Bookmark
RSS
Newsletter
Se dau urmatoarele scenarii, mai mult sau mai putin reale:
a) Domnul X, foarte apreciat si cu un statut bine definit in societatea in care traieste, locuieste la o casa. Intamplator, una din ferestrele casei sale, facuta de firma S, are o problema la balamale si poate fi usor desfacuta din afara.
Domnul U este o persoana care si-a facut un obicei din a se plimba pe strazi si a trage cu ochiul la tipul de ferestre folosite la casele oamenilor. El stie ca domnul X este o persoana importanta in societatea in care traieste si el si decide sa arunce o privire asupra ferestrelor folosite de X. Observa ca una din ferestre este din lotul cu probleme, asa ca decide sa o forteze. Reuseste si prin urmare intra in casa domnului X. Rascoleste putin prin camere, arunca un ochi pe facturile de venit, cele de telefon etc. si apoi pleaca. Ulterior il anunta pe domnul X ca are o problema cu fereastra si ii si arata o poza cu facturile sale. In acelasi timp, face publica descoperirea sa, acoperind insa detaliile importante din facturi.
b) Compania X, una de renume, detine un site web. Intamplator, unul din serviciile pe care server-ul web le ruleaza are o vulnerabilitate, pe care compania X inca a remediat-o.
Un domn U,care si-a facut o pasiune din a cerceta site-urile/server-ele web si a descoperi daca au probleme, inarmat cu niste instrumente de detectie, verifica site-ul companiei X. Observa vulnerabilitatea si profita de ea ca sa obtina accesul pe server-ul companiei X. Aici arunca un ochi in baza de date cu clientii firmei, etc. Face o poza (copie?) a informatiilor respective, dupa care anunta compania X de rezultatele actiunilor sale. Intre timp, face publica descoperirea sa, inclusiv cu poze care sa dovedeasca adevarul spuselor sale.
Acum, in ambele situatii, domnul X si compania X, au avut de suferit din cauza faptului ca domnul U, manat poate de bune intentii, le-a violat teritoriul. Este drept, el nu a furat nimic (asta daca nu socotim informatiile dezvaluite prin fotografii ca fiind furt – au fost totusi extrase fara incuviintarea proprietarilor) si a anuntat imediat pe domnul X, respectiv compania X de ceea ce a observat.
Ce trebuie sa faca domnul X, respectiv compania X?
a) sa nu faca nimic, pentru ca domnul U a facut doar un gest teribil.
b) sa ii multumeasca domnului U pentru gestul nobil pe care l-a facut.
c) sa se adreseze Politiei, pentru ca domnul U este un infractor care le-a violat teritoriul.
Eu as merge pe varianta c) si l-as reclama la Politie pe domnul U, pentru ca dansul a intrat fara sa aiba incuviintarea in locuri in care nu avea voie sa intre, chiar daca usa era deschisa. In plus a scotocit prin informatii care nu il priveau si le-a si fotografiat.
Daca insa domnul U s-ar fi limitat la a descoperi fereastra cu problema/respectiv vulnerabilitatea site-ului si ar fi anuntat pe domnul X/compania X atunci lucrurile ar fi fost simple: un gest generos, care merita apreciere.
Voi ce credeti?
Cum ati proceda in locul domnului X/companiei X?
- M-as adresa Politiei. Domnul U este un infractor (46%, 141 Votes)
- I-as multumi si as remedia problema (39%, 120 Votes)
- I-as multumi, este un gest generos din partea lui U (10%, 32 Votes)
- Nu as face nimic (5%, 16 Votes)
Total Voters: 309
Loading ...
Articole similare:
în 
în 
în 
în 
Ar fi excelent să vedem aceste competenţe. Un punct de plecare ar fi chiar acest blog, care ar putea arăta mai ok.
Ai folosit analogii false. Un server conectat la Internet implică automat faptul că este disponibil publicului larg. Unii intră pe uşa din faţă, unii pe cea din dos, care nu era nici încuiată nici marcată cu niciun semn de “interzis”. Comparaţia cu casa şi proprietatea privată este invalidă.
Din fericire, cei care au intrat (de data asta) pe uşa din dos au fost oameni decenţi care au semnalat problema şi apoi au tras un semnal de alarmă public. Dar pe lîngă acest gen de oameni mai există şi cei care tac şi fac lucruri rele. Ar fi preferabil ca cei care dau de uşa aia din dos să fie oameni rău intenţionaţi? Dacă taci şi exploatezi ce-ai găsit este mai ok decît să strigi “e o problemă, rezolvaţi-o”? Sau ar fi preferabil să nu faci nimic şi să-ţi vezi de treaba ta, lăsînd acel server şi toţi utilizatorii lui vulnerabili în continuare?
