Comments 40
Я практически ничего не знаю о SAP и далеко не pro в информационной безопасности, но вашу статью читал с упоением до самого конца. Спасибо.
PS: Сам как-то оказался филд инженером в ОАЭ на пару месяцев. Очень странные ощущения. ykwim :)
PS: Сам как-то оказался филд инженером в ОАЭ на пару месяцев. Очень странные ощущения. ykwim :)
ERPScan.com/ru
Hmm, The Page You’re Looking For Can’t Be Found.
Hmm, The Page You’re Looking For Can’t Be Found.
имелось в виду erpscan.com или erpscan.ru, неумело сократил)
Спасибо за интересную статью!
UFO just landed and posted this here
AlexandrPolyakov, скажите Вы предоставляете найденные уязвимости и баги в SAP? если да, то как они реагируют, если нет — то почему?
Да, мы уже четвёртый год сотрудничаем с SAP точнее с их подразделением Security Response Team получая ежемесячные благодарности и все (ну за исключением особенных случаев) узявимости перед публикацией дожидаются обновления от SAP, более того, по их просьбе детали мы не раскрываем ещё в течении 3х месяцев послед закрытия дабы пользователи успели обновиться. Реакция у них вполне нормальная, правда зачастую немало времени уходит на то чтобы разъяснить детали некоторых уязвимостей и порекомендовать адекватные меры защиты. Как то одна проблема которую я планирую освятить в этом году на BlackHat требует сложных изменений в ядре системы и для ее решения SAP попросили нас провести специализированный тренинг для разработчиков и помочь в устранении проблемы.
Доложить, подождать, потом еще раз подождать, да еще все разжевать и дать рекомендации? Вполне себе работа! Они хоть как-то ее оплачивают?
Нет :)
Это такая принципиальная позиция? Типа «вам самим это больше надо»? :)
Естественно если бы они платили за это деньги мы бы не расстроились но пока за уязвимости не платят и мы довольствуемся первым местом по количеству ), но есть и проекты с SAP на контрактной основе, но там более сложные задачи нежели просто поиск уязвимостей.
ЗЫ Вообще в то время когда мы основали исследовательскую лабораторию DSECRG и начали заниматься поиском зависимостей и отправлением информации разработчикам никто за это не платил. Это сейчас развелось масса баунти программ которыми грех не воспользоваться потому иногда смотрится странно что люди находят уязвимости бесплатно на западе как-то это в порядке вещей
ЗЫ Вообще в то время когда мы основали исследовательскую лабораторию DSECRG и начали заниматься поиском зависимостей и отправлением информации разработчикам никто за это не платил. Это сейчас развелось масса баунти программ которыми грех не воспользоваться потому иногда смотрится странно что люди находят уязвимости бесплатно на западе как-то это в порядке вещей
Скорее всего там столько дыр, что если платить за каждую — то можно разориться :)
но были и эксперименты с оплатой: www.zerodayinitiative.com/advisories/ZDI-10-290/
Но тогда благодарности от САПа идут немного не туда 8)
Но если у нас свой интерес (не хотим права передавать, хотим сами об уязвимостях и проблемах рассказывать и делится знаниями без посредников), то другим ресерчерам никто не мешает зарабатывать через ZDI, например. Если деньги так важны…
Но тогда благодарности от САПа идут немного не туда 8)
Но если у нас свой интерес (не хотим права передавать, хотим сами об уязвимостях и проблемах рассказывать и делится знаниями без посредников), то другим ресерчерам никто не мешает зарабатывать через ZDI, например. Если деньги так важны…
Простите за банальный вопрос. А что дают такие выступления? Например, лично вам.
Бесплатные путешествия по миру, практика публичных выступлений, обучение языку, новые знакомства. Это лишь часть того что дают они мне лично если не считать плюшек для компании, которые в свою очередь отражаются на мне же.
Какие-то сделки получается заключить? Или приехали, выступили, уехали. И все про вас забыли.
Я к тому, что иногда компании готовятся ко всяким таким мероприятиям, но практической пользы от этого нет, т.е. прибыли. Разве что, потом можно сказать клиентам: «А знаете, мы выступали вот на конференции в Кувейте...»
