ackoliv se s nazory autora uplne nestotoznuji, v zakladu ma pravdu. ono to vychazi i z druhe stranky veci, a to ze "lovci mrsin", cize realni hackeri propadnou pokuseni. krome george guninskiho, jehoz proces mysleni je mi zahadou, jsou vsechny vetsi IS firmy tvoreny obchodniky a par lidmi co tomu "rozumi" a generuji zisk prakticky z niceho, tedy vlastne z casu potrebneho k auditu zdrojovych kodu (pripadne hodinam stravenych nad IDA reverse-engeneeringem v pripade windows). a to v tom lepsim pripade, v tom horsi proste zneuziji duveru a posbiraji to co je zrovna "in" (viz treba nas cvs 0day, od konce roku 2001 cvs+do_brk = mnoho backdoornutych opensource projektu). na tom ale zase tak moc nezalezi. neni to kouzelne kdyz jediny clovek (z1p) z blackhat casti TESO proda universal apache bsd 0day apache za cca 5000 euro ISS nacez vysledne advisory a hysterie kolem toho zpusobila desetiticenasobny zisk? mimochodem linuxova 0day 1.3.24 verze se scoreboard nikdy neleaknula, coz je zvlastni :) ale zpatky k penezum. nazor ze full-disclosure je zdrojem vseho zla je take naivni. v podstate full-disclosure v duchu opensource je relativne dobry napad. reportovalo by se jen to co je opravdu masovy problem a trapi nejaky rozumny okruh uzivatelu a ne agresivne vyhledavaly exploity veci ktere na svetlo sveta opravdu nepatri nebo naopak jsou uplny balast (napr. dos utoky v prohlizecich, kdo ma trochu fantazie a znalosti protokolu http prijde na neco za par minut). internet security zaziva .com boom devadesatych let. jeste par let potrva nez si spousta lidi uvedomi ze nalezeni informace ktera muze nekomu uskodit a pak tuto informaci za uplatek neutralizovat (rozumejte, klienti jsou upozorneni daleko drive pred disclosure) je fakticke vydirani. o enterprise security bude zajem postupne stagnovat zacnou se resit realne problemy jako jsou samoreplikujici se kody monstroznich botnetu spameru/ddosaru na kazdem druhem desktopu na svete. mozna jsem optimista a bude to naopak. kazdopadne bugy tu budou vzdycky, jenom latka k jejich nalezeni bude porad vyse umerne tempu geometricke rady rustu IS firem ktere je postupne killuji. jeste bude veselo.
BE KIND TO YOUR LOCAL BUG
Autor sa trochu rozpise a potom napise tu simplisticku analogiu (s vydieranim).
Analogie mam rad (rovnako aj statistiky) - su to uzitocne nastroje v rukach schopneho politika, ucitela, inkvizitora .... Ked niektore veci zvelicim a ine zanedbam, vsetko hned vyzera presvedcivo - tak ako chcem ja :).
analogia 1:
Ak mi niekto "hackne" zamok na byte v mojej nepritomnosti, zisti ze tam ma cennosti a potom ponukne vymenu zamku za lepsi, je to vydieranie.
analogia 2:
Ak niekto uvidi chatrny plot na mojej zahradke a ze v tej zahradke mam drahe naradie a ponukne mi, ze mi postavi bezpecnejsi, nie je to vydieranie.
Ktory pripad ma blizsie k softverovej bezpecnosti?
