Re: home.pl - szantażowane - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.internet.polip › home.pl - szantażowane › Re: home.pl - szantażowane

Path: news-archive.icm.edu.pl!newsfeed.gazeta.pl!news.axelspringer.com.pl!not-for-mai
l
From: Tomasz Piłat <p...@i...pl>
Newsgroups: pl.internet.polip
Subject: Re: home.pl - szantażowane
Date: Wed, 11 Apr 2007 00:22:17 +0000 (UTC)
Organization: Private
Lines: 54
Sender: Poncki <p...@p...bsdzine.org>
Message-ID: <evh9np$3059$1@sparrow.axelspringer.com.pl>
References: <ev59l9$e6l$1@news.onet.pl> <ev5t29$j84$1@nemesis.news.tpi.pl>
<evahah$i26$1@news.supermedia.pl> <eve50a$5s3$1@newsfeed.atman.pl>
NNTP-Posting-Host: prozac.bsdzine.org
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Trace: sparrow.axelspringer.com.pl 1176250937 98473 83.238.13.126 (11 Apr 2007
00:22:17 GMT)
X-Complaints-To: a...@n...axelspringer.com.pl
NNTP-Posting-Date: Wed, 11 Apr 2007 00:22:17 +0000 (UTC)
User-Agent: tin/1.8.2-20060425 ("Shillay") (UNIX) (FreeBSD/6.2-RELEASE (i386))
Xref: news-archive.icm.edu.pl pl.internet.polip:81460
[ ukryj nagłówki ]
Robert Święcki <r...@s...net> wrote:
> Można też tak...
>
> Znalazłeś zajebiście (najzajebiściej zejbiście) poważnego buga
> (powiedzmy, powiązanego z możliwością naprawdę dużego finansowego fraudu
> lub uzyskanie poważnej liczby danych osobowych, haseł, niejawnej
> dokumentacji etc..) w usłudze (paypala, abw, sony, mbanku, nsa, nasa,
> gadu-gadu etc.).

Zestawianie NSA z GG jest bezsensem w najczystszej formie.
Ale ja nie o tym chciałem...

> Teraz możesz, co jest na pewno etycznie i być może (tego nie wiem)
> prawnie naganne, zarządać od firmy powiedzmy "200.000 zł ;)" za
> milczenie, lub też zachować się zgodnie z prawem i w imię wolnego
> dostępu do informacji, bez wyciągania kasy z firmy, wypuścić informację
> na czymś poczytnym (full-dislosure i inne ciakerskie fora) o 4:30 w
> nocy (coby admini gdy się obudzą zastali już sajgon), co może oznaczać
> straty dla firmy liczone powiedzmy w mln/mld złotych/dolarów/ojro/pesos.

Odkąd pamietam jestem fanem filozofii "full disclosure" - myślę, że nie
ma lepszej metody uświadomienia "czynnikom decyzyjnym" i "czynnikom
wytwórczym", że tworzenie dobrego oprogramowania naprawdę się opłaca
i że warto poświęcić czasami doraźne "oszczędnostki", a za to dostać/stworzyć
porządny produkt, który w dalszej perspektywie zabezpieczy przed koniecznością
płacenia szantażystom, wypłacania odszkodowań i becelowania za poprawianie czegoś,
za co już raz zapłacono i miało być dobre...

Co do home.pl - wiem z "pierwszej ręki" (ze źródeł naprawdę
pierwszoligowych, którym chłopcy z hack.pl mogliby najwyżej sznurówki
ssać), że ta podatność była już dawno zgłaszana, tylko personel
homenetu jakoś nie znalazł wyobraźni, żeby się tym przejąć i zrzucał
odpowiedzialność na klientów. Nie sądzę, aby home.pl ponióśł w związku
z tym specjalne straty, ale mam nadzieję, że chociaż jakieś wnioski
wyciągneli - co się opłaci i tej firmie i jej klientom.

Daleki jestem od alarmistycznego tonu wypowiedzi - skompromitowanej skądinąd
- ekipy dyletantów i cwaniaczków z hack.pl, jednak z drugiej strony wiem,
że dane pozyskane z logów (i ich długotrwałej obserwacji) mogą czasami
ułatwić różnego rodzaju ataki socjotechniczne (i nie tylko zresztą).
I nawet jeśli home.pl (czy inny operator/dostawca) uważa tego typu
zagrożenia za mało realne, to jednak powinni mieć świadomość ich istnienia.
W końcu jednak nikt z nas nie wygrał 6 w totka, a jednak wygrane wciąż
padają... ;-)

> Gdybyś był szefem paypala/abw/sony/mbanku/nsa/nasa/gadu-gadu wolałbyś
> szantaż czy wolny dostęp do informacji? :)

Wolność jest warta każdej ceny. Na szczęście nie jestem odpowiedzialny
przed żadnymi akcjonariuszami... :~)

Ponc
--
Kto misiowi urwał ucho?