Я к тому, что иногда компании готовятся ко всяким таким мероприятиям, но практической пользы от этого нет, т.е. прибыли. Разве что, потом можно сказать клиентам: «А знаете, мы выступали вот на конференции в Кувейте...»
мы итак постоянно заняты поиском уязвимостей и исследованием в ходе работ над продуктом такчто подготовка к конференции является заключительным этапом исследования и в целом много времени не отнимает. Что до прямой прибыли область достаточно специфичная, клиенты большие и очень долгие, прямой вот такой зависимости выступил продал конечно нет, но налаживаются контакты, информация передается через сарафанное радио, и так, как курочка по зёрнышку как говорится. Вообще российской компании идти на мировой рынок с продуктом по ИБ я уж не говорю об услугах, это вызов так как к сожалению для многих Россия это хакеры которых к себе близко подпускать не хочется и с этим довольно тяжело бороться. Компании которым удалось доказать обратное можно пересчитать по пальцам но как говорил Хэнг Муди «жизнь без вызова офигительно скучна» :)
рынок подобных систем, скажем так, довольно «узкий». Почти все почти всех почти знают. И рынок так же делится на ниши: кто-то обслуживает инфраструктуру, кто-то занимается поддержкой, кто-то обеспечением безопасности, кто-то аудитом. И клиент, присутствующий на конференции, запомнит: ага, вот чел вот из этой конторы грамотно выступает. И запомнит эту контору. И когда придет время — вспомнит о ней. Т.о. и генерируется прибыль.
В итоге, все эти выступления — это работа на имя и репутацию, что в итоге ведет к получению выгоды.
В итоге, все эти выступления — это работа на имя и репутацию, что в итоге ведет к получению выгоды.
Спасибо, интересно пишете =)
Необычное сочетание — «шейхи» и дыры в ИТ-продуктах.
Необычное сочетание — «шейхи» и дыры в ИТ-продуктах.
Вообще российской компании идти на мировой рынок с продуктом по ИБ я уж не говорю об услугах, это вызов так как к сожалению для многих Россия это хакеры
Так ведь лучшие специалисты по ИБ — это хакеры =)
Спасибо за статью и ответы! Удачи вам и вашей компании.
Паранджа — это если полностью закрыто лицо сеткой. А на фото чадра :)
ps недавно приехал с Дубая, очень понравилось, богатый и цивилизованный город.
ps недавно приехал с Дубая, очень понравилось, богатый и цивилизованный город.
Сама паранджа не закрывает лицо. Деталь, которая закрывает лицо (сетка из волоса) называется чачван и она может дополнять паранджу. А чадра это синоним паранджи.
опять википедия врет блин :D
спасибо за просвещение
спасибо за просвещение
Вообщето, это не паранджа или чачван. Это хижаб.
Ну, статья википедии на русском, в общем-то, все правильно пишет. По крайней мере, если использовать узбекскую терминологию. В ней и источники указаны из истории узбекского и таджикского костюма, что логично, учитывая, что в современный русский язык «паранджа» пришла из Средней Азии.
Однако, например, в английском языке название этого предмета заимствовано у арабов, соответственно и статья называется Burqa. Как там это называется у арабов в Кувейте и Эмиратах, я не знаю, поскольку с узбеками общался, а вот с арабами из Кувейта — не довелось.
Вполне возможно, что и Вы окажетесь по-своему правы.
Однако, например, в английском языке название этого предмета заимствовано у арабов, соответственно и статья называется Burqa. Как там это называется у арабов в Кувейте и Эмиратах, я не знаю, поскольку с узбеками общался, а вот с арабами из Кувейта — не довелось.
Вполне возможно, что и Вы окажетесь по-своему правы.
UFO just landed and posted this here
Ярлычками с паролем, да, пользуюсь:) Статья очень понравилась, т.к. сам абаплю и про сап почитать интересно и особенно, как она «там»:)
Два айфона, черный и белый — это да! Это ход конем! :)
вспомнились zer0nights
«и сейчас Александр Поляков расскажет вам… догадайтесь про что!»
очень интересная статья, спасибо
«и сейчас Александр Поляков расскажет вам… догадайтесь про что!»
очень интересная статья, спасибо
Я было подумал, что это Джейк Джилленхол будет про SAP рассказывать.
Sign up to leave a comment.
Как я учил арабских шейхов ломать SAP