Пожалели "тестеру систем защиты" гонорара небольшого и теперь опозорились на всю страну и лишатся должностей. жадные твари) в нормальных странах банки и госконторы за такое отваливают бабки и обещают еще столько же если найдутся другие уязвимости.
Да да, так отваливают, что потом они по посольствам прячутся (сноуден). За взлом правительственных систем бывает тюряга надолго обычно, а не гонорары. Банки - другой вопрос, у них возможности карать куда меньше.
Ну как по мне похоже на правду. Чел при помощи уязвимости в n_tty_write получал право писать свои данные в область памяти ядра даже не обладая на то разрешениями. По факту имел возможность перезаписать любые данные, которые ему были нужны. Но для того, что бы этим воспользоватся надо знать что и куда писать. 2 раза он не угадал, что и вызвало ребут системы. На третий получилось. Технически тут все чисто.
Пожалели "тестеру систем защиты" гонорара небольшого и теперь опозорились на всю страну и лишатся должностей. жадные твари) в нормальных странах банки и госконторы за такое отваливают бабки и обещают еще столько же если найдутся другие уязвимости.
Чо? Отвалить бабки за скомпроментированный код, и дать ещё столько же, за гарантиею "никому, мамой клянусь"? Там есть такие дураки?
Здесь, скорее всего, убьют Васю, ибо этот код уже не стоит ни чего.
я бы на месте Васи сам пришел бы местное управление ФСБ и сам все рассказал...и сдал заказчика. Пусть без денег но на свободе и выполненной гражданской ответственностью.
А там быстро кому надо хвосты накрутят..и 1му отделу данного предприятия в том числе.
Пожалели "тестеру систем защиты" гонорара небольшого и теперь опозорились на всю страну и лишатся должностей. жадные твари) в нормальных странах банки и госконторы за такое отваливают бабки и обещают еще столько же если найдутся другие уязвимости.
Чушь. Уязвимости есть в любом ПО, никакой тестер все уязвимости не обнаружит.
Ога. Именно этим и объясняется хамство на репорт об косяках.
Я так понимаю Вася не репорт об уязвимости делал, а решил пошантажировать разработчиков. Ну что бы хоть что то поиметь.
А вообще у Васи скоро будет секс. И у ответственных за проект. Даже не знаю кому глубже перепадёт.
Это сообщение отредактировал dalex - 16 дек 2015 в 15:03
Ну как по мне похоже на правду. Чел при помощи уязвимости в n_tty_write получал право писать свои данные в область памяти ядра даже не обладая на то разрешениями. По факту имел возможность перезаписать любые данные, которые ему были нужны. Но для того, что бы этим воспользоватся надо знать что и куда писать. 2 раза он не угадал, что и вызвало ребут системы. На третий получилось. Технически тут все чисто.
А самим эксплоитом он поделился? Ведь есть эксплоит, который эксплуатирует уязвимость с версии ядер 3.15. Но на бубунте 12.04 там разве такое ядро есть? Если у меня на 14.04 3.13
Фуфло какое-то. Покажите мне админа который вот так безалаберно оставит открытыми для всего мира с десяток портов! При этом SSH только для определённых IP. Ладно FTP. Остальные-то какого буя ?!
Ну и по уязвимости не совсем понятно. Она позволяет повысить права до ROOT-a. А как он туда хоть под гостем-то попал ?!
Это сообщение отредактировал cmeshh - 16 дек 2015 в 15:14
Фуфло какое-то. Покажите мне админа который вот так безалаберно оставит открытыми для всего мира с десяток портов! При этом SSH только для определённых IP. Ладно FTP. Остальные-то какого буя ?!
Ну и по уязвимости не совсем понятно. Она позволяет повысить права до ROOT-a. А как он туда хоть под гостем-то попал ?!
Сеть вафлей-то он долго мониторил. Перехватил всего скорее чей-то.
Если вместо "Хакер" употребить в статье "независимый исследователь информационной безопасности", то получается статья о преступной халатности руководителя предприятия, могущей повлечь ущерб в мировых масштабах.
Ну... количество анальной боли от смены названия не изменится.
А слабо Васе связаться с ВВП и рассказать ему как последнего за нос водят изображая "безопасность" ? Тогда точно Вася будет супер-пупер антихакером и зарплата так не хило упадет.
Чушь. Уязвимости есть в любом ПО, никакой тестер все уязвимости не обнаружит.
тут не столько в этом дырявом ПО дело, сколько в целом в организации работы предприятия. по факту все там забили хер. и админы, и безопасники.
Цитата
заказчик у хакера был сам из правительства чтоб понять где дыры ))
а там все одна большая дыра. ПО для подобных контор пишут вполне определенные рукопожатые товарищи. и никого другого туда близко не подпустят. данные товарисчи в силу разных причин, главные из которых тупость и жадность, больше всего экономят на главном своем ресурсе-людях. в итоге мы имеем кривое гавно с костылями, которое вяло переваливаясь на этих костылях хромает обеими ногами по всей стране.
Цитата
Фуфло какое-то. Покажите мне админа который вот так безалаберно оставит открытыми для всего мира с десяток портов! При этом SSH только для определённых IP. pray.gif Ладно FTP. Остальные-то какого буя ?!
сидит там админом какой-нить солдат годичник, который линь первый раз в глаза видит. или, что более вероятно, внук какого нить подпола.
Это сообщение отредактировал idk - 16 дек 2015 в 15:19
А слабо Васе связаться с ВВП и рассказать ему как последнего за нос водят изображая "безопасность" ? Тогда точно Вася будет супер-пупер антихакером и зарплата так не хило упадет.
Такой большой а в сказки веришь
Добавлено в 15:20
Цитата (JohnDow @ 16.12.2015 - 14:55)
я бы на месте Васи сам пришел бы местное управление ФСБ и сам все рассказал...и сдал заказчика. Пусть без денег но на свободе и выполненной гражданской ответственностью.
А там быстро кому надо хвосты накрутят..и 1му отделу данного предприятия в том числе.
И закрыли бы тебя далеко и надолго, а фсбшники бы сказали что разоблачили злостного хакера-шпиона
у нас простых людей то садят за то тчо они приходят в ментовки с вещамии говорят, вот нашел верните владельцу, и его закрывают как за воровство...
Это сообщение отредактировал DjeckMen - 16 дек 2015 в 15:22
Ну как по мне похоже на правду. Чел при помощи уязвимости в n_tty_write получал право писать свои данные в область памяти ядра даже не обладая на то разрешениями. По факту имел возможность перезаписать любые данные, которые ему были нужны. Но для того, что бы этим воспользоватся надо знать что и куда писать. 2 раза он не угадал, что и вызвало ребут системы. На третий получилось. Технически тут все чисто.
А самим эксплоитом он поделился? Ведь есть эксплоит, который эксплуатирует уязвимость с версии ядер 3.15. Но на бубунте 12.04 там разве такое ядро есть? Если у меня на 14.04 3.13
Работаю в такой же конторе, и даже объекты у нас с хакнутой конторой есть общие. И на на этом схожесть не заканчивается. Все что написано в эпилоге на хабре - истинная правда и подходит для 99% оточественных контор, занимающихся подобными говноразработками.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
yaplakal.com