Comments 40
Я практически ничего не знаю о SAP и далеко не pro в информационной безопасности, но вашу статью читал с упоением до самого конца. Спасибо.
PS: Сам как-то оказался филд инженером в ОАЭ на пару месяцев. Очень странные ощущения. ykwim :)
PS: Сам как-то оказался филд инженером в ОАЭ на пару месяцев. Очень странные ощущения. ykwim :)
+7
ERPScan.com/ru
Hmm, The Page You’re Looking For Can’t Be Found.
Hmm, The Page You’re Looking For Can’t Be Found.
+2
имелось в виду erpscan.com или erpscan.ru, неумело сократил)
+2
Спасибо за интересную статью!
0
UFO just landed and posted this here
AlexandrPolyakov, скажите Вы предоставляете найденные уязвимости и баги в SAP? если да, то как они реагируют, если нет — то почему?
0
Да, мы уже четвёртый год сотрудничаем с SAP точнее с их подразделением Security Response Team получая ежемесячные благодарности и все (ну за исключением особенных случаев) узявимости перед публикацией дожидаются обновления от SAP, более того, по их просьбе детали мы не раскрываем ещё в течении 3х месяцев послед закрытия дабы пользователи успели обновиться. Реакция у них вполне нормальная, правда зачастую немало времени уходит на то чтобы разъяснить детали некоторых уязвимостей и порекомендовать адекватные меры защиты. Как то одна проблема которую я планирую освятить в этом году на BlackHat требует сложных изменений в ядре системы и для ее решения SAP попросили нас провести специализированный тренинг для разработчиков и помочь в устранении проблемы.
+6
Доложить, подождать, потом еще раз подождать, да еще все разжевать и дать рекомендации? Вполне себе работа! Они хоть как-то ее оплачивают?
0
Нет :)
0
Это такая принципиальная позиция? Типа «вам самим это больше надо»? :)
0
Естественно если бы они платили за это деньги мы бы не расстроились но пока за уязвимости не платят и мы довольствуемся первым местом по количеству ), но есть и проекты с SAP на контрактной основе, но там более сложные задачи нежели просто поиск уязвимостей.
ЗЫ Вообще в то время когда мы основали исследовательскую лабораторию DSECRG и начали заниматься поиском зависимостей и отправлением информации разработчикам никто за это не платил. Это сейчас развелось масса баунти программ которыми грех не воспользоваться потому иногда смотрится странно что люди находят уязвимости бесплатно на западе как-то это в порядке вещей
ЗЫ Вообще в то время когда мы основали исследовательскую лабораторию DSECRG и начали заниматься поиском зависимостей и отправлением информации разработчикам никто за это не платил. Это сейчас развелось масса баунти программ которыми грех не воспользоваться потому иногда смотрится странно что люди находят уязвимости бесплатно на западе как-то это в порядке вещей
0
Скорее всего там столько дыр, что если платить за каждую — то можно разориться :)
0
но были и эксперименты с оплатой: www.zerodayinitiative.com/advisories/ZDI-10-290/
Но тогда благодарности от САПа идут немного не туда 8)
Но если у нас свой интерес (не хотим права передавать, хотим сами об уязвимостях и проблемах рассказывать и делится знаниями без посредников), то другим ресерчерам никто не мешает зарабатывать через ZDI, например. Если деньги так важны…
Но тогда благодарности от САПа идут немного не туда 8)
Но если у нас свой интерес (не хотим права передавать, хотим сами об уязвимостях и проблемах рассказывать и делится знаниями без посредников), то другим ресерчерам никто не мешает зарабатывать через ZDI, например. Если деньги так важны…
0
Простите за банальный вопрос. А что дают такие выступления? Например, лично вам.
0
Бесплатные путешествия по миру, практика публичных выступлений, обучение языку, новые знакомства. Это лишь часть того что дают они мне лично если не считать плюшек для компании, которые в свою очередь отражаются на мне же.
+9
Какие-то сделки получается заключить? Или приехали, выступили, уехали. И все про вас забыли.
Я к тому, что иногда компании готовятся ко всяким таким мероприятиям, но практической пользы от этого нет, т.е. прибыли. Разве что, потом можно сказать клиентам: «А знаете, мы выступали вот на конференции в Кувейте...»
