sony/mbanku/nsa/nasa/gadu-gadu wolałbyś
> szantaż czy wolny dostęp do informacji? :)
Wolność jest warta każdej ceny. Na szczęście nie jestem odpowiedzialny
przed żadnymi akcjonariuszami... :~)
Ponc
--
Kto misiowi urwał ucho?
Następne wpisy z tego wątku
- 11.04.07 07:47 futszaK
- 11.04.07 08:24 Michal Zalewski
- 11.04.07 08:31 Maciej Jan Broniarz
- 11.04.07 09:27 Michal Zalewski
- 11.04.07 09:41 Maciej Jan Broniarz
- 11.04.07 10:34 Tomasz Motyliński
- 11.04.07 10:36 futszaK
- 11.04.07 10:46 futszaK
- 11.04.07 10:49 Mateusz Papiernik
- 11.04.07 11:05 Krzysztof Halasa
- 11.04.07 11:06 futszaK
- 11.04.07 11:12 Grzegorz Niemirowski
- 11.04.07 11:27 Krzysztof Halasa
- 11.04.07 11:33 Krzysztof Halasa
- 11.04.07 11:35 Krzysztof Halasa
Najnowsze wątki z tej grupy
- Jest tutaj kto? Halo, Darius Expert?
- Czy to konieczne? ATMAN - 30.06.2019 - Wyłączenie news.atman.pl
- pl.internet.polip - is DEAD?
- ovh
- INEA
- Prośba o traceroute z Vectry
- BGP - wszyscy wkładają głowę w piasek.
- http://pl
- Re: Czemu jest wylaczany serwer w3cache.icm.edu.pl ?
- Taaaka integracaj na rynku, a tu nikt, nic..
- Alternatywna sieć dla internetu kiedyś w Polsce
- ooerator gsm + stały ip z revdns
- Dostęp do ip nostrady
- narzędzia do weryfikacji poprawności bazy WHOIS
- T-mobile bawi się w MITM....
Najnowsze wątki
- 2024-12-19 koniki obsiadły kolejki i numerki
- 2024-12-18 Poseł oszukany "na policjanta"
- 2024-12-18 znów chory psychicznie
- 2024-12-18 Katowice => Architekt rozwiązań (doświadczenie w obszarze Java, AWS
- 2024-12-18 Poznań => Dyspozytor Międzynarodowy <=
- 2024-12-18 Katowice => System Architect (background deweloperski w Java) <=
- 2024-12-18 Gdańsk => System Architect (Java background) <=
- 2024-12-18 Warszawa => Helpdesk Specialist <=
- 2024-12-18 Katowice => Kierownik Działu Zarządzania Platformą Wirtualizacji i
- 2024-12-18 Bieruń => Regionalny Kierownik Sprzedaży (OZE) <=
- 2024-12-18 Żerniki => Employer Branding Specialist <=
- 2024-12-18 Gliwice => Specjalista ds. public relations <=
- 2024-12-18 Kablówka z modułem CAM
- 2024-12-18 Warszawa => Spedytor międzynarodowy <=
- 2024-12-18 Wróblewo => Analityk finansowy <=