Am pus şi eu la îndoială motivaţiile celor de la hackersblog. Un adevărat samaritean s-ar rezuma la a semnala problemele şi atît. Dar nu pot să neg eficienţa publicităţii. Industria IT are o atitudine bolnavă apropo de securitate şi publicitatea făcută acestei atitudini nu strică. Se consideră că cei care pătrund unde nu au voie sînt vinovaţii principali, dar se uită mereu de incompetenţi, de cei care au primit bani pentru a pune la punct acele servere şi site-uri şi au eşuat lamentabil. Pe ei cine-i ceartă? Dacă şi-ar fi făcut treaba aşa-i că n-am mai fi avut discuţia asta?
@ Skippy
Nu am facut nicio analogie falsa. Este simplu sa privesti lucrurile asa: pe internet totul e gratuit. Ei bine, lucrurile nu stau chiar asa!
Tu crezi ca site-urile web, stau asa in aer si sunt gazduite de cineva, pentru ca acel cineva este un om bun si darnic? Nu as zice ca totul este asa. Sunt companii/oameni care platesc pentru serviciile de hosting si au platit si pentru dezvoltarea site-ului. Ori daca platesc pentru inchirierea spatiului, ma gandesc ca este al lor pe durata inchirierii?
Chestia cu analogiile este subiectiva oricum. Fiecare va dori si face acele analogii pe care le considera cele mai nimerite.
Si informatiile de pe un server sunt publice atata vreme cat cel care detine server-ul le-a facut publice si a pus link-uri PUBLICE catre ele. Daca nu exista, inseamna ca nu sunt publice.
Din nou, nu discutam intentia celor care intra neautorizat pe un server/intr-o casa.Asa cum spune si legea, este irelevanta intentia. Am mai zis acest lucru in comentarii. Te rog sa citesti cu atentie.
Sunt de acord ca trebuie luate masuri foarte dure impotrova celor care “creeaza site-uri” si habar nu au cum sa le securizeze, iar o companie are incredere in ei. Dar daca este sa fim realisti, vina este a companiei care nu a verificat cum trebuie “furnizorul” si nu a specificat in contract clar cee ce vrea. Poate sa fie nestiinta sau poate sa fie rea vointa. Noi nu putem face decat speculatii. Aici insa, atat eu cat si oamenii despre care discutam in acest post avem acelasi scop: sa aratam greseala si sa tragem un semnal de alarma, ca sa se ia masuri impotriva celor impricinati.
Legat de captura de ecran: si eu intru cu Firefox, din Ubuntu si imi arata cum trebuie site-ul. Dar oricum, mersi de feedback – o sa il transmit dezvoltatorilor nostri.
Discutii libere intre Bobby Voicu si baietii de la hackersblog despre ceea ce fac ei.
http://www.radiolynx.ro/player/t242-541
M-as simti furat sau idiot. Furat de firma dezvolatoare a aplicatiei sau idiot ca nu am fost in stare sa fac ceva bine si sa previn asa ceva. Daca te anunta, nu ai cum sa nu ierti pe jumatate. Si daca eviti o gramada de alte probleme, probleme care te pot falimenta cum sa nu ierti si cealalta jumatate? Problema morala ramane: trebuia sa anunte ca e usa deschisa, nu sa intre. In lumea web nu exista usa deschisa la vedere ca la o casa: dai comanda si esti deja inauntru daca secu e varza (nu cred ca scanerele de vulnerabilitati “vad” toate problemele). Ideea e ca nu poti vedea usa deschisa decat daca ai intrat. I-as multumi si as remedia problema cu rugamintea de a nu afisa vulerabilitatea pentru a nu-mi stirbi imaginea mea ca firma. Automat m-as gandi sa-l pun sa verifice si altele, pana la urma e vorba de bani, oameni si destine: daca falimentez sau inregistrez un declin economic din cauza vulnerabilitatilor aplicatiilor firmei, de multe ori “cad” capete nevinovate. Nu cred ca l-as pune efectiv sa faca si alte verificari, insa m-as gandi la asta automat, as pune-o in balanta. Concluzia este ca nu l-as judeca din moment ce mi-a spus.