Я к тому, что иногда компании готовятся ко всяким таким мероприятиям, но практической пользы от этого нет, т.е. прибыли. Разве что, потом можно сказать клиентам: «А знаете, мы выступали вот на конференции в Кувейте...»
0
мы итак постоянно заняты поиском уязвимостей и исследованием в ходе работ над продуктом такчто подготовка к конференции является заключительным этапом исследования и в целом много времени не отнимает. Что до прямой прибыли область достаточно специфичная, клиенты большие и очень долгие, прямой вот такой зависимости выступил продал конечно нет, но налаживаются контакты, информация передается через сарафанное радио, и так, как курочка по зёрнышку как говорится. Вообще российской компании идти на мировой рынок с продуктом по ИБ я уж не говорю об услугах, это вызов так как к сожалению для многих Россия это хакеры которых к себе близко подпускать не хочется и с этим довольно тяжело бороться. Компании которым удалось доказать обратное можно пересчитать по пальцам но как говорил Хэнг Муди «жизнь без вызова офигительно скучна» :)
+6
рынок подобных систем, скажем так, довольно «узкий». Почти все почти всех почти знают. И рынок так же делится на ниши: кто-то обслуживает инфраструктуру, кто-то занимается поддержкой, кто-то обеспечением безопасности, кто-то аудитом. И клиент, присутствующий на конференции, запомнит: ага, вот чел вот из этой конторы грамотно выступает. И запомнит эту контору. И когда придет время — вспомнит о ней. Т.о. и генерируется прибыль.
В итоге, все эти выступления — это работа на имя и репутацию, что в итоге ведет к получению выгоды.
В итоге, все эти выступления — это работа на имя и репутацию, что в итоге ведет к получению выгоды.
+3
Спасибо, интересно пишете =)
Необычное сочетание — «шейхи» и дыры в ИТ-продуктах.
Необычное сочетание — «шейхи» и дыры в ИТ-продуктах.
0
Вообще российской компании идти на мировой рынок с продуктом по ИБ я уж не говорю об услугах, это вызов так как к сожалению для многих Россия это хакеры
Так ведь лучшие специалисты по ИБ — это хакеры =)
Спасибо за статью и ответы! Удачи вам и вашей компании.
+3
Паранджа — это если полностью закрыто лицо сеткой. А на фото чадра :)
ps недавно приехал с Дубая, очень понравилось, богатый и цивилизованный город.
ps недавно приехал с Дубая, очень понравилось, богатый и цивилизованный город.
+4
Сама паранджа не закрывает лицо. Деталь, которая закрывает лицо (сетка из волоса) называется чачван и она может дополнять паранджу. А чадра это синоним паранджи.
0
опять википедия врет блин :D
спасибо за просвещение
спасибо за просвещение
0
Вообщето, это не паранджа или чачван. Это хижаб.
+1
Ну, статья википедии на русском, в общем-то, все правильно пишет. По крайней мере, если использовать узбекскую терминологию. В ней и источники указаны из истории узбекского и таджикского костюма, что логично, учитывая, что в современный русский язык «паранджа» пришла из Средней Азии.
Однако, например, в английском языке название этого предмета заимствовано у арабов, соответственно и статья называется Burqa. Как там это называется у арабов в Кувейте и Эмиратах, я не знаю, поскольку с узбеками общался, а вот с арабами из Кувейта — не довелось.
Вполне возможно, что и Вы окажетесь по-своему правы.
Однако, например, в английском языке название этого предмета заимствовано у арабов, соответственно и статья называется Burqa. Как там это называется у арабов в Кувейте и Эмиратах, я не знаю, поскольку с узбеками общался, а вот с арабами из Кувейта — не довелось.
Вполне возможно, что и Вы окажетесь по-своему правы.
0
UFO just landed and posted this here
Ярлычками с паролем, да, пользуюсь:) Статья очень понравилась, т.к. сам абаплю и про сап почитать интересно и особенно, как она «там»:)
+1
Два айфона, черный и белый — это да! Это ход конем! :)
0
вспомнились zer0nights
«и сейчас Александр Поляков расскажет вам… догадайтесь про что!»
очень интересная статья, спасибо
«и сейчас Александр Поляков расскажет вам… догадайтесь про что!»
очень интересная статья, спасибо
+2
Я было подумал, что это Джейк Джилленхол будет про SAP рассказывать.
0
Sign up to leave a comment.
Как я учил арабских шейхов ломать SAP